Гражданский кодекс часть 1

рассмотрев в открытом судебном заседании дело по исковому заявлению открытого акционерного общества «Приморское агентство авиационных компаний» (ОГРН <***>)

к обществу с ограниченной ответственностью «Универсальная финансовая система» (ОГРН <***>)

о взыскании по договору № СП-ЖД-17 от 01 августа 2006 года убытков в размере 1 477 919 руб. 80 коп., неосновательного обогащения в размере 10 795 руб.,

при участии:

от истца – Куцый Д.Г., по дов. № б/н от 01 июля 2014 года.

от ответчика – ФИО1, по дов. № 19/09-14 от 19 сентября 2014 года; ФИО2, по дов. № 19/09-14 от 19 сентября 2014 года;

У С Т А Н О В И Л:

Открытое акционерное общество «Приморское агентство авиационных компаний» (далее – истец, партнер) обратилось в Арбитражный суд города Москвы с исковым заявлением к обществу с ограниченной ответственностью «Универсальная финансовая система» (далее – ответчик, организатор) о взыскании по договору № СП-ЖД-17 от 01 августа 2006 года убытков в размере 1 477 919 руб. 80 коп., неосновательного обогащения в размере 10 795 руб.

Ответчик против удовлетворения заявленных требований возражал по доводам, изложенным в письменном отзыве.

Рассмотрев заявленные требования, выслушав представителей сторон, исследовав и оценив в материалах дела доказательства, суд пришел к следующим выводам.

Как следует из материалов дела, 01 августа 2006 года между истцом (партнером) и ответчиком (организатором) заключен договор № СП-ЖД-17 о предоставлении услуг с использование Web-системы ufs-online.ru.

В соответствии с пунктом 1.1. договора организатор предоставляет партнеру посредством своей Web-системы www.ufs-online.ru доступ к АСУ «ЭКСПРЕСС» для выбора, расчета стоимости, и формирования заказа на оформление железнодорожных проездных документов в режиме реального времени.

Как указал ответчик в представленном отзыве, АСУ «ЭКСПРЕСС» - это автоматизированная система управления пассажирскими перевозками ОАО «РЖД». Ответчик имеет доступ к АСУ «ЭКСПРЕСС» на основе соответствующих договоров с ОАО «РЖД».

В обоснование заявленных требований истец указал, что «04 мая 2014 года через сайт Web-системы ufs-online.ru в отношении Агентства начались противоправные уголовно преследуемые деяния установленной группой лиц по несанкционированному доступу к Web-системы ufs-online.ru посредством использования аутентификационных данных (логин и пароль) Агентства, незаконно оформив при этом огромное количество железнодорожных билетов, под авансовый платеж Агентства, причинив тем самым Агентству материальный ущерб в размере 1 488 714 (один миллион четыреста восемьдесят восемь тысяч семьсот четырнадцать) рублей. 10 мая 2014 года (только спустя 7 дней после начала осуществления противоправных действий (04.05.2014 г.) в отношении Агентства) на электронный адрес Агентства обратился сотрудник УФС ФИО3, с сообщением, что от имени Агентства (используя логин и пароль сотрудника Агентства) в системе УФС идет оформление массовое электронных жд билетов, которые в день оформления данные билеты предъявляются к возврату с получением наличных гражданами денежных средств на руки в кассах жд вокзалов. Несмотря на это никаких действий по предотвращению дальнейшего несанкционированного оформления билетов со стороны УФС предпринято не было. 10 мая 2014 года Агентство официально подтвердило факт, что это мошеннические действия, и просило приостановить оформление и списание с авансового платежа денежных средств. Однако, со стороны УФС никаких действий не последовало. 13 мая 2014 года по нашей просьбе со стороны УФС было произведено изменение личного пароля и логина для доступа в систему бронирования и оформления жд билетов, но данная смена пароля и логина ничем не помогла, так как даже после смены продолжались мошеннические действия со стороны 3-х лиц и незаконная выписка жд билетов уже под новым паролем и логином. По запросу Агентства о предоставлении списка выписанных билетов с 04 мая 2014 года, в Агентстве была проведена инвентаризационная проверка, сверка отчетов агентов по продажи жд билетов с отчетами УФС. В результате сверки обнаружились электронные билеты, которые не значились в отчетах Сотрудников Агентства, и все эти билеты в день их выписки были сданы на кассах железнодорожных вокзалах и по ним был произведен возврат денежных средств. Никаких мер по предотвращению незаконных действий в отношении Агентства УФС предпринято не было. За период 04.05.2014 г. по 13.05.2014 г. от имени Агентства было оформлено 127 железнодорожных билетов на сумму 1 477 919 рублей 80 копеек, однако указанные билеты непосредственно сотрудниками Агентства не оформлялись».

Истец считает, что «денежная сумма в размере 1 477 919 (один миллион четыреста семьдесят семь тысяч девятьсот девятнадцать) рублей 80 копеек является убытками агентства, причиненными в результате ненадлежащего исполнения УФС своих обязательств по Договору, так как Ресурс, созданный УФС, является его собственностью, и обязанность по обеспечению безопасности его использования партнерами по договорам, в том числе защита от взломов или запуска в систему программ «шпионов» (например «Троянский конь») с целью скачивания и/или неправомерного использования ресурса, а так же срочное принятия мер, в том числе и технических, в случае возникновения угрозы взлома или попытки иным образом обеспечения несанкционированный доступ к системе, а тем более, когда указанные факты уже имеют место быть, лежит непосредственно на УФС. На Агентстве в свою очередь по Договору лежит обязанность следить за неразглашением имен (логинов) и паролей доступа к системе. Хищение денежных средств, являющихся собственностью Агентства, но находящихся по факту у ответчика в качестве аванса, произошло посредством входа в систему УФС, при этом хочу обратить внимание, что сотрудники Агентства не разглашали сведения, касающиеся имен (логинов) и паролей доступа к системе».

Также истец просит взыскать с ответчика 10 795 руб., являющиеся, по мнению истца, неосновательным обогащением, поскольку услуги на данную сумму оказаны не были.

В соответствии со статьей 15 Гражданского кодекса Российской Федерации (далее - ГК РФ) под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).

Согласно Постановлению Пленума Верховного Суда РФ № 6, Пленума ВАС РФ № 8 от 01.07.1996 «О некоторых вопросах, связанных с применением части первой Гражданского кодекса Российской Федерации» при разрешения споров, связанных с возмещением убытков, причиненных гражданам и юридическим лицам нарушением их прав, необходимо иметь в виду, что состав реального ущерба входят не только фактически понесенные соответствующим лицом расходы, но и расходы, которые это лицо должно будет произвести для восстановления нарушенного права (п. 2 ст. 15 ГК РФ). Необходимость таких расходов и их предполагаемый размер должны быть подтверждены обоснованным расчетом и доказательствами в качестве которых могут быть представлены смета затрат на устранение недостатков товара, работ, услуг, договор, определяющий размер ответственности за нарушение обязательств.

Взыскание убытков является мерой гражданско-правовой ответственности, обязательными условиями наступления которой является наличие нарушения права (реального ущерба или упущенной выгоды), наличие вины причинителя вреда, а также причинной связи между двумя этими элементами. Отсутствие хотя бы одного из вышеуказанных элементов исключает наступление этого вида ответственности.

При этом размер реального ущерба или упущенной выгоды, а также наличие причинной связи подлежит доказыванию истцом.

Согласно статье 393 ГК РФ лицо, требующее их возмещения, должно доказать факт нарушения права, наличие и размер понесенных убытков, а также причинную связь между нарушением права и возникшими убытками.

Вред (убытки) подлежащие возмещению при наличии состава правонарушения, включающего в себя одновременно следующие элементы: противоправность действий, наличие и размер убытков, прямую связь между противоправными действиями и возникновением убытков, вины причинителя вреда. Отсутствие одного из элементов этого состава правонарушения, исключает применение ответственности за причиненный вред.

В соответствии со статьей 65 Арбитражного процессуального кодекса Российской Федерации каждое лицо, участвующее в арбитражном процессе, обязано доказать наличие тех обстоятельств, на которые оно ссылается в обоснование своих требований или возражений.

В соответствии с пунктом 2.3.3. договора партнер обязался самостоятельно следить за неразглашение имен (логинов) и паролей доступа к системе. В случае утраты (разглашения) имен (логинов) и паролей доступа своевременно запрашивать у организатора временную блокировку или изменение параметров доступа.

Пунктом 2.4.2. договора предусмотрено, что партнер вправе создавать в системе «подчиненных» партнеру пользователей-агентов с собственными именами (логинами) и паролями, открывать и закрывать им доступ к ресурсам системы по своему усмотрению. Ответственность за действия в системе пользователей-агентов, созданных партнером, несет партнер.

Согласно пункту 5.4. договора партнер несет полную ответственность за сохранность всех своих паролей и убытки, которые могут возникнуть по причине несанкционированного их использования лицами, не имеющими соответствующего права доступа.

В соответствии с пунктом 2 части 4 статьи 6 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» обладатель информации при осуществлении своих прав обязан принимать меры по защите информации.

В соответствии с пунктом 1 части 1 статьи 16 ФЗ № 149-ФЗ защита информации представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.

Ответчик указал, что рекомендует партнерам с целью защиты доступа к системе соблюдать ряд мер информационной безопасности, в том числе:

- при первом входе в систему изменить выданный организатором пароль, а также при дальнейшей работе с системой менять пароли на регулярной основе. Данная рекомендация содержится в руководствах пользователя, размещенных в открытом доступе на партнерском сайте www.ufs-partner.ru, а также в системе, посредством отражения сообщений о необходимости сменить пароль;

- доступ в систему осуществлять через фиксированный IP-адрес партнера путем включения в системе функции установления контроля IP-адреса, позволяющей оформлять билеты через логин и пароль партнера только с контролируемого IP-адреса.

Согласно представленной ответчиком выписке из системы пароль и логин для входа в систему истцом не менялся с 24.03.2009 по 12.05.2014, функция контроля IP-адреса истцом не была подключена на протяжении всего срока работы с системой.

В связи с чем суд считает, что истцом меры информационной безопасности соблюдены не были.

Ответчик указал, что система - это комплекс программно-аппаратных средств, исключительные права на который принадлежат ответчику, предназначенный для оформления электронных билетов в режиме реального времени, посредством доступа к ресурсам АСУ «Экспресс-3». Утечка информации через систему исключена в связи с тем, что ответчик тщательно следит за соблюдением мер технический и информационной безопасности.

Ответчиком реализованы следующие технические меры по защите интерфейсов Web-системы ufs-online.ru:

- соединения защищены протоколом SSL, что не дает злоумышленникам получить доступ к передаваемым по сети данным, в том числе и паролям;

- для входа в систему необходимо знать пару логин/пароль;

- подбор пароля невозможен по причине наличия капчи, после одного неуспешного ввода пароля требуется ввести дополнительную информацию;

- в системе есть возможность ограничения входа путем отключения/включения Логинов;

- все пароли в системе хранятся в зашифрованном виде, в базе данных, доступ к которой ограничен.

Из представленного ответчиком аттестатом соответствия № 70-12 от 14 декабря 2012 года следует, что система прошла аттестацию на соответствие требованиям безопасности информации.

Кроме того, ответчик имеет лицензию на деятельность по технической защите конфиденциальной информации серия КИ <...> от 17 апреля 2014 года, выданную ФСТЭК. Ответчик указал, что состоит в реестре операторов по обработке персональных данных (на основании части 4 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Письмом исх. № 169 от 23 мая 2014 года ответчик рекомендовал истцу для предотвращения в дальнейшем аналогичных ситуаций несанкционированного доступа к системе: использовать лицензионное программное обеспечение и его регулярное обновление; иметь файрвол, ограничивающий доступ к персональному компьютеру извне; иметь лицензионный антивирус и его регулярно обновлять; не допускать вход нескольких пользователей под одним логином в систему; иметь сложные пароли (наличие букв и цифр, разный регистр, длина не менее 8 символов) и регулярно их менять (не реже одного раза в 45 дней), не передавать пароли третьим лицам, записывать их на бумажных носителях; при увольнении кассира сменить не только пароль, но и логин; использовать фиксированный IP-адрес для доступа к системе и соблюдать правила общей безопасности при работе в сети Интернет.

Судом отклоняется довод истца относительно «хищения денежных средств», поскольку денежные средства были перечислены перевозчикам в счет оплаты стоимости билетов, оформленных истцом через систему.

Ответчик указал, что при оформлении билетов через систему ему не доступна информация о том, какое лицо осуществляет оформление билетов - уполномоченное партнером или лицо, несанкционированно использующее право доступа к системе, поскольку для ответчика все билеты, оформленные под логином и паролем партнера - это билеты, оформленные уполномоченными лицами партнера, а ответственность за сохранность паролей и логинов доступа к системе и обязанность по защите доступа к системе от несанкционированного использования лежит на партнере в полном объеме.

Кроме того, за спорный период возврат 4 билетов был оформлен непосредственно ответчиком через систему по запросу партнера, стоимость данных билетов была возвращена партнеру.

Ссылки истца на Федеральный закон от 07.07.2003 № 126-ФЗ «О связи» судом не принимаются, поскольку заключенный между сторонами договор не является договором об оказании услуг связи, а ответчик не является оператором связи, поскольку не имеет лицензии на оказание услуг связи.

Суд считает, что согласно условиям договора истец имел возможность самостоятельно отслеживать состояние взаиморасчетов сторон по договору самостоятельно в системе в режиме реального времени, получать информацию о сумме внесенной предоплаты, о количестве оформленных/возвращенных с использованием системы электронных билетов.

Однако истцом отслеживание не производилось, кроме того, из представленных ответчиком в материалы дела платежных поручений от 05, 07, 08 и 12 мая 2014 года следует, что истец производил пополнение авансового платежа на расчетный счет ответчика в период, когда, по мнению истца, производились мошеннические действия по незаконному списанию средств.

Ответчиком представлен ответ ОАО «ФПК» исх. № 3106/ФПКБА от 21 ноября 2014 года (перевозчик, на поезда формирования которого были оформлены железнодорожные билеты через систему посредством логина и пароля истца) на запрос ответчика исх. № 370 от 20 ноября 2014 года, из которого следует, что из 127 билетов возвращено было 100 билетов на общую сумму 1 207 551 руб. 70 коп., 27 билетов на общую сумму 270 368 руб. 10 коп. не возвращались.

В связи с чем, суд считает, что доводы истца, изложенные в исковом заявлении, относительно размера убытков, не соответствуют обстоятельствам дела.

На основании вышеизложенного, суд считает, что истцом не доказаны наличие и размер убытков, причинная связь между убытками и действиями, а также вина ответчика.

Таким образом, не представляется возможным установить наличие совокупности всех условий для возложения на ответчика гражданско-правовой ответственности в виде возмещения убытков.

Согласно части 1 статьи 1102 ГК РФ лицо, которое без установленных законом, иными правовыми актами или сделкой оснований приобрело или сберегло имущество (приобретатель) за счет другого лица (потерпевшего), обязано возвратить последнему неосновательно приобретенное или сбереженное имущество (неосновательное обогащение), за исключением случаев, предусмотренных статьей 1109 ГК РФ.

Пунктом 2.3.1. договора предусмотрено, что партнер обязуется своевременно оплачивать услуги по организации доступа и оформлению проездных документов организатора в размере, установленном в договоре.

В соответствии с пунктом 3.5.5. договора сервисный сбор организатора за оформление перевозочных документов не возвращается ни при каких обстоятельствах.

Поскольку денежная сумма в размере 10 795 руб. является платой за услуги ответчика, оказанные истцу по договору, требование истца о взыскании неосновательного обогащения удовлетворению не подлежит.

На основании изложенного, руководствуясь ст.ст. 9, 65, 110, 123, 156, 167-170 АПК РФ, суд

РЕШИЛ:

В удовлетворении исковых требований отказать.

Решение может быть обжаловано в течение месяца с момента принятия в Девятый арбитражный апелляционный суд.

Судья: О.В. Козленкова