Нормативно проблема виникла з появою Закону № 2155*. Він набув чинності 07.11.2018 і замість електронного цифрового підпису (ЕЦП) увів в ужиток кваліфікований електронний підпис/печатку (КЕП) і удосконалений електронний підпис/печатку (УЕП).
* Закон України «Про електронні довірчі послуги» від 05.10.2017 № 2155-VIII.
При цьому був закріплений перехідний період для ЕЦП. Зокрема, ЕЦП, згенеровані до 07.08.2018, можна було використати як КЕП до закінчення строку дії таких ЕЦП, але не пізніше 07.11.2020 (п. 5 розд. VI Закону № 2155).
Тобто, по суті, після 7 листопада 2018 року усі «генератори» електронних підписів у разі видачі КЕП повинні були їх генерувати вже відповідно до вимог Закону № 2155. Проте цього вони не стали робити.
Водночас Мінцифри усіх заспокоювало (див. «Податки & бухоблік», 2020, № 90, с. 28). Вказувало на те, що всі електронні підписи, згенеровані після 7 листопада 2018 року, діють і їх сміливо можна використати.
Фактично ж уся катавасія з електронними підписами спливла в 2019 році. Тоді платники податків стали отримувати квитанції з попередженням про те, що електронний підпис зберігається на незахищеному носії**. Хоча на приймання звітності, вхід в Електронний кабінет (ЕК) та інші моменти це не вплинуло. Поки не вплинуло ☹.
** Див. детальніше в «Податки & бухоблік», 2019, № 44, с. 24.
01.08.2019 «генератор» електронних підписів при ДПС навіть уніс зміни у свій Регламент. Вказав, що електронні підписи не надаються в разі відсутності захищених носіїв у заявника на момент реєстрації (п. 5.3 Регламенту). Утім, цей «генератор» продовжував формувати електронні підписи по-старому: на звичайні флешки і диски, посилаючись спочатку на те, що виробники захищених носіїв не справляються з попитом. А потім приспів експериментальний проєкт (постанова КМУ від 03.03.2020 № 193), який дозволив не перейматися захищеними носіями. Про нього ми ще згадаємо трохи пізніше.
КЕП, УЕП і ЕЦП: у чому різниця?
КЕП — підпис з найвищим рівнем довіри, який базується на кваліфікованому сертифікаті відкритого ключа. Він однозначно прирівнюється до власноручного підпису (ч. 4 ст. 18 Закону № 2155).
КЕП повинен зберігатися в засобі КЕП. Про це говорять п. 17 ч. 1 ст. 1 (визначення «засіб КЕП») і п. 12 ч. 2 ст. 23 (пункт з переліку даних, які мають бути в кваліфікованому сертифікаті відкритого ключа) Закону № 2155.
Що таке засіб КЕП? Це пристрій або програма (ПЗ), які відповідають вимогам Закону № 2155. Причому така відповідність повинна підтверджуватися спеціальним документом (ч. 3 ст. 19 Закону № 2155).
До пристроїв, у яких може зберігатися КЕП, на сьогодні можна віднести токен (спеціальні флешки або смарт-картки), а до ПЗ, по суті, — хмарні сервіси
УЕП — підпис з трохи меншим рівнем довіри і «розслабленішими» вимогами до зберігання (у порівнянні з КЕП). Підтверджує цілісність документа, а також те, що особистий ключ пов’язаний з тим, хто підписав документ. УЕП може зберігатися на звичайній флешці, жорсткому диску комп’ютера, CD-диску тощо.
Якщо порівнювати ці два види підписів з ЕЦП, то за рівнем довіри він схожий на КЕП, а ось за вимогами до зберігання, як ви вже напевно зрозуміли, — на УЕП.
Також як експеримент вигадали гібрид — удосконалені електронні підписи, які базуються на кваліфікованих сертифікатах (про нього ми вже говорили вище). Простіше кажучи, це ті ж КЕП, але на звичайних флешках. Їх можна використати замість повноцінних КЕП, але тимчасово. Планувалося, що цей експеримент завершиться 5 березня. Проте, за інформацією Мінцифри, КМУ продовжив його дію до 31 березня 2022 року (thedigital.gov.ua/news/uryad-ukhvaliv-zmini-do-postanovi-shchodo-vikoristannya-elektronnogo-pidpisu-na-zakhishchenomu-nosii).
Коли КЕП, а коли — УЕП
Загальне правило встановлене, по суті, у ч. 2 ст. 17 Закону № 2155. Через кваліфіковані довірчі послуги відбувається взаємодія юр- і фізичних осіб, якщо це:
— обмін електронними даними, паперові аналоги яких повинні мати власноручний підпис, а відправлення, отримання, використання і постійне їх зберігання відбуваються за участю третіх осіб;
— вхід в електронні системи, у яких обробляються вказані вище дані і володільцями інформації в яких є держоргани, органи місцевого самоврядування, держпідприємства, установи та організації.
Але зобов’язані використовувати КЕП держоргани, органи місцевого самоврядування, держпідприємства, нотаріуси та ін.
У зв’язку з цим ще раз нагадаємо:
— електронний підпис вважається КЕП, якщо він зберігається на спецносії (токен, хмарний сервіс);
— є альтернативні типи підписів: УЕП та експериментальний гібрид ☺;
— КЕП прирівнюється до експериментального гібрида (тимчасово).
Тепер поговоримо про головні сфери.
Звітність/ПН і РК/вхід в ЕК. У ПКУ прямо встановлено, що підписання звітності (п.п. 48.5.1), ПН і РК (п. 201.1), вхід в ЕК (п. 421.2) відбуваються за допомогою КЕП.
Більше того, Порядок № 557*** це тільки підтверджує. Зокрема, там вказано, що автоматизована перевірка електронного документа включає перевірку статусу КЕП відповідно до ч. 2 ст. 18 Закону № 2155. У свою чергу, у цій нормі говориться: КЕП вважається таким, що пройшов перевірку, якщо за допомогою кваліфікованого сертифіката отримано підтвердження того, що особистий ключ зберігається в засобі КЕП.
Тобто
після закінчення експерименту (за інформацією Мінцифри — до 31 березня)говоримо про КЕП (тобто підпис, який зберігається на токені або у хмарному сервісі)
Але це поки! Адже можуть відбутися зміни. Та й раніше на ці норми якось ніхто уваги не звертав.
До речі, фіскали вже зараз дають консультації про те, що після 5 березня КЕП повинен зберігатися на захищеному носії (тобто на тому самому засобі КЕП). Принаймні саме таку відповідь вони нам дали в Телеграм-боті «Контакт-центр Державної податкової служби України» (@DPS_ContactCenter_bot). Також податківці повідомили про готовність приймати документи та авторизувати в ЕК платників з КЕП, що зберігаються як на токенах, так і в хмарних сервісах****.
**** Див. за посиланням: tax.gov.ua/media-tsentr/novini/574888.html
ПРРО. Тут нічого не повинно змінитися. Адже уся РРОшно-ПРРОшна нормативка говорить про те, що можна використовувати як КЕП, так і УЕП. Більше того, у абз .6 п. 7 ст. 3 Закону про РРО***** прямо так і вказано: застосування УЕП є достатнім для використання в ПРРО.
Це означає, що для зберігання електронного підпису, який використовується у ПРРО, захищені носії (наприклад, токени) не обов’язкові!
е-ТТН. Тут усе неоднозначно. У п. 11.1 Правил перевезень вантажів автомобільним транспортом в Україні, затверджених наказом Мінтрансу від 14.10.97 № 363, вказано лише, що в е-ТТН ставиться електронний підпис. Без якихось уточнень щодо його виду з посиланням на Закон № 2155.
Водночас там є слизька норма ч. 2 ст. 17 Закону № 2155 (див. вище), яка, вважаємо, опосередковано вказує на необхідність використання КЕП. Принаймні в майбутньому, коли повноцінно запрацює Електронний реєстр е-ТТН для усіх без винятку електронних ТТН.
Портал «Дія». Для входу на портал після закінчення експерименту КЕП (який, відповідно, зберігається на хмарному сервісі або токені) все-таки знадобиться. Виходячи з повідомлення про обробку персональних даних (diia.gov.ua/app_policy), власником персональних даних, які обробляються за допомогою порталу, є Мінцифри, а власниками персональних даних користувачів, які зберігаються в різних держреєстрах, — держоргани та органи місцевого самоврядування, визначені законодавством (тобто, очевидно, ідеться про держателів цих інфосистем). А це вписується в ч. 2 ст. 17 Закону № 2155 (див. вище). Але сподіваємося на лояльніше трактування нормативки з боку держателів порталу.
Що тепер робити?
1. Перевірте статус вашого електронного підпису. Для цього можна підписати документ вашим електронним підписом і підвантажити його, наприклад, на сайт Центрального засвідчувального органу за посиланням: czo.gov.ua/verify
Після обробки файлу будуть показані дані електронного підпису. Вас мають цікавити графи «Тип носія особистого ключа» і «Тип підпису». Якщо вказано, що носій захищений, а тип підпису — кваліфікований, то хвилюватися взагалі не треба. Якщо ж вказано, що носій незахищений та/або тип підпису — удосконалений, то тут усе залежить від того, для чого ви його використовуєте і чи готові ризикнути.
Ризикнути, нічого не роблячи, — означає почекати, поки відкладуть ідею з обов’язковим переходом на КЕП, що зберігається виключно у хмарі або на токені.
Або ж нічого не робити через те, що електронний підпис використовується, наприклад, для ПРРО. Тобто вам достатньо УЕП.
2. Якщо ви вирішили перейти на токен, то доведеться згенерувати нові сертифікати для електронних підписів, але вже на цю спецфлешку або смарт-картку. Річ у тому, що просте перекидання діючих електронних підписів на токени не робить їх КЕП, які зберігаються на захищених носіях. У сертифікаті відкритого ключа «зашите» те, на якому носії знаходиться підпис (п. 12 ч. 2 ст. 23 Закону № 2155). А таке перекидання дані в ньому не змінить. Це підтверджують і податківці (БЗ 301.02).
Як альтернативою замість токена можна скористатися генерацією ключів на хмарних сервісах. Уже зараз, наприклад, в ЕК можна зайти за допомогою хмарних сервісів SmartID (ПриватБанк), CloudKey (ЦСК «Україна»), DepositSign, а також Дія.Підпис.
До речі, перегенерувати сертифікати можна і дистанційно
Так, якщо у вас електронний підпис від податківців, то можна скористатися послугою повторного (дистанційного) формування сертифікатів за електронним запитом (детальну інструкцію див. за посиланням: acskidd.gov.ua/manage-certificates). Проте у платника при цьому:
— мають бути діючі сертифікати (наприклад, до закінчення строку дії сертифікатів залишилося декілька днів);
— реєстраційні дані не змінювалися (тобто П. І. Б., реєстрація місця проживання фізичної особи, код ЄДРПОУ юрособи тощо);
— особистий ключ доступний тільки користувачеві і не є скомпрометованим.
Зверніть увагу: після анулювання попереднього сертифіката відкритого ключа керівника договір про визнання електронних документів з податківцями теж припиняється (п. 5 розд. ІІІ Порядку № 557). Але ніяких заяв про приєднання направляти фіскалам не треба. На сьогодні ці заяви скасовані, і перший відправлений платником документ із новим підписом вважатиметься переукладенням цього договору (п. 1 розд. ІІІ Порядку № 557).
Єдиний виняток — ситуація, коли ви направляли раніше повідомлення про подання інформації щодо КЕП. Його використовують, щоб повідомити про електронні підписи осіб, яким делеговано право підпису електронних документів від імені платника податків. У випадку зі зміною КЕП доведеться наново відправити таке повідомлення (виходячи з п. 5 розд. ІІІ Порядку № 557).
