суббота, 9 августа 2014 г.

Арбитражная практика: Заместитель руководителя компании нарушал порядок работы с ЭЦП


Это почти «классическое» дело №А40- 65645/12 о несанкционированном списании денег со счета коммерческой организации, которое Арбитражный суд г. Москвы рассмотрел в ноябре 2012 года интересно рядом особенностей.  Во-первых, суды двух первых инстанций на первом круге разбирательства признали вину банка, что, прямо скажем, случается нечасто. Федеральный арбитражный суд Московского округа, отменяя их решения, подробно перечислил, какие вопросы судам следовало изучить поподробнее. 

Во-вторых, при рассмотрении дела был поднят вопрос о несанкционированной передаче заместителем руководителя организации закрытого ключа ЭЦП бухгалтеру организации.

Суть спора

Между ООО «Строительная Компания «ОЛИМП» и АКБ «Абсолют Банк» в феврале 2010 года был заключен договор о порядке обмена документами в электронном виде с использованием системы «Интернет-Банк IBank2». На имя руководителя организации была оформлена одна ЭЦП, зарегистрированная за заместителем генерального директора.

19 декабря 2011 года в банк от имени клиента поступило электронное поручение о перечислении 2 млн. рублей в пользу ООО «Орглайн». Данное поручение было исполнено, поскольку оно было подписано ЭЦП клиента, которая была проверена системой дистанционного обслуживания клиентов банка и была признана подлинной.

Общество, напротив, отрицало факт подписания спорного поручения зарегистрированной за ним и действовавшей в спорный период ЭЦП.

Позиция Арбитражного суда г. Москвы

Арбитражный суд пришел к выводу о том, что утверждения банка о подлинности ЭЦП клиента голословны, поскольку банком не было представлено бесспорных, достоверных и достаточных доказательств того, что спорное поручение было подписано действовавшей на момент списания подлинной ЭЦП клиента.

Арбитражный суд города Москвы взыскал с банка в пользу ООО «Строительная Компания «ОЛИМП» убытки в размере 2 миллиона рублей, а также расходы по госпошлине по иску в размере 33 тысяч рублей.

Позиция Девятого арбитражного апелляционного суда

Девятый арбитражный апелляционный суд в феврале 2013 года отметил, что обществом были представлены доказательства того, что исполненное банком платежное поручение не является распоряжением клиента (общества) по смыслу положений п. 1 ст. 845 и п. 1 ст. 847 Гражданского кодекса РФ.

При приеме к исполнению спорного платежного поручения (которое было передано в электронном виде! – Н.Х.) банк ненадлежащим образом исполнил требования положений договора и не произвел всех предписываемых требований для проверки по внешним признакам соответствия подписей уполномоченных лиц и оттиска печати на переданном банку платежном документе (!) образцам подписей и оттиска печати, содержащимся в переданной банку карточке. Неспособность сотрудников банка сличить подписи и оттиск печати при отсутствии доказательств нарушения обязательства вследствие непреодолимой силы влечет неблагоприятные последствия для ответчика.

Кроме того, суд отметил, что, по данным банка, вход в систему осуществлялся с двух IP-адресов. По мнению суда, это подтверждает факт несанкционированного входа в систему.

Общество в декабре 2011 года обращалось в банк с жалобой на невозможность создания электронных документов, однако банк, нарушив условия договора, а именно п. 3.1.4 договора о «дистанционном обслуживании», временно не приостановил обмен с клиентом электронными документами.

Апелляционная инстанция также приняла к сведению то, что КБ «ЕВРОРАСЧЕТ» как банк-получатель сообщил, что счет компании ООО «Орглайн» был арестован 19 декабря 2011 года по решению Октябрьского районного суда г. Омска, а приказом Банка России у КБ «ЕВРОРАСЧЕТ» отозвана лицензия на совершение банковских операций.

Суд пришел к выводу о том, что именно действия банка по исполнению поручения неуполномоченных лиц привели к необоснованному списанию денежных средств со счета истца, который не несет имущественной ответственности за действия банка и его предпринимательские риски.

Суд также отметил неправомерное намерение банка переложить последствия своих ошибочных действий на клиента, в том числе и исправление этих ошибок, освободив ответчика от участия в ликвидации неблагоприятных последствий.

Банк не исполнил надлежащим образом требования положений законов и банковских правил, не был надлежащим образом осмотрителен и не принял все возможные меры для предотвращения перечисления денежных средств неуполномоченным лицом, что повлекло утрату истцом имущества в заявленном размере. Непроявление участником гражданских правоотношений необходимой осмотрительности не может служить основанием для отказа в удовлетворении иска, поскольку разумность действий гражданских правоотношений предполагается (статья 10 Гражданского кодекса Российской Федерации).

Банк как субъект профессиональной предпринимательской деятельности в области проведения операций по счетам клиентов, осуществляющий их с определенной степенью риска, должен нести ответственность в виде возмещения убытков, причиненных неправильным списанием принадлежащих истцу денежных средств.

Банк не вправе перекладывать свой предпринимательский риск на клиента, участие которого в осуществлении спорных операций банком не доказано.

Девятый арбитражный апелляционный суд оставил без изменения решение Арбитражного суда г. Москвы, а апелляционную жалобу без удовлетворения.

Позиция Федерального арбитражного суда Московского округа

Федеральный арбитражный суд Московского округа в мае 2013 года отметил, что суды не дали правовой оценки доводам банка о том, что обществом не оспаривался факт подписания платежного поручения корректной ЭЦП, принадлежащей обществу. От общества в адрес банка не было письменно заявлено о несогласии с представленными банком пояснениями, а также не были предприняты иные меры для создания экспертной комиссии, что указывает на то, что у общества не возникло сомнений и возражений по поводу авторства и подписи на платежном поручении.

Согласно п. 4.3. Договора банк не несет ответственности за исполнение за счет средств клиента расчетных электронных документов, подготовленных без участия клиента и переданных банку по системе, если эти документы соответствовали п. 2.1 Договора, а, как утверждал банк со ссылкой на конкретные доказательства, учитывая, что обществом факт подписания корректным ЭЦП платежного поручения не оспаривался, то платежное поручение соответствовало требованиям договора, - что не было проверено судами.

Проверка данных доводов банка имеет существенное значение для правильного разрешения спора, поскольку в случае оспаривания факта того, что платежное поручение подписано некорректной ЭЦП, истец до обращения в суд должен был бы инициировать создание экспертной комиссии, которая создается сторонами в случае споров по поводу авторства и неизменности содержания электронных документов.

Суд также остановился на вопросе проверки по внешним признакам соответствия подписей уполномоченных лиц и оттиска печати на переданном банку платежном документе образцам, содержащимся в имеющейся в банке карточке, отметил, что в данном случае судом апелляционной инстанции не было учтено, что договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.

Списание денежных средств по платежному поручению без распоряжения клиента невозможно, поскольку закрытая часть ключа ЭЦП известна только клиенту банка.

Функцией банка в данном случае является лишь проверка подлинности ЭЦП с помощью открытого ключа, тогда как создание подписи происходит с использованием секретного ключа клиента. Проверка подлинности ЭЦП осуществляется автоматически и в случае ее некорректности исполнение поручения клиента невозможно.
Владельцем ключа ЭЦП, согласно сертификату открытого ключа ЭЦП общества, являлся сотрудник общества.

Данные доводы не получили правовой оценки со стороны судов, и судами не были исследованы обстоятельства, свидетельствующие о неоднократных нарушениях обществом правил безопасности при работе в системе «Интернет-Банк IBANK2», которые могли привести к несанкционированному списанию денежных средств со счета, о которых указывал банк.

Судами также не были проверены доводы банка в отношении фактов передачи обществом ключей ЭЦП, зарегистрированных на заместителя руководителя общества, неуполномоченным лицам.

Суд отметил, что банк обращал внимание судов на то, что бухгалтером общества, а не владельцем ключа ЭЦП, было составлено и отправлено в банк платежное поручение о перечислении налогов, то есть общество допускало к работе в системе неуполномоченных на то лиц, которые могли быть не ознакомлены с правилами безопасности при работе в системе, - что не было проверено судами.

Не были проверены доводы банка со ссылкой на конкретные доказательства о том, что главный бухгалтер общества неоднократно 19 декабря 2011 года связывался со службой технической поддержки банка с целью проинформировать банк о невозможности входа в систему, а также с просьбой разобраться в данной ситуации, - но не с заявлением о необходимости блокировки ключей ЭЦП в связи с их компрометацией или повреждением программно-технических средств системы.

В нарушение п. 2.6. Положения заявление истца от 20.12.2011 (уже после исполнения спорного платежного поручения) о том, что 19.12.2011 был сбой в системе и главный бухгалтер не мог войти в систему под паролем, принадлежащим обществу, было подписано главным бухгалтером, который является неуполномоченным представителем общества, так как не является владельцем ключей ЭЦП ООО «СК «Олимп»; и не была представлена соответствующая доверенность. Согласно представленному суду сертификату открытого ключа ЭЦП клиента в системе от 16.06.2011 владельцем ключа ЭЦП является другое лицо.

По мнению суда, проверка данных доводов имеет существенное значение для правильного разрешения спора, поскольку только лишь в случаях, предусмотренных договором, банк был обязан приостановить работу системы, к которым не относится информация банка о невозможности входа в систему. Согласно п. 4.3 Положения ответственность за все возможные последствия использования ключей клиента неуполномоченными лицами возложена на клиента.

Не согласился суд и с позицией суда апелляционной инстанции о том, что одним из доказательств несанкционированного входа в систему является тот факт, что вход в систему осуществлялся с двух разных IP-адресов, поскольку судом не было учтено, что IP-адрес - это внешний адрес, присваиваемый компьютеру, подключенному к сети Интернет. USB-токен, который в соответствии с Договором предоставляется банком клиенту и позволяет клиенту осуществлять генерацию ключей ЭЦП и работу клиента в системе, может устанавливаться на любые компьютеры, что позволяет клиенту осуществлять работу с различных IP-адресов (вынимать USB-токен из одного компьютера и вставлять его в другой, или подключаться к иному провайдеру сети Интернет), то есть с любых компьютеров, в любом месте.

Для того чтобы ограничить круг компьютеров/точек входа в сеть Интернет, с которых может быть осуществлена работа уполномоченных лиц клиента, Положением предусмотрена возможность заключения с банком соглашения об IP-фильтрации, то есть клиент изначально предоставляет банку список IP-адресов, с которых автоматически будет разрешаться: вход в систему, создание и передача электронных документов от имени клиента.

Как утверждает банк в кассационной жалобе и указывал суду, общество данной возможностью не воспользовалось, поэтому банк не имел права осуществлять контроль, с каких адресов клиент осуществляет вход в систему.

Суд отметил, что при таких обстоятельствах принятые по делу решение и постановление не могут быть признаны законными, в связи с чем подлежат отмене с направлением дела на новое рассмотрение в суд первой инстанции.

Суд отменил решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда и направил дело на новое рассмотрение в Арбитражный суд города Москвы.

Позиция Арбитражного суда г. Москвы – круг второй

При повторном рассмотрении дела в Арбитражном суде г. Москвы в августе 2013 года банк пояснил, что согласно выписки из лог-файла клиент ООО «СК «Олимп» 19 декабря 2011 года осуществлял вход в систему «Интернет-Банк IBANK2» два раза: первый раз в 9.46 и второй раз в 11.53 по московскому времени, логин и пароль при входе соответствовали логину и паролю общества, заведенным в системе.

В 11.56 ООО обществом посредством системы «Интернет-Банк IBANK2» было сформировано платежное поручение №2585, документу был присвоен статус «доставлен», данный статус подтверждает, что системой была проверена корректность ЭЦП, и та соответствовала открытому ключу ЭЦП общества.

В ходе повторного судебного разбирательства банк обратил внимание суда на то, что:
  • Соглашение с обществом о фильтрации ip-адресов заключено не было; и оно не заключено до настоящего времени;

  • Отмененное решение по настоящему делу было исполнено банком;

  • В течение двух часов токен был просто вставлен в компьютер и не использовался, что свидетельствует о неосмотрительности клиента (общества).
Повторно изучив материалы дела, арбитражный суд пришел к выводу о том, что заявленные исковые требования не подлежат удовлетворению.

Арбитражный суд отметил, что организацией нарушены правила безопасности при работе в системе, указанные в соответствующем положении и направленных банком клиенту по системе в виде соответствующих рекомендаций (копии информационных писем, которые были направлены истцу, представленные в материалы дела); что бухгалтером общества, но не владельцем ключа ЭЦП, уполномоченным осуществлять от имени общества работу в системе и подписывать электронные документы, было составлено и отправлено в банк спорное платежное поручение, то есть общество допустило к работе в системе неуполномоченное в установленном порядке на момент спорных событий лицо, которое также могло быть не ознакомлено с правилами безопасности при работе в системе.

Арбитражный суд пришел к выводу об отсутствии в данном конкретном случае оснований для привлечения банка к ответственности в виде возмещения ущерба, поскольку у банка не имелось причин для отказа в исполнении надлежаще оформленного электронного поручения, подписанного электронно-цифровыми подписями клиента, которые успешно прошли проверку системы безопасности банка, в связи с чем были признаны подлинными и корректными.

Арбитражный суд города Москвы оставил без удовлетворения требования ООО «Строительная Компания «ОЛИМП» к ААКБ «Абсолют Банк» о взыскании убытков

Девятый арбитражный апелляционный суд в ноябре 2013 года оставил без изменения решение Арбитражного суда г. Москвы, а апелляционную жалобу без удовлетворения.

Федеральный арбитражный суд Московского округа в июне 2014 года оставил без изменения решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда, а кассационную жалобу – без удовлетворения.

Источник: официальный сайт Высшего Арбитражного Суда Российской Федерации:
http://www.arbitr.ru/ 

1 комментарий:

  1. Строго говоря, уровень решений суда соответствует уровню развития общества в целом. В данном случае нужно было обратить внимание суда на тот факт, что предложенное банком решение по использованию электронной подписи не соответствует федеральному законодательству, а именно закону 63-ФЗ в части статьи 12 "Средства электронной подписи", а именно раздела в части требований к устройствам электронной подписи. Используемое в интернет-банке I2Bank устройство электронной подписи Рутокен не имеет средств отображения, а подписываемая информация отображается на экране монитора, который не является доверенным устройством. Любой эксперт по информационной безопасности может предоставить большое количество случаев, связанных с присутствием на клиентских компьютерах вирусов, которые позволяют подписать любой документ без ведома клиента. Так что банк предоставил клиенту устройство, которое позволяет третьим лицам ( с использованием специального программного обеспечения - вируса) подписать документ без ведома клиента в силу того обстоятельства, что устройство подписи не соответствует требованиям федерального закона.

    ОтветитьУдалить