Минич Артем Николаевич,
главный юрисконсульт управления
претензионно-исковой работы
юридического департамента ОАО «АСБ Беларусбанк»
Одновременно с ростом цифровизации всех отраслей человеческой деятельности совершенствуется и уровень противоправной активности мошенников, которые, используя новые технологии в интернет-пространстве, прибегают к различным методам социальной инженерии (фишинг, вишинг, смишинг) для хищения денежных средств граждан посредством их банковских платежных карточек. Однако известны случаи, когда злоумышленники ориентированы не только на деньги граждан, а совершали целенаправленные атаки на корпоративных клиентов, проникая в информационные сети организаций для вывода их капитала.
Вероятность возвратить денежные средства крайне низкая, поскольку, попав на счет мошенника, совершается их перевод в иностранный банк, что сводит к нулю возможность установить конечного бенефициара. Похищенные деньги — прямой ущерб для клиента.
Рассмотрим на примере судебного спора, можно ли в случае получения третьими лицами несанкционированного доступа к информационным системам корпоративного клиента и проведения с его счетов несанкционированных платежей взыскать с банка убытки ввиду ненадлежащего, по мнению клиента, исполнения банком договорных обязательств.
1. Обстоятельства дела
Между клиентом и банком заключены два договора текущего счета (далее — договор 1, договор 2), а также договор о предоставлении комплекса услуг посредством системы «Клиент-банк», по условиям которого клиент подключен к программному комплексу «Клиент-банк (WEB)» (далее — договор 3).
Справочно
ПК «Клиент-банк (WEB)» система электронного банковского обслуживания корпоративных клиентов, которая позволяет дистанционно взаимодействовать с банком, управляя счетами и финансовыми потоками из любой точки мира.
18.10.2019 посредством ПК «Клиент-банк (WEB)» банком исполнены три электронных платежных поручения клиента на перевод денежных средств с двух текущих счетов в пользу бенефициара ООО «П» на текущий счет в другом белорусском банке (назначение платежа: оплата аренды торговых площадей). В этот же день главный бухгалтер клиента информировала банк, что денежные средства похищены, а уже 19.10.2019 по факту хищения денежных средств в особо крупном размере путем использования компьютерной техники возбуждено уголовное дело по признакам преступления, предусмотренного ч. 4 ст. 212 УК.
Клиент, посчитав, что банк нарушил обязательства по договорам 1, 2, 3, предъявил претензию о возмещении денежных средств, в удовлетворении которой банк отказал. Клиент подал иск о взыскании ущерба в размере совершенных 18.10.2019 платежей.
2. Позиция истца
Правовым основанием иска явились ст. 14, 364 ГК, ст. 135, 237 БК. В обоснование иска приведены следующие доводы.
Согласно подп. 1.1, 2.1.2, 2.1.15 договора 1, подп. 1.1, 2.1.2, 2.1.7 договора 2 ответчик обязался осуществлять операции по счетам истца (владельца счета) согласно документам, оформленным в соответствии с законодательством, и только по поручению (распоряжению) истца или с его согласия.
Платежные поручения от 18.10.2019 истцом не оформлялись, посредством ПК «Клиент-банк (WEB)» ответчику не направлялись, поручения о перечислении денежных средств со счетов истцом ответчику не давались. По материалам возбужденного уголовного дела платежные поручения оформлены и направлены ответчику от имени истца неустановленным лицом в результате несанкционированного удаленного доступа к компьютерной информации путем использования вредоносной программы, в результате чего со счетов истца на счет ООО «П» перечислены денежные средства.
Договорные отношения между ООО «П» и истцом отсутствуют. Условия договора 3 и нормы законодательства в части требований безопасности истцом исполнены в полном объеме.
Перечисление ответчиком денежных средств со счетов истца на счет ООО «П» без поручения истца является нарушением п. 2.1.15 договора 1, п. 2.1.7 договора 2, а также ст. 197, 232 БК, ч. 2 п. 3 Инструкции N 66.
Ответчиком также допущены нарушения требований безопасности, поскольку электронные платежные поручения не являются подлинными ввиду неподписания их электронной цифровой подписью должностного лица истца, а сложившиеся обстоятельства свидетельствуют о ненадлежащей проверке ответчиком их подлинности, что говорит о нарушении подп. 2.1.4, 2.1.6 договора 3, по которым ответчик обязуется не исполнять электронные документы при отсутствии ЭЦП или ее некорректности, а также при возникновении подозрений в нарушении безопасности системы «Клиент-банк», выявлении признаков или фактов таких нарушений немедленно приостановить выполнение операций.
Ответчиком не были приняты достаточные меры, обеспечивающие безопасность используемых программно-аппаратных средств и исключение возможности получения данных истца. Неправомерный доступ к счетам истца стал возможен по вине банка в результате ненадлежащего исполнения банком обязательств по договорам, что повлекло причинение истцу ущерба в размере незаконно перечисленных денежных средств с его счетов.
В отсутствие правовых оснований для совершения спорных платежей ответчик не проконтролировал информацию, содержащуюся в поле «Назначение платежа» (оплата аренды торговых площадей) платежных поручений, которая не соответствовала характеру деятельности истца.
3. Позиция ответчика
Банк осуществляет прием документов в виде электронных документов, электронных сообщений с применением систем дистанционного банковского обслуживания, соблюдением процедур безопасности и требований законодательства в соответствии с договором между банком и клиентом (ч. 1 п. 8 Инструкции N 66).
Между сторонами заключен договор 3, по условиям которого истцу посредством системы «Клиент-банк» оказываются услуги, указанные в приложениях к договору 3, с использованием электронных документов.
Истец подключен к ПК «Клиент-банк (WEB)» по его заявке, главному бухгалтеру истца выдан личный ключ, используемый при выработке ЭЦП. На базе личного ключа выработан открытый ключ, карточка которого удостоверена руководителем истца. Сертификат открытого ключа подписан ЭЦП удостоверяющего центра ответчика, издавшего этот сертификат открытого ключа.
Платежные поручения, представленные в банк в виде электронных документов через ПК «Клиент-банк (WEB)», подписаны ЭЦП главного бухгалтера истца с соответствующим этой подписи идентификатором ключа.
Банк-отправитель при приеме платежных поручений проверяет их подлинность, оформление и заполнение обязательных реквизитов в соответствии с требованиями Инструкции N 66 (п. 13, 26). Установленных п. 21, 26 Инструкции N 66 оснований для непринятия к исполнению платежных поручений у ответчика не имелось.
Электронная цифровая подпись предназначена для подтверждения целостности и подлинности электронного документа. Подтверждение целостности и подлинности электронного документа осуществляется путем применения сертифицированных средств электронной цифровой подписи с использованием при проверке электронной цифровой подписи открытых ключей организации или физического лица (лиц), подписавших этот электронный документ (ч. 1, 3 ст. 23 Закона N 113-З).
Подлинность электронного документа означает свойство электронного документа, определяющее, что электронный документ подписан действительной электронной цифровой подписью (электронными цифровыми подписями) (абз. 7 ст. 1 Закона N 113-З).
Для подтверждения целостности и подлинности электронного документа ответчиком используется программный комплекс криптографической защиты информации, имеющий сертификат соответствия ОАЦ. При этом сам ПК «Клиент-банк (WEB)» имеет сертификат соответствия Нацбанка.
Платежные поручения истца прошли проверку подлинности с использованием процедур безопасности, установленных ответчиком. Обоснованные доводы считать платежные поручения неподлинными у ответчика отсутствовали (абз. 4 ч. 7 ст. 232 БК).
При подключении к ПК «Клиент-банк (WEB)» истец ознакомился с рекомендациями по безопасной работе в ПК, о чем проставлена подпись в заявке на подключение.
По условиям договора 3 (подп. 2.2.7, 2.2.8, 2.2.10) истец обязался:
— организовать внутренний режим функционирования рабочего места ПК «Клиент-банк (WEB)» таким образом, чтобы исключить возможность его использования лицами, не имеющими допуска к работе с ПК «Клиент-банк (WEB)», а также использования электронного ключа лицами, не являющимися владельцами электронного ключа;
— соблюдать рекомендации по безопасной работе в ПК «Клиент-банк (WEB)», включая меры по обеспечению целостности программно-аппаратных средств ПК;
— хранить в тайне личный ключ ЭЦП и обеспечить его защиту от уничтожения или модификации.
Анализ протокола работы истца в ПК «Клиент-банк (WEB)» подтверждает, что 18.10.2019 вход в систему, подписание ЭЦП шести электронных документов (в том числе трех спорных) осуществлялось с одного IP-адреса, который использовался для входа в систему и совершения платежей накануне 17.10.2019.
При осуществлении банковского перевода банки обязаны проверять расчетные и иные документы на предмет их подлинности, оформления и порядка заполнения обязательных реквизитов в соответствии с требованиями Инструкции N 66, если иное не установлено актами законодательства. Ответственность за достоверность и правильность информации, указанной в расчетных и иных документах, несут плательщик, бенефициар (взыскатель), их оформившие. Банк не осуществляет контроль за наличием в расчетных документах информации о назначении платежа, за исключением случаев, установленных законодательством, в том числе Инструкцией N 66, договорами, заключенными между банком и клиентом (п. 13 Инструкции N 66).
Информация о платеже (наименование предмета сделки (приобретение товаров, выполнение работ, услуг, предоставление займов и т.д.), наименование платежа (уплата налога, сбора, взноса и т.д.)) указывается в поле «Назначение платежа» лишь в случаях, установленных законодательством или договором, заключенным между плательщиком и бенефициаром. Полнота представляемой информации определяется плательщиком с учетом требований законодательства (п. 11 приложения 3 к Инструкции N 66).
К примеру, случаи, когда заполняется поле «Назначение платежа», прямо указаны в ч. 4 п. 29, ч. 2 п. 43 Инструкции N 66 (перевод по списку, платежное требование с акцептом).
Договоры 1, 2, 3 не содержат условий об обязанности ответчика контролировать информацию, указанную истцом в назначении платежа платежной инструкции. Законодательство не содержит предписаний банкам осуществлять контроль за наличием в расчетных документах информации о назначении платежа в рамках рассматриваемого спора.
Банк не вправе, если иное не предусмотрено Президентом Республики Беларусь и БК, определять и контролировать направления использования денежных средств владельца счета, а также устанавливать иные ограничения его прав по распоряжению денежными средствами, не предусмотренные законом Республики Беларусь или договором текущего (расчетного) банковского счета (ч. 7 ст. 200 БК).
Обязательства, вытекающие из заключенного между банком и клиентом договора, являются самостоятельными по отношению к обязательствам, вытекающим из договора, заключенного между клиентом и его контрагентом, для исполнения которого осуществляется банковский перевод (далее — основной договор). Банки не связаны условиями основного договора, а также объемом обязательств сторон по нему, в том числе и при наличии ссылки на основной договор в платежных инструкциях клиента. Банки не имеют права контролировать исполнение сторонами своих обязательств по основному договору, если иное не предусмотрено Президентом Республики Беларусь, а также вмешиваться в отношения сторон основного договора (ч. 5 ст. 232 БК).
Согласно п. 1 ст. 364 ГК должник обязан возместить кредитору убытки, причиненные неисполнением или ненадлежащим исполнением обязательства, а в силу п. 2 ст. 364 ГК убытки определяются в соответствии с правилами, установленными ст. 14 ГК.
Для реализации права на возмещение убытков подлежат доказыванию факт нарушения права (нормы закона или договора), факт причинения убытков и их размер, а также причинно-следственная связь между фактом нарушения права и причиненными убытками. Состав убытков образует наличие всех указанных условий в совокупности. Недоказанность хотя бы одного из них влечет за собой отказ в удовлетворении требования о возмещении ущерба.
Доводы истца о ненадлежащем исполнении ответчиком обязательств по договорам 1, 2, 3, а также нарушении ответчиком процедур безопасности, выполняемых при проверке подлинности электронных платежных поручений, несостоятельны и не доказаны, в связи с чем не имеется совокупности условий, необходимых для возмещения убытков по основаниям ст. 14, 364 ГК.
Выводы суда читайте в ilex
