Постановление Арбитражного суда Поволжского округа от 27.12.2017 N Ф06-27416/17 по делу N А65-4246/2016

г. Казань

27 декабря 2017 г.

Дело N А65-4246/2016

Резолютивная часть постановления объявлена 21 декабря 2017 года.

Полный текст постановления изготовлен 27 декабря 2017 года.

Арбитражный суд Поволжского округа в составе:

председательствующего судьи Смоленского И.Н.,

судей Королевой Н.Н., Галиуллина Э.Р.,

при участии представителей:

ответчика (заявителя) - АО "Инвестиционный Кооперативный Банк" - Вафиной В.М., по доверенности от 20.01.2017 Михайловой М.Н., по доверенности от 11.07.2017, Шаманова А.В., по доверенности от 11.07.2017,

истца - региональной общественной организации "Готов к труду и обороне" - Рябова Д.С., по доверенности от 22.07.2017,

третьего лица - Иванова Э.В., паспорт,

в отсутствие:

третьих лиц - Аглиуллиной Л.В., Рублева А.А., Министерства по делам молодежи и спорту по Республике Татарстан, Валеевой М.Г. - извещены надлежащим образом,

рассмотрев в открытом судебном заседании кассационную жалобу акционерного общества "Инвестиционный Кооперативный Банк"

на решение Арбитражного суда Республики Татарстан от 22.06.2017 и постановление Одиннадцатого арбитражного апелляционного суда от 19.10.2017

по делу N А65-4246/2016

по исковому заявлению региональной общественной организации "Готов к труду и обороне" к акционерному обществу "Инвестиционный Кооперативный Банк" о взыскании суммы ущерба, третьи лица: Иванов Эдуард Владимирович, Аглиуллина Лариса Владимировна, Рублев Артем Александрович, Министерство по делам молодежи и спорту по Республике Татарстан, Валеева Мария Геннадьевна

УСТАНОВИЛ:

региональная общественная организация "Готов к труду и обороне" (далее - Общество, истец) обратилась в Арбитражный суд Республики Татарстан с исковым заявлением к акционерному обществу "Инвестиционный Кооперативный Банк" (далее - Банк, ответчик) о взыскании 28 149 647 руб. убытков.

К участию в деле в качестве третьих лиц, не заявляющих самостоятельных требований относительно предмета спора, привлечены Иванов Эдуард Владимирович (далее - Иванов Э.В.), Аглиуллина Лариса Владимировна (далее - Аглиуллина Л.В.), Рублев Артем Александрович (далее - Рублев А.А.) и Министерство по делам молодежи и спору по Республике Татарстан (далее - Министерство).

Решением Арбитражного суда Республики Татарстан от 16.08.2016, оставленным без изменения постановлением Одиннадцатого арбитражного апелляционного суда от 03.11.2016, в удовлетворении иска отказано.

Постановлением Арбитражного суда Поволжского округа от 06.02.2017 указанные судебные акты отменены. Дело направлено на новое рассмотрение в Арбитражный суд Республики Татарстан.

При новом рассмотрении истец в порядке статьи 49 Арбитражного процессуального кодекса Российской Федерации (далее- АПК РФ) уточнил исковые требования, просил взыскать с ответчика 27 915 915,95 рублей. Уточнение судом первой инстанции принято.

Решением Арбитражного суда Республики Татарстан от 22.06.2017, оставленным без изменения постановлением Одиннадцатого арбитражного апелляционного суда от 19.10.2017, иск удовлетворен.

Ответчик не согласившись с принятыми судебными актами обратился в Арбитражный суд Поволжского округа с кассационной жалобой, ссылаясь на нарушение и неправильное применение судами норм материального и процессуального права, несоответствие выводов судов фактическим обстоятельствам дела, просит решение суда первой инстанции и постановление суда апелляционной инстанции отменить, направить дело на новое рассмотрение.

Третьи лица - Аглиуллина Л.В., Рублев А.А., Министерство по делам молодежи и спорту по Республике Татарстан, Валеева М.Г., извещенные надлежащим образом, явку представителей в судебное заседание не обеспечили, жалоба рассмотрена в их отсутствие.

Изучив материалы дела, обсудив доводы кассационной жалобы и отзыва на нее, проверив в порядке статей 286, 287 Арбитражного процессуального кодекса Российской Федерации правильность применения судами норм материального права и соблюдения норм процессуального права при вынесении обжалуемых судебных актов, а также соответствие выводов в указанных актах установленным по делу фактическим обстоятельствам и имеющимся в деле доказательствам, суд кассационной инстанции не находит оснований для ее удовлетворения.

Как следует из материалов дела и установлено судами, между Банком и истцом заключен договор банковского счета и банковского обслуживания N 5396/13 от 21.06.2013.

Между сторонами заключен договор N 2334 от 05.08.2013 на банковское обслуживание с использованием электронного документооборота по системе "Клиент-Банк" (далее - договор).

В Банк 24.06.2015 от имени РОО ГТО по системе электронного документооборота "Клиент-Банк" поступили платежные поручения, подписанные аналогом собственноручной подписи (АСП) руководителя истца: N 27 от 24.06.2015 на сумму 9 827 347 руб. в адрес ООО "Динэро", N 28 от 24.06.2015 г. на сумму 9 751 880 руб. в адрес ООО "Горизонт-МК", N 30 от 24.06.2015 на сумму 7 725 320 руб. в адрес ООО "Сократ", N31 от 24.06.2015 на сумму 4 823 710 руб. в адрес ООО "Гафур", N33 от 25.06.2015 на сумму 845 100 руб. в адрес ООО "Динэро". Всего на сумму 32 973 357 руб.

По факту хищения денежных средств возбуждено уголовное дело N 88849, где истец является потерпевшим. Приговором Вахитовского районного суда г. Казани от 18.12.2015 осужден Рублев Артем Александрович по части 3 статьи 159.6 Уголовного кодекса Российской Федерации и денежные средства похищенные платежным поручением N 31 в сумме 4 823 710 руб. были возвращены истцу.

В обоснование заявленных требований истец указал, что списание денежных средств с его расчетного счета произведено Банком в отсутствие соответствующего распоряжения клиента и стало возможным в результате несовершенства системы защиты предоставленной Банком услуги "Электронный банк".

В ходе рассмотрения дела установлено, что истцу были возвращены денежные средства в размере 1 987 175 руб.

Признавая исковые требования подлежащими удовлетворению суды нижестоящих инстанций правомерно руководствовались следующим.

В силу пункта 1 статьи 393 Гражданского кодекса Российской Федерации (далее- ГК РФ) должник обязан возместить кредитору убытки, причиненные неисполнением или ненадлежащим исполнением обязательства.

Согласно статье 15 ГК РФ лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

В соответствии с пунктами 12, 13 постановления Пленума Верховного Суда Российской Федерации от 23.06.2015 N 25 "О применении судами некоторых положений раздела I части первой Гражданского кодекса Российской Федерации" по делам о возмещении убытков истец обязан доказать, что ответчик является лицом, в результате действий (бездействия) которого возник ущерб, а также факты нарушения обязательства или причинения вреда, наличие убытков (пункт 2 статьи 15 Гражданского кодекса Российской Федерации).

По договору банковского счета банк обязуется принимать и зачислять поступающие на счет, открытый клиенту (владельцу счета), денежные средства, выполнять распоряжения клиента о перечислении и выдаче соответствующих сумм со счета и проведении других операций по счету (пункт 1 статьи 845 ГК РФ).

В силу пункта 1 статьи 854 ГК РФ списание денежных средств со счета осуществляется банком на основании распоряжения клиента.

Согласно пункту 1 статьи 847 ГК РФ права лиц, осуществляющих от имени клиента распоряжения о перечислении и выдаче средств со счета, удостоверяются клиентом путем представления банку документов, предусмотренных законом и установленными в соответствии с ним банковскими правилами и договором банковского счета.

Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи, кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом (пункт 3 статьи 847 ГК РФ).

В пункте 2 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 "О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета" разъяснено, что проверка полномочий лиц, которым предоставлено право распоряжаться счетом, производится банком в порядке, определенном банковскими правилами и договором с клиентом.

По условиям договора стороны согласовали осуществлять обмен электронными платежными документами (ЭПД), содержащими все реквизиты платежного документа на бумажном носителе, и иными документами произвольного содержания (письмами), подписанными (заверенными) аналогом собственноручной подписи, (АСП) (пункт 1.3 договора).

Согласно пункту 1.5 договора стороны признают, что передача получателю ЭПД, подписанных АСП по открытым каналам связи, при условии положительного результата проверки правильности АСП, обеспечивает подлинное содержание документа; ЭПД, подписанный АСП служит основанием для проведения операций и при этом не требуется дополнительного утверждения в форме документа на бумажном носителе.

Согласно пункту 2.3.2 договора клиент обязан назначить приказом уполномоченное лицо по системе "Клиент-Банк", предоставить доверенность для получения ключей АСП, подписи документов АСП и определения подлинности ЭПД.

Из материалов дела следует, что уполномоченным лицом истца по системе "Клиент-Банк" являлся сам президент Организации - Иванов Э.В.

Иванов Э.В. является единственным обладателем ключа АСП, уполномоченным для работы в системе "Клиент-Банк".

Ключ АСП (на ключевом носителе (КН)) от имени Организации получен самим Ивановым Э.В. 12.08.2013.

Заключив с Банком договор и получив на руки оригинал ключа АСП, Иванов Э.В. принял на себя обязательство оригиналы и рабочие копии КН хранить в сейфе или закрывающемся на ключ металлическом шкафу, с целью исключения несанкционированного доступа к КН (пункт 4 памятки уполномоченного лица клиента по обеспечению информационной безопасности при работе с ключевым носителем системы "Клиент-Банк" (приложение N 2 к договору)).

Пунктом 2.3.7 договора на клиента возложена обязанность не менять без согласования с Банком уполномоченных (ого) лиц (а) по системе "Клиент-Банк".

В соответствии с пунктом 2.3.5 договора клиент обязан не допускать возможности несанкционированного доступа к ключам АСП посторонних лиц, для получения пароля доступа к системе "Клиент-Банк".

Пунктами 3.1, 3.2 договора установлено, что клиент несет полную ответственность за правильность оформления и передачи ЭПД, а также за сохранность ключей АСП.

В силу пункта 3.3 договора Банк несет ответственность за проведение платежа по ЭПД в соответствии с условиями договора банковского счета и банковского обслуживания, если уполномоченное лицо Банка признала его подлинным и приняло к исполнению.

В соответствии с пунктом 3.6 договора Банк не несет ответственности за ущерб, возникший вследствие утери или разглашения клиентом информации, касающейся средства информирования и проверки АСП, ключа АСП, других компонентов программного обеспечения, а также в результате несанкционированного доступа к информации клиента, возникшего не по вине Банка.

Пунктом 11 статьи 9 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" предусмотрено, что в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.

Данное требование закона закреплено и в пункте 2.3.6 названного договора сторон, неисполнение которого, исключает ответственность Банка за ущерб, который может быть причинен клиенту.

В материалы дела не представлены доказательства утери клиентом ключа АСП, разглашении им информации, касающейся средств формирования и проверки АСП, других компонентов программного обеспечения.

В вышеуказанном пункте 2 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 разъяснено, что если иное не установлено законом или договором банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами.

Суды верно указали на то, что буквальное толкование пункта 3.6 договора не позволяет прийти к выводу о том, что Банк освобождается от ответственности за исполнение платежных поручений, сформированных лицами, которым не вручались ключи АСП и которые не уполномочивались на совершение соответствующих операций без согласия Банка (пункт 2.3.7 договора).

В силу пунктов 2.2.1, 2.2.7 договора Банк имеет право отказать клиенту в проведении ЭПД и отключить его от системы в случаях: попытки посторонних лиц использовать в своих целях электронные платежи от имени клиента; при возникновении ситуации, свидетельствующей о компрометации ключа АСП либо его утрате; в случае поступления информации об отсутствии по своему местонахождению юридического лица, его постоянно действующего органа управления (руководителя), иного лица, которые могут действовать от имени юридического лица без доверенности; в этом случае Банк переходит на прием от клиента расчетных документов только на бумажном носителе.

В свою очередь согласно пунктам 2.3.5, 2.3.7, 2.3.10 клиент обязан не допускать возможности несанкционированного доступа к ключам АСП посторонних лиц, получения пароля доступа к системе; не менять без согласия с Банком уполномоченных (ого) лиц (а) по названной системе, а при замене такого лица - немедленно сообщить об этом Банку.

При этом замена уполномоченного лица осуществляется по письменному заявлению клиента.

Положение Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" содержит следующие требования для исполнения кредитными учреждениями, осуществляющими в своей деятельности применение подобных электронных систем.

Так, при разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств, самостоятельно или с привлечением сторонних организаций, а также при разработке изменений указанного программного обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных с выполнением требований к защите информации при осуществлении переводов денежных средств и с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет" (пункт 2.5.7 Положения).

Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (пункт 2.7.1 Положения).

В случае обнаружения вредоносного кода или факта воздействия вредоносного кода оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры обеспечивают принятие мер, направленных на предотвращение распространения вредоносного кода и устранение последствий воздействия вредоносного кода.

Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры приостанавливают при необходимости осуществление переводов денежных средств на период устранения последствий заражения вредоносным кодом (пункт 2.7.5 Положения).

Оператор по переводу денежных средств, принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения в целях аутентификации клиента при осуществлении переводов денежных средств с использованием системы Интернет-банкинга, а также при подтверждении клиентом права доступа к системе Интернет-банкинга (пункт 2.8.2 Положения).

При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают: защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации; взаимную (двустороннюю) аутентификацию участников обмена электронными сообщениями; выявление фальсифицированных электронных сообщений, в том числе, имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации (пункт 2.10.4. Положения).

Как следует из рапорта старшего оперуполномоченного Отдела "К" МВД по Республике Татарстан от 25.07.2015, спорные платежные поручения были сформированы и даны с различных IP-адресов, обслуживаемых различными Интернет-провайдерами, зарегистрированными, в том числе, на территории Украины.

В рамках уголовного дела N 88935, выделенного 20.11.2015 по признакам преступления, предусмотренного частью 4 статьи 159.6 Уголовного кодекса Российской Федерации из уголовного дела N 88849, была проведена экспертиза по разрешению вопроса: имеются ли в конфигурации ПО ДБО "Клиент-банк" банка АО "ИК Банк", установленного на объекте исследования (ноутбук "Samsung"), значения параметров его работы, способные снизить уровень защищенности от несанкционированного доступа к системе ДБО "Клиент-банк".

Согласно выводам эксперта от 01.06.2017, в конфигурации ПО ДБО "Клиент-банк" банка АО "ИК Банк", установленной на объекте исследования, имеются следующие значения параметров его работы, снижающие уровень защищенности от несанкционированного доступа к системе ДБО "Клиент-Банк": открытый сетевой порт и учетная запись с паролем по умолчанию, отсутствие механизма защиты от несанкционированного доступа к настройкам приложения, наличие используемых для доступа к ПО ДБО "Клиент-Банк" аутентификационных данных в доступных пользователям конфигурационных файлах, отсутствие поддержки механизмов защиты от несанкционированного доступа к публичному и секретному ключам асимметричной криптографии.

Указание на снижение уровня защищенности системы ДБО "Клиент-Банк" продиктовано подтвержденной в исследовании практической возможностью воспользоваться представленными выше значениями параметров конфигурации ПО ДБО "Клиент-Банк" для выполнения действий, позволяющих осуществить неправомерный доступ к охраняемой законом компьютерной информации, уничтожение, блокирование, модификацию либо копирование компьютерной информации.

В конфигурации ПО ДБО "Клиент-Банк" банка АО "ИК Банк", установленной на объекте исследования, также имеются типовые функциональные недостатки (отсутствие определенных функций защиты информации), способные снизить уровень защищенности от несанкционированного доступа к системе ДБО "Клиент-Банк".

Оценив указанное заключение эксперта, суды признали установленным наличие слабой системы безопасности по программе "Клиент-Банк" и несоответствие ее Положениям Банка России от 09.06.2012 N 382-11 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", в связи с чем верно признали требования истца обоснованными.

Кассационная инстанция находит подтвержденным довод жалобы относительно разрешения требований о взыскании процентов за пользование чужими денежными средствами, с учетом увеличения требований истца, однако жалоба не содержит ссылки на нормы материального права, которым это решение противоречит, принимая во внимание, что исполнением банком вышеуказанных поручений, которые истцом не давались, последнему причинены убытки, в связи с невозможностью использования соответствующих ресурсов.

Ответственность Банка за нарушение подобного рода закреплена в статье 856 Гражданского кодекса Российской Федерации, предусматривающей возможность начисления процентов по правилам статьи 395 Гражданского кодекса Российской Федерации.

Доводы кассационной жалобы не содержат фактов, которые не были проверены и не учтены судебными инстанциями при рассмотрении дела и имели бы юридическое значение для вынесения судебного акта по существу, они являлись предметом исследования судебных инстанций и по существу направлены на переоценку имеющихся в материалах дела доказательств и изложенных выше обстоятельств, установленных судебными инстанциями, что не входит в круг полномочий арбитражного суда кассационной инстанции, перечисленных в статьях 286, 287 Арбитражного процессуального кодекса Российской Федерации.

По результатам рассмотрения кассационной жалобы судебная коллегия приходит к выводу, что обжалуемые судебные акты основаны на полном и всестороннем исследовании имеющихся в деле доказательств, приняты с соблюдением норм материального и процессуального права, в связи с чем на основании пункта 1 части 1 статьи 287 Арбитражного процессуального кодекса Российской Федерации подлежат оставлению без изменения.

На основании изложенного и руководствуясь пунктом 1 части 1 статьи 287, статьями 286, 289 Арбитражного процессуального кодекса Российской Федерации, Арбитражный суд Поволжского округа

ПОСТАНОВИЛ:

решение Арбитражного суда Республики Татарстан от 22.06.2017 и постановление Одиннадцатого арбитражного апелляционного суда от 19.10.2017 по делу N А65-4246/2016 оставить без изменений, а кассационную жалобу - без удовлетворения.

Постановление вступает в законную силу со дня его принятия.

Председательствующий судья

И.Н. Смоленский

Судьи

Н.Н. Королева Э.Р. Галиуллин