В Казахстане ужесточено наказание за использование чужой электронной цифровой подписи (ЭЦП). Теперь штрафуют не только тех, кто передал свою ЭЦП, но и тех, кто ею воспользовался. Хотя нововведение действует почти месяц, у общества остается множество вопросов, заявляют на inbusiness.kz.

Иллюстративное фото

Особенно обеспокоены бухгалтеры и представители аутсорсинговых компаний, поскольку в малом и среднем бизнесе часто практикуется передача ЭЦП для ведения бухгалтерского учета, сдачи отчетности и кадрового делопроизводства. Теперь эта практика может привести к штрафам — даже для тех, кто действует в рамках своих должностных обязанностей.

В январе 2025 года в Кодекс об административных правонарушениях были внесены изменения, которые напрямую касаются ответственности за использование чужой ЭЦП. Поправки затронули статью 640, уточнив и расширив спектр наказаний.

Если раньше законодательство предусматривало ответственность только за передачу своей электронной цифровой подписи третьим лицам, то теперь санкции грозят и за использование чужой подписи. Иными словами, под административное наказание попадают не только те, кто отдал свою ЭЦП, но и те, кто решил ею воспользоваться. Это новшество вступило в силу с 13 марта 2025 года.

Размер штрафов зависит от статуса нарушителя. Так, физические лица могут быть оштрафованы на 50 месячных расчетных показателей (МРП). Для должностных лиц, малого бизнеса и некоммерческих организаций штраф составит 100 МРП. Представители среднего бизнеса заплатят 150 МРП, а крупные компании — уже 200.

При этом важно понимать: само по себе наличие чужой ЭЦП на компьютере или в базе компании не считается нарушением, отмечает налоговый эксперт Айжан Балакешова. Ключевой момент — это именно факт использования подписи. Административная ответственность наступает только при наличии доказательств, что электронная подпись действительно применялась для подписания документа без согласия ее владельца.

Новые нормы направлены прежде всего на предупреждение финансовых правонарушений и защиту государственных средств, а не на массовое преследование пользователей ЭЦП. Об этом заявила эксперт Айжан Балакешова, подчеркнув превентивный характер принятых поправок.

"Это не говорит о том, что сейчас весь Казахстан начнут штрафовать и компьютеры каждого начнут проверять. Естественно, нет. Данная норма необходима, когда происходят определенные хищения, особенно с бюджета, когда антикоррупционная служба проводит проверку, прокуратура, ревизионная комиссия, когда есть жалобы, когда есть факты, доказательства того, что использована ваша ЭЦП чужим лицом. В этом случае будет применяться эта мера. Это обоюдная ответственность. Сама по себе, как мера, она очень хороша в рамках конкретного разбирательства, в рамках хищения и преступления. Естественно, никто не придет и не откроет ваш компьютер и не увидит — даже если у вас найдут 10 чужих ЭЦП, это не будет означать, что вы их используете. Наличие ЭЦП не говорит об использовании. В статье 640, пункт 6, прописано именно использование ЭЦП. Факт использования необходимо доказать. Поэтому не нужно паниковать, не нужно переживать", — отмечает эксперт.

Официальную позицию регулятора озвучил глава комитета по информационной безопасности министерства цифрового развития, инноваций и аэрокосмической промышленности РК Руслан Абдикаликов. По его словам, ведомство не планирует внедрять специальные механизмы мониторинга использования электронных подписей.

"Цель поправок — установление справедливой обоюдной ответственности в случае выявления нарушений, а не создание системы тотального контроля", — подчеркнул Абдикаликов.

Однако юридическое сообщество высказывает определенные опасения относительно будущего применения данных норм. Руководитель юридической компании Индира Умурзакова указывает на потенциальные риски расширения системы контроля.

"Хотя сегодня централизованный сбор данных о неправомерном использовании ЭЦП не ведется, ситуация может измениться", — считает юрист.

В качестве примера Умурзакова приводит портал Artsport, где с 19 марта 2025 года внедряется система искусственного интеллекта для выявления случаев использования чужих цифровых ключей. Портал планирует передавать информацию о нарушителях в министерство цифрового развития.

"Подобные технологии могут получить более широкое распространение на других платформах, использующих электронную подпись", — предупреждает Индира Умурзакова.

В условиях, когда ужесточается ответственность за использование чужой цифровой подписи, казахстанцам — как обычным гражданам, так и представителям бизнеса — важно не просто понимать суть изменений, но и грамотно выстроить свою стратегию поведения. Юрист Индира Умурзакова подчеркивает: времени на раскачку нет. Уже сейчас внедряются технологии, способные выявлять подмену пользователей ЭЦП, а данные о нарушениях передаются в министерство цифрового развития для последующего разбирательства.

Ошибкой, по ее словам, будет надеяться на то, что ничего не произойдет. Отказ от каких-либо изменений и сохранение старых практик — это путь к штрафам и, возможно, к более серьезным последствиям. Достаточно, чтобы кто-то подал жалобу или началась плановая проверка, и факт незаконного использования ЭЦП может быть легко установлен.

Не менее опасным выглядит и другой распространенный подход: попытка узаконить передачу ключа. Некоторые компании оформляют доверенности, приказы, изменения к трудовым договорам, где черным по белому указано, что один сотрудник передает свои ключи другому. Все это, предупреждает Умурзакова, не имеет никакой юридической силы. Закон однозначен: ЭЦП — персональный инструмент, аналог живой подписи. Передавать его нельзя ни при каких обстоятельствах, даже если об этом написано в приказе по предприятию или документе, заверенном нотариусом.

"Пункт 2 статьи 10 Закона „Об электронном документе и электронной цифровой подписи“ ясно говорит: закрытые ключи ЭЦП не могут быть переданы другим лицам. Государство приравнивает цифровую подпись к вашей рукописной. А значит, пользоваться чужой ЭЦП — это то же самое, что расписываться за другого человека. И это уже может квалифицироваться как подделка подписи с соответствующими правовыми последствиями — вплоть до уголовных", — поясняет спикер.

Тем, кто действительно хочет избежать рисков и при этом продолжать делегировать полномочия, стоит воспользоваться единственно верным способом — передавать не сам ключ, а право подписи. Разница принципиальна. Владелец ЭЦП остается при своих цифровых ключах, но может юридически оформить полномочия другому человеку на подписание определенного круга документов. Такая модель легальна и соответствует требованиям законодательства.

Например, руководитель компании вправе поручить своему бухгалтеру подписание налоговых отчетов. В этом случае отчет будет подписан ЭЦП бухгалтера, но на основании оформленного полномочия. И ни у одного контролирующего органа не возникнет вопросов. Аналогичный подход применим и в других случаях: от кадровых документов до внешних юридических соглашений — все зависит от корректного юридического оформления и ограничения рамок полномочий.

Однако важно понимать: правовая схема сама по себе недостаточна. Делегирование должно быть обеспечено и технически — через соответствующие настройки доступа, регистрацию в системах и разграничение ролей. Только при сочетании этих двух блоков — юридического и технического — система будет работать корректно и не вызовет претензий со стороны государства.