Изучая арбитражную практику, иногда просто диву даешься, какими беспечными в плане документационного оформления своей деловой деятельности бывают коммерческие организации. Нередко это приводит к существенным финансовым потерям.
В мае 2011 года Арбитражный суд Пермского края, разбирая очередной спор клиента и коммерческого банка, убедился в том, что и кредитные организации не всегда правильно документирую свою деятельность (дело №А50-18570/2010).
Суть спора
История началась достаточно тривиально. Со счетов ООО «Северный дом» в банке ОАО «Собинбанк» через систему «Банк-Клиент» на основании платежного поручения, подписанного ЭЦП директора ООО, было несанкционированно списано более 520 тысяч рублей. Поскольку вернуть сумму добровольно банк отказался, общество обратилось в суд.
Обычно подобные дела клиенты однозначно проигрывают, но это был один из тех редких случаев, когда события стали развиваться по иному сценарию.
Позиция ООО
Обосновывая вину банка, ООО указало, что, согласно требованиям Генерального соглашения № 20180 о порядке проведения операций по банковским счетам с использованием системы «Банк-Клиент», до полного оформления комплекта документов банк должен был блокировать работу клиента в системе. Банком этого сделано не было, поэтому вся ответственность за неправомерное списание денег ложится на него.
Позиция банка
Банк, защищая свои интересы, указывал на то, что клиентская часть системы была установлена клиенту, были созданы закрытый и открытый ключи ЭЦП, платежное поручение было подписано правильной ЭЦП руководителя ООО, в связи с чем Банк не имел права не исполнять данное платежное поручение.
Полный комплект документов по созданию и установлению системы «Банк-Клиент» не был сформирован по вине ООО, не подписавшего необходимые приложения, однако система в полном объеме была установлена, и клиент в течение нескольких месяцев ею пользовался.
Позиция Арбитражного суда Пермского края
При рассмотрении спора суд внимательно изучил ход заключения в январе 2010 года Генерального соглашения № 20180 о порядке проведения операций по банковским счетам с использованием системы «Банк-Клиент» между банком и ООО, и, прежде всего, порядок установки и ввода в эксплуатацию системы «Банк-Клиент», предполагавший «совершение сторонами определенных действий, которые оформляются соответствующими двухсторонними документами».
Так, клиент должен был оформить подписанную со своей стороны и заверенную печатью Заявку на подключение/замену/отключение системы «Интернет-Клиент». После регистрации заявки сотрудник банка должен был передать оформленный надлежащим образом корешок заявки ООО, - однако это не было сделано.
Поскольку Банк направил к клиенту специалиста для установки и настройки системы, то факт установки системы должен был быть зафиксирован сторонами в акте выполненных на территории клиента работ, составление которого также было предусмотрено в соглашении. Такой акт, однако, сторонами не был подписан.
Ввод системы в эксплуатацию должен быть оформлен актом подключения/замены/отключения системы «Интернет-Клиент». И этот акт сторонами также подписан не был.
В то же время, согласно п.11.9 Приложения № 1 к Генеральному соглашению, Банк должен был блокировать работу Клиента в системе до момента полного оформления комплекта документов (что опять-таки не было сделано).
При этом как истец, так и ответчик утверждали о компрометации ключей ЭЦП. По мнению ООО, ключи ЭЦП были скомпрометированы при их создании, поскольку были созданы в нескольких экземплярах. По мнению банка, ключи ЭЦП были скомпрометированы в процессе их использования, поскольку к ключам имели доступ иные лица, помимо директора.
Была проведена судебная экспертиза по вопросам информационной безопасности при использовании системы электронного документооборота и электронно-цифровой подписи. В заключении экспертами был сделан вывод о том, что ключ ЭЦП был скомпрометирован самим Банком, поскольку к ключевому носителю имели доступ посторонние лица. Правда, во время судебного заседания, когда обсуждался вопрос о компрометации ключа ЭЦП, эксперт пояснила, что, «если работник Банка С. также является ответственным лицом Удостоверяющего центра Банка, то компрометации ключа ЭЦП не произошло» (очень интересная позиция для эксперта! – Н.Х.).
Были также выслушаны и непосредственные участники событий. Работник банка С. пояснил, что является сотрудником Банка, главным специалистом сектора IT-поддержки. Ключ ЭЦП создавался в Банке, затем С. пришел в офис ООО и переписал ключ ЭЦП с дискеты на «флешку» директора. Дискета и «флешка» были переданы директору.
Клиентская часть системы «Банк-Клиент» была установлена путем скачивания соответствующей программы из Интернета. Система была установлена клиенту, а документы так и остались неподписанными, поскольку С. не проверил наличие подписей.
Судом был также допрошен коммерческий директором ООО, которая занималась оформлением документов по банковскому обслуживанию, в том числе с использованием системы «Банк-Клиент». Основная суть её показаний была изложена в судебном решении: «Из Банка приходил специалист для установки системы, ключ ЭЦП принес на дискете.
Пытался переписать программу с дискеты на компьютер ООО, но дискета не считывалась. Специалист ушел с дискетой, сказал директору приобрести свою «флешку». Через некоторое время специалист банка вновь пришел, принес «флешку» с ключом ЭЦП, переписал ее на компьютер, потом на «флешку» директора. Дискету работник банка не вернул, «флешку», с которой переписывал, также не вернул, т.к. это была его «флешка». Программы на дисках не приносил.»
Суд счел, что отсутствие подписанного акта о подключении системы «Банк-Клиент» само по себе означает, что фактические действия по установке и подключению системы осуществлены с нарушением порядка, установленного соглашениями сторон, - в связи с чем данные действия нельзя признать соответствующими достигнутым договоренностям.
Суд также отметил, что наличие у директора ООО ключа ЭЦП и фактическое осуществление расчетов с использованием ключа ЭЦП не свидетельствуют о законности действий банка по проведению расчетов истца. Поскольку банк не блокировал работу истца в системе «Банк-Клиент», то фактическое пользование истцом указанной системой является лишь следствием неисполнения банком своих договорных обязанностей.
На этом основании суд взыскал с ОАО «Собинбанк» в пользу ООО «Северный дом» более 515 тысяч руб. убытков.
Семнадцатый арбитражный апелляционный суд оставил в августе 2011 года решение суда первой инстанции без изменений.
Мой комментарий: Безалаберность сотрудников банка, отвечающих за подключение системы «Клиент-банк», впечатляет: надо же умудриться не составить ни одного предусмотренного Генеральным соглашением документа!
И, конечно же, используемую банком процедуру создания и передачи ключей нужно срочно менять, иначе любой клиент сможет, при желании, привести убедительные аргументы в пользу того, что ключи ЭЦП были скомпрометированы сотрудниками банка.
Так что банку ещё повезло, что украденная сумма не исчислялась миллионами…
Источник: официальный сайт Высшего арбитражного суда
http://kad.arbitr.ru/
