• Посилання скопійовано

Купувати токени чи ні: коментар юриста для власників ЕЦП

ДФС надсилає платникам податків, які здають звітність та реєструють ПН/РК в електронному вигляді попередження, що ключі до їх ЕЦП розміщені на незахищеному носії. Захищеним вважається токен. Але насправді в законодавстві немає норми, яка б змушувала всіх платників податків купувати саме токени

Купувати токени чи ні: коментар юриста для власників ЕЦП

Хто ж має зберігати ключі до ЕЦП саме на токенах, а хто - ні? Точку зору тих, хто такі ЕЦП створює, ми вже дізнались, а тепер – коментар від юриста.

 

Токени і збереження ключів ЕЦП

Нагадаємо, що 7 листопада 2018 року набрав чинності Закон про електронні довірчі послуги. Серед іншого, цей Закон замінив терміни, які застосовувались до цього: електронний підпис на кваліфікований електронний підпис, а сертифікат відкритого ключа на кваліфікований сертифікат. І з цього все почалось.

Цей Закон вперше заговорив про:

  • засоби кваліфікованого електронного підпису чи печатки, тобто апаратно-програмні або апаратні пристрої чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення кваліфікованого електронного підпису чи печатки, та/або перевірки кваліфікованого електронного підпису чи печатки, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки, які відповідають вимогам цього Закону;
  • та засоби кваліфікованого електронного підпису чи печатки, які мають вбудовані апаратно-програмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, від безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання

В останньому випадку мова йде про токени. Адже саме вони не лише зберігають, а і захищають особистий ключ до ЕЦП. Про це ми писали тут>>

Продавці токенів переконують платників податків, що токени потрібні обов’язково всім. Але насправді у Законі про застосування таких засобів говориться лише один раз.

У ч. 2 ст. 17 Закону вказано:

«Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, державні реєстратори, нотаріуси та інші суб’єкти, уповноважені державою на здійснення функцій державного реєстратора: для засвідчення чинності відкритого ключа використовують лише кваліфікований сертифікат відкритого ключа, а для реалізації повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов’язків фізичної або юридичної особи відповідно до закону, застосовують виключно засоби кваліфікованого електронного підпису чи печатки, які мають вбудовані апаратно-програмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, від безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання».

При цьому в Законі зазначається, що і  вимоги до надання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток, а також порядок перевірки їх дотримання (ч. 6 ст. 18) , і вимоги до засобів кваліфікованого електронного підпису чи печатки (ч. 3 ст. 19) встановлюються Кабінетом Міністрів України.

І відповідна постанова КМУ була видана від 07.11.2018 р. № 992. В ній чітко зазначено, на якому саме носії повинні зберігатися ключі до ЕЦП тих осіб, які надають електронні довірчі послуги. І це на сьогодні токени – адже відповідні пристрої повинні використовуватись при генерації цих ключів і забезпечити неможливість  доступу до них ззовні (п. 25 Вимог у сфері електронних довірчих послуг).

Що ж до ключів ЕЦП, які генерують надавачі цих послуг споживачам, то такої вимоги в цій постанові не зазначено. Вимоги до ЕЦП в цій постанові є, але до них ми ще повернемось далі.

Тобто, виходить, що обов’язок із застосування токенів встановлено не для всіх, хто має ЕЦП, але  лише для цих 5 категорій суб’єктів. Отже, для приватного сектору економіки, купляти токени – це право, а не обов’язок.

 

Токени і ДФС

Далі 22 травня 2019 року набрав чинності Закон №2725, яким норми ПКУ приведено у відповідність до Закону про електронні довірчі послуги.

І тут вже стало цікавіше, адже продавці токенів стали стверджувати, що без них ДФС не прийматиме  податкову звітність. Тим більше, що до платників податків, які зараз відправляють до ДФС документи в електронному вигляді стали надходити попередження, про які ми писали тут>> 

При цьому до ПКУ були внесені наступні зміни:

  • Згадки про  Закон про електронний цифровий підпис, що втратив чинність, замінили на Закон про електронні довірчі послуги;
  • Замість «електронний підпис» – «кваліфікований електронний підпис», а  замість «послуги електронного цифрового підпису» тепер зазначаються «кваліфіковані електронні довірчі послуги».

Були внесені зміни в ПКУ і щодо токенів (хоча цей термін ані в Законі, ані в ПКУ чітко не згадується).

Раніше, за пп. 42-1.2 ПКУ, документ, що підтверджує стан розрахунків платника формувався просто із накладанням електронного підпису посадової особи контролюючого органу.

Після змін, на цей документ накладається кваліфікований електронний підпис посадової особи контролюючого органу із застосуванням засобів кваліфікованого електронного підпису чи печатки, які мають вбудовані апаратно-програмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, від безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання.

Тобто, ПКУ передбачає використання токенів, але встановлює такий обов’язок для посадових осіб ДФС.

 

Токени і податкова звітність

Так що там із поданням податкової звітності? Про це було внесено ще одне важливе уточнення в ПКУ. Раніше, згідно з п. 49.3 ПКУ, єдиною підставою для відмови у прийнятті податкової декларації було недійсність ЕЦП. Тепер окрім недійсності кваліфікованого електронного підпису додали ще недійсність печатки.

 

Чи є десь визначення, що таке недійсність кваліфікованого ЕЦП?

Наприклад, в абз. 3 п. 42-1.5 ПКУ вказано: Єдиною підставою для відмови у проходженні електронної ідентифікації платника податків в електронному кабінеті є недійсність кваліфікованого електронного підпису такого платника податків, у тому числі у зв’язку із закінченням строку дії відповідного сертифіката відкритого ключа.

Тобто, одна з підстав недійсності КЕП – це закінчення строку дії сертифіката. Але вона не єдина. Аналогічна норма міститься в абз. 5 п. 49.3 ПКУ.

Єдиною підставою для відмови у прийнятті податкової декларації засобами електронного зв’язку в електронній формі є недійсність кваліфікованого електронного підпису чи печатки такого платника податків, у тому числі у зв’язку із закінченням строку дії відповідного сертифіката відкритого ключа, за умови що така податкова декларація відповідає всім вимогам електронного документа і надана у форматі, доступному для її технічної обробки.

Тобто, зрозуміло, що при прийнятті податкової звітності податківці перевірятимуть не лише її формат, а і підпис, який на неї накладено – це обов’язковий реквізит, відсутність чи недійсність якого призведе до відмови у прийнятті такої звітності.

Щодо закінчення строку та скасування відповідного сертифікату до ключа пояснення, на нашу думку, зайві. Про процедуру перевірки сертифікату достатньо багато зазначено у пп. 85-105 Вимог у сфері електронних довірчих послуг.

Але де ці діючі сертифікати/ключі мають зберігатися? 

В ч. 2 ст. 18 Закону наголошується, що кваліфікований електронний підпис чи печатка вважається таким, що пройшов перевірку та отримав підтвердження, якщо, зокрема, під час перевірки за допомогою кваліфікованого сертифіката електронного підпису чи печатки отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки, зберігається в засобі кваліфікованого електронного підпису чи печатки.

Та, як ми зазначали вище, такий засіб не обов’язково має бути токеном. Токен потрібен, якщо Закон або постанова КМУ вимагає від такого засобу певного захисту ключа.  В решта випадків – достатньо забезпечення зберігання цього ключа таким засобом.

Вимоги у сфері електронних довірчих послуг, затверджені КМУ, містять і вимоги до засобів кваліфікованого електронного підпису чи печатки (пп. 130-133). Але всі вони стосуються надавачів електронних довірчих послуг та засобів, які використовуються при наданні цих послуг. Тобто, знову ж таки, ці вимоги – не для звичайних платників податків!

Таким чином, потрібно розрізняти свої обов’язки та права, і не дозволяти іншим особам називати ваші права вашими обов’язками. Купівля токенів – це лише право для приватного сектору економіки, але ніяк не обов’язок.

***

Читайте також:

Автор: Євгеній Піддубко

Джерело: «Дебет-Кредит»

Рубрика: Облік та звітність/Автоматизація

Зверніть увагу: новинна стрічка «Дебету-Кредиту» містить не тільки редакційні матеріали, але також статті сторонніх авторів, роз'яснення співробітників фіскальної служби тощо.

Дані матеріали, а також коментарі до них, відображають виключно точку зору їх авторів і можуть не співпадати з точкою зору редакції. Редакція не ідентифікує особи коментаторів, не модерує тексти коментарів та не несе відповідальності за їх зміст.

30 днiв передплати безкоштовно!Оберiть свiй пакет вiд «Дебету-Кредиту»
на мiсяць безкоштовно!
Спробувати

Усі новини рубрики «Автоматизація»