Este texto é uma continuação da discussão de problemas relacionados à segurança do uso de assinaturas digitais.
UPD1. (18 de setembro) : para quem marcou o artigo, brevemente sobre as ações tomadas e os resultados dos dois últimos meses: foram escritas declarações ao imposto, Ministério Público, departamento de polícia e Ministério das Comunicações. De acordo com os resultados da auditoria, o Departamento de Assuntos Internos enviou dados ao Departamento de Crimes Econômicos e Processos Públicos. O Ministério Público, de acordo com os resultados da auditoria - para o imposto. O imposto recomendado para entrar em contato com o Ministério das Comunicações. O Ministério das Comunicações respondeu: dois certificados foram registrados para você, para a proteção de seus direitos, liberdades e interesses legítimos, você pode entrar em contato com a ATS e o Ministério Público. O círculo está fechado. Não há resposta do Departamento de Crimes Econômicos, mas como nenhum crime econômico foi cometido ...
UPD2. (10 de outubro) : na primeira ocasião, também há "progresso" - após mais de um ano de processo, a conta da pessoa foi desbloqueada.
A essência do problema é a seguinte: cada CA pode usar suas próprias regras de identificação, incluindo em cópias de documentos via Internet. Como resultado, torna-se possível a qualquer cidadão A receber e usar a EDS do cidadão B sem o conhecimento de B. Nos artigos anteriores, foram dados exemplos de uso fraudulento da EDS obtidos dessa maneira e foram dados conselhos sobre como se proteger desses tipos específicos de fraude. Não há resposta para a pergunta de como impedir que terceiros recebam uma assinatura digital eletrônica em seu nome.
De fato, em
um artigo recente da Rosreestr, ele reconhece a possibilidade de fraude com a EDS de indivíduos e fornece conselhos sobre como gastar seu tempo e dinheiro tentando se proteger de tais fraudes.
Em outro
artigo recente , outra situação é descrita com o uso fraudulento de assinaturas digitais, os métodos de proteção não são claros.
O objetivo deste texto é, em primeiro lugar, mostrar que há pelo menos mais um tipo generalizado de fraude de assinatura eletrônica, cujas vítimas são, via de regra, pequenas empresas, incluindo “Nulos”, em segundo lugar, para compartilhar a experiência existente e recorrer à experiência do público com a questão do que fazer se você for vítima de tal fraude.
Eu encontrei dois casos semelhantes nos últimos anos. O esquema é aproximadamente o seguinte - no final do período do relatório, após a entrega bem-sucedida dos relatórios trimestrais, quando o departamento de contabilidade já relaxou e expirou, o ajuste fiscal entra, o que mostra alta rotatividade (dezenas a centenas de milhões de rublos) e um grande IVA a pagar. As opções são possíveis, por exemplo, o IVA é pequeno, mas o volume de negócios é grande, e alguns deles, mesmo um contador com experiência média, à primeira vista o definem como "de esquerda".
Uma autoridade de certificação pode estar localizada em qualquer lugar do país. As empresas contraparte estão em qualquer outra extremidade e, no momento da detecção do problema, elas podem não mais existir ou estar em processo de liquidação.
Na melhor das hipóteses, o problema se torna conhecido antes do final do período do relatório e o departamento contábil pode enviar sua correção. Na pior das hipóteses, o problema será conhecido depois que a conta da empresa for bloqueada por sonegação de impostos.
Caso um
O primeiro caso que encontrei (no final do primeiro trimestre de 2018) foi "o pior". O problema ficou aparente após o bloqueio da conta e o processo subsequente ainda não foi encerrado.
A posição tributária nesse assunto é extremamente simples: suas assinaturas são certificadas de acordo com a lei; os impostos devem ser pagos. Qualquer recurso ao imposto é considerado de acordo com os regulamentos (o tempo para considerar a carta é de um mês).
As ações investigativas ainda estão em andamento. E antes que terminem, as contas da vítima da empresa são bloqueadas e os bens pessoais são apreendidos da vítima por sonegação de impostos.
Na discussão do artigo anterior, os comentaristas escreveram que tentativas independentes de bloquear uma assinatura digital fictícia podem ser posteriormente consideradas negativamente pela investigação. No primeiro caso, a vítima se recusou a tomar qualquer ação por conta própria, além de apelar às autoridades investigadoras, como resultado, a investigação ainda está em andamento, pelo menos até o final da investigação, por sonegação de impostos, repito, as contas da empresa são bloqueadas e a propriedade pessoal é apreendida. O que aconteceria se ele bloqueasse de maneira independente a EDS fictícia visitando a CA no outro extremo do país - não é óbvio.
Caso dois
O segundo caso é novo - o final do 2º trimestre de 2019 - e pertence à categoria de “melhores”. O fato de enviar declarações falsas foi descoberto antes do final do período do relatório.
O diretor e o contador coletaram documentos e foram para a administração fiscal. Em resumo, a posição tributária sobre esse assunto não é nossa área de competência, temos um regulamento, podemos bloquear a EDS e não aceitar relatórios apenas em casos de suspeita de atividades ilegais; no seu caso, não há sinais de atividades ilegais e transações suspeitas nas declarações enviadas; podemos bloquear a EDS se o diretor escrever uma declaração de que a empresa e a EDS estão registradas sem o seu conhecimento; no seu caso, o diretor reconhece que registrou a empresa e uma EDS, mas não registrou a outra - essa situação está além do escopo de nossos regulamentos; em nossos regulamentos, sua situação está ausente. O que fazer Entre em contato com a polícia. Onde exatamente para a polícia? Ligue para 02, você será enviado para o departamento desejado. O que fazer com denúncias ilegais? Escreva um ajuste. E se os atacantes depois dos nossos escreverem os seus próprios? É possível, verifique com mais frequência para que isso não aconteça e escreva-nos uma carta, a consideraremos de acordo com os regulamentos. De acordo com os regulamentos, o tempo de resposta é de um mês, durante o qual você terá tempo para bloquear nossa conta. Se o imposto não for pago dentro do prazo, a conta será bloqueada.
No início, todas as conversas eram realizadas apenas por telefone na entrada, mas assim que o nome da empresa soou, a pessoa que falava ao telefone começou a mexer, escrever passes, conhecer pessoalmente e o levou ao escritório de alguém da alta gerência que conheceu os visitantes de maneira muito favorável. No entanto, a razão desse fenômeno maravilhoso rapidamente se tornou clara - o nome da empresa coincidia com uma letra e era consoante com o nome da empresa, da qual a administração tributária tinha algum interesse. Depois disso, a benevolência foi reduzida, mas o fato de estar no escritório do gerente me permitiu entrar em vários outros escritórios e obter partículas de informações diferentes. Em particular, um dos escritórios disse que esses casos são tão difundidos que existe até uma certa classificação de confiabilidade interna de CAs de diferentes empresas - essas e essas empresas geralmente estão envolvidas na emissão de EDS falsa, mas, por exemplo. este (não acho que eu anuncio seus serviços) - eles têm tudo de forma muito rigorosa e não houve casos de falsificação.
Um centro de certificação que emitiu um EDS falso está localizado próximo à fronteira da região. Uma ligação foi feita lá e a conversa também foi maravilhosa. Um funcionário da CA disse que a CA não está envolvida na EDS há cerca de um mês (uma EDS falsa foi emitida há mais de um mês), mas eles o ajudarão com o telefone celular do nosso parceiro. Para a questão de saber se um EDS foi emitido para tal e qual pessoa, e com que base, a resposta foi recebida: sim, a pessoa apareceu pessoalmente e temos um pacote completo de documentos, aqui está ele na minha frente, incluindo uma declaração com um selo azul e uma cópia colorida do passaporte. O que precisa ser feito para obter cópias desses documentos e bloquear essa assinatura digital? E dite seu e-mail para mim e eu imediatamente enviarei cópias dos documentos e da assinatura digital, por um momento ... Eu já a bloqueei. Você bloqueou o EDS apenas pela chamada (não se sabe de quem)? Não se preocupe, este é um procedimento padrão. Se houver suspeita de ações ilegais, nós o fazemos imediatamente.
Curiosamente, foram recebidas cópias dos documentos, incluindo uma cópia colorida deste passaporte com uma foto substituída e a assinatura de outra pessoa, em alta qualidade, com reflexos dos hologramas nos lugares certos, um selo de canto na foto, etc. e uma declaração com um selo falso azul. Espera-se que isso ajude a provar que o segundo EDS foi realmente obtido de forma fraudulenta.
O que fazer
Obviamente, a situação é generalizada e bem conhecida pelas autoridades fiscais. Mas isso não facilita a vida das vítimas.
Se o fato da fraude foi descoberto antes do final do período do relatório, aparentemente as ações corretas enviarão a correção imediatamente, tomarão medidas para bloquear a assinatura digital fictícia, enquanto verifica a ausência de correções fraudulentas "em cima" da sua e entre em contato com as autoridades policiais. Qual será o resultado ainda não está claro.
O que fazer se o fato de a fraude for descoberto após a conta já estar bloqueada não está claro. Rosreestr de plantão diz que "os poderes ... foram confirmados da maneira prescrita" e provar que realmente não é você quem emitiu a segunda EDS e tentou evitar o pagamento de impostos - isso se torna um problema pessoal. As ações de investigação são lentas, a tributação é mais rápida e clara - apreensão de contas, propriedades, viagens ao exterior etc.
Quem tem experiência em tais situações - compartilhe, porque o procedimento nem sempre é óbvio, e ações incorretas podem agravar a situação.