В настоящее время организация дистанционного управления счетом через Интернет-сеть для корпоративных клиентов является наиболее перспективной и эффективной. Основная причина: канал связи доступен практически из любой точки мира при относительно низкой стоимость владения подобным каналом. Однако доступность и мобильность несут в себе дополнительные риски мошенничества. В последние годы в стране с увеличением спроса со стороны клиентов банков на услуги ДБО фиксируется экспоненциальный рост числа киберпреступлений: так эксперты компании Group-IB отметили трехкратный рост числа таких инцидентов в 2010-ом году по сравнению с 2009-ым годом, а за 2011 год в сфере высоких технологий сотрудникам Управления экономической безопасности и противодействия коррупции МВД по Москве удалось выявить 76 преступлений, в том числе 61 тяжких и особо тяжких (по данным сайта top.rbc.ru).
Сегодня в России расследование киберпреступлений пока еще затруднено. По экспертным оценкам к концу 2010 года количество активно действующих хакеров составляло порядка 20 тысяч, а ответственность за свои действия несут менее 0,1 %. И не только вследствие специфичности состава преступления и малочисленности подразделений ОВД по расследованию преступлений в области информационных технологий (подразделений «К»), но и по причине отсутствия единой системы сбора и фиксирования инцидентов.
Обеспечение информационной безопасности требует всестороннего комплексного подхода, подкрепленного грамотным и ответственным отношением сотрудников, как банка, так и клиента. Ведь в случае реализации замыслов киберпреступников организация-клиент теряет деньги, а обслуживающий клиента банк дополнительно к финансовым потерям ставит под удар и свою деловую репутацию. Банку, кроме того, в случае нарушения им норм информационной безопасности согласно действующему законодательству грозят вполне реальные штрафные санкции: требования к информационной безопасности кредитных организаций жестко зарегламентированы, в том числе, и регулятором в лице Банка России.
Несмотря на то, что существенные элементы системы безопасности ДБО находятся под управлением клиентов и недоступны для полного контроля со стороны банка, подавляющее большинство организаций не придают вопросам безопасности системы электронных платежей должной важности. До тех пор, пока их расчетный счет не будет «ограблен» злоумышленникам, пока не произойдет то, что юридически имеет формулировку «несанкционированное списание денежных средств» или сокращенно НСДС.
Итак, произошло хищение средств с расчетного счета юридического лица. Так кто же виноват в инциденте? Сам клиент банка, допустивший заражение компьютера вирусом, или банк, выдавший ему такое ПО, которое не защищено от атак вирусов? И что в таком случае нужно делать?
В одном из недавних интервью корреспонденту «Российской газеты» начальник Бюро специальных технических мероприятий МВД России, куда и входит знаменитое управление "К", генерал-майор полиции Алексей Мошков по реагированию на факт хищения средств со счетов рекомендовал потерпевшим буквально следующее: «Дело в том, что эти преступления отличаются высокой степенью латентности. Многие граждане просто не обращаются в правоохранительные органы, предпочитают решать проблемы своими силами. В первую очередь, надо обратиться за разъяснениями в банк, где вы хранили деньги. Если банк дорожит своей репутацией и вами, как клиентом, - а зачастую это именно так, то его служба собственной безопасности проведет тщательное и объективное расследование. Возможны несколько причин, почему уменьшился ваш счет. Так, это может быть человеческий фактор, в том числе ваша беспечность. Может произойти технический сбой в электронной системе, преступный сговор банковских служащих с мошенниками, действие вредоносной программы».
С одной стороны, ответственность за инцидент лежит на клиентах, которые пренебрегают обоснованными рекомендациями банков. А они, между прочим, прописываются в каждом договоре на предоставление услуг ДБО. С другой стороны, по мнению пострадавших клиентов виноваты обслуживающие их банки, так как сотрудники банка не проявили необходимой ответственности (не предприняли должных усилий) по отслеживанию нетипичных для данного клиента платежей. Например, с расчетного счета осуществлен единоразовый перевод крупной суммы на счет физического лица, а операционист не заблокировал такой платеж и не перезвонил в компанию для дополнительного подтверждения. Однако, в ответ на претензии клиента банк свою вину отрицает и компенсировать клиенту потери не намерен… Если банк не готов договариваться, то, как правило, клиенту рекомендуют в качестве наиболее рационального пути решения проблемы — идти в суд.
Казалось бы, суть вопроса, так же как и его решение, «лежат на поверхности»: банк отвечает за сохранность денежных средств клиента. Однако, анализ действующего законодательства и обзор судебной практики показывает, что в случае НСДС далеко не все так однозначно.
Подавая в Арбитражный суд иск в отношении обслуживающего его банка, клиенты в качестве обоснованности своих претензий обычно приводят следующие аргументы:
Что банк может противопоставить этому доводу клиента?
Законодательством определен порядок государственного регулирования и контроля над деятельностью в сфере электронного документооборота путем установления лицензирования соответствующих видов деятельности. В частности, для этой сферы введена сертификация качества аппаратно-программного обеспечения, т. е. система криптографической защиты информации (СКЗИ) должна быть сертифицирована.
В соответствии со ст. 3 Федерального закона от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" (далее - Закон об ЭЦП) электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Средства ЭЦП - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
Положениями о лицензировании, утвержденными Постановлением Правительства РФ от 29 декабря 2007 г. N 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами", средства ЭЦП отнесены к шифровальным (криптографическим) средствам (средствам криптографической защиты информации).
Пунктом 1 ч. 1 ст. 12 Федерального закона от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности" разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств отнесены к лицензируемым видам деятельности.
Таким образом, если со стороны банка вышеперечисленные условия по лицензированию и сертификации были выполнены, клиент вряд ли может рассчитывать на судебное решение в свою пользу: суд не найдет оснований для взыскания средств с обслуживающего банка в качестве возмещения ущерба.
В настоящее время принят Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи", в связи с чем Закон об ЭЦП № 1-ФЗ утратит силу с 1 июля 2012 года. Возможно, новый Закон «расставит все точки над i» относительно качества применяемых банками криптографических средств, что позволит, в свою очередь, снизить злоупотребления в сфере дистанционного банковского обслуживания.
А пока результаты обзора судебной практики свидетельствует о том, что большинство решений Арбитражных судов выносится не в пользу пострадавших в результате несанкционированного списания денежных средств истцов. Как правило, вывод судей об отсутствии оснований для привлечения Банка к ответственности основывается на том, что:
В соответствии с частью 1 статьи 196 ГПК РФ при принятии решения суд оценивает доказательства, определяет какие обстоятельства, имеющие значение для рассмотрения дела, установлены и какие обстоятельства не установлены, каковы правоотношения сторон, какой закон должен быть применен по данному делу и подлежит ли иск удовлетворению.
В силу статьи 65 Арбитражного процессуального кодекса РФ каждое лицо, участвующее в деле, должно доказать обстоятельства, на которые оно ссылается как на основание своих требований и возражений. Для возмещения вреда, причиненного имуществу гражданина, потерпевший (истец) в соответствии со статьей 15, 1064 Гражданского кодекса Российской Федерации должен доказать следующее:
На основании ст. 845 ГК РФ по договору банковского счета банк обязуется принимать и зачислять поступающие на счет, открытый клиенту (владельцу счета), денежные средства, выполнять распоряжения клиента о перечислении и выдаче соответствующих сумм со счета и проведения других операций по счету. Банк не вправе определять и контролировать направления использования денежных средств клиента и устанавливать другие, не предусмотренные законом или договором банковского счета ограничения его права распоряжаться денежными средствами по своему усмотрению (п. 3 ст. 845 ГК РФ).
Пунктом 1 статьи 854 ГК РФ предусмотрено, что списание денежных средств со счета осуществляется банком на основании распоряжения клиента.
В силу статьи 864 ГК РФ необходимым условием исполнения банком платежного поручения клиента является соответствие содержания и формы этого документа требованиям, предусмотренным законом и установленными в соответствии с ним банковскими правилами.
На основании статьи 847 ГК РФ права лиц, осуществляющих от имени клиента распоряжения о перечислении и выдаче средств со счета, удостоверяются клиентом путем представления банку документов, предусмотренных законом, установленными в соответствии с ним банковскими правилами и договором банковского счета. Клиент может дать распоряжение банку о списании денежных средств со счета по требованию третьих лиц, в том числе связанному с исполнением клиентом своих обязательств перед этими лицами. Банк принимает эти распоряжения при условии указания в них в письменной форме необходимых данных, позволяющих при предъявлении соответствующего требования идентифицировать лицо, имеющее право на его предъявление. Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (пункт 2 статьи 160 ГК РФ), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.
Банк, перечисляя денежные средства Клиента, действует на основании ст.ст. 848, 849 ГК РФ согласно платежным поручениям последнего, полученным посредством системы ДБО. В случае, если оспариваемый электронный документ заверен надлежащим образом, т. е. электронная цифровая подпись признана корректной, у банка отсутствуют основания для отказа в списании средств со счета истца.
Согласно статье 4 Федерального закона № 1-ФЗ от 10.01.2002 «Об электронной цифровой подписи» (далее - Закон N 1-ФЗ), электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; подтверждена подлинность электронной цифровой подписи в электронном документе; электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
В соответствии с п. 1 ст. 12 Закона N 1-ФЗ владелец сертификата ключа подписи обязан:
Так как, в соответствии с техническими решениями систем криптозащиты информации, закрытый (секретный) ключ ЭЦП клиента находится исключительно в распоряжении владельца сертификата ключа подписи (банк не имеет к нему доступа!), то к утечке сведений, касающихся закрытой части криптографического ключа, и как следствие, к несанкционированному списанию денежных средств могут привести только действие/бездействие самого клиента.
Ст. 14 Закона «О защите прав потребителей» предусматривает аналогичное основание, при котором исполнитель услуг освобождается от ответственности за имущественный вред, а именно «если докажет, что вред причинен вследствие непреодолимой силы или нарушения потребителем установленных правил использования, хранения или транспортировки товара (работы, услуги)». Необходимо также принять во внимание, что вышеуказанный нормативный акт регулирует отношения, одной из сторон которых выступает гражданин, т. е. рассматривает права потребителей - физических лиц.
В пункте 2 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 "О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета" разъяснено, что банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами, если иное не установлено законом или договором.
Однако, типовые договора присоединения к системам «интернет-банкинг» большинства банков в той или иной форме содержат положения, согласно которым Банк не несет ответственность за неблагоприятные для клиента последствия, наступившие в результате несанкционированного доступа к системе ДБО неуполномоченных и третьих лиц, возникшего не по вине Банка:
Во-первых, банк получателя в своих действиях защищен ст. 854 ГК РФ, согласно которой с момента зачисления денежных средств владельцем денежных средств является клиент банка, и списание денежных средств со счета осуществляется банком только на основании распоряжения клиента. При этом согласно ст.858 ГК РФ ограничение прав клиента на распоряжение денежными средствами, находящимися на счете, не допускается, за исключением наложения ареста на денежные средства, или приостановления операций по счету, в случаях, предусмотренных законом. При этом необходимо отметить, что постановление о возбуждении уголовного дела не является основанием для приостановления операция по счетам.
А во-вторых, деньги уходят на счета подставных лиц и фирм-однодневок со всеми вытекающими последствиями.
Вывод: Мошенничество в системе интернет-банкинга требует оперативной и компетентной реакции. Только быстрые и слаженные действия специалистов службы ИТ банка, пострадавшего клиента, сотрудников правоохранительных органов позволяет вернуть денежные средства клиента и поймать злоумышленников. Поэтому важно решать вопрос не как переложить ответственность и понесенные убытки друг на друга, а какие (и как можно оперативнее!) принимать меры для недопущения хищения или поиска мошенников, если оно все-таки состоялось.
Практические советы, как снизить вероятность возможных рисков, заключаются в следующем.
Во-первых, как можно более тщательно изучить все пункты Договора на ДБО и уточнить возникшие вопросы у специалистов банка до его подписания. Особое внимание необходимо уделить разделам, касающимся обязанностей сторон по обеспечению информационной безопасности и технологическим характеристикам средств криптозащиты информации. Ознакомиться с лицензиями на распространение СКЗИ и информационных систем ДБО, оказание услуг в области шифрования информации и прочими, имеющимися у банка в соответствии с законодательством, а также сертификатами качества аппаратно-программного обеспечения и системы криптографической защиты информации (СКЗИ).
Во-вторых, строго соблюдать все рекомендации банка по программно-аппаратному оснащению рабочего места пользователя ДБО. Прежде всего, обеспечить надежную антивирусную защиту с регулярным обновлением, а также не экономить на подключении услуги SMS-информирования, которую предлагает банк.
В-третьих, для предупреждения хищения средств весьма важно в процессе эксплуатации системы ДБО обращать повышенное внимание на все отклонения в стандартной работе программно-технических средств рабочего места пользователя ДБО. При обнаружении отклонений необходимо известить Администратора ДБО Банка. Наиболее яркими признаками готовящегося мошенничества являются:
Важно помнить, что своевременное выявление факта преступления и оперативное реагирование в течение 4-х часов (по неофициальной статистике с момента кражи до момента вывода средств уходит не более 3-4 часов) с момента отправки платежного поручения гарантируют возврат денежных средств на счет в 80% случаев.
Действия клиента в случае обнаружения факта (попытки) мошенничества, подозрении на компрометацию СКЗИ (ключей):
Дежурная часть ГУ МВД России по г. Москве расположена по адресу г. Москва, ул. Петровка, д. 38
Согласно сценарию реагирования на инциденты в системе ДБО Банк предпринимает следующие действия:
Сегодня в России расследование киберпреступлений пока еще затруднено. По экспертным оценкам к концу 2010 года количество активно действующих хакеров составляло порядка 20 тысяч, а ответственность за свои действия несут менее 0,1 %. И не только вследствие специфичности состава преступления и малочисленности подразделений ОВД по расследованию преступлений в области информационных технологий (подразделений «К»), но и по причине отсутствия единой системы сбора и фиксирования инцидентов.
Обеспечение информационной безопасности требует всестороннего комплексного подхода, подкрепленного грамотным и ответственным отношением сотрудников, как банка, так и клиента. Ведь в случае реализации замыслов киберпреступников организация-клиент теряет деньги, а обслуживающий клиента банк дополнительно к финансовым потерям ставит под удар и свою деловую репутацию. Банку, кроме того, в случае нарушения им норм информационной безопасности согласно действующему законодательству грозят вполне реальные штрафные санкции: требования к информационной безопасности кредитных организаций жестко зарегламентированы, в том числе, и регулятором в лице Банка России.
Несмотря на то, что существенные элементы системы безопасности ДБО находятся под управлением клиентов и недоступны для полного контроля со стороны банка, подавляющее большинство организаций не придают вопросам безопасности системы электронных платежей должной важности. До тех пор, пока их расчетный счет не будет «ограблен» злоумышленникам, пока не произойдет то, что юридически имеет формулировку «несанкционированное списание денежных средств» или сокращенно НСДС.
Итак, произошло хищение средств с расчетного счета юридического лица. Так кто же виноват в инциденте? Сам клиент банка, допустивший заражение компьютера вирусом, или банк, выдавший ему такое ПО, которое не защищено от атак вирусов? И что в таком случае нужно делать?
В одном из недавних интервью корреспонденту «Российской газеты» начальник Бюро специальных технических мероприятий МВД России, куда и входит знаменитое управление "К", генерал-майор полиции Алексей Мошков по реагированию на факт хищения средств со счетов рекомендовал потерпевшим буквально следующее: «Дело в том, что эти преступления отличаются высокой степенью латентности. Многие граждане просто не обращаются в правоохранительные органы, предпочитают решать проблемы своими силами. В первую очередь, надо обратиться за разъяснениями в банк, где вы хранили деньги. Если банк дорожит своей репутацией и вами, как клиентом, - а зачастую это именно так, то его служба собственной безопасности проведет тщательное и объективное расследование. Возможны несколько причин, почему уменьшился ваш счет. Так, это может быть человеческий фактор, в том числе ваша беспечность. Может произойти технический сбой в электронной системе, преступный сговор банковских служащих с мошенниками, действие вредоносной программы».
С одной стороны, ответственность за инцидент лежит на клиентах, которые пренебрегают обоснованными рекомендациями банков. А они, между прочим, прописываются в каждом договоре на предоставление услуг ДБО. С другой стороны, по мнению пострадавших клиентов виноваты обслуживающие их банки, так как сотрудники банка не проявили необходимой ответственности (не предприняли должных усилий) по отслеживанию нетипичных для данного клиента платежей. Например, с расчетного счета осуществлен единоразовый перевод крупной суммы на счет физического лица, а операционист не заблокировал такой платеж и не перезвонил в компанию для дополнительного подтверждения. Однако, в ответ на претензии клиента банк свою вину отрицает и компенсировать клиенту потери не намерен… Если банк не готов договариваться, то, как правило, клиенту рекомендуют в качестве наиболее рационального пути решения проблемы — идти в суд.
Казалось бы, суть вопроса, так же как и его решение, «лежат на поверхности»: банк отвечает за сохранность денежных средств клиента. Однако, анализ действующего законодательства и обзор судебной практики показывает, что в случае НСДС далеко не все так однозначно.
Подавая в Арбитражный суд иск в отношении обслуживающего его банка, клиенты в качестве обоснованности своих претензий обычно приводят следующие аргументы:
- «банк ненадлежащим образом исполнял условия договора по обеспечению безопасности системы ДБО»;
- «в договоре, кроме упоминания названия системы, нет другой информации, позволяющей получить полное и детальное представление о работе этой системы, включая ее защитные функции»;
- «банком не предлагаются к использованию одноразовые пароли, нет sms-уведомления на входе в систему и о проводимых операциях, нет возможности установить лимит на операции через интернет-банк, в системе безопасности ДБО применяется упрощенный алгоритм генерации ЭЦП (в случае применения обычного flash-накопителя);
- «банк не предпринял должных мер по возврату неправомерно переведенных денежных средств» и т. п.
- «согласно пункту договора, вы признаете, что используемая система интернет-банкинга является достаточной для обеспечения надежной работы при приеме, передаче, обработке и хранении информации, а также для защиты информации, обеспечивающей разграничение доступа, шифрование, контроль целостности. Электронно-цифровая подпись достаточна для защиты от несанкционированного доступа, подтверждения подлинности и авторства электронных документов, а также для разбора конфликтных ситуаций по ним. При подписании договора вы доверяете программному обеспечению системы интернет-банкинга»;
- «в силу договора Вы обязуетесь соблюдать инструктивные документы по использованию системы и не передавать третьим лицам предоставляемое Банком программное обеспечение системы и документацию»;
- «Согласно договору с клиентом, последний несет ответственность за безопасность хранения его данных и средств доступа к счету»;
- «В соответствии с пунктом договора Банк не несет ответственность за неблагоприятные для клиента последствия, наступившие в результате несанкционированного доступа к системе неуполномоченных и третьих лиц, возникшего не по вине Банка» и т. п.
- <LI style="TEXT-ALIGN: justify">в подавляющем большинстве официально зафиксированных случаях покушения были реализованы злоумышленниками вследствие нарушений клиентами требований по информационной безопасности, в том числе определенных в договорах о ДБО; <LI style="TEXT-ALIGN: justify">фактов несанкционированного доступа (взлома) информационных систем банков как с внешних сетей, так и со стороны внутренних сетей банков (инсайдерских действий) не выявлено;
- во всех официально зафиксированных случаях электронные платежные документы, поступающие в банки на исполнение по ДБО, подписаны подлинной электронной цифровой подписью (ЭЦП) клиента.
Что банк может противопоставить этому доводу клиента?
Законодательством определен порядок государственного регулирования и контроля над деятельностью в сфере электронного документооборота путем установления лицензирования соответствующих видов деятельности. В частности, для этой сферы введена сертификация качества аппаратно-программного обеспечения, т. е. система криптографической защиты информации (СКЗИ) должна быть сертифицирована.
В соответствии со ст. 3 Федерального закона от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи" (далее - Закон об ЭЦП) электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Средства ЭЦП - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
Положениями о лицензировании, утвержденными Постановлением Правительства РФ от 29 декабря 2007 г. N 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами", средства ЭЦП отнесены к шифровальным (криптографическим) средствам (средствам криптографической защиты информации).
Пунктом 1 ч. 1 ст. 12 Федерального закона от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности" разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств отнесены к лицензируемым видам деятельности.
Таким образом, если со стороны банка вышеперечисленные условия по лицензированию и сертификации были выполнены, клиент вряд ли может рассчитывать на судебное решение в свою пользу: суд не найдет оснований для взыскания средств с обслуживающего банка в качестве возмещения ущерба.
В настоящее время принят Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи", в связи с чем Закон об ЭЦП № 1-ФЗ утратит силу с 1 июля 2012 года. Возможно, новый Закон «расставит все точки над i» относительно качества применяемых банками криптографических средств, что позволит, в свою очередь, снизить злоупотребления в сфере дистанционного банковского обслуживания.
А пока результаты обзора судебной практики свидетельствует о том, что большинство решений Арбитражных судов выносится не в пользу пострадавших в результате несанкционированного списания денежных средств истцов. Как правило, вывод судей об отсутствии оснований для привлечения Банка к ответственности основывается на том, что:
- у банка не имелось причин для отказа в исполнении надлежаще оформленного электронного платежного поручения, проставленная на котором ЭЦП клиента прошла проверку с положительным результатом и признана корректной согласно Акту о проведении технической экспертизы при возникновении спорных ситуаций;
- согласно выводам эксперта, проводившего судебную экспертизу по делу, система безопасности в части дистанционного банковского обслуживания соответствует требованиям Стандарта Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" и по состоянию на дату мошенничества обеспечивала защиту интересов клиентов банка от несанкционированного списания денежных средств;
- В ходе судебного разбирательства установлено, что подделка ЭЦП клиента практически невозможна без доступа к секретному (закрытому) ключу ЭЦП Клиента, а также подтверждено, что произошла компрометация секретного ключа ЭЦП со стороны истца (клиента) в результате недобросовестного исполнения истцом обязанностей по хранению закрытого ключа ЭЦП.
В соответствии с частью 1 статьи 196 ГПК РФ при принятии решения суд оценивает доказательства, определяет какие обстоятельства, имеющие значение для рассмотрения дела, установлены и какие обстоятельства не установлены, каковы правоотношения сторон, какой закон должен быть применен по данному делу и подлежит ли иск удовлетворению.
В силу статьи 65 Арбитражного процессуального кодекса РФ каждое лицо, участвующее в деле, должно доказать обстоятельства, на которые оно ссылается как на основание своих требований и возражений. Для возмещения вреда, причиненного имуществу гражданина, потерпевший (истец) в соответствии со статьей 15, 1064 Гражданского кодекса Российской Федерации должен доказать следующее:
- факт наличия ущерба и его размер,
- противоправность действий (бездействий) ответчика,
- причинную связь между противоправным поведением ответчика и наступившими вредоносными последствиями и вину причинителя вреда.
На основании ст. 845 ГК РФ по договору банковского счета банк обязуется принимать и зачислять поступающие на счет, открытый клиенту (владельцу счета), денежные средства, выполнять распоряжения клиента о перечислении и выдаче соответствующих сумм со счета и проведения других операций по счету. Банк не вправе определять и контролировать направления использования денежных средств клиента и устанавливать другие, не предусмотренные законом или договором банковского счета ограничения его права распоряжаться денежными средствами по своему усмотрению (п. 3 ст. 845 ГК РФ).
Пунктом 1 статьи 854 ГК РФ предусмотрено, что списание денежных средств со счета осуществляется банком на основании распоряжения клиента.
В силу статьи 864 ГК РФ необходимым условием исполнения банком платежного поручения клиента является соответствие содержания и формы этого документа требованиям, предусмотренным законом и установленными в соответствии с ним банковскими правилами.
На основании статьи 847 ГК РФ права лиц, осуществляющих от имени клиента распоряжения о перечислении и выдаче средств со счета, удостоверяются клиентом путем представления банку документов, предусмотренных законом, установленными в соответствии с ним банковскими правилами и договором банковского счета. Клиент может дать распоряжение банку о списании денежных средств со счета по требованию третьих лиц, в том числе связанному с исполнением клиентом своих обязательств перед этими лицами. Банк принимает эти распоряжения при условии указания в них в письменной форме необходимых данных, позволяющих при предъявлении соответствующего требования идентифицировать лицо, имеющее право на его предъявление. Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (пункт 2 статьи 160 ГК РФ), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.
Банк, перечисляя денежные средства Клиента, действует на основании ст.ст. 848, 849 ГК РФ согласно платежным поручениям последнего, полученным посредством системы ДБО. В случае, если оспариваемый электронный документ заверен надлежащим образом, т. е. электронная цифровая подпись признана корректной, у банка отсутствуют основания для отказа в списании средств со счета истца.
Согласно статье 4 Федерального закона № 1-ФЗ от 10.01.2002 «Об электронной цифровой подписи» (далее - Закон N 1-ФЗ), электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; подтверждена подлинность электронной цифровой подписи в электронном документе; электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
В соответствии с п. 1 ст. 12 Закона N 1-ФЗ владелец сертификата ключа подписи обязан:
- не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
- хранить в тайне закрытый ключ электронной цифровой подписи;
- немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.
Так как, в соответствии с техническими решениями систем криптозащиты информации, закрытый (секретный) ключ ЭЦП клиента находится исключительно в распоряжении владельца сертификата ключа подписи (банк не имеет к нему доступа!), то к утечке сведений, касающихся закрытой части криптографического ключа, и как следствие, к несанкционированному списанию денежных средств могут привести только действие/бездействие самого клиента.
Ст. 14 Закона «О защите прав потребителей» предусматривает аналогичное основание, при котором исполнитель услуг освобождается от ответственности за имущественный вред, а именно «если докажет, что вред причинен вследствие непреодолимой силы или нарушения потребителем установленных правил использования, хранения или транспортировки товара (работы, услуги)». Необходимо также принять во внимание, что вышеуказанный нормативный акт регулирует отношения, одной из сторон которых выступает гражданин, т. е. рассматривает права потребителей - физических лиц.
В пункте 2 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 "О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета" разъяснено, что банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами, если иное не установлено законом или договором.
Однако, типовые договора присоединения к системам «интернет-банкинг» большинства банков в той или иной форме содержат положения, согласно которым Банк не несет ответственность за неблагоприятные для клиента последствия, наступившие в результате несанкционированного доступа к системе ДБО неуполномоченных и третьих лиц, возникшего не по вине Банка:
- стороны признают метод электронной цифровой подписи, функционирующий в соответствии со стандартами ГОСТ Р34.100-94 и ГОСТ Р34,11-94, и используемый в системе «интернет-банкинг» при передаче электронных документов от Клиента в Банк (п.3.1.);
- стороны признают, что при произвольном изменении электронного документа, заверенного электронной цифровой подписью ЭЦП становится некорректной, т.е. проверка ЭУП дает отрицательный результат;
- стороны признают, что электронные документы с электронной цифровой подписью Клиента, создаваемые системой «интернет-банкинг» в Банке, являются доказательством при решении спорных вопросов в соответствии с положением о порядке проведения технической экспертизы при возникновении спорных ситуаций. Электронные документы, не имеющие цифровой подписи, при наличии спорных вопросов, не являются доказательством;
- клиент обязан хранить в секрете и не передавать третьим лицам пароль и дискету с секретным ключом ЭЦП Клиента, используемые в электронной системе «интернет-банкинг»;
- Банк не несет ответственности за ущерб, причиненный Клиенту в результате использования третьими лицами секретного ключа ЭЦП Клиента;
- Банк обязуется обеспечивать защиту банковской части системы от несанкционированного доступа и конфиденциальность информации, связанной с использованием системы "Интернет-клиент" в соответствии с действующим законодательством.
- клиент обязуется соблюдать инструктивные документы по использованию системы и не передавать третьим лицам предоставляемое Банком программное обеспечение системы и документацию.
- Банк не несет ответственность за неблагоприятные для клиента последствия, наступившие в результате несанкционированного доступа к системе неуполномоченных и третьих лиц, возникшего не по вине Банка.
- Банк обязуется исполнять поручения клиента в соответствии с полученными от него электронными платежными документами, прошедшими проверку подлинности электронной цифровой подписи, полноты переданной информации, соответствия структуры и состава реквизитов нормативно-справочной информации.
Во-первых, банк получателя в своих действиях защищен ст. 854 ГК РФ, согласно которой с момента зачисления денежных средств владельцем денежных средств является клиент банка, и списание денежных средств со счета осуществляется банком только на основании распоряжения клиента. При этом согласно ст.858 ГК РФ ограничение прав клиента на распоряжение денежными средствами, находящимися на счете, не допускается, за исключением наложения ареста на денежные средства, или приостановления операций по счету, в случаях, предусмотренных законом. При этом необходимо отметить, что постановление о возбуждении уголовного дела не является основанием для приостановления операция по счетам.
А во-вторых, деньги уходят на счета подставных лиц и фирм-однодневок со всеми вытекающими последствиями.
Вывод: Мошенничество в системе интернет-банкинга требует оперативной и компетентной реакции. Только быстрые и слаженные действия специалистов службы ИТ банка, пострадавшего клиента, сотрудников правоохранительных органов позволяет вернуть денежные средства клиента и поймать злоумышленников. Поэтому важно решать вопрос не как переложить ответственность и понесенные убытки друг на друга, а какие (и как можно оперативнее!) принимать меры для недопущения хищения или поиска мошенников, если оно все-таки состоялось.
Практические советы, как снизить вероятность возможных рисков, заключаются в следующем.
Во-первых, как можно более тщательно изучить все пункты Договора на ДБО и уточнить возникшие вопросы у специалистов банка до его подписания. Особое внимание необходимо уделить разделам, касающимся обязанностей сторон по обеспечению информационной безопасности и технологическим характеристикам средств криптозащиты информации. Ознакомиться с лицензиями на распространение СКЗИ и информационных систем ДБО, оказание услуг в области шифрования информации и прочими, имеющимися у банка в соответствии с законодательством, а также сертификатами качества аппаратно-программного обеспечения и системы криптографической защиты информации (СКЗИ).
Во-вторых, строго соблюдать все рекомендации банка по программно-аппаратному оснащению рабочего места пользователя ДБО. Прежде всего, обеспечить надежную антивирусную защиту с регулярным обновлением, а также не экономить на подключении услуги SMS-информирования, которую предлагает банк.
В-третьих, для предупреждения хищения средств весьма важно в процессе эксплуатации системы ДБО обращать повышенное внимание на все отклонения в стандартной работе программно-технических средств рабочего места пользователя ДБО. При обнаружении отклонений необходимо известить Администратора ДБО Банка. Наиболее яркими признаками готовящегося мошенничества являются:
- <LI style="TEXT-ALIGN: justify">нестабильное функционирование персонального компьютера, на котором работают с системой ДБО (выход из строя, медленная работа, произвольная перезагрузка, другие неполадки); <LI style="TEXT-ALIGN: justify">перебои с доступом в систему ДБО; <LI style="TEXT-ALIGN: justify">невозможность авторизации в системе ДБО; <LI style="TEXT-ALIGN: justify">DDoS-атака на ИТ-инфраструктуру компании; <LI style="TEXT-ALIGN: justify">несоответствие порядковых номеров платежных поручений;
- попытки авторизации в ДБО с других IP-адресов или в нерабочее время.
Важно помнить, что своевременное выявление факта преступления и оперативное реагирование в течение 4-х часов (по неофициальной статистике с момента кражи до момента вывода средств уходит не более 3-4 часов) с момента отправки платежного поручения гарантируют возврат денежных средств на счет в 80% случаев.
Действия клиента в случае обнаружения факта (попытки) мошенничества, подозрении на компрометацию СКЗИ (ключей):
- Максимально оперативно сообщить о происшествии в Банк с целью остановки платежа и блокирования доступа к системе ДБО со скомпрометированными ключами и паролем (обратиться к специалистам технической поддержки по следующим телефонам: (495) 781-781-6, (495) 781-00-00 (доб. 703-017, 703-122) или к специалистам Управления по работе с клиентами по телефонам (495) 781-99-05, (495) 781-00-00 (доб. 706-007, 706-020, 706-021, 706-041)).
- Если в компании имеется межсетевой экран или прокси-сервер, на котором ведутся логи, то необходимо произвести их сохранение на неперезаписываемый носитель информации;
- Оригиналы носителей необходимо опечатать и поместить в сейф, а также оформить данные действия протоколом изъятия и скрепить его подписями свидетелей и исполнителя (в случае самостоятельного расследования или привлечения для этих целей консультантов не допускается работа с оригиналами носителей информации, так как это может повредить целостности доказательств, хранящихся на них).
- Обесточить ПК, с которого предположительно были похищены ключи и данные для авторизации в системе ДБО, и обеспечить неизменность его состояния до приезда правоохранительных органов.
- По возможности провести собственное внутреннее расследование и запротоколировать его результаты.
- Написать и передать в Банк официальное уведомление с описанием инцидента и ждать официального ответа Банка по результатам проведенного им внутреннего расследования.
- По возможности провести собственное внутреннее расследование и запротоколировать его результаты.
- В случае, если ответ банка признан неудовлетворительным, составить и передать в банк требование о формировании экспертной комиссии.
- Написать и передать заявление о произошедшем инциденте в ближайшую Дежурную часть ОВД, по возможности дополнив заявление результатами самостоятельного расследования инцидента или Актом экспертной комиссии, сформированной из числа сотрудников сторон по договору ДБО (данная информация поможет быстрее принять решение о возбуждении уголовного дела). Даже если мошенничество не было завершено, и Клиент успел остановить его, инцидент остается уголовным преступлением, которое попадает под ряд статей, начиная от создания и распространения вредоносного программного обеспечения и заканчивая попыткой хищения в особо крупном размере. Дежурный сотрудник ОВД обязан принять, зарегистрировать в Книге учета сообщений о происшествиях) и выдать заявителю талон регистрации заявление. Прием заявления осуществляется для последующей его передачи в подразделение «К».
Дежурная часть ГУ МВД России по г. Москве расположена по адресу г. Москва, ул. Петровка, д. 38
Согласно сценарию реагирования на инциденты в системе ДБО Банк предпринимает следующие действия:
- Регистрирует поступившее уведомление клиента об инциденте, идентифицируя клиента и платежи, признанные клиентом подложными.
- Блокирует платежные поручения в случае, если они еще не исполнены.
- В случае, если платежные документы исполнены (денежные средства списаны с корсчета Банка) уведомляет официальным письмом банк получателя денежных средств о факте мошенничества и необходимости остановить транзакции по счетам мошенников. Формальным основанием задержки денег, идентификации клиента и получение от клиента информации об источнике денежных средств, являются:
- Федеральный закон РФ "О банках и банковской деятельности" от 07.08.2001 г.,
- ФЗ РФ № 115-ФЗ статья 7 пункт 1,
- Положение Банка России от 19.08.2004 № 262-П пункт 1.1.), обязующий банки идентифицировать лицо, находящееся у нее на обслуживании, при совершении банковских операций и иных сделок на основании разработанной программы идентификации клиентов, установления и идентификации выгодоприобретателей;
- Приказ Росфинмониторинга от 17.02.2011 № 59 «Об утверждении Положения о требованиях к идентификации клиентов и выгодоприобретателей, в том числе, с учетом степени (уровня) риска совершения клиентом операций в целях отмывания доходов, полученных преступным путем».
- Формирует группу по проведению внутреннего расследования инцидента. Составляет и передает клиенту официальное письмо клиенту с просьбой предоставить образ диска для внутренней аналитической работы.
- По результатам внутреннего расследования составляет и передает клиенту официальный ответ на его запрос -уведомление об инциденте с указанием принятых мер и их результатах.
- По требованию клиента формирует Экспертную комиссию, которая осуществляет свою работу в соответствии с Приложением 4 к Договору на ДБО.
- От собственного имени составляет и направляет информационное письмо в дежурную часть ОВД о факте совершения мошенничества с приложением Акта экспертной комиссии.
