Федеральная налоговая служба, рассмотрев обращение ОАО по вопросу о применении универсального передаточного документа (УПД) в электронном виде для целей документального подтверждения расходов по налогу на прибыль; и о составлении и хранении счетов-фактур в электронном виде, а также о применении вычетов по НДС по таким счетам-фактурам. - высказала свою позицию в письме от 6 февраля 2014 года № ГД-4-3/1984@.
Мой комментарий: ФНС, к сожалению, не затронула при этом самый интересный вопрос о том, как применять универсальный передаточный документ, совмещающий в себе функции счета-фактуры и первичного учетного документа.
ФНС подтвердила, что первичный учетный документ, составленный в электронном виде и содержащий все обязательные реквизиты, установленные п.2 ст.9 Закона № 402-ФЗ «О бухгалтерском учете», может являться основанием для формирования данных налогового учета:
Условия использования контрагентами электронного документооборота, порядок создания документов в электронной форме, их легитимного оборота и хранения регулируются Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи», и эти вопросы не относятся к компетенции ФНС России. Первичные учетные документы в электронном виде могут подтверждать доходы и расходы для целей налогообложения в случаях, когда информация в электронной форме, подписанная электронной подписью, по правилам Федерального закона № 63-ФЗ признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.Если документ в электронном виде составлен по формату, установленному ФНС России, то согласно ст.ст.80 и 93 Налогового кодекса при истребовании документов он может быть передан налогоплательщиком в налоговый орган в электронном виде по телекоммуникационным каналам связи.
В отношении составления и хранения счетов-фактур, выставляемых в электронном виде, ФНС сообщила, что счета-фактуры, выставленные в установленном порядке в электронном виде, хранятся налогоплательщиком в электронном виде без распечатки их на бумажном носителе.
В отношении применения вычетов на основании счетов-фактур, выставленных в электронном виде, ФНС обращает внимание на то, что счет-фактура является документом, служащим основанием для принятия покупателем предъявленных продавцом товаров (работ, услуг), имущественных прав сумм налога к вычету.
Налогоплательщик вправе заявить к вычету суммы НДС, предъявленные при приобретении им товаров (работ, услуг), на основании счетов-фактур, выставленных в электронном виде, при выполнении условий, предусмотренных ст.ст.171 и 172 Налогового кодекса.
Для справки: Пунктом 1 ст. 172 Налогового кодекса установлено, что налоговые вычеты производятся на основании счетов-фактур, выставленных продавцами при приобретении налогоплательщиком товаров (работ, услуг), имущественных прав, после принятия на учет указанных товаров (работ, услуг), имущественных прав и при наличии соответствующих первичных документов.Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=QUEST;n=133338
Интересно, а как проверить ЭЦП после окончания срока действия? Формально ЭЦП будет признана недействительный уже спустя год хранения (в лучшем случае).
ОтветитьУдалитьНу и на каком основании она будет признана недействительной? Никаких таких "формальных оснований" закон "об электронной подписи" не предусматривает :)
ОтветитьУдалитьСуды давно уже принимают в качестве доказательств документы, подписанные "историческими" ЭЦП/УЭП, и для проверки подписей проводится, если нужно, экспертиза (часто с привлечением соответствующего УЦ). Суды также вполне устраивают и акты (обычно составляемыми разбиравшими спорную ситуацию комиссиями), подтверждающие действительность подписей на определенный момент времени.
Читаем закон про действительность подписи:
ОтветитьУдалить2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, получивших подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;
Я говорил о случае когда сертификат уже протух, т.е. ЭД+ЭЦП долго хранится.
По п.2: Так собственно проблема в том, что не определено «по-умолчанию», что такое «наличии достоверной информации о моменте подписания электронного документа». А если учесть что с-ф сдаются в ФНС только по требованию, то вполне возможно и задним и передним числом подписать ЭД и даже на протухшем сертификате.
По п.3: Средство электронной подписи напишет что ЭЦП недействительна.
Теперь про привлечение спецов из УЦ, это ровным счётом ничего не даст, поскольку УЦ не ведут и не обязаны вести архивы CRL, а согласно стандарта, сертификат протухший по времени, но которого «при жизни» отозвали, в CRL не заносится. Концов не найти даже спустя пару лет, не то что через 5-10.
В Европе например, да и технические стандарты существуют, фиксирование данных во времени выполняют с использованием «штампа» времени, у нас такой сущности нет. Вот собственно на чём я хотел заострить внимание.
Бумажные документы тоже можно изготавливать задним числом (и это делается в огромных объёмах) - но никто при этом не заявляет о том, что собственноручные подписи на них "протухают".
УдалитьДа, можно создавать подписанные ЭЦП документы задним числом (а со временем, когда будут сломаны нынешние криптоалгоритмы, это вообще станет детской игрушкой) - ну и что? И бумажные документы от этого не защищены. Проблема решается оргмерами, простейшая из которых - требование, чтобы документ обязательно прошёл чрез руки второй или третьей стороны и был ею проверен (хотя бы в виде простановки отметки времени).
То, что ПО напишет, что ЭЦП недействительна - не имеет никакого значения для правовой значимости документа. Используйте другое ПО, поддерживающее проверку исторических подписей :)
Так что технические проблемы действительно есть, но наличие технических проблем само по себе не влечёт правовых последствий. Закон же ничего не говорит о "протухании" подписей, и не нужно его придумывать.
УЦ по закону обязан сохранять информацию о выданных и отозванных сертификатах, см. подпункт 5 п.1. ст.13 "Удостоверяющий центр" закона, а также подзаконный "Порядок формирования и ведения реестров квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров" (утв. Приказом Минкомсвязи РФ от 05.10.2011 N 250).
Бумага и ЭЦП - это разные технологии, поэтому на бумаге подписи не "протухают" :-) А у ЭЦП вот такая особенность есть и её надо бы учитывать, кто мешал тому же ФНС определить для своих задач (уж коль в более высоком НПА сие не определено) и вопросов бы не было. Закон как раз говорит о протухании подписи (см. п2) а именно, что если сертификат протух, то используется иной способ проверки ЭЦП , а именно, уже с учётом достоверной информации о моменте подписания. И это касается даже не прижизненного отзыва сертификата. Дело в том, что для СКЗИ существует время действительности открытого ключа, после этого времени, считается, что ключи могут быть скромпрометированы и на них могут быть понавыпущены любые ЭЦП под любым контентом. Другими словами, даже если сертификат не отозвали, то спустя время действия открытого ключа невозможно технически гарантировать "собственноручность" подписи - ну вот технология такая. Поэтому эти задачки нужно сходу видеть и сходу предлагать-утверждать подходы к их парированию.
ОтветитьУдалитьПро "детские игрушки" - не совсем верное утверждение, и это совсем не трагедия, поскольку в архивах должны быть меры противодействия таким вещам, техрешения безусловно есть, их просто надо узаконить, что ни кто не делает, оставляя состояние "неопределённости" что на круг потенциально может аукнутся.
Я согласна с тем, что в законодательстве хватает дыр и недосказанностей, и их нужно закрывать - но от этого не меняется то, что подписи, по действующему законодательству, в правовом плане от времени не ржавеют; и судебная практика пока что это подтверждает.
ОтветитьУдалитьС интересом познакомлюсь с каким-нибудь судебным решением, в котором суд согласится с мнением о том, что "закон говорит о протухании сертификатов" :) Особенно в отношении квалифицированных сертификатов, у которых в той же Европе имеется презумпция подлинности - т.е. не их действительность нужно доказывать, а как раз наоборот!
Замечу, что закон не оговаривает, какой должна быть "достоверная информация о моменте подписания", что фактически отдает этот вопрос на усмотрение суда (а тот может признать таковой хоть свидетельские показания, если захочет).
Наташа, ещё раз:
ОтветитьУдалить1. Мы пришли к консенсусу, что дыры есть и их надо закрывать. И ФНС бы мог исходно, утверждая чтоб ЭД+ЭЦП хранились у пользователя, ещё бы и уточнил, как хранить, чтобы этот процесс и недосказанность про "момент подписания" не отдавалась на усмотрение суда. Лично я себя чувствую в такой ситуации не комфортно, и потенциально могу залететь на отказ в признании юрсилы ЭД.
2. Подписи по нашему законодательству именно "ржавеют", поскольку на используемой технологии PKI у открытых ключей есть срок действительности и это прописано в эксплуатационной документации на сертифицированные средства (именно они должны использоваться по закону для квалифицированных подписей). Если срок истёк, то открытый ключ нельзя использовать для проверке подписей. Это просто техника вот такая и иной на сейчас не придумали.
3. Протухают и квалифицированные сертификаты и в Европе в том числе, к презумпции подписи - это отношения не имеет ни какого. Презумпция касается проверок подписи только в период действительности сертификата и у нас по 63-ФЗ тоже самое. А вот при архивном хранении как раз и начинаются "приключения" и у нас и в ЕС, за той разницей, что закреплены специальные форматы подписи (-Ades) в которых предусмотрено место для "штампов времени", и в ЕС эти "штампы" прописаны как доверенные услуги и входят позицией и в локальное НПА стран и список доверенных услуг (TSL) который ведёт Брюссель. А у нас этого нет в НПА прямого действия, об этом также не пишут и в НПА а ля ФНС Приказов и Писем и т.д. Что плохо, неоднозначно, и может привести к проблемам, поскольку уверенности в том что суд поведёт себя как предполагается лично я не уверен, а ставить бизнес в зависимость от неуправляемого процесса (т.е. суда) - верх легкомыслия.
Сергей, ну зачем же придумывать про европейское законодательство то, чего там и в помине нет! Я ведь обязательно попрошу ссылочку на те нормативные акты и директивы Евросоюза, которыми что-то там "закреплено" и в которых что-то "протухает" :) Хотелось бы увидеть и ну хоть какие-нибудь соответствующие примеры из практики правоприменения - без этого разговор получается оторванным от жизни.
УдалитьЗамечу также, что форматы CADES, PADES и XADES (под каждой аббревиатурой скрывается при этом целое семейство достаточно сильно отличающихся форматов) не являются, вообще говоря, обязательными.
Суд IMHO вовсе не является неуправляемым процессом - по крайней мере после того, как "устаканивается" судебная практика (сейчас у арбитражных судов на это уходит год-два). В подавлющем большинстве случаев вопросы, связанные с электронно подписанными документами, арбитражные суды рассматривают единообразно.
Ну а с тем, что наша законодательно-нормативная и методическая база слабовата, заметно отстает от европейской и нуждается в совершенствовании, я, естественно. согласна. Но не будем при этом забывать, что именно Россия сейчас лидер в практическом использовании ЭЦП/УЭП, и именно у нас самая большая судебная практика по этим вопросам. Поэтому у Европы можно списать ряд полезных документов, однако в плане правоприменения всё придётся делать самим.
Вот пожалуйста документик: COMMISSION DECISION of 25 February 2011 establishing minimum requirements for the cross-border processing of documents signed electronically by competent authorities under Directive 2006/123/EC of the European Parliament and of the Council on services in the internal market. Если коротко предполагает использовать семейство -Ades все остальное - описывать отдельно и передавать ПО.
ОтветитьУдалитьНа тему -Ades почитай в стандарте про архивный режим и зачем там нужен "штамп" времени.
На тему "протухает" далее обсуждать бессмысленно, поскольку используемая технология и у нас и в Европе именно это "протухание" и определяет и даже предполагает способы борьбы с ним, например, "штапмы", например, RFC 3029 с вот таким абзацем:
Signature algorithms and keys have a finite lifetime. Therefore, signatures have a finite lifetime. The Data Certification Server can be used to extend the lifetime of a signature.
И вот с таким:
The DVCS signing key MUST be of a sufficient length to allow for a sufficiently long lifetime. Even if this is done, the key will have a finite lifetime. Since data validation certificates are just another type of signed documents, they can be validated using (another) DVCS.
Уважаю RFC. Однако в правовым вопросам они никакущего отношения не имеют, sorry! :)
УдалитьРешение Еврокомиссии - да, подходит. Однако cross-border processing (трансграничное взаиможействие) - это сфера. в которой ЭЦП пока что применяются меньше всего. Более того, документ касается только документов, подписанных "уполномоченными органами" (competent authorities). Опять же, -Ades-форматы рекомендуются, но не объявляются обязательными...
Замечу, что с точки зрения именно длительного хранения штамп времени (по сути, ещё одна ЭЦП) может оказаться скорее дополнительной головной болью. а не облегчением. В случае спора, возможно, придётся доказывать как действительность самого штампа, так и его правомочность, а также надёжность выдавшего его УЦ или поставщика услуг. У нас пока что правомочность штампа времени может опираться на договорные отношения.
1. "Уважаю RFC. Однако в правовым вопросам они никакущего отношения не имеют, sorry! :)" хочу расстроить, Приказ ФСБ 795 имеет отсылочные нормы на RFC, поэтому формально не исполняя их, вы нарушаете подзаконный акт в рамках 63-ФЗ.
ОтветитьУдалить2. "Однако cross-border processing (трансграничное взаиможействие) - " она вообще то трактуется и используется как межсредная, т.е. при взаимодействии разных ИС, ну и разумеется разных ИС различных стран.
3. "штампы" появляются по нескольким причинам - во-первых, вовлечь в процесс установления момента подписания третью незаинтересованную сторону, во-вторых, чисто технически создать сертификат конечного пользователя на длительный срок невозможно ни технически ни организационно, а вот создать сертификат специализированной службы вполне возможно, в-третьих, использования специализированной службы позволяет технически использовать достоверные эталоны времени , например, такие как группа сигналов космических группировок (GPS/ГЛОНАСС), "ядерные" часы и т.д. что обеспечить на конечном оборудовании простого смертного практически невозможно и т.д.