Постановление Пятнадцатого арбитражного апелляционного суда от 25.02.2014 N 15АП-19480/13

город Ростов-на-Дону

25 февраля 2014 г.

дело N А53-24974/2012

Резолютивная часть постановления объявлена 03 февраля 2014 года.

Полный текст постановления изготовлен 25 февраля 2014 года.

Пятнадцатый арбитражный апелляционный суд в составе:

председательствующего судьи Сулименко Н.В.

судей Д.В. Николаева, Н.В. Шимбаревой

при ведении протокола судебного заседания секретарем судебного заседания О.У. Арояном

при участии:

от общества с ограниченной ответственностью "Южные телефонные сети": представитель Брикунова Т.В. по доверенности от 24.07.2013,

от открытого акционерного общества АКБ "Стелла-Банк": представитель Дьяченко М.В. по доверенности от 09.08.2013,

рассмотрев в открытом судебном заседании апелляционные жалобы открытого акционерного общества АКБ "Стелла-Банк", общества с ограниченной ответственностью "Южные телефонные сети"

на решение Арбитражного суда Ростовской области от 10.10.2013 по делу N А53-24974/2012

по иску общества с ограниченной ответственностью "Южные телефонные сети" (ОГРН 1086168000929)

к ответчику - открытому акционерному обществу АКБ "Стелла-Банк" (ОГРН 1026100001938)

о восстановлении на расчетном счете необоснованно списанной денежной суммы, взыскании процентов за пользование чужими денежными средствами,

принятое в составе судьи Никоновой О.В.,

УСТАНОВИЛ:

общество с ограниченной ответственностью "Южные телефонные сети" обратилось в Арбитражный суд Ростовской области с иском к Акционерному коммерческому банку "Стелла-Банк" о восстановлении положения, существовавшего до нарушенного права, путем восстановления на расчетном счете истца N 40702810200000002068 необоснованно списанной денежной суммы в размере 7 560 000 рублей, взыскании процентов за пользование чужими денежными средствами в размере 43 680 рублей.

Исковые требования мотивированы тем, что банком неправомерно произведено списание с расчетного счета истца денежных средств в размере 7 560 000 рублей по платежному поручению N 94 от 21.10.2011, поскольку указанный платежный документ истцом не формировался, банком не приняты надлежащие меры для обеспечения безопасности денежных средств, находящихся на расчетном счете истца.

Решением Арбитражного суда Ростовской области от 10.10.2013 суд обязал Акционерный коммерческий банк "Стелла-Банк" восстановить на расчетном счете общества с ограниченной ответственностью "Южные телефонные сети" N 40702810200000002068 сумму денежных средств в размере 2 268 000 руб.

В удовлетворении остальной части иска судом отказано.

С Акционерного коммерческого банка "Стелла-Банк" в пользу общества с ограниченной ответственностью "Южные телефонные сети" взыскано 1 200 рублей судебных расходов по уплате государственной пошлины.

Решение мотивировано тем, что списание денежных средств со счета истца по платежному поручению N 94 от 21.10.2011 находится в причинной связи как с действиями общества, так и с действиями банка, в связи с чем вина сторон является обоюдной и с учетом ее степени размер подлежащей взысканию с банка суммы реального ущерба составляет 2 268 000 руб. из расчета 30% от заявленной суммы.

Открытое акционерное общество АКБ "Стелла-Банк", общество с ограниченной ответственностью "Южные телефонные сети" обжаловали решение суда первой инстанции в порядке, предусмотренном главой 34 Арбитражного процессуального кодекса Российской Федерации.

В апелляционной жалобе ОАО АКБ "Стелла-Банк" ссылается на то, что истцом не представлено доказательств того факта, что спорное платежное поручение было изготовлено неуполномоченными истцом лицами и тем способом, который описывает истец, обосновывая свои исковые требования. Собранные по делу доказательства не исключают возможность подготовки и отправки платежного поручения уполномоченным сотрудником самого истца, имеющим санкционированный истцом доступ к АБС CFTBank.

ОАО АКБ "Стелла-Банк" указало, что в нарушение условий Соглашения истец скопировал информацию ключевой дискеты и разместил ее в свободном доступе на жестком диске своего ПК, имеющего выход в Интернет. Указанным нарушением условий Соглашения и установленных им правил, обеспечивающих безопасность расчетов в системе АБС CFTBank, истец сделал возможным несанкционированное копирование и использование ключевой информации фактически неограниченным кругом лиц. Отсутствие на ПК истца средств антивирусной защиты стало причиной установки на компьютере вредоносного программного обеспечения.

В апелляционной жалобе ООО "Южные телефонные сети" оспаривает вывод суда о наличии вины общества в несанкционированном списании денежных средств с расчетного счета клиента в банке.

Апелляционная жалоба истца мотивирована тем, что банк не обеспечил надлежащую степень защищенности ПО системы банка, в том числе ключевой информации. Банк не предпринял должных мер для отслеживания несанкционированных операций по осуществлению электронных платежей.

ООО "Южные телефонные сети" ссылается на то, что в нарушение пункта 7.1 Соглашения, согласно которому ключ может быть объявлен скомпрометированным в случае обнаружения автоматической системой успешных и неуспешных попыток злоупотреблений, система средств защиты банка для создания и проверки АСП, гарантирующих надежность используемой системы шифрования и исключающих вмешательство третьих лиц в процесс расчетов, не сработала.

В судебном заседании представители лиц, участвующих в деле, правовые позиции по спору поддержали.

Изучив материалы дела, оценив доводы апелляционной жалобы, выслушав представителя заинтересованного лица, арбитражный суд апелляционной инстанции пришел к следующим выводам.

Как следует из материалов дела, между ОАО АКБ "Стелла-Банк" и ООО "Южные телефонные сети" был заключен договор банковского счета N 2429 от 13.03.2008, согласно которому банк обязался осуществлять расчетно-кассовое обслуживание и ведение счета общества N 40702810200000002068.

18.03.2008 между сторонами было заключено соглашение на обслуживание по системе "Клиент-Банк" (с применением аналога собственноручной подписи), в соответствии с которым банк обязался проводить операции по открытым клиенту в банке счетам на основании платежных документов, которые являются основанием для совершения банком безналичных операций по расчетному обслуживанию клиента, составленных на электронном носителе и подписанных аналогом собственноручной подписи (АСП) клиента.

В пункте 1.4 договора предусмотрено, что для создания и проверки АСП используются программно-технические и иные средства банка. При передаче документов по электронным каналам связи используется система шифрования, гарантирующая достоверность и конфиденциальность передаваемой информации и исключающая вмешательство третьих лиц в процесс расчета при условии соблюдения клиентом мер безопасности, перечисленных в разделе 6 соглашения.

Передача клиенту ключевой дискеты и пароля осуществляется на основании акта о АСП, составляющего неотъемлемую часть соглашения. Клиенту рекомендуется запомнить пароль, а акт с его текстом хранить в надежном месте отдельно от ключевой дискеты, исключающем доступ неуполномоченных лиц. В случае компрометации старых ключей должна происходить генерация новых ключей клиента (пункты 6.1 и 6.2 соглашения).

Согласно пункту 4.4 соглашения вне времени использования ключевая дискета должна храниться в сейфе, опечатываемом печатью ответственного лица.

Пунктом 7.1 соглашения предусмотрено, что ключ может быть объявлен скомпрометированным в случае: утраты носителя ключей с последующим обнаружением или без, вероятного несанкционированного доступа к носителям ключей, обнаружения автоматической системой успешных или неуспешных попыток злоупотреблений, смены руководства, имеющего право первой или второй подписи, увольнения сотрудника, имеющего доступ к ключам.

В силу пункта 3.5 соглашения банк обязался немедленно закрыть прием документов с АСП клиента и связаться с ним при возникновении подозрений на угрозу несанкционированного доступа к его счетам до выяснения обстоятельств происшедшего.

21.10.2011 посредством системы "Клиент-Банк" банком от истца было получено платежное поручение N 94 от 21.10.2011 на сумму 7 560 000 руб., в котором в качестве назначения платежа указано: "Оплата по исполнительному листу N 14615 от 26.09.2011 для удовлетворения требований о возмещении вреда, причиненного здоровью г-на Ялова А.В.".

Платежное поручение было принято и исполнено банком, однако, полагая, что операция по списанию денежных средств на основании указанного платежного документа была произведена неправомерно, руководитель истца обратился в правоохранительные органы с заявление о хищении принадлежащих ему денежных средств.

Постановлением старшего оперуполномоченного ОРЭ и КП, совершенных на территории Промышленного района, ОЭБ и ПК УМВД России по г. Самаре от 18.02.2012 в возбуждении уголовного дела было отказано в связи с невозможностью в установленный законом срок установить достаточные данные, указывающие на событие преступления. В ходе проведения проверки специалистом по программным продуктам ООО "Линия" Сидельниковым М.В. было произведено исследование программного обеспечения, находящегося на системном блоке ООО "Южные телефонные сети". Вследствие проверки жесткого диска было выявлено наличие 17 различных вредоносных программ, среди которых Kgb Key Logger - программа, предназначенная для записи всех нажатых во время работы клавиш, запущенных программ, выполненных действий и т.д., которая могла быть использована для получения сертификата.

Письмом от 06.06.2012 истец потребовал от ответчика восстановить на его расчетом счете денежные средства в размере необоснованно списанной денежной суммы, ссылаясь на то, что банком нарушены условия договора банковского счета об обеспечении сохранности принадлежащих обществу денежных средств.

В ответном письме от 09.06.2012 банк отклонил требования истца, сославшись на правомерное исполнение платежного поручения и нарушение клиентом условий соглашения от 18.03.2008 ввиду выявления на жестком диске вредоносного программного продукта.

Указанные обстоятельства послужили основанием для обращения истца с настоящим иском в арбитражный суд.

Суд первой инстанции пришел к выводу, что списание денежных средств со счета истца по платежному поручению N 94 от 21.10.2011 находится в причинной связи как с действиями общества, так и с действиями банка, в связи с чем вина сторон является обоюдной и с учетом ее степени размер подлежащей взысканию с банка суммы реального ущерба составляет 2 268 000 руб., из расчета 30 % от заявленной суммы.

Исследовав материалы дела, дав правовую оценку доводам лиц, участвующих в деле, суд апелляционной инстанции пришел к выводу, что истцом не доказана виновность и противоправность действий банка, а потому оснований для возложения ответственности на банк не имеется.

Согласно пункту 1 статьи 845 Гражданского кодекса Российской Федерации по договору банковского счета банк обязуется принимать и зачислять поступающие на счет, открытый клиенту (владельцу счета), денежные средства, выполнять распоряжения клиента о перечислении и выдаче соответствующих сумм со счета и проведении других операций по счету.

В соответствии с пунктом 1 статьи 854 Гражданского кодекса Российской Федерации списание денежных средств со счета осуществляется банком на основании распоряжения клиента.

Пунктом 1 статьи 863 и пунктом 1 статьи 865 Гражданского кодекса Российской Федерации предусмотрено, что при расчетах платежным поручением банк обязуется по поручению плательщика за счет средств, находящихся на его счете, перевести определенную денежную сумму на счет указанного плательщиком лица в этом или в ином банке в срок, предусмотренный законом или устанавливаемый в соответствии с ним, если более короткий срок не предусмотрен договором банковского счета либо не определяется применяемыми в банковской практике обычаями делового оборота. Банк, принявший платежное поручение плательщика, обязан перечислить соответствующую денежную сумму банку получателя средств для ее зачисления на счет лица, указанного в поручении, в срок, установленный пунктом 1 статьи 863 Гражданского кодекса Российской Федерации.

В силу пункта 3 статьи 847 Гражданского кодекса Российской Федерации договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи, кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом. Права лиц, осуществляющих от имени клиента распоряжения о перечислении и выдаче средств со счета, удостоверяются клиентом путем представления банку документов, предусмотренных законом, установленными в соответствии с ним банковскими правилами и договором банковского счета (пункт 1 статьи 847 Гражданского кодекса Российской Федерации).

В пункте 2 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 "О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета" разъяснено, что проверка полномочий лиц, которым предоставлено право распоряжаться счетом, производится банком в порядке, определенном банковскими правилами и договором с клиентом. Если иное не установлено законом или договором, банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами.

В соответствии со статьей 4 Федерального закона "Об электронной цифровой подписи" электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; подтверждена подлинность электронной цифровой подписи в электронном документе; электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

Согласно статье 12 названного Федерального закона "Об электронной цифровой подписи" владелец сертификата ключа подписи обязан: не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее; хранить в тайне закрытый ключ электронной цифровой подписи; немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена. При несоблюдении требований, изложенных в настоящей статье, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.

На основании статьи 9 Федерального закона "Об электронной цифровой подписи" удостоверяющий центр (в данном случае банк) изготавливает сертификаты ключей подписей; создает ключи электронных цифровых подписей по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа электронной цифровой подписи; выдает сертификаты ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии. Изготовление сертификатов ключей подписей осуществляется на основании заявления участника информационной системы, которое содержит сведения, указанные в статье 6 Закона и необходимые для идентификации владельца сертификата ключа подписи и передачи ему сообщений. Заявление подписывается собственноручно владельцем сертификата ключа подписи. Содержащиеся в заявлении сведения подтверждаются предъявлением соответствующих документов. При изготовлении сертификатов ключей подписей удостоверяющим центром оформляются в форме документов на бумажных носителях два экземпляра сертификата ключа подписи, которые заверяются собственноручными подписями владельца сертификата ключа подписи и уполномоченного лица удостоверяющего центра, а также печатью удостоверяющего центра. Один экземпляр сертификата ключа подписи выдается владельцу сертификата ключа подписи, второй - остается в удостоверяющем центре.

В обоснование заявленного требования истец указал, что факт перечисления денежных средств по платежному поручению N 94 от 21.10.2011 на сумму 7 560 000 руб. был обнаружен им 24.10.2011, однако соответствующий платежный документ истцом не формировался, АСП не подписывался и в банк не передавался.

Как следует из обстоятельств дела, определением суда от 13.12.2012 по ходатайству истца была назначена судебная информационно-компьютерно-техническая экспертиза, проведение которой поручено Специализированному частному учреждению "Ростовский центр судебных экспертиз", экспертам Вольфу Евгению Антоновичу, Коптевой Юлии Васильевне. На разрешение экспертов поставлены следующие вопросы:

1. Установить, имеются ли на исследуемом ПК истца программы, имеющие признаки вредоносных, позволяющие осуществить подбор паролей и работу с программным обеспечением системы электронных платежей АБС СFTВаnк (предназначенного для работы с ОАО АКБ "Стелла-Банк"), при удаленном доступе к данному ПК?

2. Установить, имеются ли на ПК истца следы обращения (работы) к (с) ПО системы электронных платежей АБС СFTВаnк в течение 21.10.2011, а так же выявить период работы ПК с указанным ПО и временную последовательность событий предшествовавших совершению платежа, произведенного платежным поручением N 94 от 21.10.2011, в том числе выявить количество и продолжительность сеансов работы ПК истца с указанным ПО, зафиксированных техническими ресурсами банка, обеспечивающих работу системы электронных платежей АБС СFTВаnк?

3. Установить, имеется ли на жестком диске ПК, в базе программного обеспечения для бухгалтерского учета "1С: Бухгалтерия, версия 7.7 (файловая версия)", а так же в базе ПО системы электронных платежей АБС СFTВаnк файл, содержащий спорное платежное поручение (N 94 от 21.10.2011 на сумму 7560000 руб.), а так же определить особенности и способ его подготовки с отражением, при наличии возможности, даты и времени создания, сетевых реквизитов создателя, использованного для его создания ПО?

4. Установить, зафиксировано ли техническими ресурсами ОАО АКБ "Стелла-Банк", обеспечивающими работу системы электронных платежей АБС СFTВаnк, следы ошибок при вводе пин-кодов электронной цифровой подписи клиента в течение дня 21.10.2011 и в частности в период времени с 12 часов 39 минут по 13 часов 02 минуты и с 14 часов 48 минут по 14 часов 55 минут.

5. Провести сравнительное исследование файла, содержащего спорное платежное поручение, и файлов других платежных поручений, направленных пользователем ПК банку с использованием ПО системы электронных платежей АБС СFTВаnк 21.10.2011 (имеющихся в базе программного обеспечения для бухгалтерского учета "1С: Бухгалтерия, версия 7.7 (файловая версия)"), и установить соответствуют ли они друг другу по графическому образу (регистрационным параметрам использовавшегося текстового редактора, полноте отражения сведений в графах формы платежного поручения, указанному в них наименованию плательщика)?

6. Установить, обеспечен ли ПК истца непрерывно функционирующими средствами антивирусной защиты и межсетевого экранирования (брандмауэр, firewall), и возможно ли указанными средствами оградить ПК от воздействия вредоносных программ, позволяющих осуществить подбор паролей и работу с программным обеспечением системы электронных платежей АБС СFTВаnк при удаленном доступе к данному ПК.

7. Установить, обеспечен ли ПК истца дисководом, предназначенным для использования дискет, а так же определить имеется ли техническая возможность воспользоваться ПО системы электронных платежей АБС СFTВаnк в отсутствие ключевой дискеты при введении согласованного с банком логина и пароля.

8. Определить, обеспечивает ли совокупность взаимосвязанных компьютерных систем, устройств и каналов связи, используемых при обслуживании клиента ОАО АКБ "Стелла-Банк", в том числе ПО системы электронных платежей АБС СFTВаnк, установленное на ПК, надлежащий уровень информационной безопасности в части:

защиты от несанкционированной клиентом авторизации платежных документов;

копирования электронной цифровой подписи;

противодействия вмешательству третьих лиц в процесс расчетов в системе электронных платежей АБС СFTВаnк;

противодействия использованию удаленного доступа для запуска системы электронных платежей АБС СFTВаnк при использовании ключевой дискеты и последующей работы с системой при совершении платежей;

противодействия использованию удаленного доступа для запуска системы электронных платежей АБС СFTВаnк без использования ключевой дискеты при введении согласованного с банком логина и пароля, и последующей работы с системой при совершении платежей?

Выводы экспертов содержатся в заключении судебной экспертизы N 0001/Э от 31.07.2013 (том 4 л.д. 72-77). В частности, эксперты пришли к выводам, что на исследуемом ПК обнаружено вредоносное ПО, которое может использоваться как для хищения данных пользователя, так и для модификации и копирования информации и, как следствие, организации удаленного доступа к ПК, подбора паролей и работы с системой электронных платежей АБС СFTВаnк. ПО системы электронных платежей АБС СFTВаnк зарегистрировало следы ошибок при вводе пин-кодов электронной цифровой подписи клиента в течение дня 21.10.2011. В период времени с 12 часов 39 минут по 13 часов 02 минуты зафиксировано 4 факта входа и с 14 часов 48 минут по 14 часов 55 минут зафиксировано 7 фактов ввода неверных пин-кодов. Регистрация событий о вводе неверного пин-кода и пароля осуществляется только на клиентском ПК, не передается банку и не регистрируется банком для последующего анализа и выявления неправомерных и подозрительных действий и операций. Копия платежного поручения N 94 от 21.10.2011 не соответствует копиям платежных поручений, представленных в качестве сравнительных образцов, по различию печатных текстов на бланках, отсутствию слова "электронно", цифровых обозначений КПП, полному, а не в виде аббревиатуры написанию наименования организации "Южные телефонные сети", обозначении ИНН в виде 000000000000. Средств антивирусной защиты на исследуемом ПК не обнаружено, следов использования не выявлено. Обнаружен встроенный брандмауэр Windows в отключенном состоянии. На исследуемом ПК в качестве ключей доступа к ПО системы электронных платежей АБС СFTВаnк использовались сведения (ключевая информация), содержащиеся в скопированных на жесткий диск ПК файлах.

Исследовав материалы дела, суд первой инстанции пришел к выводу, что ООО "Южные телефонные сети" нарушило меры безопасности, предусмотренные соглашением на обслуживание по системе "Клиент-Банк" от 18.03.2008 (вышеупомянутый пункт 4.4), допустив нахождение ключевой информации на жестком диске, а не на специальной дискете. А с учетом того, что на компьютере истца, с которого осуществлялась отправка спорного платежного поручения, обнаружено вредоносное программное обеспечение, способное устанавливать удаленный доступ, подбор паролей и работу с системой электронных платежей, общество не обеспечило надлежащую защиту собственных технических средств от несанкционированного доступа и, как следствие, сохранность пин-кодов электронной цифровой подписи.

Сославшись на пункт 3.5 соглашения от 18.03.2008, согласно которому банк немедленно должет закрыть прием документов с АСП клиента и связаться с ним при возникновении подозрений на угрозу несанкционированного доступа к его счетам до выяснения обстоятельств происшедшего, а также на нарушение банком Стандарта Банка России СТО БР ИББС-1.0-2010, суд пришел к выводу, что ответчик не предпринял должных мер для отслеживания несанкционированных операций по осуществлению электронных платежей.

Установив, что списание денежных средств со счета истца по платежному поручению N 94 от 21.10.2011 находится в причинной связи как с действиями общества, так и с действиями банка, в связи с чем вина сторон является обоюдной, суд с учетом степени вины обеих сторон взыскал с банка в пользу истца сумму реального ущерба в размере 2 268 000 руб.

Суд апелляционной инстанции считает выводы суда первой инстанции неверными, исходя из нижеследующего.

В соответствии с пунктами 1 и 2 статьи 393 Гражданского кодекса Российской Федерации должник обязан возместить кредитору убытки, причиненные неисполнением или ненадлежащим исполнением обязательства; убытки определяются в соответствии с правилами, предусмотренными статьей 15 настоящего Кодекса.

Согласно статье 15 Гражданского кодекса Российской Федерации лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

Применение такой меры гражданско-правовой ответственности, как возмещение убытков, возможно при доказанности совокупности нескольких условий: противоправности действий причинителя убытков, причинной связи между противоправными действиями и возникшими убытками, наличия и размера понесенных убытков. При этом для удовлетворения требований о взыскании убытков необходима доказанность всей совокупности указанных фактов. Недоказанность одного из необходимых оснований возмещения убытков исключает возможность удовлетворения исковых требований. Убытки подлежат взысканию судом при условии представления истцом доказательств, свидетельствующих о совершении ответчиком виновных действий (бездействия), в результате которых нарушены положения закона или договора, явившихся необходимой и достаточной причиной несения заказчиком убытков, а также доказательств наличия причинно-следственной связи между фактом причинения убытков и неисполнением или ненадлежащим исполнением обязательств.

В оспариваемом решении суд первой инстанции пришел к выводу о том, что банком были нарушены обязательства, возложенные на него по договору с истцом. По мнению суда, это нарушение заключалось в том, что банк принял к исполнению платежное поручение, выданное неуполномоченным лицом.

Однако, в материалах дела отсутствуют доказательства, с достаточной определенностью свидетельствующие о том, что платежное поручение N 94 от 21.11.2011 14 часов 41 мин было создано неуполномоченными клиентом лицами при помощи программного обеспечения системы электронных платежей АБС CFTBank с использованием удаленного доступа к компьютеру истца, обеспеченного работой вредоносного программного продукта.

Как следует из материалов дела, для установления фактических обстоятельств, имеющих значение для правильного разрешения спора, судом была назначена судебная информационно-компьютерно-техническая экспертиза, по результатам которой экспертами ОТЭИ СЧУ "Ростовский центр судебных экспертиз" было составлено Заключение N 0001/Э от 31.07.2013.

Подтвердить или опровергнуть тот факт, что спорное платежное поручение было создано именно неуполномоченными лицами (а не уполномоченными сотрудниками самого истца) с использованием удаленного доступа к компьютеру истца, обеспеченного работой вредоносного программного продукта, должен был ответ на третий вопрос, поставленный перед экспертом: имеется ли на жестком диске ПК, в базе программного обеспечения для бухгалтерского учета 1С: Бухгалтерия, версия 7.7 (файловая версия), а также в базе ПО системы электронных платежей АБС CFTBank, файл, содержащий спорное платежное поручение, а также определить особенности и способ его подготовки с отражением, при наличии возможности, даты и времени создания, сетевых реквизитов создателя, использованного для его создания ПО?.

В ходе исследования по указанному вопросу эксперт пришел к следующим выводам: идентифицировать представленный истцом для экспертного исследования сервер с хранящейся на нем информационной базой ЮТС в ПО 1С Предприятие, как единственный, который использовался в работе ООО "ЮТС" на 21.10.2011, не представляется возможным (страница 41 Заключения экспертизы);

Указанные выводы эксперта свидетельствуют о том, что подтвердить или опровергнуть утверждение истца о том, что спорное платежное поручение было создано неуполномоченными им лицами с использованием удаленного доступа к компьютеру истца, обеспеченного работой вредоносного программного продукта, не представляется возможным.

В судебном заседании от 25.09.2013, отвечая на вопрос о возможных способах подготовки платежного поручения, эксперт подтвердил этот вывод о невозможности определения способа изготовления спорного платежного поручения.

Отвечая на второй вопрос, эксперты установили факт запуска служб удаленной работы на ПК Истца, факты работы вредоносного ПО, а также факт использования АБС CFTBank, пользователем созданным в операционной системе 21.10.2011.

Вместе с тем, в выводе по этому вопросу эксперты отмечают, что однозначно дату определить нельзя, так как она могла быть изменена (страница 40 Заключения экспертизы, том 4, лист дела 42).

Экспертами не был установлен и подтвержден тот факт, что активность вредоносного ПО: во-первых, имела место именно 21.10.2011; во-вторых, имела своей целью и результатом создание и отправку именно спорного платежного поручения, а не достижение какого-то другого результата.

В исследовательской части Заключения экспертизы по этому вопросу эксперты пришли лишь к вероятностному предположению о том, что некоторые профили пользователей исследуемого ПК могли использоваться для несанционированной пользователем работы третьих лиц с ПК и АБС СБТВапк" (страница 18 Заключения экспертизы, том 4, лист дела 21).

Вместе с тем, в исследовательской части Заключения экспертизы по второму вопросу эксперты пришли к однозначному выводу о том, что спорное платежное поручение было подписано корректной (подлинной) подписью, выданной ОАО "Стелла-Банк" в адрес ООО "ЮТС" (страницы 32 - 33 Заключения экспертизы, том 4, листы дела 34 - 35).

Согласно же пункту 9.1 Соглашения на обслуживание в системе "Клиент-Банк" (с применением аналога собственной подписи) от 18.03.2008 проводка платежного документа, заверенного АСП, считается правомерной, если клиент не докажет, что проводка стала возможной из-за использования банком не подлинной АСП Клиента.

Таким образом, истцом не представлено доказательств, с однозначностью свидетельствующих о том, что спорное платежное поручение было изготовлено неуполномоченными истцом лицами и тем способом, который описывает истец, обосновывая свои исковые требования.

В соответствии с пунктом 2 Постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, лишь в том случае, если иное не установлено законом или договором.

Применительно к спорным правоотношениям условия привлечения банка к ответственности были установлены Соглашением, заключенным между истцом и ответчиком. И этим Соглашением предусмотренные иные условия привлечения банка к ответственности.

В соответствии с пунктом 4.2 Соглашения на обслуживание в системе "Клиент-Банк" (с применением аналога собственной подписи) от 18.03.2008 (далее - Соглашение) клиент принимает на себя все обязательства по документам, заверенным его АСП до момента официального объявления ее недействующей. В соответствии с пунктом 9.1 Соглашения проводка платежного документа, заверенного АСП, считается правомерной, если клиент не докажет, что проводка стала возможной из-за использования банком не подлинной АСП клиента.

Таким образом, условиями заключенного сторонами Соглашения прямо предусмотрено, что неправомерной и, как следствие, влекущей гражданско-правовую ответственность банка будет считаться только проводка платежных поручений клиента, подписанных не подлинной АСП клиента.

Как следует из обстоятельств дела, спорное платежное поручение было подписано подлинной АСП клиента. Таким образом, в соответствии с условиями заключенного между истцом и ответчиком Соглашения, действия ответчика по исполнению спорного платежного поручения являются правомерными и не могут повлечь для него привлечение к ответственности за ненадлежащее исполнение обязательства (статья 401 Гражданского кодекса Российской Федерации).

В соответствии с пунктом 8.5 Соглашения банк не несет ответственности за ущерб, возникший вследствие разглашения клиентом собственного пароля и/или ключей, используемых для шифрования данных, а также за использование программ, не связанных с обеспечением работы АРМа, то есть, в том числе, и за использование вредоносных и иных программ, установленных на компьютере клиента.

В соответствии с пунктом 4.4 Соглашения истец принял на себя обязательства по соблюдению следующих требований к размещению шифровальных средств и хранению ключей:

- ключевая дискета должна выдаваться под роспись конкретному сотруднику, отвечающему за ее сохранность и соблюдение мер, предотвращающих несанкционированный доступ к ней;

- сотрудник, работающий с ключевой дискетой, должен сам определять пароль доступа к ключам и сохранять его в тайне;

- сотрудник не должен передавать ключевую дискету кому-либо;

- вне времени использования ключевая дискета должна храниться в сейфе, опечатываемом печатью ответственного лица;

- разрешается делать не более одной резервной копии ключевой дискеты на случай повреждения оригинала, при этом копию необходимо хранить отдельно и для нее должны соблюдаться все те же правила хранения, что и для оригинала.

В соответствии с Приложением N 2 "Акт о признании АСП" к Соглашению, ключевая дискета содержит файлы с собственными ключами клиента (секретным и публичным) и публичным ключом банка, а также служебные файлы, используемые АРМом "Удаленный клиент". Информация на ключевой дискете и пароль являются конфиденциальной информацией.

Между тем, как было установлено при проведении судебной экспертизы по настоящему делу, на исследуемом ПК в качестве ключей доступа к ПО системы электронных платежей АБС CFTBank использовались сведения (ключевая информация), содержащиеся в скопированных на жесткий диск ПК файлах (вывод эксперта по седьмому вопросу, страница 60 Заключения экспертизы, том 4, лист дела 62).

То есть, из обстоятельств дела следует, что истец скопировал информацию ключевой дискеты и в нарушение указанных условий Соглашения разместил ее в свободном доступе на жестком диске своего ПК, имеющем выход в Интернет.

Указанным грубейшим нарушением условий Соглашения и установленных им правил, обеспечивающих безопасность расчетов в системе АБС CFTBank, истец сделал возможным несанкционированное копирование и использование ключевой информации фактически неограниченным кругом лиц.

Кроме того, при проведении судебной экспертизы было установлено, что ПК истца не имеет никаких средств антивирусной защиты. Не были выявлены экспертами и следы использования на этом ПК таких средств, (вывод эксперта по шестому вопросу, страница 57 Заключения экспертизы, том 4, лист дела 59).

Более того, экспертами на исследуемом компьютере истца был обнаружен встроенный брандмауэр Windows, в отключенном состоянии. То есть Истец не обеспечил надлежащей работы даже стандартных средств защиты, имеющихся в составе установленной на его компьютере операционной системы Windows.

Именно эти действия (бездействие) истца стали причиной установки на его компьютере вредоносного программного обеспечения.

Установленные по делу обстоятельства свидетельствуют о том, что истец нарушил меры безопасности, предусмотренные соглашением на обслуживание по системе "Клиент-Банк" от 18.03.2008 (пункт 4.4.), допустив нахождение ключевой информации на жестком диске, а не на специальной дискете. С учетом того, что на компьютере истца, с которого осуществлялась отправка спорного платежного поручения, обнаружено вредоносное программное обеспечение, способное устанавливать удаленный доступ, подбор паролей и работу с системой электронных платежей, общество не обеспечило защиту собственных технических средств от несанкционированного доступа и, как следствие, сохранность пин-кодов электронной цифровой подписи.

В соответствии с пунктом 1 статьи 12 Федерального закона "Об электронной цифровой подписи" от 10.01.2002 N 1-ФЗ (далее - Закон) владелец сертификата ключа подписи обязан хранить в тайне закрытый ключ электронной цифровой подписи.

В силу пункта 2 этой статьи все неблагоприятные последствия, вызванные нарушением этой обязанности владельцем сертификата, наступают лишь в имущественной сфере клиента.

Таким образом, действующее законодательство исключает возможность привлечения банка к гражданско-правовой ответственности за исполнение платежного поручения, выданного неуполномоченным клиентом лицом, в случае, если будет установлено, что его выдача и последующее исполнение стали возможны вследствие несоблюдения клиентом указанных в статье 12 Закона требований по хранению закрытого ключа ЭЦП в тайне.

Как установлено судом и подтверждается материалами дела, именно такое нарушение тайны хранения ключа ЭЦП было допущено истцом.

Таким образом, исходя из установленных по делу обстоятельств, суд апелляционной инстанции пришел к выводу, что в соответствии с пунктом 8.5 Соглашения и статьей 12 Федерального закона "Об электронной цифровой подписи" исключается ответственность банка за ущерб, причиненный истцу, поскольку последним не обеспечено надлежащее хранение ключа подписи, исключающее несанкционированный доступ к нему неопределенного круга лиц.

При таких обстоятельствах является ошибочным вывод суда первой инстанции о совместном причинении истцом и ответчиком вреда и о частичном возложении ответственности на банк.

При принятии решения по делу суд первой инстанции исходил из того, что банк нарушил обязательства по договору банковского счета, заключающееся в том, что в нарушение Стандарта Банка России СТО БР ИББС-1.0-2010 ответчик не предпринял должных мер для отслеживания несанкционированных операций по осуществлению электронных платежей. При этом суд сослался на пункт 7.6.5 этого Стандарта, в соответствии с которым при осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироваться регламентированным образом.

Однако вывод суда не свидетельствует о неправомерности действий банка по исполнению спорного платежного поручения, ввиду следующего.

Действительно, Распоряжением Банка России от 21.06.2010 N Р-705 был принят и введен Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения" СТО БР ИББС-1.0-2010. Однако, в соответствии с пунктом 1 "Область применения" этого стандарта он не является обязательным для применения и носит рекомендательный характер. Обязательность его применения во взаимоотношениях между клиентом банка и банком может быть предусмотрена только специально заключенным соответствующим договором между ними. Из материалов дела не следует, что между истцом и ответчиком такое соглашение заключалось.

Таким образом, в соответствии с договором, заключенным между истцом и ответчиком, банк не принимал на себя обязательств по обеспечению дополнительных, прямо не предусмотренных договором, мер безопасности, описанных в указанном стандарте. Поэтому их несоблюдение не может рассматриваться как ненадлежащее исполнение своих обязательств банком и свидетельствовать о противоправности его действий.

Более того, банк в принципе не мог принять на себя такие обязательства, поскольку используемое им ПО системы электронных платежей АБС CFTBank полностью соответствует предъявляемым к таким ПО обязательным требованиям, однако не предусматривает возможность регистрации событий о вводе неверных PIN-кодов и паролей на клиентской части системы ПО. Клиент был осведомлен о функциональных возможностях этой системы и, заключив договор с банком, тем самым выразил согласие на ее применение.

Положения Стандарта, на которые сослался суд первой инстанции, предусматривает защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником, исключительно в рамках сеанса работы.

Применительно к рассматриваемому спору факт несанкционированного создания спорного платежного поручения неуполномоченными истцом лицами не был доказан. Кроме того, даже если спорное платежное поручение было изготовлено именно тем способом, который описывает истец, то это произошло не в рамках, а до начала сеанса работы с банком. Подменой авторизованного клиента злоумышленником в рамках сеанса работы является перехват неуполномоченным лицом сессии связи клиента с банком. Вместе с тем, в рассматриваемом случае факт такого перехвата отсутствовал. Спорное платежное поручение было создано на компьютере клиента, подписано его АСП и отправленно с использованием системы электронных платежей АБС CFTBank, установленной на ПК истца. В рамках сеанса работы с Банком никакой подмены не произошло. Банк не имеет (и не может иметь) технической возможности осуществлять контроль работы на компьютере клиента в момент изготовления и удостоверения подписью электронного платежного поручения. Эти действия осуществляются клиентом локально и до начала сеанса работы (связи) с банком.

Таким образом, материалами дела не доказаны противоправность и виновность действий банка при исполнении платежного поручения клиента.

Обосновывая принятый по делу судебный акт, суд первой инстанции сослался на судебный прецедент по делу N А53-17187/2012.

Однако судебные акты по указанному делу приняты в отношении иного круга лиц и при установлении иных фактических обстоятельств, ввиду чего правовая позиция по данному спору не подлежит применению к правоотношениям, рассматриваемым в рамках настоящего дела.

Во-первых, судами по делу N А53-17187/12 был установлен факт компрометации клиентом ключей ЭЦП. При этом банк был надлежащим образом извещен о компрометации ключа, о смене руководителя организации и, следовательно, не имел права принимать к исполнению платежный документ, подписанный некорректной ЭЦП. Во-вторых, принятое банком к исполнению платежное поручение не содержало такого обязательного реквизита, как ЭЦП главного бухгалтера организации.

Применительно к рассматриваемому делу такие обстоятельства судом не установлены и материалами дела не подтверждаются.

Согласно статье 71 Арбитражного процессуального кодекса Российской Федерации арбитражный суд оценивает доказательства по своему внутреннему убеждению, основанному на всестороннем, полном, объективном и непосредственном исследовании имеющихся в деле доказательств, оценивая относимость, допустимость, достоверность каждого доказательства в отдельности, а также достаточность и взаимную связь доказательств в их совокупности.

Исследовав материалы дела, дав правовую оценку имеющимся в деле доказательствам, суд апелляционной инстанции пришел к выводу, что истец не доказал наличие предусмотренных законом или договором оснований для возложения ответственности на банк. По этой причине апелляционная жалоба банка подлежит удовлетворению, на основании пунктов 3 и 4 статьи 270 Арбитражного процессуального кодекса Российской Федерации решение суда подлежит отмене в части обязания открытого акционерного общества АКБ "Стелла-Банк" восстановить на расчетном счете общества с ограниченной ответственностью "Южные телефонные сети" денежные средства в размере 2 268 000 руб. и в части взыскания с открытого акционерного общества АКБ "Стелла-Банк" в пользу общества с ограниченной ответственностью "Южные телефонные сети" расходов по уплате государственной пошлины в размере 1 200 руб. В отмененной части надлежит принять новый судебный акт об отказе истцу в удовлетворении требования.

Доводы, приведенные в апелляционной жалобе ООО "Южные телефонные сети", свидетельствуют о несогласии заявителя с установленными по делу фактическими обстоятельствами и оценкой судом первой инстанции доказательств. Иное толкование подателем жалобы положений гражданского законодательства, а также иная оценка обстоятельств спора не свидетельствуют о неправильном применении судом норм права.

Оснований для отмены или изменения обжалованного судебного акта по доводам, приведенным истцом в апелляционной жалобе, у судебной коллегии не имеется.

На основании вышеизложенного, апелляционная жалоба общества с ограниченной ответственностью "Южные телефонные сети" удовлетворению не подлежит.

В соответствии со статьей 110 Арбитражного процессуального кодекса Российской Федерации расходы банка по уплате государственной пошлины по апелляционной жалобе в размере 2 000 руб. подлежат взысканию с истца.

Руководствуясь статьями 258, 269 - 271 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

ПОСТАНОВИЛ:

Апелляционную жалобу общества с ограниченной ответственностью "Южные телефонные сети" оставить без удовлетворения.

Апелляционную жалобу открытого акционерного общества АКБ "Стелла-Банк" удовлетворить.

Решение Арбитражного суда Ростовской области от 10.10.2013 по делу N А53-24974/2012 отменить в части обязания открытого акционерного общества АКБ "Стелла-Банк" восстановить на расчетном счете общества с ограниченной ответственностью "Южные телефонные сети" денежные средства в размере 2 268 000 руб. и в части взыскания с открытого акционерного общества АКБ "Стелла-Банк" в пользу общества с ограниченной ответственностью "Южные телефонные сети" расходов по уплате государственной пошлины в размере 1 200 руб.

В указанной части в удовлетворении иска отказать.

В остальной части решение Арбитражного суда Ростовской области от 10.10.2013 по делу N А53-24974/2012 оставить без изменения.

Взыскать с общества с ограниченной ответственностью "Южные телефонные сети" в пользу открытого акционерного общества АКБ "Стелла-Банк" расходы по уплате государственной пошлины по апелляционной жалобе в размере 2 000 руб.

В соответствии с частью 5 статьи 271, частью 1 статьи 266 и частью 2 статьи 176 Арбитражного процессуального кодекса Российской Федерации постановление арбитражного суда апелляционной инстанции вступает в законную силу со дня его принятия.

Постановление может быть обжаловано в порядке, определенном главой 35 Арбитражного процессуального кодекса Российской Федерации, в Федеральный арбитражный суд Северо-Кавказского округа.

Председательствующий

Н.В. Сулименко

Судьи

Д.В. Николаев Н.В. Шимбарева