суббота, 24 марта 2012 г.

Арбитражная практика: Банк не обязан фильтровать IP-адреса в отсутствие прямого распоряжения организации

К сожалению, число случаев несанкционированного списания денежных средств со счетов в банках в последнее время заветно увеличилось. Пытаясь вернуть свои деньги организации, прежде всего, обвиняют банк в неправомерном списании средств и/или отсутствии в его действиях должной заботливости и предусмотрительности. На этот раз в качестве аргумента ООО использовало тот факт, что спорное платежное поручение было отправлено с иного IP-адреса, отличного от того, что обычно использовался обществом.

В феврале 2012 года этот спор разбирал Арбитражный суд г. Москвы, дело № А40-110689/11.

Суть дела

ООО Торговый дом «Эверест» и ОАО «БИНБАНК» в феврале 2010 года заключили договор банковского счета и соглашение об обмене электронными документами. В мае 2011 года с расчетного счета общества банком были списаны денежные средства в размере более 550 тысяч руб.

По результатам проверки согласительной комиссии ЭЦП на поступившем в электронном виде платежном поручении была признана достоверной.

Общество обратилось в суд

Позиция  Арбитражного суда г. Москвы

По мнению суда, общество не представило доказательств извещения банка о компрометации ключа ЭЦП до даты списания денежных средств либо о подписании спорных платежных поручений некорректной ЭЦП, при этом сторонами не оспаривается факт замены ЭЦП после отказа в доступе истца к системе удаленного пользования. Суд признал действия банка обоснованными, и не нашел оснований для удовлетворения заявленных требований.

При этом суд отметил, что довод истца о выдаче ключа ЭЦП на ненадлежащем носителе отклоняется как документально не подтвержденный.

ООО пыталось апеллировать к тому, что при осуществлении связи с банком от имени клиента был использован IP-адрес, отличный от обычно использующегося. Суд посчитал, что данный факт не является основанием считать действия банка необоснованными, так как «введение каких-либо ограничений на доступ к банковскому счету, в том числе – по IP-адресу, возможно только по волеизъявлению самого клиента с учетом особенностей оказания Интернет-провайдером клиенту банка телематических услуг и услуг передачи данных», а общество таких распоряжений  банку не давало.

В соглашении ограничение исполнения поступивших платежных документов со стороны банка допускается сторонами только при наличии обоснованных подозрений на компрометацию секретного ключа ЭЦП, а не по каждому нестандартному случаю.

Кроме того, суд также отметил, что факт отсутствия в спорном платежном поручении ИНН получателя платежа объясняется тем, что получателем является физическое лицо, присвоение которому ИНН происходит не в обязательном, а в заявительном порядке, а расчетный (банковский) счет физического лица открывается и в отсутствие свидетельства о присвоении ИНН.

На этих основаниях суд  отказал обществу в удовлетворении исковых требований.

Мой комментарий: Данный пример далеко не единичный. Анализ аналогичных дел показывает, что очень многие жертвы мошенничества в свое время не сочли нужным потратиться на дополнительную услугу банка по контролю IP-адресов, однако, потеряв деньги, пытались обвинить банк в отсутствии должной заботливости и предусмотрительности, поскольку тот не заблокировал транзакции с необычного IP-адреса. 

Поскольку применение систем «клиент-банк» и Интернет-банкинга связано с серьезными рисками, заметно увеличившимися за последний год, организациям стоит задуматься над обеспечением большей безопасности своих транзакций, в том числе и об использовании IP-фильтрации, - и сделать это до того, как «грянет гром». Как показывает судебная практика, вернуть украденные деньги в подобных ситуациях организациям удается, наверное, в одном-двух процентах все случаев.

Источник: официальный сайт Высшего арбитражного суда
http://ras.arbitr.ru/

3 комментария:

  1. Несколько лет назад я обратился в банки, в которых обслуживаются счета нашей компании, с предложением\пожеланием по усилению безопасности платежных операций, и в том числе по ограничению на проведение платежных операций в ДБО с пула IP-адресов нашей компании. На, что от всех респондентов был получен бескомпромисный ответ, что такие услуги банк не оказывает и не будет оказывать.
    В договорах на ДБО, которые заключались много лет назад, требований по возможному ограничению доступа не было. Поэтому опротестовать ответ банков возможности нет.

    ОтветитьУдалить
  2. Особенность еще и в том, что при применении ФЗ-1 об ЭЦП (который скоро перестанет действовать) банк начинает нести риски за ненадлежащее исполнение своих обязательств: ЭЦП=подпись+печать. Какие основания отказать в проведении операции, кроме принципа KYC ("знай своего клиента")? Юридически - никаких. А вот санкции за неисполнение поручения вполне конкретные и юридически значимые.

    Новый ФЗ об ЭП скорее всего мало что изменит, кроме прямо прописываемого в договоре (не ФЗ) разделения ответственности.

    ОтветитьУдалить
  3. Мне кажется тут дело не столько в ЭЦП (один из многих методов аутентификации), сколько в принятом наборе таких методов.
    Двухфакторная аутентификация лучше чем однофакторная...
    Т.к. закрытый ключ может быть всегда (почти) скомпрометирован, остальные методы аутентификации человека/объекта (компьютер, адрес) просто обязательно нужно использовать когда речь идет о деньгах...

    ОтветитьУдалить