Подписали неправильной эцп

Автор: Наталья Храмцовская

Всё более широкое применение организациями систем удаленного управления банковскими счетами (в которых ЭЦП является элементом технологии) привело к росту числа случаев краж денег со счетов, и судебных споров по этому вопросу.

Ограбленные организации, пытаясь вернуть украденные со счета средства, идут, как правило, сразу двумя путями. Они подают заявление о краже денег со счета, и этим делом начинает заниматься милиция в рамках расследования уголовного дела. Одновременно банку предъявляется претензия о ненадлежащем исполнении договора, а после отказа банка в её удовлетворении спор переносится в суд. Эти дела рассматриваются арбитражными судами.

Одним из характерных примеров является недавно принятое решение Арбитражного суда Ульяновской области от 30 декабря 2010 года по делу №А72-5310/2010. Данный пример позволяет извлечь определенные уроки из ошибок, допущенных организацией-истцом.

Суть спора

ООО «ТехноСвязь» ещё в 2005 году открыло счет в банке «Поволжский». В марте 2008 года общество заключило договор с банком об оказании услуги «Электронный банк» и начало проводить свои безналичные расчеты с использованием электронных документов, отправляемых в банк по электронной почте. 29 апреля 2010 года общество переключилось на сервис «Интернет-Клиент», т.е. стало направлять свои платежные поручения через сайт.

4 мая 2010 года (т.е. через 7 дней после подключения сервиса «Интернет-Клиент», из которых три дня 1-3 мая были нерабочими) на основании платежного поручения № 364 от 04 мая 2010 года банк списал с расчетного счета истца более 450 тысяч руб., и перечислил средства на лицевой счет физического лица в банке ВТБ-24, с указанием в назначении платежа «Оплата по договору». Эти деньги со счета физического лица были сняты 4 и 5 мая 2010 года.

Организация предъявила банку претензию в связи с несанкционированным списанием денежных средств со счета (подчеркнув, что она с данным физическим лицом никаких договоров не заключала), и опечатала компьютер, с которого осуществлялся выход в систему «Интернет-Банк». Для разбора конфликтной ситуации была создана Согласительная комиссия, в которую вошли представители истца, ответчика, а также независимый эксперт — сотрудник Ульяновского филиала ФГУП «ЦентрИнформ».

В ходе заседаний Согласительной комиссии было, в частности, установлено:

Согласительная комиссия также запросила у ООО «БСС» — разработчика программных продуктов для организации дистанционного обслуживания клиентов ответчика — список IP-адресов, с которых происходил вход в систему.

Пострадавшая организация, считая, что именно банк нарушил условия заключенных между сторонами договоров и не обеспечил должного внутреннего контроля поступившего платежного поручения, обратилась в суд с иском о возмещении убытков.

Позиция суда

При рассмотрении спора суд, прежде всего, опирался на положения договора на оказание услуг, заключенного между банком и обществом. Договор предусматривал, что каждая из сторон несет ответственность за содержание любого электронного документа, подписанного его ЭЦП.

Сторонами не оспаривалось, что закрытый ключ ЭЦП, при помощи которого подписывались электронные документы, находится под контролем истца. Согласно «Акту признания открытого ключа (сертификата) для обмена сообщениями» от 29 апреля 2010 года, который был подписан при переходе на обслуживание через интернет, единственным владельцем ключа (сертификата) ЭЦП являлся генеральный директор ООО «ТехноСвязь».

И вот здесь свою роль сыграл выявленный согласительной комиссией и подтвержденный документально факт того, что право доступа к ЭЦП, кроме генерального директора, приказом по организации были предоставлено другим сотрудникам. Суд особо подчеркнул, что в ст. 3 закона «Об электронной цифровой подписи» вообще не предусмотрен порядок передачи кому-либо ключа (сертификата) ЭЦП. Собственноручная подпись физического лица, как и ее аналог, не подлежит передаче иным физическим (юридическим) лицам.

Кроме того, суд указал и на положение ст.12 закона, согласно которой владелец сертификата ключа подписи обязан: не использовать для ЭЦП открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее; хранить в тайне закрытый ключ ЭЦП; немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа ЭЦП нарушена. В случае несоблюдении этих требований, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.

В решении суда подчеркивается, что действующим законодательством не предусмотрена возможность подписания документа физическим лицом не своей подписью, а подписью другого физического лица. Возможно лишь подписание документа одним лицом за другое лицо, но только своей подписью и только при условии наличия соответствующей доверенности.

Попытку ответчика обосновать правомерность передачи руководителем организации средств создания ЭЦП другим лицам тем, что они были им получены в качестве представителя юридического лица, и что он был вправе предоставить доступ к ним иным лицам, суд счел несостоятельной. Суд указал, что подпись физического лица, в том числе обладающего соответствующими полномочиями, является способом индивидуализации этого физического лица, и поэтому подпись, в том числе и ЭЦП, не может быть передана другому физическому лицу.

В итоге суд пришёл к выводу о том, что действия самого клиента могли привести к списанию денежных средств, либо к утечке сведений, касающихся закрытого ключа.

Здесь мне хотелось бы обратить внимание читателей на факт, который был упомянут в тексте постановления, но не нашел должной оценки ни самими участниками процесса, ни судом. В судебном решении указывалось, что при подключении к услуге «Электронный банк» организации, помимо программного обеспечения, была передана дискетка с электронной подписью. Это означает, что генерация закрытого ключа ЭЦП была осуществлена сотрудниками банка, а не самим владельцем ключа, — и, следовательно, сотрудники банка имели доступ к закрытому ключу, что создавало возможность для злоупотреблений.

В итоге суд счел, что организация не доказала наличия вины в действиях банка. Электронный платежный документ был заверен надлежащим образом, ЭЦП признана корректной, в связи с чем у банка не имелось оснований для невыполнения распоряжения о списании средств со счета истца.

Ещё один интересный момент в данном споре связан с оценкой судом доводов истца о том, что вход в систему и формирование спорного платежного поручения было совершено с компьютера с иным IP-адресом, чем IP-адреса компьютеров общества. Суд счёл эти доводы несостоятельными, поскольку ни договор банковского счета, ни договор обслуживания не содержали каких-либо ограничений на использование любого компьютера, вне зависимости от места и вида подключения и принадлежности компьютера иному юридическому или физическому лицу.

В результате исковые требования общества были оставлены судом без удовлетворения.

Источник

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

×
Рекомендуем посмотреть