Анализ арбитражной практики показывает, что количество споров организаций с обслуживающими их банками по вопросу неправомерного списания денег с расчетных счетов организаций постоянно увеличивается. В этих случаях суды. как правило, внимательно изучают порядок применения ЭЦП в пострадавшей организации, а также то, как этот вопрос урегулирован в договоре сторон и во внутренних нормативных документах банка.
Предлагаю коллегам познакомиться с делом № А53-19532/2011, слушавшемся в Арбитражном суде Ростовской области в феврале 2012 года, при разборе которого суд очень дотошно исследовал все аспекты использования электронной цифровой подписи. Данное дело наглядно показывает, как инциденты такого рода рассматриваются в досудебном порядке и затем уже в суде.
Суть спора
Между ООО «Донресурс» (далее «общество») и ОАО КБ «Максимум» (далее «банк») в июне 2010 года был заключен договор об открытии расчетного счета, а также договор на обслуживание по системе «iBank» и обмен документами в электронной форме, подписанными электронно-цифровой подписью.
Общество 1 июля 2011года обнаружило факт несанкционированного использования системы «клиент-банк», вследствие чего от его имени было отправлено платежное поручение на сумму 6,7 млн. руб. в адрес ООО «Гарант СК», обслуживающегося в банке ЗАО АКБ «ЭКСПРЕСС-ВОЛГА». Общество указанный платеж не инициировало и не проводило, и в договорных отношениях с ООО «Гарант СК» не состояло.
Обоснованием оплаты являлся несуществующий счет, который истец не получал, не заказывал и в оплату не отправлял. Факт несанкционированного списания был обнаружен главным бухгалтером общества при попытке произвести платеж постоянному контрагенту.
Полагая, что банк допустил необоснованное списание денежных средств со счета клиента, общество обратилось в арбитражный суд с иском.
Позиция Арбитражного суда Ростовской области
Суд, прежде всего, изучил положения договора на обслуживание в системе «iBank», и установил следующее:
- В соответствии с п. 3.3. договора стороны договора признают, что подделка ЭЦП, то есть создание корректной электронной цифровой подписи электронного документа от имени владельца ключа без знания секретного ключа ЭЦП, невозможна;
- Пунктом 6.1. договора было установлено, что клиент несет ответственность за содержание любого электронного документа, подписанного его ЭЦП. Банк не несет ответственности за ущерб, причиненный клиенту в результате использования третьими лицами секретного ключа ЭЦП клиента.
Суд отметил, что системой «iBank» было предусмотрено формирование секретного ключа ЭЦП исключительно на стороне клиента, и, таким образом, единственным владельцем секретного ключа ЭЦП является лицо, его сформировавшее. В банке хранится только открытый ключ, который не может быть использован для списания денежных средств и служит для проверки корректности ЭЦП клиента.
В ходе проведенной банком проверки было установлено, что платеж был произведен с расчетного счета клиента с использованием ЭЦП, принадлежащего обществу, а также с IP адреса, который всегда использовался этим клиентом для входа в систему «iBank».
Суд счел, что, в соответствии с требованиями действующего законодательства и заключенного договора, ответственность за последствия исполнения спорного платежного поручения - списание денежных средств со счета, лежит на обществе.
Банком была создана комиссия для рассмотрения возникшей ситуации, которая направила в общество уведомление о необходимости направить в нее своих представителей, однако общество своих представителей для участия в работе этой комиссии не направило.
Банком был также обратился к обладателю исключительных прав на систему электронного банкинга «iBank2» ОАО «БИФИТ», который провел независимую проверку подлинности ЭЦП клиента в электронном документе. Проверка подтвердила подлинность ЭЦП клиента в платежном поручении.
Информация о необходимости соблюдать повышенные требования безопасности при хранении секретного ключа ЭЦП клиента содержалась как в информационном сообщении банка, размещенном на его сайте, так и в Руководстве пользователя Системы «iBank2» для корпоративных клиентов. Таким образом, по мнению суда, общество было предупреждено о возможности хищения денежных средств с расчетного счета, которое могло быть осуществлено злоумышленниками путем хищения секретного ключа ЭЦП.
При исследовании жесткого диска компьютера, с которого был проведен платеж, было установлено присутствие вредоносных программ, в том числе программы, детектируемой как «Trojan-Spy.Win32. Lurk» и используемой для несанкционированного доступа к конфиденциальной информации. Ввиду того, что соответствующее заключение специалиста не было оформлено надлежащим образом, суд не принял его в качестве надлежащего доказательства. В то же время общество не отрицало наличия на его жестком диске вредоносного программного обеспечения. В судебном заседании обе стороны от проведения дополнительной экспертизы отказались.
В процессе рассмотрения дела представитель общества давал противоречивые пояснения по поводу условий хранения закрытого ключа ЭЦП. В ходе предварительных судебных заседаний он сообщил, что закрытый ключ ЭЦП хранился на жестком диске компьютера, а позднее говорил о том, что он хранился на флеш-карте.
Клиент мог хранить секретный ключ как на отдельном носителе (USB-токене), так и на жестком диске. Договором и иными регламентирующими документами, устанавливающими порядок работы в системе «клиент-банк», хранение секретного ключа на жестком диске не запрещено, но отмечено, что это является самым небезопасным способом хранения указанной информации.
Суд установил, что банк не располагает секретным ключом ЭЦП клиента, и что в его распоряжении есть только соответствующий открытый ключ, с помощью которого банковский сервер проводит аутентификацию клиента в системе и проверяет подпись клиента под электронными документами. Возможность восстановления секретного ключа ЭЦП на основе открытого ключа у банка отсутствует.
Отправленный клиентом и полученный банком электронный документ, подписанный электронной цифровой подписью, является основанием для совершения банком финансовых операций. Спорное электронное платежное поручение было подписано ЭЦП, созданной на основе сертификата, выданного на имя директора общества. Суд сделал вывод о том, что общество не представило надлежащих доказательств того, что денежные средства были переведены в результате противоправных действий банка.
На этих основаниях суд принял решение об отказе в иске.
Пятнадцатый арбитражный апелляционный суд в апреле 2012 года оставил без изменения решение Арбитражного суда Ростовской области, а апелляционную жалобу - без удовлетворения.
Позиция Федерального арбитражного суда Северо-Кавказского округа
Федеральный арбитражный суд Северо-Кавказского округа рассмотрел дело в июле 2012 года. В кассационной жалобе общество просило отменить принятые судебные акты, полагая, что его ЭЦП не имела юридической силы, поскольку банк, являясь удостоверяющим центром, не внес свой сертификат ключа подписи в «Единый государственный реестр сертификатов ключей подписей удостоверяющих центров». Суды рассмотрели вопрос о корректности (подлинности) ЭЦП клиента, тогда как при данных обстоятельствах банк, по мнению истца, вообще не имел права принимать к исполнению электронные поручения вследствие ничтожности ЭЦП.
По мнению суда, утверждение общества о том, что невнесение банком своего сертификата ключей подписей в «Единый государственный реестр сертификатов ключей подписей удостоверяющих центров» влечет ничтожность ЭЦП клиента, не основано на нормах права.
Суд также отметил, что в данном случае договором были установлены иные правила распределения ответственности (к сожалению, суд не уточнил, чем они отличались от общепринятых – Н.Х.), в связи с чем суды, установив подлинность ЭЦП клиента в спорном платежном поручении и отсутствие в связи с этим у банка возможности установить факт выдачи электронного документа неуполномоченным лицом, правомерно отказали в иске.
Суд оставил без изменения решение Арбитражного суда Ростовской области и постановление Пятнадцатого арбитражного апелляционного суда, а кассационную жалобу – без удовлетворения.
Коллегия судей Высшего Арбитражного Суда Российской Федерации в октябре 2012 года (определение № ВАС-12223/12) отказала в передаче дела в Президиум Высшего Арбитражного Суда Российской Федерации.
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/
В ходе проведенной банком проверки было установлено, что платеж был произведен с расчетного счета клиента с использованием ЭЦП, принадлежащего обществу, а также с IP адреса, который всегда использовался этим клиентом для входа в систему «iBank».
Для справки: Следует отметить, что ограничение возможности проведения операций только с определенных IP-адресов (и даже с использованием определенного оборудования) уже давно является одним из способов снижения риска несанкционированного списания средств при дистанционном банковском обслуживании. Но, похоже, эта способ защиты сейчас уже не столь эффективен, как раньше. Интересный сведения по этому вопросу приведены в статье Евгения Царева и Артема Хафизова «Мошенничество в ДБО видоизменяется», опубликованной 20 декабря 2012 года агентством CNews (см. http://banks.cnews.ru/reviews/index.shtml?2012/12/20/513336 ).Суд сделал вывод о том, что банк провел поступивший от клиента платеж, в полной мере соблюдая условия заключенного договора и выполнив проверку реквизита электронного платежного документа, предназначенного для защиты электронного документа от подделки и позволяющего идентифицировать клиента (проверку ЭЦП).
В статье, в частности сказано следующее: «Столкнувшись с ограничениями по допустимым IP-адресам, злоумышленники также сменили тактику – функционал вредоносного банковского программного обеспечения дополнился функцией прокси-сервера, позволяющего подключаться к серверу ДБО с IP-адреса зараженного компьютера, минуя какие-либо ограничения. Фильтрацию по MAC-адресу можно легко обойти, выставив вручную на сетевом интерфейсе то же значение MAC-адреса, которое указано в свойствах сетевого интерфейса компьютера клиента-жертвы.»
Суд счел, что, в соответствии с требованиями действующего законодательства и заключенного договора, ответственность за последствия исполнения спорного платежного поручения - списание денежных средств со счета, лежит на обществе.
Банком была создана комиссия для рассмотрения возникшей ситуации, которая направила в общество уведомление о необходимости направить в нее своих представителей, однако общество своих представителей для участия в работе этой комиссии не направило.
Банком был также обратился к обладателю исключительных прав на систему электронного банкинга «iBank2» ОАО «БИФИТ», который провел независимую проверку подлинности ЭЦП клиента в электронном документе. Проверка подтвердила подлинность ЭЦП клиента в платежном поручении.
Информация о необходимости соблюдать повышенные требования безопасности при хранении секретного ключа ЭЦП клиента содержалась как в информационном сообщении банка, размещенном на его сайте, так и в Руководстве пользователя Системы «iBank2» для корпоративных клиентов. Таким образом, по мнению суда, общество было предупреждено о возможности хищения денежных средств с расчетного счета, которое могло быть осуществлено злоумышленниками путем хищения секретного ключа ЭЦП.
При исследовании жесткого диска компьютера, с которого был проведен платеж, было установлено присутствие вредоносных программ, в том числе программы, детектируемой как «Trojan-Spy.Win32. Lurk» и используемой для несанкционированного доступа к конфиденциальной информации. Ввиду того, что соответствующее заключение специалиста не было оформлено надлежащим образом, суд не принял его в качестве надлежащего доказательства. В то же время общество не отрицало наличия на его жестком диске вредоносного программного обеспечения. В судебном заседании обе стороны от проведения дополнительной экспертизы отказались.
В процессе рассмотрения дела представитель общества давал противоречивые пояснения по поводу условий хранения закрытого ключа ЭЦП. В ходе предварительных судебных заседаний он сообщил, что закрытый ключ ЭЦП хранился на жестком диске компьютера, а позднее говорил о том, что он хранился на флеш-карте.
Клиент мог хранить секретный ключ как на отдельном носителе (USB-токене), так и на жестком диске. Договором и иными регламентирующими документами, устанавливающими порядок работы в системе «клиент-банк», хранение секретного ключа на жестком диске не запрещено, но отмечено, что это является самым небезопасным способом хранения указанной информации.
Суд установил, что банк не располагает секретным ключом ЭЦП клиента, и что в его распоряжении есть только соответствующий открытый ключ, с помощью которого банковский сервер проводит аутентификацию клиента в системе и проверяет подпись клиента под электронными документами. Возможность восстановления секретного ключа ЭЦП на основе открытого ключа у банка отсутствует.
Отправленный клиентом и полученный банком электронный документ, подписанный электронной цифровой подписью, является основанием для совершения банком финансовых операций. Спорное электронное платежное поручение было подписано ЭЦП, созданной на основе сертификата, выданного на имя директора общества. Суд сделал вывод о том, что общество не представило надлежащих доказательств того, что денежные средства были переведены в результате противоправных действий банка.
На этих основаниях суд принял решение об отказе в иске.
Пятнадцатый арбитражный апелляционный суд в апреле 2012 года оставил без изменения решение Арбитражного суда Ростовской области, а апелляционную жалобу - без удовлетворения.
Позиция Федерального арбитражного суда Северо-Кавказского округа
Федеральный арбитражный суд Северо-Кавказского округа рассмотрел дело в июле 2012 года. В кассационной жалобе общество просило отменить принятые судебные акты, полагая, что его ЭЦП не имела юридической силы, поскольку банк, являясь удостоверяющим центром, не внес свой сертификат ключа подписи в «Единый государственный реестр сертификатов ключей подписей удостоверяющих центров». Суды рассмотрели вопрос о корректности (подлинности) ЭЦП клиента, тогда как при данных обстоятельствах банк, по мнению истца, вообще не имел права принимать к исполнению электронные поручения вследствие ничтожности ЭЦП.
По мнению суда, утверждение общества о том, что невнесение банком своего сертификата ключей подписей в «Единый государственный реестр сертификатов ключей подписей удостоверяющих центров» влечет ничтожность ЭЦП клиента, не основано на нормах права.
Суд также отметил, что в данном случае договором были установлены иные правила распределения ответственности (к сожалению, суд не уточнил, чем они отличались от общепринятых – Н.Х.), в связи с чем суды, установив подлинность ЭЦП клиента в спорном платежном поручении и отсутствие в связи с этим у банка возможности установить факт выдачи электронного документа неуполномоченным лицом, правомерно отказали в иске.
Суд оставил без изменения решение Арбитражного суда Ростовской области и постановление Пятнадцатого арбитражного апелляционного суда, а кассационную жалобу – без удовлетворения.
Коллегия судей Высшего Арбитражного Суда Российской Федерации в октябре 2012 года (определение № ВАС-12223/12) отказала в передаче дела в Президиум Высшего Арбитражного Суда Российской Федерации.
Источник: Официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/
Комментариев нет:
Отправить комментарий