Несанкционированное списание денежных средств со счетов организаций, как правило завершается судебным разбирательством и претензиями к банку.
Арбитражный суд города Москвы в январе 2017 года рассмотрел дело № А40-216859/15-170-1768, в котором суд назначил проведение компьютерно-технической экспертизы. Однако банк представил не всю запрошенную документацию, в результате эксперт сделал вывод том, что «уровень безопасности программного средства защиты соответствует низкому уровню».
Суть спора
Между обществом ООО «Электросервисмонтаж» и «Московским Кредитным Банком» в июле 2003 года был заключен договор банковского счета, а в апреле 2013 года был заключен договор на обслуживание счетов с использованием электронной системы «Ваш Банк в Вашем офисе», которым был определен порядок проведения банковских операций по счету с использованием электронного документооборота.
В августе 2015 года со счета общества по трем платежным поручениям, переданным по электронной системе, были списаны денежные средства в общем размере почти 4,7 млн., которые были перечислены на счет ООО «Инкомстрой», открытый в ПАО Сбербанк.
14 августа 2015 года от банка поступило сообщение о сомнительных операциях по счету общества, о подозрительном характере которых ему сообщил банк получателя денежных средств - ПАО Сбербанк.
Учитывая, что общество никаких распоряжений на перечисление денежных средств по реквизитам ООО «Инкомстрой» не направляло, оно обратилось в банк с требованием пояснить причину списания денежных средств с его счета, а также возместить убытки, причиненные недобросовестными действиями сотрудников банка.
Банк отказался возвратить списанные со счета денежные средства.
Позиция ООО «Электросервисмонтаж»
Согласно п. 4.3 Договора, расчетные документы принимаются банком к исполнению только при соблюдении следующих условий:
- Документы оформлены в соответствии с установленной формой;
- Документы зашифрованы и подписаны электронной подписью клиента;
- Все указанные в документах реквизиты являются верными.
В п. 4.2 Договора стороны признают, что алгоритм электронной подписи (ЭП), применяемый в Системе, позволяет обнаружить любые изменения, внесенные в текст документа, подписанного ЭП, и обеспечивает невозможность ее подделки без наличия ключа ЭП.
Учитывая, что платежные поручения о списании денежных средств со счета обществом не направлялись, а ключ ЭП никому не передавался, то в расчетных документах отсутствовала электронная подпись общества, которую подделать невозможно.
У банка не было оснований для принятия к исполнению поддельных платежных поручений в связи с дефектом их формы и несоответствием условиям п. 4.3 Договора
Позиция банка
Обеспечение клиентов средствами формирования электронной подписи осуществляется в соответствии с Лицензией на осуществление деятельности по предоставлению услуг в шифровании информации от 18.02.2015 Per. №14105 Н, выданной Центром лицензирования, сертификации и защиты государственной тайны ФСБ России.
Безопасность формирования и передачи информации в Системе обеспечивается использованием средств криптографической защиты информации «КриптоПро GSP» на основании лицензионного договора с правообладателем.
При заключении договора ключевой носитель, содержащий комплект ключей ЭП, был передан обществу по Акту приема-передачи в мае 2013 года.
По мнению банка, общество не исполнило своих обязательств по договору, поскольку для разрешения спорной ситуации клиент должен был направить в банк полномочных представителей и передать ключевой носитель с действовавшими в период совершения операции ключами ЭП, что сделано не было. Обращения в правоохранительные органы также не последовало.
У банка отсутствовали правовые основания для отказа в исполнении поручений, в связи с чем обязанность компенсировать убытки на него не может быть возложена.
Позиция Арбитражного суда города Москвы
Определением Арбитражного суда города Москвы в июне 2016 года была назначена экспертиза, проведение которой было поручено Автономной некоммерческой организации «Научно-исследовательский центр судебной экспертизы «Гильдия»».
На рассмотрение эксперта были поставлены следующие вопросы:
- Имеется ли на носителях информации (НЖМД ЭВМ бухгалтера) следы несанкционированного доступа третьего неизвестного лица к ЭВМ, предоставленного на исследование?
- Имелись ли у ООО «Электросервисмонтаж» аппаратные и программные средства необходимые и достаточные средства для предотвращения несанкционированного доступа?
- Имелись ли необходимые средства у ОАО «Московский кредитный банк» для предотвращения несанкционированного доступа третьих неизвестных лиц?
- Какие методы и средства обычно используются Банками для снижения риска несанкционированного перевода денежных средств? Использовались ли они ОАО «Московский кредитный банк»?
- Хранился ли приватный ключ клиента на токене или в системной области (реестре);
- Защищалась ли рабочая станция с ВБВО антивирусом и актуализировались ли базы данных на ней?
- Имелся ли к рабочей станции внешний доступ – как со стороны компьютеров внутри организации, так и извне? Есть ли доказательства того, что доступ этих внешних средств не был скомпрометирован?
- Был ли с рабочей станции доступ в Интернет?
- Прошли ли ЭЦП проверку на подлинность на стороне Банка?
В судебном заседание эксперт пояснил, что ему для проведения компьютерно-технической экспертизы необходимы следующие документы:
- Список программ и устройств, которые были переданы банком обществу (полное наименование; версия/серийный номер);
- Сертификаты/лицензии; техническое описание (паспорт, инструкция и т.д.).
В экспертном заключении отмечено, что «банком не представлено достоверных сведений о примененных им аппаратных и программных средствах защиты. Повышение уровня безопасности программного обеспечения могло бы воспрепятствовать несанкционированному вторжению со стороны третьих лиц».
Согласно выводам экспертной организации, уровень безопасности программного средства защиты соответствует низкому уровню.
В судебном заседании эксперт пояснил, что выводы экспертизы сделаны на основании того объема документов и информации, которая предоставлена сторонами в добровольном порядке, подчеркнув, что «нет достаточных данных для категоричного вывода».
Поскольку запрошенная экспертом информация была предоставлена банком не в полном объеме, сведения в отношении примененных им средств защиты от несанкционированного доступа не были подтверждены, суд пришел к выводу о том, что по характеру обязательства банком не была обеспечена надлежащая защищенность системы.
Суд отметил, что в соответствии с пунктом 6.1.5 договора банк обязан отправлять клиенту не позднее банковского дня, следующего за днем отправки электронного документа, информацию о совершении или отказе в совершении операции с использованием системы посредством присвоения в Системе электронному платежному документу статуса «в Архиве» в разделе «Документы / Платежные поручения». Доказательств того, что банком был исполнен данный пункт договора, в материалы дела представлено не было.
Суд взыскал с «Московского Кредитного Банка» в пользу ООО «Электросервисмонтаж» почти 4,7 млн. рублей. убытков, а также расходы на оплату госпошлины, услуг работы эксперта в размере более 220 тысяч рублей.
Девятый арбитражный апелляционный суд в мае 2017 года оставил без изменения решение Арбитражного суда города Москвы, а апелляционную жалобу банка - без
удовлетворения.
Арбитражный суд Московского округа в августе 2017 года оставил без изменения решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда, а кассационную жалобу – без удовлетворения.
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/
Комментариев нет:
Отправить комментарий