Положение разработано в соответствии с Законами Украины "О Национальном банке Украины", "Об электронной цифровой подписи", "Об электронных документах и электронном документообороте" и определяет организационно-методологические условия применения электронной подписи в банковской системе Украины при создании, обработки и хранения электронных документов , связанных с совершением сделок.

Про затвердження Положення про застосування електронного підпису в банківській системі України

Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", з метою визначення порядку застосування електронного підпису, у тому числі електронного цифрового підпису, у банківській системі України Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про застосування електронного підпису в банківській системі України, що додається.

2. Департаменту безпеки (Скомаровський О.А.) після офіційного опублікування довести зміст цієї постанови до відома банків України для використання в роботі.

3. Контроль за виконанням цієї постанови покласти на першого заступника Голови Національного банку України Смолія Я.В.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

---

ПОЛОЖЕННЯ 
про застосування електронного підпису в банківській системі України

I. Загальні положення

1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про електронний цифровий підпис", "Про електронні документи та електронний документообіг" і визначає організаційно-методологічні умови застосування електронного підпису в банківській системі України під час створення, оброблення та зберігання електронних документів, пов'язаних із вчиненням правочинів.

2. Суб'єктами, на яких поширюється дія цього Положення, є Національний банк України, банки України, клієнти та контрагенти банків України (далі - суб'єкти електронної взаємодії).

3. Голова правління банку несе відповідальність за організацію застосування електронного підпису в банку України, якщо інше не встановлено законодавством України.

4. У цьому Положенні терміни вживаються в такому значенні:

1) електронний підпис (далі - ЕП) - електронні дані, що додаються підписувачем або однозначно логічно пов'язуються з тими електронними даними, які ним підписуються, та призначені для ідентифікації підписувача цих даних;

2) електронний цифровий підпис (далі - ЕЦП) - вид ЕП, отриманого за результатом криптографічного перетворення електронних даних, що підписуються. ЕЦП дає змогу підтвердити цілісність підписаних електронних даних. ЕЦП накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа;

3) електронний цифровий підпис Національного банку України (далі - ЕЦП НБУ) - ЕЦП, що використовується в платіжних системах Національного банку України та інформаційних задачах Національного банку України згідно з нормативно-правовими актами Національного банку України;

4) електронний цифровий підпис, прирівняний до власноручного підпису (далі - ЕЦП, прирівняний до власноручного підпису) - ЕЦП, який за своїм статусом прирівняний до власноручного підпису відповідно до Закону України "Про електронний цифровий підпис";

5) електронний цифровий підпис юридичної особи (далі - ЕЦП юридичної особи) - вид ЕЦП, що забезпечує можливість перевірки цілісності електронних даних, що підписуються, та ідентифікацію юридичної особи як підписувача;

6) електронні дані - будь-яка інформація в електронній формі;

7) контрагент банку - будь-яка юридична чи фізична особа, яка має з банком відносини фінансового характеру;

8) перевірка цілісності - процедура, яка дає змогу виявлення будь-яких змін в електронному документі та змін ЕП після підписання електронного документа;

9) підписувач - особа, яка здійснює накладання ЕП на електронний документ;

10) простий електронний підпис (далі - простий ЕП) - будь-який вид ЕП, крім ЕЦП, прирівняного до власноручного підпису, ЕЦП юридичної особи, ЕЦП НБУ, простого ЕЦП;

11) простий електронний цифровий підпис (далі - простий ЕЦП) - ЕЦП, що застосовується сторонами на договірних засадах.

Інші терміни в цьому Положенні використовуються в значеннях, наведених у Законах України "Про електронний цифровий підпис", "Про електронні документи та електронний документообіг", "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення".

5. ЕП є обов'язковим реквізитом електронного документа. Накладанням ЕП завершується створення електронного документа.

6. Норми цього Положення щодо використання ЕП ніяким чином не можуть тлумачитись як такі, що будь-яким чином обмежують права суб'єктів електронної взаємодії вчиняти правочини в усній формі чи у вигляді паперових документів, у тому числі змінювати, доповнювати або припиняти дію електронних документів паперовими документами чи в іншій не забороненій законодавством формі і навпаки.

7. Створення та зберігання електронних документів у банківській системі має здійснюватися із забезпеченням можливості перевірки їх цілісності та справжності незалежною третьою стороною. Якщо ЕП не додається до підписаних електронних даних, а логічно пов'язується з ними, то має бути забезпечена можливість перевірити цей зв'язок протягом усього життєвого циклу електронного документа від його створення до знищення або постійного зберігання.

8. Підписувач, який здійснює накладання ЕП на електронний документ, цим самим засвідчує, що ознайомився з усім текстом документа, повністю зрозумів його зміст, не має заперечень до тексту документа і свідомо застосовував свій підпис у контексті, передбаченому документом (підписав, погодив, засвідчив тощо).

9. Якщо електронний документ має підписуватися двома або більше посадовими особами суб'єкта електронної взаємодії, то електронні підписи накладаються на нього в тій послідовності, яка визначена застосованою технологією оброблення інформації. Технологія оброблення інформації розробляється з урахуванням законодавства України.

10. Банки України зобов'язані розробити з урахуванням вимог законодавства України внутрішні документи, у яких має передбачатися порядок:

1) створення і засвідчення електронної копії з паперового документа;

2) створення і засвідчення копії на папері з електронного документа;

3) виявлення будь-яких змін в електронному документі;

4) виявлення будь-яких змін ЕП після підписання електронного документа;

5) роботи з ЕЦП юридичної особи в банку.

Ці внутрішні документи можуть оформлятися у вигляді окремих документів, одного документа або бути частиною/частинами іншого/інших документа/документів.

Голова правління банку затверджує зазначені документи і банк зобов'язаний забезпечити до них безперешкодний доступ клієнтів та потенційних клієнтів.

11. ЕП має юридичну силу незалежно від технологій, що застосовуються для ідентифікації підписувача, якщо відповідає таким умовам:

1) електронні дані, що використовуються під час накладання ЕП, однозначно пов'язані із підписувачем і не пов'язані з жодною іншою особою;

2) підписувач під час підписання контролював електронні дані, на які накладався ЕП, і електронні дані, які використовувалися для накладання ЕП;

3) під час перевірки відповідно до затвердженого в банку порядку не виявлено будь-яких змін в електронному документі;

4) під час перевірки відповідно до затвердженого в банку порядку не виявлено будь-яких змін в ЕП після підписання електронного документа.

12. Національний банк України має право перевіряти дотримання вимог цього Положення, а також здійснювати перевірки інформаційно-телекомунікаційних систем, що використовуються банками для доведення цілісності та справжності електронних документів.

II. Види електронного підпису в банківській системі України

13. У банківській системі України застосовуються такі види ЕП:

1) ЕЦП, прирівняний до власноручного підпису;

2) ЕЦП юридичної особи;

3) ЕЦП НБУ;

4) простий ЕЦП;

5) простий ЕП.

14. Використання простого ЕЦП та простого ЕП здійснюється на підставі договору між банком і клієнтом, який укладається в письмовій формі (у вигляді паперового документа з накладанням власноручних підписів сторін або як електронний документ з накладанням ЕЦП сторін, прирівняних до власноручного підпису) після проведення ідентифікації та верифікації клієнта відповідно до вимог законодавства у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму.

Договір має містити умови та порядок (процедуру) визнання суб'єктами електронної взаємодії правочинів у вигляді електронних документів із використанням простого ЕЦП або простого ЕП відповідно.

Договір має також містити умови щодо розподілу ризиків збитків, що можуть бути заподіяні підписувачам і третім особам у разі використання простого ЕЦП.

Укладення окремого договору щодо використання ЕЦП, прирівняного до власноручного підпису, не вимагається.

15. Банк зобов'язаний надати клієнтові на його вимогу оригінал документа на паперовому носії або засвідчену копію на папері з електронного документа в разі здійснення правочину у вигляді електронного документа з накладеним простим ЕП або простим ЕЦП.

III. Застосування ЕЦП, прирівняного до власноручного підпису

16. Банки України під час електронної взаємодії з органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності використовують ЕЦП, прирівняний до власноручного підпису, якщо інше не передбачено законодавством України.

В інших випадках банки України мають право використовувати будь-які види ЕЦП, зазначені в пункті 13 розділу ІІ цього Положення.

17. Для оформлення електронних копій з паперових документів, які створюються під час первинної ідентифікації та верифікації банком клієнтів, використовується ЕЦП, прирівняний до власноручного підпису.

18. ЕЦП, прирівняний до власноручного підпису, є таким, що пройшов перевірку, якщо:

1) перевірку ЕЦП проведено з використанням надійного засобу ЕЦП;

2) у результаті перевірки встановлено, що на момент накладання ЕЦП були чинними: посилений сертифікат відкритого ключа підписувача, посилений сертифікат відкритого ключа акредитованого центру сертифікації ключів, посилений сертифікат відкритого ключа Засвідчувального центру Національного банку України та/або посилений сертифікат відкритого ключа центрального засвідчувального органу;

3) під час перевірки підтверджено цілісність електронних даних, на які накладено ЕЦП.

IV. Застосування ЕЦП юридичної особи

19. Юридична особа має право застосовувати ЕЦП юридичної особи в разі надання послуг в електронній формі або під час здійснення інформаційного обміну з іншими суб'єктами електронної взаємодії.

20. На електронний документ накладається ЕЦП юридичної особи, якщо:

1) відповідно до законодавства України потрібно засвідчити дійсність підпису на документах;

2) відповідно до законодавства України потрібно засвідчити відповідність копій документів оригіналам;

3) потрібно підтвердити повноваження представника юридичної особи на застосування ЕЦП у контексті, передбаченому документом (підписання, погодження, засвідчення тощо).

21. Суб'єкт електронної взаємодії для застосування ЕЦП юридичної особи зобов'язаний отримувати послуги ЕЦП від акредитованого центру сертифікації ключів у випадках, визначених законодавством України.

22. У сертифікаті відкритого ключа, що використовується суб'єктом електронної взаємодії для застосування ЕЦП юридичної особи, зазначаються всі обов'язкові дані, передбачені Законом України "Про електронний цифровий підпис", а також спеціальне призначення ЕЦП і дані щодо сфери застосування ЕЦП юридичної особи.

Проставляння ЕЦП юридичної особи на електронних документах здійснює працівник суб'єкта електронної взаємодії, який має на це повноваження.

Банк зобов'язаний затвердити розпорядчим документом перелік працівників установи, яким надається право накладання ЕЦП юридичної особи на електронних документах.

23. Суб'єкт електронної взаємодії має право використовувати більше ніж один ЕЦП юридичної особи.

V. Застосування ЕЦП НБУ

24. Використання ЕЦП НБУ суб'єктами електронної взаємодії дозволяється тільки у випадках, прямо передбачених нормативно-правовими актами Національного банку України, і з обов'язковим використанням засобів захисту інформації Національного банку України.

25. Підписувач, який здійснив накладання ЕЦП НБУ на електронний документ, несе особисту відповідальність за достовірність та повноту інформації, що міститься в реквізитах електронного документа.

26. ЕЦП НБУ є таким, що пройшов перевірку, якщо:

1) перевірку ЕЦП проведено з використанням засобу захисту інформації Національного банку України;

2) під час перевірки підтверджено цілісність електронних даних, на які накладено ЕЦП.

VI. Застосування простого ЕЦП

27. Банки України та їх клієнти під час вчинення правочинів у вигляді електронних документів мають право використовувати простий ЕЦП на підставі договору з урахуванням вимог пункту 14 розділу II цього Положення.

28. Суб'єкти електронної взаємодії використовують простий ЕЦП без сертифіката відкритого ключа або чинність відкритого ключа підписувача засвідчується сертифікатом відкритого ключа на договірних засадах, або чинність відкритого ключа підписувача засвідчується центром сертифікації ключів, зареєстрованим у Засвідчувальному центрі Національного банку України або центральному засвідчувальному органі.

29. Простий ЕЦП є таким, що пройшов перевірку, якщо перевірку ЕЦП здійснено згідно з процедурою, наведеною в договорі між учасниками електронної взаємодії.

VII. Застосування простого ЕП

30. Фізична особа, яка не є суб'єктом підприємницької діяльності, має право використовувати простий ЕП у разі дотримання таких вимог:

1) електронна взаємодія фізичної особи здійснюється виключно з банком і з використанням технології, визначеної банком;

2) використання простого ЕП здійснюється на підставі договору відповідно до вимог пункту 14 розділу II цього Положення.

31. Простий ЕП має забезпечувати однозначну ідентифікацію особи підписувача.

32. Доведення цілісності електронних даних, на які накладений простий ЕП, може забезпечуватися засобами інформаційної системи, у якій здійснюється створення, оброблення, зберігання електронних документів.

33. Банк забезпечує доведення цілісності, достовірності та авторства електронного документа, на який накладено простий ЕП. У разі недотримання зазначеної вимоги банк несе відповідальність за шкоду, заподіяну фізичній особі, яка не є суб'єктом підприємницької діяльності.