Банк проиграл клиенту в суде 27 миллионов рублей из-за «уязвимости в системе «Клиент-Банк»

Региональная общественная организация «Готов к труду и обороне» (далее - РОО «ГТО») в 2013 году заключила с АО «ИК Банк» (далее – Банк) договоры банковского обслуживания и электронного документооборота по системе «Клиент-Банк».

В июне 2015 года от имени РОО «ГТО» в Банк поступило 5 платежных поручений на общую сумму 32 973 357 рублей. Платежные поручения исполнены Банком, средства списаны с расчетного средства клиента.

РОО «ГТО» обратилось с сообщением о преступлении в МВД, было возбуждено уголовное дело. По итогам рассмотрения уголовного дела в конце 2015 года по ч. 3 ст. 159.6 УК РФ был осужден гражданин Рублев А.А. В пользу РОО «ГТО» было возвращено 4,8 миллиона рублей из похищенной суммы.

Материалами уголовного дела было установлено, что хищение 4,8 миллионов рублей было совершено 24.06.2015 г. в 11 часов 56 минут неизвестным лицом, находившимся в сговоре с Рублевым А.А. Злоумышленники имели неправомерный доступ к расчетному счету РОО «ГТО» за счет использования комплекса вредоносных программ.

В итоге РОО «ГТО» обратилось в арбитражный суд с иском к Банку о возврате необоснованно списанной суммы в размере 28 миллионов рублей.

По условиям договора между Банком и РОО «ГТО» в системе «Клиент-Банк» электронный платежный документ клиента заверяется аналогом собственноручной подписи (далее – АСП). Документ, подписанный АСП, является основанием для проведения операции по счету клиента.

Уполномоченным лицом для работы РОО «ГТО» в системе «Клиент-Банк» являлся президент РОО «ГТО». Он же был единственным пользователем ключа АСП. Президент РОО «ГТО» получил в Банке ключевой носитель с ключом АСП под роспись в Журнале учета и выдачи магнитных и информации, содержащей сведения ограниченного распространения.

Пользователь ключа АСП принял на себя обязательство хранить оригиналы и рабочие копии ключа АСП в сейфе для того, чтобы исключить несанкционированный доступ к ключам АСП.

В ходе судебного разбирательства выяснилось, что ключом АСП реально пользовалась главный бухгалтер РОО «ГТО», при этом ключ АСП был скопирован на рабочий стол ноутбука главного бухгалтера. Передав ключ АСП в пользование главному бухгалтеру, клиент нарушил условия договора «Клиент-Банк».

По условиям договора «Клиент-Банк» клиент несет полную ответственность за правильность оформления и передачи электронного платежного документа, а также за сохранность ключей АСП. Банк не несет ответственности за ущерб, возникший из-за утери или разглашения клиентом ключа АСП или из-за несанкционированного доступа к информации клиента.

На судебных заседаниях представитель Банка утверждал, что все поступившие от клиента платежные поручения имели корректные АСП. Банк выполнил свои обязательства по договору и исполнил платежные поручения клиента.

По требованиям Федерального закона № 161-ФЗ «О национальной платежной системе» и по условиям договора «Клиент-Банк» клиент обязан незамедлительно уведомить Банк после утраты электронного средства платежа или компрометации ключей АСП.

В нарушение условий договора РОО «ГТО» не известило Банк о возникшей 24.06.2015 г. неполадке рабочего ноутбука, на котором была установлена система «Клиент-Банк», а также хранились рабочие ключи АСП.

Истец заявил, что убытки возникли вследствие противоправного поведения Банка (нарушения им условий договоров и требований закона). По мнению истца несанкционированное списание денежных средств с банковского счета произошло в результате недостатков в системе защиты предоставляемой банком услуги «Клиент-Банк» и из-за отсутствия со стороны Банка действий по предотвращению несанкционированного доступа третьих лиц. Поэтому ответственность за несанкционированное списание несет Банк.

Банк утверждал, что своевременная реакция со стороны клиента позволила бы в оперативном порядке заблокировать права доступа к системе «Клиент-Банк» и приостановить расходные платежи с расчетного счета истца.

Суд первой инстанции посчитал, что представленные истцом доказательства не подтверждают, что несанкционированное списание денежных средств произошло из-за недостатков защиты системы «Клиент-Банк» или из-за недостатков в действиях сотрудников Банка.

В итоге 16 августа 2016 года Арбитражный суд Республики Татарстан решил в иске отказать.

РОО «ГТО» не согласилось с решением Арбитражного суда Республики Татарстан и подало апелляционную жалобу в Одиннадцатый арбитражный апелляционный суд.

Истец заявлял, что несанкционированное списание средств стало возможным из-за недостатков защиты системы «Клиент-Банк».

Банк иск не признал, ссылаясь на отсутствие вины.

Суд апелляционной инстанции посчитал, что Банк выполнил договорные обязательства в полном объеме, оставил решение суда первой инстанции без изменения, а апелляционную жалобу - без удовлетворения.

Арбитражный суд Поволжского округа не согласился с выводами судов первой и апелляционной инстанций о том, что клиент утратил ключ АСП или допустил его компрометацию.

Суд кассационной инстанции учел требования по информационной безопасности Положения Банка России от 09.06.2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утратило силу 01.01.2022) , предъявляемые к системам «Клиент-Банк»:

• Банк должен обеспечить защиту информации при переводах денежных средств, в т.ч. с использованием сети «Интернет».
• Банк должен использовать средства защиты от вредоносного кода, принимать меры по ограничению распространения вредоносного кода и устранению последствий заражения.
• Банк принимает решение о необходимости использования долговременных и одноразовых паролей для аутентификации клиента.
• При переводах денежных средств информация, электронные сообщения должны быть защищены от искажения, фальсификации, переадресации, несанкционированного ознакомления или уничтожения.
• Должны быть организованы взаимная аутентификация участников электронного обмена и выявление фальсифицированных электронных сообщений.

Суды первой и апелляционной инстанций не исследовали систему «Клиент-Банк» на выполнение требований Положения Банка России от 09.06.2012 г. № 382-П и пришли к выводу о недоказанности списания денежных средств со счета РОО «ГТО» в результате недостатков в защите системы «Клиент-Банк».

Суды не исследовали вопрос создания спорных платежных поручений на ноутбуке, принадлежащем РОО «ГТО».

При этом из рапорта старшего оперуполномоченного Отдела «К» МВД по Республике Татарстан от 25.07.2015 года следует, что спорные платежные поручения сформированы и отправлены с различных IP-адресов, обслуживаемых различными Интернет-провайдерами, зарегистрированными, в том числе, на территории Украины.

Суды не исследовали возможность Банка предотвратить неблагоприятные последствия выполнения спорных платежных поручений вплоть до отказа в их исполнении на основании поступления платежей с нетипичных IP-адресов.

В итоге суд кассационной инстанции 06.02.2017 г. отменил решение суда первой инстанции, постановление суда апелляционной инстанции и отправил дело на новое рассмотрение.

Арбитражный суд Республики Татарстан повторил выводы суда кассационной инстанции, в т.ч. об обязательности выполнения Банком требований Положения Банка России от 09.06.2012 г. № 382-П и дополнительно исследовал следующие обстоятельства.

Президент РОО «ГТО» в период отправки спорных платежных поручений на территории Украины не был, в доказательство чего представил копию загранпаспорта.

В ходе экспертизы рабочего ноутбука РОО «ГТО» были обнаружены настройки конфигурации, снижающие уровень защищенности от несанкционированного доступа к системе «Клиент-Банк»:

• открытый сетевой порт и учетная запись с паролем по умолчанию;
• отсутствие механизма защиты от несанкционированного доступа к настройкам приложения;
• наличие используемых для доступа к ПО «Клиент-Банк» аутентификационных данных в доступных пользователям конфигурационных файлах;
• отсутствие поддержки механизмов защиты от несанкционированного доступа к публичному и секретному ключам асимметричной криптографии.

Эксперт также определил в ПО системы «Клиент-Банк» на ноутбуке РОО «ГТО» «типовые функциональные недостатки», способные снизить уровень защищенности от несанкционированного доступа.

Таким образом, экспертным заключением установлено «наличие слабой системы безопасности по программе «Клиент-банк» и несоответствие ее Положениям Банка России от 09.06.2012 382-П».

Новое решение суда первой инстанции было в пользу клиента: взыскать с Банка почти 28 миллионов рублей.

Верховный Суд посчитал, что выводы эксперта о наличии слабой системы безопасности системы «Клиент-Банк» подтверждают наличие уязвимости программы «Клиент-Банк».

Наличие уязвимости программы «Клиент-Банк» повлекло хищение денежных средств у РОО «ГТО».

Верховный Суд в определении от 19.04.2018 г. отказал Банку в передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам Верховного Суда Российской Федерации.

Это дело между клиентом и банком - одно из немногих, в котором были рассмотрены вопросы защищенности системы «Клиент-Банк». В итоге выводы эксперта по вопросу защищенности системы «Клиент-Банк» стали решающими для принятия судами решения о взыскании с Банка более 27 миллионов рублей.

Рассмотрение дела № А65-4246/2016 по иску Региональной общественной организации «Готов к труду и обороне», г. Казань к Акционерному обществу «ИК Банк», г. Казань продолжалось более двух лет - с 29 февраля 2016 года по 19 апреля 2018 года.

Возможно, своевременное проведение экспертизы по вопросу защищенности системы «Клиент-Банк» и выполнения в ней требований Банка России по информационной безопасности помогло бы клиенту добиться нужного для себя судебного решения в более короткие сроки.

Из-за недостатков используемой системы «Клиент-Банк» Банк понес серьезные финансовые потери. В апреле 2016 года АО «ИК БАНК» заменил систему «Банк-Клиент» на более защищенную систему ДБО «iBank», в которой выполняются все требования Банка России по информационной безопасности.

Для защиты клиента при оказании услуг «Клиент-Банк» мы рекомендуем банкам, как минимум, применять следующие меры защиты:

• USB-токены с неизвлекаемым хранением ключей электронной подписи;
• дополнительное подтверждение платежей клиента с помощью одноразовых паролей из SMS или push-уведомлений;
• технические средства контроля клиентского рабочего места на предмет заражения вредоносным программным обеспечением или небезопасности настроек;
• списки доверенных получателей, управляемые клиентом;
• современные антифрод-решения, учитывающие при определении
• подозрительности платежа факторы нового получателя, создание платежа в недоверенной среде, отправка платежа из нового для клиента региона.

Со своей стороны клиент может существенно снизить риск хищения денежных средств по системе «Клиент-Банк» за счет простого действия – выделить для работы в системе «Клиент-Банк» отдельное рабочее место. Минимизировать круг пользователей такого рабочего места и установить ограничение на взаимодействие через сеть Интернет только с сайтом банка.