У меня «угнали» электронную подпись и списали деньги. Что делать?

У меня «угнали» электронную подпись и списали деньги. Что делать?

Что делать, если банк списал с расчётного счёта несколько миллионов рублей, но платёжного поручения компания не отправляла? Как доказать, что электронной подписью воспользовались посторонние люди? На чью сторону встают суды в спорах о применении ЭП?

В России существует достаточно обширная судебная практика на эту тему. Основные особенности работы с электронными подписями регламентирует федеральный закон №63.

Если всё сделать правильно, риски можно попытаться минимизировать. Но ещё лучше – заранее застраховаться от негативных последствий.

Ситуация первая: «Это не мы!»

Завод по производству стройматериалов обратился с иском к крупному банку, чтобы взыскать 1,4 млн рублей, якобы безосновательно списанных с расчётного счёта по платёжному поручению. К участию в деле в качестве третьего лица привлекли получателя денег – компанию-поставщика оборудования.

Завод пытался доказать, что операция была совершена вне места нахождения компьютера главного бухгалтера, а по номеру этого платёжного поручения должен был пройти платёж на другую сумму и другому контрагенту. Но банк проверил IP, с которого проводились платежи, и пришёл к выводу, что это было сделано с компьютера клиента. А документ подписан его ЭП. Доказательств, что поручение подписывались из какого-то другого места, истец не смог представить.

Все манипуляции по распознаванию ЭП клиента происходят с помощью компьютерной программы, без участия сотрудника банка. Доказательств того, что ЭП, которой подписано спорное платежное поручение, является некорректной, материалы дела не содержат. При указанных обстоятельствах, перечисление денежных средств со счёата клиента на основании спорного платежного поручения, содержащего корректную ЭП, создание которой невозможно без знания закрытого ключа истца, осуществлено банком правомерно.

Из решения суда

В иске было отказано. Деньги завод себе не вернул.

Был ли здесь злой умысел какой-то из стороны сделки или случайность – оставлено за скобками. Суд отметил важное: использование электронной подписи проходит исключительно по причинам, связанным с поведением владельца подписи, если не доказано обратное. Подделать электронную подпись, в отличие от обычной – практически невозможно. Можно только её скомпрометировать своим действием или бездействием. Но это уже вопрос внутренней безопасности.

Требовать в таких случаях что-то от банков или третьих лиц –  бессмысленно. Ни у кого не может возникнуть сомнения в том, что не нужно исполнять законно подписанное платёжное поручение.

Некоторые компании пытаются сослаться на взломы или вирусы, которые влияют на использование электронной подписи. Здесь следует быть осторожным: такой факт предстоит доказать, но даже это не гарантирует благосклонного отношения суда.

Ситуация вторая: «Это всё вирусы!»

Компания по производству пиломатериалов обратилась в суд с иском к банку, требуя вернуть 6,7 млн рублей, якобы незаконно списанных с расчётного счёта по платёжному поручению и переведённых в адрес одной IT-компании.

Стороны взаимодействовали через систему «клиент-банк» – в ней предполагалось осуществлять обмен документов в электронной форме, подписанными электронной подписью. По договору, электронные документы без ЭП клиента не имели юридической силы, банком не рассматривались и не исполнялись. Система предусматривала формирование секретного ключа ЭП исключительно на стороне клиента. Единственным владельцем секретного ключа ЭП являлось лицо, его сформировавшее. В банке хранился только открытый ключ ЭП, который не мог быть использован для списания денег.

Получив платёжное поручение от клиента, банк его исполнил. Суд установил, что спорное платежное поручение было подписано ЭП, зарегистрированной на имя директора истца. Следовательно, ответственность за проведение указанного платежного поручения и списание денежных средств со счёта лежит на истце

Обнаружилось, что на жёстком диске предприятия имелось вредоносное программное обеспечение. Представитель истца этого не отрицал.

Наличие на жёстком диске клиента программ, предназначенных для несанкционированного доступа к конфиденциальной информации, свидетельствует о том, что клиентом не принято надлежащих мер к обеспечению безопасности используемого для проведения расчётов по системе «клиент-банк». Вместе с тем, в договоре на обслуживание клиента по банковской системе предусмотрена обязанность клиента хранить в секрете и не передавать третьим лицам пароль и дискету с секретным ключом ЭП клиента.

Из решения суда

В иске было отказано.

Когда компания не может обеспечить безопасное хранение секретного ключа – она сама «подписывает себе приговор». Сослаться на то, что банк или другой деловой партнёр не довёл информацию о возможных рисках при использовании услуг дистанционного обслуживания или электронной подписи – не получится.

Ситуация третья: «Ничего не знаем про подписи!»

Крупный фармацевтический дистрибьютор обратился в суд с иском против одной из региональных аптечных сетей с требованием взыскать 797 тысяч рублей за неоплаченные поставки. Суд первой инстанции отказал в удовлетворении требований, не увидев отчётов о подтверждении подлинности электронной подписи. Это было обжаловано в арбитраже.

Истец представил договор, в котором говорилось об условии использовать простую электронную подпись для подтверждения факта получения поставленного товара. Сам факт поставки товара и подписи был подтверждён одним из провайдеров ЭДО, о чём имелась отметка в представленных товарных накладных.

Дополнительным доказательством послужил сертификат открытого ключа на имя гендиректора ответчика, которым были подписаны все накладные. Де-юре ответчик соглашался с равнозначностью электронной подписи гендиректора собственноручной подписи владельца сертификата при подписании документов.

Суд принял сторону истца. Деньги за поставку удалось взыскать

Таких историй в судебной практике – масса. Когда какая-нибудь компания пренебрегает изначальными договорённостями со своими партнёрами и пытается представить электронную подпись как нечто необязательное или абстрактное, дело заканчивается неудачей. Если в результате этого затянуть оплату по счетам может быть и получится, то деловые отношения между сторонами будут безнадёжно испорчены.

Ситуация четвертая: «Это нас взломали!»

Товарищество собственников жилья в одном из российских регионов обратилось в суд для взыскания с местного банка убытков, понесённых в результате якобы необоснованного списания 392 тысяч рублей с его расчётного счёта.

Банк подал кассационную жалобу, попросил отменить судебные акты и отказать в требованиях ТСЖ. По мнению банка, он надлежащим образом исполнил свои обязательства. Платёжное поручение было подписано электронной подписью, заявлений на смену реквизитов доступа банк не получал, а подделать ЭП без знания секретного ключа клиента практически невозможно. Банк настаивал, что вход неуполномоченных лиц в систему был осуществлён по вине истца.

У ТСЖ была другая версия. Как только оно обнаружило в системе подозрительные платежи, в банк направили письмо с просьбой принять меры к возврату денег. Было возбуждено уголовное дело и подключена служба безопасности банка. Сам банк выяснил, что платёжные получения оказались отправлены с других IP-адресов – не из региона, а из Москвы.

Однако после обнаружения несанкционированного списания денег со счёта клиента компьютер истца на предмет взлома не исследовался банком; каких-либо дополнительных средств защиты от незаконного проникновения банком не предпринималось и клиенту не предлагалось. В договоре же было сказано, что стороны признают используемые системы защиты информации от несанкционированного доступа «достаточными».

Ориентируясь на имеющиеся факты, суд установил, что банк всё же должен нести перед клиентом ответственность за последствия исполнения поручений, выданных неуполномоченными лицами. Ведь ранее информационная безопасность в ТСЖ всех устраивала.

Решение суда первой инстанции и постановление апелляционного суда оставлено в силе.

* * *

А теперь коротко. Что нужно знать:

  • Безопасность в отношении электронной подписи лежит на самом владельце ЭП. Передавать электронную подпись сотрудникам бухгалтерии или другим лицам без надлежащего контроля за их действиями – неразумно;
  • Электронная подпись должна храниться в недоступном для третьих лиц месте;
  • Банк не несёт ответственности за списание средств, если электронный документ подписан корректной электронной подписью, да ещё из офиса клиента;
  • Технические неполадки или взлом системы могут исключать недобросовестность при использовании электронной подписи. Но это потребуется убедительно доказать;
  • При первом обнаружении «скомпрометированной» ЭП нужно обратиться в полицию и добиться возбуждения уголовного дела, а также предупредить банк и контрагентов, приостановить сделки;
  • Для доказательства действительности ЭП следует представить в суде копии подписанных товарных накладных и отчёты о подтверждении подлинности электронной подписи со стороны провайдера электронного документооборота. А об использовании электронной подписи следует договориться с деловыми партнёрами заранее.

Для заглавной иллюстрации использован фрагмент репродукции картины Уильяма Хогарта «Суд».

21 сентября 2017 г.

Павел Ефимов

Павел Ефимов

Начальник юридического отдела Ediweb

Следующая тема:

5 шагов, чтобы преодолеть пропасть между ИТ и бизнес-подразделением при запуске проектов по цифровизации

{{ errors.first('subscribe-1924475875.email') }}

Подписаться на новостную рассылку