ИЗДЕРЖКИ ЦИФРОВОЙ ЭКОНОМИКИ: ПРАВОВЫЕ ПРОБЛЕМЫ ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ С БАНКОВСКОГО СЧЕТА КЛИЕНТА БЕЗ ЕГО СОГЛАСИЯ

Сперанский В.К.
К.ю.н., LLM, адвокат, управляющий партнер, Адвокатское бюро «Юрискон»

ИЗДЕРЖКИ ЦИФРОВОЙ ЭКОНОМИКИ: ПРАВОВЫЕ ПРОБЛЕМЫ ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ С БАНКОВСКОГО СЧЕТА КЛИЕНТА БЕЗ ЕГО СОГЛАСИЯ

Аннотация

С внедрением в банковскую практику систем дистанционного обслуживания, позволяющих распоряжение денежных средствами клиента через онлайн сервисы, получили широкое распространение случаи незаконных переводов денежных средств с банковских счетов без согласия их владельцев. Автор статьи анализирует существующие законодательные механизмы, направленные на противодействие незаконным переводам денежных средств, а также рассматривает вопросы гражданско-правовой ответственности банка за необеспечение сохранности денежных средств на счетах клиента. Автором делается вывод о том, что последние законодательные новеллы не обеспечивают надлежащей правовой защиты прав юридических лиц и предпринимателей на случай хищения денежных средств «кибермошенниками». Автором делаются предложения по совершенствованию законодательства и судебной практики его применения.

Ключевые слова: интернет-мошенничество, хищение денежных средств, электронные средства платежа.
Keywords: internet fraud, misappropriation of funds, e-banking.

Одновременно с внедрением в банковскую практику систем дистанционного обслуживания клиентов, при котором распоряжение денежными средствами, находящимися на банковском счете клиента, осуществляется электронными средствами платежа с использованием в них аналога собственноручной подписи (АСП), получили распространение случаи хищения денежных средств посредством электронных платежных документов (ЭПД), направленных в банк неуполномоченными лицами. По данным Центрального банка РФ, в 2018 году Банк России выявил более 400 тыс. несанкционированных операций общим объемом в 1,38 млрд рублей. Годом ранее эти показатели составили 317 тыс. операций и 961 млн рублей соответственно. Более 80% выявленных несанкционированных операций – в объеме свыше 1 млрд рублей – было совершено через Интернет и мобильные устройства [1].

По данным ФИНЦЕРТа, В 2018 году в Банк России была представлена информация о 6151 несанкционированной операции со счетов юридических лиц на общую сумму 1,469 млрд рублей, при этом в 2017 году указанные показатели составили 841 операцию и 1,57 млрд рублей соответственно. Таким образом, в 2018 году при росте числа хищений и их попыток на 631% (в 7,3 раза) наблюдается динамика снижения их объемов на 6,4% по сравнению с 2017 годом [2, 16].

Действующим гражданским законодательством, регламентирующим отношения по договору банковского счета, предусмотрена возможность удостоверения полномочий клиента по распоряжению денежными средствами, находящимися на его счете, аналогом собственноручной подписи, кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом (пункт 3 статьи 847 ГК РФ).

В статье 4 Федерального закона от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» установлено, что электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; подтверждена подлинность электронной цифровой подписи в электронном документе; электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

С 26.09.2018г. вступил в силу Федеральный закон от 27.06.2018 N 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств», которым Федеральный закон от 27.06.2011г. № 161-ФЗ «О национальной платежной системе» дополнен положениями, в соответствии с которыми оператор по переводу денежных средств, обслуживающий плательщика, при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, и возобновляет операцию только при получении подтверждения клиента, либо по истечении срока приостановления операции.

Признаки осуществления перевода денежных средств без согласия клиента устанавливаются Банком России. Такие же требования установлены законом для оператора по переводу денежных средств, обслуживающего получателя: последний по получении уведомления от оператора денежных средств, обслуживающего плательщика, обязан приостановить операцию по зачислению средств на банковский счет получателя на срок до пяти рабочих дней и уведомить получателя о необходимости предоставления документов, подтверждавших обоснованность получения средств на свой счет. При неполучении таких документов, денежных средств подлежат возврату на счет плательщика.

Несмотря на прогрессивность данных законодательных новелл, представляется, что вопрос о защите клиентов банков от хищения денежных средств с помощью несанкционированных электронных переводов не решен окончательно.

Во-первых, во исполнение требования пункта 5.1 статьи 8 Закона «О национальной платежной системе» приказом Банка России от 27 сентября 2018 года N ОД-252 [3] определены признаки осуществления перевода без согласия клиента, при выявлении которых оператор платежной системы, обслуживающий плательщика, обязан приостановить операцию по перечислению денежных средств с банковского счета.

Согласно приказу к таким признакам относятся случаи совпадения информации о получателе средств, о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью проведения перевода со сведениями из базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, которую Банк России должен вести в соответствии с п.5 ст.27 данного закона, а также несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств) операциям, обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности). Этот документ утвержден Банком России в развитие закона № 167-ФЗ, направленного на противодействие несанкционированным операциям и защиту клиентов банков от хищения средств кибермошенниками.

Как разъяснил Банк России, регулятор не устанавливает для банков порядок выявления таких транзакций. Иными словами, технические и организационные процедуры проверки подлинности платежного поручения операторы платежей выбирают сами в рамках реализуемых ими систем управления рисками. Если банк сочтет, что операция содержит признаки, которые указывают на вероятность ее проведения злоумышленниками, он должен незамедлительно связаться с клиентом для выяснения всех вопросов. А в случае если связаться с клиентом не удалось, банк вправе приостановить такую операцию на срок до двух суток [4].

С учетом вышеизложенного, выпадают из числа «признаков» несанкционированных переводов случаи получения нескольких ЭПД с разных IP-адресов; неполное или содержащее ошибки заполнение электронного платежного документа; значительное количество платежей, осуществляемых с банковского счета клиента, в адрес получателей, территориально отдаленных от места нахождения владельца счета, совершенных в течение которого промежутка времени и имеющие схожие основания, в том числе совершаемые в конце операционного дня, предшествующего праздничным и выходным дням и т.п.

Во-вторых, в соответствии с п.15 ст.9 Закона оператор по переводу денежных средств несет ответственность в размере суммы платежа за перевод денежных средств без согласия клиента – физического лица, совершенный после получения от клиента уведомления об утрате электронного ключа или его использовании без согласия клиента. Законом также предусмотрена ответственность оператора по переводу денежных средств за ненаправление клиенту уведомления о совершении операции с использование электронного средства платежа (пункты 4 и 13 ст.9 Закона). Между тем, законом не урегулированы вопросы ответственности оператора платежной системы, обслуживающего плательщика, при непринятии им мер по приостановлению операций, формально содержащих признаки осуществления перевода без согласия клиента. Думается, что в данном случае такой оператор должен нести ответственность по общим основаниям, предусмотренным в статьях 15 и 393 Гражданского кодекса РФ в размере убытков, причиненных плательщика неисполнение требований закона о приостановлении операции.

В-третьих, содержащаяся в ст.9 Закона обязанность оператора денежных средств, обслуживающего получателя, приостановить зачисление денежные средств на счет получателя сроком на 5 рабочих дней при получении уведомления о приостановлении от оператора денежных средств, обслуживающего плательщика, существует только до момента зачисления денежных средств (п.11.2 ст.9 Закона). В случае, если денежные средств уже зачислены на счет получателя, оператор денежных средств, обслуживающий получателя, уведомляет о невозможности приостановления операции.

Таким образом, законом не предусмотрено право банка блокировать ранее зачисленные на счет получателя денежные средства после получения уведомления банка, обслуживающего плательщика, что существенно снижает уровень правовой защищенности владельца несанкционированно списанных средств.

Однако, наиболее важным моментом является вопрос о том, каким образом названным законом решен вопрос об ответственности оператора за несанкционированное списание со счета клиента денежных средств, перечисленных с использованием ЭПД с корректной ЭЦП. В соответствии с п.15 ст.9 Закона в случае исполнения клиентом- физическим лицом обязанности по незамедлительному, но не позднее одного дня с момента получения уведомления от банка, информированию оператора об утере ключа или его использовании без согласия клиента, предусмотренную в п.11 ст.9 Закона банк несет ответственность за совершение несанкционированного платежа, в том числе, если не докажет, что клиент нарушил порядок использования электронного средства платежа. Может ли такой подход к установлению ответственности банка быть признан обеспечивающим надлежащую защиту с точки зрения законодательного регулирования?

Очевидно, что применение п.15 ст.9 Закона ограничивается случаем, когда клиентом является физическое лицо, на что также обращается внимание в научной литературе [5, 50]. Таким образом, вопрос об ответственности банка за несанкционированное списание денежных средств в аналогичной ситуации со счетов юридических лиц и предпринимателей законодательно не урегулирован.
В указанной связи необходимо обратить внимание на судебно-арбитражную практику, сложившуюся до введения в действия соответствующих изменений в законодательство о национальной платежной системе.

 

В пункте 2 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 «О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета» [6] разъяснено, что проверка полномочий лиц, которым предоставлено право распоряжаться счетом, производится банком в порядке, определенном банковскими правилами и договором с клиентом.

В вышеуказанном постановлении Пленума также разъяснено, что, если иное не установлено законом или договором, банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами. Таким образом, в соответствии с указанным разъяснением Пленума в отсутствие законодательного ограничения ответственности банка в условиях договора банковского счета банк обязан восстановить на счете клиента необоснованно списанную сумму независимо от своей вины, что приводит основания ответственности банка за несанкционированное списание денежных средств к общим основаниям ответственности, предусмотренным в п.1 ст.401 ГК РФ.

Между тем, анализ сложившейся уже после принятия постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 судебно- арбитражной практики приводит к выводу о том, что в подавляющем большинстве случае арбитражные суды освобождают банки от ответственности за несанкционированное списание денежных средств со счета клиента со ссылкой на условия заключенного с клиентом договора, либо ограничивающего ответственность банка в таких случаях [7], либо устанавливающих ответственность банка только за собственные виновные действия [8].

Таким образом, можно констатировать, что новеллы, введенные Законом о национальной платежной системе, за исключением дополнительно установленной процедуры приостановления перевода несанкционированно списанных со счета денежных средств и их зачисления на счет получателя, практически не коснулись владельцев счета – юридических лиц и предпринимателей, которые, будучи неспособными повлиять на условия договора банковского счета и ДДО, предлагаемого банком и, как правило, содержащих оговорку об ограничении ответственности банка, продолжают нести все риски несанкционированного списания с их счетов денежных средств по распоряжениям неуполномоченных лиц.

В отсутствие в условиях договора условий, ограничивающих ответственность банка, последний, по общему правилу, несет ответственность перед клиентом в размере несанкционированно списанной с его банковского счета суммой, что следует из пункта 2 ранее упомянутого постановления Пленума. При этом, согласно данному разъяснению, суд вправе уменьшить размер ответственности банка, когда будет установлено, что клиент своими действиями способствовал поступлению в банк указанных распоряжений (пункт 2 статьи 404 ГК РФ).

Несанкционированному распоряжению денежными средствами клиента предшествует, как правило, хищение подлинной ЭЦП клиента, которое может произойти как при несоблюдении владельцем счета мер, направленных на исключение несанкционированный доступ третьих лиц к ключам АСП, так и низкого уровня защищенности от несанкционированного доступа к системе ДБО «Банк-Клиент». Положение Банка России от 09.06.2012 N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [9] содержит ряд требований для исполнения кредитными учреждениями, осуществляющими в своей деятельности применение подобных электронных систем.

Так, при разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных с выполнением требований к защите информации при осуществлении переводов денежных средств и с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети «Интернет» (пункт 2.5.7 Положения). Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (пункт 2.7.1 Положения).

В случае обнаружения вредоносного кода или факта воздействия вредоносного кода оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры обеспечивают принятие мер, направленных на предотвращение распространения вредоносного кода и устранение последствий воздействия вредоносного кода. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры приостанавливают при необходимости осуществление переводов денежных средств на период устранения последствий заражения вредоносным кодом (пункт 2.7.5 Положения).

Оператор по переводу денежных средств, принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения в целях аутентификации клиента при осуществлении переводов денежных средств с использованием системы Интернет-банкинга, а также при подтверждении клиентом права доступа к системе Интернет-банкинга (пункт 2.8.2 Положения).

При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают: защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации; взаимную (двустороннюю) аутентификацию участников обмена электронными сообщениями; выявление фальсифицированных электронных сообщений, в том числе, имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации (пункт 2.10.4. Положения).

Между тем, ни названным Положением Банка России, ни иным специальным законодательством не установлены правовые последствия неисполнения оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры требований по обеспечению защиты информации при осуществлении переводов денежных средств». При этом судебной практике разрешения споров, связанных с несанкционированным переводом денежных средств со счета владельца, известны случаи привлечения банка к гражданско-правовой ответственности в форме возмещения убытков, причиненных хищением денежных, в связи с необеспечением при разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств, требований к защите информации при осуществлении перевода [10].

Дальнейшее развитие законодательства в области банковского дистанционного обслуживания должно обеспечить адекватную и равную защиту прав всех участников гражданского оборота, пользующихся высокотехнологичными банковскими услугами. При этом именно на банки должно быть возложено бремя доказывания обстоятельств, исключающих вину банка при оказании услуг банковского счета на всех этапах, от разработки программных продуктов, используемых банком для дистанционного обслуживания клиентов, выявления их уязвимостей таких программных продуктов, обнаружения операций, имеющих признаки перевода денежных средств без согласия клиента, и принятия самостоятельных оперативных мер по приостановлению перевода денежных средств, до блокировки денежных средств, списанных со счета без согласия плательщика, на счетах получателя на срок, необходимый владельцу счета для обеспечения защиты своих прав в судебном порядке. Неисполнение банком каких-либо из указанных функций должно являться основанием для привлечения банков к ответственности в размере причиненных владельцу счета убытков.

Литература:

  1. Банк России усовершенствовал систему выявления несанкционированных переводов денежных средств. Официальный сайт Банка России [Электронный ресурс]
  2. Обзор несанкционированных переводов денежных средств за 2018 год. ФИНЦЕРТ. Банк России. Официальный сайт Банка России [Электронный ресурс
  3. Признаки осуществления перевода денежных средств без согласия клиента. Приказ Банка России от 27 сентября 2018 года N ОД-252. Официальный сайт Банка России [Электронный ресурс] – Режим доступа: http://www.cbr.ru
  4. О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета. Постановление Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5. – И.: «Вестник ВАС РФ», N 7, 1999,
  5. Сарбаш С. В. Ответственность за нарушение обязательств по договорам банковского счета (избранные комментарии к гл. 45 ГК РФ) – И.: Вестник гражданского права, 2018. N
    № 5. С.50-83
  6. Банк России разъяснил критерии, по которым можно распознать несанкционированную операцию. Официальный сайт Банка России [Электронный ресурс] 
  7. Постановление Арбитражного суда Северо-Западного округа от 08.09.2014 N Ф07- 6505/2014 по делу N А56-47056/2013. Картотека арбитражных дел [Электронный ресурс] 
  8. Определение ВАС РФ от 17.02.2014 N ВАС-1558/14 по делу N А43-5593/2013. Картотека арбитражных дел [Электронный ресурс]
  9. Положение Банка России от 09.06.2012 N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» – И.: «Вестник Банка России», N 32, 22.06.2012.
  10. Постановление Арбитражного суда Поволжского округа от 27.12.2017 N Ф06- 17355/2016 по делу N А65-4246/2016. Картотека арбитражных дел [Электронный ресурс]