того, Банком России утверждено Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств от 09.06.2012 № 382-П (далее – Положение № 382-П), которым установлены многочисленные требования, предъявляемые к банку при осуществлении переводов денежных средств, в том числе посредством систем ДБО, а именно: - оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, должен относить события, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента, неоказанию услуг по переводу денежных средств, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет (пункт 2.1 Положения № 382-П).
Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе» защита информации обеспечивается путем реализации операторами и агентами правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления и распространения, а также от иных неправомерных действий в отношении информации. В силу пункта 2.10.4 Положения № 382-П при эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают, в том числе выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации. Вместе с тем, согласно выписке о соединениях клиента с сервером Банка через ИКБ (лог соединения клиента 4557753060 с сервером ИКБ с 11.11.2014 по 13.11.2014) все операции проведены с IP-адреса (77.34.50.132) компьютера,
банком самостоятельно. В этой связи каких-либо препятствий обществу проанализировать свои внутренние документы и дополнить их с учетом результатов инспекционной проверки не имеется. Как уже было указано выше, нарушение абзаца 2 пункта 2.7.1 Положения №382-П, отраженное в абзаце 2 пункта 6 оспариваемого предписания, сложилось на счет неприменения обществом к рабочим станциям, включенным в локальную вычислительную сеть банка, антивирусного программного обеспечения. Согласно пункту 2.7.1 данного Положения оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры, на средствах вычислительной техники, включая банкоматы и платежные терминалы, при наличии технической возможности. Из материалов дела следует, что в банке в качестве рабочих станций сотрудником по обслуживанию клиентов банка используются современные офисные ПЭВМ, в которых техническая возможность использования технических средств защиты информации от воздействия вредоносного кода предусмотрена производителем ПЭВМ изначально (конструктивно). Доказательств,
клиентом при осуществлении переводов денежных средств, самостоятельно или с привлечением сторонних организаций, а также при разработке изменений указанного программного обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных с выполнением требований к защите информации при осуществлении переводов денежных средств и с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет" (пункт 2.5.7 Положения). Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (пункт 2.7.1 Положения). В случае обнаружения вредоносного кода или факта воздействия вредоносного кода оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры обеспечивают принятие мер, направленных на предотвращение распространения вредоносного кода и устранение последствий воздействия вредоносного кода. Оператор по переводу денежных средств, банковский платежный агент
переводов MasterCard MoneySend в банкоматах истца, card-to-card, и боевые настройки в программном обеспечении, установленном на банкоматах истца (дополнительные соглашения от 21.07.2016 № 7 к договору). Истец, обращаясь с иском к АО «КОКК», указывал на то, что в период с 15.05.2018 по 19.05.2018 неустановленными лицами - держателями карт ПАО «СБЕРБАНК» (далее - отправителями) произведены множественные однотипные операции перевода денежных средств на общую сумму 134 122, 69 долларов США. По мнению истца, АО «КОКК» (как оператор услуг платежной инфраструктуры ) не приняло во внимание, что правила денежных переводов MasterCard MoneySend Program Guide (далее - Правила) и иные стандарты платежной системы MasterCard (далее - Стандарты) не допускают совершение операций Reversal без согласия получающей стороны (Receiving Institution), за исключением указанных в них случаях и в установленном ими порядке, а именно: в случае задокументированной технической ошибки и при обязательном согласовании с банком-эмитентом получателя денежного перевода (Банком Тинькофф). Спорные операции к предусмотренным правилами и стандартами случаям
и при этом имеются достаточные доказательства, ставящие под сомнение проведенную операцию. П. 22.5 Правил платежной системы «MasterCard» в России предусмотрено, что при наличии у участника претензии к какому-либо оператору услуг платежной инфраструктуры (за исключением Расчетного центра), он должен направить ее соответствующему оператору услуг платежной системы заказным письмом в течение 30 дней с даты события, к которому она относится, в которой должно быть изложено описание жалобы в достаточных подробностях для ее расследования; а соответствующий оператор услуг платежной инфраструктуры должен провести расследование и в срок не позднее 60 дать ответ на претензию в письменном виде. Таким образом, платежная система определяет период опротестования выполненной платежной операции. Согласно выписке по счету карты № оспариваемая истицей операция по списанию со счета истицы денежных средств в размере 11 319 рублей 18 копеек на приобретение у компании РАЙАНЭЙР авиабилетов по маршруту <адрес> для пассажиров ФИО1 и ФИО2 с датой вылета ДД.ММ.ГГГГ проведена банком ДД.ММ.ГГГГ (л.д. 7, 23,
гражданско-правовую ответственность в виде возмещения причиненных ему убытков. Доказательств того, что изменение получателя платежа произведено сотрудниками компании MoneyGram в материалах дела не имеется, сторонами не представлено. Выводы суда об удовлетворении исковых требований о взыскании ущерба, неустойки, компенсации морального вреда и штрафа в связи с нарушением прав потребителя соответствуют фактическим обстоятельствам дела и подлежащим применению в рассматриваемом случае нормам материального права. В соответствии со ст.3 Федерального закона от 27.06.2011 №161-ФЗ «О национальной платежной системе» оператор услуг платежной инфраструктуры - операционный центр, платежный клиринговый центр и расчетный центр; платежный клиринговый центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы прием к исполнению распоряжений участников платежной системы об осуществлении перевода денежных средств и выполнение иных действий, предусмотренных настоящим Федеральным законом; оператор по переводу денежных средств - организация, которая в соответствии с законодательством Российской Федерации вправе осуществлять перевод денежных средств; платежная услуга - услуга по переводу денежных средств,
доходов, полученных преступным путем, или финансирования терроризма. Положение Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», утв. Банком России 09.06.2012 № 382-П, вводит ряд требований и к защите банкоматов. В силу п. 2.6.1. Положение Банка России от 09.06.2012 № 382-П оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов. Согласно п. 2.6.3. при осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают: выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации; идентификацию, аутентификацию, авторизацию участников платежной
и при этом имеются достаточные доказательства, ставящие под сомнение проведенную операцию. Пункт 22.5 Правил платежной системы «MasterCard» в России предусматривает, что при наличии у участника претензии к какому-либо оператору услуг платежной инфраструктуры (за исключением Расчетного центра), он должен направить ее соответствующему оператору услуг платежной системы заказным письмом в течение 30 дней с даты события, к которому она относится, в которой должно быть изложено описание жалобы в достаточных подробностях для ее расследования; а соответствующий оператор услуг платежной инфраструктуры должен провести расследование и в срок не позднее 60 дней дать ответ на претензию в письменном виде. Таким образом, платежная система определяет период опротестования выполненной платежной операции. В силу п. 3 ст. 308 Гражданского кодекса Российской Федерации обязательство не создает обязанностей для лиц, не участвующих в нем в качестве сторон (для третьих лиц). Как установлено п. 1.25 "Положения о правилах осуществления перевода денежных средств", утвержденного Банком России от 19.06.2012 N 383-П, банки не
может согласиться с доводами истицы об оказании ей ответчиком услуги ненадлежащего качества. Согласно п.п 2;7;12 ч. 1 ст. 3 Федерального закона РФ от 27.06.2011 № 161-ФЗ « О национальной платежной системе» переводом денежных средств являются действия оператора по переводу денежных средств в рамках применяемых форм безналичных расчетов по предоставлению получателю средств денежных средств плательщика. Под оператором по переводу денежных средств понимается организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств; Оператор услуг платежной инфраструктуры - операционный центр, платежный клиринговый центр и расчетный центр; Оператор услуг платежной инфраструктуры осуществляет свою деятельность в соответствии с правилами платежной системы и договорами, заключаемыми с участниками платежной системы и другими операторами услуг платежной инфраструктуры. Как следует из п.1.1 и 1.3 Условий осуществления денежного перевода через систему денежных переводов «MoneyGram» услуга денежных переводов «MoneyGram» предоставляется компанией MoneyGram International B.V. для лиц в Нидерландах («мы») посредством сети агентов, авторизованных уполномоченных лиц или иных разрешенных
