Все более широкое применение организациями систем удаленного управления банковскими счетами (в которых ЭЦП является неотъемлемым элементом технологии) привело к росту числа краж денег со счетов и судебных споров по этому поводу.
Ограбленные организации, пытаясь вернуть украденные средства, идут, как правило, сразу двумя путями. Они подают заявление о краже денег со счета, и этим делом начинает заниматься милиция в рамках расследования уголовного дела. Одновременно банку предъявляется претензия о ненадлежащем исполнении договора, а после отказа банка в ее удовлетворении спор переносится в суд (такие дела рассматриваются арбитражными судами).
Одним из характерных примеров является недавно принятое решение Арбитражного суда Ульяновской области от 30.12.2010 по делу № А72-5310/2010. Это дело позволит нам извлечь уроки из ошибок, допущенных организацией-истцом.
ООО «ТехноСвязь» еще в 2005 году открыло счет в банке «Поволжский». 29 апреля 2010 года оно стало использовать сервис «Интернет-Клиент», т.е. начало направлять свои платежные поручения через сайт. 4 мая 2010 года (т.е. через 7 дней после подключения сервиса «Интернет-Клиент», из которых три дня, 1–3 мая, были нерабочими) на основании платежного поручения № 364 от 04.05.2010 банк списал с расчетного счета истца более 450 000 руб. и перечислил средства на лицевой счет физического лица в банке ВТБ-24. Эти деньги со счета физического лица были сняты 4 и 5 мая 2010 года.
Организация предъявила банку претензию в связи с несанкционированным списанием денежных средств со счета и опечатала компьютер, с которого осуществлялся выход в систему «Интернет-Банк». Для разбора конфликтной ситуации была создана Согласительная комиссия, в которую вошли представители истца, ответчика, а также независимый эксперт – сотрудник Ульяновского филиала ФГУП «ЦентрИнформ».
При рассмотрении спора суд прежде всего опирался на положения договора на оказание услуг, заключенного между банком и ООО «ТехноСвязь». Договор предусматривал, что каждая из сторон несет ответственность за содержание любого электронного документа, подписанного его ЭЦП.
Согласно «Акту признания открытого ключа (сертификата) для обмена сообщениями» от 29.04.2010, который был подписан при переходе на обслуживание через Интернет, единственным владельцем ключа (сертификата) ЭЦП являлся генеральный директор ООО «ТехноСвязь». И вот здесь свою роль сыграл выявленный согласительной комиссией (и подтвержденный документально!) факт, что право доступа к ЭЦП, кроме генерального директора, было предоставлено другим сотрудникам приказом по организации. Суд особо подчеркнул, что в ст. 3 закона «Об электронной цифровой подписи» вообще не предусмотрена передача кому-либо ключа (сертификата) ЭЦП. Собственноручная подпись физического лица, как и ее аналог, не подлежит передаче иным физическим (юридическим) лицам!
Кроме того, суд указал и на положение ст. 12 закона, согласно которой владелец сертификата ключа подписи обязан: не использовать для ЭЦП открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее; хранить в тайне закрытый ключ ЭЦП; немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа ЭЦП нарушена. В случае несоблюдения этих требований возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.
В решении суда подчеркивается, что действующим законодательством не предусмотрена возможность подписания документа физическим лицом не своей подписью, а подписью другого физического лица. Возможно лишь подписание документа одним лицом за другое лицо, но только своей подписью и только при условии наличия соответствующей доверенности.
Попытку ответчика обосновать правомерность передачи руководителем организации средств создания ЭЦП другим лицам тем, что они были им получены в качестве представителя юридического лица и что он был вправе предоставить доступ к ним иным лицам, суд счел несостоятельной. В итоге суд пришел к выводу о том, что действия самого клиента могли привести к списанию денежных средств либо к утечке сведений, касающихся закрытого ключа.
Здесь хотелось бы обратить внимание читателей на факт, который был упомянут в тексте постановления, но не был должным образом оценен участниками процесса. В судебном решении указывалось, что при подключении к услуге «Электронный банк» организации, помимо программного обеспечения, была передана дискетка с электронной подписью. Это означает, что генерация закрытого ключа ЭЦП была осуществлена сотрудниками банка, а не самим владельцем ключа. Следовательно, сотрудники банка имели доступ к закрытому ключу, что оставляло возможность для злоупотреблений.
Еще один интересный момент в данном споре связан с оценкой судом доводов истца о том, что вход в систему и формирование спорного платежного поручения были совершены с компьютера с иным IP-адресом, чем IP-адреса компьютеров ООО «ТехноСвязь». Суд счел эти доводы несостоятельными, поскольку ни договор банковского счета, ни договор обслуживания не содержали каких-либо ограничений на использование любого компьютера вне зависимости от места и вида подключения и принадлежности компьютера определенному юридическому или физическому лицу.
В итоге суд счел, что организация не доказала наличия вины в действиях банка. Электронный платежный документ был заверен надлежащим образом, ЭЦП признана корректной, в связи с чем у банка не имелось оснований для невыполнения распоряжения о списании средств со счета истца.