С 13 марта 2025 года в Казахстане вступили в силу обновленные нормы административной ответственности за неправомерное использование чужой электронной цифровой подписи (ЭЦП). Срок давности по таким правонарушениям увеличен до одного года, а штрафы за нарушения в сфере персональных данных выросли до трёх раз и теперь составляют от 30 до 2000 МРП. Вводится самостоятельный состав правонарушения — использование ЭЦП другим лицом. Эти меры направлены на повышение кибербезопасности и снижение мошенничества с цифровыми идентификаторами.
Что такое ЭЦП ?
ЭЦП — это электронный аналог собственноручной подписи. Она подтверждает личность подписанта и защищает целостность электронных документов и транзакций. По сути, ЭЦП — это «цифровая печать доверия»: с её помощью подаются налоговые декларации, подписываются договоры, оформляются госуслуги. Любое вмешательство третьих лиц в процесс использования ЭЦП несёт риск утраты контроля над персональными данными, финансовыми активами и правами.
Ключевые изменения с 13 марта 2025 года
- Увеличен срок привлечения к административной ответственности: с двух месяцев до одного года. Это расширяет возможности для расследования, фиксации и доказывания фактов неправомерного использования ЭЦП.
- Усилены штрафы за нарушения в сфере защиты персональных данных: теперь вилка — от 30 до 2000 МРП, что в три раза выше прежних размеров. Рост наказаний призван сделать нарушения экономически невыгодными.
- Введена отдельная норма об административной ответственности за использование ЭЦП другим лицом. Ранее прямой ответственности за сам факт использования не было — санкции касались главным образом незаконной передачи ключей третьим лицам.
Чем новые правила отличаются от прежних?
Было: ответственность за незаконную передачу ключа ЭЦП.
Стало: ответственность и за передачу, и за использование чужой ЭЦП — даже разовое и «по договорённости» без надлежащей доверенности.
Было: короткий срок давности (2 месяца), из‑за чего многие эпизоды оставались безнаказанными.
Стало: год для выявления, экспертиз и процедурных действий, что повышает неотвратимость ответственности.
Было: относительно умеренные штрафы, которые часто воспринимались как издержки.
Стало: кратный рост штрафов, повышающий превентивный эффект.
Кому обратить внимание
Физическим лицам, использующим ЭЦП для госуслуг и финансовых операций.
Индивидуальным предпринимателям и компаниям, делегирующим сотрудникам доступ к ЭЦП.
Типичные сценарии нарушений
- Передача токена с ключом коллеге «на минутку», чтобы он подписал документ вместо вас.
- Использование ЭЦП руководителя бухгалтером без формализованной доверенности и разграничения полномочий.
- Хранение ключей на общих компьютерах или в облачных папках без шифрования и контроля доступа.
- «Автозаполнение» и сохранение паролей к ЭЦП в браузерах, что облегчает несанкционированное использование.
Практические шаги для соблюдения новых требований
1) Пересмотрите регламенты. Обновите локальные акты и должностные инструкции: кто и как использует ЭЦП, при каком основании и в каких системах.
2) Введите принцип персональной ответственности. Каждая подпись — только владельцем ключа, либо по оформленной доверенности в допустимых случаях.
3) Управляйте доступами. Используйте отдельные учётные записи. Периодически проверяйте, кто к чему имеет доступ.
4) Усильте защиту носителей. Храните ключи на аппаратных токенах/смарт‑картах, используйте шифрование и сложные пароли, отключите автосохранение.
5) Настройте двухфакторную аутентификацию и уведомления о входах/подписях там, где это поддерживается.
6) Обучайте сотрудников. Ежеквартально обновляйте знания о фишинге, шпионском ПО и безопасной работе с ЭЦП.
7) Своевременно отзывайте и перевыпускайте ключи при увольнении, компрометации или смене роли.
Ответственность и процесс привлечения
- Факт использования чужой ЭЦП может устанавливаться по журналам событий, логам информационных систем, данным провайдера удостоверяющих услуг, а также по результатам цифровой экспертизы.
- Административное производство предусматривает сбор доказательств, уведомление лица, протокол и рассмотрение дела уполномоченным органом или судом. Увеличенный срок давности даёт время на проведение экспертиз.
- Штрафные санкции рассчитываются исходя из МРП на момент привлечения. Дополнительно возможно изъятие носителей или ограничение доступа к системам как мера предотвращения повторных нарушений.
Что делать, если вашу ЭЦП использовали без ведома?
- Немедленно отзовите сертификат через удостоверяющий центр и запросите перевыпуск ключа.
- Сообщите в службу безопасности организации и уполномоченный орган, зафиксируйте инцидент актом.
- Проведите проверку устройств на вредоносное ПО, смените пароли и пересмотрите права доступа.
- Оцените возможный ущерб: поданные документы, совершённые операции, правовые последствия — и при необходимости подайте заявления о привлечении виновных.
Юридические тонкости, о которых часто забывают
- Наличие «устной договорённости» не освобождает от ответственности за использование чужой ЭЦП.
- Доверенность должна быть надлежащим образом оформлена и соответствовать объёму совершаемых действий.
- В гражданско‑правовых отношениях факт подписания ЭЦП приравнивается к собственноручной подписи: споры о действительности сделки будут рассматриваться через призму владения ключом и полномочий подписанта.
Новые правила делают использование ЭЦП более ответственным и безопасным. Годичный срок давности и кратно увеличенные штрафы усиливают превентивный эффект, а самостоятельная ответственность за использование чужой ЭЦП закрывает прежние «серые зоны». Чтобы избежать рисков, достаточно выстроить понятные процессы, дисциплинированно хранить ключи и действовать по принципу: «подписывает только владелец или надлежаще уполномоченное лицо».
