суббота, 29 октября 2016 г.

Арбитражная практика: Банк, проверивший корректность электронной подписи, был обязан перечислить денежные средства


Арбитражный суд Сахалинской области в декабре 2015 года рассмотрел дело № А59-3109/2015, в котором очередная организация пыталась переложить свои убытки из-за несанкционированного списания денежных средств на обслуживающий её банк.

В рассматриваемом случае, перед тем, как провести операцию по списанию денежных средств в удаленном режиме через интернет-банкинг, была проведена замена ключа подписи и выпущен новый сертификат ключа проверки подписи. Организация при своем взаимодействии с банком использовала систему дистанционного банковского обслуживания «Банк-Клиент».

Суть спора

В январе 2014 года между обществом ООО «Релиз» и ЗАО Коммерческим банком «Долинск» было заключено соглашение о порядке совершения расчетных операций с использованием автоматизированной системы дистанционного банковского обслуживания «Банк-Клиент».

В ноябре 2014 года бухгалтером общества были произведены два согласованных платежа в системе «Банк-Клиент». В момент проведения последнего платежа произошёл сбой в работе компьютера, после чего он отключился. При перезагрузке компьютера окна на мониторе не открывались. Для устранения неисправности был приглашён системный администратор, который установил, что структура разделов на жёстком диске отсутствует и до конца рабочего дня он занимался восстановлением работы компьютера. В этот период в систему «Банк-Клиент» никто не входил.

На следующий день после того, как работа компьютера была восстановлена, при попытке получить выписку по лицевому счёту система сообщила, что пароль неверный. При обращении в банк был сформирован новый ключ и подготовлен новый сертификат ключа. После восстановления ключа была сформирована выписка и обнаружено еще одно исполненное платёжное поручение о перечислении со счета общества на счет неизвестного ему индивидуального предпринимателя более 1,8 миллионов рублей.

ООО «Релиз» обратилось в суд.

Позиция ООО «Релиз»

Счёт от ИП на списанную сумму в бухгалтерию не поступал, платёжный документ по данному счёту не согласовывался и не делался. В списке контрагентов данный ИП не значится.

По мнению организации, незаконная операция по несанкционированному списанию денежных средств была осуществлена банком при отсутствии надлежащего контроля со стороны технической службы над работой системы «Банк-Клиент». Спорный электронный платёжный документ был сформирован и отправлен через Java-апплет Internet-Banking в веб-обозревателе, а не через используемую обществом на постоянной основе систему «Банк-Клиент». При этом банк своевременно не уведомил общество о наличии риска списания денежных средств со счёта третьими лицами, имеющих технические возможности совершать мошеннические действия.

По мнению общества, банк обязан был принять все меры к тому, чтобы применённую третьими лицами мошенническую схему невозможно было реализовать. Положения федерального закона РФ от 27.06.2011 г. № 161-ФЗ «О национальной платёжной системе» возлагают на банки ответственность за несанкционированное списание средств с электронных счетов клиентов.

Общество также ссылалось на то, что закон о Национальной платёжной системе ставит перед банком конкретную задачу - создать условия, гарантирующие, что платёж не может быть выполнен без ведома клиента, однако, по мнению общества, в банке отсутствует система информирования клиента о совершении каждой банковской операции, а система дистанционного банковского обслуживания IBANK, которую использует КБ «Долинск» не защищена в полной мере от взломов и списаний с расчётных счетов клиентов денежных средств.

По мнению общества, банк был обязан произвести проверку поступивших документов по внешним признакам и, в случае положительного результата такой проверки, произвести списание суммы со счёта.

Общество утверждало, что отсутствие должного контроля со стороны ответчика при списании денежных средств и безопасной системы дистанционного банковского обслуживания позволило мошенникам совершить кражу денежных средств.

Позиция Арбитражного суда Сахалинской области

Судом было установлено, что в январе 2014 года обществу был передан USB-токен для передачи электронных документов в системе Банк-Клиент, предназначенный для создания и хранения закрытых ключей. Тогда же сторонами был подписан сертификат открытого ключа ЭП сотрудника общества.

В ноябре 2014 года дважды был выпущен сертификат открытого ключа ЭЦП сотрудника общества (18 и 21 ноября - до и после несанкционированного списания денежных средств – Н.Х.). Доставленное 20 ноября 2014 года платежное поручение имело ключ, который соответствовал присвоенному открытому ключу ЭЦП от 18 ноября 2014 года.

По мнению суда, банк, проверивший корректность ЭЦП, был обязан осуществить операцию по перечислению денежных сумм, указанных в платежном поручении лицу, указанному в нем же.

Суд отметил, что обществом не было представлено доказательств того, что со стороны банка имели место действия, повлекшие необоснованное списание денежных средств со счета общества.

Общество в обоснование своей правовой позиции, ссылалось на несовершение банком действий по проверке указанного в платежном поручении контрагента по списку контрагентов общества. Суд отметил, что законом, договором и соглашением сторон на банк такая обязанность не возложена, равно как и не установлена его обязанность получать у общества подтверждение на перечисление на счета контрагентов денежных сумм свыше определенного размера, о неисполнении которой также заявило общество.

Доводы общества о том, что списание по спорному платежному документу по времени произошло ранее (в 13.57), чем списание по иному платежному поручению, поступившему в банк до него, не опровергает установленной банком при проверке подлинности ЭЦП в электронном платежном поручении и соответствия открытого ключа ЭЦП, указанного в подписанном сторонами сертификате от 18.11.2014 года.

Суд признал необоснованными показания свидетелей по данному делу, так как они пояснили обстоятельства совершения операций посредством системы Банк-Клиент и имевшего в этот день сбоя в работе компьютера, однако их показания не содержат и не могут содержать информации об использованном при осуществлении платежей в этот день открытом ключе ЭЦП (так в тексте судебного решения – Н.Х.), так как иного, кроме закрепленного за обществом открытого ключа общество не имело, и не могло иметь.

Кроме того, согласно показаниям свидетеля, являющегося главным бухгалтером общества, программа Банк-Клиент была установлена на используемом ею компьютере, который находится в общем кабинете и к которому имели доступ директор и заместитель директора.

При этом суд обратил внимание, что согласно руководству пользователя системы iBank 2 для безопасной работы с электронной подписью клиент обязан соблюдать регламент ограниченного физического доступа к компьютеру, использовать отдельный компьютер исключительно для работы в интернет-банкинге, а другие действия (работа с другими программами, работа с электронной почтой, посещение сайтов в Интернете) с этого компьютера осуществляться не должны.

Суд признал недоказанным факт совершения банком действий, повлекших причинение истцу убытков, указанных в иске и отказал обществу в удовлетворении иска.

Пятый арбитражный апелляционный суд в марте 2016 года оставил без изменения решение Арбитражного суда Сахалинской области, а апелляционную жалобу – без удовлетворения.

Арбитражный суд Дальневосточного округа в мае 2016 года оставил без изменения решение суда Сахалинской области и постановление Пятого арбитражного апелляционного суда по делу, а кассационную жалобу –без удовлетворения.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

Комментариев нет:

Отправить комментарий