Как взыскать убытки с банка при взломе системы ДБО

Мы с неподдельным удовольствием продолжаем следить за вектором судебной практики по делам о взыскании похищенных со счетов клиентов безналичных денежных средств.

Ранее мы уже обращали внимание на некоторые вопросы, связанные с рассмотрением указанной категорией споров (см. Через интернет-банк похищены денежные средства: что делать и можно ли взыскать убытки с банка?; Доказывание причинно-следственной связи по делам о взыскании убытков на примере дел о хищении денежных средств со счетов клиентов банков).

В рамках настоящего аналитического обзора мы постараемся обратить внимание на новые вопросы, с которыми команда наших юристов столкнулась в одном из судебных процессов, а также обратим внимание на последние тенденции в судебной практике в 2017 г. по делам о несанкционированном списании денежных средств со счетов клиентов банковских организаций.

Правовая природа безналичных денежных средств на счете

Вопрос определения природы безналичных денежных средств, размещаемых на счете в кредитной организации, неоднократно являлся предметом правовой оценки, как со стороны Конституционного Суда РФ, так и иных судебных органов.

В 2014 г. Конституционный суд РФ разъяснил, что по своей правовой природе безналичные денежные средства, существующие в виде записи на банковском счете кредитора (их обладателя), представляют собой его обязательственное требование на определенную сумму к кредитной организации, в которой открыт данный счет (Постановление Конституционного Суда РФ от 10.12.2014 N 31-П "По делу о проверке конституционности частей шестой и седьмой статьи 115 Уголовно-процессуального кодекса Российской Федерации в связи с жалобой закрытого акционерного общества "Глория"). 

Указанная позиция Конституционного Суда РФ была в полностью воспринята судебной практикой, а также закреплена позднее самим же Конституционном Судом в Постановлении от 27.10.2015 N 28-П.

АС Западно-Сибирского округа в Постановлении от 30.05.2017 N Ф04-1441/2017 по делу N А45-19848/2016 указал: «В силу статьи 128 Гражданского кодекса Российской Федерации безналичные денежные средства являются объектом гражданских прав. Согласно правовому подходу, содержащему в Постановлении Конституционного Суда Российской Федерации от 10.12.2014 N 31-П, безналичные денежные средства, будучи разновидностью имущества, не относятся к вещам, а потому не могут являться объектом вещных прав в гражданско-правовом смысле, - по своей природе безналичные денежные средства, существующие в виде записи на банковском счете кредитора (их обладателя), представляют собой его обязательственное требование на определенную сумму к кредитной организации, в которой открыт данный счет. 

По смыслу статьи 845 ГК РФ право распоряжения денежными средствами, поступившими на банковский счет, принадлежит владельцу счета (клиенту).

Из системного толкования приведенных положений следует, что владелец счета является, по общему правилу, лицом, которому принадлежат права требования к кредитной организации (владельцем безналичных денежных средств)».

Указанная позиция единообразна и воспринята всеми судами: Постановление Арбитражного суда Северо-Кавказского округа от 29.06.2016 N Ф08-4036/2016 по делу N А53-32549/2014, Постановление АС Волго-Вятского округа от 25.09.2017 N Ф01-3776/2017, Ф01-3775/2017 по делу N А82-9031/2016 и др.  

Кто виноват и сможет ли банковское лобби противопоставить что-то новому подходу судов?

Именно кредитная организация, которая осуществляет банковские операции с находящимися на открытых в ней счетах денежными средствами, включая их списание, является тем лицом, которое должно и может непосредственно обеспечивать сохранность этих денежных средств (Постановление Арбитражного суда Поволжского округа от 08.06.2017 N Ф06-21222/2017 по делу N А12-41195/2016). 

Знаковым судебным прецедентом в российской судебной практике последних лет по рассматриваемой нами категории дел уверенно можно назвать дело № А40-216859/2015  по иску ООО "Электросервисмонтаж" к открытому акционерному обществу "МОСКОВСКИЙ КРЕДИТНЫЙ БАНК" о взыскании убытков, вызванных незаконным списанием Банком денежных средств со счета общества.

Указанное дело интересно тем, что в нем судами впервые за последние годы сделан акцент на повышенные требования к профессиональным участникам  рынка банковских услуг и осуществлено справедливое перераспределение рисков между банком и его клиентом, несмотря на то, что предметом атаки хакеров выступал непосредственно персональный компьютер клиента банка, а все риски несанкционированного доступа к нему отнесены на клиента,согласно условиям договора на ДБО.

Спор, рассмотренный в рамках настоящего дела арбитражными судами Московского округа, является хрестоматийным, а обстоятельства, подлежащие доказыванию каждой из сторон, несомненно являются предметом исследования по всем аналогичным делам.

В раннее опубликованных на нашем сайте материалах, мы уже обращали внимание на то, что если бы большинство банков банковской системы РФ, использовали в разрабатываемых и используемых ими  банковских продуктах минимально необходимые программные средства обеспечения безопасности, можно было бы избежать значительного количества инцидентов, связанных с неправомерным доступам к системам ДБО.

АС Московского округа, проверяя обоснованность принятых судами нижестоящих инстанций по делу судебных актов, обратил внимание на следующее.

Определением по делу была назначена экспертиза, по результатам которой установлено, что имеются признаки несанкционированного доступа к ЭВМ бухгалтера. Однако вышеуказанной экспертизой также установлено, что уровень безопасности ПО «Банк-Клиент», являющегося программой ОАО «Московский кредитный банк», низкий, при этом Банком не представлено достоверных сведений о примененных им аппаратных и программных средствах защиты.

Опираясь на экспертное заключение суд указал, что повышение уровня безопасности программного обеспечения могло бы воспрепятствовать несанкционированному вторжению со стороны третьих лиц.

Кроме того, АС Московского округа обратил внимание на то, что поскольку банк несет перед клиентом ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, следовательно, на нем лежит и обязанность самостоятельно предусмотреть защиту от проникновения третьих лиц.

Кроме того, именно банк, являясь специалистом на рынке оказания таких услуг, должен определить достаточность надежности работы при приеме, передаче, обработке и хранении информации, а также защите информации, обеспечивающей разграничение доступа, шифрование, контроль целостности и других параметров. В спорной ситуации противоправность поведения ответчика имеет форму бездействия, которое считается противоправным, поскольку на ответчике лежала обязанность совершать определенные действия по обеспечению безопасности работы электронных систем дистанционного обслуживания. В связи с этим доводы банка о том, что спорное платежное поручение было подписано корректной (подлинной) ЭП клиента, поэтому оно не могло быть не принято к исполнению банком как стороной договора, суды правомерно отклонили как несостоятельные.

Как уже было указано ранее, примечателен указанный судебный акт еще и тем, что, несмотря на стандартные для банков условия договора на ДБО об отнесении всех рисков несанкционированного доступа на клиента, суд удовлетворил требования заявителя, сославшись на презумпцию вины банка, как профессионального участника рынка, предусмотренную в абз. 3 п. 2 Постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 N 5 «О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета»  согласно которой, если иное не установлено законом или договором, банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами. 

Мы искренне надеемся, что указанный судебный акт будет отправной точкой в формировании нового вектора судебной практики по делам о взыскании убытков, причиненных несанкционированным доступом к системам ДБО «Банк-клиент».