Введите номер документа
Прайс-лист

Подписание документов через SMS в Казахстане: почему «электронная подпись за 90 секунд» не выдерживает проверки в суде (Оралбаев Ч., Управляющий Партнер, ТОО «SOLIS Partners»)

Скачать в Word

Скачать документ в формате .docx

Информация о документе
Датавторник, 5 мая 2026
Статус
Действующийвведен в действие с
Дата последнего изменениявторник, 5 мая 2026

05.05.2026

Подписание документов через SMS в Казахстане: почему «электронная подпись за 90 секунд» не выдерживает проверки в суде

 

Чингис Оралбаев,

Управляющий Партнер, ТОО «SOLIS Partners»

www.solispartners.kz

 

I. ВВЕДЕНИЕ

Сценарий, который казахстанские предприниматели начинают встречать в практике всё чаще: фитнес-центр оформил годовой абонемент через сервис SMS-подписания. Клиент перестал платить, фитнес-центр обратился в суд. Клиент в ответ заявил, что договор не подписывал, в указанный момент находился в командировке, а телефон оставался дома и был доступен супруге. Суд запрашивает у сервиса доказательства того, что код ввёл именно клиент. Сервис представляет логи: время отправки SMS, IP-адрес, факт ввода кода. Подтвердить, что код ввёл лично клиент, а не иное лицо, имевшее доступ к устройству, технологически невозможно. Истец проигрывает спор.

На казахстанском рынке активно развивается сегмент сервисов, предлагающих подписание гражданско-правовых договоров посредством SMS-кода, push-уведомления, биометрического подтверждения через Face ID и иных аналогичных средств. Маркетинговое позиционирование строится на тезисах «подпись за 90 секунд», «без ЭЦП и приложений», «юридическая сила, равная бумажному документу». Целевая аудитория — малый и средний бизнес: фитнес-центры, агентства недвижимости, туристические компании, образовательные организации, салоны услуг. При этом ключевые правовые риски — невозможность доказать факт подписания именно стороной договора, отсутствие подтверждения ознакомления с содержанием, обязательства в сфере персональных данных — остаются за рамками маркетинговой коммуникации.

Принятие Цифрового кодекса Республики Казахстан от 9 января 2026 года № 255-VIII ЗРК (далее — Цифровой кодекс) и признание утратившим силу Закона Республики Казахстан от 7 января 2003 года «Об электронном документе и электронной цифровой подписи» формируют качественно новый правовой режим. Цифровой кодекс впервые на уровне кодифицированного акта проводит чёткое разграничение между электронной цифровой подписью и цифровым подтверждением, прямо относя SMS-коды, одноразовые идентификаторы, push-уведомления и биометрические подтверждения к последней категории — со всеми вытекающими правовыми последствиями.

Настоящая статья анализирует правовой режим SMS-подписания в свете положений Цифрового кодекса, выявляет фундаментальные проблемы данного способа оформления волеизъявления, рассматривает вопросы распределения бремени доказывания и обработки персональных данных, и формулирует рекомендации по разграничению сфер допустимого применения SMS-подписания и обязательного использования электронной цифровой подписи.

 

II. НОРМАТИВНОЕ РАЗГРАНИЧЕНИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ И ЦИФРОВОГО ПОДТВЕРЖДЕНИЯ

2.1. Электронная цифровая подпись по статье 49 Цифрового кодекса

Пункт 1 статьи 49 Цифрового кодекса определяет электронную цифровую подпись (далее — ЭЦП) как цифровую запись, созданную с использованием закрытого ключа и средств ЭЦП, подтверждающую достоверность электронного документа, его принадлежность и неизменность содержания. Пункт 2 указанной статьи устанавливает совокупность условий, при одновременном соблюдении которых ЭЦП равнозначна собственноручной подписи: подтверждение подлинности через сертификат открытого ключа, правомерное владение закрытым ключом, использование в соответствии со сведениями сертификата, выдача сертификата аккредитованным удостоверяющим центром.

Конструкция ЭЦП основывается на инфраструктуре открытых ключей и предполагает наличие криптографически защищённой связи между подписываемым документом, личностью подписанта и удостоверяющим центром. Именно эта совокупность гарантий позволяет ЭЦП обеспечивать три фундаментальных свойства электронного документа: достоверность, принадлежность и неизменность содержания.

2.2. Цифровое подтверждение по статье 47 Цифрового кодекса

Пункт 1 статьи 47 определяет цифровое подтверждение как действие субъекта цифровой среды, выражающее согласие или иное волеизъявление, совершаемое после прохождения цифровой аутентификации с использованием средств цифровых технологий. Пункт 2 относит к цифровым подтверждениям коды, пароли, одноразовые идентификаторы, пуш-уведомления, биометрические подтверждения, цифровые записи в распределённых реестрах. Указанный перечень охватывает практически все технологические решения, применяемые казахстанскими сервисами SMS-подписания, вне зависимости от используемого канала доставки (SMS, мессенджеры, электронная почта).

2.3. Прямое нормативное разграничение

Ключевое положение содержится в пункте 4 статьи 47 Цифрового кодекса: «Цифровое подтверждение не является электронной цифровой подписью и не обеспечивает достоверность и неизменность содержания цифровой записи».

Данная норма имеет принципиальное значение по двум основаниям. Во-первых, законодатель прямо разграничил две правовые категории, исключив возможность их отождествления. Во-вторых, нормативно зафиксировано отсутствие у цифрового подтверждения тех функциональных свойств, которые статья 49 признаёт за ЭЦП. Системное толкование статей 47 и 62 Цифрового кодекса приводит к выводу: документ, подписанный посредством SMS-кода, push-уведомления или Face ID, не является электронным документом в смысле пункта 1 статьи 62 и не равнозначен документу на бумажном носителе по правилу пункта 2 указанной статьи. Равнозначность бумажному документу обеспечивается исключительно при использовании ЭЦП.

 

III. ТРИ ФУНДАМЕНТАЛЬНЫЕ ПРОБЛЕМЫ SMS-ПОДПИСАНИЯ

Помимо нормативного разграничения, проведённого Цифровым кодексом, SMS-подписание характеризуется тремя структурными проблемами доказательственного характера, существенно снижающими ценность SMS-подписи в споре.

3.1. Проблема идентификации подписанта: телефон не равен личности

SMS-код направляется на абонентское устройство, привязанное к номеру телефона, а не к конкретному физическому лицу. Факт ввода кода подтверждает доступ лица к устройству, но не подтверждает личность лица, давшего согласие на условия договора. В отличие от ЭЦП, использование которой предполагает правомерное владение закрытым ключом, выданным аккредитованным удостоверяющим центром на конкретное физическое лицо, SMS-подписание не предусматривает криптографической связи между подписью и идентификационными данными подписанта.

Следствием являются типовые сценарии, при которых SMS-подпись может быть проставлена не лицом, указанным в договоре в качестве стороны: использование телефона членом семьи, коллегой или иным лицом, имеющим физический доступ к устройству; подмена SIM-карты (SIM-swap) с восстановлением номера на иное устройство; переадресация SMS посредством услуг оператора связи или вредоносного программного обеспечения; использование номера, ранее принадлежавшего иному абоненту и переданного оператором новому пользователю после периода неактивности.

Биометрическое подтверждение через Face ID не устраняет указанную проблему. Биометрические данные сохраняются непосредственно на устройстве и привязаны к лицу, имеющему доступ к настройкам устройства, а не к стороне договора. Лицо, передавшее устройство третьему лицу с регистрацией дополнительного биометрического профиля, фактически делегирует возможность подписания любых документов через сервисы соответствующего типа. Пункт 5 статьи 48 Цифрового кодекса предусматривает, что биометрическая аутентификация при цифровизации деятельности государственных органов осуществляется с применением национальной системы биометрической аутентификации; биометрическое подтверждение, проводимое частными сервисами вне инфраструктуры национальной системы, не обладает теми же гарантиями достоверности.

 

3.2. Проблема подтверждения доставки и ознакомления с документом

Сравнительный анализ с практикой курьерской доставки демонстрирует объём недостающих гарантий. При направлении документа курьерской службой отправитель получает: трек-номер, отметку о фактической доставке, фамилию и подпись лица, получившего отправление, в ряде случаев — фотофиксацию факта вручения. При SMS-подписании сервис фиксирует лишь факт отправки SMS на абонентский номер, но не располагает данными о том: получено ли сообщение устройством, открыто ли оно, перешло ли лицо по ссылке, открыт ли непосредственно сам текст договора, ознакомилось ли лицо с полным текстом или ограничилось вводом кода без открытия документа.

Отсутствие подтверждения ознакомления имеет принципиальное значение. Пункт 3 статьи 50 Цифрового кодекса прямо устанавливает требование к программному обеспечению, использующему средства ЭЦП: лицу, подписывающему документ, должна предоставляться возможность ознакомиться с его содержанием до подписания, и создание ЭЦП должно осуществляться только после явного подтверждения действия по её созданию. Архитектура SMS-подписания не воспроизводит данную последовательность — лицо может ввести полученный код, не открыв документ. В споре сервис не сможет представить доказательств того, что подписант реализовал возможность ознакомления с текстом до момента подтверждения.

 

3.3. Проблема обеспечения неизменности содержания

Третья проблема непосредственно вытекает из формулировки пункта 4 статьи 47: цифровое подтверждение не обеспечивает неизменности содержания цифровой записи. ЭЦП, основанная на криптографическом хешировании, обеспечивает невозможность внесения изменений в документ после подписания без нарушения целостности подписи. Любое изменение даже одного символа делает подпись невалидной при проверке.

SMS-подтверждение технически не связано с содержанием документа. Один и тот же SMS-код мог бы быть введён применительно к любому документу, направленному лицу через сервис. В отсутствие криптографической привязки подписи к содержанию открывается возможность для замены текста после подписания при сохранении факта подтверждения, для подписания одного документа с фактическим намерением подписать другой, для оспаривания соответствия подписанного варианта окончательно согласованной версии. Доказательственная база в подобных спорах формируется на основании внутренних логов сервиса, что предполагает доверие к добросовестности оператора. ЭЦП, доказательственная сила которой основана на верифицируемых криптографических свойствах самой подписи, такого доверия не требует.

 

IV. ДОПУСТИМЫЕ ПРАВОВЫЕ КОНСТРУКЦИИ ИСПОЛЬЗОВАНИЯ SMS-ПОДТВЕРЖДЕНИЯ

Изложенный анализ не означает полной непригодности SMS-подтверждения. Цифровой кодекс не запрещает применение цифрового подтверждения как такового — он лишь разграничивает его правовой режим с режимом ЭЦП. Пункт 3 статьи 47 прямо предусматривает возможность использования цифрового подтверждения в случаях, установленных законами Республики Казахстан, или по соглашению сторон.

4.1. Свобода формы сделки

Гражданский кодекс закрепляет принцип свободы формы сделки. Согласно статье 152 ГК, сделка может быть совершена в устной или письменной форме; статья 396 ГК признаёт акцепт оферты совершением действий по выполнению её условий. Применительно к большинству бытовых потребительских договоров — оказания услуг фитнес-центра, туристических услуг, образовательных услуг, бытового обслуживания — закон не устанавливает обязательной квалифицированной формы. SMS-подтверждение в подобных случаях может рассматриваться как одна из форм выражения волеизъявления при условии, что стороны заранее достигли соглашения об использовании такого способа.

4.2. Рамочное соглашение об использовании SMS-подписания

Юридически устойчивая модель предполагает наличие предварительного соглашения сторон, закрепляющего: согласие на использование SMS-подтверждения как способа выражения волеизъявления, признание его юридической силы для конкретных категорий документов, порядок аутентификации и фиксации факта подписания, распределение рисков несанкционированного использования устройства, порядок разрешения споров.

Принципиальный вопрос — форма самого рамочного соглашения. Если оно подписывается также SMS-кодом, конструкция замыкается в логический круг и не обеспечивает дополнительных гарантий. Юридически корректной является модель, при которой рамочное соглашение подписывается ЭЦП, собственноручной подписью на бумажном носителе либо иным способом, обеспечивающим достоверность.

4.3. Ограничения сферы применения

Существуют категории документов, для которых SMS-подтверждение не может применяться вне зависимости от наличия соглашения сторон, поскольку требование квалифицированной формы установлено императивными нормами: документы, представляемые в государственные органы и подлежащие подписанию ЭЦП; трудовые договоры, подлежащие регистрации в Единой системе учёта трудовых договоров; сделки с недвижимым имуществом; нотариально удостоверяемые сделки; документы корпоративного управления; документы налоговой и финансовой отчётности.

В контексте трудовых отношений следует учитывать положения Закона Республики Казахстан от 7 апреля 2026 года № 277-VIII, устанавливающего автоматическую переквалификацию договоров ГПХ в трудовые при наличии признаков трудовых отношений. Переоформление договоров ГПХ в трудовые с регистрацией в ЕСУТД не может быть осуществлено посредством SMS-подписания и требует использования ЭЦП работодателя.

 

V. РАСПРЕДЕЛЕНИЕ БРЕМЕНИ ДОКАЗЫВАНИЯ В СПОРЕ О ФАКТЕ ПОДПИСАНИЯ

Описанные технологические особенности SMS-подписания приобретают практическое значение в момент спора.

5.1. Распределение бремени при использовании ЭЦП

Применительно к ЭЦП доказательственная конструкция выстроена таким образом, что лицо, оспаривающее факт подписания, обязано опровергнуть презумпцию подлинности. Сертификат открытого ключа идентифицирует конкретное физическое лицо; закрытый ключ находится в его правомерном владении; средства ЭЦП обеспечивают криптографическую связь подписи с содержанием. Для оспаривания ответчик должен доказать компрометацию ключа, его несанкционированное использование, технический сбой сертификации либо иное обстоятельство, исключающее подлинность. Презумпция работает на сторону, представляющую электронный документ.

5.2. Распределение бремени при использовании SMS-подтверждения

Применительно к SMS-подтверждению указанная презумпция отсутствует. Сторона, ссылающаяся на заключение договора, обязана доказать, что код, направленный на абонентский номер, был введён лично ответчиком, и что введение кода соответствовало волеизъявлению ответчика на заключение договора с конкретным содержанием. Бремя доказывания смещается на истца, и от объёма представленных доказательств зависит исход спора.

5.3. Что сервис способен и не способен подтвердить

Технологическая архитектура сервисов SMS-подписания позволяет фиксировать ограниченный круг сведений: факт направления SMS на абонентский номер с указанием времени; IP-адрес устройства, с которого совершён переход по ссылке; временные метки открытия страницы документа и ввода кода; результат биометрической верификации (при её использовании); геолокационные данные при наличии разрешения пользователя. Указанные сведения формируют косвенную доказательственную базу.

Существенно более широкий круг юридически значимых обстоятельств находится вне технологических возможностей сервиса. Сервис не способен подтвердить: личность лица, фактически вводившего код (устройство могло находиться у любого члена семьи, коллеги, в ремонте, могло быть украдено); факт ознакомления вводившего лица с содержанием договора; состояние волеизъявления (отсутствие порока воли, понимание правовых последствий); факт получения подписанного экземпляра подписантом после подписания; целостность абонентского канала на момент получения SMS.

5.4. Практические последствия

Истец по договору, подписанному через SMS, вынужден инициировать запросы данных у оператора связи, привлекать сервис-оператор для предоставления внутренних логов, ходатайствовать о технической экспертизе. Каждое из указанных действий связано с временными и финансовыми издержками. Ответчик при этом располагает фактически безусловной возможностью отрицания: достаточно заявить, что устройство в указанный момент находилось у иного лица, и истец оказывается в положении, когда опровергнуть данное утверждение технологически невозможно.

В практическом измерении SMS-подписание перекладывает на сторону, заинтересованную в исполнении договора, бремя и издержки доказывания обстоятельств, которые при использовании ЭЦП презюмируются. Применительно к массовым потребительским договорам с относительно небольшими суммами требований судебное взыскание может оказаться экономически нецелесообразным.

 

VI. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ СЕРВИСАМИ SMS-ПОДПИСАНИЯ

Самостоятельный блок правовых рисков связан с тем, что сервис SMS-подписания получает доступ к значительному объёму персональных данных: ФИО, индивидуальному идентификационному номеру, абонентскому номеру, биометрическим данным (при использовании Face ID), полному содержанию подписываемых договоров с финансовыми и иными чувствительными условиями.

6.1. Правовые требования к обработке

Пункт 3 статьи 37 Цифрового кодекса устанавливает, что персональные данные могут обрабатываться или передаваться только с согласия субъекта цифровых данных либо в случаях, прямо предусмотренных законами Республики Казахстан. Пункт 4 статьи 37 закрепляет за субъектом право на доступ, контроль, удаление, ограничение обработки, а также на получение информации о целях, основаниях и способах обработки. Статья 41 детализирует право на удаление, анонимизацию и ограничение обработки.

Применительно к биометрическим данным режим строже. Пункт 1 статьи 48 относит биометрические данные, используемые для цифровой аутентификации, к категории персональных данных, подлежащих защите. Пункт 3 указанной статьи допускает обязательную обработку только в случаях, установленных законами. Применение Face ID частными сервисами осуществляется на основании согласия субъекта, и объём этого согласия должен соответствовать целям обработки.

6.2. Распределение ролей и ответственности

В типовой схеме отношений возникает три участника: подписант (субъект персональных данных), заказчик услуги (например, фитнес-центр) и сервис-оператор. Сервис, технически осуществляющий обработку по поручению заказчика, как правило, выступает обработчиком, тогда как заказчик — собственником базы персональных данных. Однако фактическое распределение функций (определение целей обработки, сроков хранения, мер защиты) может смещать квалификацию, и без надлежащего договорного оформления стороны рискуют возложить на себя ответственность в большем объёме, чем предполагали.

Принципиальное значение имеет вопрос места размещения серверов. Локализация в Республике Казахстан соответствует требованиям к защите персональных данных. При использовании зарубежной инфраструктуры возникает дополнительный объём обязательств: оценка адекватности уровня защиты в стране-получателе, получение отдельного согласия субъекта на трансграничную передачу, обеспечение договорных гарантий с зарубежным контрагентом. Данные обязательства лежат на собственнике базы — то есть, как правило, на заказчике услуги.

6.3. Практические рекомендации заказчикам

Бизнесу, использующему сервисы SMS-подписания для оформления отношений с физическими лицами, рекомендуется: проверить юрисдикцию размещения серверов; убедиться в наличии договора с сервисом, чётко распределяющего роли в обработке персональных данных и ответственность сторон; обеспечить получение от подписантов согласия на обработку в объёме, охватывающем как функционал сервиса, так и собственные цели заказчика; предусмотреть процедуры реализации прав субъекта на удаление и ограничение обработки.

 

VII. КРИТИЧЕСКАЯ ОЦЕНКА ТИПОВЫХ МАРКЕТИНГОВЫХ УТВЕРЖДЕНИЙ

Анализ публичных материалов казахстанских сервисов SMS-подписания выявляет систематическое использование формулировок, способных ввести потребителя в заблуждение относительно правовой природы оказываемых услуг.

7.1. Утверждение о соответствии законодательству об ЭДО

Отдельные сервисы продолжают позиционировать решения как соответствующие Закону Республики Казахстан «Об электронном документе и электронной цифровой подписи». Указанный закон от 7 января 2003 года признан утратившим силу подпунктом 2 пункта 2 статьи 106 Цифрового кодекса. Ссылки на утративший силу закон не могут служить основанием для подтверждения юридической силы используемых решений.

7.2. Утверждение о соответствии eIDAS

Ссылки на соответствие регламенту Европейского союза eIDAS применительно к подписанию документов на территории Республики Казахстан не имеют правового значения. Республика Казахстан не является участником регулирования ЕС, и eIDAS не порождает правовых последствий на территории Казахстана. Признание иностранной электронной подписи осуществляется в порядке, установленном статьёй 57 Цифрового кодекса, через инфраструктуру доверенной третьей стороны, а не через прямую отсылку к иностранному регулированию.

7.3. Утверждение о равнозначности бумажному документу

Тезис о равной юридической силе SMS-подписанного документа и документа на бумажном носителе противоречит системному толкованию статей 47, 49 и 62 Цифрового кодекса. Равнозначность обеспечивается исключительно для электронных документов, удостоверенных ЭЦП в соответствии с требованиями статьи 49. Документы, подтверждённые SMS-кодом, не относятся к категории электронных документов и приобретают доказательственное значение лишь при наличии соглашения сторон в соответствии с пунктом 3 статьи 47.

 

VIII. ВЫВОДЫ

Принятие Цифрового кодекса формирует чёткую нормативную дихотомию между электронной цифровой подписью и цифровым подтверждением. SMS-коды, push-уведомления, биометрические подтверждения через Face ID и аналогичные средства относятся к категории цифрового подтверждения по статье 47 Цифрового кодекса и в силу прямого указания пункта 4 указанной статьи не являются электронной цифровой подписью.

Анализ нормативной базы и технологических особенностей SMS-подписания позволяет сформулировать следующие практические ориентиры:

— документ, подписанный посредством SMS-кода, не является электронным документом в смысле статьи 62 Цифрового кодекса и не равнозначен бумажному документу автоматически; равнозначность достигается только при использовании ЭЦП;

— SMS-подписание характеризуется тремя структурными доказательственными проблемами: невозможностью идентификации фактического подписанта, отсутствием механизма подтверждения получения и ознакомления с содержанием, отсутствием криптографической связи подписи с содержанием документа;

— SMS-подписание принципиально меняет распределение бремени доказывания в споре: при ЭЦП ответчик доказывает компрометацию ключа, при SMS-подтверждении истец доказывает факт ввода кода именно ответчиком; для массовых потребительских договоров это делает судебное взыскание экономически проблематичным;

— использование сервисов SMS-подписания формирует самостоятельный комплекс обязательств в сфере персональных данных: необходимо обеспечить локализацию, надлежащее распределение ответственности между заказчиком и сервисом, получение согласий в адекватном объёме, реализацию прав субъекта на удаление;

— SMS-подтверждение допустимо для бытовых потребительских договоров, для которых закон не устанавливает квалифицированной формы, при условии заключения сторонами рамочного соглашения, подписанного способом, обеспечивающим достоверность волеизъявления (ЭЦП, собственноручная подпись);

— SMS-подтверждение неприменимо для документов, требующих квалифицированной формы в силу императивных норм: трудовых договоров, документов для государственных органов, сделок с недвижимостью, нотариальных сделок, корпоративных и налоговых документов.

Для бизнес-процессов, предполагающих массовое оформление гражданско-правовых договоров с физическими лицами, оптимальной моделью является комбинированное решение: рамочное соглашение об использовании SMS-подтверждения, подписанное ЭЦП либо собственноручно, в сочетании с последующим оформлением конкретных сделок через SMS-подтверждение в рамках согласованной процедуры. Применительно к корпоративным договорам, документам с государственными органами и трудовым отношениям SMS-подписание не может рассматриваться как адекватная замена ЭЦП и должно использоваться исключительно как вспомогательное средство фиксации волеизъявления.

Дисклеймер. Настоящая статья носит исключительно информационно-аналитический характер, отражает авторскую позицию по толкованию действующего законодательства Республики Казахстан и не является юридической консультацией, правовым заключением или рекомендацией к совершению конкретных действий. Изложенные в статье выводы основаны на анализе нормативных правовых актов по состоянию на дату публикации и могут не совпадать с правовой позицией государственных органов и судов. Правоприменительная практика по вопросам разграничения электронной цифровой подписи и цифрового подтверждения находится в стадии формирования и может изменяться. Каждая фактическая ситуация требует индивидуальной правовой оценки. Автор и ТОО «SOLIS Partners» не несут ответственности за решения, принятые читателями на основании настоящей статьи без получения профессиональной юридической помощи.

 

Укажите название закладки
Создать новую папку
Закладка уже существует
В выбранной папке уже существует закладка на этот фрагмент. Если вы хотите создать новую закладку, выберите другую папку.
Режим открытия документов

Укажите удобный вам способ открытия документов по ссылке

Включить или выключить функцию Вы сможете в меню работы с документом

Доступ ограничен
Чтобы воспользоваться этой функцией, пожалуйста, войдите под своим аккаунтом.
Если у вас нет аккаунта, зарегистрируйтесь
Обратная связь

Уважаемый пользователь! Мы стремимся постоянно улучшать качество наших услуг. Пожалуйста, поделитесь своими предложениями — Ваше участие поможет нам стать ещё удобнее и эффективнее для Вас!