Вниманию хозяйствующих субъектов и лиц,

участвующих в электронной ветеринарной

сертификации

Уважаемые дамы и господа, вынуждены обратить ваше внимание на распространяющийся в настоящее время тип нарушений при гашении электронных ветеринарных сертификатов (эВСД), в связи с тем, что нарушения этого типа множатся.

Суть нарушения заключается в том, что некоторые пользователи ИС "Меркурий" передают свои учетные записи для авторизации в системе третьему лицу, которое используя их производит гашение эВСД.

Как показывает анализ ситуации, в подавляющем большинстве случаев такое гашение осуществляется крайне безответственно по следующему алгоритму.

Человек, осуществляющий такое гашение, будем обозначать его как "предприниматель", как правило заключает договор сразу с несколькими недобросовестными пользователями программы - это могут быть ИП, представители КФХ, сельхозпредприятий и т.д. По условиям этого договора он получает необходимые данные для использования ИС "Меркурий". 

Далее, вводя чужой логин и пароль, такой "предприниматель" заходит в "Меркурий" с определенной периодичностью и гасит все эВСД, оформленные в адрес пользователей, передавших ему доступ к системе.

При этом в процессе гашения во внимание не принимается:

• получена ли партия подконтрольного товара, на которую оформлен эВСД;

• получена ли какая-либо партия подконтрольного товара после оформления эВСД;

• соответствует ли реально доставленный товар указанному в эВСД;

• соответствует ли объем полученного товара его объему, указанному в эВСД.

Т.е. производится недобросовестное гашение всех документов одномоментно.

Такие "предприниматели" действуют обычно по двум схемам. 

Первая схема заключается в работе исключительно через web-интерфейс "Меркурия", то есть с помощью компьютера и чужого логина и пароля осуществляются гашение всех подряд входящих эВСД, которые отображаются в личном кабинете. Затем осуществляется переавторизация, и под логином и паролем следующего недобросовестного пользователя проводится аналогичная работа. Процедура по каждому договору повторяется 1-2 раза в сутки.

Вторая схема несколько сложнее. 

"Предприниматель" сообщает своему заказчику, что работает по выбору либо в Web-интерфейсе "Меркурия" (т.е. в ручном варианте), либо в своем API-интерфейсе (т.е. производит автоматизированное гашение). Это неправда. На самом деле он работает только через Web-интерфейс и только в автоматическом режиме.

Для работы через Web-интерфейс используется бот. Бот - это программа (она написана не специально для работы с "Меркурием"), которая работает с web-формой. Бот авторизуется в web-интерфейсе Меркурия, используя логин и пароль конкретного пользователя, которые он автоматически вводит в соответствующие поля формы аутентификации. Затем бот перенаправляется "Меркурием" в соответствующую форму и производит гашение всех эВСД. Затем бот выходит из "Меркурия", и дальше все повторяется с  использованием логина и пароля следующего пользователя. В ряде случаев этот бот имеет достаточно развитую систему настроек. Например, он может гасить входящие эВСД только по истечении определенного времени после их оформления.

Отметим при этом, что действующим таким образом "предприниматель" может осуществлять и совсем иной вид деятельности. 

В частности, он может быть разработчиком или пользователем информационной системы, которая может быть интегрирована с одной стороны с "Меркурием", а с другой стороны – с информационной системой хозяйствующего субъекта (например с 1С). Тогда хозяйствующий субъект – получатель в 1С его предприятия отмечает входящие эВСД, которые он желает погасить, его 1С – система передает данные об этом вместе со своим API-key и логином (логином, но не паролем! Логин может быть известен кому угодно, а пароль – только самому пользователю) пользователя, который в данный момент отвечает за работу этого API-key, в информационную систему "предпринимателя", а она передает эти данные в Меркурий, который производит гашение тех входящих эВСД, которые отметил хозяйствующий субъект-получатель. Если в 1С-системе получателя работа организована правильно, то в этой схеме работы нет нарушений и осуществляет гашение легально действующая компания - концентратор. В этом случае можно лишь пожелать, чтобы такая компания-концентратор сообщила нам о этой своей деятельности.

Почему это является правонарушением в юридическом смысле?

Во-первых, потому, что в данном случае некто, входя в "Меркурий" под чужими логином и паролем, вводит в систему заведомо ложные данные о себе: он вводит не свои логин и пароль, а чужие. Простым языком он подделывает документ.

Во-вторых, учитывая описанный выше алгоритм действий, он вносит в систему заведомо ложные данные, о получении/неполучении и составе партии, поскольку истинных данных он не знает и ими не интересуется.

А нормативными документами установлен запрет на внесение заведомо ложных данных и меры ответственности за это. Причем в данном случае ответственность несет хозяйствующий субъект – получатель (как организация или как ИП), тот пользователь "Меркурия", кто передал свои логин и пароль третьему лицу (как должностное лицо или как физическое лицо), т.е. первичный владелец этих данных и тот кто ими пользуется, как физическое лицо (он, как правило представляется ИП или является ИП), а если это не ИП или гражданин, то еще и как юридическое лицо.

Почему так нельзя поступать в сутевом смысле?

Дело в том, что гашение эВСД в системе электронной ветеринарной сертификации является не менее важной акцией (операцией), чем оформление эВСД. 

Оформляя эВСД, оформляющее его лицо описывает подконтрольный товар, сообщает системе его количество, точку выхода и место доставки, отправителя и получателя. Среди прочего "Меркурий" определяет можно ли перемещать такой товар из точки отправки в точку получения и проверяет не является ли данная партия товара скомпрометированной (т.е. той, которая подлежит изъятию из обращения).

Производя гашение, осуществляющее его лицо подтверждает, что данная партия получена, соответствует описанию и количеству, указанному в эВСД. Подтверждает, что теперь товар находится не там, где находился ранее (т.е. в точке оправки), а в другом месте (в точке получения), а также то, что не прежний, а новый собственник отвечает за данный товар.

Почему это важно?

Приведем один пример. Допустим, после выпуска какой-то продукции обнаружилось, что в ней что-то опасное, например – возбудитель заразной болезни. 

Что будут делать надзорные органы? 

Они используют одну из функций "Меркурия", которая позволяет моментально поднять содержащиеся в его базах данных записи о том, где находятся все части этой производственной партии. Затем последует изъятие этих составных частей. 

Если все участники процесса ведут себя ответственно, в том числе ответственно подходят к гашению, то все будет хорошо и просто: все части партии найдутся и будут изъяты. В результате никто не пострадает.

В противном же случае, если гашение проводится недобросовестно, надзорные органы не смогут найти небезопасную продукцию. (Где искать то, сертификат на что, не глядя, погасили, а товар не получили, и он уехал совсем в другое место? А в этом другом месте, куда поступил опасный товар, другой или этот же "предприниматель" погасил, не глядя, эВСД на безопасный товар, получив на самом деле опасный?).

К сожалению, хозяйствующие субъекты, передающие свой доступ в "Меркурий" иным лицам, которые на коммерческой основе осуществляют недобросовестное гашение, не в полной мере понимают свою меру ответственности. И в случае возникновения прецедента, когда будет выявлен небезопасный товар, который подлежит изъятию и уничтожению, не смогут предъявить убедительных доказательств, что не получали опасную продукцию и не реализовали ее. 

В связи с вышеизложенным просим всех участников оборота продукции не допускать подобных нарушений.

При их выявлении Россельхознадзор будет блокировать логины пользователей, передающих их третьим лицам для недобросовестного гашения сертификатов. При этом блокировка, согласно действующим правилам, будет производиться на длительный срок, а при повторном выявлении пользователь утратит возможность самостоятельного использования "Меркурия". В таком случае оформлять и гасить сертификаты он сможет только через специалистов государственных ветеринарных служб субъектов РФ. 

Кроме того, Россельхознадзор, начиная с 2 апреля 2021 года, будет блокировать активность всех лиц, кто производит недобросовестное гашение по чужим учетным записям, по всем используемым ими IP-адресам и передавать информацию о них в правоохранительные органы без предварительного уведомления. 

Также сообщаем, что в скором времени в "Меркурии" появится real-time система идентификации ботов и подозрительной активности внешних информационных систем. В не угрожающих случаях при их выявлении данному пользователю будет принудительно подключаться функция двойной идентификации (чтобы убедиться, что именно этот зарегистрированный пользователь осуществляет данное действие), а в угрожающих случаях "Меркурий" не будет принимать запросы на гашение эВСД под данными логином и/или паролем до разбора ситуации. Просим это учесть в дальнейшей работе.

В заключение отмечаем, что все вышесказанное, не означает, что в "Меркурии" нельзя осуществлять уполномоченное гашение с использованием как web-, так и API-интерфейсов "Меркурия" (при этом нельзя использовать боты для работы в web-интерфейсе).

Любой хозяйствующий субъект может зарегистрировать своего представителя в системе, и этот представитель может не быть сотрудником данного хозяйствующего субъекта. 

Этот представитель может за данного хозяйствующего субъекта осуществлять гашение эВСД в web-интерфейсе. 

Однако, он должен делать это в web-интерфейсе под своим логином и паролем, а не под чужим, то есть не используя учетные записи своего работодателя или его сотрудников. При этом он должен отслеживать исполнение установленных требований, т.е. производить сверку поступившего товара с информацией в эВСД. Гашение эВСД в таком случае производится не более, чем через 1 рабочий день после поступления товара, но не до получения товара, и т.д.

В таком случае представитель может за хозяйствующего субъекта осуществлять гашение эВСД, используя собственную или приобретенную им информационную систему и API-интерфейс "Меркурия", сообщив в Россельхознадзор об этом направлении своей деятельности. При этом запрещено использовать пароль сотрудников своего работодателя и данные из web-интерфейса работодателя. Иными словами, данные следует получать из API-интерфейса информационной системы работодателя.

При этом хозяйствующий субъект-получатель несет ответственность за действия в системе своего представителя (концентратора), а представитель (концентратор) – за собственные действия. Хозяйствующим субъектам-получателям, которые решат использовать этот путь, настоятельно рекомендуем заключать договор на исполнение данной работы, в котором четко указано зона ответственности сторон, в том числе за допущенные нарушения. 

Концентратор должен обеспечить адекватную, без искажений, передачу данных, полученных из информационной системы работодателя, а работодатель должен установленным порядком получить свой собственный API-key для работы с "Меркурием" (даже если он не предполагает работать с "Меркурием" непосредственно, а намерен действовать только через концентратора).