Постановление Пятнадцатого арбитражного апелляционного суда от 24.02.2014 по делу n А53-24974/2012. Оставить без изменения решение, а апелляционную жалобу - без удовлетворения (п.1 ст.269 АПК),Отменить решение, Принять новый судебный акт (п.2 ст.269 АПК)

или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; подтверждена подлинность электронной цифровой подписи в электронном документе; электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

Согласно статье 12 названного Федерального закона «Об электронной цифровой подписи» владелец сертификата ключа подписи обязан: не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее; хранить в тайне закрытый ключ электронной цифровой подписи; немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена. При несоблюдении требований, изложенных в настоящей статье, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.

На основании статьи 9 Федерального закона «Об электронной цифровой подписи» удостоверяющий центр (в данном случае банк) изготавливает сертификаты ключей подписей; создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи; выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии. Изготовление сертификатов ключей подписей осуществляется на основании заявления участника информационной системы, которое содержит сведения, указанные в статье 6 Закона и необходимые для идентификации владельца сертификата ключа подписи и передачи ему сообщений. Заявление подписывается собственноручно владельцем сертификата ключа подписи. Содержащиеся в заявлении сведения подтверждаются предъявлением соответствующих документов. При изготовлении сертификатов ключей подписей удостоверяющим центром оформляются в форме документов на бумажных носителях два экземпляра сертификата ключа подписи, которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица удостоверяющего центра, а также печатью удостоверяющего центра. Один экземпляр сертификата ключа подписи выдается владельцу сертификата ключа подписи, второй – остается в удостоверяющем центре.

В обоснование заявленного требования истец указал, что факт перечисления денежных средств по платежному поручению № 94 от 21.10.2011 на сумму 7 560 000 руб. был обнаружен им 24.10.2011, однако соответствующий платежный документ истцом не формировался, АСП не подписывался и в банк не передавался.

Как следует из обстоятельств дела, определением суда от 13.12.2012 по ходатайству истца была назначена судебная информационно-компьютерно-техническая экспертиза, проведение которой поручено Специализированному частному учреждению «Ростовский центр судебных экспертиз», экспертам Вольфу Евгению Антоновичу, Коптевой Юлии Васильевне. На разрешение экспертов поставлены следующие вопросы:

1. Установить, имеются ли на исследуемом ПК истца программы, имеющие признаки вредоносных, позволяющие осуществить подбор паролей и работу с программным обеспечением системы электронных платежей АБС СFTВаnк (предназначенного для работы с ОАО АКБ «Стелла-Банк»), при удаленном доступе к данному ПК?

2. Установить, имеются ли на ПК истца следы обращения (работы) к (с) ПО системы электронных платежей АБС СFTВаnк в течение 21.10.2011, а так же выявить период работы ПК с указанным ПО и временную последовательность событий предшествовавших совершению платежа, произведенного платежным поручением № 94 от 21.10.2011, в том числе выявить количество и продолжительность сеансов работы ПК истца с указанным ПО, зафиксированных техническими ресурсами банка, обеспечивающих работу системы электронных платежей АБС СFTВаnк?

3. Установить, имеется ли на жестком диске ПК, в базе программного обеспечения для бухгалтерского учета «1С: Бухгалтерия, версия 7.7 (файловая версия)», а так же в базе ПО системы электронных платежей АБС СFTВаnк файл, содержащий спорное платежное поручение (№ 94 от 21.10.2011 на сумму 7560000 руб.), а так же определить особенности и способ его подготовки с отражением, при наличии возможности, даты и времени создания, сетевых реквизитов создателя, использованного для его создания ПО?

4. Установить, зафиксировано ли техническими ресурсами ОАО АКБ «Стелла-Банк», обеспечивающими работу системы электронных платежей АБС СFTВаnк, следы ошибок при вводе пин-кодов электронной цифровой подписи клиента в течение дня 21.10.2011 и в частности в период времени с 12 часов 39 минут по 13 часов 02 минуты и с 14 часов 48 минут по 14 часов 55 минут.

5. Провести сравнительное исследование файла, содержащего спорное платежное поручение, и файлов других платежных поручений, направленных пользователем ПК банку с использованием ПО системы электронных платежей АБС СFTВаnк 21.10.2011 (имеющихся в базе программного обеспечения для бухгалтерского учета «1С: Бухгалтерия, версия 7.7 (файловая версия)»), и установить соответствуют ли они друг другу по графическому образу (регистрационным параметрам использовавшегося текстового редактора, полноте отражения сведений в графах формы платежного поручения, указанному в них наименованию плательщика)?

6. Установить, обеспечен ли ПК истца непрерывно функционирующими средствами антивирусной защиты и межсетевого экранирования (брандмауэр, firewall), и возможно ли указанными средствами оградить ПК от воздействия вредоносных программ, позволяющих осуществить подбор паролей и работу с программным обеспечением системы электронных платежей АБС СFTВаnк при удаленном доступе к данному ПК.

7. Установить, обеспечен ли ПК истца дисководом, предназначенным для использования дискет, а так же определить имеется ли техническая возможность воспользоваться ПО системы электронных платежей АБС СFTВаnк в отсутствие ключевой дискеты при введении согласованного с банком логина и пароля.

8. Определить, обеспечивает ли совокупность взаимосвязанных компьютерных систем, устройств и каналов связи, используемых при обслуживании клиента ОАО АКБ «Стелла-Банк», в том числе ПО системы электронных платежей АБС СFTВаnк, установленное на ПК, надлежащий уровень информационной безопасности в части:

• защиты от несанкционированной клиентом авторизации платежных документов;

• копирования электронной цифровой подписи;

• противодействия вмешательству третьих лиц в процесс расчетов в системе электронных платежей АБС СFTВаnк;

• противодействия использованию удаленного доступа для запуска системы электронных платежей АБС СFTВаnк при использовании ключевой дискеты и последующей работы с системой при совершении платежей;

• противодействия использованию удаленного доступа для запуска системы электронных платежей АБС СFTВаnк без использования ключевой дискеты при введении согласованного с банком логина и пароля, и последующей работы с системой при совершении платежей?

Выводы экспертов содержатся в заключении судебной экспертизы № 0001/Э от 31.07.2013 (том 4 л.д. 72-77). В частности, эксперты пришли к выводам, что на исследуемом ПК обнаружено вредоносное ПО, которое может использоваться как для хищения данных пользователя, так и для модификации и копирования информации и, как следствие, организации удаленного доступа к ПК, подбора паролей и работы с системой электронных платежей АБС СFTВаnк. ПО системы электронных платежей АБС СFTВаnк зарегистрировало следы ошибок при вводе пин-кодов электронной цифровой подписи клиента в течение дня 21.10.2011. В период времени с 12 часов 39 минут по 13 часов 02 минуты зафиксировано 4 факта входа и с 14 часов 48 минут по 14 часов 55 минут зафиксировано 7 фактов ввода неверных пин-кодов. Регистрация событий о вводе неверного пин-кода и пароля осуществляется только на клиентском ПК, не передается банку и не регистрируется банком для последующего анализа и выявления неправомерных и подозрительных действий и операций. Копия платежного поручения № 94 от 21.10.2011 не соответствует копиям платежных поручений, представленных в качестве сравнительных образцов, по различию печатных текстов на бланках, отсутствию слова «электронно», цифровых обозначений КПП, полному, а не в виде аббревиатуры написанию наименования организации «Южные телефонные сети», обозначении ИНН в виде 000000000000. Средств антивирусной защиты на исследуемом ПК не обнаружено, следов использования не выявлено. Обнаружен встроенный брандмауэр Windows в отключенном состоянии. На исследуемом ПК в качестве ключей доступа к ПО системы электронных платежей АБС СFTВаnк использовались сведения (ключевая информация), содержащиеся в скопированных на жесткий диск ПК файлах.

Исследовав материалы дела, суд первой инстанции пришел к выводу, что ООО «Южные телефонные сети» нарушило меры безопасности, предусмотренные соглашением на обслуживание по системе «Клиент-Банк» от 18.03.2008 (вышеупомянутый пункт 4.4), допустив нахождение ключевой информации на жестком диске, а не на специальной дискете. А с учетом того, что на компьютере истца, с которого осуществлялась отправка спорного платежного поручения, обнаружено вредоносное программное обеспечение, способное устанавливать удаленный доступ, подбор паролей и работу с системой электронных платежей, общество не обеспечило надлежащую защиту собственных технических средств от несанкционированного доступа и, как следствие, сохранность пин-кодов электронной цифровой подписи.

Сославшись на пункт 3.5 соглашения от 18.03.2008, согласно которому  банк немедленно должет закрыть прием документов с АСП клиента и связаться с ним при возникновении подозрений на угрозу несанкционированного доступа к его счетам до выяснения обстоятельств происшедшего, а также на нарушение банком Стандарта Банка России СТО БР ИББС-1.0-2010, суд пришел к выводу, что  ответчик не предпринял должных мер для отслеживания несанкционированных операций по осуществлению электронных платежей.

Установив, что списание денежных средств со счета истца по платежному поручению № 94 от 21.10.2011 находится в причинной связи как с действиями общества, так и с действиями банка, в связи с чем вина сторон является обоюдной, суд с учетом степени вины обеих сторон взыскал с банка в пользу истца сумму реального ущерба в размере 2 268 000 руб.

Суд апелляционной инстанции считает выводы суда первой инстанции неверными, исходя из нижеследующего.

В соответствии с пунктами 1 и 2 статьи 393 Гражданского кодекса Российской Федерации должник обязан возместить кредитору убытки, причиненные неисполнением или ненадлежащим исполнением обязательства; убытки определяются в соответствии с правилами, предусмотренными статьей 15 настоящего Кодекса.

Согласно статье 15 Гражданского кодекса Российской Федерации лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

Применение такой меры гражданско-правовой ответственности, как возмещение убытков, возможно при доказанности совокупности нескольких условий: противоправности действий причинителя убытков, причинной связи между противоправными действиями и возникшими убытками, наличия и размера понесенных убытков. При этом для удовлетворения требований о взыскании убытков необходима доказанность всей совокупности указанных фактов. Недоказанность одного из необходимых оснований возмещения убытков исключает возможность удовлетворения исковых требований. Убытки подлежат взысканию судом при условии представления истцом доказательств, свидетельствующих о совершении ответчиком виновных действий (бездействия), в результате которых нарушены положения закона или договора, явившихся необходимой и достаточной причиной несения заказчиком убытков, а также доказательств наличия причинно-следственной связи между фактом причинения убытков и неисполнением или ненадлежащим исполнением обязательств.

В оспариваемом решении суд первой инстанции пришел к выводу о том, что банком были нарушены обязательства, возложенные на него по договору с истцом. По мнению суда, это нарушение заключалось в том, что банк принял к исполнению платежное поручение, выданное неуполномоченным лицом.

Однако, в материалах дела отсутствуют доказательства, с достаточной определенностью свидетельствующие о том, что платежное поручение №94 от 21.11.2011 14 часов 41 мин было создано неуполномоченными клиентом лицами при помощи программного обеспечения системы электронных платежей АБС CFTBank с использованием удаленного доступа к компьютеру истца, обеспеченного работой вредоносного программного продукта.

Как следует из материалов дела, для установления фактических обстоятельств, имеющих значение для правильного разрешения спора, судом была назначена судебная информационно-компьютерно-техническая    экспертиза,    по    результатам которой экспертами ОТЭИ СЧУ «Ростовский центр судебных экспертиз» было составлено Заключение № 0001/Э от 31.07.2013.

Подтвердить или опровергнуть тот факт, что спорное платежное поручение  было создано именно неуполномоченными лицами (а не уполномоченными сотрудниками самого истца) с использованием удаленного доступа к компьютеру истца, обеспеченного работой вредоносного программного продукта, должен был ответ на третий вопрос, поставленный перед экспертом: имеется ли на жестком диске ПК, в базе программного обеспечения для бухгалтерского учета 1С: Бухгалтерия, версия 7.7 (файловая версия), а также в базе ПО системы электронных платежей АБС CFTBank, файл, содержащий спорное платежное поручение, а также определить особенности и способ его подготовки с отражением, при наличии возможности, даты и времени создания, сетевых реквизитов создателя, использованного для его создания ПО?.

В ходе исследования по указанному вопросу эксперт пришел к следующим выводам: идентифицировать представленный истцом для экспертного исследования сервер с хранящейся на нем информационной базой ЮТС в ПО 1С Предприятие, как единственный, который использовался в работе ООО «ЮТС» на 21.10.2011, не представляется возможным (страница 41 Заключения экспертизы);

Указанные выводы эксперта свидетельствуют о том, что подтвердить или опровергнуть утверждение истца о том, что