18 июня 2019 г.

Селфи с паспортом уходят в астрал

Про опасность представления кому бы ни было селфи с паспортом сказано уже очень много – и в СМИ, и на самых разных ресурсах Интернета. Но, тем не менее, проблема не только остается, но и усугубляется.
Удостоверяющий Центр АО «Калуга Астрал» 1 октября прошлого года объявил о введении нового Регламента по проверке документов. Об этом уже писали в октябре прошлого года.
Главное изменение нового Регламента АО «Калуга Астрал» – обязательное предоставление селфи с паспортом генерального директора любой компании (кроме бюджетных организаций), получающего или ранее получившего электронную подпись и сертификат в удостоверяющем центре (УЦ). Без такой фотографии получить электронную подпись нельзя.
Предоставление собственного фото с паспортом – это очень серьезный риск для субъекта персональных данных стать объектом мошенничества. Селфи с паспортом активно используются для мошеннических действий, в первую очередь – для получения онлайн кредитов в микрофинансовых организациях, но не только. Есть и черный рынок в даркнете с такими селфи, и профессиональные их скупщики, например, «Профсоюз селлеров» или «Форум вилочников». Недавняя история с водителем-убийцей на каршеринговом мерседесе, полученном на подставное лицо, или получение кредитов в банках – наглядные иллюстрации. Об этом написано очень много, достаточно погуглить и почитать, например это, это или это.
К сожалению, «предоставление селфи с паспортом» впрямую коснулось и нашего агентства. Я честно пытался решить вопрос по-хорошему, обратившись в техподдержку, а затем – к руководителю центра компетенции УЦ АО «Калуга Астрал», но по-хорошему не получилось. Поэтому публикую этот пост и, по-видимому, далее мы направим жалобы в различные инстанции - в Минкомсвязи, Роскомнадзор и прокуратуру.
Итак. Без селфи получить подпись и сертификат нельзя. В качестве аргумента руководитель центра компетенции УЦ ссылается на статью 18 Федерального закона № 63-ФЗ «Об электронной подписи». Читаем. «При обращении в аккредитованный удостоверяющий центр заявитель … представляет следующие документы либо их надлежащим образом заверенные копии и сведения:
1) основной документ, удостоверяющий личность;
2) номер страхового свидетельства государственного пенсионного страхования заявителя - физического лица;
3) идентификационный номер налогоплательщика заявителя - физического лица;
4) основной государственный регистрационный номер заявителя - юридического лица;
5) основной государственный регистрационный номер записи о государственной регистрации физического лица в качестве индивидуального предпринимателя заявителя - индивидуального предпринимателя;
6) номер свидетельства о постановке на учет в налоговом органе заявителя - иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации) или идентификационный номер налогоплательщика заявителя - иностранной организации;
7) доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц».
Это все. Точка. Перечень закрытый. Права УЦ запрашивать какие-либо дополнительные документы закон не предусматривает. Часть документов УЦ должен получить самостоятельно из государственных информационных ресурсов. Сведения о выданном квалифицированном сертификате направляются в Единую систему идентификации и аутентификации (ЕСИА). На этом процедура заканчивается.
Но в УЦ «Калуга Астрал» мне довольно агрессивно сообщили, что в части 2 статьи 18 закона № 63-ФЗ указаны обязательные документы, перечень документов, необходимый для выпуска электронной подписи, является открытым, и УЦ по своему усмотрению имеет право запрашивать дополнительные документы (такие, как фотография с паспортом). Весьма интересное понимание норм закона, а точнее явное его нарушение.
Мой вопрос о правомерности в таком случае запроса УЦ, например, справок из псих- и нарко- диспансеров, сведения о номере платежной карты с CVV2 и прочих документов был просто проигнорирован.
Особенно умилило такое обоснование возможности истребования селфи, как наличие лицензии ФСТЭК РФ на деятельность по разработке и (или) производству средств защиты конфиденциальной информации. Здесь сделаем паузу для осознания такой интересной идеи.Аргумент о необходимости представления селфи весьма интересный, он изложен в разъяснении на сайте партнера УЦ, ссылка на который дана выше: «в связи с участившимися случаями мошенничества при выдаче электронных подписей и для минимизации рисков сотрудников УЦ и Партнёров». Основанием для таких действий компания считает (внимание!) предложение Минкомсвязи о дополнении Уголовного кодекса статьёй, устанавливающей уголовную ответственность за умышленное нарушение обязанностей, предусмотренных законодательством в области электронной подписи, в частности, введением в УК РФ новой статьи 200.6 «Умышленное нарушение обязанностей, предусмотренных законодательством Российской Федерации в области электронной подписи». Законопроект такой есть, (совсем не там, куда ведет ссылка в публикации), но касается он, в основном, закона 63-ФЗ, в том числе в части уточнения порядка идентификации заявителя ( и про селфи там, естественно, нет ни слова), а уголовная ответственность предусматривается для должностных лиц аккредитованного удостоверяющего центра и должностных лиц доверенного лица аккредитованного УЦ за умышленное нарушение порядка выдачи (вручения) квалифицированного сертификата ключа проверки электронной подписи.
То есть, мы не хотим попасть под уголовку, поэтому будем нарушать ваши права, незаконно требовать документы, несущие для вас реальную угрозу. Железная логика.
Между тем, законопроект не только не принят, но даже и не внесен в Думу и застрял на этапе размещения на портале https://regulation.gov.ru/, не дойдя даже до этапа оценки регулирующего воздействия. Да и не имеет это значения в данном случае, он все равно не про селфи.
 Те, кому требуется электронная подпись, смогут выбрать другой УЦ, в который не требуется отправлять селфи с паспортом и подвергать себя ненужным рискам.
Выход с идентификацией есть очень простой – использование ЕСИА. Для биометрической идентификации клиентов банка ее решили практически мгновенно. Были бы воля и желание. И закон нарушать не придется.
P.S. На запрос о перечне документов нам прислали, в том числе, и фото дамы с паспортом и заявлением в руках в качестве образца селфи. Так что шлите селфи в астрал…

21 комментарий:

  1. Законопроект, внесённый со стороны Минкомсвязи действительно забуксовал, поэтому в этом году его внесли со стороны Совета Федерации.

    ОтветитьУдалить
  2. Была точно такая же история месяца два назад в ООО "Компания "Тензор" (СБИС). Только после долгих препирательств и звонков юристам в головной офис, в качестве исключения выдали форму заявления на отказ в предоставлении скана и фото, которую я и подписал, бога ради ))

    ОтветитьУдалить
  3. А потом кому-то выдают подпись без подобной идентификации и эта личность отжимает у вас имущество, оформляет кредиты/ипотеки и тд и тп, по левым документам на ваше ФИО.

    ОтветитьУдалить
    Ответы
    1. "Подобная идентификация" от этого не только не спасает,но и усугубляет ситуацию.

      Удалить
  4. Астрал не единственный УЦ, что требует селфи для изготовления подписи. Проблема идентификации стоит уже давно. Если открыть закон, то можно обнаружить, что написан он второпях, процедура идентификации описана неполно. Не говоря уже про то, что закон позволяет выдавать подпись по доверенности от юр лица. которую подделать очень легко. Так что все эти ухищрения с селфи и прочими дополнительными требованиями являются попытками УЦ хоть как-то обезопасить себя и клиента, в отсутствие нормальной законодательной базы.

    ОтветитьУдалить
  5. Михаил Юрьевич, а почему вы решили написать именно про УЦ Астрал? Ведь и другие УЦ требуют селфи. Это заказ?

    ОтветитьУдалить
    Ответы
    1. Я не пишу по заказу. Астрал, поскольку это стало именно нашей проблемой. Я думал, гаишники давно всех отучили говорить "А вот смотрите, другие тоже". Селфи берут не все.

      Удалить
  6. В букмекерских конторах и в каршеринге используется селфи с паспортом для идентификации. Правда там не в рамках 63-ФЗ, но в 115-ФЗ тоже нет норм про селфи.

    ОтветитьУдалить
    Ответы
    1. К букмекерам и в каршеринг можно не обращаться. Это выбор каждого. А вот отчетность не сдавать нельзя, поэтому это бОльшая проблема, по моему мнению.

      Удалить
  7. Это не УЦ такие, это регуляторы (МКС в первую очередь) так "зарегулировали" отрасль, что на вопрос - как правильно идентифицировать волеизлияние владельца сертификата в его изготовлении, и удостоверение что именно он получит этот сертификат нет однозначного ответа. Вот каждый УЦ и крутится как может чтобы обезопасить себя и своих пользователей, а если пользователь не хочет себя обезопасить по правилам УЦ то для него есть другая категория УЦ, которая по своему трактует нормы закона - выдать кому угодно без личного присутствия. А потом поднимается шумиха - вот какие УЦ плохие

    ОтветитьУдалить
  8. Плохое регулирование и стремление обезопасить себя - не основание для нарушения прав других. А пользователям селфи не помогают - число мошенничеств и ЭП угрожающе растет.

    ОтветитьУдалить
    Ответы
    1. Стремление обезопасить не только себя но и клиента. Помогают селфи или нет... откуда вы знаете что не помогают, есть какая-то статистика? Риск выдать подпись не тому, кому она предназначается снижается (к сожалению полностью не исключается, и к сожалению возникает риск дальнейшего неправомерного использования этого селфи). А число мошенничеств растет - увы да. Но корень проблемы - не в Астрале, не в каких то других УЦ, а как писали уже выше - в отсутствии нормальной нормативной базы. Так что Астрал выбирает из 2 зол (нарушить права пользователя в части использования его ПД, либо неправомерно выдать подпись мошеннику) меньшее

      Удалить
    2. Вы, безусловно, имеете право на свою точку зрения, как и я. Я с Вашей позицией не согласен, Вы - с моей. Но проблемы - и регулирования, и нарушения прав, - остаются. И я писал, какой есть выход - подключение к ЕСИА, м.б. - к ЕБС, а не кустарные селфи.

      Удалить
    3. УЦ давно просили дать возможность работать через ЕСИА, однако МинСвязь добро не давала.Сейчас УЦ только отправляют сведения в ЕСИА, но идентифицировать через неё не могут. Законопроекты, в которых можно будет работать через ЕСИА или ЕБС никак не получат одобрения.

      Удалить
  9. Где-то прочёл, что страшных случаев увода квартир в Москве уже то ли два, то ли три. Достаточно ли этой "статистики", чтобы Правительство, ГД, понукаемые мировой закулисой, улучшили порядок аутентификации лиц, обратившихся в разные УЦ за квалифицированными сертификатами? Возможно, что несчастья трёх фигурантов не стоят того, чтобы отвлекать таких уважаемых людей. Вот когда счёт пойдёт на тысячи (миллионы?), тогда и будут приняты жёсткие, но адекватные меры. А пока либо делаем селфи в УЦ, либо... не делаем. Кому что нравится.

    ОтветитьУдалить
  10. Читаю ваш блог лет 7, всегда было интересно, как теоретические изыскания будут применены на практике и какой эффект от этого будет. В итоге смогли через них получить подпись?

    ОтветитьУдалить
    Ответы
    1. Астрал редкостная какашка, у них даже сертификаты не хранятся с подписью Клиента. И как Вы правильно указали они занимаются передоверием, своего права идентификации причем сразу по двум схемам с совместителями и просто доверяют идентификацию третьим лицам. Что касается вопроса от чего защищает фото с паспортом то проблема конкретно Калуги в том, что в результате их курьеры "проводящие идентификацию" даже паспорт при идентификации не спрашивают, впрочем даже если и спрашивают то убедиться в его подлинности все равно не могут

      Удалить
  11. У таких организаций необходимо запрашивать аналогичные данные. В случае непредоставления, именно ВЫ отказываете им в сотрудничестве.

    Например, я ответил на их требование так:
    "в целях идентификации вашей организации, вам необходимо выслать ответом на это письмо фото директора АО "Калуга Астрал" Чернина И.И. с развернутым паспортом (в одной руке) и лицензией на деятельность по технической защите конфиденциальной информации в другой руке. А также дать пояснения касательно связи АО "Калуга Астрал" с ГК "Максима Консалтинг".

    Да, причем тут ГК "Максима Консалтинг", в которой, по их словам, должны храниться мои данные... А сами уверяют что именно Калуга Астрал имеет лицензию на хранение данных.

    В общем, съезжу в налоговую и лично сдам НД по УСН.

    ОтветитьУдалить