Постановление Пятого арбитражного апелляционного суда от 15 мая 2015 г. N 05АП-3494/15
г. Владивосток |
|
15 мая 2015 г. |
Дело N А51-35104/2014 |
Резолютивная часть постановления оглашена 13 мая 2015 года.
Постановление в полном объеме изготовлено 15 мая 2015 года.
Пятый арбитражный апелляционный суд в составе:
председательствующего Т.А. Аппаковой,
судей К.П. Засорина, И.С. Чижикова,
при ведении протокола секретарем судебного заседания Л.В. Янчиной,
рассмотрев в судебном заседании апелляционную жалобу Закрытого акционерного общества "Михайловский Бройлер",
апелляционное производство N 05АП-3494/2015
на решение от 04.03.2015
судьи А.А. Хижинского
по делу N А51-35104/2014 Арбитражного суда Приморского края
по иску закрытого акционерного общества "Михайловский бройлер" (ИНН 2502015477, ОГРН 1022500530909, дата регистрации 29.10.2002)
к открытому акционерному обществу АКБ "РОСБАНК" (ИНН 7730060164, ОГРН 1027739460737, дата регистрации 25.10.2002)
о взыскании 12 383 941 рублей,
при участии:
от ответчика: представитель Моисеец Т.И. (доверенность от 11.03.2015, паспорт);
от истца: представитель Губкина А.И. (доверенность от 01.04.2015, паспорт), представитель Ямный Г.М. (доверенность от 01.12.2014, паспорт);
УСТАНОВИЛ:
Закрытое акционерное общество "Михайловский бройлер" (далее - Общество) обратилось с заявлением к открытому акционерному обществу АКБ "РОСБАНК" (далее - Банк) о взыскании убытков в размере 12 383 941 рубля.
Решением Арбитражного суда Приморского края от 04.03.2015 в удовлетворении иска отказано.
Не согласившись с вынесенным судебным актом, истец обратился в суд с апелляционной жалобой, в которой указал, что ответчик при исполнении договора банковского счёта и договора об использовании электронных документов нарушил обязательные требования по обеспечению защиты информации при осуществлении переводов денежных средств, установленные Банком России. Контроль платежей осуществляется Банком автоматически с помощью специальной программы, при этом осуществляется только контроль соответствия платежей требованиям Положения Банка России N 383-П от 19.06.2012 "О правилах осуществления перевода денежных средств" (далее - Положение N 383-П). То обстоятельство, что программа не осуществляет контроль платежей на предмет их соответствия требованиям Положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" от 09.06.2012 N 382-П (далее - Положение N 382-П), Банком не оспаривается. Необходимость соблюдения данного Положения установлена частью 2 статьи 846 Гражданского кодекса Российской Федерации (далее - ГК РФ), частью 3 статьи 27 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платёжной системе". При этом в пункте 2.10.4 предусмотрена обязанность Банка обеспечивать выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации. Данная обязанность, по мнению апеллянта, не была исполнена Банком, что способствовало причинению Обществу убытков. Вместе с тем при выполнении требований Положения N 382-П обнаружение факта фальсификации электронных сообщений было бы возможным, поскольку все 11 платёжных поручений поступили в Систему в период с 22-54 по 23-51 по местному времени, то есть за пределами рабочего времени Клиента; составлены в адрес лиц, которым Общество никогда ранее денежные средства не переводило; имеют назначение, не связанное с деятельностью истца; 10 из 11 платёжных поручений составлены по незначительно отличающимся суммам; в 10 из 11 платёжных поручений в качестве банка получателя указано ОАО "АЛЬФА-БАНК". Апеллянт также указывает, что согласно пункту 2.7.2 Положения N 382-П оператор по переводу денежных средств обеспечивает формирование для клиентов рекомендаций по защите информации от воздействия вредоносного кода, вместе с тем такие рекомендации истцу не передавались. При этом в нарушение пункта 2.7.5 Положения N 382-П Банк после получения сообщений Общества о неисправности Системы и возможной компрометации ключей не проинформировал Банк получателя, осуществление платежей не было приостановлено. Кроме того, Банк не предпринял действий, установленных в Методических рекомендациях о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания, использующих электронные устройства клиента (утв. АРБ). Пояснил, что уведомление Банку о неисправности Системы и возможной компрометации ключей было направлено в 15-39 (по телефону) и в 15-45 (по электронной почте) по местному времени, то есть до начала операционного дня Банка получателя, при принятии необходимых мер причинения убытков, по мнению апеллянта, можно было избежать. Истец также не согласен с выводом суда первой инстанции о том, что Общество не направляло в адрес Банка заявление о компрометации ключей, пояснил, что указание на ошибку при попытке входа в Интернет-Банк сделано по просьбе сотрудника Банка при телефонном разговоре. Из ответа Банка N 706 от 26.11.2014 также следует, что Банком было получено соответствующее уведомление. При этом о совершённых операциях истец узнал 13.11.2014, 14.11.2014 направил в Банк письмо с подробным изложением произошедшего и указанием на то, что ключи были использованы без согласия клиента. В силу изложенных обстоятельств истец просит решение суда первой инстанции отменить, исковое требование - удовлетворить.
В заседании суда апелляционной инстанции представитель истца поддержал доводы жалобы по изложенным в ней доводам, настаивал на отмене решения суда первой инстанции.
Представитель ответчика на доводы жалобы возразил, указал на отсутствие оснований для отмены решения суда первой инстанции. Представил письменный отзыв на жалобу, который приобщён судом к материалам дела в порядке статьи 262 Арбитражного процессуального кодекса Российской Федерации (далее - АПК РФ).
Исследовав и оценив материалы дела, доводы апелляционной жалобы и отзыва на неё, выслушав представителя ответчика, суд апелляционной инстанции не установил наличия оснований для отмены решения суда первой инстанции.
Из материалов дела следует, что между истцом (клиент) и ответчиком (банк) 11.08.2014 заключен договор банковского счета N 753060/104RUR/. В соответствии с данным договором банк открыл на имя клиента расчетный счет 40702810645570000104 и осуществляет расчетно-кассовое обслуживание клиента по его поручению.
Также между Банком и клиентом был заключен договор об использовании электронных документов N 4557753060 от 11.08.2014, на основании которого платежные поручения и иные документы передаются клиентом в банк по телекоммуникационным каналам с использованием корпоративной информационной системы Интернет Клиент-Банк (далее - система). Данная система установлена на рабочем компьютере финансового директора истца Ганик Е.К.
12.11.2014 Ганик Е.К. попыталась осуществить вход в систему со своего рабочего компьютера, однако, ей это не удалось в связи с техническими работами, проводящимися на сайте в период времени с 00-00 до 10-00 часов по Московскому времени.
Ганик Е.К. в 15-39 звонком в банк сообщила о неисправности системы, на что ей был получен ответ специалиста о том, что никаких технических работ банком в системе не производится.
В связи с возникшими подозрениями в возможной компрометации ключей Ганик Е.К. в 15-45 продублировала по электронной почте сообщение о неисправности системы.
Вход в систему Ганик Е.К. удалось осуществить утром 13.11.2014, после чего ею был обнаружен факт осуществления с расчетного счета клиента платежей на общую сумму 12 383 941 рубль на расчетные счета сторонних организаций.
Поскольку оснований для перевода данных денежных средств не имелось, истец сделал вывод о факте хищения денежных средств в указанной сумме с расчетного счета истца.
По мнению истца, хищением денежных средств в указанном размере ему причинены убытки, которые возникли вследствие ненадлежащего исполнения банком своих обязанностей по договору банковского счета и договору об использовании электронных документов N 4557753060 от 11.08.2014.
Истец обратился к банку с письмом от 14.11.2014 с просьбой возместить обществу сумму операций, совершенных без согласия общества, в размере 12 383 941 рубль.
Письмом N 706 от 26.11.2014 банком истцу отказано, в связи с чем последний обратился в суд с настоящими требованиями.
Согласно статье 15 ГК РФ лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).
Таким образом, лицо, обращающееся с иском о взыскании убытков, должно в совокупности доказать следующие обстоятельства: факт нарушения обязательства ответчиком, наличие причинной связи между допущенным нарушением и возникшими убытками, размер требуемых убытков.
В соответствии с частью 1 статьи 845 ГК РФ по договору банковского счета банк обязуется принимать и зачислять поступающие на счет, открытый клиенту (владельцу счета) денежные средства, выполнять распоряжения клиента о перечислении и выдаче соответствующих сумм со счета и проведении других операций по счету.
Согласно статье 848 ГК РФ банк обязан совершать для клиента операции, предусмотренные для счетов данного вида законом, установленными в соответствии с ним банковскими правилами и применяемыми в банковской практике обычаями делового оборота, если договором банковского счета не предусмотрено иное.
Положениями статьи 854 ГК РФ предусмотрено, что списание денежных средств со счета осуществляется банком на основании распоряжения клиента. Без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом.
В соответствии с частью 4 статьи 8 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (далее - Закон N 161-ФЗ) при приеме к исполнению распоряжения клиента оператор по переводу денежных средств обязан удостовериться в праве клиента распоряжаться денежными средствами, проверить реквизиты перевода, достаточность денежных средств для исполнения распоряжения клиента, а также выполнить иные процедуры приема к исполнению распоряжений клиентов, предусмотренные законодательством Российской Федерации.
Согласно пункту 2.1 Положения N 383-П процедуры приема к исполнению распоряжений включают удостоверение права распоряжения денежными средствами (удостоверение права использования электронного средства платежа); контроль целостности распоряжений; структурный контроль распоряжений; контроль значений реквизитов распоряжений; контроль достаточности денежных средств.
Все платежи прошли контроль Банка (автоматически), поскольку соответствовали требованиям Положения N 383-П, и денежных средств на счете клиента было достаточно для их исполнения.
При этом согласно пункту 2.8.3. Положения N 382-П оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, определяет параметры операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе устанавливает:
максимальную сумму перевода денежных средств с использованием системы Интернет-банкинга за одну операцию и (или) за определенный период времени (например, один день, один месяц);
перечень возможных получателей денежных средств, в адрес которых могут быть совершены переводы денежных средств с использованием системы Интернет-банкинга;
перечень устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга с целью осуществления переводов денежных средств, на основе идентификаторов указанных устройств;
перечень услуг, предоставляемых с использованием системы Интернет-банкинга;
временной период, в который могут быть совершены переводы денежных средств с использованием системы Интернет-банкинга.
Из материалов дела не следует, что между сторонами были согласованы соответствующие параметры операций.
В таком случае вопросы проверки получателей денежных средств на предмет их соответствия постоянному кругу контрагентов Общества и соотнесения назначения платежей с основным видом финансово-хозяйственной деятельности Общества; время совершения операций; о сумме платежей находятся вне компетенции Банка.
Таким образом, установленных в статье 8 Закона N 161-ФЗ и в главе 2 Положения N 383-П препятствий к принятию к исполнению распоряжений клиента не имелось.
В соответствии с частью 1 статьи 27 Закона N 161-ФЗ операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации.
Согласно подпункту "а" пункта 3 Постановления Правительства РФ от 13.06.2012 N 584 "Об утверждении Положения о защите информации в платежной системе" защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации.
В силу пункта 2.10.4 Положения N 382-П при эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают, в том числе выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.
Вместе с тем, согласно выписке о соединениях клиента с сервером Банка через ИКБ (лог соединения клиента 4557753060 с сервером ИКБ с 11.11.2014 по 13.11.2014) все операции проведены с IP-адреса (77.34.50.132) компьютера, принадлежащего истцу, на котором работает Система ИКБ.
Согласно пункту 2.8.4 Положения N 382-П оператор по переводу денежных средств при передаче клиенту, являющемуся юридическим лицом, программного обеспечения, предназначенного для осуществления переводов денежных средств с использованием системы Интернет-банкинга, доводит до клиента программное средство контроля целостности указанного программного обеспечения и инструкцию по эксплуатации (эксплуатационную документацию) такого программного средства либо указывает общедоступный ресурс, с использованием которого клиент имеет возможность получить указанную инструкцию (эксплуатационную документацию).
В пункте 3.3 Инструкции о порядке взаимодействия сторон по осуществлению обмена электронными документами, являющейся Приложением N 4 к договору от 11.08.2014, изложены рекомендации по обеспечению безопасности процедуры обмена документами.
Кроме того, согласно пункту 3.4 Инструкции клиент обязан исключить появление в компьютере подсистемы "Клиент" вирусов и других программ деструктивного действия, которые могут, в том числе скомпрометировать ключи пользователя системы, а также исключить возможность компрометации ключей в процессе их транспортировки, эксплуатации и хранения.
В пункте 3.1.6 договора от 11.08.2014 установлена обязанность клиента не передавать третьим лицам программное обеспечение, USB-токены, ключи электронной подписи и ключи проверки электронной подписи, сертификаты ключей, а также прочие сведения, относящиеся к договору.
Согласно положениям раздела 1 договора от 11.08.2014 USB-токен - устройство e-Token, подключаемое к компьютеру пользователя системы через USB-разъём и предназначенное для повышения уровня безопасности операций в системе. USB-токен является средством электронной подписи, обеспечивающим функции генерации и хранения Ключа электронной подписи пользователя, а также подписание документов ЭП. Доступ к USB-токену осуществляется с использованием пароля, известного только пользователю системы.
При подписании договора об использовании электронных документов руководителю истца был выдан USB-токен, что подтверждается распиской в его получении (приложение N 6 к указанному договору).
В соответствии с пунктом 3.1.2 клиент обязан назначить из штата своих сотрудников Пользователей системы, информацию о которых обязан включить в таблицу 1.1., содержащуюся в Приложении N 1 к указанному договору. Согласно Приложению N 1 к Договору на ИКБ от 11.08.2014 в список Пользователей Системы для клиента включен только генеральный директор общества Патрушев Григорий Владимирович, руководитель, статус ЭЦП=1.
Таким образом, доступ к системе и полномочия по ее использованию могли осуществляться только одним лицом - Патрушевым Г.В.
Однако, как следует из текста искового заявления, система установлена на рабочем компьютере финансового директора Ганик Е.К.
После сообщения Патрушева Г.В. о списании средств со счета истца 14.11.2014 ведущий специалист банка Шульга К.А. выезжала с осмотром рабочего места пользователя Системы. В результате осмотра рабочего места специалистом банка установлено, что Система установлена на компьютере финансового директора, USB-токен подключен к персональному компьютеру в рабочее время, на ночь компьютер отключается, USB-токен хранится в ящике рабочего стола, сейфа в кабинете нет. В ночь с 11.11.2014 на 12.11.2014, когда произошел инцидент, USB-токен был оставлен в персональном компьютере, а компьютер остался включенным на всю ночь. Данные нарушения зафиксированы в акте осмотра от 14.11.2014. Подписавшая акт осмотра Ганик Е.К. согласилась с выводами специалиста, изложенными в акте.
Данные обстоятельства свидетельствуют о том, что Общество не обеспечило соблюдение требования пункта 3.1.6 договора от 11.08.2014, а также требования об использовании USB-токена только для подписания документов, вытекающего из общего смысла договора от 11.08.2014 и пункта 3.3 Инструкции (приложение N 4 к договору).
Таким образом, как верно установил суд первой инстанции, нарушений Банком требований к защите информации, в результате которых осуществлено хищение денежных средств истца, из материалов дела не усматривается.
Истец также полагает, что Банк не предпринял своевременных действий, предусмотренных на случай выявления хищения денежных средств.
Из материалов дела следует, что клиент начал заводить платежи в Системе 11.11.2014 года в 22:54:38 по московскому времени или 05:54:38 по местному времени, последний платеж заведен 11.11.2014 в 23:51:10 по московскому времени или 12.11.2014 в 06:51:10 местного времени. В выписке о соединениях клиента с сервером Банка через ИКБ (лог соединения клиента 4557753060 с сервером ИКБ с 11.11.2014 по 13.11.2014) отражено время исполнения каждого платёжного документа. Согласно ответу Банка N 706 от 26.11.2014 и N 690 от 20.11.2014 платежи отправлены по назначению 12.11.2014 в 8-56 по местному времени, то есть денежные средства со счёта истца были списаны до обращения Общества к ответчику как по телефону (15-39 местного времени), так и по электронному адресу (15-45 местного времени).
Кроме того, согласно пункту 3.1.9 договора от 11.08.2014 клиент обязан незамедлительно направить уведомление в Банк о компрометации ключей.
Как следует из заявления, о факте возможной компрометации банк уведомила финансовый директор Ганик Е.К., позвонив в техническую службу банка, а затем, продублировав сообщение по электронной почте.
Вместе с тем, 12.11.2014 г. в 08-39 по московскому времени в службу Банка по телефону 8(800) 700-20-70 позвонил мужчина и сообщил о неисправности Системы у клиента ООО "Михайловский бройлер". Разговор шел только о том, что клиент не может осуществить вход в Систему. Информации о возможной компрометации ключей, как об этом указано в исковом заявлении, не было сообщено. Данный факт подтверждается аудиозаписью телефонного разговора с оператором службы Банка.
Также в сообщении на электронную почту Банка со скриншотом экрана, свидетельствующим о технических работах, который был получен Банком 12.11.2014, отсутствовала информация о возможной компрометации.
Данное сообщение было принято Службой поддержки системы, в результате чего клиенту было направлено сообщение о том, что "Работы не проводились, следует очистить компьютер от вирусов. До прекращения вирусной активности на данном компьютере не рекомендуется вставлять еТокен с ключами и пользоваться системой".
В этой связи апелляционная коллегия соглашается с выводом суда первой инстанции о том, что изложенные обстоятельства свидетельствуют об отсутствии в обращениях истца, адресованных банку, уведомления последнего о компрометации ключа.
В соответствии с пунктом 6.4. договора от 11.08.2014 в случае неисполнения Клиентом обязанности, предусмотренной пунктом 3.1.9 Договора, Банк не несет ответственности за ущерб, причиненный Клиенту в результате совершения Банком операции на основании ЭД, полученной по Системе, без согласия Клиента и/или с момента утраты ключей ЭП.
Вместе с тем, после получения сообщения генерального директора Патрушева Г.В. о списании денежных средств со счета 13.11.2014, банк направил в подразделение по осуществлению безналичных расчетов филиала Банка сообщение о звонке клиента и необходимости отзыва всех 11 платежей.
В тот же день такие запросы были направлены филиалом Банка в установленном порядке через специальную Систему электронного документооборота (АРМ КБР), связывающую Банк с ГРКЦ ГУ ЦБ РФ по Приморскому краю (электронные сообщения N N 500175, 500176, 500187, 500188, 500189, 500190, 500191, 500192, 500193, 500194, 500195 от 13.11.2014).
Таким образом, Банком были приняты меры, направленные на возврат денежных средств, доводы истца о несовершении ответчиком необходимых и разумных действий противоречат представленным в материалы дела доказательствам. Вместе с тем, поскольку денежные средства со счёта истца уже были списаны, действия Банка не могли иметь позитивного результата.
В связи с тем, что совокупность оснований, установленных в статье 15 ГК РФ, для взыскания убытков не установлена, арбитражный суд первой инстанции законно и обоснованно отказал в удовлетворении заявленного истцом требования.
При изложенных обстоятельствах арбитражный суд апелляционной инстанции счел, что выводы суда первой инстанции сделаны в соответствии со статьей 71 Арбитражного процессуального кодекса РФ на основе полного и всестороннего исследования всех доказательств по делу с правильным применением норм материального права. Нарушений норм процессуального права, в том числе являющихся безусловным основанием для отмены судебного акта, апелляционной инстанцией не установлено.
Доводы апелляционной жалобы не нашли своего подтверждения при рассмотрении дела судом апелляционной инстанции.
Следовательно, оснований для удовлетворения апелляционной жалобы и отмены или изменения обжалуемого судебного акта не имеется.
Руководствуясь статьями 258, 266-271 Арбитражного процессуального кодекса Российской Федерации, Пятый арбитражный апелляционный суд
ПОСТАНОВИЛ:
Решение Арбитражного суда Приморского края от 04.03.2015 по делу N А51-35104/2014 оставить без изменения, апелляционную жалобу - без удовлетворения.
Постановление может быть обжаловано в Арбитражный суд Дальневосточного округа через Арбитражный суд Приморского края в течение двух месяцев.
Председательствующий |
Т.А. Аппакова |
Судьи |
К.П. Засорин |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Номер дела в первой инстанции: А51-35104/2014
Истец: ЗАО "Михайловский Бройлер"
Ответчик: ОАО АКЦИОНЕРНЫЙ КОММЕРЧЕСКИЙ БАНК "РОСБАНК"