Постановление Восемнадцатого арбитражного апелляционного суда от 9 сентября 2019 г. N 18АП-11575/19

г. Челябинск

09 сентября 2019 г.

Дело N А76-25035/2017

Резолютивная часть постановления объявлена 05 сентября 2019 года.

Постановление изготовлено в полном объеме 09 сентября 2019 года.

Восемнадцатый арбитражный апелляционный суд в составе:

председательствующего судьи Тимохина О.Б.,

судей Богдановской Г.Н., Соколовой И.Ю.,

при ведении протокола секретарем судебного заседания Чаус О.С., рассмотрел в открытом судебном заседании апелляционную жалобу общества с ограниченной ответственностью "Технологии Снабжения" на решение Арбитражного суда Челябинской области от 01.07.2019 по делу N А76-25035/2017 (судья Булавинцева Н.А.).

В судебном заседании приняли участие представители:

общества с ограниченной ответственностью "Технологии Снабжения" - Кузеванов С.С. (доверенность от 20.11.2018 N 18, паспорт), Ческидов Д.В. (доверенность от 04.09.2019 N 19, паспорт);

акционерного общества "Уралпромбанк" - Плетнёв Е.В. (доверенность от 09.01.2019 N 8, паспорт);

публичного акционерного общества "Сбербанк России" в лице Курганского отделения N 8599 - Томилова М.А. (доверенность от 25.10.2018 N 3-ДГ/13/72, паспорт).

Общество с ограниченной ответственностью "Технологии Снабжения" (далее - истец, ООО "Технологии Снабжения") обратилось в Арбитражный суд Челябинской области к акционерному обществу "Уралпромбанк" (далее - ответчик1, АО "Уралпромбанк"), публичному акционерному обществу "Сбербанк России" в лице Курганского отделения N 8599 (далее - ответчик2, ПАО "Сбербанк России") о взыскании солидарно неосновательно списанных денежных средств в размере 3 906 250 руб.

К участию в деле в качестве третьего лица, не заявляющего самостоятельных требований относительно предмета спора, на основании ст. 51 Арбитражного процессуального кодекса Российской федерации (далее - АПК РФ), привлечено общество с ограниченной ответственностью "Мастермебель-45" (далее - ООО "Мастермебель-45", третье лицо).

Решением суда от 01.07.2019 (резолютивная часть объявлена 24.06.2019) в удовлетворении исковых требований отказано.

Дополнительным решением от 11.07.2019 суд распределил судебные расходы.

С вынесенным решением не согласился истец и обжаловал его в апелляционном порядке - в жалобе ООО "Технологии Снабжения" (далее также - податель жалобы, апеллянт) просит решение и дополнительное решение суда отменить, принять по делу новый судебный акт об удовлетворении исковых требований в полном объеме.

В обоснование доводов апелляционной жалобы её податель ссылается на несоответствие выводов, изложенных в решении, обстоятельствам дела, нарушение норм материального и процессуального права. Так податель жалобы указывает, что получатель платежа "Вип Авто Центр" не соответствует реквизитам - ООО "Мастермебель-45". Платежи свыше 600 000 руб. попадают под действия Федерального закона от 07.08.2011 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма" (далее - Закон N 115-ФЗ), поэтому АО "Уралпромбанк" и ПАО "Сбербанк" обязаны были приостановить платежи и запросить у третьего лица документы (договоры, счеты), в связи с чем, со стороны банков имеются нарушения Гражданского кодекса Российской Федерации (далее - ГК РФ), Закона N 115-ФЗ и Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (далее - Закон N 161-ФЗ). Отмечает, что ПАО "Сбербанк" нарушил положения ч. 4.3. главы 4 Положения о правилах осуществления перевода денежных средств. Экспертиза указывает, что все действия с ключами невозможно определить, так как с осуществлены с разных IP-адресов, а директор физически через короткий промежуток времени в разных частях города не могла находиться. Программа установлена на ноутбук истца банком, поэтому у истца был запрет на установку антивирусного ПО.

По мнению апеллянта, Банк должен был позвонить или иным образом уведомить истца о списании денежных средств, тем более что было несколько попыток подписания спорных платежных поручений, в связи с чем, они должны были быть им дополнительно проверены.

Податель жалобы считает, что ПАО "Сбербанк" неверно толкует Положения о правилах осуществления перевода денежных средств", утвержденный Банком России от 19.06.2012 N 383-П, поскольку им установлены требования к оформлению платежного поручения, которое содержит указание, что в нем должно правильно указываться наименование получателя средств, а не только номер его счета и идентификационный номер налогоплательщика. Также истец считает, что ПАО "Сбербанк" не обеспечил должным образом функционирование системы внутреннего контроля, что привело к нарушению банком положений Закона N 115-ФЗ и Закона N 161-ФЗ, и сделало возможным совершение третьими лицами неправомерных действий в отношении имущества ООО "ТехноСнаб", поскольку большая часть переведенных денежных средств была обналичена по корпоративной карте в течение дня 05.07.2017 и первых часов 06.07.2017, и сотрудниками ПАО "Сбербанк" был заблокирован остаток денежных средств, равный только 706 463 руб. 47 коп., и при этом банк продолжает незаконно удерживать заблокированные денежные средства, банком не представлено доказательств, подтверждающих притязания ООО "Мастермебель-45" на указанный остаток, и выявлены несколько попыток снятия заблокированных средств.

Апеллянт считает, что доводы АО "Уралпромбанк" являются необоснованными, поскольку банк в соответствии с условиями договора N 3411/2 имеет право в одностороннем порядке менять только тарифы, договоров об использовании электронного средства платежа и Правил использования электронного средства платежа "Клиент-Банк" истец не подписывал, в связи с чем, эти документы применению не подлежат, так как договор N 3411/2 отсылок к указанным документам не содержит.

Также, по мнению подателя жалобы, банком не соблюдено условие договора о комиссионном рассмотрении конфликтной ситуации о том, что в комиссию должны были входить до 5 человек с каждой стороны, и результат работы комиссии должен быть оформлен двухсторонним актом, а в нарушение указанных условий АО "Уралпромбанк" комиссия была создана без привлечения истца и без согласия истца был исследован жесткий диск ноутбука, поэтому акт банка от 12.07.2017 является недопустимым доказательством по делу.

Податель жалобы считает, что IP-адрес, с которого направлялись спорные платежные поручения, не был типичным для истца, и на ноутбуке ООО "ТехноСнаб" установлена антивирусная программ Microsoft Security Essentials, которая обеспечивает защиту от вирусов и вредоносных программ в режиме реального времени. Ключ электронном подписи USB-eTоkеn находился в распоряжении только одного человека - директора ООО "ТехноСнаб" Морозовой М.С., что обеспечивало его сохранность и недоступность для третьих лиц, доказательств возможности доступа третьих лиц на рабочее место истца ответчиками не представлено. Обязанности клиента установлены в договоре N 3411/2, и не содержат условий о запрете использования программ удаленного доступа.

Истец указывает, что АО "Уралпромбанк" обязан был бесплатно донести информацию до истца до момента безотзывности платежа, поскольку само уведомление после безотзывности платежа теряет смысл. Также указывает, что довод ответчика об отмене СМС-сообщений значения не имеет, поскольку исполнение кредитной организацией законодательно установленной обязанности не может быть обусловлено уплатой вознаграждения, и в договоре должен быть предусмотрен способ бесплатного оповещения клиента.

Кроме того, истец считает, что банк обязан проверять оформление платежного документа, в том числе, его форму, содержание и правильность заполнения, а в случае несоответствий платежное поручение не может быть исполнено, и поскольку в спорных платежных поручениях были несоответствия наименованию организации ООО "Вип Авто Центр" фактическому владельцу счета, которым являлся ООО "Мастермебель-45", банк должен был незамедлительно уточнить у истца содержание поручения, и при неполучении ответа, оставить поручения без исполнения, но поскольку этого сделано не было, истец считает, что АО "Уралпромбанк" грубо нарушил нормативные требования, произвел операции, носящие подозрительный (необычный) характер, который выражался в дроблении платежа, поступлении платежных поручений в конце операционного дня, в пользу получателя, которому ранее истцом платежи не осуществлялись, и с IPадреса, отличного от обычного.

Податель жалобы отмечает, что факт несанкционированного доступа банком признан, поэтому бездействие банка в момент совершения хищения вместо проявления должной осмотрительности и заботливости является доказательством халатности сотрудников банка. По инициативе истца банком был заблокирован ключ электронной подписи, которым подписывались спорные платежные поручения, и был получен новый ключ, что, по мнению истца, также свидетельствует о халатности сотрудников АО "Уралпромбанк".

От ответчиков поступили отзывы на апелляционную жалобу, по мотивам которых они отклонили ее доводы.

Третье лицо отзыв на жалобу не представило.

Лица, участвующие в деле, о времени и месте рассмотрения апелляционной жалобы извещены надлежащим образом, в том числе публично, путем размещения сведений о месте и времени судебного разбирательства на официальном сайте http://kad.arbitr.ru/ в сети "Интернет" - в судебное заседание представители третьего лица не явились.

В соответствии со ст. 123, 156 Арбитражного процессуального кодекса Российской Федерации (далее - АПК РФ), с учетом мнения представителей сторон, дело рассмотрено арбитражным судом апелляционной инстанции в отсутствие третьего лица.

В судебном заседании представители истца поддержали доводы жалобы, просили ее удовлетворить, а представители банков возражали против этого по мотивам, изложенным в отзывах на апелляционную жалобу.

Законность и обоснованность судебного акта проверены арбитражным апелляционным судом в порядке, предусмотренном главой 34 АПК РФ.

Как следует из материалов дела, 04.05.2010 между ОАО "Уральский Промышленный Банк" (Банк) и ООО "Технологии Снабжения" (клиент) заключен договор банковского счета N 3411 (о принятии на расчетно-кассовое обслуживание) (т. 1, л.д. 21-23, 139-141), в соответствии с которым Банк открывает Клиенту расчетный счет в валюте РФ N 40702810800000003411, и обязуется принимать и зачислять поступающие на счет денежные средства, выполнять распоряжения Клиента о перечислении и выдаче соответствующих сумм со счета и проведения других операций по счету, а Клиент принимает и оплачивает услуги Банка на условиях и в порядке, которые предусмотрены договором и Тарифами на услуги по расчетно-кассовому обслуживанию в валюте РФ для юридических лиц и индивидуальных предпринимателей. При этом при осуществлении операций по счету стороны руководствуются действующим законодательством РФ, нормативными актами Банка России, применяемыми в банковской практике обычаями делового оборота, внутренними документами Банка и настоящим договором (п. 1.1., 1.2. договора).

Согласно п. 2.1.3. договора Банк обязался осуществлять приходные и расходные операции по счету Клиента по его распоряжению и иным расчетным документам в порядке очередности, предусмотренной действующим законодательством; Банк обязался по распоряжению Клиента выдавать и перечислять со счета денежные средства Клиента не позже дня, следующего за днем поступления в Банк соответствующего расчетного документа, за исключением случаев, прямо предусмотренных законами и п. 2.1.5., 4.3. настоящего договора.

В соответствии с п. 2.1.4., 2.1.5. и 2.1.6. договора Банк обязался своевременно и правильно производить расчетные операции по поручению Клиента в строгом соответствии с Положением о безналичных расчетах в Российской Федерации, другими нормативными актами, списывать денежные средства со счет Клиента только по его поручению или с его согласия, выдавать Клиенту или уполномоченному лицу выписки по расчетному счету с приложением необходимых документов на следующий день после совершения операции.

Пунктом 2.2.3. договора установлено право Банка в одностороннем порядке пересматривать условия договора в случаях принятия законодательных актов Российской Федерации, устанавливать новые тарифные ставки в зависимости от конъюнктуры рынка банковских услуг.

Также в соответствии с п. 2.2.9. договора Банк вправе приостанавливать операции по счету Клиента в случаях, предусмотренным действующим законодательством РФ, нормативными актами Банка РФ и настоящим договором.

Разделом 3 договора установлено, что Клиент самостоятельно распоряжается денежными средствами, находящимися на его расчетном счете, в порядке и пределах, установленных действующим законодательством, он имеет право давать Банку поручения по расчетно-кассовому обслуживанию, делать запросы, требовать отчета о выполнении поручений.

Кроме указанного выше договора, 04.05.2010 между ОАО "Уральский Промышленный Банк" (Банк) и ООО "Технологии Снабжения" (Клиент) был заключен договор N 3411/2 дистанционного обслуживания по системе электронного документооборота "Клиент-Банк" (т. 1, л.д. 24-27, 142, 143), в соответствии с которым определен порядок обеспечения обмена электронными документами между Банком и Клиентом, способ подтверждения авторства и процедуру установления подлинности электронных документов, с целью организации дистанционного обслуживания Клиента посредством системы электронного документооборота "Клиент-Банк" (далее - СЭД).

При этом согласно разделу 2 договора для электронного документооборота используется аналог собственноручной подписи (далее - АСП), который является персональным идентификатором Банка либо Клиента, являющийся контрольным параметром подлинности электронного документа и неизменности его содержания. Средствами АСП являются аппаратные и программные средства, обеспечивающие создание АСП в электронных документах с использование закрытого ключа АСП, подтверждение с использованием открытого ключа АСП подлинности АСП в электронных документах, создание закрытых и открытых ключей АСП. Закрытый ключ АСП - это уникальная последовательность символов, известная владельцу АСП и предназначенная для создания в электронных документах АСП с использованием средств АСП. Компрометацией ключа АСП является утрата, хищение закрытого ключа АСП, ознакомление или подозрение на ознакомление неуполномоченного лица с Закрытым ключом, несанкционированное использование или подозрение на несанкционированное использование Закрытого ключа АСП, а также другие ситуации, при которых невозможно достоверно установить, что произошло с Закрытым ключом.

Пунктом 3.1.2. стороны установили, что полученные по системе "Клиент-Банк" документы, заверенные АСП другой стороной, являются юридически эквивалентными документам, оформленным на бумажном носителе подписанным уполномоченными представителями сторон, имеющими право подписи в соответствии с действующим законодательством.

Подлинником электронного документа является документ, который содержит текст документа и АСП уполномоченного лица стороны, подписавшего этот документ с положительным результатом проверки подлинности АСП, произведенной средствами СЭД с использование закрытого ключа АСП (п. 3.1.3. договора).

При этом аналог собственноручной подписи равнозначен собственноручной подписи при одновременном соблюдении следующих условий (п. 3.2.1. договора):

- АСП не утратил силу, и действует на момент проверки или на момент подписания электронного документа,

- подтверждена подлинность АСП в электронном документе,

- АСП используется в соответствии с условиями настоящего договора.

На основании п. 3.2.2., 3.2.3. договора АСП предназначен для обеспечения подлинности, целостности и подтверждения авторства электронных документов, обрабатываемых с помощью вычислительной техники. АСП жестко увязывает в одно целое содержание электронного документа и закрытый ключ АСП лица, подписавшего электронный документ, и делает невозможным изменение электронного документа без нарушения подлинности данного АСП. Закрытый ключ АСП хранится на устройстве перезаписываемой энергонезависимой памяти (далее - носитель закрытого ключа), и используется Клиентом или Банком для создания аналога собственноручной подписи в электронных документах.

При компрометации или подозрении на компрометацию ключа АСП одной из сторон, другая сторона извещает сообщением на бумажном носителе или по телефону (с подтверждением на бумажном носителе не позднее следующего дня за днем передачи сообщения по телефону), а сторонам, получившая сообщение о компрометации или подозрении на компрометацию ключа АСП, выводит соответствующий открытый ключ из действия в максимально короткие сроки, но не позднее следующего рабочего дня после получения сообщения о компрометации, и с этого момента Банк прекращает действия указанного ключа Клиента, а также немедленно приостанавливает использование СЭД. Возобновление СЭД, а также замена ключа производится по заявлению Клиента.

В силу п. 3.2.7. договора стороны признают используемую ими систему защиты информации, которая обеспечивает шифрование, контроль и целостность АСП, достаточной для защиты от несанкционированного доступа, а также подтверждения авторства и подлинности электронных документов.

В соответствии с п. 4.1.1. договора Банк обязан после подписания договора по акту приема-передачи передать Клиенту установочный диск, который содержит: программное обеспечение, открытый ключ АСП должностных лиц Банка, уполномоченных подписывать электронные документы Банка, инструкцию по пользованию СЭД и генерации ключа и защищенный носитель информации USB eToken (Приложение N 3).

Пунктом 4.1.3. договора установлено, что Банк обязан приостановить операции по СЭД в следующих случаях:

- при получении письменного заявления Клиента,

- при совершении или попытке совершения несанкционированного доступа в СЭД со стороны третьих лиц,

- при получении сообщения о компрометации или подозрении на компрометацию ключа АСП Клиента.

Согласно Приложению N 3 Клиент получил от Банка: установочный диск, содержащий программное обеспечение, инструкцию по эксплуатации системы "Клиент-Банк" и генерации ключей, открытый ключ АСП должностных лиц Банка, уполномоченных подписывать электронные документы Банка, и защищенный носитель информации USB eToken N 00412FA7, а также указано, что работоспособность СЭД проверена (т. 1, л.д. 144).

В силу п. 4.2. Клиент обязан, в том числе:

- выделить рабочее место для подготовки и передачи электронных документов по СЭД и оборудовать его техническими средствами в соответствии с конфигурацией, предложенной Банком (Приложение N 2),

- сформировать закрытые и открытые ключи АСП, переслать в Банк открытый ключ по защищенному каналу и передать Банку по акту приема-передачи открытый ключ АСП с указанием данных о должностных лицах Клиента, уполномоченных подписывать электронные документы Клиента (Приложение N 4);

- в случае возникновения технических неисправностей или других обстоятельств, препятствующих обмену между сторонами электронными документами, уведомить об этом Банк в письменной форме;

- обеспечивать сохранность и секретность информации о закрытом ключе АСП;

- обеспечивать недоступность для посторонних лиц носителей закрытого ключа и пароля для получения доступа к СЭД, этот пароль может быть известен только должностным лицам Клиента, обладающим правом подписи электронных документов, он должен меняться каждый раз при изменении состава этих уполномоченных лиц;

- не передавать СЭД "Клиент-Банк" полностью или частично третьим лицам.

Разделом 5 договора установлен порядок обслуживания клиента посредством СЭД, согласно которому при получении электронного документа Банк производит проверку подлинности АСП Клиента, проверку правильности заполнения реквизитов документа в соответствии с действующим законодательством, банковским правилами, электронные документы, не прошедшие контроль, Банком к исполнению не принимаются.

В соответствии с разделом 6 договора установка СЭД производится Клиентом самостоятельно.

Для урегулирования споров и конфликтов Банк действует в соответствии с пунктом 8 договора, в частности, создается экспертная комиссия, производится процедура проверки подлинности электронного документа на оборудовании и в помещении Банка, а по итогам работы комиссии оформляется двусторонний акт, в котором отражаются установленные обстоятельства, действия членов комиссии, выводы, влияющие на возможность установления подлинности оспариваемого документа, и основания, которые послужили для оформления выводов. Указанные акт является основанием для принятия решения в суде. Если документ признан подлинным, то сторона, выполнившая по нему обязательства, считается невиновной, а сторона, не выполнившая по нему обязательства, поступила неверно, и признается виновной. Если документ не признан подлинным, то сторона, выполнившая по нему обязательства, считается виновной, а сторона, не выполнившая по нему обязательства, поступила верно, и признается невиновной.

На основании п. 10.3. договора в случае генерации ключей представителем Клиента на технических средствах Банка Клиент самостоятельно несет риск возникновения возможных убытков в случае нарушения секретной информации о закрытых ключах ответственных исполнителей Клиента и их последующего несанкционированного использования третьими лицами.

Дополнительным соглашением от 04.05.2010 (т. 1, л.д. 145) к договору N 3411/2 от 04.05.2010 и к договору банковского счета N 3411 от 04.05.2010 стороны договорились осуществлять обмен следующими документами в электронной форме взамен аналогичных документов на бумажном носителе:

- платежные поручения;

- документы, подтверждающие списание денежных средств со счета Клиента;

- выписки по счету Клиента;

- заявления Клиента об отмене платежа или изменении реквизитов;

- сообщения Банка о не принятых документах с указанием причин отказа;

- другие сообщения свободного формата.

Дополнительным соглашением от 04.05.2010 к договору банковского счета N 3411 от 04.05.2010 стороны дополнили договор разделом 11, согласно которому клиент поручает Банку передавать SMS-сообщения по номеру сотового телефона Клиента об операциях по расчетному счету, проводимых в течение операционного дня (т. 1, л.д. 146, 147), которое 17.05.2010 было истцом отменено.

Соглашением от 18.07.2016, заключенным между АО "Уральский Промышленный Банк" (Банк) и ООО "Технологии Снабжения" (Клиент) определено, что клиентом в Карточке с образцами подписей и оттиска печати заявляется и для подписания распоряжений Клиента используется одна собственноручная подпись Морозовой Марии Сергеевны (т. 2, л.д. 1).

05 июля 2017 года с расчетного счета истца N 40702810800000003411 в соответствии с указанными выше договорами и на основании поступивших по системе "Клиент-Банк" платежных поручений N 566, 567, 568, 568 от 05.07.2017 Банком было произведено списание на общую сумму 3 906 250 руб. по указанным клиентом в платежных поручениях реквизитам.

Спорные платежи проходили с использованием программно-технического комплекса "Клиент-Банк" без предоставления документов на бумажном носителе. Платежные документы Клиент формировал самостоятельно, никакие другие расчетные документы по данному платежу во время его проведения в АО "Уралпромбанк" не предоставлялись.

В результате применения средств криптографической защиты информации ответчиком подтверждена подлинность закрытого ключа АСП, принадлежащего согласно сертификату открытого ключа АСП истца.

Данная электронная цифровая подпись была признана системой достоверной, о чем на платежных поручениях N 566, 567, 568, 568 от 05.07.2017 имеются отметки банка (т. 1, л.д. 30-33; т. 8, л.д. 62-65).

Из содержания платежных поручений N 566, 567, 568, 568 от 05.07.2017 следует, что все необходимые реквизиты в поступивших от истца электронных документах присутствовали.

Полагая, что действия по списанию денежных средств в сумме 3 906 250 руб. с расчетного счета ООО "Технологии Снабжения" произведены неправомерно, истец обратился в арбитражный суд с настоящим иском.

Отказывая в удовлетворении заявленных требований, арбитражный суд первой инстанции пришел к выводу о недоказанности истцом противоправного поведения со стороны ответчиков.

Арбитражный суд апелляционной инстанции, повторно рассмотрев дело в порядке, предусмотренном ст. 268, 269 АПК РФ, исследовав имеющиеся в деле доказательства, проверив доводы апелляционной жалобы и отзывов на нее, выслушав представителей сторон, не находит оснований для отмены или изменения обжалуемого судебного акта.

Согласно ст. 15 и 393 Гражданского кодекса Российской Федерации (далее - ГК РФ) должник обязан возместить кредитору убытки, причиненные неисполнением или ненадлежащим исполнением обязательства.

В силу п. 1 ст. 854 ГК РФ списание денежных средств со счета осуществляется банком на основании распоряжения клиента.

Без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом (п. 2 ст. 854 ГК РФ).

В соответствии со ст. 856 ГК РФ в случаях необоснованного списания банком со счета клиента денежных средств банк обязан уплатить на эту сумму проценты в порядке и в размере, предусмотренных ст. 395 настоящего Кодекса.

Согласно ч. 2 ст. 70 Закона N 229-ФЗ перечисление денежных средств со счетов должника производится на основании исполнительного документа или постановления судебного пристава-исполнителя без представления в банк или иную кредитную организацию взыскателем или судебным приставом-исполнителем расчетных документов.

Каждое лицо, участвующее в деле, должно доказать обстоятельства, на которые оно ссылается как на основание своих требований и возражений (ст. 65 АПК РФ).

Всесторонне, полно и объективно исследовав в соответствии с требованиями ст. 71 АПК РФ представленные доказательства, суд первой инстанции пришел к обоснованному выводу о недоказанности истцом противоправного поведения ответчиков.

Как следует из материалов дела, между ПАО "Сбербанк" и ООО "Мастермебель-45" 05.05.2017 заключен договор-конструктор, включающий в себя договор открытия и обслуживания расчетного счета и договор о предоставлении услуг с предоставлении услуг с использованием дистанционного обслуживания, также в соответствии с заявлением общества была выпущена и подключена к счету банковская карта для совершения расходных операций, открыт расчетный счет N 40702810032000000338 (т. 5, л.д. 29-49).

На основании п. 2.7. Положения о правилах осуществления перевода денежных средств, утвержденных Банком России 19.06.2012 N 383-П, контроль значений реквизитов распоряжений осуществляется посредством проверки в порядке, установленном банком, с учетом требований законодательства, значений реквизитов распоряжений, их допустимости и соответствия.

Пунктом 4.3. указанного Положения, если иное не предусмотрено законодательством или договором, банк получателя средств устанавливает порядок зачисления денежных средств на банковский счет получателя средств, при этом допускается зачисление денежных средств на банковский счет получателя средств по двум реквизитам: номеру банковского счета получателя средств и иной информации о получателе средств.

На основании изложенного, в силу имеющихся между ПАО "Сбербанк" и ООО "Мастермебель45" договорных отношений, поступившие платежные поручения, содержащие корректный расчетный счет и корректный ИНН, при отсутствии оснований для отказа, были обоснованно зачислены на счет клиента банка - ООО "Мастермебель-45" - N 40702810032000000338.

Как следует из выписки по операциям на счете ООО "Мастермебель-45" (т. 1, л.д. 85-88), денежные средства истца в общей сумме 3 906 250 руб. зачислены на счет ООО "Мастермебель-45" 05.07.2017.

05.07.2017 и 06.07.2017 поступившие денежные средства сняты или обналичены по корпоративной карте, привязанной к счету в г.СанкПетербург, в общей сумме 3 148 370 руб. 00 коп. (т. 1, л.д. 89).

При этом 05.07.2017 были сняты/обналичены 1 981 820 руб., в том числе:

- в 16 час.45 мин в сумме 170 000 руб. 00 коп.,

- в 19 час. 39 мин. в сумме 451 190 руб. 00 коп.,

- в 19 час. 58 мин. в сумме 616 140 руб. 00 коп.,

- в 21 час. 12 мин. в сумме 437 740 руб. 00 коп.,

- в 21 час. 34 мин. в сумме 306 750 руб. 00 коп.

06.07.2017 были сняты/обналичены 1 166 550 руб. 00 коп., в том числе:

- в 00 час. 24 мин. в сумме 170 000 руб. 00 коп., -

- в 01 час. 50 мин. в сумме 996 550 руб. 00 коп.

Согласно Перечню тарифов и услуг, оказываемых клиентам подразделения ПАО "Сбербанк" на территории Курганской и Свердловской областей установлен лимит выдачи наличных денежных средств по карте - 170 000 руб. в сутки.

Из выписки следует, что ПАО "Сбербанк" указанный лимит выдачи наличных нарушен не был: снятие наличных в размере 170 000 руб. произведено 05.07.2017 и 06.07.2017. На начало операционного дня 06.07.2017 (07 час. 00 мин. московского времени) остаток доступных денежных средств по расчетному счету ООО "Мастермебель-45" составлял 706 463 руб. 47 коп.

Как следует из материалов дела, 06.07.2017 истец обратился в АО "Уралпромбанк" (т. 1, л.д. 39, 40) и ПАО "Сбербанк" с заявлением о мошенничестве по 4 платежным поручениям, что ответчиками не оспаривается. ПАО "Сбербанк", получив 06.07.2017 в 08 час. 21 мин. от истца информацию о данном мошенничестве, в 08 час. 28 мин.

06.07.2017 заблокировал остатки денежных средств на расчетном счете ООО "Мастермебель-45" и корпоративную карту клиента, при этом после блокировки денежных средств было осуществлено несколько попыток снятия денежных средств, а в настоящее время получатель денежных средств отказывается в добровольном порядке возвращать денежные средства (т. 1, л.д. 82-84).

В силу изложенного, действия ПАО "Сбербанк" по зачислению денежных средств на счет ООО "Мастермебель45" соответствуют закону.

В рамках настоящего дела проведена судебная экспертиза и дополнительная судебная экспертиза.

Определением арбитражного суда от 06.02.2018 производство по делу приостановлено в связи с назначением судебной экспертизы (т. 3, л.д. 140-146).

На разрешение эксперту ответчиком были поставлены следующие вопросы:

I. При экспертизе ноутбука Acer Aspire V5-471P:

1. использовался ли ноутбук Acer Aspire V5-471P (далее - компьютер) 05.07.2017, в какие периоды времени?

2. установлено ли на компьютере ПО "Клиент-Банк", когда оно установлено?

3. использовалось ли ПО "Клиент-Банк" 05.07.2017, в какие периоды времени?

4. подключались ли к компьютеру 05.07.2017 какие-либо защищенные носители информации (USB-токены), в какие периоды времени?

5. имеется ли в памяти (журналах) компьютера и файлах ПО "КлиентБанк" запись о том, что 05.07.2017 использовался, в том числе для подписания электронных документов электронной подписью, защищенный носитель информации (USB-токен) eToken PRO Java 72K с серийным номером 0041150a, в какие периоды времени?

6. использовался ли на компьютере сертификат ключа проверки электронной подписи с серийным номером 18747509473CF58048C96BC7A07E9BCF для подписания электронных документов электронной подписью 05.07.2017, в какие периоды времени?

7. создавались ли на компьютере с использованием ПО "Клиент-Банк" платежные поручения со следующими реквизитами (далее - платежные поручения):

1) платежное поручение N 566 от 05.07.2017, плательщик: ООО "ТехноСнаб", ИНН 7418019987, получатель: ООО "Вип Авто Центр", ИНН 4501214392, сумма: 997 600.00 руб., назначение платежа: по счету N ТА-451 от 03.07.2017. За Автомобиль. Сумма 997 600-00, в т.ч. НДС 18% 152 176,27

2) платежное поручение N 567 от 05.07.2017, плательщик: ООО "ТехноСнаб", ИНН 7418019987, получатель: ООО"Вип Авто Центр", ИНН 4501214392, сумма: 986 500.00 руб., назначение платежа: по счету N ТА-450 от 03.07.2017. За Автомобиль. Сумма 986500-00, в т.ч. НДС 18% 150 483,05

3) платежное поручение N 568 от 05.07.2017, плательщик: ООО "ТехноСнаб", ИНН 7418019987, получатель: ООО "Вип Авто Центр", ИНН 4501214392, сумма: 973 450.00 руб., назначение платежа: по счету N ТА-452 от 03.07.2017. За Автомобиль. Сумма 973450-00, в т.ч. НДС 18% 148 492,37

4) платежное поручение N 569 от 05.07.2017, плательщик: ООО "ТехноСнаб", ИНН 7418019987, получатель: ООО "Вип Авто Центр", ИНН 4501214392, сумма: 948 700.00 руб., назначение платежа: по счету N ТА-453 от 03.07.2017. За Автомобиль. Сумма 948700-00, в т.ч. НДС 18% 144 716,95

8. если указанные платежные поручения создавались, когда они были созданы, с использованием какого сертификата ключа проверки электронной подписи и с использованием какого защищенного носителя (USB-токена) подписаны?

9. имеется ли в журналах ПО "Клиент-Банк" запись о том, что 05.07.2017 происходило добавление нового контрагента ООО "Вип Авто Центр" с иными реквизитами, в какое время?

10. имеется ли на компьютере какое-либо вредоносное ПО, какое, когда оно было установлено и каким функционалом обладает?

11. имеется ли на компьютере какое-либо ПО, позволяющее получить удаленный доступ к управлению компьютером, какое, когда оно было установлено и каким функционалом обладает?

12. можно ли с помощью данного ПО получить скрытый от пользователя удаленный доступ к компьютеру?

13. использовалось ли 05.07.2017 вредоносное ПО или ПО, позволяющее получить удаленный доступ к управлению компьютером?

14. установлено ли на компьютере какое-либо антивирусное ПО, если установлено, то какое и когда?

15. если антивирусное ПО было установлено, то имеются ли записи в журналах антивируса об обнаружении найденного на компьютере вредоносного ПО или ПО, позволяющего получить удаленный доступ?

16. если антивирусное ПО было установлено, то фиксировались ли на компьютере какие-либо ошибки в работоспособности антивирусного решения, если да, то какие?

17. изменялось ли системное время и дата на компьютере после 05.07.2017?

18. исключена ли возможность установки/удаления ПО "Клиент-Банк", антивирусного ПО, вредоносного ПО или ПО, позволяющего получить удаленный доступ к управлению компьютером, предшествующей датой?

19. производилось ли изменение/удаление файлов установленного ПО "Клиент-Банк", журналов системы, файлов вредоносного ПО или ПО, позволяющего получить удаленный доступ к управлению компьютером, и иных файлов, изменение/удаление которых может повлиять на результаты экспертизы, после 05.07.2017?

20. осуществлялось ли форматирование жесткого диска компьютера или переустановка операционной системы после 05.07.2017?

II. При экспертизе жесткого диска Western Digital WD5000BPVT:

21. когда был создан представленный образ жесткого диска?

22. вносились ли какие-либо изменения в данные жесткого диска после создания образа?

23. с какого компьютера был сделан данный образ жесткого диска? 24. использовался ли ноутбук Acer Aspire V5-471P (далее - компьютер) 05.07.2017, в какие периоды времени?

25. установлено ли на компьютере ПО "Клиент-Банк", когда оно установлено?

26. использовалось ли ПО "Клиент-Банк" 05.07.2017, в какие периоды времени?

27. подключались ли к компьютеру 05.07.2017 какие-либо защищенные носители информации (USB-токены), в какие периоды времени?

28. имеется ли в памяти (журналах) компьютера и файлах ПО "КлиентБанк" запись о том, что 05.07.2017 использовался, в том числе для подписания электронных документов электронной подписью, защищенный носитель информации (USB-токен) eToken PRO Java 72K с серийным номером 0041150a, в какие периоды времени?

29. использовался ли на компьютере сертификат ключа проверки электронной подписи с серийным номером 18747509473CF58048C96BC7A07E9BCF для подписания электронных документов электронной подписью 05.07.2017, в какие периоды времени?

30. создавались ли на компьютере с использованием ПО "КлиентБанк" платежные поручения со следующими реквизитами (далее - платежные поручения):

2) платежное поручение N 567 от 05.07.2017, плательщик: ООО "ТехноСнаб", ИНН 7418019987, получатель: ООО "Вип Авто Центр", ИНН 4501214392, сумма: 986 500.00 руб., назначение платежа: по счету N ТА-450 от 03.07.2017. За Автомобиль. Сумма 986500-00, в т.ч. НДС 18% 1504 83,05

31. если указанные платежные поручения создавались, когда они были созданы, с использованием какого сертификата ключа проверки электронной подписи и с использованием какого защищенного носителя (USB-токена) подписаны?

32. имеется ли в журналах ПО "Клиент-Банк" запись о том, что 05.07.2017 происходило добавление нового контрагента ООО "Вип Авто Центр" с иными реквизитами, в какое время?

33. имеется ли на компьютере какое-либо вредоносное ПО, какое, когда оно было установлено и каким функционалом обладает?

34. имеется ли на компьютере какое-либо ПО, позволяющее получить удаленный доступ к управлению компьютером, какое, когда оно было установлено и каким функционалом обладает?

35. можно ли с помощью данного ПО получить скрытый от пользователя удаленный доступ к компьютеру?

36. использовалось ли 05.07.2017 вредоносное ПО или ПО, позволяющее получить удаленный доступ к управлению компьютером?

37. установлено ли на компьютере какое-либо антивирусное ПО, если установлено, то, какое и когда?

38. если антивирусное ПО было установлено, то имеются ли записи в журналах антивируса об обнаружении найденного на компьютере вредоносного ПО или ПО, позволяющего получить удаленный доступ?

39. если антивирусное ПО было установлено, то фиксировались ли на компьютере какие-либо ошибки в работоспособности антивирусного решения, если да, то какие?

На разрешение эксперта истцом были поставлены следующие вопросы:

1) какая операционная система стоит на ноутбуке Acer Aspire V5- 471P, обновляется ли она регулярно. В случае нерегулярного обновления дает ли это возможность третьим лицам удаленно получить контроль над ноутбуком Acer Aspire V5-471P?

2) имеются ли на жестком диске данные, свидетельствующие о нарушении истцом условий договора N 3411 банковского счета и договора N 3411/2 дистанционного обслуживания по системе электронного документооборота "Клиент-банк" в части требований по безопасному использованию "Клиент-банк", учитывая, что комиссией банка не оспаривается возможность подключения и вмешательства третьих лиц (Акт технической экспертизы от 12.07.2017 - т. 1, л.д. 135-137)?

3) имеется ли в журналах ПО "Клиент-Банк" запись о том, что 05.07.2017 происходило добавление нового контрагента ООО "Вип Авто Центр" с иными реквизитами, в какое время?

4) создавались ли на компьютере истца с использование ПО "КлиентБанк" платежные поручения ранее 05.07.2017 с контрагентом ООО "Вип Авто Центр" (ИНН 6312162093)?

5) создавались ли на компьютере истца с использованием ПО "КлиентБанк" платежные поручения ранее 05.07.2017 с контрагентом ООО "Мастермебель-45" (ИНН 4501214392)?

6) возможно ли с технической точки зрения внести изменения в данные жесткого диска задним числом, в том числе при создании копии образа?

7) могло ли быть произведено работниками банка изменение/удаление/добавление файлов на компьютере истца, изменение/удаление/добавление которых может повлиять на результаты экспертизы?

8) какие каналы связи (в том числе, вай-фай, мобильный интернет, офисный интернет) использовались клиентов для выхода в Интернет 05.07.2017?

9) в какой промежуток времени 05.07.2017 осуществлялся выход в Интернет? Возможно, ли это определить на основе данных жесткого диска?

10) совпадает ли информация из журнала подключений, представленная Интернет-провайдером, с реальной датой и временем выхода клиента в Интернет 05.07.2017? Возможно, ли это определить на основе данных жесткого диска?

11) с какого IP-адреса (истца, ответчика, иного лица) и когда создавалась копия программного обеспечения банк-клиент АО "УРАЛПРОМБАНК", наличие которой указано в документе ответчика "Выборка событий на сервере АО "Уралпромбанк", связанных с действиями ООО "ТехСнаб" в Системе "Клиент-Банк" 05.07.2017" (т. 2, л.д. 65 с оборотом)?

12) в чем причина смены IP-адресов в течение нескольких минут 05.07.2017 согласно документа Выборка событий на сервере АО "Уралпромбанк", связанных с действиями ООО "ТехСнаб" в Системе "Клиент-Банк" 05.07.2017" (т. 2, л.д. 65 с оборотом)?

13) после успешной связи клиента с банком, какова причина повторного подключения через 1,5 минуты, и могли ли последующие соединения с банком быть установлены третьими лицами?

14) могли ли многочисленные сбои, связанные с попыткой подписи, быть вызваны причиной несанкционированного вмешательства третьих лиц? 14.06.2018 через отдел делопроизводства в материалы дела поступило заключение эксперта N Э-1/2018 от 10.06.2018 (т. 4, л.д. 67-104), согласно которого:

1. Ответы на вопросы ответчика: При экспертизе ноутбука Acer Aspire V5-471P:

1) использовался ли ноутбук Acer Aspire V5-471P (далее - компьютер) 05.07.2017, в какие периоды времени? В лог-файле расположенном в папке C:\Temp|Новая папке (2)\log.txt обнаружены записи об операциях ПО "Клиент-банк". На основании этих данных и анализа системных журналов ОС Windows можно утверждать, что Acer Aspire V5-471P (далее - компьютер) гарантированно использовался 05.07.2017 с 08:51:25 до 15:49:22.

2) установлено ли на компьютере ПО "Клиент-Банк", когда оно установлено? На компьютере установлено ПО "Клиент-Банк". Дату установки приложения установить невозможно, но можно установить дату создания папки, 3 сентября 2013 года. Таким образом, само приложение установлено после указанной даты.

3) использовалось ли ПО "Клиент-Банк" 05.07.2017, в какие периоды времени? В лог-файле расположенном в папке C:\Temp|Новая папке (2)\log.txt обнаружены записи об операциях ПО "Клиент-банк". На основании этих данных можно утверждать, что ПО "Клиент-банк" гарантированно использовалось 05.07.2017 с 08:51:25 до 15:49:22.

4) подключались ли к компьютеру 05.07.2017 какие-либо защищенные носители информации (USB-токены), в какие периоды времени? Да, использовался USB-токен 0041150a с серийным номером 18747509473CF58048C96BC7A07E9BCF (см. рис. 13, 14). Об этом свидетельствуют записи в таблицах БД и записи в файле C:\Temp|Новая папке (2)\log.txt

5) имеется ли в памяти (журналах) компьютера и файлах ПО "КлиентБанк" запись о том, что 05.07.2017 использовался, в том числе для подписания электронных документов электронной подписью, защищенный носитель информации (USB-токен) eToken PRO Java 72K с серийным номером 0041150a, в какие периоды времени? Да, в памяти (журналах) компьютера и файлах ПО "Клиент-Банк" имеются записи о том, что 05.07.2017 использовался, в том числе для подписания электронных документов электронной подписью, защищенный носитель информации (USB-токен) 0041150a с серийным номером 18747509473CF58048C96BC7A07E9BCF 05.07.2017 с 08:51:25 до 15:49:22.

6) использовался ли на компьютере сертификат ключа проверки электронной подписи с серийным номером 28 А76-25035/2017 18747509473CF58048C96BC7A07E9BCF для подписания электронных документов электронной подписью 05.07.2017, в какие периоды времени? Да, на компьютере использовался сертификат ключа проверки электронной подписи с серийным номером 18747509473CF58048C96BC7A07E9BCF для подписания электронных документов электронной подписью 05.07.2017 с 08:51:25 до 15:49:22.

7) создавались ли на компьютере с использованием ПО "Клиент-Банк" платежные поручения со следующими реквизитами (далее - платежные поручения):

2) платежное поручение N 567 от 05.07.2017, плательщик: ООО "ТехноСнаб", ИНН 7418019987, получатель: ООО "Вип Авто Центр", ИНН 4501214392, сумма: 986 500.00 руб., назначение платежа: по счету N ТА-450 от 03.07.2017. За Автомобиль. Сумма 986 500-00, в т.ч. НДС 18% 150 483,05

4) платежное поручение N 569 от 05.07.2017, плательщик: ООО "ТехноСнаб", ИНН 7418019987, получатель: ООО "ВИП АВТО ЦЕНТР", ИНН 4501214392, сумма: 948 700.00 руб., назначение платежа: по счету N ТА-453 от 03.07.2017. За Автомобиль. Сумма 948700-00, в т.ч. НДС 18% 144 716,95.

Все перечисленные выше платежные поручения с указанными реквизитами созданы с использованием ПО "Клиент-банк", о чем свидетельствуют записи в таблицах БД и в лог-файле расположенном в папке C:\Temp|Новая папке (2)\log.txt (см. рис. 13, 14).

8) если указанные платежные поручения создавались, когда они были созданы, с использованием какого сертификата ключа проверки электронной подписи и с использованием какого защищенного носителя (USB-токена) подписаны? Указанные платежные поручения были созданы в ПО "Клиент-банк", о чем свидетельствуют записи в файле C:\Temp\Новая папке (2)\log.txt. Там же указаны дата и время создания платежных поручений. Сверка реквизитов платежных поручений в таблицах БД и записей в лог-файле проведена по идентификатору записей.

1) 2017-07-05 15:45:49 [1400:9] - thStartConnect> Получена квитанция: Статус 505; Идентификатор: 1682

2) 2017-07-05 15:45:50 [1400:9] - thStartConnect> Получена квитанция: Статус 505; Идентификатор: 1683

3) 2017-07-05 15:46:04 [1400:9] - thStartConnect> Получена квитанция: Статус 505; Идентификатор: 1685

4) 2017-07-05 15:46:06 [1400:9] - thStartConnect> Получена квитанция: Статус 505; Идентификатор: 1684 Все перечисленные платежные поручения созданы с использование защищенного носителя USB-токена 0041150a с серийным номером 18747509473CF58048C96BC7A07E9BCF (см. рис. 13, 14, 15). Записи в файле C:\Temp|Новая папке (2)\log.txt. 2017-07-05 15:45:45 [1400:1]> Связь с банком [18747509473CF58048C96BC7A07E9BCF]

9) имеется ли в журналах ПО "Клиент-Банк" запись о том, что 05.07.2017 происходило добавление нового контрагента ООО "ВИП АВТО ЦЕНТР" с иными реквизитами, в какое время? В лог-файле расположенном в папке C:\Temp|Новая папке (2)\log.txt и таблице БД обнаружены записи о добавлении нового клиента с иными реквизитами: 2017-07-05 15:14:42 [1400:1]> Сохранен в справочник получателей новый клиент: ООО "Вип Авто Центр", ИНН:4501214392

10) имеется ли на компьютере какое-либо вредоносное ПО, какое, когда оно было установлено и каким функционалом обладает? На компьютере обнаружено вредоносное программное обеспечение:

1) два экземпляра модифицированной программы "TeamViewer", установленные 27 января 2017 года в 13 ч 56 мин и 19 июня 2017 года в 12 ч 47 мин.;

2) третий экземпляр - модифицированная версия программы "Remote Manipulator System", установлен 19 июня 2017 года в 16 ч 00 мин. Перечисленное ПО позволяет удаленно получить полный доступ к компьютеру и управлять им с правами Администратора. Кроме того, возможно удаленное подключение к Web-камере и микрофону компьютера при их подключении, скрытая работа во время сеанса активного пользователя.

11) имеется ли на компьютере какое-либо ПО, позволяющее получить удаленный доступ к управлению компьютером, какое, когда оно было установлено и каким функционалом обладает? На жестком диске обнаружена программа TeamViewer версии 8, установленная 24.06.2015, установлена в стандартной папке TeamViewer. Кроме того, обнаружены модифицированные экземпляры TeamViewer (см. рис. 17, 18,19). Наличие нескольких экземпляров одной программы, в том числе модифицированных, не исключает наличие вирусного ПО. Модифицированное ПО TeamViewer позволяет скрытно от пользователя осуществить удаленное управление ноутбуком, что нарушает условия безопасного использования ПО "Клиент-банк" и нарушает условия договора N 3411/2. На компьютере обнаружено вредоносное программное обеспечение:

12) можно ли с помощью данного ПО получить скрытый от пользователя удаленный доступ к компьютеру? Да, можно. Удаленное управление может проявляться в "мерцании" экрана, запаздывание реакции на действия с "мышью" и клавиатурой, замедлении работы, прерывание соединения с интернетом. Однако, при недостаточном опыте пользователя эти проявления могут быть не замечены или отнесены к сбоям в работе ОС.

13) использовалось ли 05.07.2017 вредоносное ПО или ПО, позволяющее получить удаленный доступ к управлению компьютером? При анализе системных файлов и даты изменения файлов вредоносного ПО можно утверждать, что 05.07.2017 оно использовалось.

14) установлено ли на компьютере какое-либо антивирусное ПО, если установлено, то какое и когда? На компьютере установлено антивирусное ПО антивирус Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094), установлено во время установки ОС. Регулярно обновлялось.

15) если антивирусное ПО было установлено, то имеются ли записи в журналах антивируса об обнаружении найденного на компьютере вредоносного ПО или ПО, позволяющего получить удаленный доступ?

В журналах антивируса обнаружены следующие записи за июль 2017 года:

2017-07-02T08:21:27.778Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)

2017-07-02T08:21:37.170Z Version: Product 4.3.215.0 Service 4.3.215.0 Engine 1.1.13903.0 AS 1.247.322.0 AV 1.247.322.0

2017-07-02T08:22:15.420Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\98AF~1\AppData\Local\Temp\C83D.tmp

2017-07-02T08:22:16.656Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\Наталья\AppData\Local\Temp\C83D.tmp

2017-07-03T04:09:56.122Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)

2017-07-03T04:10:05.700Z Version: Product 4.3.215.0 Service 4.3.215.0 Engine 1.1.13903.0 AS 1.247.397.0 AV 1.247.397.0

2017-07-03T04:11:26.716Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\98AF~1\AppData\Local\Temp\6FD2.tmp

2017-07-03T04:11:27.637Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\Наталья\AppData\Local\Temp\6FD2.tmp

2017-07-03T08:30:54.272Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)

2017-07-03T08:31:05.255Z Version: Product 4.3.215.0 Service 4.3.215.0 Engine 1.1.13903.0 AS 1.247.397.0 AV 1.247.397.0

2017-07-04T08:28:13.750Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)

2017-07-04T08:28:24.786Z Version: Product 4.3.215.0 Service 4.3.215.0 Engine 1.1.13903.0 AS 1.247.421.0 AV 1.247.421.0

2017-07-04T08:28:53.490Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\98AF~1\AppData\Local\Temp\FF35.tmp

2017-07-04T08:29:06.531Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\Наталья\AppData\Local\Temp\FF35.tmp

2017-07-05T02:46:07.756Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)

2017-07-05T02:46:26.632Z Version: Product 4.3.215.0 Service 4.3.215.0 Engine 1.1.13903.0 AS 1.247.421.0 AV 1.247.421.0

2017-07-05T07:42:06.667Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)

2017-07-05T07:42:18.632Z Version: Product 4.3.215.0 Service 4.3.215.0 Engine 1.1.13903.0 AS 1.247.482.0 AV 1.247.482.0

2017-07-05T07:42:55.606Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\98AF~1\AppData\Local\Temp\79E.tmp

2017-07-05T07:42:59.230Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\Наталья\AppData\Local\Temp\79E.tmp

2017-07-05T10:17:58.058Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)

2017-07-05T10:18:07.277Z Version: Product 4.3.215.0 Service 4.3.215.0 Engine 1.1.13903.0 AS 1.247.482.0 AV 1.247.482.0

2017-07-05T10:19:46.916Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\98AF~1\AppData\Local\Temp\DBEC.tmp

2017-07-05T10:19:51.434Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\Наталья\AppData\Local\Temp\DBEC.tmp

2017-07-06T02:52:07.480Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)

2017-07-06T02:52:16.201Z Version: Product 4.3.215.0 Service 4.3.215.0 Engine 1.1.13903.0 AS 1.247.482.0 AV 1.247.482.0

2017-07-06T02:53:41.451Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\98AF~1\AppData\Local\Temp\8111.tmp

2017-07-06T02:53:46.024Z DETECTION Trojan:Win32/Dynamer!rfn file:C:\Users\Наталья\AppData\Local\Temp\8111.tmp

2017-07-06T08:32:46.242Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)

Эти записи свидетельствуют об обнаружении вредоносного ПО Trojan:Win32/Dynamer!rfn.

Trojan:Win32/Dynamer!ac создает нестандартную и вредоносную угрозу. Киберпреступники разработали это ПО для кражи конфиденциальной информации из системы. Установленное на компьютере ПО только обнаружило угрозу, но не смогло ликвидировать её автоматически. Для ликвидации этой угрозы требуется ручное вмешательство квалифицированного персонала. Как видно из вышеприведенных записей впервые в июле месяце вирусное ПО было обнаружено 2 июля 2017 и наблюдалось вплоть до 6 июля 2017. Таким образом, со стороны владельца не предпринималось никаких действий для ликвидации угрозы.

16) если антивирусное ПО было установлено, то фиксировались ли на компьютере какие-либо ошибки в работоспособности антивирусного решения, если да, то какие? Ошибки в работоспособности антивирусного решения на компьютере не зафиксированы.

17) изменялось ли системное время и дата на компьютере после 05.07.2017? Системное время и дата на компьютере после 05.07.2017 не изменялись.

18) исключена ли возможность установки/удаления ПО "КлиентБанк", антивирусного ПО, вредоносного ПО или ПО, позволяющего получить удаленный доступ к управлению компьютером, предшествующей датой? Возможность установки/удаления ПО "Клиент-Банк", антивирусного ПО, вредоносного ПО или ПО, позволяющего получить удаленный доступ к управлению компьютером, предшествующей датой не исключена.

19) производилось ли изменение/удаление файлов установленного ПО "Клиент-Банк", журналов системы, файлов вредоносного ПО или ПО, позволяющего получить удаленный доступ к управлению компьютером, и иных файлов, изменение/удаление которых может повлиять на результаты экспертизы, после 05.07.2017?

При сравнении информации жесткого диска ноутбук Acer Aspire V5- 471P (серийный номер NXM3UERD04252069E62000), жёсткого диска Western Digital WD5000BPVT (серийный номер WX21E42C0732) и жесткого диска Seagate Barrcuda 7200.10 модель ST380815AS (серийный номер 6RAB2ZPV), содержащего образ диска, созданный системой резервного копирования и аварийного восстановления данных различий не выявлено. Изменение/удаление файлов установленного ПО "Клиент-Банк", журналов системы, файлов вредоносного ПО или ПО не производилось.

20) осуществлялось ли форматирование жесткого диска компьютера или переустановка операционной системы после 05.07.2017? Нет.

При экспертизе жесткого диска Western Digital WD5000BPVT:

21) когда был создан представленный образ жесткого диска? В соответствии с Актом об изготовлении копии жесткого диска от 7 июля 2017 года (т. 2, л.д. 64) копия создана 6 июля 2017 года с использованием программного обеспечения ParagonbackUp & Recovery 16 Free Edition без вскрытия ноутбука, что соответствует проведенным исследованиям диска.

22) вносились ли какие-либо изменения в данные жесткого диска после создания образа? Нет.

23) с какого компьютера был сделан данный образ жесткого диска? Образ жесткого диска сделан с компьютера ноутбук Acer Aspire V5- 471P.

25) установлено ли на компьютере ПО "Клиент-Банк", когда оно установлено? На компьютере установлено ПО "Клиент-Банк". Дату установки приложения установить невозможно, но можно установить дату создания папки, 3 сентября 2013 года. Таким образом, само приложение установлено после указанной даты.

26) использовалось ли ПО "Клиент-Банк" 05.07.2017, в какие периоды времени? В лог-файле расположенном в папке C:\Temp|Новая папке (2)\log.txt обнаружены записи об операциях ПО "Клиент-банк". На основании этих данных можно утверждать, что ПО "Клиент-банк" гарантированно использовалось 05.07.2017 с 08:51:25 до 15:49:22.

27) подключались ли к компьютеру 05.07.2017 какие-либо защищенные носители информации (USB-токены), в какие периоды времени? Да, использовался USB-токен 0041150a с серийным номером 18747509473CF58048C96BC7A07E9BCF (см. рис. 13, 14). Об этом свидетельствуют записи в таблицах БД и записи в файле C:\Temp|Новая папке (2)\log.txt

28) имеется ли в памяти (журналах) компьютера и файлах ПО "КлиентБанк" запись о том, что 05.07.2017 использовался, в том числе для подписания электронных документов электронной подписью, защищенный носитель информации (USB-токен) eToken PRO Java 72K с серийным номером 0041150a, в какие периоды времени?

Да, в памяти (журналах) компьютера и файлах ПО "Клиент-Банк" имеются записи о том, что 05.07.2017 использовался, в том числе для подписания электронных документов электронной подписью, защищенный носитель информации (USB-токен) 0041150a с серийным номером 18747509473CF58048C96BC7A07E9BCF 05.07.2017 с 08:51:25 до 15:49:22.

29) использовался ли на компьютере сертификат ключа проверки электронной подписи с серийным номером 18747509473CF58048C96BC7A07E9BCF для подписания электронных документов электронной подписью 05.07.2017, в какие периоды времени? Да, на компьютере использовался сертификат ключа проверки электронной подписи с серийным номером 18747509473CF58048C96BC7A07E9BCF для подписания электронных документов электронной подписью 05.07.2017 с 08:51:25 до 15:49:22.

30) создавались ли на компьютере с использованием ПО "КлиентБанк" платежные поручения со следующими реквизитами (далее - платежные поручения):

2) платежное поручение N 567 от 05.07.2017, плательщик: ООО "ТехноСнаб", ИНН 7418019987, получатель: ООО "Вип Авто Центр", ИНН 4501214392, сумма: 986 500.00 руб., назначение платежа: по счету N ТА-450 от 03.07.2017. За Автомобиль. Сумма 986 500-00, в т.ч. НДС 18% 150 483,05

31) если указанные платежные поручения создавались, когда они были созданы, с использованием какого сертификата ключа проверки электронной подписи и с использованием какого защищенного носителя (USB-токена) подписаны?

Указанные платежные поручения были созданы в ПО "Клиент-банк", о чем свидетельствуют записи в файле C:\Temp|Новая папке (2)\log.txt. Там же указаны дата и время создания платежных поручений. Сверка реквизитов платежных поручений в таблицах БД и записей в лог-файле проведена по идентификатору записей.

1) 2017-07-05 15:45:49 [1400:9] - thStartConnect> Получена квитанция: Статус 505; Идентификатор: 1682

2) 2017-07-05 15:45:50 [1400:9] - thStartConnect> Получена квитанция: Статус 505; Идентификатор: 1683

3) 2017-07-05 15:46:04 [1400:9] - thStartConnect> Получена квитанция: Статус 505; Идентификатор: 1685

4) 2017-07-05 15:46:06 [1400:9] - thStartConnect> Получена квитанция: Статус 505; Идентификатор: 1684

Все перечисленные платежные поручения созданы с использование защищенного носителя USB-токена 0041150a с серийным номером 18747509473CF58048C96BC7A07E9BCF (см. рис. 13, 14). Записи в файле C:\Temp|Новая папке (2)\log.txt: 2017-07-05 15:45:45 [1400:1]> Связь с банком [18747509473CF58048C96BC7A07E9BCF]

32) имеется ли в журналах ПО "Клиент-Банк" запись о том, что 05.07.2017 происходило добавление нового контрагента ООО "ВИП АВТО ЦЕНТР" с иными реквизитами, в какое время? В лог-файле расположенном в папке C:\Temp|Новая папке (2)\log.txt и таблице БД обнаружены записи о добавлении нового клиента с иными реквизитами: 2017-07-05 15:14:42 [1400:1]> Сохранен в справочник получателей новый клиент: ООО "ВИП АВТО ЦЕНТР", ИНН:4501214392 (см. рис. 16)

33) имеется ли на компьютере какое-либо вредоносное ПО, какое, когда оно было установлено и каким функционалом обладает? На жестком диске обнаружена программа TeamViewer версии 8, установленная 24.06.2015, установлена в стандартной папке TeamViewer. Кроме того, обнаружены модифицированные экземпляры TeamViewer (см. рис. 16, 17, 18). Наличие нескольких экземпляров одной программы, в том числе модифицированных, не исключает наличие вирусного ПО. Модифицированное ПО TeamViewer позволяет осуществить скрытное удаленное управление ноутбуком, что нарушает условия безопасного использования ПО "Клиент-банк" и нарушает условия договора N 3411/2.

34) имеется ли на компьютере какое-либо ПО, позволяющее получить удаленный доступ к управлению компьютером, какое, когда оно было установлено и каким функционалом обладает? На компьютере обнаружено вредоносное программное обеспечение:

35) можно ли с помощью данного ПО получить скрытый от пользователя удаленный доступ к компьютеру? Да, можно. Удаленное управление может проявляться в "мерцании" экрана, запаздывание реакции на действия с "мышью" и клавиатурой, замедлении работы. Однако, при недостаточном опыте пользователя эти проявления могут быть не замечены или отнесены к задержкам в работе ОС.

36) использовалось ли 05.07.2017 вредоносное ПО или ПО, позволяющее получить удаленный доступ к управлению компьютером? Да, использовалось.

37) установлено ли на компьютере какое-либо антивирусное ПО, если установлено, то какое и когда? На компьютере установлено антивирусное ПО антивирус Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094), установлено во время установки ОС. Регулярно обновлялось.

38) если антивирусное ПО было установлено, то имеются ли записи в журналах антивируса об обнаружении найденного на компьютере вредоносного ПО или ПО, позволяющего получить удаленный доступ?