суббота, 21 июня 2014 г.

Арбитражная практика: Даже звонок банка в организацию не спас от несанкционированного списания средств


Несанкционированное списание денежных средств со счетов организаций через системы удаленного доступа в последнее время стало достаточно распространенным явлением.

В августе 2013 года очередное такое дело № А36-1616/2013 рассмотрел Арбитражный суд Липецкой области. Как часто бывает в подобных случаях, организация попыталась через суд добиться возмещения ущерба от обслуживающего её банка. При рассмотрении дела выяснилось, что организация ухитрилась нарушить ряд правил информационной безопасности, что и привело к потере 4,8 млн. рублей.

Суть спора

В мае 2011 года с расчетного счета Некоммерческой организации «Благотворительный фонд Борцовых» в Лебедянском отделении № 3850 ОАО «Сбербанк России» были перечислены денежные средства в сумме более 4,8 млн. руб. в адрес физического лица. Денежные средства были обналичены в период с 13 по 16 мая 2011 года через банкоматы.

Фонд сообщил в первый рабочий день после проведения банком платежа о том, что платежное поручение на эту сумму и за этим номером не формировалось и не отправлялось в банк.

Фонд обратился в суд с требованием о взыскании убытков, понесенных им из-за неправомерных действий банка.

Позиция Некоммерческой организации «Благотворительный фонд Борцовых»

По мнению фонда, банком были грубо нарушены требования пункта 3.1 дополнительного соглашения к договору об обслуживании в системе «Клиент-Банк», поскольку перевод денежных средств был произведен в 14 часов 28 минут 6 секунд, тогда как в соответствии с требованиями дополнительного соглашения в предвыходные и предпраздничные дни для электронных расчетных документов в валюте РФ установлено расчетное время до 14 часов.

Кроме того, фонд указывал на то, что пунктом 3.12 договора предусмотрено, что защищенные ЭЦП электронные платежные документы, поступившие в банк от клиента по системе «Клиент-Сбербанк» в течение операционного времени банка, принимаются банком к исполнению текущим рабочим днем. Электронные платежные документы, поступившие в банк от клиента в послеоперационное время банка, принимаются к исполнению банком на следующий рабочий день.

По мнению фонда, внимание сотрудников банка должен был привлечь несоответствующий нумерации платежных поручений клиента номер спорного платежного поручения, а также отсутствие в нем указания КПП фонда.

Кроме того, фонд ссылался на то, что помимо условий договора банком было нарушено распоряжение заместителя председателя Центрально-Черноземного Банка Сбербанка РФ от 2 марта 2011 года «О дополнительных мерах по предотвращению мошенничества по АС «Клиент - Сбербанк»», согласно которому сотруднику банка следует производить контрольный звонок клиенту для подтверждения платежа на сумму, превышающую 75 тысяч руб., однако банк не позвонил ответственному лицу фонда.

Позиция Арбитражного суда Липецкой области

Судом было установлено, что после подписания договора «Клиент - Сбербанк» стороны согласовали и подписали два сертификата ключа ЭЦП – для генерального директора фонда и главного бухгалтера.

После обнаружения спорной ситуации представители сторон в соответствии с установленной договором процедурой провели проверку и в июле 2011 года составили Акт технической экспертизы, в котором сделано два вывода:
  • Результат проверки корректности ЭЦП: файл, содержащий спорный документ – платежное поручение № 174 - подписан действующими на момент подписания двумя электронными цифровыми подписями клиента с согласованными идентификаторами подписей генерального директора и главного бухгалтера

  • На основании проверки корректности ЭЦП транспортного файла комиссия сочла авторство спорного платежного поручения установленным.
Отраженные в Акте технической экспертизы выводы комиссии подтверждены также подписанным представителями обеих сторон актом вычисления значений хэш-функции, распечатками журнала работы АРМ «ViewDoc», распечаткой содержимого документов транспортного файла. Таким образом, комиссия установила, что платежный документ был оформлен и передан в банк в соответствии с условиями договора «Клиент-Сбербанк» в составе файла и имел истинные и зарегистрированные в установленным порядком электронные цифровые подписи генерального директора фонда «Благотворительный фонд Борцовых» и главного бухгалтера фонда.

При таких обстоятельствах, по мнению суда, у банка не имелось оснований не исполнить предусмотренную договором обязанность по принятию к исполнению поступившего от клиента электронного платежного документа, оформленного и переданного в банк в соответствии с условиями договора и подписанный корректной ЭЦП.

Суд также отметил, что комиссией в ходе проверки было установлено ненадлежащее исполнение фондом условия договора «Клиент-Сбербанк»: компьютер был подключен к сети Интернет, на нем была установлена программа удаленного администрирования, которая позволяет удаленно управлять компьютером с других компьютеров сети, к компьютеру имел доступ бухгалтер другой организации.

Из материалов дела следует, что в результате несоблюдения фондом требований по обеспечению безопасности в процессе эксплуатации АРМ «Клиент» имелась возможность использования носителей с главным ключом и ЭЦП руководителя и главного бухгалтера лицами, не имеющими таких полномочий, как со стороны локальных вычислительных сетей организации, так и со стороны глобальной сети Интернет.

Ссылка фонда на то, что банк неправомерно исполнил спорный платежный документ после истечения установленного в договоре операционного времени, не нашел документального подтверждения в материалах дела, т.к. с августа 2009 года в Центрально-Черноземном банке ОАО «Сбербанк России» (Липецкая, Воронежская, Белгородская, Тамбовская, Курская области) было установлено единое операционное время: в рабочие дни - с 09.00 до 16.00; в предпраздничные дни - с 09.00 до 15.00, о чем фонд был извещен по системе «Клиент-Сбербанк».

Более того, согласно материалам дела, фонд принял к исполнению изменившееся операционное время, направлял в банк для исполнения платежные документы в предвыходные дни после 14 ч. 00 мин., о чем свидетельствуют 87 платежных поручений за период с августа 2009 г. по ноябрь 2010 г., переданных клиентом и принятых банком в условиях нового операционного времени.

Суд также не принял во внимание довод фонда о несоблюдении ответчиком распоряжения заместителя председателя Центрально-Черноземного Банка Сбербанка РФ от 02.03.2011 г. «О дополнительных мерах по предотвращению мошенничества по АС «Клиент - Сбербанк», поскольку правоотношения сторон регулируются условиями заключенного между ними договора.

Суд отметил, что представители сторон в ходе рассмотрения спора не отрицали того, обстоятельства, что телефонный звонок из банка 13 мая 2011 года в фонд был произведен, однако информация о спорном платежном поручении была доведена до неправомочного представителя – секретаря.

Однако условия договора «Клиент - Сбербанк» не содержат правила о согласовании исполнения платежных документов по телефону и не определяют для этого ответственных лиц. Более того, оформленная при подписании договора карточка с образцами подписей и печати фонда, действовавшая на 13 мая 2011 года, не содержала контактного телефона, по которому можно было бы связаться с уполномоченным лицом клиента.

При таких обстоятельствах, по мнению суда, фонд неправомерно ссылается на обязанность банка произвести предварительный телефонный звонок уполномоченному лицу фонда.

Аргумент фонда о несоответствии номера поступившего платежного поручения и неуказании КПП фонда, также был отклонен судом, поскольку согласно пункту 6.4 дополнительного соглашения к договору «Клиент-Сбербанк», стороны несут ответственность за содержание электронных документов, подписанных ЭЦП их уполномоченных лиц, и не отвечают за правильность заполнения и оформления электронных документов другой стороной. При таких обстоятельствах на банк не может быть возложена обязанность по проверке реквизитов поступившего от клиента платежного поручения.

Пункт 4.2.6. названного дополнительного соглашения к договору «Клиент-Сбербанк», на который ссылается фонд, содержит условие о праве банка отказать клиенту в приеме от него распоряжений на проведение операций по банковскому счету в случае выявления сомнительных операций клиента. Однако в данном случае возможное некорректное указание клиентом реквизитов платежного документа не подпадает под процедуру выявления сомнительных операций клиента. Судом установлено, что в спорном платежном поручении было указано назначение платежа («благотворительная помощь согласно письма от 04.05.2011 г. на устранение последствий пожара»), оно не противоречило целям деятельности некоммерческой благотворительной организации.

Дополнительная проверка банком при таких обстоятельствах могла означать незаконное вмешательство в частные дела, что противоречит принципу недопустимости произвольного вмешательства кого-либо в частные дела, установленному пунктом 1 статьи 1 Гражданского кодекса Российской Федерации.

Учитывая всё это, суд пришел к выводу о том, что при исполнении условий договора «Клиент - Сбербанк» фонд действовал на свой риск, а значит, несет самостоятельную ответственность за наступившие последствия (статья 2 Гражданского кодекса), и неправомерно ссылается на наличие реального ущерба из-за виновных действий ответчика, связанных с ненадлежащим исполнением условий договора. Таким образом,  требование некоммерческой организации «Благотворительный фонд Борцовых» к открытому акционерному обществу «Сбербанк России» о взыскании убытков необоснованно и удовлетворению не подлежит.

Арбитражный суд отказал фонду в удовлетворении иска.

Девятнадцатый арбитражный апелляционный суд в ноябре 2013 года оставил без изменения решение Арбитражного суда Липецкой области, а апелляционную жалобу некоммерческой организации «Благотворительный фонд Борцовых» - без удовлетворения.

Федеральный арбитражный суд Центрального округа в марте 2014 года оставил без изменения решение Арбитражного суда Липецкой области и постановление Девятнадцатого арбитражного апелляционного суда, а кассационную жалобу - без удовлетворения.

Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/ 

Комментариев нет:

Отправить комментарий