Постановление Арбитражного суда Поволжского округа от 06.02.2017 N Ф06-17355/16 по делу N А65-4246/2016

г. Казань

06 февраля 2017 г.

Дело N А65-4246/2016

Резолютивная часть постановления объявлена 01 февраля 2017 года.

Полный текст постановления изготовлен 06 февраля 2017 года.

Арбитражный суд Поволжского округа в составе:

председательствующего судьи Смоленского И.Н.,

судей Королевой Н.Н., Галиуллина Э.Р.,

при участии представителей:

истца - Иванова Э.Р. протокол общего собрания от 15.04.2012, Рябова Д.С. по доверенности от 09.08.2016,

ответчика - Вафиной В.М. по доверенности от 20.01.2017, Алимгулова И.Р. по доверенности 27.07.2016, Галиуллиной В.Х. по доверенности от 17.18.2015, Валеева О.Р. по доверенности от 10.06.2016,

третьего лица (Иванов Эдуард Владимирович) - Иванова Э.Р.,

в отсутствие иных лиц, участвующих в деле, извещенных надлежащим образом,

рассмотрел в открытом судебном заседании кассационную жалобу региональной общественной организации "Готов к труду и обороне" (далее - Общество, истец)

на решение Арбитражного суда Республики Татарстан от 16.08.2016 постановление Одиннадцатого арбитражного апелляционного суда от 03.11.2016

по делу N А65-4246/2016

по исковому заявлению региональной общественной организации "Готов к труду и обороне" (далее - Общество, истец) к акционерному обществу "Инвестиционный Кооперативный Банк" (далее - Банк, ответчик) о взыскании суммы ущерба в размере 28 149 647 руб., третьи лица: Иванов Эдуард Владимирович, Аглиуллина Лариса Владимировна, Рублев Артем Александрович, Министерство по делам молодежи и спорту по Республике Татарстан, Валеева Мария Геннадьевна,

УСТАНОВИЛ:

региональная общественная организация "Готов к труду и обороне" (далее - Общество, истец) обратилась в Арбитражный суд Республики Татарстан с исковым заявлением к акционерному обществу "Инвестиционный Кооперативный Банк" (далее - Банк, ответчик) о взыскании 28 149 647 руб. убытков.

К участию в деле в качестве третьих лиц, не заявляющих самостоятельных требований относительно предмета спора, привлечены Иванов Эдуард Владимирович (далее - Иванов Э.В.), Аглиуллина Лариса Владимировна (далее - Аглиуллина Л.В.), Рублев Артем Александрович (далее - Рублев А.А.) и Министерство по делам молодежи и спору по Республике Татарстан (далее - Министерство).

Решением Арбитражного суда Республики Татарстан от 16.08.2016, оставленным без изменения постановлением Одиннадцатого арбитражного апелляционного суда от 03.11.2016, в удовлетворении иска отказано.

Не согласившись с принятыми судебными актами истец подал кассационную жалобу, в которой просит судебные акты отменить, исковые требования удовлетворить.

В обоснование жалобы ссылается на несоответствие выводов, изложенных в судебных актах, обстоятельствам дела; неправильное применение норм материального и процессуального права.

Представители истца в судебном заседании доводы, указанные в жалобе поддержали.

Представители ответчика представили отзыв, просили отставить указанные судебные акты без изменения, жалобу без удовлетворения.

Иные лица, участвующие в деле, отзывы на жалобу не представили, не обеспечили явку представителей в заседание суда, будучи уведомленными о месте и времени его проведения, жалоба рассмотрена в их отсутствие.

В судебном заседании 26 января 2017 в порядке статьи 163 Арбитражного процессуального кодекса Российской Федерации объявлялся перерыв до 16 час.00 мин. 01 февраля 2017 года. После перерыва судебное заседание продолжено в том же составе судей.

Заслушав объяснения представителей сторон, изучив доводы жалобы, отзыва на нее, материалы дела, коллегия находит судебные акты подлежащими отмене по следующим основаниям.

Как следует из материалов дела, между Банком и истцом заключен договор банковского счета и банковского обслуживания N 5396/13 от 21.06.2013.

05.08.2013 между сторонами заключен договор N 2334 на банковское обслуживание с использованием электронного документооборота по системе "Клиент-Банк" (далее - договор).

24.06.2015 в Банк от имени клиента по системе электронного документооборота "Клиент-Банк" поступили платежные поручения, подписанные аналогом собственноручной подписи (АСП) руководителя истца: N 27 от 24.06.2015 на сумму 9 827 347 руб. в адрес ООО "ДИНЭРО";N28 от 24.06.2015 на сумму 9 751 880 руб. в адрес ООО "Горизонт-МК"; N 30 от 24.06.2015 на сумму 7 725 320 руб. в адрес ООО "Сократ"; N33 от 25.06.2015 на сумму 845 100 руб. в адрес ООО "ДИНЭРО", а всего на общую сумму 28 149 647 руб., на основании которых денежные средства были перечислены получателям.

Как указал истец, списание денежных средств с его расчетного счета осуществлено Банком в отсутствие соответствующего распоряжения клиента и стало возможным в результате несовершенства системы защиты предоставленной Банком услуги "Электронный банк".

Признавая несостоятельными заявленные требования суды исходили из недоказанности доводов истца об отсутствии у Банка оснований для отказа в исполнении электронных платежных документов; отсутствия в договоре условия, возлагающего на Банк обязательство по возмещению ущерба при несанкционированном применении электронных инструментов клиента не по вине кредитной организации.

Такие выводы суд кассационной инстанции считает преждевременными, поскольку основаны на неполно исследованных обстоятельствах дела, а при толковании отдельных условий договора от 05.08.2013 N 2334 на банковское обслуживание с использованием электронного документооборота по системе "Клиент-Банк" не выявлена действительная воля сторон относительно обстоятельств, исключающих ответственность кредитной организации при предоставлении клиенту программного обеспечения в рамках реализации соответствующего банковского продукта.

В силу пункта 1 статьи 393 Гражданского кодекса Российской Федерации должник обязан возместить кредитору убытки, причиненные неисполнением или ненадлежащим исполнением обязательства.

Согласно статье 15 Гражданского кодекса Российской Федерации лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

В соответствии с пунктами 12, 13 постановления Пленума Верховного Суда Российской Федерации от 23.06.2015 N 25 "О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации" по делам о возмещении убытков истец обязан доказать, что ответчик является лицом, в результате действий (бездействия) которого возник ущерб, а также факты нарушения обязательства или причинения вреда, наличие убытков (пункт 2 статьи 15 Гражданского кодекса Российской Федерации).

По договору банковского счета банк обязуется принимать и зачислять поступающие на счет, открытый клиенту (владельцу счета), денежные средства, выполнять распоряжения клиента о перечислении и выдаче соответствующих сумм со счета и проведении других операций по счету (пункт 1 статьи 845 Гражданского кодекса Российской Федерации).

В силу пункта 1 статьи 854 Гражданского кодекса Российской Федерации списание денежных средств со счета осуществляется банком на основании распоряжения клиента.

Согласно пункту 1 статьи 847 Гражданского кодекса Российской Федерации права лиц, осуществляющих от имени клиента распоряжения о перечислении и выдаче средств со счета, удостоверяются клиентом путем представления банку документов, предусмотренных законом и установленными в соответствии с ним банковскими правилами и договором банковского счета.

Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи, кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом (пункт 3 статьи 847 Гражданского кодекса Российской Федерации).

Как разъяснено в пункте 2 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 "О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета", проверка полномочий лиц, которым предоставлено право распоряжаться счетом, производится банком в порядке, определенном банковскими правилами и договором с клиентом.

По условиям договора стороны согласовали осуществлять обмен электронными платежными документами (ЭПД), содержащими все реквизиты платежного документа на бумажном носителе, и иными документами произвольного содержания (письмами), подписанными (заверенными) аналогом собственноручной подписи, (АСП) (пункт 1.3 договора).

Стороны признают, что передача получателю ЭПД, подписанных АСП по открытым каналам связи, при условии положительного результата проверки правильности АСП, обеспечивает подлинное содержание документа; ЭПД, подписанный АСП служит основанием для проведения операций и при этом не требуется дополнительного утверждения в форме документа на бумажном носителе (пункт 1.5. договора).

Согласно пункту 2.3.2. договора клиент обязан назначить приказом уполномоченное лицо по системе "Клиент-Банк", предоставить доверенность для получения ключей АСП, подписи документов АСП и определения подлинности ЭПД.

Из материалов дела следует, что уполномоченным лицом истца по системе "Клиент-Банк" являлся сам президент Организации - Иванов Э.В.

Иванов Э.В. является единственным обладателем ключа АСП, уполномоченным для работы в системе "Клиент-Банк".

Ключ АСП (на ключевом носителе (КН)) от имени Организации получен самим Ивановым Э.В. 12.08.2013.

Заключив с Банком договор и получив на руки оригинал ключа АСП, Иванов Э.В. принял на себя обязательство оригиналы и рабочие копии КН хранить в сейфе или закрывающемся на ключ металлическом шкафу, с целью исключения несанкционированного доступа к КН (пункт 4 Памятки уполномоченного лица Клиента по обеспечению информационной безопасности при работе с ключевым носителем системы "Клиент-Банк" - Приложение N 2 к договору).

Пунктом 2.3.7. договора на клиента возложена обязанность не менять без согласования с Банком уполномоченных (ого) лиц (а) по системе "Клиент-Банк".

В соответствии с пунктом 2.3.5. договора клиент обязан не допускать возможности несанкционированного доступа к ключам АСП посторонних лиц, для получения пароля доступа к системе "Клиент-Банк".

Пунктами 3.1. и 3.2. договора установлено, что клиент несет полную ответственность за правильность оформления и передачи ЭПД, а также за сохранность ключей АСП.

В силу пункта 3.3. договора Банк несет ответственность за проведение платежа по ЭПД в соответствии с условиями договора банковского счета и банковского обслуживания, если уполномоченное лицо Банка признала его подлинным и приняло к исполнению.

Соглашаясь с доводами ответчика, судами отмечено, что из служебной записки от 26.06.2015, подписанной директором департамента безопасности Банка Семенычевым A.M. и главным бухгалтером Организации Аглиуллиной Л.В., следует, что ключ АСП находился в распоряжении главного бухгалтера Аглиуллиной Л.В., которая от имени истца формировала и отправляла ЭПД по системе "Клиент-Банк". При этом ключ АСП был скопирован на рабочий стол ноутбука главного бухгалтера.

До проведения Банком распоряжений ЭПД прошли проверку подлинности АСП и защиты передаваемой информации с положительным результатом, в связи с чем ЭПД были признаны корректными. Банк во исполнение своих обязательств по договору, исполнил распоряжения истца и провел платежи.

Данное обстоятельство, по мнению судов, свидетельствует о несостоятельности требований ответчика, предполагая, что использование его АСП неустановленными лицами произошло в связи с нарушением условий договора по обеспечению надлежащего хранения ключевого носителя, его свободного использования сотрудниками истца.

В соответствии с пунктом 3.6. договора Банк не несет ответственности за ущерб, возникший вследствие утери или разглашения клиентом информации, касающейся средства информирования и проверки АСП, ключа АСП, других компонентов программного обеспечения, а также в результате несанкционированного доступа к информации клиента, возникшего не по вине Банка.

Между тем судами не учтено следующее.

Пунктом 11 статьи 9 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" предусмотрено, что в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.

Данное требование закона закреплено и в пункте 2.3.6 названного договора сторон, неисполнение которого, как указали суды, исключает ответственность Банка за ущерб, который может быть причинен клиенту.

Однако, материалы дела не содержат доказательств, свидетельствующих об утере клиентом ключа АСП, разглашении им информации, касающейся средств формирования и проверки АСП, других компонентов программного обеспечения.

В вышеуказанном пункте 2 Постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 разъяснено, что если иное не установлено законом или договором банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами.

Буквальное толкование пункта 3.6 договора не позволяет прийти к выводу о том, что Банк освобождается от ответственности за исполнение платежных поручений, сформированных лицами, которым не вручались ключи АСП и которые не уполномочивались на совершение соответствующих операций без согласия банка (п.2.3.7 договора).

Иное толкование названных условий договора и понимания приведенных разъяснений Пленума Высшего Арбитражного Суда Российской Федерации противоречит целям законодательного регулирования соответствующих отношений хозяйствующих субъектов, возлагая на клиентов кредитных организаций большую степень рисков при выполнении платежной операции посредством применения электронных инструментов, разработанных и используемых по инициативе таких организаций для выполнения соответствующей расчетной функции.

Договор на банковское обслуживание с использованием электронного документооборота по системе "Клиент-Банк" содержит ряд отдельных положений, исполнение (соблюдение) которых призвано обеспечить безопасность операций, осуществляемых с применением системы.

Так, в силу пунктов 2.2.1, 2.2.7 договора Банк имеет право отказать клиенту в проведении ЭПД и отключить его от системы в случаях: попытки посторонних лиц использовать в своих целях электронные платежи от имени клиента; при возникновении ситуации, свидетельствующей о компрометации ключа АСП либо его утрате; в случае поступления информации об отсутствии по своему местонахождению юридического лица, его постоянно действующего органа управления (руководителя), иного лица, которые могут действовать от имени юридического лица без доверенности; в этом случае Банк переходит на прием от клиента расчетных документов только на бумажном носителе.

В свою очередь согласно пунктов 2.3.5, 2.3.7, 2.3.10 клиент обязан не допускать возможности несанкционированного доступа к ключам АСП посторонних лиц, получения пароля доступа к системе; не менять без согласия с Банком уполномоченных (ого) лиц (а) по названной системе, а при замене такого лица - немедленно сообщить об этом Банку. При этом замена уполномоченного лица осуществляется по письменному заявлению клиента.

Положение Банка России от 9 июня 2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение) содержит следующие требования для исполнения кредитными учреждениями, осуществляющими в своей деятельности применение подобных электронных систем.

Так, при разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств, самостоятельно или с привлечением сторонних организаций, а также при разработке изменений указанного программного обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных с выполнением требований к защите информации при осуществлении переводов денежных средств и с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет" (п. 2.5.7. Положения).

Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (п.2.7.1. Положения).

В случае обнаружения вредоносного кода или факта воздействия вредоносного кода оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры обеспечивают принятие мер, направленных на предотвращение распространения вредоносного кода и устранение последствий воздействия вредоносного кода. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры приостанавливают при необходимости осуществление переводов денежных средств на период устранения последствий заражения вредоносным кодом (п. 2.7.5. Положения).

Оператор по переводу денежных средств, принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения в целях аутентификации клиента при осуществлении переводов денежных средств с использованием системы Интернет-банкинга, а также при подтверждении клиентом права доступа к системе Интернет-банкинга (п.2.8.2. Положения).

При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают: защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации; взаимную (двустороннюю) аутентификацию участников обмена электронными сообщениями; выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации (п. 2.10.4. Положения).

Предметом исследования судов не являлось соответствие используемого программного обеспечения вышеуказанным требованиям.

Суды пришли к выводу о недоказанности списания денежных средств со счета РОО "ГТО" в результате недостатков в системе защиты предоставляемой банком услуги, в действиях Банка, направленных на предотвращение несанкционированного доступа третьих лиц в систему расчетов истца.

При этом суды ограничились принятием объяснений ответчика о том, что во исполнение Временного положения Банка России N 17-П от 10.02.1998 года "О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями" применяемая система "Клиент-Банк" идентифицировала плательщика по его электронно-цифровой подписи с последующим исполнением названных платежных поручений.

Между тем ни в объяснениях ответчика, ни в судебных актах не содержится анализ соответствующих операций, совершенных от имени истца, в контексте иных платежей, осуществленных обществом в период со дня начала исполнения договора, на предмет их отнесения к характерным операциям, исходя из круга контрагентов, оснований платежей, места нахождения получателей денежных средств, времени платежей и так далее.

Коллегия отмечает, что судами не установлено, что спорные платежи осуществлены с применением ноутбука истца, отраженного в акте проверки технического состояния рабочего места уполномоченного лица РОО "ГТО" от 26.06.2015, которым констатировано установление на нем названной системы с размещением ключа подписи АСП на рабочем столе пользователя.

Так же не установлено и использование соответствующих инструментов Ивановым Э.В. при применении иных доступных ему электронных устройств.

Как следует из рапорта старшего оперуполномоченного Отдела "К" МВД по Республике Татарстан от 25.07.2015 года, спорные платежные поручения были сформированы и даны с различных IP-адресов, обслуживаемых различными Интернет-провайдерами, зарегистрированными, в том числе, на территории Украины.

Судом не исследовались обстоятельства пребывания Иванова Э.В., либо иного полномочного владельца носителей ключевой информации и дистрибутива программного обеспечения системы "Клиент-Банк" на территории Украины 24.06.2015-25.06.2015, осуществления клиентом соответствующих операций с использованием указанных IP-адресов при применении рабочего ноутбука, иных доступных ему электронных средств Интернет-связи, легитимность которых истцом не подвергалась сомнению.

Установление соответствующих обстоятельств имеет существенное значение для разрешения спора, в том числе для выявления возможности Банка предотвратить неблагоприятные последствия выполнения названных платежных поручений вплоть до отказа в их исполнении, принимая во внимание, что именно Банк является сильной сторон договора от 05.08.2013 - профессиональным участником рынка соответствующих услуг, оператором системы "Клиент-Банк", использование которой осуществляется по инициативе ответчика на возмездной основе.

При новом рассмотрении дела надлежит учесть изложенное, принять законный и обоснованный судебный акт при всестороннем и полном исследовании фактических обстоятельств дела, правильном применении норм материального права.

На основании изложенного и руководствуясь пунктом 3 части 1 статьи 287, статьями 286, 288, 289 Арбитражного процессуального кодекса Российской Федерации, Арбитражный суд Поволжского округа

ПОСТАНОВИЛ:

решение Арбитражного суда Республики Татарстан от 16.08.2016 постановление Одиннадцатого арбитражного апелляционного суда от 03.11.2016 по делу N А65-4246/2016 отменить.

Дело направить на новое рассмотрение в Арбитражный суд Республики Татарстан.

Постановление вступает в законную силу со дня его принятия.

Председательствующий судья

И.Н. Смоленский

Судьи

Н.Н. Королева Э.Р. Галиуллин