Одноразовий ідентифікатор як електронний підпис: правовий статус і судова практика

Стрімкий розвиток електронної комерції та віддалених сервісів вимагає від українського бізнесу інструментів, що поєднують максимальну зручність для клієнта з беззаперечною юридичною силою.

Як пояснює команда адвоката Богдана Янківа,традиційний Кваліфікований електронний підпис (далі – КЕП), який використовує захищені носії (токени), хоч і має абсолютну презумпцію рівнозначності власноручному підпису, часто є занадто складним для масового повсякденного використання (наприклад, для оформлення онлайн-кредиту чи страховки).

Саме в цьому просторі знаходить своє місце Одноразовий Ідентифікатор (далі – ОІ), відомий як One-Time Password. ОІ – це технологічне рішення, яке, будучи інтегрованим у належну юридичну та технічну архітектуру, перетворює просту електронну дію на юридично значущий акт волевиявлення. ОІ дозволяє компаніям та споживачам укладати договори:

1. дистанційно;
2. швидко та безпечно;
3. при цьому, уникаючи бюрократичних перешкод, властивих КЕП.

Але залишається актуальним питання:

Чи є такий договір юридично дійсним, якщо він підписаний лише за допомогою SMS-коду або одноразового пароля? Чи визнає такий підпис суд? Чи можна таким чином підписати договір оренди, поставки чи надання послуг?

Щоб відповісти – потрібно розібратися, що таке одноразовий ідентифікатор, як його тлумачить Закон України від 03.09 2015 №675-VIII «Про електронну комерцію» (далі – Закон), яку юридичну силу він має у порівнянні з КЕП чи Дія.Підпис.

1. Що таке електронний підпис за допомогою одноразового ідентифікатора?

Закон визначає електронний підпис одноразовим ідентифікатором, як дані в електронній формі у вигляді алфавітно-цифрової послідовності, що додаються до інших електронних даних особою, яка прийняла пропозицію (оферту) укласти електронний договір, та надсилаються іншій стороні цього договору (ст. 1 Закону).

Інакше кажучи, мова йде про унікальний одноразовий код, який генерується автоматично електронною системою з метою підтвердження, що саме певна особа, а не хтось інший, висловила згоду на укладення угоди.

Найчастіше цей код надсилається на персональний канал зв’язку користувача:

1. SMS-повідомленням;
2. електронним листом;
3. через push-сповіщення в мобільному додатку.

Отримавши код, користувач вводить його у відповідне поле на сайті чи в електронній формі, після чого система фіксує цей факт як підтвердження волевиявлення.

Сам ідентифікатор зберігається у складі електронного документа, що дозволяє у майбутньому довести факт підписання договору саме цією особою. Юридична природа такого підпису полягає в тому, що він є аналогом власноручного підпису у випадках, коли закон не вимагає використання кваліфікованого електронного підпису.

Тобто, введення одноразового ідентифікатора прирівнюється до підписання документа у письмовій формі, і така дія має всі правові наслідки, що й підписання звичайного договору на папері

Законодавець визнає, що використання одноразового коду є достатнім способом підтвердження особи у відносинах електронної комерції, якщо сторони попередньо погодилися на такий порядок ідентифікації.

Механізм дії одноразового ідентифікатора забезпечує баланс між безпекою та простотою. Кожен код створюється лише один раз, має обмежений строк дії та прив’язується до конкретної транзакції або дії користувача. Це означає, що повторне його використання неможливе, а підтвердження волевиявлення залишається у системі у вигляді цифрового сліду, який можна перевірити у разі спору. Такий механізм широко застосовується у:

1. банківській сфері;
2. сфері надання онлайн-послуг;
3. електронній комерції;
4. страхуванні;
5. мікрокредитуванні тощо.

З практичної точки зору, електронний підпис одноразовим ідентифікатором суттєво спрощує процес укладення договорів і робить його доступним для всіх громадян. Для його використання не потрібно отримувати сертифікат відкритого ключа, зберігати криптографічні токени чи встановлювати спеціальне програмне забезпечення. Достатньо мати мобільний телефон або електронну пошту, що фактично дає змогу будь-якій особі укладати юридично значущі договори в кілька кліків. Такий підхід зменшує адміністративні бар’єри, економить час і ресурси як бізнесу, так і споживачів.

Окрім зручності, важливою перевагою є швидкість та фіксація усіх дій у системі. Після введення одноразового коду електронна система фіксує час, IP-адресу, канал комунікації та інші технічні параметри, що в сукупності дають можливість однозначно встановити факт підписання договору певною особою. У разі виникнення спору такі дані можуть бути використані як докази у суді, адже вони підтверджують реальне волевиявлення сторін.

2. Чи має юридичну силу договір, підписаний за допомогою одноразового ідентифікатора?

Договір, підписаний за допомогою одноразового ідентифікатора, має повну юридичну силу та визнається дійсним у суді, якщо він відповідає вимогам закону щодо форми та змісту правочину. Законодавство України прямо передбачає можливість підписання договорів таким способом, прирівнюючи це до використання інших видів електронних підписів.Відповідно до ст. 12 Закону, якщо відповідно до акта цивільного законодавства або за домовленістю сторін електронний правочин має бути підписаний сторонами, моментом його підписання є використання:

1. електронного підпису або електронного цифрового підпису відповідно до законодавства, за умови використання засобу електронного цифрового підпису усіма сторонами електронного правочину;
2. електронного підпису одноразовим ідентифікатором, визначеним законодавством;
3. аналога власноручного підпису (факсимільного відтворення підпису за допомогою засобів механічного або іншого копіювання, іншого аналога власноручного підпису) за письмовою згодою сторін, у якій мають міститися зразки відповідних аналогів власноручних підписів.

Таким чином, використання одноразового ідентифікатора є одним із законодавчо визначених способів засвідчення волевиявлення сторін у сфері електронної комерції.

Тобто введення коду, який надсилається користувачу на особистий канал зв’язку (наприклад, SMS або електронну пошту), юридично прирівнюється до підписання договору власноруч

Важливо, що система фіксує всі технічні параметри дії – час, IP-адресу, ідентифікатор пристрою тощо. Ці дані виступають доказами в разі судового спору й підтверджують, що правочин справді був укладений конкретною особою.

Щодо дійсності такого договору, то відповідно до ст. 638 Цивільного кодексу України, договір вважається укладеним:

якщо сторони досягли згоди щодо всіх істотних умов. До них належать умови про предмет договору, умови, визначені законом як істотні або необхідні для договорів певного виду, а також ті умови, щодо яких за заявою хоча б однієї сторони має бути досягнуто згоди.

Якщо ці умови узгоджені, а волевиявлення сторін підтверджено електронним підписом (у тому числі одноразовим ідентифікатором), договір є чинним і має таку ж юридичну силу, як і укладений у паперовій формі.

3. Чи визнається договір підписаним ОІ дійсним у суді?

Судова практика в Україні неодноразово підтверджувала, що електронні договори, підписані одноразовими ідентифікаторами, є належним доказом укладення правочину. Так, наприклад, Верховний Суд (далі – ВС) у постанові від 14.06.2022 у справі №757/40395/20 підтвердив, що укладення кредитного договору через особистий кабінет із підтвердженням за допомогою смс-коду відповідає вимогам письмової форми правочину.

У постанові в іншій справі від 12.01.2021 №524/5556/19, ВС дійшов такого висновку:

Електронним підписом одноразовим ідентифікатором є … комбінація цифр і літер, або тільки цифр, або тільки літер, яку заявник отримує за допомогою електронної пошти у вигляді пароля, іноді в парі «логін-пароль», або смс-коду, надісланого на телефон, або іншим способом. При оформленні замовлення, зробленого під логіном і паролем, формується електронний документ, в якому за допомогою інформаційної системи (вебсайту інтернет-магазину) вказується особа, яка створила замовлення. Оспорюваний договір про надання фінансового кредиту підписаний позичальником за допомогою одноразового пароля-ідентифікатора, тобто укладення між сторонами спірного правочину підтверджено …

Аналогічну правову позицію висловлено також у постанові ВС у справі від 07.10.2020 №127/33824/19, де зазначив, що:

Без отримання листа на адресу електронної пошти і смс-повідомлення, без здійснення входу на вебсайт товариства за допомогою логіна і пароля особистого кабінету й договір між позичальником та ТОВ не був би укладений.

А також зазначив, що електронний договір, укладений шляхом послідовності дій, передбачених системою (зокрема підтвердження через смс-код), має таку ж юридичну силу, як і паперовий документ із власноручним підписом.

Судова практика свідчить, що електронний договір визнається дійсним, якщо:

1. особу, яка прийняла умови договору, можна достовірно ідентифікувати (через BankID, логін-пароль, смс-код тощо);
2. зафіксовано підтвердження згоди з умовами (наприклад, натискання кнопки «Погоджуюсь» після ознайомлення з текстом договору);
3. вчинені дії мають юридичне значення (подання заявки, введення одноразового пароля, отримання коштів тощо);
4. відсутні докази, що спростовують участь особи в укладенні договору (наприклад, доведення факту несанкціонованого доступу чи викрадення даних).

Таке тлумачення узгоджується також з міжнародними стандартами. Зокрема, Конвенція ООН про використання електронних повідомлень у міжнародних договорах передбачає, що документ не може втрачати юридичної сили лише через електронну форму. В Україні це закріплено у ст. 8 Закону України від 22.05.2003 №851-IV «Про електронні документи та електронний документообіг». Показовою є й постанова ВС від 09.02.2023 у справі №640/7029/19, де суд визнав дійсними кілька договорів позики, укладених із підтвердженням через одноразові паролі. Суд зазначив, що позичальники діяли свідомо, пройшовши авторизацію та погодившись із умовами договору.

Таким чином, можна зробити висновок, що українські суди послідовно визнають договори, підписані одноразовим ідентифікатором, такими, що відповідають письмовій формі правочину та мають повну юридичну силу. Суди виходять із того, що електронна форма договору не зменшує його доказового значення, якщо сторони вчинили всі дії, які однозначно свідчать про їхню волю укласти договір та погодитись з його умовами

Ключове значення має доведення факту автентичності дій сторони – тобто, що саме ця особа здійснила вхід у систему, отримала код підтвердження, ввела його й прийняла умови договору. Для цього можуть використовуватись такі докази:

1. журнали подій системи (лог-файли);
2. записи серверів про час і IP-адресу входу;
3. відомості про надсилання смс-коду на конкретний номер телефону;
4. банківські чи фінансові транзакції, які підтверджують отримання або використання коштів, оплату товару чи послуг.

Водночас, сам факт використання одноразового ідентифікатора не створює презумпції правомірності договору – суди оцінюють усі докази в сукупності. Наприклад, якщо позичальник стверджує, що його телефон або електронна пошта були зламані, він має надати належні підтвердження. Якщо ж таких доказів немає, суди визнають договір укладеним належним чином.

4. Чи завжди суди визнають договори підписані за допомогою одноразового ідентифікатора дійсними?

Хоч суди часто і визнають такі договори дійсними, судова практика з цього питання не є однозначною. Так наприклад, у постанові ВС від 29.05.2024 у справі №545/1750/21 наголошено, що суди не можуть автоматично визнавати договір дійсним лише на підставі того, що він укладений через особистий кабінет або підтверджений смс-кодом.

ВС зазначив:

Матеріали справи не містять доказів того, що саме позивач будь-яким способом застосував ідентифікатор електронного підпису, так і факту отримання саме ОСОБА_1 цього одноразового ідентифікатора, а також у справі відсутні докази реєстрації саме позивача у інформаційно-телекомунікаційній системі відповідачів, відсутні докази отримання саме позивачем коштів згідно з оспорюваними кредитними договорами, тому наявні достатні правові підстави для судового захисту прав та інтересів останнього».

Ця позиція свідчить, що сам факт існування електронного договору або скріншотів із сайту не є достатнім доказом. Сторона, яка посилається на електронний договір підписаний ОІ має довести:

1. факт реєстрації особи у відповідній системі;
2. факт отримання саме нею одноразового ідентифікатора (смс-коду чи пароля);
3. технічну можливість системи ідентифікувати користувача;
4. факт виконання умов договору (поставка товару, надання послуг, онлайн страхування чи кредитування).

Також суди нерідко відмовляють у задоволенні позовів, якщо сторона не може довести, що саме конкретна особа пройшла ідентифікацію в особистому кабінеті або подала заявку на укладення договору. Такі висновки стосуються не лише кредитних відносин, а й будь-яких електронних договорів:

1. оренди;
2. купівлі-продажу;
3. надання послуг тощо.

Крім того, навіть якщо договір містить електронні «підписи» сторін, суди зазначають, що описаний алгоритм дій використання одноразового ідентифікатора (введення коду, натискання кнопки тощо) сам по собі не підтверджує, що саме позичальник використав ідентифікатор, а не інша особа.

Більше того, відсутність технічних доказів на стороні (журналів авторизацій, IP-адрес, даних про передачу коду) є підставою для сумнівів у дійсності договору. Як зазначено в рішенні суду у справі неможливість кредитора підтвердити технічну ідентифікацію користувача свідчить про недоведеність факту укладення договору саме з конкретною особою. Отже, не кожен договір, підписаний одноразовим ідентифікатором, автоматично визнається судом дійсним.

Суди оцінюють кожен випадок індивідуально, виходячи з наявності технічних і документальних доказів, що підтверджують:

1. реальність волевиявлення сторін;
2. автентичність електронного підпису;
3. відсутність втручання третіх осіб.

Таким чином, судова практика демонструє баланс між визнанням сучасних електронних форм договорів і необхідністю доведення фактичної участі особи в їх укладенні. Якщо сторона не надає технічних доказів ідентифікації користувача сайту чи платформи, суд може визнати договір недійсним або таким, що не укладений.

Тому, щоб уникнути ризику визнання договору недійсним або неукладеним, варто залучати кваліфікованих юристів, які допоможуть правильно оформити електронний документ, підготувати технічні підтвердження і забезпечити відповідність усіх процедур вимогам закону. Такий підхід мінімізує ризики спорів у суді й гарантує юридичну силу укладеного договору.

Підсумки

Підсумовуючи можна зазначити, що використання одноразового Ідентифікатора для підписання договорів є цілком легальним та ефективним інструментом.

Електронний підпис одноразовим ідентифікатором, відповідно до Закону прирівнюється до власноручного підпису в тих випадках, коли закон не вимагає використання Кваліфікованого електронного підпису (КЕП), пропонуючи спрощений механізм для швидких операцій, як-от онлайн-кредитування чи страхування. Цей механізм забезпечує баланс між безпекою та простотою, фіксуючи цифровий слід волевиявлення сторони.

Судова практика послідовно визнає дійсність електронних договорів, підписаних ОІ, за умови, що вони відповідають вимогам щодо форми та змісту правочину

Суди підтверджують, що такий спосіб укладення відповідає письмовій формі правочину, а вчинені дії, зокрема введення коду, мають юридичне значення. Ключовим моментом, на який звертають увагу судді, є не сам факт введення коду, а комплекс доказів, що підтверджують автентичність дій сторони.

Водночас, судова практика не є одностайною у визнанні таких договорів. Останні рішення ВС наголошують, що сам факт існування електронного договору або підтвердження SMS-кодом не є достатнім доказом, якщо сторона не може надати технічних підтверджень, які доводять, що саме інша сторона договору здійснила реєстрацію, отримала та застосувала одноразовий ідентифікатор.

Відсутність технічних доказів, як-от журнали авторизацій чи IP-адреси, є підставою для сумнівів у дійсності договору, що може призвести до його визнання недійсним

Таким чином, судова практика демонструє баланс між визнанням сучасних електронних форм і необхідністю доведення фактичної участі особи в укладенні договору.

Щоб уникнути ризику визнання договору неукладеним, бізнесу необхідно не лише прописати згоду на використання ОІ в оферті, але й забезпечити надійну технічну фіксацію всіх кроків ідентифікації та волевиявлення.

Це свідчить про те, що юридична сила договору, підписаного ОІ, залежить від якості юридичної та технічної архітектури процесу, а не лише від самого ідентифікатора.

Джерело: Команда адвоката Богдана Янківа

Читайте більше:

Як юрособі-нерезиденту отримати КЕП в ДПС

Загубили або пошкодили ключ КЕП: що робити

Чи можна мати декілька КЕП: роз'яснення від ДПС

Що таке КЕП та нащо він потрібен: роз'яснення від ДПС

Зміна керівника на підприємстві: як авторизуватися на сайті ПФУ з новим КЕП