Риски при использовании простой электронной подписи в системах ДБО для юридических лиц

Тенденции по использованию простой ЭП в ДБО для юридических лиц

В наше время избытка информации, клипового мышления и битвы за  потребителя многие коммерческие банки в угоду своим клиентам все более упрощают механизмы  обслуживания клиентов, в том числе механизмы защиты и обеспечения юридической значимости. Не обошла эта тенденция и системы дистанционного банковского обслуживания (ДБО).

Традиционно, в системах ДБО для юридических лиц для обеспечения защиты и юридической значимости электронных документов используются механизмы криптографических преобразований. В основном это механизм электронной подписи (усиленной ЭП в терминологии 63-ФЗ "Об электронной подписи").

В недавнем времени несколько коммерческих банков, идя по пути упрощения сервиса  ДБО и связанных с ним бизнес-процессов,  внедрили в системы ДБО для юридических лиц механизмы простой электронной подписи (коды, долговременные и одноразовые пароли и т.п.)

Знают ли банки и клиенты таких банков о том, что применение простой ЭП в ДБО для юридических лиц приводит к правовым и финансовым рискам как для банка, так и для его клиентов? 

Банк проиграл клиенту в суде более 4,5 млн. руб. из-за «низкого уровня безопасности» его системы ДБО и отсутствия информирования клиента по статье 9 161-ФЗ «О национальной платежной системе»

Суть спора: ООО «Электросервисмонтаж» (Клиент) обслуживалось в «Московский Кредитный Банк» (ОАО) с использованием системы дистанционного банковского обслуживания (ДБО) «Ваш Банк в Вашем офисе».

13.08.2015 со счета Истца по платежным поручениям № 555, 556, 557, переданным по системе ДБО, были списаны денежные средства в общем размере 4682230 руб. и перечислены на счет ООО «Инкомстрой», открытый в ПАО Сбербанк.

14.08.2015 от Банка поступило сообщение Клиенту о сомнительных операциях по счету Клиента. При этом со слов представителей Банка о подозрительном характере указанных операций им сообщил банк получателя - ПАО Сбербанк.

Клиент потребовал от Банка возместить убытки.

Банк отказал Клиенту в возмещении убытков на основании условий договора на ДБО и части 11 статьи 9 Федерального закона № 161-ФЗ «О национальной платежной системе (суть - клиент обязан направить банку уведомление об утрате электронного средства платежа или использовании его без согласия клиента не позднее дня, следующего за днем получения от Банка уведомления о совершенной операции).

Клиент посчитал отказ Банка незаконным и обратился в суд с иском к Банку о взыскании 4682230 руб. убытков.

Изменения в 63-ФЗ "Об электронной подписи". Результаты общественного обсуждения

14 марта 2017 года Минкомсвязи России вынесло на публичное обсуждение проект изменений в Федеральные законы № 63-ФЗ "Об электронной подписи" и  № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

Проект изменений вызвал широкое обсуждение в профессиональных кругах, в том числе на конференции РусКрипто 2017, т.к. на вопросы профессионального сообщества отвечал представитель Минкомсвязи - один из разработчиков проекта .

12 апреля 2017 года закончился этап общественного обсуждения проекта изменений в 63-ФЗ "Об электронной подписи". Каковы же итоги обсуждения и реакция профессионального сообщества?

Обзор судебной практики по статье 13.13 КоАП «Незаконная деятельность в области защиты информации». Штрафы за работу без лицензии ФСБ. Продолжение

1. 2015 год. Штраф в размере 15 тыс. руб. специализированной мастерской за деятельность по установке карты водителя в тахограф

Суть спора: УФСБ России по Хабаровскому краю оштрафовало специализированную мастерскую (Общество) за деятельность по установке карт водителя в тахограф. Общество имело лицензию ФСБ России на работу с криптографией на работы 21-24 Приложения к Положению о лицензировании, утвержденному постановлением Правительства от 16.04.2012 № 313 (далее – ПП № 313). Общество обратилось в суд с требованием отменить постановление о назначении штрафа в связи с наличием процессуальных нарушений при назначении штрафа.

Обзор судебной практики по статье 13.13 КоАП «Незаконная деятельность в области защиты информации». Штрафы за работу без лицензии ФСБ.

1. 2011 год. Генеральный директор бухгалтерской компании-посредника по передаче отчетности в ФНС оштрафован на 2000 руб. за деятельность без лицензии ФСБ России

Суть спора: УФСБ России по Белгородской области оштрафовало генерального директора бухгалтерской компании-посредника по передаче отчетности в ФНС на том основании, что компания осуществляла деятельность по передаче персональных данных (бухгалтерской отчетности) по телекоммуникационным каналам связи с использованием электронной цифровой подписи и средств криптографической защиты информации, не имея на то соответствующей лицензии. Компания обратилась в суд с требованием отменить постановление.

Судебная практика: суд не признал разглашение коммерческой тайны, т.к. режим КТ не был установлен надлежащим образом

Двадцатый арбитражный апелляционный суд 22 декабря 2015 года в апелляционной инстанции рассмотрел дело № А54-3703/2015, в котором сторона по договору просит установит запрет на разглашение третьим лицам другой стороной конфиденциальной информации. 

В первой инстанции иск не был удовлетворен, в апелляционной инстанции решение суда первой инстанции оставлено в силе.

Почему нужна аттестация автоматизированной системы для получения лицензии ФСБ на работу с криптографией?

О практическом требовании наличия автоматизированной системы, аттестованной по требованиям безопасности информации, многие соискатели лицензий знают.

Разберемся, из каких именно нормативно-правовых актов это требование вытекает?