среда, 7 июня 2017 г.

Банк проиграл клиенту в суде более 4,5 млн. руб. из-за «низкого уровня безопасности» его системы ДБО и отсутствия информирования клиента по статье 9 161-ФЗ «О национальной платежной системе»

Суть спора: ООО «Электросервисмонтаж» (Клиент) обслуживалось в «Московский Кредитный Банк» (ОАО) с использованием системы дистанционного банковского обслуживания (ДБО) «Ваш Банк в Вашем офисе».
13.08.2015 со счета Истца по платежным поручениям № 555, 556, 557, переданным по системе ДБО, были списаны денежные средства в общем размере 4682230 руб. и перечислены на счет ООО «Инкомстрой», открытый в ПАО Сбербанк.
14.08.2015 от Банка поступило сообщение Клиенту о сомнительных операциях по счету Клиента. При этом со слов представителей Банка о подозрительном характере указанных операций им сообщил банк получателя - ПАО Сбербанк.
Клиент потребовал от Банка возместить убытки.
Банк отказал Клиенту в возмещении убытков на основании условий договора на ДБО и части 11 статьи 9 Федерального закона № 161-ФЗ «О национальной платежной системе (суть - клиент обязан направить банку уведомление об утрате электронного средства платежа или использовании его без согласия клиента не позднее дня, следующего за днем получения от Банка уведомления о совершенной операции).
Клиент посчитал отказ Банка незаконным и обратился в суд с иском к Банку о взыскании 4682230 руб. убытков.

Первая инстанция - Арбитражный суд города Москвы

Позиция истца, ООО «Электросервисмонтаж»: Платежные поручения о списании средств со счета Клиентом в Банк не направлялись, ключ ЭП никому не передавался, поэтому в платежных поручениях в электронном виде не могла присутствовать электронная подпись (ЭП) Клиента.
Клиент посчитал проведенные Банком операции по его счету необоснованными и попросил суд взыскать с Банка понесенные убытки.

Позиция ответчика, ОАО «Московский Кредитный Банк»: Деятельность по обеспечению клиентов средствами ЭП осуществляется в соответствии с лицензией ФСБ России на работу с криптографическими средствами.
Безопасность информации в системе ДБО Банка обеспечивается средством криптографической защиты информации «КриптоПро GSP». [прим. автора: видимо, КриптоПро CSP]
Носитель с ключами ЭП был передан клиенту при заключении договора на ДБО по акту от 27.05.2013 года.
Клиент не выполнил требования по досудебному разбору конфликтной ситуации, т.к. не направил для разбора в Банк своих представителей и не предоставил Банку ключевой носитель с действовавшими на момент списания ключами ЭП. Также Клиент не обратился в правоохранительные органы.
Правовые основания для отказа в исполнении платежных поручений № 555, 556, 557 у Банка отсутствовали, поэтому обязанность компенсировать убытки не может быть возложена на Банк.

Ходу судебного разбирательства: Клиент заявил ходатайство о проведении судебной компьютерно-технической экспертизы. Банк не возражал, но предоставил альтернативную экспертную организацию и свои вопросы эксперту.
Суд назначил Автономной некоммерческой организации «Научно-исследовательский центр судебной экспертизы «Гильдия». На разрешение эксперта были поставлены вопросы:
1) Имеется ли на носителях информации (НЖМД ЭВМ бухгалтера) следы несанкционированного доступа третьего неизвестного лица к ЭВМ, предоставленного на исследование?
2) Имелись ли у ООО Электросервисмонтаж аппаратные и программные средства необходимые и достаточные средства для предотвращения несанкционированного доступа?
3) Имелись ли необходимые средства у ОАО «Московский кредитный банк» для предотвращения несанкционированного доступа третьих неизвестных лиц?
4) Какие методы и средства обычно используются Банками для снижения риска несанкционированного перевода денежных средств? Использовались ли они ОАО «Московский кредитный банк»?
5) Хранился ли приватный ключ клиента на токене, или в системной области (реестре);
6) Защищалась ли рабочая станция с ВБВО антивирусом и актуализировались ли базы данных на ней?
7) Имелся ли к рабочей станции внешний доступ – как со стороны компьютеров в нутрии организации, так и извне? Есть ли доказательства того, что доступ этих внешних средств не был скомпроментирован?
8) Был ли с рабочей станции доступ в Интернет?
9) Прошли ли ЭЦП проверку на подлинность на сторона Банка?
8 сентября 2016 года экспертная организация истребовала дополнительные доказательства. Суд вызвал эксперта на судебное заседание. Эксперт Кравченко К. Е. пояснил, что для ответа на поставленные вопросы требуются следующие материалы: список программ и устройств, которые были переданы Банком Клиенту, сертификаты/лицензии; техническое описание (паспорт, инструкция и т.д.)
14 декабря 2016 года в суд поступило экспертное заключение, в соответствии с которым «имеются признаки несанкционированного доступа к ЭВМ бухгалтера, уровень безопасности ПО "Банк-Клиент5", являющегося программой ОАО "Московский кредитный банк", имеется признаки соответствия низкому уровню безопасности».
«Банком не представлено достоверных сведений о примененных им аппаратных и программных средствах защиты. Повышение уровня безопасности программного обеспечения могло бы воспрепятствовать несанкционированному вторжению со стороны третьих лиц».
Согласно выводам экспертной организации «уровень безопасности программного средства защиты соответствует низкому уровню».
Однако, на судебном заседании 26 декабря 2016 года эксперт Кравченко К.Е. заявил, что «нет достаточных данных для категоричного вывода», но эта оговорка впоследствии судом не была учтена

Позиция Арбитражного суда города Москвы: Поскольку запрошенная экспертом информация была предоставлена Банком не в полном объеме, сведения в отношении примененных им средств защиты от несанкционированного доступа были не подтверждены, суд почитал возражения Банка необоснованными и пришел к выводу о том, что по характеру обязательства ответчиком не была обеспечена надлежащая защищенность системы ДБО.
Согласно договору на ДБО, Банк обязан информировать Клиента об операциях по его счету на позднее банковского дня, следующего за нем совершения операции, путем присвоения электронному платежному документу статуса «в Архиве». Доказательств того, что Банк исполнил обязанности по информированию Клиента об операции в материалы дела представлено не было.
У суда отсутствовали основания сомневаться в выводах эксперта, как и не было достоверных доказательств, опровергающих выводы эксперта.
В соответствии с абз. 3 п. 2 Постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 «О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета»: если иное не установлено законом или договором, банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами. [прим. автора: в проигранных банками делах часто встречаются ссылки на это Постановление Пленума ВАС]
Суду не предоставлены доказательства о передаче Клиентом своего ключа ЭП третьим лицам, утере ключа ЭП клиентом или использования его ненадлежащим образом.
Предполагая добросовестность участников гражданских правоотношений, суд пришел к выводу об отсутствии вины Клиента в несанкционированном списании средств с его счета.

Решение суда первой инстанции от 9 января 2017 года: Взыскать с «Московский Кредитный Банк» (ОАО) в пользу ООО "Электросервисмонтаж" 4682230 руб. убытков, а также расходы на оплату госпошлины в размере 46 411 (сорок шесть тысяч четыреста одиннадцать) руб. и расходы на оплату услуг эксперта в размере 165 000 руб.

Апелляционная инстанция - Девятый арбитражный апелляционный суд

Позиция Девятого арбитражного апелляционного суда: Суд апелляционной инстанции основывал свое решение на тех же доводах, что и суд первой инстанции, поскольку Банк в апелляционной жалобе не представил дополнительных доводов по сравнению со своей позицией в суде первой инстанции.

Решение суда апелляционной инстанции от 2 мая 2017 года: Решение Арбитражного суда города Москвы от 09 января 2017 года по делу №А40-216859/2015 оставить без изменения, апелляционную жалобу - без удовлетворения.

Ссылки:
1. Решение суда первой инстанции 
2. Решение Девятого арбитражного апелляционного суда 

Вопросы и комментарии к делу: 

1. Эксперт сделал вывод о «признаках несанкционированного доступа к ЭВМ бухгалтера». При этом, хотя АРМ бухгалтера находится в зоне ответственности клиента, эксперт заявил о том, что в ПО системы ДБО имеются «признаки соответствия низкому уровню безопасности».
При чем здесь система ДБО, если на компьютер клиента произведен несанкционированный доступ? А если был осуществлен несанкционированный доступ к компьютеру клиента, то передача ключей ЭП третьим лицам или их потеря для хищения средств не требуются – возможности современного вредоносного ПО позволяют злоумышленникам дистанционно использовать ключи ЭП в системе ДБО.
Суд должен быть признать клиента не исполнившим требования по информационной безопасности и нарушившим правила использования электронного средства платежа и отказать в удовлетворении иска.

2. Из решения суда не следует, на соответствие каким требованиям в области информационной безопасности эксперт проверял клиентскую часть системы ДБО.
На каком основании уровень безопасности системы ДБО признан «низким»? На каком основании эксперт заявляет, что «Повышение уровня безопасности программного обеспечения могло бы воспрепятствовать несанкционированному вторжению со стороны третьих лиц»?
Несанкционированному доступу к клиентской части системы ДБО препятствуют, в первую очередь, своевременное обновление клиентом системного и прикладного ПО, разнесение мест создания и подписания электронных документов, использование антивируса и персонального межсетевого экрана, использование NGFW или UTM на входе в корпоративную сеть, подписание документов в системе ДБО с выделенного компьютера, использование многофакторной аутентификации и т.п. Если клиентом не соблюдены «средства компьютерной гигиены», то абстрактное «повышение уровня безопасности клиентской части системы ДБО» не поможет предотвратить хищение средств.

3. Эксперт сделал вывод, что «Банком не представлено достоверных сведений о примененных им аппаратных и программных средствах защиты.»
Банк не обязан использовать «аппаратные или программные средства защиты», если того не требует ЦБ или регуляторы в области защиты информации. В системе ДБО есть средство криптографической защиты информации, позволяющее сформировать ЭП, которую невозможно подделать. Есть ключ ЭП, который находится только у клиента и используется на клиентском рабочем месте в зоне ответственности клиента. Если злоумышленники получили доступ к ключу ЭП клиента, то попытка хищения средств – это вопрос времени. 
Средства защиты банка защищают корпоративную сеть банка от несанкционированного проникновения. В рассматриваемом случае проникновения злоумышленников в сеть банка не было, поэтому можно сделать вывод о достаточности используемых банков средств защиты. Ответственность же за защиту клиентского рабочего места лежит на клиенте, и он такую защиту не обеспечил.

4. Непонятно, почему банк в апелляционной инстанции не привел дополнительные доводы. Ведь наличие признаков несанкционированного доступа к ПЭВМ бухгалтера явно указывает на нарушение клиентом правил использования клиентской части системы ДБО. Почему Банк не провел независимый аудит защищенности своей системы ДБО? Почему не предоставил сведения о применяемых аппаратных и программных средствах защиты?

Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях! 

Комментариев нет:

Отправка комментария