Когда изучаешь арбитражную практику по искам организаций к банкам о неправомочном списании с их счетов денежных средств через системы «клиент-банк» и «интернет-банкинг», постоянно вспоминается поговорка «что имеем - не храним, потерявши – плачем». При рассмотрении дел в суде нередко выясняется, что организация регулярно допускала такой «букет» нарушений, что остается лишь удивляться, почему не все деньги были у неё украдены.
В деле №А45-23044/2011, помимо «коллекции» нарушений элементарных правил обеспечения информационной безопасности, допущенных организацией при работе в электронной среде, представляет интерес и то, что по её утверждению, она направила в банк платежное поручение с совершенно другими реквизитами и гораздо меньшей суммой. Как все это трансформировалось в платеж физическому лицу в размере 1 млн. рублей, пришлось разбираться Арбитражному суду Новосибирской области в феврале 2012 года.
Суть спора
11 апреля 2011 года ООО «Беспроводные технологии» сформировало в системе Клиент-банк платежное поручение №156 на сумму 318 рублей 50 копеек, получатель платежа - ООО «Грузовозофф», назначение платежа: «оплата за ТЭУ по сч. НБ-1602/11 от 08.04.2011 г.». Затем данное платежное поручение было отправлено в электронном виде в адрес банка и было им исполнено, о чем 11 апреля 2011 года в 15 часов 55 минут 28 секунд организацией было получено уведомление, заверенное электронно-цифровой подписью банка.
12 апреля 2011 года из выписки Банка на начало рабочего дня обществу стало известно, что с расчетного счета организации вместо суммы в размере 318 рублей 50 копеек была списана сумма в размере 1 млн. рублей на основании платежного поручения № 156 от 11 апреля 2011 года, имеющего иные реквизиты, а именно: получатель – Д., банк получателя: ОАО «Сбербанк России», г. Москва, назначение платежа: «оплата по договору купли ценных бумаг № 71 от 29.03.2011 г.».
Поскольку общество не состояло в каких-либо отношениях с физическим лицом Д., не заключало с ним договора купли-продажи ценных бумаг, не имело намерения перечислить в его адрес сумму в размере 1 млн. рублей и не формировало платежное поручение с вышеуказанными реквизитами, то, по его мнению, оснований для списания с расчетного счета общества и направления этой суммы в адрес Д. у банка не имелось.
Договориться с банком во внесудебном порядке не удалось и общество обратилось с иском в суд.
Позиция Арбитражного суда Новосибирской области
В марте 2009 года между АК «Сберегательный банк Российской Федерации» в лице Сибирского банка и обществом был заключен договор банковского счета. Одновременно с указанным договором был заключен договор о предоставлении услуг с использованием системы «Клиент-Сбербанк».
Согласно заявке на проведение работ по договору и акту готовности к эксплуатации автоматизированной системы «Клиент-Сбербанк», передача электронных данных от Клиента к Банку осуществляется посредством модема. Вместе с этим программист банка установил на рабочем месте общества в качестве дополнительной опции возможность отправки электронных документов через сеть Интернет. Поскольку дополнительное соглашение по этому вопросу подписано с банком не было, то, по мнению общества, банк обязан был принимать к исполнению только платежные документы, поданные обществом посредством модема.
Общество обратилось к банку с заявлением о возвращении списанных денежных средств. Была создана согласительная комиссия, из протокола заседания которой суд сделал вывод о том, что комиссия не смогла установить причину несанкционированного списания денежных средств со счета истца.
Техническая экспертиза установила, что спорное платежное поручение на 1 млн. рублей было подписано корректной ЭЦП общества, однако не смогла установить, с какого компьютера поступило данное платежное поручение.
К единому мнению относительно причин и ответственности за случившуюся ситуацию комиссия так и не пришла. По мнению Банка, денежные средства были похищены неизвестными лицами, которые проникли в компьютерную систему общества, и вины банка в этом нет. По мнению общества, несанкционированное списание денежных средств со счета стало возможным из-за дефекта безопасности самой системы «Клиент-Сбербанк», которая не обеспечивает сохранность денежных средств клиента.
Общество не отрицало корректность ЭЦП спорного платежного поручения, однако считало, что авторство платежного документа не установлено. По мнению суда, данная позиция противоречит условиям договора, где авторство электронного документа напрямую зависит от наличия корректной ЭЦП, и именно ею определяется. При этом суд отметил, что спорное платежное поручение было составлено на бланке формы 0401060 и соответствовало всем предъявляемым к данному виду расчетных документов требованиям.
Неосновательным суд счел и довод общества о том, что банк не должен был принимать платежное поручение, поступившее по системе «Клиент-Сбербанк» посредством сети Интернет, поскольку в соответствии с договором был налажен канал связи через модем.
Суд отметил, что договор не содержит положений о том, что платежные документы должны передаваться исключительно по каналу связи через модем; также в договоре не говорится и о том, что Банк не должен исполнять платежные документы общества, полученные по системе «Клиент-Сбербанк» посредством сети Интернет.
Согласно п. 5.2 договора, общество самостоятельно проводит установку, переустановку и настройку переданного банком программного обеспечения в соответствии с представленными инструкциями на своих аппаратных средствах, отвечающих требованиям спецификации.
Согласно Акту приема-передачи программных средств АС «Клиент-Сбербанк» от 27 марта 2009 года, общество получило все необходимые документы и инструкции (в соответствии с п. 4.1. договора № 1722), в том числе и инструкцию по переходу на Интернет-соединение.
В письме от 24 июня 2011 года общество сообщило банку, что на его компьютере установлено 3 комплекта ПО системы «Клиент-Сбербанк» для трех различных юридических лиц, арендующих помещения в одном офисе. Для одного из юридических лиц был настроен канал связи посредством сети Интернет. На этом основании суд сделал вывод о том, что общество самостоятельно могло настроить Интернет-соединение.
Согласно представленным банком отчетам о работе агента приема-передачи данных, общество и ранее осуществляло связь с банком посредством сети Интернет. Указанное обстоятельство общество не оспаривало.
Создание корректной ЭЦП электронного документа возможно исключительно с использованием закрытого ключа ЭЦП, который был самостоятельно изготовлен обществом и хранился у него. Банк не имел доступа к закрытому ключу ЭЦП общества.
При таких обстоятельствах, арбитражный суд признал обоснованным довод банка о том, что спорная ситуация могло произойти только при нарушении обществом требований об обеспечении безопасности.
В итоге суд отказал в удовлетворении иска общества.
Седьмой арбитражный апелляционный суд в мае 2012 года оставил без изменения решение Арбитражного суда Новосибирской области, а апелляционную жалобу ООО «Беспроводные технологии» без удовлетворения.
В кассационной инстанции дело не рассматривалось.
Мой комментарий: Ну что тут можно сказать – постоянно нарушая общепринятые меры по обеспечению информационной безопасности, трудно ожидать, что никто не попытается этим воспользоваться…
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/
и какие "общепринятые меры по обеспечению информационной безопасности" были нарушены обществом в данном случае?
ОтветитьУдалитьХотя бы этот:
Удалить"установлено 3 комплекта ПО системы «Клиент-Сбербанк» для трех различных юридических лиц" - короче: проходной двор.
Что там было с ключами и паролями одному богу ведомо, учитывая пристрастия пользователей.
"установлено 3 комплекта ПО системы «Клиент-Сбербанк» для трех различных юридических лиц" - и чему это противоречит? (только конкретно, а не "по понятиям")
Удалить"короче: проходной двор" - это _ваше_ личное мнение.
_моё_ личное мнение - если в этих трёх юридических лицах один и тот же глав. бух, или между ними заключен договор на бухгалтерское обслуживание - то лучше иметь 1 компьютер с 3 клиент-банками, чем 3 разных компьютера.
"Что там было с ключами и паролями одному богу ведомо" - т.е. это опять _предположения_, а не «коллекция нарушений элементарных правил обеспечения информационной безопасности»
поэтому вопрос остаётся в силе - какие именно "общепринятые меры по обеспечению информационной безопасности" были нарушены обществом в данном случае?
@Анонимный: "Это Ваше личное мнение" - Конечно! "Это опять предположения" - да, конечно, - равно как и Вы строите свои аргументы на (других) предположениях. Разница лишь в том, что, как показывает практика, мои предположения где-то на порядок более вероятны, чем Ваши - работает известный принцип "хрупкости хорошего" :)
ОтветитьУдалитьВообще говоря, несложно напридумывать предположения, при которых ничего страшного не будет в том, что все сотрудники организации будут иметь доступ к закрытым ключам и возможность работать за компьютером с "клиент-банком". который будет установлен для сотни организаций и подключен ко всем мыслимым каналам связи (на всякий случай), - естественно, без контроля IP-адресов на стороне банка... :)