воскресенье, 27 октября 2019 г.

Арбитражная практика: Несанкционированные списание 5 миллионов рублей с банковского счёта


К сожалению, кража денег со счетов организаций - достаточно распространенное преступление. Традиционно организации в таких случаях в первую очередь предъявляют претензии обслуживающему их банку.

Арбитражный суд Ханты-Мансийского автономного округа – Югры в мае 2018 года рассмотрел дело № А75-19667/2017, в котором подробно изучил причины, по которым стало возможным несанкционированное списание со средств ООО «СИБТЭК» почти 5 миллионов рублей.

Суть спора

С октября 2007 года ООО «СИБТЭК» находится на расчетно-кассовом обслуживании ПАО «Сбербанк России» по системе «Клиент-Сбербанк», вход в которую осуществляется только с электронной цифровой подписью (ЭЦП), выданной банком. В декабре 2014 года с расчетного счета общества были произведены перечисления денежных средств на общую сумму почти 5 млн. рублей в пользу третьих лиц (три ООО и 2 индивидуальных предпринимателя).

Согласно доводам общества, данные получатели не являются его контрагентами и ни каких гражданско-правовых отношений с данными лицами оно не имело. Общество обращалось в арбитражные суды с исковыми заявлениями к третьим лицам с требованиями о возврате неосновательного обогащения, исковые требования были удовлетворены, вынесены решениями по делам: А43-14415/2015 от 24.07.2015, А36-3351/2015 от 11.08.2015, А63-6038/2015 от 07.09.2015, А43-20914/2014 от 01.10.2015, А60-26653/2015 от 02.10.2015, выданы исполнительные листы.

Ссылаясь на то, что в связи с ненадлежащим исполнением банком обязательств, обществу был причинен ущерб, оно обратилось в суд с иском о взыскании убытков.

Позиция Арбитражного суда Ханты-Мансийского автономного округа – Югры

Обществом в банк был предоставлен сертификат ключа ЭЦП, где владельцем ключа ЭЦП значится его генеральный директор. Полученные Банком от клиента платежные поручения были проверены системой в автоматическом режиме, ЭЦП клиента в данных платежных документах признана корректной.

В частности, были проведены проверки:
  • Удостоверение права распоряжения денежными средствами (удостоверение права использования электронного средства платежа);

  • Контроль целостности распоряжений; структурный контроль распоряжений;

  • Контроль значений реквизитов распоряжений;

  • Контроль достаточности денежных средств.
Суд отметил, что общество 1 декабря 2014 года сообщило о проблемах в подключении к программе и сбоях в работе персонального компьютера, а не о компрометации ключа ЭЦП. Суд особо подчеркнул, что возможность прослушать аудиозапись либо получить стенограмму переговоров клиента и банка, которые якобы имели место быть 1 декабря 2014 года, отсутствует, поскольку трехлетний срок хранения аудиозаписей истек.

Мой комментарий: Общество не позаботилось об обеспечении сохранности доказательств. За три года оно так и не сообразило попросить у банка копию аудиозаписи важного разговора!

Суд подчеркнул, что обществом не было сообщено банку о компрометации ключа ЭЦП. Как указывает само общество, о произведенных списаниях ему стало известно только 2 декабря 2014 года, когда деньги уже были перечислены на расчетные счета третьих лиц.

По мнению суда, учитывая непредставление обществом сведений о ненадлежащем исполнении банком своих обязательств, а равно доказательств извещения банка о компрометации ключа ЭЦП, - не доказаны неправомерность действий банка при поступлении спорных платежных поручений, а также причинно-следственная связь между действиями банка и наступившими для общества последствиями.

Согласно договору, банк предоставляет клиенту в виде электронных документов, защищенных ЭЦП, информацию об операциях, совершенных по счетам клиента. Электронные документы передаются и принимаются с использованием системы без их последующего предъявления на бумажном носителе. Заверенные копии электронных документов на бумажном носителе выдают по письменному запросу клиента.

По мнению суда, общество было проинформировано об операциях в соответствии с условиями договора. Иной порядок уведомления договором не предусмотрен.

Суд отметил, что все информационные системы и каналы связи банка защищены сертифицированными полномочным государственным органом (ФСТЭК) средствами криптографической защиты информации, все электронно-вычислительные машины ответчика защищены сертифицированными антивирусными программами (Symantec Endpoint Protection, Kaspersky Security, копии сертификатов размещены на официальных сайтах компаний-разработчиков).

В период действия договора, заключенного сторонами, использовалось средство криптографической защиты Бикрипт КСБ-С (в дальнейшем Бикрипт-4), на использование которых у ответчика имеются соответствующие сертификаты.

Банком выполняются требования, установленные Банком России в «Положении о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 № 382-П, для обеспечения защиты информации при осуществлении переводов денежных средств с использованием сети Интернет:
  • Средства обеспечения конфиденциальности встроены в системы дистанционного банковского обслуживания;

  • Проводятся регулярные тестирования систем дистанционного банковского обслуживания на уязвимости;

  • Используются средства межсетевого экранирования и сегментирование сети; информация о клиенте и его операциях не хранится в открытом сегменте сети;

  • Взаимодействие между сегментами сети осуществляется через шлюзы прикладного уровня с протокольной развязкой и фильтрацией контента;

  • Проводятся приемосдаточные испытания внедряемого программного обеспечения; заключены договоры на техническую поддержку, обновление версий программного обеспечения проводятся мероприятия по защите от DoS/DDoS;

  • Обеспечена двухуровневая система защиты: на уровне операторов связи и ЗАО «Лаборатория Касперского»;

  • Подготовлены планы восстановлений после сбоев, в т.ч. документы с планами мероприятий после локальных и глобальных катастроф.
Суд отметил, что услуги, предоставляемые банком, являются в полной мере безопасными (при соблюдении клиентом мер по информационной безопасности). В данном же случае, общество использовало компьютер, подключенный к локальной сети, пользователями которой являются разные организации. Несоблюдение правил информационной безопасности и неосторожность, проявленная сотрудниками общества, привели к возникновению у организации убытков.

Арбитражный суд Ханты-Мансийского автономного округа - Югры оставил без удовлетворения исковые требования ООО «СИБТЭК».

Позиция Восьмого арбитражного апелляционного суда

Восьмой арбитражный апелляционный суд в сентябре 2018 года отметил, что в соответствии с представленным в материалы дела актом приема-передачи программных средств СПЭД в октябре 2010 года «Сбербанк России» передал, а общество приняло программные средства СПЭД и комплект сопроводительной документации, в том числе распечатки открытых ключей ЭЦП на бумажном носителе, заверенные подписями и оттиском печати. Владельцем ключа ЭЦП является генеральный директор общества.

Суд оставил без изменения решение Арбитражного суда Ханты-Мансийского автономного округа - Югры, апелляционную жалобу - без удовлетворения.

Позиция Арбитражного суда Западно-Сибирского округа

Арбитражный суд Западно-Сибирского округа в феврале 2018 года оставил без изменения
решение Арбитражного суда Ханты-Мансийского автономного округа - Югры и постановление Восьмого арбитражного апелляционного суда, а кассационную жалобу - без удовлетворения.

Позиция Судебной коллегии Верховного Суда Российской Федерации

Судья Верховного Суда Российской Федерации в июне 2019 года (определение № 304-ЭС19-8447) отметил, что ответственные за возврат спорной суммы лица были установлены в рамках дел №№ А43-14415/2015, А36-3351/2015, А63-6038/2015, А43-20914/2014, А60-26653/2015.

Судья подчеркнул, что невозможность исполнения судебных актов по указанным делам не создает солидарной обязанности по возврату денежных средств у банка, в действиях которого не установлено нарушений договора банковского счета.

Расследование преступления общество вправе инициировать самостоятельно
перед компетентными органами.

Судья Верховного Суда Российской Федерации отказал обществу с ограниченной ответственностью «СибТЭК» в передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда РФ.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

Комментариев нет:

Отправка комментария