ДФС надсилає платникам податків, які здають звітність та реєструють ПН/РК в електронному вигляді, попередження, що ключі до їхніх ЕЦП розміщені на незахищеному носії. Захищеним вважається токен. Але насправді в законодавстві немає норми, яка б змушувала всіх платників податків купувати токени.
Токени і збереження ключів ЕЦП
Нагадаємо, що 7 листопада 2018 року набрав чинності Закон про електронні довірчі послуги. Серед іншого, цей Закон замінив терміни, які застосовувались до цього: електронний підпис — на кваліфікований електронний підпис, а сертифікат відкритого ключа — на кваліфікований сертифікат. I з цього все почалось.
Цей Закон вперше заговорив про:
1) засоби кваліфікованого електронного підпису чи печатки, тобто апаратно-програмні або апаратні пристрої чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення кваліфікованого електронного підпису чи печатки, та/або перевірки кваліфікованого електронного підпису чи печатки, та/або зберігання особистого ключа кваліфікованого електронного підпису чи печатки, які відповідають вимогам цього Закону;
2) та засоби кваліфікованого електронного підпису чи печатки, які мають вбудовані апаратно-програмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, від безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання.
В останньому випадку йдеться про токени. Адже саме вони не лише зберігають, але й захищають особистий ключ до ЕЦП.
Продавці токенів переконують платників податків, що токени є обов'язковими для всіх. Але насправді у Законі про застосування таких засобів говориться лише один раз.
Що каже Закон
Органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, державні реєстратори, нотаріуси та інші суб'єкти, уповноважені державою на здійснення функцій державного реєстратора: для засвідчення чинності відкритого ключа використовують лише кваліфікований сертифікат відкритого ключа, а для реалізації повноважень, спрямованих на набуття, зміну чи припинення прав та/або обов'язків фізичної або юридичної особи відповідно до закону, застосовують виключно засоби кваліфікованого електронного підпису чи печатки, які мають вбудовані апаратно-програмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, від безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання.
При цьому в Законі зазначається, що і вимоги до надання кваліфікованої електронної довірчої послуги створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток, а також порядок перевірки їх дотримання (ч. 6 ст. 18), і вимоги до засобів кваліфікованого електронного підпису чи печатки (ч. 3 ст. 19) встановлюються КМУ.
I відповідну постанову КМУ було видано — від 07.11.2018 р. №992. У ній чітко зазначено, на якому саме носії повинні зберігатися ключі до ЕЦП тих осіб, які надають електронні довірчі послуги. I на сьогодні це токени, адже відповідні пристрої повинні використовуватись при генерації цих ключів і забезпечити неможливість доступу до них ззовні (п. 25 Вимог у сфері електронних довірчих послуг).
Що ж до ключів ЕЦП, які генерують надавачі цих послуг споживачам, то такої вимоги в цій постанові немає. Тобто виходить, що обов'язок застосування токенів встановлено не для всіх, хто має ЕЦП, а лише для п'яти категорій суб'єктів, зазначених у ч. 2 ст. 17 Закону. Отже, для приватного сектора економіки купівля токенів — це право, а не обов'язок.
Токени і ДФС
22 травня 2019 року набрав чинності Закон №2725, яким норми ПКУ приведено у відповідність до Закону про електронні довірчі послуги. I тут вже стало цікавіше, адже продавці токенів почали стверджувати, що без них ДФС не прийматиме податкову звітність.
При цьому до ПКУ було внесено такі зміни:
1) посилання на Закон про ЕЦП, що втратив чинність, замінили посиланнями на Закон про електронні довірчі послуги;
2) замість «електронний підпис» — «кваліфікований електронний підпис», а замість «послуги електронного цифрового підпису» — «кваліфіковані електронні довірчі послуги».
Були внесені зміни до ПКУ і щодо токенів (хоча цей термін ані в Законі, ані в ПКУ чітко не згадується). За п. 42-1.2 ПКУ, раніше документ, що підтверджує стан розрахунків платника, формувався просто з накладанням ЕЦП посадової особи контролюючого органу. Після змін на цей документ накладається «кваліфікований електронний підпис посадової особи контролюючого органу із застосуванням засобів кваліфікованого електронного підпису чи печатки, які мають вбудовані апаратно-програмні засоби, що забезпечують захист записаних на них даних від несанкціонованого доступу, від безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання».
Тобто ПКУ передбачає використання токенів, але встановлює такий обов'язок для посадових осіб ДФС.
Токени і податкова звітність
То що там із поданням податкової звітності? Про це до ПКУ було внесено ще одне важливе уточнення. Раніше, згідно з п. 49.3 ПКУ, єдиною підставою для відмови у прийманні податкової декларації була недійсність ЕЦП. Тепер, крім недійсності кваліфікованого електронного підпису, додали ще недійсність печатки.
Що таке недійсність КЕП?
Як випливає з норм ПКУ, одна з підстав недійсності КЕП — це закінчення строку дії сертифіката.
Що каже ПКУ про недійсність КЕП
Єдиною підставою для відмови у проходженні електронної ідентифікації платника податків в електронному кабінеті є недійсність кваліфікованого електронного підпису такого платника податків, у тому числі у зв'язку із закінченням строку дії відповідного сертифіката відкритого ключа.
Єдиною підставою для відмови у прийманні податкової декларації засобами електронного зв'язку в електронній формі є недійсність кваліфікованого електронного підпису чи печатки такого платника податків, у тому числі у зв'язку із закінченням строку дії відповідного сертифіката відкритого ключа, за умови що така податкова декларація відповідає всім вимогам електронного документа і надана у форматі, доступному для її технічної обробки.
Отже, зрозуміло, що під час приймання податкової звітності податківці перевірятимуть не лише її формат, але й підпис, який на неї накладено, бо це обов'язковий реквізит, відсутність чи недійсність якого призведе до відмови у прийманні звітності.
Але де ці діючі сертифікати/ключі мають зберігатися? У ч. 2 ст. 18 Закону наголошується, що кваліфікований електронний підпис чи печатка вважаються такими, що пройшли перевірку та отримали підтвердження, якщо, зокрема, під час перевірки за допомогою кваліфікованого сертифіката електронного підпису чи печатки отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки, зберігається в засобі кваліфікованого електронного підпису чи печатки.
Та, як зазначалося вище, такий засіб не обов'язково має бути токеном. Токен потрібен, якщо Закон або постанова КМУ вимагає від такого засобу певного захисту ключа. У решті випадків достатньо забезпечення зберігання цього ключа таким засобом.
Вимоги у сфері електронних довірчих послуг, затверджені КМУ, містять і вимоги до засобів кваліфікованого електронного підпису чи печатки (п. 130 — 133).
Але всі вони стосуються надавачів електронних довірчих послуг та засобів, які використовуються при наданні цих послуг. Тобто, знову ж таки, ці вимоги — не для звичайних платників податків!
Таким чином, потрібно розрізняти свої обов'язки та права і не дозволяти іншим називати ваші права вашими обов'язками.
Євгеній ПІДДУБКО, «Дебет-Кредит»