Потеряли токен? Мошенники уже оформляют на вас кредит. Инструкция: как защитить электронную подпись и отозвать сертификат

Электронная подпись стала обычным рабочим инструментом: с ней сдают отчётность, подписывают договоры, заверяют заявления, работают с документами в ЭДО, подтверждают действия на Госуслугах и в корпоративных сервисах. Ошибка с подписью быстро превращается в юридическую проблему. Потерянный токен, известный постороннему PIN-код, копия ключа на чужом компьютере или взломанный аккаунт для облачной подписи могут привести к документам и заявлениям, которые владелец ключа не подписывал.

Для большинства внешних юридически значимых процессов самый чувствительный вариант — усиленная квалифицированная электронная подпись, УКЭП. Ею подтверждают отчётность, сделки, банковские операции и действия в государственных системах. На 12 мая 2026 года для руководителей компаний и ИП особенно важны два правила: не передавать свою подпись сотрудникам и использовать машиночитаемые доверенности, когда документы подписывает представитель.

Разделим понятия. В работе с усиленной электронной подписью участвуют три элемента: закрытый ключ создаёт подпись, ключ проверки позволяет проверить электронную подпись, сертификат ключа проверки связывает этот ключ с владельцем. Если доступ к закрытому ключу получает посторонний, риск сразу становится реальным: могут появиться подписанные документы, заявления и другие действия, которых владелец ключа не совершал.

Показательный пример есть в судебной практике. В феврале 2025 года Красноярский краевой суд оставил в силе приговор бывшему главному бухгалтеру частного детдома по делу о хищении 41,1 млн рублей. Женщина формировала платёжные поручения, подписывала документы чужой электронной подписью и списывала деньги под видом авансовых отчётов и зарплаты, как сообщил ТАСС со ссылкой на прокуратуру.

Какая подпись у вас

Разные разделы этой статьи касаются разных ситуаций. Чтобы не читать всё подряд:

• Руководитель организации или ИП — УКЭП от УЦ ФНС. Передавать нельзя никому. Разделы про токены, компрометацию и отзыв — для вас.
• Сотрудник, подписывающий документы от имени компании — КЭП физлица плюс МЧД. Разделы про хранение ключа и облачную подпись — для вас.
• Физлицо — неквалифицированная подпись из личного кабинета ФНС или Госключ. Раздел про облачную подпись и FAQ — для вас.
• Все — раздел «Что не делать после инцидента» и порядок действий при компрометации.

Что именно нужно защищать

Закрытый ключ хранят по-разному. Более безопасный вариант для повседневной работы — защищённый токен или смарт-карта с PIN-кодом, где ключ создаётся и используется внутри носителя. Менее удачный путь — программный контейнер на компьютере. Совсем плохой вариант — копия ключа на обычной флешке, в папке на диске, в облаке или в почте. Такое хранение удобно только до первого инцидента.

Отдельный случай — облачная и мобильная подпись. В разных сервисах удалённой подписи модели хранения ключа отличаются: он может находиться в приложении, на защищённом элементе устройства или в инфраструктуре оператора сервиса. Пользователь не носит USB-токен, но риск никуда не исчезает: защищать нужно аккаунт Госуслуг, смартфон, код разблокировки, SIM-карту, резервные способы входа и устройство, на котором подтверждается подпись.

Минимальный набор, который снижает риск:

• хранить ключ на защищённом носителе с PIN-кодом, если рабочая система поддерживает такой вариант;
• генерировать ключ сразу на токене, если нужна неизвлекаемость, — а не импортировать готовый контейнер из файла;
• сменить PIN, если на носителе остались заводские значения;
• не хранить копии ключа на обычной флешке, в мессенджере, в почте или на рабочем столе;
• не передавать токен, PIN, пароль контейнера и коды подтверждения другому человеку — даже бухгалтеру, коллеге или системному администратору;
• не оставлять компьютер с подключённым токеном без блокировки;
• для облачной подписи включить надёжную защиту аккаунта, заблокировать лишние сеансы и не подтверждать подпись с чужого смартфона.

Что считается компрометацией

Компрометация начинается не только после доказанной кражи. Закон № 63-ФЗ обязывает прекратить использование усиленной подписи при наличии оснований полагать, что конфиденциальность ключа нарушена, и уведомить удостоверяющий центр в течение не более одного рабочего дня с момента получения такой информации.

Частые признаки компрометации:

• токен потеряли или невозможно понять, где носитель находился несколько часов или дней;
• PIN-код узнал другой человек;
• ключ копировали на чужой или сомнительный компьютер;
• программный контейнер лежал на флешке, в облаке, в почте или в общей папке;
• на рабочем месте обнаружили вредоносное ПО или следы несанкционированного доступа;
• от имени владельца уже ушли документы, которые владелец не подписывал;
• токен изымали, передавали в сервис или подключали к чужому ПК без контроля владельца;
• для облачной подписи взломали аккаунт Госуслуг, почту, смартфон или резервный номер телефона.

Подпись часто теряют не из-за сложной атаки, а из-за обычной небрежности. Директор отдаёт токен бухгалтеру вместе с PIN-кодом, сотрудник хранит пароль в заметках, носитель лежит в ящике стола, а ключевой контейнер копируют на флешку «на всякий случай». Формально работать проще. На практике владелец уже не контролирует инструмент, которым можно подписать документ от имени компании.

Как защитить подпись в обычной работе

Безопасность подписи начинается с носителя. Если ключ создаётся внутри активного токена или смарт-карты и помечается как неизвлекаемый, компьютер получает только результат криптографической операции. Сам ключ не копируется в память ПК и не превращается в папку с файлами. Для таких задач используют сертифицированные аппаратные носители — например, Рутокен ЭЦП 3.0 или JaCarta-2 PKI/ГОСТ, если ключ генерируется на носителе, а не импортируется готовым контейнером. Важный нюанс: неизвлекаемость работает только при условии, что ключ изначально создан на устройстве. Импортированный контейнер этой защиты не даёт.

PKCS#11 в такой схеме работает не как «флешка для ключа», а как интерфейс к криптографическому устройству. Приложение вызывает операцию подписи, токен выполняет операцию внутри себя, а атрибуты вроде CKA_EXTRACTABLE=false запрещают экспорт закрытого ключа. Программный контейнер в КриптоПро CSP на диске, флешке или в реестре Windows работает иначе: секретный материал оказывается в среде ОС, а безопасность сильнее зависит от пароля контейнера, прав пользователя, состояния компьютера и отсутствия вредоноса.

Для рабочих мест, где подписывают документы, важны несколько проверяемых настроек:

1. Генерировать ключ сразу на аппаратном носителе — а не импортировать контейнер из файла.
2. Проверить, не остались ли копии контейнера в реестре Windows, на съёмном диске, в профиле пользователя или в резервных папках.
3. Включить сложный PIN-код и ограничение попыток ввода, если модель токена и управляющая утилита поддерживают такую настройку.
4. Не давать пользователю с подписью постоянные права локального администратора на рабочей станции.
5. Держать обновлёнными ОС, КриптоПро CSP, драйверы токена, браузерные плагины и антивирус или EDR.
6. Запретить постоянный удалённый доступ к рабочему месту подписи через AnyDesk, RDP и похожие инструменты без отдельного контроля.
7. Сохранять журналы входа в систему, операций в ЭДО, банк-клиенте и корпоративных сервисах, где используется подпись.
8. Для облачной подписи регулярно проверять активные сеансы, устройства, способы восстановления доступа и уведомления о входе.

Если подпись используют в компании, роли лучше развести заранее. Руководитель не должен отдавать свой ключ сотруднику со словами «подпиши там всё, что нужно». Правильный путь — выпустить сотруднику личную КЭП физического лица и оформить машиночитаемую доверенность. С 1 сентября 2024 года это обязательный порядок для представителей юрлиц и ИП при электронном взаимодействии: представитель подписывает документы своей КЭП физлица, а полномочия подтверждает приложенная МЧД — в системе видно, кто именно совершил действие и на каком основании.

Что делать сразу после подозрения на компрометацию

Если есть подозрение, что ключ узнали посторонние или владелец потерял контроль над носителем, подписью пользоваться уже нельзя. Следующий шаг — как можно быстрее отозвать сертификат. Закон № 63-ФЗ обязывает уведомить удостоверяющий центр и других участников электронного взаимодействия в течение не более одного рабочего дня с момента получения информации о проблеме. В тот же срок стоит предупредить контрагентов, операторов ЭДО, банк, ИТ-службу и сервисы, где подпись могла использоваться.

Практический порядок действий:

1. Немедленно прекратить использование подписи.
2. Связаться с удостоверяющим центром и подать заявление на отзыв сертификата.
3. Через Госуслуги проверить, доступен ли отзыв для конкретного сертификата. Способ работает не для всех УЦ.
4. Если УКЭП руководителя или ИП выдана УЦ ФНС — проверить личный кабинет юридического лица или ИП. Порядок отзыва нужно сверять с актуальным регламентом УЦ ФНС и конкретным способом выпуска сертификата. Если действующей подписью уже нельзя подписать заявление — обращаться в налоговый орган или к доверенному лицу УЦ ФНС.
5. Если речь идёт о неквалифицированной электронной подписи физлица, выпущенной в личном кабинете ФНС: «Профиль» → «Настройки профиля» → «Электронная подпись» → «Отозвать».
6. Сообщить контрагентам, оператору ЭДО, бухгалтерии, ИТ-службе и системам, где подпись использовалась.
7. Проверить, не были ли отправлены документы, платёжные поручения, заявления или доверенности без ведома владельца.
8. Для облачной подписи сменить пароль аккаунта, завершить чужие сеансы, проверить привязанные устройства и заблокировать потерянный смартфон или SIM-карту.
9. До переустановки системы или удаления контейнеров — сохранить журналы ЭДО, банк-клиента и корпоративных сервисов. Это доказательная база для разбора инцидента.

Отдельно нужно проверить созданные МЧД: через скомпрометированную УКЭП руководителя могли оформить полномочия представителю, и тогда дальнейшие действия пойдут уже от имени «легального» доверенного лица. Также стоит проверить изменения банковских реквизитов, новых получателей платежей и шаблоны платёжных поручений.

Что не делать после инцидента

• Не подписывать заявление об отзыве тем же ключом, если есть подозрение на компрометацию и регламент УЦ допускает другой путь.
• Не форматировать рабочую станцию до выгрузки журналов событий.
• Не выпускать новый сертификат на том же компьютере, если он был заражён вредоносным ПО.
• Не ограничиваться сменой PIN на носителе, который уже мог побывать у посторонних.

Где и как отзывать сертификат

Единого пути для любой подписи нет — всё зависит от того, где выпустили сертификат. Через Госуслуги можно проверить доступность отзыва для конкретного сертификата. Если удостоверяющий центр подключён к сервису, в профиле появляется нужное действие. По закону № 63-ФЗ УЦ обязан внести сведения об отзыве в реестр в течение 12 часов с момента наступления обстоятельств или с момента, когда УЦ узнал или должен был узнать о них. Сертификат прекращает действие именно с момента внесения этой записи. Если нужного варианта в Госуслугах нет — обращаться напрямую в удостоверяющий центр, выпустивший сертификат.

Для коммерческих удостоверяющих центров порядок зависит от регламента конкретного УЦ: личный кабинет, заявление через оператора ЭДО, бумажное заявление, личный визит или подписание заявления другой действующей КЭП. При компрометации не стоит подписывать заявление тем же ключом, который требуется отозвать, если регламент УЦ допускает другой способ.

Для КЭП руководителей организаций и ИП, выпущенных УЦ ФНС, порядок отзыва нужно сверять с актуальным регламентом УЦ ФНС. Дистанционные действия, как правило, требуют доступа к личному кабинету и действующей подписи. Если токен потерян, PIN известен посторонним или действующей подписью нельзя заверить заявление — безопаснее обращаться в налоговый орган, оказывающий услугу по выпуску квалифицированных сертификатов, либо к доверенному лицу УЦ ФНС.

Если речь идёт о неквалифицированной электронной подписи физлица, выпущенной в личном кабинете ФНС, путь другой: «Профиль» → «Настройки профиля» → «Электронная подпись» → «Отозвать». После отзыва пользователь формирует новый сертификат и задаёт новый пароль.

Отзыв сертификата не отменяет уже совершённые действия. Он останавливает дальнейшее использование подписи с момента внесения записи в реестр. Документы, подписанные до этого момента, придётся разбирать отдельно — по журналам событий, участникам обмена и самим документам.

Что делать после отзыва

После отзыва начинается вторая часть работы. Нужно понять, как произошёл инцидент, и зафиксировать его документально: акт о потере носителя или служебная записка, письменные уведомления контрагентов, выгрузки журналов из ЭДО, банк-клиента и корпоративных кабинетов. Для бизнеса такая доказательная база часто важнее красивого чек-листа.

Если токен потеряли — зафиксировать потерю внутри компании и выпустить новый сертификат. Если PIN стал известен другому человеку — простой смены PIN недостаточно: ключ считается скомпрометированным, нужен отзыв и выпуск нового. Если ключ копировали на компьютер — машину нужно проверить на вредоносное ПО, а новый сертификат выпускать только на заведомо чистом рабочем месте.

Для программного контейнера смена пароля помогает только до компрометации. Если контейнер уже скопировали, новый пароль на исходном рабочем месте не защитит копию, которая могла остаться у посторонних. Безопасный вариант один: отзыв сертификата, выпуск нового ключа и удаление всех старых копий.

Дальше полезно обновить внутренние правила. Многие инциденты с подписью начинаются не с редкой уязвимости, а с фразы «у нас всегда так работало». После такой фразы обычно и выясняется, кто ночью подписал документ из учётной записи директора.

FAQ

Можно ли передать свою электронную подпись бухгалтеру или юристу?

Нет. Передавать сам ключ, токен, PIN или пароль контейнера другому человеку нельзя. Правильный вариант — выпустить сотруднику личную КЭП физического лица и оформить МЧД. Тогда сотрудник подписывает документы своей КЭП физлица, а полномочия подтверждает машиночитаемая доверенность.

Если потерял токен, но PIN никто не знает, нужно отзывать сертификат?

Безопасный и, как правило, правильный путь — отозвать. Закон обязывает прекратить использование ключа при наличии оснований считать конфиденциальность нарушенной; потеря носителя обычно даёт такое основание, поскольку доказать отсутствие чужого доступа к носителю почти невозможно. После отзыва — выпустить новый сертификат.

Можно ли просто сменить PIN-код и продолжить работу?

Только в качестве профилактики, когда ключ точно не выходил из-под контроля. Если PIN уже узнал посторонний, токен пропадал, компьютер был заражён или программный контейнер могли скопировать — смена PIN или пароля проблему не решает. В такой ситуации нужен отзыв сертификата и выпуск нового ключа.

Удостоверяющий центр может восстановить забытый пароль или PIN?

Как правило, нет: УЦ не хранит такие секреты в виде, который можно вернуть владельцу. Конкретный порядок зависит от носителя, СКЗИ и регламента УЦ. На практике забытый PIN или пароль чаще всего заканчивается перевыпуском сертификата и форматированием носителя. Для неквалифицированной подписи физлица в личном кабинете ФНС путь к отзыву обычно выглядит так: «Профиль» → «Настройки профиля» → «Электронная подпись» — но интерфейс обновляется, поэтому перед действием лучше сверить навигацию с актуальной версией сайта nalog.gov.ru.

Что безопаснее: токен с неизвлекаемым ключом или программный контейнер?

Для важных рабочих процессов безопаснее токен или смарт-карта, где ключ генерируется внутри носителя и не экспортируется. Программный контейнер проще настраивать, но риск выше: контейнер можно скопировать, оставить на диске, перенести на флешку или потерять вместе с заражённым рабочим местом. При этом неизвлекаемость аппаратного носителя работает только если ключ был сгенерирован на устройстве — импортированный контейнер этой защиты не даёт.

Как понять компрометацию облачной подписи?

Для облачной подписи опасны не только кража ключа, но и взлом аккаунта, смартфона или способа подтверждения. В разных сервисах ключ может храниться в приложении, на защищённом элементе устройства или в инфраструктуре оператора — модель угроз у каждого варианта своя. Если посторонний получил доступ к Госуслугам, почте, SIM-карте, приложению подписи или разблокированному телефону — нужно прекратить подписание, проверить активные сеансы, сменить пароли, заблокировать чужие устройства и отозвать сертификат по регламенту сервиса.