суббота, 16 сентября 2017 г.

Арбитражная практика: Банком не представлено достоверных сведений о примененных им аппаратных и программных средств защиты


Несанкционированное списание денежных средств со счетов организаций, как правило завершается судебным разбирательством и претензиями к банку.

Арбитражный суд города Москвы в январе 2017 года рассмотрел дело № А40-216859/15-170-1768, в котором суд назначил проведение компьютерно-технической экспертизы. Однако банк представил не всю запрошенную документацию, в результате эксперт сделал вывод том, что «уровень безопасности программного средства защиты соответствует низкому уровню».

Суть спора

Между обществом ООО «Электросервисмонтаж» и «Московским Кредитным Банком» в июле 2003 года был заключен договор банковского счета, а в апреле 2013 года был заключен договор на обслуживание счетов с использованием электронной системы «Ваш Банк в Вашем офисе», которым был определен порядок проведения банковских операций по счету с использованием электронного документооборота.

В августе 2015 года со счета общества по трем платежным поручениям, переданным по электронной системе, были списаны денежные средства в общем размере почти 4,7 млн., которые были перечислены на счет ООО «Инкомстрой», открытый в ПАО Сбербанк.

14 августа 2015 года от банка поступило сообщение о сомнительных операциях по счету общества, о подозрительном характере которых ему сообщил банк получателя денежных средств - ПАО Сбербанк.

Учитывая, что общество никаких распоряжений на перечисление денежных средств по реквизитам ООО «Инкомстрой» не направляло, оно обратилось в банк с требованием пояснить причину списания денежных средств с его счета, а также возместить убытки, причиненные недобросовестными действиями сотрудников банка.

Банк отказался возвратить списанные со счета денежные средства.

Позиция ООО «Электросервисмонтаж»

Согласно п. 4.3 Договора, расчетные документы принимаются банком к исполнению только при соблюдении следующих условий:
  • Документы оформлены в соответствии с установленной формой;

  • Документы зашифрованы и подписаны электронной подписью клиента;

  • Все указанные в документах реквизиты являются верными.
В соответствии с п. 4.1 Договора, подлинность документов, переданных с использованием Системы, и правомочность исполнения банком операций в Системе обеспечиваются применением ЭП и шифрования передаваемой информации.

В п. 4.2 Договора стороны признают, что алгоритм электронной подписи (ЭП), применяемый в Системе, позволяет обнаружить любые изменения, внесенные в текст документа, подписанного ЭП, и обеспечивает невозможность ее подделки без наличия ключа ЭП.

Учитывая, что платежные поручения о списании денежных средств со счета обществом не направлялись, а ключ ЭП никому не передавался, то в расчетных документах отсутствовала электронная подпись общества, которую подделать невозможно.

У банка не было оснований для принятия к исполнению поддельных платежных поручений в связи с дефектом их формы и несоответствием условиям п. 4.3 Договора

Позиция банка


Обеспечение клиентов средствами формирования электронной подписи осуществляется в соответствии с Лицензией на осуществление деятельности по предоставлению услуг в шифровании информации от 18.02.2015 Per. №14105 Н, выданной Центром лицензирования, сертификации и защиты государственной тайны ФСБ России.

Безопасность формирования и передачи информации в Системе обеспечивается использованием средств криптографической защиты информации «КриптоПро GSP» на основании лицензионного договора с правообладателем.

При заключении договора ключевой носитель, содержащий комплект ключей ЭП, был передан обществу по Акту приема-передачи в мае 2013 года.

По мнению банка, общество не исполнило своих обязательств по договору, поскольку для разрешения спорной ситуации клиент должен был направить в банк полномочных представителей и передать ключевой носитель с действовавшими в период совершения операции ключами ЭП, что сделано не было. Обращения в правоохранительные органы также не последовало.

У банка отсутствовали правовые основания для отказа в исполнении поручений, в связи с чем обязанность компенсировать убытки на него не может быть возложена.

Позиция Арбитражного суда города Москвы

Определением Арбитражного суда города Москвы в июне 2016 года была назначена экспертиза, проведение которой было поручено Автономной некоммерческой организации «Научно-исследовательский центр судебной экспертизы «Гильдия»».

На рассмотрение эксперта были поставлены следующие вопросы:
  • Имеется ли на носителях информации (НЖМД ЭВМ бухгалтера) следы несанкционированного доступа третьего неизвестного лица к ЭВМ, предоставленного на исследование?

  • Имелись ли у ООО «Электросервисмонтаж» аппаратные и программные средства необходимые и достаточные средства для предотвращения несанкционированного доступа?

  • Имелись ли необходимые средства у ОАО «Московский кредитный банк» для предотвращения несанкционированного доступа третьих неизвестных лиц?

  • Какие методы и средства обычно используются Банками для снижения риска несанкционированного перевода денежных средств? Использовались ли они ОАО «Московский кредитный банк»?

  • Хранился ли приватный ключ клиента на токене или в системной области (реестре);

  • Защищалась ли рабочая станция с ВБВО антивирусом и актуализировались ли базы данных на ней?

  • Имелся ли к рабочей станции внешний доступ – как со стороны компьютеров внутри организации, так и извне? Есть ли доказательства того, что доступ этих внешних средств не был скомпрометирован?

  • Был ли с рабочей станции доступ в Интернет?

  • Прошли ли ЭЦП проверку на подлинность на стороне Банка?
В сентябре 2016 года в материалы дела поступило ходатайство Автономной некоммерческой организации «Научно-исследовательский центр судебной экспертизы «Гильдия»» об истребовании дополнительных доказательств, необходимых для проведения экспертизы.

 В судебном заседание эксперт пояснил, что ему для проведения компьютерно-технической экспертизы необходимы следующие документы:
  • Список программ и устройств, которые были переданы банком обществу (полное наименование; версия/серийный номер);

  • Сертификаты/лицензии; техническое описание (паспорт, инструкция и т.д.).
В декабре 2016 года в материалы дела поступило экспертное заключение, согласно которому «имеются признаки несанкционированного доступа к ЭВМ бухгалтера, уровень безопасности ПО «Банк-Клиент 5», являющегося программой ОАО «Московский кредитный банк», имеется признаки соответствия низкому уровню безопасности».

В экспертном заключении отмечено, что «банком не представлено достоверных сведений о примененных им аппаратных и программных средствах защиты. Повышение уровня безопасности программного обеспечения могло бы воспрепятствовать несанкционированному вторжению со стороны третьих лиц».

Согласно выводам экспертной организации, уровень безопасности программного средства защиты соответствует низкому уровню.

В судебном заседании эксперт пояснил, что выводы экспертизы сделаны на основании того объема документов и информации, которая предоставлена сторонами в добровольном порядке, подчеркнув, что «нет достаточных данных для категоричного вывода».

Поскольку запрошенная экспертом информация была предоставлена банком не в полном объеме, сведения в отношении примененных им средств защиты от несанкционированного доступа не были подтверждены, суд пришел к выводу о том, что по характеру обязательства банком не была обеспечена надлежащая защищенность системы.

Суд отметил, что в соответствии с пунктом 6.1.5 договора банк обязан отправлять клиенту не позднее банковского дня, следующего за днем отправки электронного документа, информацию о совершении или отказе в совершении операции  с использованием системы посредством присвоения в Системе электронному платежному документу статуса «в Архиве» в разделе «Документы / Платежные поручения». Доказательств того, что банком был исполнен данный пункт договора, в материалы дела представлено не было.

Суд взыскал с «Московского Кредитного Банка» в пользу ООО «Электросервисмонтаж» почти 4,7 млн. рублей. убытков, а также расходы на оплату госпошлины, услуг работы эксперта в размере более 220 тысяч рублей.

Девятый арбитражный апелляционный суд в мае 2017 года оставил без изменения решение Арбитражного суда города Москвы, а апелляционную жалобу банка - без
удовлетворения.

Арбитражный суд Московского округа в августе 2017 года оставил без изменения решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда, а кассационную жалобу – без удовлетворения.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

Комментариев нет:

Отправка комментария