Достаточно распространенной ошибкой организаций, взаимодействующих с банками через интернет-банкинг и системы клиент-банк, является их неповоротливость с отзывом сертификатов ключей электронной подписи при смене уполномоченных лиц и руководителей организации. Чаще всего последующие судебные споры организации проигрывают.
Однако Арбитражный суд Ростовской области в ноябре 2012 года (дело № А53-17187/12) решил, что присланного в банк извещения о смене руководителя организации вполне достаточно для того, чтобы банк самостоятельно организовал отзыв сертификата. По мнению суда, удостоверяющий центр банка, выдавший сертификат ключа подписи, обязан был аннулировать его в случае, если ему стало достоверно известно о прекращении действия документа, на основании которого сертификат был оформлен.
Суть спора
Между ОАО «Сбербанк России» и ООО «Донэргосбыт» (ООО «ДЭС») в мае 2011 года был заключен договор о предоставлении услуг с использованием системы «СПЭД», в соответствии с которым банк предоставлял услуги по приему от общества подписанных ЭЦП электронных документов на выполнение операций по банковским счетам.
12 декабря 2011 года банк получил в электронном виде платежное поручение № 4 по списанию с расчетного счета общества денежных средств в сумме 700 тысяч рублей на банковскую карту физического лица, открытую в московском банке ВТБ. Платежное поручение было принято и исполнено банком, несмотря на то, что оно было подписано сертификатом ключа подписи, принадлежащим бывшему генеральному директору общества.
Ранее, 6 декабря 2011 года, в банк была направлена информация о смене генерального директора общества с 23 ноября 2011 года. Общество отмечало, что в момент создания платежного поручения, на основании которого банк произвел списание денежных средств, бывший генеральный директор не мог без доверенности действовать от имени общества, в частности, распоряжаться денежными средствами. Доверенность ему также обществом не выдавалась.
Таким образом, банк, несмотря на имеющиеся у него сведения о смене генерального директора и отсутствии у него доверенности на распоряжение денежными средствами, не заблокировал открытый ключ ЭЦП бывшего директора, а впоследствии принял и исполнил платежное поручение, подписанное ЭЦП неуполномоченного лица.
Общество обратилось в арбитражный суд с иском о взыскании денежных средств, необоснованно списанных с его счета.
Позиция Сбербанка России
Электронный документ, полученный банком, на основании которого произошло списание денежных средств, был подписан ЭЦП, соответствующей сертификату ключа, владельцем которого является уполномоченное лицо общества.
Открытый ключ, предназначенный для проверки корректности ЭЦП, которой подписано платежное поручение, соответствовал открытому ключу, содержащемуся в сертификате ключа подписи, выданном удостоверяющим центром. Указанное платежное поручение было подписано корректной и действовавшей на тот момент ЭЦП клиента.
Общество не исполнило обязанность, установленную п.4.3.12 договора, - не произвело замену ключей ЭЦП уполномоченных лиц, в случае смены лиц, уполномоченных распоряжаться счетами. Оно также нарушило режим функционирования рабочего места уполномоченного лица, чем не исполнило обязанность, установленную п.4.3.10 договора. ООО «ДЭС» письменно не уведомило банк о приостановлении предоставления услуг согласно п. 4.4.4 договора.
Позиция Арбитражного суда Ростовской области
В ходе рассмотрения дела был допрошен свидетель, более пяти лет проработавший в Ростовском отделении 5221 Юго-Западного Сбербанка России ведущим инженером по защите информационных технологий и принимавший участие в работе комиссии по выяснению обстоятельств списания со счета общества денежных средств.
Свидетель пояснил суду, что спорный платежный документ был отправлен с компьютера, принадлежащего обществу - такой вывод был сделан на основании анализа лог-файла. Подписание и отправка документов с компьютера общества могли быть в причинной связи с наличием на компьютере вредоносного вируса. При соблюдении всех требований, указанных в договоре, возможность несанкционированного списания денежных средств была бы сведена к минимуму. Максимально снизить риск несанкционированного списания возможно при соблюдении всех требований безопасности.
При проведенном сторонами по требованию суда совместном осмотре компьютера были выявлены следующие нарушения, отраженные в акте:
- Наличие административных прав учетной записи пользователя позволяет вирусу получить административные права;
- На компьютере обнаружен автоматически запускаемый процесс, позволяющий получить удаленный доступ к компьютеру (установить, является это следствием воздействия вируса либо настроено пользователем, не представилось возможным);
- На компьютере не установлены обновления операционной системы (общество утверждало, что это могло быть последствием зараженности вирусом);
- Ключ ЭЦП находился на флеш-носителе, вставленном в ПК. На том же носителе имелись также иные файлы, что недопустимо;
- Была обнаружена «доверенная зона», которую не проверяло антивирусное программное обеспечение (пользователь может задавать параметры этой зоны, но её могла создать и вредоносная вирусная программа).
Свидетель пояснил также, что нельзя однозначно утверждать о том, что запрос был сформирован на компьютере общества. Система СПЭД подразумевает возможность хранения ключа ЭЦП на флеш-носителе и работает через интернет. Описание вируса в акте совместного осмотра компьютера содержит описание общих действий вируса. Вирус пытается противодействовать антивирусному ПО. Технология, которая использовалась в обществе, предполагает использование токена; с какого именно компьютера был оформлен запрос, установить не представляется возможным.
Суд отметил, что в период с 23 ноября 2011 года по 6 декабря 2012 года со стороны общества проводились не оспариваемые обществом операции с использованием ЭЦП бывшего генерального директора, в том числе в день предоставления в банк документов на нового генерального директора, а именно 6 декабря 2012 года, что считалось клиентом допустимым.
Какие-либо доказательства обращения общества в банк с требованием о замене ключей ЭЦП уполномоченных лиц, об отзыве сертификата бывшего директора, в материалы дела не были представлены.
Кроме того, в материалы дела обществом были представлены доказательства наличия в штате предприятия должности главного бухгалтера и выдачи банком сертификата открытого ключа главного бухгалтера. Спорный платежный документ не содержал такого реквизита, как ЭЦП главного бухгалтера, следовательно, по мнению общества, имелось основание для отказа в исполнении платежного поручения.
Суд не принял довод банка о том, что существует возможность исполнения электронных платежных документов общества, содержащих как одну, так и две ЭЦП, поскольку это, по мнению суда, противоречит положениям статьи 7 федерального закона «О бухгалтерском учете», в соответствии с которой без подписи главного бухгалтера денежные и расчетные документы, финансовые и кредитные обязательства считаются недействительными и не должны приниматься к исполнению.
Поскольку общество представило в банк пакет документов, свидетельствующий о прекращении полномочий генерального директора и вступлении в должность нового генерального директора, то банку, как удостоверяющему центру, стало известно о прекращении полномочий бывшего генерального директора.
Удостоверяющий центр, выдавший сертификат ключа подписи, обязан был аннулировать его в случае, если ему стало достоверно известно о прекращении действия документа, на основании которого оформлен сертификат ключа подписи.
Сообщение общества банку о смене руководителя предприятия суд расценил как наличие у банка достоверных сведений о прекращении полномочий директора. После получения такого сообщения банк, по мнению суда, не должен был принимать к исполнению платежные документы, оформленные с использованием ЭЦП бывшего руководителя.
Поскольку необоснованное списание денежных средств со счета истца находится в причинной связи как с действиями банка, так и с действиями общества, суд пришел к выводу о том, что вина сторон является обоюдной, и уменьшил размер подлежащего взысканию с ответчика ущерба до 30%.
Арбитражный суд первой инстанции пришел к выводу о том, что требование общества является обоснованным и решил взыскать с ОАО «Сбербанк России» в пользу ООО «Донэнергосбыт» 210 тысяч руб. ущерба и 7,2 тысяч руб. расходов по уплате госпошлины.
Пятнадцатый арбитражный апелляционный суд в марте 2013 года оставил решение Арбитражного суда Ростовской области без изменения, а апелляционные жалобы общества и банка – без удовлетворения.
Федеральный арбитражный суд Северо-Кавказского округа в июле 2013 года оставил без изменения решение Арбитражного суда Ростовской области и постановление Пятнадцатого арбитражного апелляционного суда, а кассационные жалобы – без удовлетворения.
Мой комментарий: Стоит отметить, что суды по-разному трактуют законодательство в данном вопросе. Уже были судебные споры, где суды подтверждали позицию банков о том, что у организаций имеется обязанность официально отозвать сертификат ключа подписи, даже если в банк и было направлено извещения о смене руководителя.
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/
Суд отметил, что в период с 23 ноября 2011 года по 6 декабря 2012 года со стороны общества проводились не оспариваемые обществом операции с использованием ЭЦП бывшего генерального директора, в том числе в день предоставления в банк документов на нового генерального директора, а именно 6 декабря 2012 года, что считалось клиентом допустимым.
Какие-либо доказательства обращения общества в банк с требованием о замене ключей ЭЦП уполномоченных лиц, об отзыве сертификата бывшего директора, в материалы дела не были представлены.
Кроме того, в материалы дела обществом были представлены доказательства наличия в штате предприятия должности главного бухгалтера и выдачи банком сертификата открытого ключа главного бухгалтера. Спорный платежный документ не содержал такого реквизита, как ЭЦП главного бухгалтера, следовательно, по мнению общества, имелось основание для отказа в исполнении платежного поручения.
Суд не принял довод банка о том, что существует возможность исполнения электронных платежных документов общества, содержащих как одну, так и две ЭЦП, поскольку это, по мнению суда, противоречит положениям статьи 7 федерального закона «О бухгалтерском учете», в соответствии с которой без подписи главного бухгалтера денежные и расчетные документы, финансовые и кредитные обязательства считаются недействительными и не должны приниматься к исполнению.
Поскольку общество представило в банк пакет документов, свидетельствующий о прекращении полномочий генерального директора и вступлении в должность нового генерального директора, то банку, как удостоверяющему центру, стало известно о прекращении полномочий бывшего генерального директора.
Удостоверяющий центр, выдавший сертификат ключа подписи, обязан был аннулировать его в случае, если ему стало достоверно известно о прекращении действия документа, на основании которого оформлен сертификат ключа подписи.
Сообщение общества банку о смене руководителя предприятия суд расценил как наличие у банка достоверных сведений о прекращении полномочий директора. После получения такого сообщения банк, по мнению суда, не должен был принимать к исполнению платежные документы, оформленные с использованием ЭЦП бывшего руководителя.
Поскольку необоснованное списание денежных средств со счета истца находится в причинной связи как с действиями банка, так и с действиями общества, суд пришел к выводу о том, что вина сторон является обоюдной, и уменьшил размер подлежащего взысканию с ответчика ущерба до 30%.
Арбитражный суд первой инстанции пришел к выводу о том, что требование общества является обоснованным и решил взыскать с ОАО «Сбербанк России» в пользу ООО «Донэнергосбыт» 210 тысяч руб. ущерба и 7,2 тысяч руб. расходов по уплате госпошлины.
Пятнадцатый арбитражный апелляционный суд в марте 2013 года оставил решение Арбитражного суда Ростовской области без изменения, а апелляционные жалобы общества и банка – без удовлетворения.
Федеральный арбитражный суд Северо-Кавказского округа в июле 2013 года оставил без изменения решение Арбитражного суда Ростовской области и постановление Пятнадцатого арбитражного апелляционного суда, а кассационные жалобы – без удовлетворения.
Мой комментарий: Стоит отметить, что суды по-разному трактуют законодательство в данном вопросе. Уже были судебные споры, где суды подтверждали позицию банков о том, что у организаций имеется обязанность официально отозвать сертификат ключа подписи, даже если в банк и было направлено извещения о смене руководителя.
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/
Странная позиция суда: вина ответчика явно доказана - об этом свидетельствует факт взыскание 30% от суммы ущерба. Либо судья был не уверен в своем решении, либо кто-то с кем-то договорился.
ОтветитьУдалить