Постановление Пятнадцатого арбитражного апелляционного суда от 24.02.2014 по делу n А53-24974/2012. Оставить без изменения решение, а апелляционную жалобу - без удовлетворения (п.1 ст.269 АПК),Отменить решение, Принять новый судебный акт (п.2 ст.269 АПК)

В судебном заседании от 25.09.2013, отвечая на вопрос о возможных способах подготовки платежного поручения, эксперт подтвердил этот вывод о невозможности определения способа изготовления спорного платежного поручения.

Отвечая на второй вопрос, эксперты установили факт запуска служб удаленной работы на ПК Истца, факты работы вредоносного ПО, а также факт использования АБС CFTBank, пользователем созданным в операционной системе 21.10.2011.

Вместе с тем, в выводе по этому вопросу эксперты отмечают, что однозначно дату определить нельзя, так как она могла быть изменена (страница 40 Заключения экспертизы, том 4, лист дела 42).

Экспертами не был установлен и подтвержден тот факт, что активность вредоносного ПО: во-первых, имела место именно 21.10.2011; во-вторых, имела своей целью и результатом создание и отправку именно спорного платежного поручения, а не достижение какого-то другого результата.

В исследовательской части Заключения экспертизы по этому вопросу эксперты пришли лишь к вероятностному предположению о том, что некоторые профили пользователей исследуемого ПК могли использоваться для несанционированной пользователем работы третьих лиц с ПК и АБС СБТВапк» (страница 18 Заключения экспертизы, том 4, лист дела 21).

Вместе с тем, в исследовательской части Заключения экспертизы по второму вопросу эксперты пришли к однозначному выводу о том, что спорное платежное поручение было подписано корректной (подлинной) подписью, выданной ОАО «Стелла-Банк» в адрес ООО «ЮТС» (страницы 32 - 33 Заключения экспертизы, том 4, листы дела 34 - 35).

Согласно же пункту 9.1 Соглашения на обслуживание в системе «Клиент-Банк» (с применением аналога собственной подписи) от 18.03.2008 проводка платежного документа, заверенного АСП, считается правомерной, если клиент не докажет, что проводка стала возможной из-за использования банком не подлинной АСП Клиента.

Таким образом, истцом не представлено доказательств, с однозначностью свидетельствующих о том, что спорное платежное поручение было изготовлено неуполномоченными истцом лицами и тем способом, который описывает истец, обосновывая свои исковые требования.

В соответствии с пунктом 2 Постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 № 5 банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, лишь в том случае, если иное не установлено законом или договором.

Применительно к спорным правоотношениям условия привлечения банка к ответственности были установлены Соглашением, заключенным между истцом и ответчиком. И этим Соглашением предусмотренные иные условия привлечения банка к ответственности.

В соответствии с пунктом 4.2 Соглашения на обслуживание в системе «Клиент-Банк» (с применением аналога собственной подписи) от 18.03.2008 (далее - Соглашение) клиент принимает на себя все обязательства по документам, заверенным его АСП до момента официального объявления ее недействующей. В соответствии с пунктом 9.1 Соглашения проводка платежного документа,    заверенного АСП, считается правомерной, если клиент не докажет, что проводка стала возможной из-за использования банком не подлинной АСП клиента.

Таким образом, условиями заключенного сторонами Соглашения прямо предусмотрено, что неправомерной и, как следствие, влекущей гражданско-правовую ответственность банка будет считаться только проводка платежных поручений клиента, подписанных не подлинной АСП клиента.

Как следует из обстоятельств дела, спорное платежное поручение было подписано подлинной АСП клиента. Таким образом, в соответствии с условиями заключенного между истцом и ответчиком Соглашения, действия ответчика по исполнению спорного платежного поручения являются правомерными и не могут повлечь для него привлечение к ответственности за ненадлежащее исполнение обязательства (статья 401 Гражданского кодекса Российской Федерации).

В соответствии с пунктом 8.5 Соглашения банк не несет ответственности за ущерб, возникший вследствие разглашения клиентом собственного пароля и/или ключей, используемых для шифрования данных, а также за использование программ, не связанных с обеспечением работы АРМа, то есть, в том числе, и за использование вредоносных и иных программ, установленных на компьютере клиента.

В соответствии с пунктом 4.4 Соглашения истец принял на себя обязательства по соблюдению следующих требований к размещению шифровальных средств и хранению ключей:

- ключевая дискета должна выдаваться под роспись конкретному сотруднику, отвечающему за ее сохранность и соблюдение мер, предотвращающих несанкционированный доступ к ней;

- сотрудник, работающий с ключевой дискетой, должен сам определять пароль доступа к ключам и сохранять его в тайне;

  - сотрудник не должен передавать ключевую дискету кому-либо;

- вне времени использования ключевая дискета должна храниться в сейфе, опечатываемом печатью ответственного лица;

-          разрешается делать не более одной резервной копии ключевой дискеты на случай повреждения оригинала, при этом копию необходимо хранить отдельно и для нее должны соблюдаться все те же правила хранения, что и для оригинала.

В соответствии с Приложением № 2 «Акт о признании АСП» к Соглашению, ключевая дискета содержит файлы с собственными ключами клиента (секретным и публичным) и публичным ключом банка, а также служебные файлы, используемые АРМом «Удаленный клиент». Информация на ключевой дискете и пароль являются конфиденциальной информацией.

Между тем, как было установлено при проведении судебной экспертизы по настоящему делу, на исследуемом ПК в качестве ключей доступа к ПО системы электронных платежей АБС CFTBank использовались сведения (ключевая информация), содержащиеся в скопированных на жесткий диск ПК файлах (вывод эксперта по седьмому вопросу, страница 60 Заключения экспертизы, том 4, лист дела 62).

То есть, из обстоятельств дела следует, что истец скопировал информацию ключевой дискеты и в нарушение указанных условий Соглашения разместил ее в свободном доступе на жестком диске своего ПК, имеющем выход в Интернет.

Указанным грубейшим нарушением условий Соглашения и установленных им правил, обеспечивающих безопасность расчетов в системе АБС CFTBank, истец сделал возможным несанкционированное копирование и использование ключевой информации фактически неограниченным кругом лиц.

Кроме того, при проведении судебной экспертизы было установлено, что ПК истца не имеет никаких средств антивирусной защиты. Не были выявлены экспертами и следы использования на этом ПК таких средств, (вывод эксперта по шестому вопросу, страница 57 Заключения экспертизы, том 4, лист дела 59).

Более того, экспертами на исследуемом компьютере истца был обнаружен встроенный брандмауэр Windows, в отключенном состоянии. То есть Истец не обеспечил надлежащей работы даже стандартных средств защиты, имеющихся в составе установленной на его компьютере операционной системы Windows.

Именно эти действия (бездействие) истца стали причиной установки на его компьютере вредоносного программного обеспечения.

Установленные по делу обстоятельства свидетельствуют о том, что истец нарушил меры безопасности, предусмотренные соглашением на обслуживание по системе «Клиент-Банк» от 18.03.2008 (пункт 4.4.), допустив нахождение ключевой информации на жестком диске, а не на специальной дискете. С учетом того, что на компьютере истца, с которого осуществлялась отправка спорного платежного поручения, обнаружено вредоносное программное обеспечение, способное устанавливать удаленный доступ, подбор паролей и работу с системой электронных платежей, общество не обеспечило защиту собственных технических средств от несанкционированного доступа и, как следствие, сохранность пин-кодов электронной цифровой подписи.

В соответствии с пунктом 1 статьи 12 Федерального закона «Об электронной цифровой подписи» от 10.01.2002 № 1-ФЗ (далее - Закон) владелец сертификата ключа подписи обязан хранить в тайне закрытый ключ электронной цифровой подписи.

В силу пункта 2 этой статьи все неблагоприятные последствия, вызванные нарушением этой обязанности владельцем сертификата, наступают лишь в имущественной сфере клиента.

Таким образом, действующее законодательство исключает возможность привлечения банка к гражданско-правовой ответственности за исполнение платежного поручения, выданного неуполномоченным клиентом лицом, в случае, если будет установлено, что его выдача и последующее исполнение стали возможны вследствие несоблюдения клиентом указанных в статье 12 Закона требований по хранению закрытого ключа ЭЦП в тайне.

Как установлено судом и подтверждается материалами дела, именно такое нарушение тайны хранения ключа ЭЦП было допущено истцом.

Таким образом, исходя из установленных по делу обстоятельств, суд апелляционной инстанции пришел к выводу, что в соответствии с пунктом 8.5 Соглашения и статьей 12 Федерального закона «Об электронной цифровой подписи» исключается ответственность банка за ущерб, причиненный истцу, поскольку последним не обеспечено надлежащее хранение ключа подписи, исключающее несанкционированный доступ к нему неопределенного круга лиц.

При таких обстоятельствах является ошибочным вывод суда первой инстанции о совместном причинении истцом и ответчиком вреда и о частичном возложении ответственности на банк.

При принятии решения по делу суд первой инстанции исходил из того, что банк нарушил обязательства по договору банковского счета, заключающееся в том, что в нарушение Стандарта Банка России СТО БР ИББС-1.0-2010 ответчик не предпринял должных мер для отслеживания несанкционированных операций по осуществлению электронных платежей. При этом суд сослался на пункт 7.6.5 этого Стандарта, в соответствии с которым при осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироваться регламентированным образом.

Однако вывод суда не свидетельствует о неправомерности действий банка по исполнению спорного платежного поручения, ввиду следующего.

Действительно, Распоряжением Банка России от 21.06.2010 № Р-705 был принят и введен Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения» СТО БР ИББС-1.0-2010. Однако, в соответствии с пунктом 1 «Область применения» этого стандарта он не является обязательным для применения и носит рекомендательный характер. Обязательность его применения во взаимоотношениях между клиентом банка и банком может быть предусмотрена только специально заключенным соответствующим договором между ними. Из материалов дела не следует, что между истцом и ответчиком такое соглашение заключалось.

Таким образом, в соответствии с договором, заключенным между истцом и ответчиком, банк не принимал на себя обязательств по обеспечению дополнительных, прямо не предусмотренных договором, мер безопасности, описанных в указанном стандарте. Поэтому их несоблюдение не может рассматриваться как ненадлежащее исполнение своих обязательств банком и свидетельствовать о противоправности его действий.

Более того, банк в принципе не мог принять на себя такие обязательства, поскольку используемое им ПО системы электронных платежей АБС CFTBank полностью соответствует предъявляемым к таким ПО обязательным требованиям, однако не предусматривает возможность регистрации событий о вводе неверных PIN-кодов и паролей на клиентской части системы ПО. Клиент был осведомлен о функциональных возможностях этой системы и, заключив договор с банком, тем самым выразил согласие на ее применение.

Положения Стандарта, на которые сослался суд первой инстанции, предусматривает защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником, исключительно в рамках сеанса работы.

Применительно к рассматриваемому спору факт несанкционированного создания спорного платежного поручения неуполномоченными истцом лицами не был доказан. Кроме того, даже если спорное платежное поручение было изготовлено именно тем способом, который описывает истец, то это произошло не в рамках, а до начала сеанса работы с банком. Подменой авторизованного клиента злоумышленником в рамках сеанса работы является перехват неуполномоченным лицом сессии связи клиента с банком. Вместе с тем, в рассматриваемом случае факт такого перехвата отсутствовал.  Спорное платежное поручение было создано на компьютере клиента, подписано его АСП и отправленно с использованием системы электронных платежей АБС CFTBank, установленной на ПК истца. В рамках сеанса работы с Банком никакой подмены не произошло. Банк не имеет (и не может иметь) технической возможности осуществлять контроль работы на компьютере клиента в момент изготовления и удостоверения подписью электронного платежного поручения. Эти действия осуществляются клиентом локально и до начала сеанса работы (связи) с банком.

Таким образом, материалами дела не доказаны противоправность и виновность действий банка при исполнении платежного поручения клиента. 

Обосновывая принятый по делу судебный акт, суд первой инстанции сослался на судебный прецедент по делу № А53-17187/2012.

Однако судебные акты по указанному делу приняты в отношении иного круга лиц и при установлении иных фактических обстоятельств, ввиду чего правовая позиция по данному спору не подлежит применению к правоотношениям, рассматриваемым в рамках настоящего дела.

Во-первых, судами по делу № А53-17187/12 был установлен факт компрометации клиентом ключей ЭЦП. При этом банк был надлежащим образом извещен о компрометации ключа, о смене руководителя организации и, следовательно, не имел права принимать к исполнению платежный документ, подписанный некорректной ЭЦП. Во-вторых, принятое банком к исполнению платежное поручение не содержало такого обязательного реквизита, как ЭЦП главного бухгалтера организации.

Применительно к рассматриваемому делу такие обстоятельства судом не установлены и материалами дела не подтверждаются. 

Согласно статье 71 Арбитражного процессуального кодекса Российской Федерации арбитражный суд оценивает доказательства по своему внутреннему убеждению, основанному на всестороннем, полном, объективном и непосредственном исследовании имеющихся в деле доказательств, оценивая относимость, допустимость, достоверность каждого доказательства в отдельности, а также достаточность и взаимную связь доказательств в их совокупности.

Исследовав материалы дела, дав правовую оценку имеющимся в деле доказательствам, суд апелляционной инстанции пришел к выводу, что истец