Ответственность за использование чужой ЭЦП в 2026

Q: Можно ли передать свою электронную подпись другому человеку?

Нет. Статья 10 63-ФЗ обязывает обеспечивать конфиденциальность ключа и не допускать его использование без согласия владельца. Передавать токен не следует: под документом будет подпись владельца, и юридически подписал он. Для делегирования используется машиночитаемая доверенность (МЧД).

Q: Что делать, если есть подозрение на компрометацию ключа?

По статье 10 63-ФЗ нужно в течение не более одного рабочего дня уведомить удостоверяющий центр и других участников, прекратить использование ключа и отозвать сертификат. После отзыва документы, подписанные после включения сертификата в список отозванных, проверку не проходят.

Q: Как правильно отозвать электронную подпись?

Отзыв производится через выдавший орган - удостоверяющий центр или УЦ ФНС, туда направляется заявление. Удаление сертификата из внутреннего реестра компании отзывом не является: сертификат остаётся действующим, и им можно подписывать. Отзывать нужно через выдавший орган.

Q: Нужно ли отзывать подпись при увольнении сотрудника?

Да. Выпущенный на сотрудника сертификат при увольнении нужно отозвать, иначе подписью могут продолжить пользоваться. Также проверьте МЧД: если доверенность оформлена на физлицо без указания должности, она может остаться действующей и её тоже нужно отозвать.

Q: Чем грозит передача токена бухгалтеру для подписания документов?

Под всеми документами будет подпись владельца, и юридически подписал их он. За любые действия с ключом, включая вывод денег, отвечает владелец, а не тот, кто реально подписывал. Правильный путь - оформить МЧД, тогда бухгалтер подписывает своей подписью и сам несёт ответственность.

Q: Можно ли в суде доказать, что подписал не ты?

Сложно, но возможно при наличии доказательств. Ссылка на номинальность владельца защитой не является. Однако в делах Сбера и Винлаб суды вставали на сторону работников при сомнениях в волеизъявлении или в том, какой документ подписывался. Помогают доказательства компрометации и своевременный отзыв подписи.

Q: Что такое презумпция авторства электронной подписи?

Это правило, по которому подписавшим документ априори считается владелец сертификата, пока не доказано обратное. Поэтому ответственность по умолчанию ложится на владельца. Опровергнуть презумпцию можно, доказав компрометацию ключа, кражу или порок воли, но бремя доказывания на том, кто оспаривает подпись.

Q: Как защитить подпись от использования посторонними?

Не передавайте токен и не сообщайте пин-код, не храните пин рядом с носителем. Используйте токены с неизвлекаемым ключом - его невозможно скопировать. Делегируйте полномочия только через МЧД. При потере токена или подозрении на компрометацию немедленно отзывайте сертификат через удостоверяющий центр.

Ответственность за использование чужой электронной подписи наступает по нескольким направлениям сразу: уголовная (мошенничество, неправомерный доступ к информации), гражданско-правовая (возмещение убытков) и риски для самого владельца ключа — по закону 63-ФЗ он отвечает за последствия, даже если документ подписал не он. Разберём, что грозит тому, кто воспользовался чужой подписью, какая ответственность лежит на владельце за передачу ключа, почему нельзя отдавать токен бухгалтеру «по-быстрому» и как защититься от чужих махинаций со своей подписью. Это часть большого материала про проверку электронной подписи, где собраны способы проверки подлинности подписи под документом.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Что закон считает использованием чужой электронной подписи

Электронная подпись по 63-ФЗ привязана к конкретному лицу: квалифицированная подпись априори считается принадлежащей владельцу сертификата, и подписавшим документ лицом считается именно он. В этом весь смысл подписи — однозначно идентифицировать того, кто подписал. Поэтому использование чужой подписи — это ситуация, когда документ подписан ключом, владельцем которого подписант не является.

Тут два принципиально разных сценария, и путать их нельзя. Первый — владелец сам отдал свой токен (директор передал ключ бухгалтеру, чтобы тот «подписал пару документов»). Второй — ключом завладели без ведома владельца: украли токен, узнали пин-код, перевыпустили подпись по поддельным документам. Юридические последствия разные, но объединяет их одно: основная тяжесть рисков падает на владельца сертификата.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Народ относится к подписи легко: токен в столе, пин-код на стикере, ‘подпиши за меня’. А подпись — это не флешка, это ваша личность в цифре. Передал токен — считай, дал кому-то расписываться твоей рукой под чем угодно. И отвечать потом будешь ты, а не тот, кто подписал.»

Обязанности владельца ключа по статье 10 63-ФЗ

Закон 63-ФЗ в статье 10 (в редакции от 31.07.2025) прямо перечисляет, что обязан делать владелец усиленной подписи. Эти обязанности и определяют, где начинается его ответственность.

Обеспечивать конфиденциальность ключей — в частности, не допускать использования принадлежащих ему ключей без его согласия. То есть закон прямо запрещает давать кому-то подписывать вашим ключом. Уведомлять удостоверяющий центр и других участников о нарушении конфиденциальности в течение не более чем одного рабочего дня со дня, когда стало известно о нарушении. Не использовать ключ, если есть основания полагать, что его конфиденциальность нарушена. И использовать для создания и проверки квалифицированной подписи только сертифицированные средства.

Из этого вытекает ключевая вещь: использование подписи другими лицами не освобождает владельца от ответственности за неблагоприятные последствия. Подписал не ты, а под документом твоя подпись — разбираться будут с тобой. Сначала с тебя взыщут, а ты уже потом, если сможешь, предъявишь регресс тому, кто реально подписал.

Мария Ж, судебный эксперт по трудовому праву:
«В суде директор может сколько угодно говорить, что он номинальный, ничем не управлял, а подписью пользовался кто-то другой, и куда делся токен — он не в курсе. Это не работает как защита. Раз ты владелец сертификата — бремя на тебе. Не уследил за ключом — твоя зона ответственности, твои последствия.»

Уголовная ответственность за использование чужой ЭП

Отдельной статьи «за использование чужой электронной подписи» в Уголовном кодексе нет. Но это не значит, что использование безнаказанно — в зависимости от того, что натворили чужой подписью, применяются разные статьи.

Мошенничество (статья 159 УК) — если чужой подписью получили финансовую выгоду: вывели деньги, оформили кредит, заключили фиктивную сделку, увели имущество. Это самый частый состав, когда подпись использовали для хищения.

Неправомерный доступ к компьютерной информации (статья 272 УК) — если для использования подписи получили несанкционированный доступ к ключу, системе, данным. Сюда же примыкает статья 274.1 УК — неправомерное воздействие на критическую информационную инфраструктуру. На практике встречается, например, история, когда программист больницы воспользовался чужим сертификатом и открыл больничный лист человеку, который в медучреждение не обращался — и дело возбудили по части 4 статьи 274.1 УК.

Подделка, изготовление поддельных документов — если чужая подпись использовалась для фальсификации документов. Минцифры разрабатывало поправки в УК и КоАП об установлении ответственности именно за подделку электронной подписи, и тенденция идёт к ужесточению.

За решёткой оказываются не абстрактные хакеры, а вполне реальные бухгалтеры, доверенные сотрудники, топ-менеджеры — те, кто воспользовался чужим сертификатом УКЭП. Цифровой след в таких делах прямой: видно, какой подписью, когда и что подписано.

Образцы документов и памятки по работе с электронной подписью

Открыть список документов

Документ	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Правила обработки персональных данных	Скачать
Шаблон соглашения по ЭДО	Скачать
Криптографическая защита информации (ГОСТ): формирование и проверка подписи	Скачать
Методические рекомендации по внедрению ЭДО	Скачать
Руководство пользователя Добыто КЭДО	Скачать

Проверка электронной подписи онлайн — сервис Добыто

certificate Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Перетащите или выберите файл

Файл подписи

Перетащите или выберите файл

Нажимая кнопку «Проверить подпись», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных.

Гражданско-правовая ответственность и убытки

Помимо уголовной стороны есть денежная. Если использованием чужой подписи причинён ущерб, встаёт вопрос возмещения убытков. И тут опять работает принцип: подпись идентифицирует владельца, значит, обязательства по подписанному документу возникают у владельца.

На практике это выглядит так. Подписали вашим ключом договор — контрагент идёт взыскивать с вас. Подписали соглашение об увольнении — суд разбирает спор с работодателем и работником. Подписали заявку на торгах — отвечает участник от чьего имени подпись. Сначала последствия наступают для владельца, а уже он потом разбирается с тем, кто реально подписал, — если сможет доказать, кто это был.

Тут и всплывает важность правильного оформления, если передача всё же нужна. Закон не регламентирует передачу ключа третьим лицам напрямую, и возникает юридический казус: директор отдаёт токен, чтобы кто-то подписывал документы. Правильный путь — не передавать ключ, а оформить полномочия: выдать доверенность (для электронного взаимодействия — машиночитаемую доверенность, МЧД), тогда уполномоченный подписывает своей собственной подписью и сам несёт ответственность за содержимое. Если же отдать именно свой ключ без оформления — вся ответственность ляжет на владельца.

Мария Ж, юрист со стажем более 20 лет:
«Разница простая. По доверенности человек ставит свою подпись и отвечает за то, что подписал. А когда вы отдаёте ему свой токен — под документом стоит ваша подпись, и юридически это подписали вы. Поэтому для делегирования есть МЧД, а не ‘на, подпиши моим ключом’. Это две большие разницы по последствиям.»

Когда владелец может снять с себя ответственность

Полностью переложить риски не выйдет, но снизить их и доказать свою непричастность — можно, если действовать по закону. Ключевой инструмент — своевременный отзыв подписи.

Если есть подозрение, что ключ скомпрометирован (потеряли токен, заподозрили, что узнали пин-код, уволился сотрудник, имевший доступ), нужно немедленно уведомить удостоверяющий центр и отозвать сертификат. После отзыва УЦ включает сертификат в список отозванных, и все документы, подписанные после попадания в этот список, проверку уже не проходят — подпись считается недействительной. Это и есть граница ответственности: за то, что подписано до отзыва, спрашивают с владельца, после отзыва — подпись нерабочая.

Отзыв делается не внутри организации, а через тот орган, который выдал подпись — удостоверяющий центр или УЦ ФНС. Туда направляется заявление. Удалить сертификат из внутреннего реестра компании — не то же самое, что отозвать его: в реестре удалили, а сам сертификат остался действующим, и им по-прежнему можно подписывать.

Момент увольнения сотрудника, у которого была подпись, — самый рискованный: люди уходят, а выпущенные на них сертификаты остаются в реестре, и ими продолжают подписывать. В практике Добыто мы ведём реестр действующих подписей и доверенностей, чтобы при увольнении сразу видеть, у кого что выпущено и что нужно отозвать.

Попробуйте ДОБЫТО КЭДО

Отдельная история — дела, где работник заявляет, что подпись использовали без него. В деле Сбера сотрудник оспорил увольнение, заявив, что не подписывал соглашение; подпись у них выпускалась на токенах и хранилась в сейфах, ответственность за хранение лежала на сотруднике, но суд встал на сторону работника. В деле Винлаб работник был уверен, что подписывает заявление на оплату больничного, а подписал увольнение по собственному — суд тоже на стороне работника. Эти дела показывают: даже технически валидная подпись не спасает, если есть сомнения в том, кто и что реально подписывал.

Как снизить риски ответственности по чужой подписи: пошаговая инструкция

Показать пошаговую инструкцию

Шаг 1. Никогда и никому не передавайте свой токен с электронной подписью и не сообщайте пин-код — для делегирования используйте машиночитаемую доверенность (МЧД).
Шаг 2. Храните токен с неизвлекаемым ключом в безопасном месте; пин-код не записывайте на самом носителе или рядом.
Шаг 3. При любом подозрении на компрометацию ключа в течение одного рабочего дня уведомите удостоверяющий центр.
Шаг 4. Отзовите скомпрометированный сертификат через УЦ или УЦ ФНС, направив заявление — после отзыва подпись перестаёт проходить проверку.
Шаг 5. При увольнении сотрудника с подписью отзовите его сертификат и проверьте, не осталось ли на него действующих МЧД и записей в реестре.

Стоимость услуг по работе с электронной подписью и КЭДО

Сам отзыв скомпрометированной подписи через УЦ бесплатен. Лицензия КриптоПро и токен покупаются отдельно. Если же нужно организовать выдачу, контроль и отзыв подписей сотрудников в компании, подключается сервис КЭДО — стоимость зависит от численности штата, тарифа и набора видов подписи.

Тариф	Стоимость	Условия
Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны, email-поддержка)	от 30 ₽ за сотрудника / мес	до 25 сотрудников
Бизнес — для среднего бизнеса с полным набором функций (ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив, приоритетная поддержка)	от 50 ₽ за сотрудника / мес	минимальная оплата 50 сотрудников — 30 000 ₽ в год
Корпорация — для крупного бизнеса с расширенными требованиями (выделенный сервер, SLA 99.9%, персональный менеджер, API)	По запросу	всё из тарифа Бизнес

Итоговая сумма зависит от численности персонала, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Контроль сроков подписей и реестр доверенностей входят в сервис на тарифе Бизнес — это снижает риск, что чужой или просроченной подписью кто-то воспользуется.

Типичные ошибки, ведущие к ответственности по чужой подписи

На чём чаще всего попадают и во что это обходится.

Ошибка первая — передача токена бухгалтеру или помощнику «для удобства». Делают, чтобы не отвлекаться на рутинное подписание. Цена ошибки — под всеми документами стоит подпись владельца, и за любые действия с ключом, включая вывод денег, отвечает он сам, а не тот, кто реально подписывал.

Ошибка вторая — хранение пин-кода рядом с токеном или на стикере. Делают, чтобы не забыть. Цена — доступ к подписи получает кто угодно, кто доберётся до стола; компрометация ключа и подписание от вашего имени.

Ошибка третья — не отзывать подпись при увольнении сотрудника или потере токена. Откладывают, забывают, не считают важным. Цена — выпущенным сертификатом продолжают подписывать документы, а отвечает владелец; убытки и уголовные риски.

Ошибка четвёртая — делегирование без МЧД. Вместо доверенности просто отдают ключ. Цена — юридически документы подписал владелец со всеми вытекающими, а доказать, что подписывал другой, потом крайне сложно. За время работы сервиса Добыто мы видим эту ошибку постоянно и в проектах сразу выстраиваем делегирование через машиночитаемые доверенности, а не через передачу ключей.

Выводы: ответственность за использование чужой электронной подписи

Использование чужой электронной подписи влечёт уголовную ответственность для того, кто ею воспользовался: мошенничество по статье 159 УК при получении выгоды, неправомерный доступ по статьям 272 и 274.1 УК, ответственность за подделку. При этом владелец сертификата по статье 10 63-ФЗ обязан обеспечивать конфиденциальность ключа, и использование подписи другими лицами не освобождает его от ответственности за последствия. Сначала спрашивают с владельца, а он уже потом разбирается с фактическим подписантом.

Передавать токен нельзя — закон запрещает допускать использование ключа без согласия владельца, а по факту передача означает, что под документом стоит подпись владельца, и отвечает он. Для делегирования полномочий существует машиночитаемая доверенность: уполномоченный подписывает своей подписью и сам несёт ответственность. Граница ответственности владельца — своевременный отзыв подписи: при компрометации нужно в течение одного рабочего дня уведомить удостоверяющий центр и отозвать сертификат, после чего подпись перестаёт работать.

Практический минимум: никогда не передавайте токен и не сообщайте пин-код, храните ключ безопасно, при увольнении сотрудника отзывайте его сертификат и снимайте МЧД, при любом подозрении на компрометацию немедленно отзывайте подпись. Дела Сбера и Винлаб показывают: даже технически валидная подпись не гарантирует исхода спора, если есть сомнения в том, кто и что подписывал, поэтому порядок в выдаче, контроле и отзыве подписей — лучшая защита от чужой ответственности.

Часто задаваемые вопросы

Какая ответственность грозит за использование чужой электронной подписи?

Отдельной статьи именно за использование чужой ЭП в УК нет, но в зависимости от содеянного применяются статья 159 УК (мошенничество при получении выгоды), статьи 272 и 274.1 УК (неправомерный доступ к информации и воздействие на критическую инфраструктуру), а также ответственность за подделку документов. Плюс гражданско-правовая ответственность за причинённые убытки.

Можно ли передать свою электронную подпись другому человеку?

Нет. Статья 10 63-ФЗ обязывает владельца обеспечивать конфиденциальность ключа и не допускать его использование без своего согласия. Даже с согласия передавать токен не следует: под документом будет стоять подпись владельца, и юридически подписал его именно он. Для делегирования используется машиночитаемая доверенность (МЧД), по которой уполномоченный подписывает своей подписью.

Кто отвечает, если документ подписал не владелец, а другой человек?

Использование подписи другими лицами не освобождает владельца от ответственности за неблагоприятные последствия. Поскольку подпись идентифицирует владельца сертификата, обязательства по подписанному документу возникают у него. Сначала последствия наступают для владельца, а он уже потом в порядке регресса разбирается с фактическим подписантом, если сможет доказать, кто это был.

Что делать, если есть подозрение на компрометацию ключа?

По статье 10 63-ФЗ нужно в течение не более чем одного рабочего дня со дня получения информации уведомить удостоверяющий центр и других участников взаимодействия, прекратить использование ключа и отозвать сертификат. После отзыва УЦ включает сертификат в список отозванных, и документы, подписанные после этого, проверку не проходят.

Как правильно отозвать электронную подпись?

Отзыв производится через тот орган, который выдал подпись, — удостоверяющий центр или УЦ ФНС, туда направляется заявление. Удаление сертификата из внутреннего реестра компании отзывом не является: в реестре удалили, а сам сертификат остался действующим, и им можно подписывать. Поэтому отзывать нужно именно через выдавший орган.

Нужно ли отзывать подпись при увольнении сотрудника?

Да. Если на сотрудника был выпущен сертификат, при увольнении его нужно отозвать через выдавший орган, иначе подписью могут продолжить пользоваться. Также проверьте машиночитаемые доверенности: при увольнении сотрудник теряет полномочия по должности, но если МЧД оформлена на физлицо без указания должности, доверенность может остаться действующей — её тоже нужно отозвать.

Чем грозит передача токена бухгалтеру для подписания документов?

Под всеми подписанными документами будет стоять подпись владельца, и юридически подписал их он. За любые действия с ключом, включая вывод денег или фиктивные сделки, отвечает владелец сертификата, а не тот, кто реально подписывал. Правильный путь — оформить МЧД, тогда бухгалтер подписывает своей подписью и сам несёт ответственность за содержимое.

Можно ли в суде доказать, что подписал не ты?

Сложно, но возможно при наличии доказательств. Ссылка на то, что владелец номинальный или не знает, где токен, защитой не является — бремя на владельце. Однако в делах Сбера и Винлаб суды вставали на сторону работников, когда были сомнения в волеизъявлении или в том, какой документ реально подписывался. Помогают доказательства компрометации ключа и своевременный отзыв подписи.

Что такое презумпция авторства электронной подписи?

Это правило, по которому подписавшим документ лицом априори считается владелец сертификата, пока не доказано обратное. Именно поэтому ответственность по умолчанию ложится на владельца. Опровергнуть презумпцию можно, доказав компрометацию ключа, его кражу или порок воли при подписании, но бремя доказывания лежит на том, кто оспаривает свою подпись.

Как защитить подпись от использования посторонними?

Никогда не передавайте токен и не сообщайте пин-код, не храните пин рядом с носителем. Используйте токены с неизвлекаемым ключом — закрытый ключ не покидает память токена и его невозможно скопировать. Делегируйте полномочия только через МЧД. При потере токена или подозрении на компрометацию немедленно отзывайте сертификат через удостоверяющий центр.

Что такое неизвлекаемый ключ и чем он безопаснее?

Неизвлекаемый ключ генерируется внутри криптоядра токена и никогда не покидает его память, поэтому его невозможно скопировать — закрытый ключ рождается, живёт и умирает внутри токена. Это существенно безопаснее извлекаемого ключа, который при работе временно попадает в память компьютера. Неизвлекаемый ключ снижает риск компрометации и, соответственно, риск использования подписи посторонними.

С какого момента владелец не отвечает за подпись после отзыва?

После того как удостоверяющий центр включил сертификат в список отозванных, все документы, подписанные после этого момента, проверку не проходят — подпись считается недействительной. За то, что подписано до попадания в список отзыва, ответственность остаётся на владельце, поэтому отзывать подпись нужно максимально быстро, в течение одного рабочего дня с момента, когда стало известно о компрометации.

Грозит ли ответственность бухгалтеру, подписавшему чужим ключом?

Да. Если бухгалтер или иной сотрудник воспользовался чужим сертификатом и причинил ущерб, он может нести уголовную ответственность — по практике за решёткой оказываются именно доверенные сотрудники и топ-менеджеры, воспользовавшиеся чужой УКЭП. Цифровой след прямой: видно, какой подписью и что подписано. При этом гражданская ответственность за последствия изначально ложится на владельца сертификата.

Большинство историй с ответственностью за чужую подпись начинаются с бардака: токены передают из рук в руки, сертификаты на уволенных висят годами, МЧД никто не отзывает. Порядок в подписях — это не бюрократия, а защита владельца от чужих действий и уголовных рисков. Сервис Добыто организует выдачу, контроль и отзыв подписей так, чтобы каждый документ был подписан тем, кем должен.

За время работы мы подключили более 500 компаний к электронному документообороту по всей стране. Наши специалисты выстраивают делегирование через машиночитаемые доверенности и ведут реестр действующих подписей, чтобы при увольнении или компрометации сразу было видно, что отозвать.

Реестр действующих подписей и доверенностей — видно, у кого что выпущено и до какого числа
Делегирование полномочий через машиночитаемые доверенности (МЧД), а не через передачу ключей
Поддержка токенов с неизвлекаемым ключом — закрытый ключ невозможно скопировать
Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — под любой документооборот
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ

Запросить демо-доступ