Небрежное отношение к соблюдению правил информационной безопасности, - даже тогда, когда идет речь о деньгах и использовании ЭЦП/УЭП, - встречается чаще, чем хотелось бы. Только тогда, когда деньги исчезают со счета, пострадавшие начинают искать виноватых, и в первую очередь обвиняют обслуживающие их банки. Так произошло и на этот раз: индивидуальный предприниматель обвинил именно банк в своих финансовых потерях.
Дело № А60-15360/2011 разбирал Арбитражный суд Свердловской области в октябре 2011 года.
Суть спора
Между индивидуальным предпринимателем Ш. и Коммерческим банком «Кольцо Урала» в августе 2007 года был заключен договор банковского счета на оказание банковских услуг. В июле 2009 года было подписано дополнительное соглашение к договору банковского счета об использовании системы дистанционного банковского обслуживания (далее – система ДБО) «Интернет Клиент».
1 и 2 сентября 2010 года в банк через систему поступили два платежных поручения о перечислении с расчетного счета Ш. суммы в размере более 350 тысяч рублей на счет П. в ОАО АКБ «ПРОМБИЗНЕСБАНК», г. Москва. Платежные поручения были заверены ЭЦП, в связи с чем они были обработаны и исполнены банком.
Ш., сославшись на то, что указанные платежные поручения им в банк не направлялись, обратился в арбитражный суд с иском к банку о взыскании более 402 тысяч рублей за ненадлежащее исполнение банком принятых обязательств по договору банковского счета.
Позиция Арбитражного суда Свердловской области
Поскольку, в соответствии со ст. 17 федерального закона «Об электронной цифровой подписи», порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы, то суд внимательно изучил положения договора, заключенного между банком и клиентом и результаты проверки, которая была проведена банком в связи с поступившими заявлением о несанкционированном списании денежных средств.
Банком было установлено, что ЭЦП спорного платежного поручения создана с использованием закрытого ключа, принадлежащего Ш.
По согласованию с истцом сотрудниками банка был произведен осмотр принадлежащего истцу компьютера, с которого осуществлялся доступ в систему ДБО. В ходе осмотра и проведенной проверки было установлено, что на жестком диске компьютера присутствовали вредоносные программы, не выполнены иные меры по обеспечению безопасности при работе в системе ДБО:
- На компьютере не исключено посещение интернет-сайтов сомнительного содержания, загрузка и установка нелицензионного программного обеспечения, т.к. работа осуществляется с правами администратора системы;
- На компьютере истца использовалось нелицензионное программное обеспечение;
- До 24 августа 2010 года эксплуатация компьютера осуществлялась без использования антивирусной программы, при этом 30 августа 2010 года, согласно данным в журналах антивирусной программы, при проведении полной проверки были обнаружены вредоносные программы, что могло привести к копированию файлов с секретными ключами ЭЦП и пароля клиента;
- Компьютер находился в свободном использовании ответчика и членов его семьи, при этом сменный носитель с ЭЦП хранился в доступном месте (в конверте рядом с компьютером).
В качестве одного их главных обстоятельств, на котором Ш. основывал свои требования, было то, что банком не была надлежащим образом обеспечена конфиденциальность информации и, следовательно, сохранность денежных средств на счете клиента, поскольку в генерации ключа ЭЦП участвовал непосредственно сотрудник банка Я. (на тот момент сотрудник службы технической поддержки).
В судебном заседании Я. был допрошен в качестве свидетеля и сообщил, что, поскольку истец самостоятельно не мог сгенерировать ключ ЭЦП, при первой генерации ключа ему действительно была оказана необходимая техническая поддержка, однако ключ не был ни скопирован, ни скомпроментирован иным образом. В мае 2010 года в связи с порчей ключевого носителя для Ш. была сделана повторная перегенерация ключей ЭЦП на компьютере клиента в присутствии инженера банка, оформлен сертификат абонента корпоративной информационной системы. Как указал свидетель, при генерации второго ключа, доступ к компьютеру клиента не производился, все необходимые технические манипуляции выполнялись непосредственно супругой Ш., ключ ЭЦП сохранен на дискету самостоятельно супругой Ш., и возможности скомпрометировать ключ или скопировать его у сотрудника банка не имелось. После мая 2010 года перегенераций ключей ЭЦП Ш. не производилось.
В соответствии с п.4.3 дополнительного соглашения, вся ответственность за конфиденциальность секретных (закрытых) ключей ЭЦП возлагается на клиента, как на единственного их владельца. Согласно п. 5.1 дополнительного соглашения, банк не несет ответственности за ущерб, возникший вследствие компрометации клиентом ключей подсистемы защиты информации, как то: утери ключевой дискеты, несанкционированного доступа к ней третьих лиц и других преднамеренных и непреднамеренных действий клиента.
В случае несоблюдения правил информационной безопасности (допуск к компьютерам лиц, не имеющих права использовать ДБО, отсутствие специализированных программных средств безопасности, отсутствие средств антивирусной защиты, использование нелицензионного программного обеспечения, посещение интернет-сайтов сомнительного содержания) не исключено несанкционированное копирование с компьютера как пароля клиента, так и закрытых и открытых ключей ЭЦП во время работы в системе ДБО. Такое копирование производится, как правило, с помощью вирусных программ и иного вредоносного программного обеспечения.
Помимо этого, Ш. 3 августа 2010 года подписал заявление об отказе от услуги IP-фильтрации, для его учетной записи были сняты все ограничения и он мог заходить в систему с любого компьютера, подключенного к сети Интернет. Платежные документы принимались банком с любого IP-адреса.
Клиент был обязан хранить файлы с секретными ключами ЭЦП на съемных носителях, отключать / извлекать съемные носители когда они не используются, ограничить доступ к компьютеру, используемому для работы с системой ДБО (п. 4.2.1 дополнительного соглашения ДБО).
Суд принял во внимание то, что списание денежных средств было произведено по платежным поручениям, оформленным в соответствии с требованием законодательства при наличии корректной ЭЦП истца. Поскольку нарушения банком условий договора банковского счета и дополнительного соглашения арбитражным судом не было установлено, суд отказал в удовлетворении исковых требований ИП.
Семнадцатый арбитражный апелляционный суд в декабре 2011 года оставил решение Арбитражного суда Свердловской области без изменения, а апелляционную жалобу – без
удовлетворения. Эту позицию поддержал в марте 2012 года и Федеральный арбитражный суд Уральского округа.
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/
В судебном заседании Я. был допрошен в качестве свидетеля и сообщил, что, поскольку истец самостоятельно не мог сгенерировать ключ ЭЦП, при первой генерации ключа ему действительно была оказана необходимая техническая поддержка, однако ключ не был ни скопирован, ни скомпроментирован иным образом. В мае 2010 года в связи с порчей ключевого носителя для Ш. была сделана повторная перегенерация ключей ЭЦП на компьютере клиента в присутствии инженера банка, оформлен сертификат абонента корпоративной информационной системы. Как указал свидетель, при генерации второго ключа, доступ к компьютеру клиента не производился, все необходимые технические манипуляции выполнялись непосредственно супругой Ш., ключ ЭЦП сохранен на дискету самостоятельно супругой Ш., и возможности скомпрометировать ключ или скопировать его у сотрудника банка не имелось. После мая 2010 года перегенераций ключей ЭЦП Ш. не производилось.
В соответствии с п.4.3 дополнительного соглашения, вся ответственность за конфиденциальность секретных (закрытых) ключей ЭЦП возлагается на клиента, как на единственного их владельца. Согласно п. 5.1 дополнительного соглашения, банк не несет ответственности за ущерб, возникший вследствие компрометации клиентом ключей подсистемы защиты информации, как то: утери ключевой дискеты, несанкционированного доступа к ней третьих лиц и других преднамеренных и непреднамеренных действий клиента.
В случае несоблюдения правил информационной безопасности (допуск к компьютерам лиц, не имеющих права использовать ДБО, отсутствие специализированных программных средств безопасности, отсутствие средств антивирусной защиты, использование нелицензионного программного обеспечения, посещение интернет-сайтов сомнительного содержания) не исключено несанкционированное копирование с компьютера как пароля клиента, так и закрытых и открытых ключей ЭЦП во время работы в системе ДБО. Такое копирование производится, как правило, с помощью вирусных программ и иного вредоносного программного обеспечения.
Помимо этого, Ш. 3 августа 2010 года подписал заявление об отказе от услуги IP-фильтрации, для его учетной записи были сняты все ограничения и он мог заходить в систему с любого компьютера, подключенного к сети Интернет. Платежные документы принимались банком с любого IP-адреса.
Клиент был обязан хранить файлы с секретными ключами ЭЦП на съемных носителях, отключать / извлекать съемные носители когда они не используются, ограничить доступ к компьютеру, используемому для работы с системой ДБО (п. 4.2.1 дополнительного соглашения ДБО).
Суд принял во внимание то, что списание денежных средств было произведено по платежным поручениям, оформленным в соответствии с требованием законодательства при наличии корректной ЭЦП истца. Поскольку нарушения банком условий договора банковского счета и дополнительного соглашения арбитражным судом не было установлено, суд отказал в удовлетворении исковых требований ИП.
Семнадцатый арбитражный апелляционный суд в декабре 2011 года оставил решение Арбитражного суда Свердловской области без изменения, а апелляционную жалобу – без
удовлетворения. Эту позицию поддержал в марте 2012 года и Федеральный арбитражный суд Уральского округа.
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/
Комментариев нет:
Отправить комментарий