Масова підробка електронних ключів: як податківці підробили понад 9 000 цифрових підписів і що це означає для безпеки держави

Масова підробка електронних ключів: як податківці підробили понад 9 000 цифрових підписів і що це означає для безпеки держави

Електронні довірчі послуги та Кенері-сервіси (як-от КЕП/ЕЦП) тривалий час позиціонувалися в Україні як залізобетонний гарант безпеки, що виключає людський фактор. Проте нещодавній вирок Шевченківського районного суду міста Києва у справі № 761/2114/26 (провадження № 1-кп/761/3121/2026) розбив цей міф ущент. Судовий розгляд викрив безпрецедентну за масштабами схему всередині самої Державної податкової служби (ДПС), де посадовці перетворили державний сервіс на конвеєр нелегального заробітку, скомпрометувавши понад 9 000 цифрових підписів громадян.

Організація схеми: «свої» люди в системі

Закон України «Про електронну ідентифікацію та електронні довірчі послуги» чітко регламентує: генерація КЕП вимагає обов’язкової особистої присутності заявника, перевірки оригіналів документів (паспорта, РНОКПП) та фотофіксації. Проте для організаторів схеми державні інструкції виявилися формальністю.

Ідеологом злочинної вертикалі виступив головний державний інспектор профільного управління ДПС України. Маючи детальний опис та розуміння архітектури системи безпеки, він залучив до реалізації схеми колег — інспекторів Управління реєстрації користувачів Головного управління ДПС у м. Києві.

Злочинна група працювала за чітким алгоритмом:

  1. Збір даних: Організатор постачав виконавцям персональні дані реальних громадян (переважно пенсіонерів та осіб, які залишилися на тимчасово окупованих територіях України й фізично не могли перевірити стан своїх електронних кабінетів).
  2. Обхід процедур: Податківці, використовуючи офіційний доступ до спеціалізованого програмного забезпечення «ІІТ ЦСК «Адміністратор реєстрації», вносили завідомо неправдиві відомості до системи. Вони ігнорували вимогу особистої присутності громадян та звірки документів.
  3. Експорт та збут: Готові файли КЕП разом із паролями до них безперешкодно записувалися на носії або просто пересилалися замовникам через незахищені канали зв’язку (звичайну електронну пошту).

Загалом у такий спосіб протягом 2024–2025 років зловмисники згенерували понад 9 000 фіктивних КЕП.

Кримінально-правова кваліфікація та «гуманний» вирок

Справа розслідувалася за матеріалами Служби безпеки України та Департаменту внутрішньої безпеки ДПС. Дії фігурантів кваліфікували за статтями Кримінального кодексу України, що стосуються несанкціонованого втручання в роботу інформаційно-комунікаційних систем, автоматизованих систем та комп’ютерних мереж, вчиненого організованою групою (ч. 5 ст. 361 КК України).

Попри колосальний масштаб злочину та потенційну загрозу національній безпеці, фінал судового розгляду виявився доволі м’яким. Головна обвинувачена — інспекторка київського управління ДПС — пішла на угоду про визнання винуватості.

Шевченківський районний суд м. Києва 30 березня 2026 року затвердив цю угоду. Визнавши провину та, очевидно, надавши свідчення проти інших учасників схеми, чиновниця уникнула реального тюремного терміну. Суд призначив їй умовне покарання (іспитовий строк) із позбавленням права обіймати певні посади. Наразі рішення суду не набрало законної сили, та очікує апеляцію.

Підробка електроного підпису у 2021 році – Петицію про відставку Татарова підписав «Biden Joe»

Чому цей кейс — катастрофа для системи «довірчих послуг»?

Експерти у сфері кібербезпеки та юристи одностайні: цей вирок є системним тривожним сигналом для всієї інфраструктури цифровізації.

  1. Крах інституту довіри. Кваліфікований електронний підпис за законом має таку ж юридичну силу, як і власноручний підпис особи. Маючи КЕП особи, зловмисники можуть від її імені підписувати договори, переоформлювати майно, відкривати фірми-одноденки для відмивання грошей, реєструвати податкові накладні чи навіть брати мікрокредити. Коли підробка відбувається руками самих кваліфікованих надавачів електронних довірчих послуг (державних органів), втрачається сенс самого терміну «довіра».
  2. Загроза нацбезпеці в часи війни. Використання паспортних даних осіб з окупованих територій для створення КЕП — це пряма лазівка для фінансування тероризму, легалізації незаконних доходів та проведення ворожих ІПСО чи економічних диверсій всередині українського правового поля.
  3. Проблема внутрішнього порушника (Insider Threat). Жодні криптографічні алгоритми, довжина ключів чи двофакторна автентифікація не захистять систему, якщо адміністратор, який має легітимні ключі доступу до «пульта керування», є частиною кримінальної схеми.

Висновки та уроки на майбутнє

Кейс про 9 тисяч фіктивних КЕП демонструє, що найслабшою ланкою в системі цифровізації залишається людина та відсутність жорсткого перехресного контролю всередині відомств.

Для недопущення подібних прецедентів держава має негайно впровадити:

  • Тотальний автоматизований аудит логів дій адміністраторів реєстрації КЕП.
  • Обов’язкову інтеграцію процедур генерації підписів із живим біометричним контролем (наприклад, порівняння фото заявника в реальному часі з даними Дія.Підпис або ЄДДР без участі рядового інспектора).
  • Посилення кримінальної відповідальності для посадових осіб надавачів довірчих послуг, адже умовні терміни за компрометацію тисяч державних цифрових паспортів навряд чи стануть надійним стримуючим фактором для майбутніх зловмисників.

Коментарі

Поки що немає коментарів. Чому б вам не розпочати обговорення?

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *