Банковский счет организации: как не потерять деньги при использовании системы дистанционного обслуживания
Век цифровых технологий значительно облегчил жизнь, и не только простым гражданам, но и предпринимателям (ИП), и юридическим лицам. Что стоит только онлайн-доступ к банковским услугам? Не надо ездить в банк по каждому пустяку, а распоряжение клиента по счету исполняются почти мгновенно. Сегодня системой дистанционного банковского обслуживания (далее – СДБО) пользуется практически каждая организация. Но за возможность, не выходя из офиса распоряжаться средствами на счете, приходится порой дорого расплачиваться. И дело не только в абонентской плате за обслуживание расчетного счета. Простота и удобство использования СДБО несомненны, но есть один серьезный минус – уязвимость: не успеешь оглянуться, а деньги со счета пропали в неизвестном направлении. Как не лишиться всех средств с расчетного счета при использовании онлайн-доступа к счету? Есть ли шансы оспорить операции по счету в суде и вернуть средства обратно? Об этом предлагаю поговорить, исходя из сложившейся судебной практики.
СДБО клиентов используются многими банками. Зачастую это целый комплекс из специального программного обеспечения, средств идентификации клиента через связку "логин-пароль", удостоверяющей цифровой подписи, и нередко специального ключа – USB-токена (флешки, содержащей шифр-ключ, который выступает аналогом подписи клиента и генерируется при использовании токена). Клиент может получать доступ либо через веб-интерфейс системы посредством интернет-браузера, либо через специальную программу, установленную на компьютер клиента. По правилам банка доступ к системе должен иметь ограниченный круг лиц (чем меньше, тем лучше), на практике это или руководитель организации, или главный бухгалтер. Любое распоряжение клиента банку, поступающие по СДБО, удостоверяется индивидуальной цифровой подписью клиента, которая и содержится обычно на USB-токене. При этом банк проверяет по сути лишь подлинность логина-пароля, удостоверяющей подписи, IP-адрес входа в систему. "Увидеть" кто на самом деле отдает распоряжение и сидит за компьютером со стороны клиента получается не всегда, значительная доля ответственности за безопасность счета при СДБО ложится на самого клиента, о чем ИП и организации часто забывают.
Иллюстрацией может послужить следующее дело: АО обратилось в арбитражный суд с иском к банку о взыскании убытков, возникших в результате ненадлежащего исполнения банком обязательств по договору банковского счета и договору об использовании электронных документов (Постановление Арбитражного суда Дальневосточного округа от 27 августа 2015 г. № Ф03-3569/2015 по делу № А51-35104/2014). Свои требования общество мотивировало тем, что банк неправомерно списал со счета более 12 млн руб., в то время как был предупрежден по телефону и по электронной почте о возможной компрометации ключей и неисправности системы.
Распоряжение о списании средств поступило по СДБО до начала операционного дня в банке в период с 5 до 7 утра по местному времени, и было исполнено банком около 9 утра. В этот же день финансовый директор общества попыталась войти в систему, но ей это не удалось – на странице отображалась информация о невозможности входа в связи с проведением технических работ с 0 часа до 10 часов по московскому времени. В 15 часов 39 минут из общества в банк поступил звонок, а в 15 часов 45 минут и письмо по электронной почте с уведомлением о невозможности входа в систему, на что банк сначала устно, а затем и письменно уведомил, что никакие работы в тот момент не проводятся, и порекомендовал перестать пользоваться системой, отключив срочно USB-токен от компьютера. Клиент же в свою очередь посчитал, что, предупредил банк о проблемах, и последний должен был принять меры по защите счета клиента, на следующий день удалось войти в систему, и тогда-то пропажа средств со счета и была обнаружена, после чего клиент потребовал у банка вернуть средства на счет, так как посчитал, что виноват в пропаже именно банк.
Однако суд рассудил по-другому. Во-первых, распоряжение о проведение операции по счету поступило в утреннее время, и было исполнено банком. Каких-либо оснований сомневаться в подлинности распоряжения клиента у банка не было, так как вход был осуществлен по логину и паролю клиента, операция подтверждена подписью-ключом с USB-токена, IP-адрес компьютера, с которого пришло распоряжение, совпадал с IP-адресом компьютера клиента. Во-вторых, клиент не смог получить доступ к системе и предупредил банк только после 15 часов по местному времени именно о невозможности войти в систему, а не о компрометации ключа и пароля. Банк со своей стороны, после получения сообщения от клиента о пропаже денег, тут же отправил запросы об отзыве (отмене) платежей через систему электронного документооборота в Банк России, однако, так как средства были уже списаны со счета клиента, то действия банка позитивного результата не принесли.
Таким образом, по мнению суда, Банк действовал строго в соответствии с условиями договора, добросовестно исполнил свои обязательства, а вот клиент отнесся к своим обязанностям халатно. По условиям договора с банком система должна использоваться с одного компьютера, на котором обеспечивается "чистота" от троянов, компьютерных вирусов и прочих вредоносных программ, USB-токен должен был храниться у генерального директора общества, и только он имел право использовать его. Между тем, фактически СДБО была установлена на компьютере финансового директора. Более того, из акта осмотра рабочего места пользователя системы, проведенного сотрудником банка и подписанного самим финансовым директором, следует, что USB-токен хранился в ящике рабочего стола при отсутствии в кабинете сейфа, а в ночь, когда произошел инцидент, USB-токен был оставлен во включенном персональном компьютере.
При таких обстоятельствах, по мнению суда, банк не несет ответственности перед клиентом, поскольку со стороны клиента допущено нарушение условий пользования СДБО. Банк несет ответственность только с момента, когда клиент предупредил о компрометации ключа. В конечном итоге в удовлетворении иска к банку было отказано.
Трудно сказать, куда "ушли" в конечном итоге средства клиента, вероятнее всего хищение было произведено посредством дистанционного доступа к компьютеру АО, с помощью специальных вредоносных программ, тем более АО "своими руками" предоставила для этого злоумышленникам все инструменты для этого. Не исключено также, что хищение произведено и кем-то из сотрудников АО, тем более в определении апелляционного суда содержится указание, что первоначально в службу поддержки банка поступил звонок от АО в 8 часов 39 минут по московскому времени от некоего мужчины о невозможности входа в систему. Это свидетельствует об открытости доступа к компьютеру для посторонних лиц.
В другом деле, со счета клиента было списано сначала около 2,5 млн руб., а затем еще почти 1 млн. руб. Списание средств произведено по платежным поручениям, поступившим в электронном виде. Клиент утверждает, что не направлял такие поручения, и банк необоснованно списал денежные средства. Помимо этого, он должен был уточнить волю клиента на списание средств, но не сделал этого, поручения пришли за пределами операционного дня банка (платеж был исполнен в период с 14 до 15 ч). Об одной из проведенных операции клиент узнал от другого банка, в котором открыт счет получателя денежных средств, когда банк получателя заподозрил неладное, и попросил общество подтвердить платеж. Это помогло оперативно отменить операцию и отозвать средства по первому платежу. А вот другой платеж благополучно "уплыл" в другой банк, и, к сожалению, клиенту пришлось с деньгами распрощаться: суд не усмотрел вины банка при проведении операции (Постановление Арбитражного суда Северо-Западного округа от 22 декабря 2015 г. по делу № А26-386/2015).
Поступившие платежные поручения были подписаны индивидуальной цифровой подписью клиента, содержали необходимые реквизиты; поступившие платежные поручения в электронном виде могут быть исполнены в любое время. По соглашению, подписанному между сторонами, банк был обязан принимать к исполнению такие электронные платежные поручения, также не были установлены ограничения в соглашении и по сумме проводимых операций и обязанность банка уточнять волю клиента по каждому платежу. Таким образом, оснований сомневаться в подлинности платежных поручений у банка не было.
Каким образом в данном деле злоумышленники получили доступ к системе клиента в деле подробно не раскрывается, но возможно опять подвела низкая финансовая дисциплина и пренебрежение к "чистоте" компьютеров.
Но бывает и банки сами дают промах – в судебной практике встречаются, хоть и значительно реже, дела, когда клиенты взыскивали с банка "уплывшие" со счетов средства.
Так, в банк поступило по СДБО два платежных поручений в электронном виде на сумму в 40 тыс. и 400 тыс. руб. соответственно. Второе платежное поручение банк отверг, как подозрительное, а вот 40 тыс. руб. со счета клиента списал, и отказался вернуть средства, когда клиент заявил о том, что не давал распоряжений о списании. Клиент обратился в суд с иском о взыскании средств с банка и в итоге выиграл дело (Постановление Арбитражного суда Поволжского округа от 3 сентября 2014 г. по делу № А72-10909/2013).
Суд первой инстанции посчитал, что вины банка нет и в удовлетворении иска отказал, а вот апелляционный суд, поддержанный судом округа, решил иначе: банк в данной ситуации действовал неосмотрительно. Обязанностью банка является обеспечение сохранности денежных средств, в рамках которой банк должен обеспечить своих сотрудников достаточной квалификацией, необходимой для выявления неверной информации в документах, наличия поддельных подписей в них; применять меры безопасности, предотвращающие незаконное списание денежных средств со счетов клиентов. Актом внутренней проверки было подтверждено, что составление платежного поручения и его отправка возможны только на стационарном компьютере директора клиента, находящегося в офисе общества. Закрытый ключ электронной подписи хранился в указанном компьютере, в целях безопасности на другие носители не копировался. В день проведения операции указанный компьютер при выходе в Интернет использовал статический IP-адрес, что подтверждено письмом ОАО "Ростелеком" с детализацией сессий.
Спорное платежное поручение поступило в электронную систему Банка в 14 часов 8 минут с постороннего IP-адреса, не совпадающего с адресом общества, что подтверждено представленной ответчиком детализацией сессий в Интернете по лицевому счету общества, и детализацией входов в систему iBank2. Из платежного поручения следует, что платежу присвоен статус "подозрительный". Согласно условиям договора, при таких обстоятельствах банк должен был немедленно закрыть прием платежных документов от клиента по СДБО до выяснения обстоятельств произошедшего, и связаться с клиентом. Между тем, банк прием спорного платежного документа не закрыл и с клиентом для выяснения обстоятельств произошедшего не связался. При этом суд обратил внимание, что второе платежное поручение на сумму в размере 400 тыс. руб. банк заблокировал, значит, имел возможность установить несанкционированность доступа к системе клиента.
Дополнительно суд апелляционной инстанции отметил, что именно банк, являясь профессиональным участником на рынке оказания банковских услуг, должен определить достаточность надежности работы при приеме, передаче, обработке и хранении информации, а также защите информации, обеспечивающей разграничение доступа, шифрование, контроль целостности.
Итак, исходя из вышесказанного, 10 советов, как не допустить кражу с банковского счета.
Клиенту рекомендуется использовать СДБО строго в соответствии с условиями договора с банком и правилами пользования СДБО.
При заключении договора с банком на использование СДБО, внимательно ознакомьтесь с условиями договора, правилами использования системы, уточните действия банка при возникновении подозрительных ситуаций, а также каковы критерии подозрительности операций у конкретного банка.
USB-токен к СДБО необходимо хранить в сейфе в закрытом помещении.
Право пользования USB-токеном должно быть у ограниченного круга лиц – желательно не больше одного-двух, поскольку злоумышленники могут установить на компьютер вредоносные программы – например, трояны, которые не всегда вовремя распознаются антивирусными пакетами. Контактные данные, по которым осуществляется связь, также должны быть установлены.
Рекомендуется устанавливать СДБО на один компьютер, к которому доступ имеет ограниченный круг лиц. Желательно данный компьютер размещать в отдельном закрытом помещении.
Используйте для защиты компьютера только официальные антивирусные пакеты, так как с помощью вредоносных программ злоумышленники могут получить доступ к счету клиента даже во время легальной сессии работы.
Необходимо вытаскивать USB-токен из компьютера сразу же после проведения операций.
Рекомендуется разработать и принять локальный нормативный акт, регламентирующий порядок доступа к системе и устанавливающий меры безопасности.
В случае подозрительного "поведения" системы, появления непонятных сообщений, в том числе от банка, просьб сообщить логин и (или) пароль, подключить USB-токен к компьютеру, проявлять бдительность. Помните, что сотрудник банка никогда не попросит по телефону, электронной почте, факсу и т. п. сообщить ему пароль клиента от СДБО. Обо всех подозрительных случаях немедленно сообщайте в банк устно по телефону и тут же дублируйте сообщение письменно. Желательно общение с банком по телефону фиксировать, хотя банки обычно и проводят аудиозапись разговора, которую можно потом истребовать в рамках рассмотрения судебного дела.
Рекомендуется установить ограничения лимит по банковскому счету, в пределах которого позволяется списание средств по СДБО без дополнительного подтверждения от клиента – разовый, суточный и ежемесячный. В случае превышения лимита банк будет связываться с клиентом для подтверждения операций, а до его получения они будут приостановлены. При этом круг лиц, имеющих право на подтверждение операций, также должны быть ограничены, равно как и их контактные данные.