Постановление Седьмого арбитражного апелляционного суда от 16.11.2023 N 07АП-8487/23 по делу N А67-688/2023

город Томск

16 ноября 2023 г.

Дело N А67-688/2023

Резолютивная часть постановления объявлена 09 ноября 2023 года.

Постановление изготовлено в полном объеме 16 ноября 2023 года.

Седьмой арбитражный апелляционный суд в составе:

председательствующего		Киреевой О.Ю.,
судей		Ходыревой Л.Е.,
		Чикашовой О.Н.,

при ведении протокола судебного заседания секретарем Чепенко Т.В., рассмотрел в судебном заседании апелляционную жалобу Газпромбанк" (акционерное общество) (07АП-8487/2023) на решение от 06.09.2023 Арбитражного суда Томской области по делу N А67-688/2023 по исковому заявлению общества с ограниченной ответственностью "ТО СеКоМ" (636037, Томская область, город Северск, проспект Коммунистический, 121, 29, ИНН 7024037517, ОГРН 1137024000860) к "Газпромбанку" (акционерному обществу) (117420, город Москва, улица Намёткина, 16, 1, ИНН 7744001497, ОГРН 1027700167110) в лице филиала в городе Томске, третье лицо: Центральный Банк Российской Федерации (107016, город Москва, Неглинная улица, 12, ОГРН 1037700013020, ИНН 7702235133) в лице Отделения по Томской области Сибирского главного управления, о взыскании 1 687 594,54 рублей,

В судебном заседании приняли участие:

от истца: Грезина Н.Г., по доверенности от 01.02.2023 года, диплом, паспорт; Ломакина Л.И., по доверенности от 01.02.2023 года, паспорт (специалист), (в помещении Седьмого арбитражного апелляционного суда)

от ответчика: АО "Газпромбанк" - Кульменев Э.В., по доверенности от 14.03.2023 года, диплом, паспорт (в помещении Седьмого арбитражного апелляционного суда),

УСТАНОВИЛ:

общество с ограниченной ответственностью "ТО СеКоМ" (далее - ООО "ТО Секом", истец, Общество) обратилось в Арбитражный суд Томской области с иском к "Газпромбанку" (акционерному обществу) в лице филиала в городе Томске (далее - Банк ГПБ (АО), Банк, ответчик) о взыскании 2 100 000 рублей, в том числе 50 000 рублей убытков, 50 000 рублей неустойки.

В ходе рассмотрения дела, истец в порядке статьи 49 Арбитражного процессуального кодекса Российской Федерации увеличил размер исковых требований до 1 687 594,54 рублей, в том числе 1 508 000 рублей убытков, 179 594,54 рублей неустойки за период с 15.11.2021 по 15.01.2023 (т. 1, л.д. 24-25).

Определением арбитражного суда от 11.07.2023 к участию в деле в качестве третьего лица, не заявляющего самостоятельных требований относительно предмета спора, привлечен Центральный Банк Российской Федерации в лице Отделения по Томской области Сибирского главного управления (далее - Банк России).

Решением Арбитражного суда Томской области от 06.09.2023 (резолютивная часть объявлена 30.08.2023) с ответчика в пользу истца взыскано 928 000 рублей основного долга, 156 127 рублей 46 копеек неустойки за период с 16.11.2021 по 30.08.2023, в доход федерального бюджета 18 841 рубль государственной пошлины по иску. В удовлетворении остальной части исковых требований отказано, с истца в доход федерального бюджета 7 777 рублей государственной пошлины по иску

Не согласившись с решением суда, Банк обратился с апелляционной жалобой, в которой просит его отменить в части взыскания с "Газпромбанк" (Акционерное общество) 928 000 рублей основного долга, 156 127 рублей неустойки за период с 16.11.2021 по 30.08.2023, взыскании госпошлины в размере 18 841 рублей и принять по делу новый судебный акт об отказе в удовлетворении заявленных исковых требований ООО "То СеКом" к "Газпромбанк" (Акционерное общество) в полном объеме, ссылаясь, в том числе на то, что выводы, изложенные судом в судебном акте, не доказывают вину Банка, документально не подтверждены, поскольку фактические обстоятельства доказывают обратное; все операции были совершены Клиентом и подписаны его электронной подписью, что было установлено судом и не опровергнуто в рамках рассмотрения спора в суде первой инстанции; истец не обращался в Банк ГПБ (АО) с заявлением, или иным образом не уведомлял ответчика о наступлении или возникновения угрозы наступления любого из событий, создающих компрометацию Ключа электронной подписи клиента, также истец не уведомлял ответчика не о факте потери, раскрытия, искажения ключа электронной подписи, не о несанкционированных списаниях с его расчетного счета; Банк проявил добросовестность и осмотрительность и уже в рамках звонка от 16.11.2021 предложил представителю ООО "То СеКом" осуществить сброс пароля в системе для формирования со стороны Клиента нового пароля на вход или даже заблокировать кабинет от чего представитель ООО "То СеКом" Ломакина Л.И. отказалась самостоятельно; помимо самого владельца ЭП Лиханова М.Г. доступ к Системе "Клиент-BaHK.WEB" имело третье лицо (главный бухгалтер Истца Ломакина Л.И.); действиями Истца были созданы условия по несоблюдению требований безопасности, о которых Истец был уведомлен и ознакомлен, а значит ответственность по всем оспариваемым операциям ложится на сторону истца в рамках заключенных с Банком соглашений и Регламента удостоверяющего центра, к которому истец также присоединился; у Банка отсутствовали основания сомневаться в соответствии электронных платежных документов истца требованиям договора, и отказать истцу в исполнении этих документов, если они подписаны электронной подписью истца; выводы суда о том, что, признавая в одном случае исполнение ответчиком надлежащим образом обязанности по уведомлению истца о совершенных операциях, применительно к операциям, проведенным до звонка представителя истца в Банк и, одновременно, неисполнение ответчиком данной обязанности уже после звонка представителя Истца в Банк являются взаимопротиворечащими; условия договора банковского счета от 27.06.2016 N ДП/2882/16, заключенного между Ответчиком и Истцом, в части порядка информирования клиента о совершении операций соответствуют требованиям пунктов 4 и 5 ст. 9 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон N 161-ФЗ); Истец грубо нарушил пункты 3.2.1., 3.2.2., 3.2.7. Регламента УЦ, пункты 5.1.4., 5.1.5., 5.З.1., 5.3.4., 5.3.5., 5.3.6. Соглашения, а также требования Приложения N 5 к Соглашению, а именно, Рекомендации по обеспечению информационной безопасности в Системе "Клиент-Банк.WEB", а также требования Приложения N 12 к Регламенту УЦ, которые называются как Требования по обеспечению безопасности при работе со Средствами криптографической защиты информации; истцом избран ненадлежащий способ защиты нарушенного права.

От истца в порядке статьи 262 Арбитражного процессуального кодекса Российской Федерации (далее - АПК РФ) поступил отзыв, в котором с доводами апелляционной жалобы не согласился, просил решение суда оставить без изменения, апелляционную жалобу - без удовлетворения, отмечая, что юридически значимым обстоятельством, как это правомерно указано в обжалуемом решении, явился факт совершения главным бухгалтером истца Ломакиной Л.И. телефонного звонка в банк 16.11.2021 в 11 часов 34 минуты МСК, в ходе которого сообщила сотруднику банка о невозможности входа в Систему "Клиент-Банк", при этом предложенные сотрудником банка способы входа в систему оказались безрезультатными, возможность дистанционного доступа в Систему клиенту не обеспечена. Данный факт, который не оспаривался сторонами, послужил основой вывода суда о том, что клиент недвусмысленно сообщил о невозможности получения информации об операциях по счету согласованным сторонами способом. "При таких обстоятельствах суд полагает, что с этого момента у Банка не имелось оснований считать, что обязанность по информированию клиента об операциях может быть исполнена способом, предусмотренным разработанным Банком порядком электронного взаимодействия сторон, к которому клиент присоединился при заключении договора банковского счета. Это предполагало, по крайней мере, повышенный контроль Банка за совершаемыми по счету клиента операциями с использованием электронного средства платежа, поскольку продолжение совершения клиентом действий по формированию платежных поручений в ситуации озвученной невозможности доступа в систему электронного документооборота являлось явно нетипичным, нестандартным и вызывающим подозрения у любого профессионального пользователя информационного сервиса. Также обстоятельством, имеющим юридическое значение при рассмотрении дела судом первой инстанции, определено то, что в случае проведения Банком дополнительного контроля за совершением операций, имевших место 16.11.2021 и 17.11.2021 после получения после получения сведений об утрате клиентом доступа в Систему "Клиент-Банк". Банком мог и должен был быть установлен нетипичный и подозрительный характер совершаемых операций, свидетельствующий о возможности их проведения без согласия клиента - необоснованная поспешность в проведении операций - единовременная выдача денежных средств разным физическим лицам, чьи счета открыты в разных регионах страны, дробление операций и пр., что в совокупности не характерно для типичных банковских операций клиента. Вышесказанное обосновывает вывод суда первой инстанции об удовлетворении исковых требований о взыскании с ответчика в пользу истца 928 000 рублей, составляющих сумму денежных средств, подлежащих восстановлению на счете клиента - денежные средства, списанные по платежным поручениям N N 550-584 с учетом возврата денежных средств в размере 120 000 рублей в результате предпринятых ответчиком действий.

В судебном заседании представитель ответчика поддержал доводы, изложенные в апелляционной жалобе.

Представители истца в судебном заседании поддержали позицию, изложенную в отзыве на апелляционную жалобу.

Третье лицо, извещенное надлежащим образом о времени и месте судебного разбирательства, в судебное заседание апелляционной инстанции своих представителей не направило.

Арбитражный апелляционный суд считает возможным на основании статей 123, 156 (частей 1, 3), 266 (части 1) АПК РФ рассмотреть апелляционную жалобу в отсутствие неявившихся участников арбитражного процесса.

В силу части 5 статьи 268 АПК РФ в случае, если в порядке апелляционного производства обжалуется только часть решения, арбитражный суд апелляционной инстанции проверяет законность и обоснованность решения только в обжалуемой части, если при этом лица, участвующие в деле, не заявят возражений.

При непредставлении лицами, участвующими в деле, указанных возражений до начала судебного разбирательства суд апелляционной инстанции начинает проверку судебного акта в оспариваемой части и по собственной инициативе не вправе выходить за пределы апелляционной жалобы, за исключением проверки соблюдения судом норм процессуального права, приведенных в части 4 статьи 270 АПК РФ.

Учитывая, что решение суда в части отказа во взыскании задолженности, подателем жалобы не обжалуется, до начала судебного заседания от лиц, участвующих в деле, соответствующих возражений не поступило, апелляционным судом проверяется законность и обоснованность обжалуемого решения только в части взыскания денежных средств.

Заслушав представителей сторон, исследовав материалы дела, изучив доводы апелляционной жалобы и отзыва на нее, проверив в соответствии со статьей 268 АПК РФ законность и обоснованность решения суда первой инстанции в пределах доводов жалобы, апелляционная инстанция считает его не подлежащим отмене или изменению по следующим основаниям.

Как следует из материалов дела и установлено судом, между Банком ГПБ (АО) и ООО "ТО Секом" (клиентом) заключен договор банковского счета от 27.07.2016 N ДП/2882/16, в соответствии с которым Банк открыл обществу расчетный счет в валюте РФ и обязался осуществлять расчетно-кассовое обслуживание клиента на условиях присоединения клиента к действующим общим условиям расчетно-кассового обслуживания Банком ГПБ (АО) юридических лиц - некредитных организаций, индивидуальных предпринимателей и физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, а клиент обязался оплачивать услуги банка, предусмотренные тарифами, а также распоряжаться денежными средствами, находящимися на счете, в порядке и на условиях, предусмотренных договором и действующим законодательством (т. 1, л.д. 62- 104).

Между Банком и ООО "ТО Секом" заключено также соглашение о предоставлении услуг стандартного электронного документооборота Система "КлиентБанк.WEB" (далее - Соглашение), в соответствии с которым стороны договорились об обмене документами в электронной форме, подписанными электронной подписью, и установили возможность совершения клиентом операций по своему расчетному счету в Банке путем направления электронных документов, подписанных электронной подписью.

Заявление об акцепте условий данного Соглашения подписано обществом 27.09.2018, в качестве контактного лица общества при исполнении данного соглашения указана Л.И. Ломакина, являющаяся бухгалтером организации (т. 1, л.д. 105-117).

В силу пункта 2.2 Соглашения для реализации услуги, являющейся его предметом, Банк предоставляет клиенту Инсталляционный пакет (направляемый клиенту в виде электронного файла пакет, содержащий текст ссылок в сети Интернет, программное обеспечение для доступа клиента к Системе "Клиент-Банк", программное обеспечение СКЗИ и лицензию на право его использования, руководство пользователя Системой "Клиент-Банк"), а также логин и пароль для входа в Систему "Клиент-Банк".

Согласно пункту 2.3 Соглашения стороны договорились о том, что используемые во взаимоотношениях между Банком и клиентом электронные документы, подписанные посредством электронной подписи, признаются сторонами равнозначными документам, подписанным собственноручными подписями на бумажных носителях, и порождают аналогичные им права и обязанности сторон.

В соответствии с пунктом 2.4 Соглашения электронный документ порождает обязательства сторон, если он оформлен передающей стороной, подписан электронной подписью и зашифрован, а принимающей стороной расшифрован и подтверждена подлинность электронной подписи данного электронного документа.

Свидетельством того, что подтверждена подлинность электронной подписи данного электронного документа, являются Статусы "Распечатан" - для электронного документа валютного контроля, "Принят" - для остальных электронных документов в Системе "Клиент-Банк".

Согласно пункту 2.5 Соглашения стороны признают используемые ими в соответствии с Соглашением средства электронной подписи достаточными для установления лица, подписавшего документ (авторства документа), и подлинности электронного документа, а также признают невозможность внесения изменений в электронные документы, подписанные электронной подписью.

Пунктами 5.1.4, 5.3.6 Соглашения установлены обязанности клиента: обеспечивать конфиденциальность действующей парольной и ключевой информации, используемой для ограничения доступа в Систему "Клиент-Банк", шифрования данных и подтверждения авторства электронного документа; ежедневно осуществлять прием от Банка электронных документов и информационных сообщений.

В соответствии с пунктом 7.2 Соглашения Банк не несет ответственности за убытки, причиненные клиенту в случаях, предусмотренных соглашением, в том числе за последствия компрометации ключей клиента, реализации на стороне клиента угроз несанкционированного доступа к Системе "Клиент-Банк", включая угрозы воздействия вредоносного программного обеспечения из сетевого окружения компьютера клиента.

Условия предоставления и правила пользования услугами удостоверяющего центра (УЦ) Банка ГПБ (АО) для систем электронного документооборота установлены "Регламентом удостоверяющего центра" от 09.06.2018 N И/47 (далее - Регламент).

В соответствии с пунктом 1.5 Регламента заключение договора производится на условиях, предусмотренных статьей 428 ГК РФ для договора присоединения, путем акцепта оферты Банка о заключении договора без каких-либо изъятий, оговорок и условий, в порядке и на условиях, которые установлены Регламентом.

Пунктом 1.6 Регламента предусмотрено, что для заключения договора клиент должен представить в Банк Заявление об акцепте условий Регламента и изготовлении сертификата ключа проверки электронной подписи или Заявление об акцепте условий Регламента и изготовлении технологического сертификата ключа проверки электронной подписи.

С даты регистрации Заявления об акцепте условий Регламента и изготовлении сертификата ключа проверки электронной подписи или Заявления об акцепте условий Регламента и изготовлении технологического сертификата ключа проверки электронной подписи лицо, подавшее данное заявление, является стороной договора.

Заявление об акцепте условий Регламента и об изготовлении сертификата ключа проверки электронной подписи подписано истцом 27.09.2018, а также впоследствии при смене ключа электронной подписи 25.09.2019 (т. 1, л.д. 119, 120).

Пунктом 2.1.1 Регламента установлено, что пользователь УЦ самостоятельно генерирует свой ключ электронной подписи и ключ проверки электронной подписи, а также формирует электронный запрос на изготовление сертификата ключа проверки электронной подписи и заполняет Заявление об акцепте условий Регламента и изготовлении сертификата ключа проверки электронной подписи.

После проверки данных, указанных в запросе на изготовление сертификата ключа проверки электронной подписи, уполномоченное лицо УЦ изготавливает Сертификат проверки электронной подписи и направляет его для дальнейшей передачи пользователю УЦ.

В соответствии с пунктом 1.16 Регламента к основным рискам, с которыми сопряжено использование электронных подписей, средств электронной подписи и систем электронного документооборота, относятся: неправомерное использование Ключа ЭП Пользователя УЦ третьими лицами в случае его компрометации; нарушение работы Системы ЭДО в результате технических сбоев Средств электронной подписи, связи, программных средств и др.; несоответствие технологий проведения операций, внутренних порядков и процедур проведения операций, процедур управления, учета и контроля за соблюдением требований законодательства Российской Федерации.

На основании электронных платежных поручений N N 530-545, поступивших в Банк 15.11.2021, и платежных поручений NN 546-549, поступивших в Банк 16.11.2021 в 07:42 МСК в Системе "Клиент-Банк", с расчетного счета истца на счета физических лиц списаны денежные средства в общей сумме 580 000 рублей.

16.11.2021 в 11 часов 34 минуты МСК главный бухгалтер истца Л.И. Ломакина совершила телефонный звонок в банк, в ходе которого сообщила сотруднику Банка о невозможности входа в Систему "Клиент-Банк".

Предложенные сотрудником Банка способы входа в Систему оказались безрезультатны, возможность дистанционного доступа клиента в Систему не обеспечена. От составления заявки на блокировку учетной записи клиента в Системе "Клиент-Банк" Л.И. Ломакина отказалась.

Телефонный разговор сторон завершен в 11:57 МСК, что подтверждается представленной истцом историей транзакций по счету оператора сотовой связи.

Несмотря на полученные от клиента сведения о невозможности доступа в Систему "Клиент-Банк", в ходе указанного телефонного разговора и впоследствии в Банк посредством Системы "Клиент-Банк" продолжали поступать электронные платежные поручения.

Так, 16.11.2021 в период с 11:37 МСК до 11:57 МСК сформированы платежные поручения N N 550-581, которые исполнены банком с 12:08 МСК до 12:45 МСК; 17.11.2021 в период с 05:11 МСК до 05:15 МСК сформированы платежные поручения NN 582-584, которые исполнены Банком в 05:36 МСК.

Общая сумма денежных средств, списанных со счета истца в пользу физических лиц на основании сформированных после телефонного звонка бухгалтера электронных поручений, составила 1 048 000 рублей.

17.11.2021 в 09 часов 03 минуты МСК главный бухгалтер истца Л.И. Ломакина повторно сообщила Банку о невозможности входа в Систему "Клиент-Банк".

По просьбе Л.И. Ломакиной сотрудником Банка представлена информация о том, что в период с 15.11.2021 по 17.11.2021 совершались операции по счету истца.

Л.И. Ломакина сообщила о том, что списание денежных средств являлось несанкционированным, в связи с чем, Банк заблокировал учетную запись истца в Системе "Клиент-Банк".

После получения от клиента сведений о компрометации электронного средства платежа Банк 17.11.2021 направил информационные письма (запросы) в банки, обслуживающие получателей спорных переводов, с просьбами оказать содействие в блокировке и возврате денежных средств, перечисленных в результате мошеннических действий злоумышленников в Системе "Клиент-Банк" (т. 2, л.д. 27-54).

Денежные средства, перечисленные на основании платежных поручений от 16.11.2021 N N 550, 551, 552, 553, на общую сумму 120 000 рублей возвращены на расчетный счет истца.

По факту хищения денежных средств путем несанкционированного списания с расчетного счета истца 26.11.2021 следователем СО УМВД России по ЗАТО Северск возбуждено уголовное дело по признакам преступления, предусмотренного пунктом "б" части 4 статьи 158 Уголовного кодекса Российской Федерации.

В рамках уголовного дела проведена экспертиза по вопросам, касающимся наличия или отсутствия на компьютере истца вредоносного программного обеспечения и (или) программ удаленного доступа, возможности использования вредоносного программного обеспечения и установленных на компьютере истца файлов для доступа в личный кабинет Банка в системе электронного документооборота.

Согласно заключению эксперта от 21.07.2022 N 4004, на носителе WD из предоставленного персонального компьютера обнаружено легальное программное обеспечение, которое может быть использовано для нанесения вреда компьютеру или данным с датой создания 04.11.2015, датой изменения 24.07.2015.

На предоставленном персональном компьютере имеются программы удаленного доступа: программное обеспечение "TeamViewer".

Ответить на вопросы относительно возможности получения доступа в личный кабинет клиента в Системе "Клиент-Банк" с использованием указанного вредоносного программного обеспечения или программы удаленного доступа не представилось возможным.

Полагая, что Банк необоснованно произвел списание денежных средств по сформированным в период с 15.11.2021 по 17.11.2021 электронным платежным документам, ООО "ТО Секом" претензией от 30.11.2021 потребовало от Банка возместить причиненный ущерб в сумме 1 508 000 рублей (приобщена в электронном виде - т. 1, л.д. 15-16).

Письмом от 24.12.2021 N 291.23/9169 Банк сообщил истцу о том, что платежные поручения исполнены им надлежащим образом, и по условиям пункта 7.2 Соглашения Банк не несет ответственности за убытки, вызванные обстоятельствам списания денежных средств, в связи с чем рекомендовал истцу обратиться в правоохранительные органы (т. 2, л.д. 19-22).

Неисполнение требований претензии послужило основанием для обращения ООО "ТО Секом" в арбитражный суд с настоящим иском.

Суд первой инстанции в обжалуемой части принял по существу правильное решение, при этом выводы арбитражного суда первой инстанции соответствуют фактическим обстоятельствам дела и основаны на правильном применении норм действующего законодательства Российской Федерации.

Суд апелляционной инстанции поддерживает выводы суда первой инстанции, отклоняя доводы апелляционной жалобы, при этом исходит из следующего.

В силу статьи 845 ГК РФ по договору банковского счета банк обязуется принимать и зачислять поступающие на счет, открытый клиенту (владельцу счета), денежные средства, выполнять распоряжения клиента о перечислении и выдаче соответствующих сумм со счета и проведении других операций по счету.

В соответствии со статьей 854 ГК РФ списание денежных средств со счета осуществляется банком на основании распоряжения клиента; без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом.

Согласно пункту 4 статьи 847 ГК РФ договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (пункт 2 статьи 160 ГК РФ), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.

Положениями статьей 848, 849, 856 ГК РФ предусмотрена обязанность банка совершать для клиента операции, предусмотренные для счетов данного вида законом, установленными в соответствии с ним банковскими правилами и применяемыми в банковской практике обычаями делового оборота, если договором банковского счета не предусмотрено иное.

При расчетах платежными поручениями банк плательщика обязуется по распоряжению плательщика перевести находящиеся на его банковском счете денежные средства на банковский счет получателя средств в этом или ином банке в сроки, предусмотренные законом, если более короткий срок не предусмотрен договором банковского счета либо не определен применяемыми в банковской практике обычаями (В пункт 1 статьи 863 ГК РФ).

При приеме к исполнению платежного поручения банк обязан удостовериться в праве плательщика распоряжаться денежными средствами, проверить соответствие платежного поручения установленным требованиям, достаточность денежных средств для исполнения платежного поручения, а также выполнить иные процедуры приема к исполнению распоряжений, предусмотренные законом, банковскими правилами и договором (пункт 2 статьи 864 ГК РФ).

В силу статьи 856 ГК РФ Банк несет ответственность за необоснованное списание денежных средств со счета клиента.

Согласно пункту 1 статьи 2 Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи" (далее - Закон N 63-ФЗ) электронная подпись - это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном названным Федеральным законом порядке выдан сертификат ключа проверки электронной подписи (пункт 4 статьи 2 Закона N 63-ФЗ).

В соответствии с пунктом 1 статьи 6 Закона N 63-ФЗ информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

В соответствии со статьей 10 Закона N 63-ФЗ при использовании усиленных электронных подписей участники электронного взаимодействия обязаны:

1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;

2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;

3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена.

В соответствии с разъяснениями, изложенными пункте 2 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 "О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета", в случаях передачи платежных документов в банк в письменной форме банк должен проверить по внешним признакам соответствие подписей уполномоченных лиц и печати на переданном в банк документе образцам подписей и оттиска печати, содержащимся в переданной банку карточке, а также наличие доверенности, если она является основанием для распоряжения денежными средствами, находящимися на счете. Если иное не установлено законом или договором, банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами.

По общему правилу, установленному ГК РФ и распространяющемуся на отношения по договору банковского счета, должник (банк) несет риск исполнения обязательства неуправомоченному лицу (статья 312 Гражданского кодекса Российской Федерации).

При этом, как обоснованно указал суд первой инстанции, банк остается обязанным перед клиентом в отношении остатка по счету клиента, если произвел списание (и перечислил деньги третьему лицу, выдал их наличными третьему лицу или списал в счет своего требования к клиенту) без наличия законных или договорных оснований для безакцептного списания или при отсутствии подлинного распоряжения клиента о таком списании. Даже если банк при всей своей осмотрительности не смог распознать, что распоряжение по счету сделано неуправомоченным лицом, это по общему правилу не освобождает его от обязанности восстановить остаток по счету клиента, который распоряжений по счету не давал.

Специальные нормы, регулирующие порядок осуществления платежей с использованием электронных средств платежа, содержат дополнительные условия возложения на банк ответственности за необоснованное списание денежных средств со счета клиента.

Частями 11 и 12 статьи 9 Закона о национальной платежной системе предусмотрено, что в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.

После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.

Согласно пункту 13 статьи 9 Закона, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента.

При этом использование электронных средств платежа осуществляется на основании договора об использовании электронного средства платежа, заключенного оператором по переводу денежных средств с клиентом, а также договоров, заключенных между операторами по переводу денежных средств (пункт 1 статьи 9 Закона N 161-ФЗ).

Согласно пункту 4 статьи 9 Закона N 161-ФЗ оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом.

Основаниями ответственности банка по части 13 статьи 9 Закона N 161-ФЗ являются одновременно 1) не информирование клиента о платежной операции в порядке, установленном договором с клиентом и 2) совершение этой операции не с его согласия.

Таким образом, как верно указал суд первой инстанции, для освобождения банка от обязанности перед клиентом по восстановлению средств на счете в случае осуществления списания с использованием электронного средства платежа без распоряжения клиента должна быть установлена совокупность обстоятельств: принятие банком разумных и достаточных мер для проверки полномочий клиента на использование электронного средства платежа; исполнение банком обязанности по информированию клиента о совершаемых операциях способами, согласованными сторонами и обеспечивающими реальную возможность получения клиентом необходимых сведений; отсутствие уведомления со стороны клиента об утрате электронного средства платежа и (или) о совершении несанкционированных операций.

Как усматривается из материалов дела, спорные платежи были осуществлен путем приема Банком распоряжений плательщика в электронном виде, переданных посредством Системы "Клиент-Банк".

Банком при приеме к исполнению распоряжений истца было установлено, что спорные платежные поручения содержат все необходимые реквизиты, подписаны электронной цифровой подписью директора истца М.Г. Лиханова, служащей для целей подтверждения его подлинности и идентификации владельца этой ЭЦП, признанной системой подлинной (корректной), денежных средств на счете достаточной для совершения операций.

Факт соответствия подлинности электронной подписи Лиханова М.Г. подтверждается заключением Удостоверяющего центра Банка ГПБ (АО) от 20.03.2023 (т. 1, л.д. 121-158; т. 2, л.д. 1-18).

Учитывая, что операции, проведенные Банком по платежным поручениям N N 530-545 от 15.11.2021 и по платежным поручениям NN 546-549, поступившим в Банк 16.11.2021 до даты обращения представителя клиента с информацией о невозможности доступа в Систему "Клиент-Банк", были совершены в соответствии с условиями договора банковского счета, Соглашения, Регламента, и у Банка не имелось достаточных оснований для вывода о совершении данных операций без согласия клиента, суд первой инстанции пришел к выводу, что отсутствуют установленные Законом о национальной платежной системе условия для возложения на Банк обязанности перед клиентом по восстановлению средств в сумме 580 000 на счете клиента.

Решение суда в данной части апеллянтом не оспаривается.

Удовлетворяя исковые требования в остальной части, суд первой инстанции правомерно исходил из следующего.

В рассматриваемом случае, именно на истца как участника электронного взаимодействия с Банком была возложена обязанность обеспечить конфиденциальность принадлежащего обществу и используемого им в электронном документообороте ключа электронной подписи, поскольку пунктом 2.1.1 Регламента, к которому присоединился истец, предусмотрено, что клиент самостоятельно генерирует свой ключ электронной подписи и ключ проверки электронной подписи.

Из материалов дела следует, а именно из содержания заявлений общества от 27.09.2018, от 25.09.2019,что истец обращался в Удостоверяющий центр с заявлением о выдаче сертификата ключа проверки электронной подписи (то есть документа, подтверждающего принадлежность ключа проверки электронной подписи), а не о создании ключа электронной подписи. В материалы дела не представлено надлежащих доказательств, свидетельствующих о том, что истец обращалось в Удостоверяющий центр Банка с обращением о создании ключа электронной подписи, и что использовавшийся обществом ключ был создан Удостоверяющим центром.

Соответственно, оснований для возложения на Банк и (или) Удостоверяющий центр Банка, не являвшиеся держателями ключа электронной подписи, обязанности обеспечить конфиденциальность принадлежащего обществу и используемого им в электронном документообороте ключа электронной подписи не имеется.

Как указывалось ранее, частью 4 статьи 9 Закона о национальной платежной системе предусмотрено, что оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом.

Соглашением сторон предусмотрено информирование клиента о совершенных операциях и (или) предоставление отчета о совершенных операциях путем размещения информации в Системе "Клиент-Банк"; условий о направлении клиенту специальных уведомлений о каждом списании денежных средств или иной банковской операции посредством направления отдельного сообщения (например, посредством SMS, мгновенных сообщений или электронной почты) соглашение сторон не содержит.

Сами по себе такие условия договора между банком и клиентом не противоречат закону и существу используемого электронного средства платежа, а Банк до получения от клиента сведений об отсутствии доступа в Систему вправе добросовестно рассчитывать, что клиент имеет возможность отслеживать операции по счету.

Судом верно отмечено, что Банк являлся лицом, внедрившим в своей предпринимательской деятельности информационный сервис для совершения платежей (Систему "Клиент-Банк") и разработавшим комплекс договорных условий по использованию данного сервиса, к которым присоединился истец, а также являлся оператором по переводу денежных средств, на Банк возложена обязанность разработать и использовать такие способы уведомления клиента о совершенных по его счету операциях, которые позволяют клиенту эффективно, оперативно и безопасно получать достоверную информацию об операциях по счету. Также, Банк, как владелец информационной инфраструктуры и профессиональный участник в сфере осуществления банковских операций, электронных платежей, несет повышенные риски своей ответственности перед клиентом за совершенные без согласия клиента операции в ситуации, когда клиент непосредственно и недвусмысленно сообщил о невозможности получать информацию об операциях по счету с использованием предложенного Банком способа информирования. В такой ситуации стандарты поведения добросовестного и осмотрительного контрагента предполагают использование механизмов повышенного контроля за операциями по счету, в том числе непосредственное уведомление клиента о совершаемых по его счету операциях, не оставляющее сомнений в осведомленности клиента о соответствующих операциях и о его согласии на их проведение банком (например, путем согласования совершения таких операций посредством телефонной связи, по электронной почте, приостановление совершения операций до восстановления клиентом доступа к системе электронного документооборота и (или) до получения клиентом выписки по счету на бумажном носителе и т.п.).

Суд первой инстанции пришел к верному выводу, что в рассматриваемом случае, клиент недвусмысленно сообщил о невозможности получения информации об операциях по счету согласованным сторонами способом.

Так, из материалов дела следует, что 16.11.2021 в 11 часов 34 минуты МСК главный бухгалтер истца Л.И. Ломакина совершила телефонный звонок в банк, в ходе которого сообщила сотруднику Банка о невозможности входа в Систему "Клиент-Банк".

Предложенные сотрудником Банка способы входа в Систему оказались безрезультатны, возможность дистанционного доступа в Систему клиенту не обеспечена.

Соответственно, с данного момента у Банка не имелось оснований считать, что обязанность по информированию клиента об операциях может быть исполнена способом, предусмотренным разработанным Банком порядком электронного взаимодействия сторон, к которому клиент присоединился при заключении договора банковского счета, что предполагало, как минимум повышенный контроль Банка за совершаемыми по счету клиента операциями с использованием электронного средства платежа, поскольку продолжение совершения клиентом действий по формированию платежных поручений в ситуации озвученной невозможности доступа в систему электронного документооборота являлось явно нетипичным, нестандартным и вызывающим подозрения у любого профессионального пользователя информационного сервиса.

Вместе с тем, ответчиком не представлены доказательства, достоверно свидетельствующие о том, что после получения сообщения клиента о недоступности Системы "Клиент- Банк", Банк использовал механизмы эффективного извещения клиента о совершаемых операциях и дополнительного контроля за совершаемыми операциями.

При этом, в случае дополнительного контроля за совершением операций, имевших место 16.11.2021 и 17.11.2021 после получения сведений об утрате клиентом доступа в Систему "Клиент-Банк", Банком мог и должен был быть установлен нетипичный и подозрительный характер совершаемых операций, свидетельствующий о возможности их проведения без согласия клиента.

Так, формирование электронных платежных документов осуществлялось неустановленными лицами непосредственно во время телефонного звонка уполномоченного представителя общества "ТО Секом" в Банк: телефонный разговор продолжался с 11 часов 34 минут МСК до 11 часов 57 минут МСК 16 ноября 2021 года, за это время злоумышленниками сформировано 32 платежных поручения на общую сумму 960 000 рублей, которые впоследствии исполнены Банком, то есть платежных поручения были сформированы одновременно с обращением уполномоченного представителя клиента о невозможности использования системы электронного документооборота.

В этой связи, доводы апелляционной жалобы о том, что у Банка отсутствовали основания сомневаться в соответствии электронных платежных документов истца требованиям договора, и отказать истцу в исполнении этих документов, если они подписаны электронной подписью истца, подлежат отклонению как несостоятельные.

За период после уведомления клиентом Банка о неполучении информации о совершаемых платежах и об отсутствии доступа в Систему "Клиент-Банк" со счета истца по распоряжениям неустановленного лица списано 1 048 000 рублей.

Более того, получателями платежей с назначением платежей "подотчет на хозрасходы без НДС" являлись граждане, которым ранее клиент денежные средства никогда не переводил; все операции были совершены на одну сумму - 30 000 рублей, при этом одновременно совершалось несколько платежей с одной и той же суммой на счет одного и того же получателя с одинаковым назначением платежа; счета получателей находились в отделениях банков, расположенных в Москве, Санкт-Петербурге, Самаре, в то время как ранее операции по перечислению средств "подотчет на хозрасчета" осуществлялись истцом только на зарплатные карты, что также свидетельствует о том, что произведенные платежи имели признаки подозрительности, и являлись не характерными для типичных банковских операций клиента.

Данные обстоятельства подтверждают ненадлежащий контроль Банка за совершаемыми операциями со стороны кредитной организации и являются основанием для возложения на Банк обязанности по восстановлению денежных средств на счете клиента.

С учетом того, что денежные средства в сумме 120 000 рублей возвращены на счет истца в результате предпринятых Банком действий по отзыву несанкционированных операций, сумма имущественных потерь истца от необоснованного списания денежных средств составила 928 000 рублей.

Доводы Банка со ссылкой на то, что в соответствии с пунктом 9.2 Условий расчетно-кассового обслуживания, пунктов 7.2, 7.3 Соглашения банк не несет ответственности за убытки, причиненные клиенту в результате исполнения электронного документа, подписанного электронной подписью клиента в случае использования Системы "Клиент-Банк" неуполномоченными лицами клиента, были предметом оценки суда первой инстанции и обоснованно отклонены судом, поскольку названные условия договора не могут быть истолкованы как освобождающие Банк от обязанности информировать клиента об операциях по счету и от обязанности возместить клиенту сумму операции, совершенной без согласия клиента, в отсутствие его надлежащего информирования и (или) в случае грубой неосмотрительности Банка при проведении платежей. Указанная обязанность установлена частью 13 статьи 9 Закона о национальной платежной системе и является императивной, принимая во внимание, что Банк является профессиональным участником отношений по совершению банковских операций и сильной стороной в обязательстве (пункт 3 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 14.03.2014 N 16 "О свободе договора и ее пределах", пункт 45 постановления Пленума Верховного Суда Российской Федерации от 25.12.2018 N 49 "О некоторых вопросах применения общих положений Гражданского кодекса Российской Федерации о заключении и толковании договора"). Кроме того, само по себе условие об освобождении Банка от ответственности в виде возмещения убытков, причиненных клиенту, не является основанием для неисполнения Банком обязательства по возвращению необоснованно списанных денежных средств на счет клиента, не являющегося обязательством по возмещению убытков.

Ссылки апеллянта на то, что при совершении звонка в банк представитель истца сам отказался от блокировки логина и пароля в Системе "Клиент-Банк", и на то, что клиент должен был осознавать негативные последствия отсутствия доступа в Систему, не свидетельствуют о возможности освобождения Банка от исполнения обязательства по восстановлению денежных средств, перечисленных после получения от клиента сведений о невозможности доступа в Систему.

Именно Банк является лицом, разработавшим и внедрившим в своей предпринимательской деятельности соответствующую информационную систему, в связи с чем он не вправе снимать с себя все возможные риски уязвимости системы электронного документооборота. Фундаментальные принципы договорного права, такие как принципы разумности, справедливости, добросовестности и честной деловой практики, недопустимости извлечения выгоды из своих недобросовестных действий, сотрудничества участников гражданских правоотношений, предполагают сбалансированное распределение названных рисков, предопределенное, в первую очередь, возможностью осуществления лицом контроля за юридически значимыми действиями или событиями.

Суд правомерно исходил из того, что Банк не приложил требуемых от него как от профессионального участника банковского рынка и как от держателя информационной инфраструктуры усилий по содействию клиенту в минимизации негативных последствий от действий злоумышленников. При этом сообщенные клиентом сведения о невозможности доступа в информационную систему в совокупности с доступными Банком сведениями о продолжении формирования электронных платежных документов и о явно подозрительном и нетипичном характере планирующихся платежей свидетельствовали о нарушении безопасности электронного документооборота. Клиент же, не являющийся профессионалом в этой области и разработчиком внедренного банком программного обеспечения, вправе был рассчитывать на профессионализм банка, на принятие им достаточных средств для обеспечения информационной безопасности или, по крайней мере, на раскрытие информации о продолжении операций по счету; непринятие клиентом самостоятельных активных действий по немедленной блокировке аккаунта сразу же после утраты доступа в информационную систему не может рассматриваться как явно неосмотрительное или неосторожное поведение.

Доводы Банка о том, что причиной списания денежных средств явилось необеспечение клиентом информационной безопасности, также подлежат отклонению, поскольку доказательств того, что клиентом не было принято достаточных мер по безопасности не представлено или, что какие-либо действия клиента непосредственно привели к списанию денежных средств, вина истца в списании денежных средств с его счета в форме умысла или грубой неосторожности не установлена ни в рамках расследования уголовного дела, ни при рассмотрении настоящего дела в арбитражном суде.

Оценив в совокупности представленные в материалы дела доказательства, обстоятельства дела, апелляционный суд поддерживает вывод суда первой инстанции о том, что истцом доказано наличие совокупности условий для взыскания с Банка денежных средств.

Все другие доводы и возражения сторон также были предметом оценки и исследования суда первой инстанции, у суда апелляционной инстанции оснований для иной оценки не имеется.

Довод апеллянта о том, что истцом избран ненадлежащий способ защиты нарушенного права, признается судом несостоятельным, поскольку согласно правовой позиции, сформулированной в постановлении Президиума Высшего Арбитражного Суда Российской Федерации от 28.04.2009 г. N 15148/08, способ судебной защиты признается надлежащим в случае, если он обеспечивает возможность восстановления нарушенного права.

В рассматриваемом случае, избранный истцом способ защиты является надлежащим, поскольку фактически обеспечивает восстановление нарушенных прав истца.

Суд апелляционной инстанции считает, что в данном случае подателем жалобы не представлено в материалы дела надлежащих и бесспорных доказательств в обоснование своей позиции, доводы, изложенные в апелляционной жалобе, не содержат фактов, которые не были бы проверены и не учтены судом первой инстанции при рассмотрении дела и имели бы юридическое значение для вынесения судебного акта по существу, влияли на обоснованность и законность судебного акта, либо опровергали выводы суда первой инстанции, в связи с чем, признаются судом апелляционной инстанции несостоятельными и не могут служить основанием для отмены решения суда первой инстанции в обжалуемой части.

Учитывая изложенное, оснований для отмены решения суда первой инстанции, установленные статьей 270 Арбитражного процессуального кодекса Российской Федерации, а равно принятия доводов апелляционной жалобы, у суда апелляционной инстанции не имеется.

В соответствии со статьей 110 Арбитражного процессуального кодекса Российской Федерации государственная пошлина по апелляционной жалобе подлежит отнесению на ее подателя.

Руководствуясь пунктом 1 статьи 269, статьями 110, 271, Арбитражного процессуального кодекса Российской Федерации, апелляционный суд

ПОСТАНОВИЛ:

решение от 06.09.2023 Арбитражного суда Томской области по делу N А67-688/2023 в обжалуемой части оставить без изменения, апелляционную жалобу - без удовлетворения.

Постановление может быть обжаловано в порядке кассационного производства в Арбитражный суд Западно-Сибирского округа в срок, не превышающий двух месяцев со дня вступления его в законную силу, путем подачи кассационной жалобы через Арбитражный суд Томской области.

Председательствующий

О.Ю. Киреева

Судьи

Л.Е. Ходырева О.Н. Чикашова