Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите демоверсию и консультацию

+7(495) 221-24-31

Вернуться к списку

Арбитражная практика: Неправильная регламентация использования ЭЦП в организации, и её последствия

Автор: Наталья Храмцовская

Всё более широкое применение организациями систем удаленного управления банковскими счетами (в которых ЭЦП является элементом технологии) привело к росту числа случаев краж денег со счетов, и судебных споров по этому вопросу.

Ограбленные организации, пытаясь вернуть украденные со счета средства, идут, как правило, сразу двумя путями. Они подают заявление о краже денег со счета, и этим делом начинает заниматься милиция в рамках расследования уголовного дела. Одновременно банку предъявляется претензия о ненадлежащем исполнении договора, а после отказа банка в её удовлетворении спор переносится в суд. Эти дела рассматриваются арбитражными судами.

Одним из характерных примеров является недавно принятое решение Арбитражного суда Ульяновской области от 30 декабря 2010 года по делу №А72-5310/2010. Данный пример позволяет извлечь определенные уроки из ошибок, допущенных организацией-истцом.

Суть спора

ООО «ТехноСвязь» ещё в 2005 году открыло счет в банке «Поволжский». В марте 2008 года общество заключило договор с банком об оказании услуги «Электронный банк» и начало проводить свои безналичные расчеты с использованием электронных документов, отправляемых в банк по электронной почте. 29 апреля 2010 года общество переключилось на сервис «Интернет-Клиент», т.е. стало направлять свои платежные поручения через сайт.

4 мая 2010 года (т.е. через 7 дней после подключения сервиса «Интернет-Клиент», из которых три дня 1-3 мая были нерабочими) на основании платежного поручения № 364 от 04 мая 2010 года банк списал с расчетного счета истца более 450 тысяч руб., и перечислил средства на лицевой счет физического лица в банке ВТБ-24, с указанием в назначении платежа «Оплата по договору». Эти деньги со счета физического лица были сняты 4 и 5 мая 2010 года.

Организация предъявила банку претензию в связи с несанкционированным списанием денежных средств со счета (подчеркнув, что она с данным физическим лицом никаких договоров не заключала), и опечатала компьютер, с которого осуществлялся выход в систему «Интернет-Банк». Для разбора конфликтной ситуации была создана Согласительная комиссия, в которую вошли представители истца, ответчика, а также независимый эксперт – сотрудник Ульяновского филиала ФГУП «ЦентрИнформ».

В ходе заседаний Согласительной комиссии было, в частности, установлено:

  • Право доступа к средствам создания ЭЦП, помимо генерального директора организации, на основании приказа № 34 от 30.12.2009 было предоставлено главному бухгалтеру и заместителю главного бухгалтера. Банк об этом уведомлен не был.
  • Была проведена проверка корректности ЭЦП под оспариваемым платежным поручением, которая дала положительный результат. В результате комиссия признала электронную цифровую подпись корректной.

Согласительная комиссия также запросила у ООО «БСС» - разработчика программных продуктов для организации дистанционного обслуживания клиентов ответчика - список IP-адресов, с которых происходил вход в систему.

Пострадавшая организация, считая, что именно банк нарушил условия заключенных между сторонами договоров и не обеспечил должного внутреннего контроля поступившего платежного поручения, обратилась в суд с иском о возмещении убытков.

Позиция суда

При рассмотрении спора суд, прежде всего, опирался на положения договора на оказание услуг, заключенного между банком и обществом. Договор предусматривал, что каждая из сторон несет ответственность за содержание любого электронного документа, подписанного его ЭЦП.

Сторонами не оспаривалось, что закрытый ключ ЭЦП, при помощи которого подписывались электронные документы, находится под контролем истца. Согласно «Акту признания открытого ключа (сертификата) для обмена сообщениями» от 29 апреля 2010 года, который был подписан при переходе на обслуживание через интернет, единственным владельцем ключа (сертификата) ЭЦП являлся генеральный директор ООО «ТехноСвязь».

И вот здесь свою роль сыграл выявленный согласительной комиссией и подтвержденный документально факт того, что право доступа к ЭЦП, кроме генерального директора, приказом по организации были предоставлено другим сотрудникам. Суд особо подчеркнул, что в ст. 3 закона «Об электронной цифровой подписи» вообще не предусмотрен порядок передачи кому-либо ключа (сертификата) ЭЦП. Собственноручная подпись физического лица, как и ее аналог, не подлежит передаче иным физическим (юридическим) лицам.

Кроме того, суд указал и на положение ст.12 закона, согласно которой владелец сертификата ключа подписи обязан: не использовать для ЭЦП открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее; хранить в тайне закрытый ключ ЭЦП; немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа ЭЦП нарушена. В случае несоблюдении этих требований, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.

В решении суда подчеркивается, что действующим законодательством не предусмотрена возможность подписания документа физическим лицом не своей подписью, а подписью другого физического лица. Возможно лишь подписание документа одним лицом за другое лицо, но только своей подписью и только при условии наличия соответствующей доверенности.

Попытку ответчика обосновать правомерность передачи руководителем организации средств создания ЭЦП другим лицам тем, что они были им получены в качестве представителя юридического лица, и что он был вправе предоставить доступ к ним иным лицам, суд счел несостоятельной. Суд указал, что подпись физического лица, в том числе обладающего соответствующими полномочиями, является способом индивидуализации этого физического лица, и поэтому подпись, в том числе и ЭЦП, не может быть передана другому физическому лицу.

В итоге суд пришёл к выводу о том, что действия самого клиента могли привести к списанию денежных средств, либо к утечке сведений, касающихся закрытого ключа.

Здесь мне хотелось бы обратить внимание читателей на факт, который был упомянут в тексте постановления, но не нашел должной оценки ни самими участниками процесса, ни судом. В судебном решении указывалось, что при подключении к услуге «Электронный банк» организации, помимо программного обеспечения, была передана дискетка с электронной подписью. Это означает, что генерация закрытого ключа ЭЦП была осуществлена сотрудниками банка, а не самим владельцем ключа, - и, следовательно, сотрудники банка имели доступ к закрытому ключу, что создавало возможность для злоупотреблений.

В итоге суд счел, что организация не доказала наличия вины в действиях банка. Электронный платежный документ был заверен надлежащим образом, ЭЦП признана корректной, в связи с чем у банка не имелось оснований для невыполнения распоряжения о списании средств со счета истца.

Ещё один интересный момент в данном споре связан с оценкой судом доводов истца о том, что вход в систему и формирование спорного платежного поручения было совершено с компьютера с иным IP-адресом, чем IP-адреса компьютеров общества. Суд счёл эти доводы несостоятельными, поскольку ни договор банковского счета, ни договор обслуживания не содержали каких-либо ограничений на использование любого компьютера, вне зависимости от места и вида подключения и принадлежности компьютера иному юридическому или физическому лицу.

В результате исковые требования общества были оставлены судом без удовлетворения.

Мой комментарий:

Данное судебное решение наглядно показывает, что при переходе на использование современных технологий необходимо, помимо всего прочего, изучить соответствующую законодательно-нормативную базу и оценить имеющиеся риски. В противном случае, организации сами создают себе дополнительные проблемы в случае возникновения каких-либо споров и конфликтов.

Источник: Официальный сайт Высшего арбитражного суда
http://kad.arbitr.ru/
http://rusrim.blogspot.com/2011/02/blog-post_14.html

Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

15ноября

ЭОС - участник форума «Искусственный интеллект, большие данные, отечественный софт: национальная стратегия»

Узнать больше

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

09октября

ЭОС - участник Всероссийского форума «ПРОФ ИТ»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ