Гражданский кодекс часть 1

третье лицо: Центральный Банк Российской Федерации (107016, <...>, ОГРН <***>, ИНН <***>) в лице Отделения по Томской области Сибирского главного управления,

о взыскании 1 687 594,54 рублей,

УСТАНОВИЛ:

Общество с ограниченной ответственностью «ТО СеКоМ» (далее – ООО «ТО Секом») обратилось в Арбитражный суд Томской области с иском к «Газпромбанку» (акционерному обществу) в лице филиала в городе Томске (далее – Банк ГПБ (АО), Банк) о взыскании 100 000 рублей, в том числе 50 000 рублей убытков, 50 000 рублей неустойки.

До принятия решения судом первой инстанции истец в порядке статьи 49 Арбитражного процессуального кодекса Российской Федерации увеличил размер исковых требований до 1 687 594,54 рублей, в том числе 1 508 000 рублей убытков, 179 594,54 рублей неустойки за период с 15.11.2021 по 15.01.2023 (т. 1, л.д. 24-25).

Исковые требования обоснованы статьями 15, 401, 395, 845, 846, 856, 1064 Гражданского кодекса Российской Федерации, Федеральным законом от 27.06.2021 № 161-ФЗ «О национальной платежной системе» (далее – Закон о национальной платежной системе) и мотивированы тем, что в период с 15.11.2021 по 17.11.2021 ответчиком приняты к исполнению платежные поручения, сформированные в электронном виде в отсутствие распоряжений истца, и по ним перечислены денежные средства в пользу физических лиц, не известных истцу; в результате данных действий Банка истцу причинены убытки в сумме 1 508 000 рублей. При осуществлении данных банковских операций Удостоверяющим центром Банка, выдавшим ключ электронной подписи, не исполнена обязанность по обеспечению конфиденциальности ключа электронной подписи, поскольку подтверждена возможность копирования ключевой информации с ключа электронной подписи на жесткий диск системного блока компьютера; ответчиком не исполнена обязанность по уведомлению истца о совершенных операциях; ответчиком ненадлежащим образом исполнена обязанность по обеспечению внутреннего контроля с целью выявления и приостановления операций по переводу денежных средств, имеющих признаки осуществления перевода без согласия клиента, и сомнительных операций, конечной целью которых является обналичивание денежных средств.

Определением арбитражного суда от 11.07.2023 к участию в деле в качестве третьего лица, не заявляющего самостоятельных требований относительно предмета спора, привлечен Центральный Банк Российской Федерации в лице Отделения по Томской области Сибирского главного управления (далее – Банк России).

Банк ГПБ (АО) представил в соответствии со статьей 131 Арбитражного процессуального кодекса Российской Федерации отзыв на исковое заявление и дополнения к нему, в которых просил в удовлетворении исковых требований отказать. По мнению ответчика, истец не представил доказательства ненадлежащего исполнения ответчиком договорных обязательств и неправомерного распоряжения денежными средствами истца. Согласно условиям подписанного сторонами соглашения о предоставлении услуги стандартного электронного документооборота с использованием системы «Клиент-Банк.WEB» (далее также – Система «Клиент-Банк») обязанность по обеспечению конфиденциальности ключа электронной подписи должен был исполнять сам истец; все действия по шифрованию, передаче платежного документа в банк, по его расшифровке и исполнению происходят в автоматическом режиме без участия сотрудников банка; поступившие от истца по системе «Клиент-Банк.WEB» платежные поручения были подписаны электронной подписью истца, прошли все автоматические проверки и исполнены банком. Согласно заключению Удостоверяющего центра Банка по результатам проверки подлинности электронной подписи, все платежные документы были подписаны электронной подписью директора истца ФИО4. Истец уведомлялся банком о совершенных операциях путем размещения соответствующих сведений в системе «Клиент-Банк.WEB», истцу был обеспечен онлайн-доступ к данным по своему счету. Спорные операции по списанию денежных средств соответствовали обычному поведению клиента и не являлись нестандартными с точки зрения контрагентов, объемов и содержания. Фактические обстоятельства дела и представленные истцом доказательства не содержат признаков, свидетельствующих о возможности признания спорных операций подозрительными с точки зрения законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и для приостановления операций по данному основанию. Истец нарушил условия заключенного с банком соглашения «Клиент-Банк» и не обеспечил безопасность функционирования рабочего места, списание денежных средств со счета истца стало следствием необеспечения им требований информационной безопасности, доступа злоумышленников во внутреннюю сеть истца посредством программного обеспечения «Team Viewer», отсутствия ежедневного контроля за проводимыми платежами, отсутствия своевременного обращения в Банк с сообщением о компрометации ключа электронной подписи. Истцом не доказана совокупность условий для возмещения убытков Банком и избран ненадлежащий способ защиты нарушенного права, поскольку таковым является предъявление требований к гражданам, которым были совершены спорные платежи, о возврате неосновательного обогащения.

Банк России в своем отзыве на исковое заявление указал, что проведенная им проверка по реквизитам получателей указанных истцом платежей не выявила наличия данных сведений в базе данных о случаях и попытках осуществления перевода денежных средств без согласия клиента (далее – база данных ФинЦЕРТ) в даты и время их исполнения Банком. Условия заключенного сторонами соглашения относительно порядка информирования клиента о совершении операций, а также внутренние документы Банка относительно обеспечения защиты информации при осуществлении переводов денежных средств соответствуют Закону о национальной платежной системе и требованиям Банка России в части защиты информации. Обязанность удостоверяющего центра обеспечить конфиденциальность ключей электронных подписей относится только к собственным ключам электронных подписей удостоверяющего центра и к ключам, созданным удостоверяющим центром по специальному обращению заявителей; в соответствии с Регламентом Банка не предусмотрена возможность изготовления ключей электронных подписей пользователей Удостоверяющего центра, напротив, пользователь самостоятельно генерирует свой ключ электронной подписи; в этой связи является необоснованным довод истца о необеспечении ответчиком конфиденциальности ключа электронной подписи. Банк России указал, что к его полномочиям не относится оценка законности выполнения ответчиком спорных операций, в связи с чем оставил разрешение данного вопроса на усмотрение суда.

Третье лицо, извещенное надлежащим образом о времени и месте судебного разбирательства, явку своего представителя в судебное заседание не обеспечило, сообщило о возможности рассмотрения дела в отсутствие его представителя.

Руководствуясь частями 2, 5 статьи 156 Арбитражного процессуального кодекса Российской Федерации, суд считает возможным рассмотреть дело в отсутствие представителя третьего лица, надлежащим образом извещенного о времени и месте судебного разбирательства.

В судебном заседании представителем истца заявлено в порядке статьи 49 Арбитражного процессуального кодекса Российской Федерации об увеличении размера исковых требований до 1 761 817,08 рублей, в том числе 1 508 000 рублей убытков, 253 817,08 рублей неустойки за период с 15.11.2021 по 30.08.2023.

Увеличение размера исковых требований принято судом.

Представители истца в судебном заседании поддержали исковые требования в полном объеме по основаниям, изложенным в исковом заявлении и дополнениях к нему.

Представитель ответчика считал исковые требования не подлежащими удовлетворению по основаниям, изложенным в отзыве на исковое заявление и дополнениях к нему.

Исследовав материалы дела, доводы искового заявления и отзывов на него, заслушав представителей сторон, оценив представленные доказательства по правилам статьи 71 Арбитражного процессуального кодекса Российской Федерации, суд считает, что исковые требования ООО «ТО Секом» подлежат удовлетворению в части по следующим основаниям.

Как следует из материалов дела, между Банком ГПБ (АО) и ООО «ТО Секом» (клиентом) заключен договор банковского счета от 27.07.2016 № ДП/2882/16, в соответствии с которым Банк открыл обществу расчетный счет в валюте РФ и обязался осуществлять расчетно-кассовое обслуживание клиента на условиях присоединения клиента к действующим общим условиям расчетно-кассового обслуживания Банком ГПБ (АО) юридических лиц – некредитных организаций, индивидуальных предпринимателей и физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, а клиент обязался оплачивать услуги банка, предусмотренные тарифами, а также распоряжаться денежными средствами, находящимися на счете, в порядке и на условиях, предусмотренных договором и действующим законодательством (т. 1, л.д. 62-104).

Между Банком и ООО «ТО Секом» заключено также соглашение о предоставлении услуг стандартного электронного документооборота Система «КлиентБанк.WEB» (далее – Соглашение), в соответствии с которым стороны договорились об обмене документами в электронной форме, подписанными электронной подписью, и установили возможность совершения клиентом операций по своему расчетному счету в Банке путем направления электронных документов, подписанных электронной подписью. Заявление об акцепте условий данного Соглашения подписано обществом 27.09.2018, в качестве контактного лица общества при исполнении данного соглашения указана ФИО2, являющаяся бухгалтером организации (т. 1, л.д. 105-117).

В силу пункта 2.2 Соглашения для реализации услуги, являющейся его предметом, Банк предоставляет клиенту Инсталляционный пакет (направляемый клиенту в виде электронного файла пакет, содержащий текст ссылок в сети Интернет, программное обеспечение для доступа клиента к Системе «Клиент-Банк», программное обеспечение СКЗИ и лицензию на право его использования, руководство пользователя Системой «Клиент-Банк»), а также логин и пароль для входа в Систему «Клиент-Банк».

Согласно пункту 2.3 Соглашения стороны договорились о том, что используемые во взаимоотношениях между Банком и клиентом электронные документы, подписанные посредством электронной подписи, признаются сторонами равнозначными документам, подписанным собственноручными подписями на бумажных носителях, и порождают аналогичные им права и обязанности сторон.

В соответствии с пунктом 2.4 Соглашения электронный документ порождает обязательства сторон, если он оформлен передающей стороной, подписан электронной подписью и зашифрован, а принимающей стороной расшифрован и подтверждена подлинность электронной подписи данного электронного документа. Свидетельством того, что подтверждена подлинность электронной подписи данного электронного документа, являются Статусы «Распечатан» – для электронного документа валютного контроля, «Принят» – для остальных электронных документов в Системе «Клиент-Банк».

Согласно пункту 2.5 Соглашения стороны признают используемые ими в соответствии с Соглашением средства электронной подписи достаточными для установления лица, подписавшего документ (авторства документа), и подлинности электронного документа, а также признают невозможность внесения изменений в электронные документы, подписанные электронной подписью.

Пунктами 5.1.4, 5.3.6 Соглашения установлены обязанности клиента: обеспечивать конфиденциальность действующей парольной и ключевой информации, используемой для ограничения доступа в Систему «Клиент-Банк», шифрования данных и подтверждения авторства электронного документа; ежедневно осуществлять прием от Банка электронных документов и информационных сообщений.

В соответствии с пунктом 7.2 Соглашения Банк не несет ответственности за убытки, причиненные клиенту в случаях, предусмотренных соглашением, в том числе за последствия компрометации ключей клиента, реализации на стороне клиента угроз несанкционированного доступа к Системе «Клиент-Банк», включая угрозы воздействия вредоносного программного обеспечения из сетевого окружения компьютера клиента.

Условия предоставления и правила пользования услугами удостоверяющего центра (УЦ) Банка ГПБ (АО) для систем электронного документооборота установлены «Регламентом удостоверяющего центра» от 09.06.2018 № И/47 (далее – Регламент).

В соответствии с пунктом 1.5 Регламента заключение договора производится на условиях, предусмотренных статьей 428 ГК РФ для договора присоединения, путем акцепта оферты Банка о заключении договора без каких-либо изъятий, оговорок и условий, в порядке и на условиях, которые установлены Регламентом.

Пунктом 1.6 Регламента предусмотрено, что для заключения договора клиент должен представить в Банк Заявление об акцепте условий Регламента и изготовлении сертификата ключа проверки электронной подписи или Заявление об акцепте условий Регламента и изготовлении технологического сертификата ключа проверки электронной подписи.

С даты регистрации Заявления об акцепте условий Регламента и изготовлении сертификата ключа проверки электронной подписи или Заявления об акцепте условий Регламента и изготовлении технологического сертификата ключа проверки электронной подписи лицо, подавшее данное заявление, является стороной договора.

Заявление об акцепте условий Регламента и об изготовлении сертификата ключа проверки электронной подписи подписано истцом 27.09.2018, а также впоследствии при смене ключа электронной подписи 25.09.2019 (т. 1, л.д. 119, 120).

Пунктом 2.1.1 Регламента установлено, что пользователь УЦ самостоятельно генерирует свой ключ электронной подписи и ключ проверки электронной подписи, а также формирует электронный запрос на изготовление сертификата ключа проверки электронной подписи и заполняет Заявление об акцепте условий Регламента и изготовлении сертификата ключа проверки электронной подписи.

После проверки данных, указанных в запросе на изготовление сертификата ключа проверки электронной подписи, уполномоченное лицо УЦ изготавливает Сертификат проверки электронной подписи и направляет его для дальнейшей передачи пользователю УЦ.

В соответствии с пунктом 1.16 Регламента к основным рискам, с которыми сопряжено использование электронных подписей, средств электронной подписи и систем электронного документооборота, относятся: неправомерное использование Ключа ЭП Пользователя УЦ третьими лицами в случае его компрометации; нарушение работы Системы ЭДО в результате технических сбоев Средств электронной подписи, связи, программных средств и др.; несоответствие технологий проведения операций, внутренних порядков и процедур проведения операций, процедур управления, учета и контроля за соблюдением требований законодательства Российской Федерации.

На основании электронных платежных поручений №№ 530-545, поступивших в Банк 15.11.2021, и платежных поручений №№ 546-549, поступивших в Банк 16.11.2021 в 07:42 МСК в Системе «Клиент-Банк», с расчетного счета истца на счета физических лиц списаны денежные средства в общей сумме 580 000 рублей.

16.11.2021 в 11 часов 34 минуты МСК главный бухгалтер истца ФИО2 совершила телефонный звонок в банк, в ходе которого сообщила сотруднику Банка о невозможности входа в Систему «Клиент-Банк». Предложенные сотрудником Банка способы входа в Систему оказались безрезультатны, возможность дистанционного доступа клиента в Систему не обеспечена. От составления заявки на блокировку учетной записи клиента в Системе «Клиент-Банк» ФИО2 отказалась. Телефонный разговор сторон завершен в 11:57 МСК, что подтверждается представленной истцом историей транзакций по счету оператора сотовой связи.

Несмотря на полученные от клиента сведения о невозможности доступа в Систему «Клиент-Банк», в ходе указанного телефонного разговора и впоследствии в Банк посредством Системы «Клиент-Банк» продолжали поступать электронные платежные поручения. Так, 16.11.2021 в период с 11:37 МСК до 11:57 МСК сформированы платежные поручения №№ 550-581, которые исполнены банком с 12:08 МСК до 12:45 МСК; 17.11.2021 в период с 05:11 МСК до 05:15 МСК сформированы платежные поручения №№ 582-584, которые исполнены Банком в 05:36 МСК. Общая сумма денежных средств, списанных со счета истца в пользу физических лиц на основании сформированных после телефонного звонка бухгалтера электронных поручений, составила 1 048 000 рублей.

17.11.2021 в 09 часов 03 минуты МСК главный бухгалтер истца ФИО2 повторно сообщила Банку о невозможности входа в Систему «Клиент-Банк». По просьбе ФИО2 сотрудником Банка представлена информация о том, что в период с 15.11.2021 по 17.11.2021 совершались операции по счету истца. ФИО2 сообщила о том, что списание денежных средств являлось несанкционированным, в связи с чем Банк заблокировал учетную запись истца в Системе «Клиент-Банк».

После получения от клиента сведений о компрометации электронного средства платежа Банк 17.11.2021 направил информационные письма (запросы) в банки, обслуживающие получателей спорных переводов, с просьбами оказать содействие в блокировке и возврате денежных средств, перечисленных в результате мошеннических действий злоумышленников в Системе «Клиент-Банк» (т. 2, л.д. 27-54).

Денежные средства, перечисленные на основании платежных поручений от 16.11.2021 №№ 550, 551, 552, 553, на общую сумму 120 000 рублей возвращены на расчетный счет истца.

По факту хищения денежных средств путем несанкционированного списания с расчетного счета истца 26.11.2021 следователем СО УМВД России по ЗАТО Северск возбуждено уголовное дело по признакам преступления, предусмотренного пунктом «б» части 4 статьи 158 Уголовного кодекса Российской Федерации.

В рамках уголовного дела проведена экспертиза по вопросам, касающимся наличия или отсутствия на компьютере истца вредоносного программного обеспечения и (или) программ удаленного доступа, возможности использования вредоносного программного обеспечения и установленных на компьютере истца файлов для доступа в личный кабинет Банка в системе электронного документооборота.

Согласно заключению эксперта от 21.07.2022 № 4004, на носителе WD из предоставленного персонального компьютера обнаружено легальное программное обеспечение, которое может быть использовано для нанесения вреда компьютеру или данным с датой создания 04.11.2015, датой изменения 24.07.2015. На предоставленном персональном компьютере имеются программы удаленного доступа: программное обеспечение «TeamViewer». Ответить на вопросы относительно возможности получения доступа в личный кабинет клиента в Системе «Клиент-Банк» с использованием указанного вредоносного программного обеспечения или программы удаленного доступа не представилось возможным.

Полагая, что Банк необоснованно произвел списание денежных средств по сформированным в период с 15.11.2021 по 17.11.2021 электронным платежным документам, ООО «ТО Секом» претензией от 30.11.2021 потребовало от Банка возместить причиненный ущерб в сумме 1 508 000 рублей (приобщена в электронном виде – т. 1, л.д. 15-16).

Письмом от 24.12.2021 № 291.23/9169 Банк сообщил истцу о том, что платежные поручения исполнены им надлежащим образом, и по условиям пункта 7.2 Соглашения Банк не несет ответственности за убытки, вызванные обстоятельствам списания денежных средств, в связи с чем рекомендовал истцу обратиться в правоохранительные органы (т. 2, л.д. 19-22).

Неисполнение требований претензии послужило основанием для обращения ООО «ТО Секом» в арбитражный суд с настоящим иском.

Согласно статье 309 Гражданского кодекса Российской Федерации обязательства должны исполняться надлежащим образом в соответствии с условиями обязательства и требованиями закона, иных правовых актов, а при отсутствии условий и требований - в соответствии с обычаями делового оборота или иными обычно предъявляемыми требованиями.

На основании статьи 30 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» отношения между Банком России, кредитными организациями и их клиентами осуществляются на основе договоров, если иное не предусмотрено Федеральным законом.

В силу статьи 845 Гражданского кодекса Российской Федерации по договору банковского счета банк обязуется принимать и зачислять поступающие на счет, открытый клиенту (владельцу счета), денежные средства, выполнять распоряжения клиента о перечислении и выдаче соответствующих сумм со счета и проведении других операций по счету.

В соответствии со статьей 854 Гражданского кодекса списание денежных средств со счета осуществляется банком на основании распоряжения клиента; без распоряжения клиента списание денежных средств, находящихся на счете, допускается по решению суда, а также в случаях, установленных законом или предусмотренных договором между банком и клиентом.

На основании пункта 4 статьи 847 Гражданского кодекса Российской Федерации договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (пункт 2 статьи 160 ГК РФ), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.

Статьями 848, 849, 856 Гражданского кодекса Российской Федерации предусмотрена обязанность банка совершать для клиента операции, предусмотренные для счетов данного вида законом, установленными в соответствии с ним банковскими правилами и применяемыми в банковской практике обычаями делового оборота, если договором банковского счета не предусмотрено иное.

В соответствии с пунктом 1 статьи 863 Гражданского кодекса при расчетах платежными поручениями банк плательщика обязуется по распоряжению плательщика перевести находящиеся на его банковском счете денежные средства на банковский счет получателя средств в этом или ином банке в сроки, предусмотренные законом, если более короткий срок не предусмотрен договором банковского счета либо не определен применяемыми в банковской практике обычаями.

Пунктом 2 статьи 864 Кодекса установлено, что при приеме к исполнению платежного поручения банк обязан удостовериться в праве плательщика распоряжаться денежными средствами, проверить соответствие платежного поручения установленным требованиям, достаточность денежных средств для исполнения платежного поручения, а также выполнить иные процедуры приема к исполнению распоряжений, предусмотренные законом, банковскими правилами и договором.

Банк несет ответственность за необоснованное списание денежных средств со счета клиента (статья 856 Гражданского кодекса Российской Федерации).

Как разъяснено в пункте 2 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 19.04.1999 № 5 «О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета», в случаях передачи платежных документов в банк в письменной форме банк должен проверить по внешним признакам соответствие подписей уполномоченных лиц и печати на переданном в банк документе образцам подписей и оттиска печати, содержащимся в переданной банку карточке, а также наличие доверенности, если она является основанием для распоряжения денежными средствами, находящимися на счете.

Если иное не установлено законом или договором, банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами.

Таким образом, по общему правилу, установленному Гражданским кодексом Российской Федерации и распространяющемуся на отношения по договору банковского счета, должник (банк) несет риск исполнения обязательства неуправомоченному лицу (статья 312 Гражданского кодекса Российской Федерации). Поэтому банк остается обязанным перед клиентом в отношении остатка по счету клиента, если произвел списание (и перечислил деньги третьему лицу, выдал их наличными третьему лицу или списал в счет своего требования к клиенту) без наличия законных или договорных оснований для безакцептного списания или при отсутствии подлинного распоряжения клиента о таком списании. Даже если банк при всей своей осмотрительности не смог распознать, что распоряжение по счету сделано неуправомоченным лицом, это по общему правилу не освобождает его от обязанности восстановить остаток по счету клиента, который распоряжений по счету не давал.

Вместе с тем специальные нормы, регулирующие порядок осуществления платежей с использованием электронных средств платежа, содержат дополнительные условия возложения на банк ответственности за необоснованное списание денежных средств со счета клиента.

Согласно пункту 1 статьи 862 Гражданского кодекса Российской Федерации, пункту 1.1 Правил осуществления перевода денежных средств, утвержденных положением Банка России от 29.06.2021 № 762-П (далее – Положение № 762-П), платежные поручения являются формой безналичных расчетов и распоряжением клиента банку.

Перевод денежных средств осуществляется банками по распоряжениям клиентов, взыскателей средств, банков в электронном виде, в том числе с использованием электронных средств платежа, или на бумажных носителях (пункт 1.9 Положения № 762-П).

Порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, использования электронных средств платежа, установлены Законом о национальной платежной системе.

В соответствии с частью 11 статьи 9 данного Закона в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.

В силу части 12 статьи 9 Закона о национальной платежной системе после получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 данной статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.

Таким образом, Законом о национальной платежной системе установлена безусловная обязанность оператора по переводу денежных средств (банка) возместить клиенту сумму операции, совершенной без согласия клиента после получения уведомления об использовании электронного средства платежа без согласия клиента.

Что касается операций, совершенных до указанного уведомления, Законом установлены различные последствия выявления перевода денежных средств без согласия клиента для клиентов - физических лиц и клиентов - организаций.

Так, согласно части 15 статьи 9 Закона о национальной платежной системе в случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента - физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица.

В отношении других категорий клиентов, к которым относится и ООО «ТО Секом», частью 13 статьи 9 Закона о национальной платежной системе установлено только одно основание для возмещения суммы операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента до уведомления оператора об утрате контроля за средством платежа: неисполнение оператором обязанности по информированию клиента о совершенной операции.

Такая обязанность установлена частью 4 статьи 9 Закона о национальной платежной системе, согласно которой оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом.

Иными словами, Законом о национальной платежной системе установлен специальный порядок распределения рисков между оператором платежной системы (банком) и клиентом за операции, совершаемые с использованием электронного средства платежа без согласия клиента, предполагающие, с одной стороны, обязанность банка предусмотреть и реализовать эффективные способы информирования клиента о совершаемых операциях и, с другой стороны, обязанность клиента осуществлять контроль за совершаемыми с использованием электронного средства платежа банковскими операциями. При этом оператор несет ответственность за платежи, совершенные без согласия клиента, в случае необеспечения эффективного информирования клиента о совершаемых операциях и объективной невозможности клиента сообщить о совершении несанкционированных им операций; при наличии у клиента такой информации банк несет ответственность только за операции, совершенные после уведомления его клиентом о компрометации электронного средства платежа.

Следовательно, для освобождения банка от обязанности перед клиентом по восстановлению средств на счете в случае осуществления списания с использованием электронного средства платежа без распоряжения клиента должна быть установлена совокупность обстоятельств: принятие банком разумных и достаточных мер для проверки полномочий клиента на использование электронного средства платежа; исполнение банком обязанности по информированию клиента о совершаемых операциях способами, согласованными сторонами и обеспечивающими реальную возможность получения клиентом необходимых сведений; отсутствие уведомления со стороны клиента об утрате электронного средства платежа и (или) о совершении несанкционированных операций.

Суд считает, что совокупность указанных обстоятельств установлена в отношении платежей по платежным поручениям №№ 530-545, поступившим в Банк 15.11.2021, и платежным поручениям №№ 546-549, поступившим в Банк 16.11.2021 до даты обращения представителя клиента с информацией о невозможности доступа в Систему «Клиент-Банк».

Согласно пунктам 1 и 5 статьи 2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Закон № 63-ФЗ) электронная подпись – это информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Ключом электронной подписи признается уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи – уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (пункт 6 статьи 2 Закона № 63-ФЗ).

В соответствии с частью 1 статьи 6 Закона № 63-ФЗ информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.

В соответствии со статьей 10 Закона № 63-ФЗ при использовании усиленных электронных подписей участники электронного взаимодействия обязаны:

1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;

2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;

3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена.

Из материалов дела следует, что все спорные платежи были осуществлен путем приема Банком распоряжений плательщика в электронном виде, переданных посредством Системы «Клиент-Банк».

При приеме к исполнению распоряжений истца Банком было установлено, что спорные платежные поручения содержат все необходимые реквизиты, подписаны электронной цифровой подписью директора истца ФИО4, служащей для целей подтверждения его подлинности и идентификации владельца этой ЭЦП, признанной системой подлинной (корректной), денежных средств на счете достаточной для совершения операций, в связи с чем ввиду отсутствия каких-либо оснований для отказа в исполнении распоряжений они были исполнены Банком.

Факт соответствия подлинности электронной подписи ФИО4 подтверждается заключением Удостоверяющего центра Банка ГПБ (АО) от 20.03.2023 (т. 1, л.д. 121-158; т. 2, л.д. 1-18). Доказательства обратного истцом в соответствии со статьей 65 Арбитражного процессуального кодекса Российской Федерации не представлены, какие-либо обстоятельства, свидетельствующие об ошибочной идентификации электронной подписи, в исковом заявлении и в дополнениях к нему не приведены.

Поскольку операции, проведенные Банком по платежным поручениям №№ 530-545 от 15.11.2021 и по платежным поручениям №№ 546-549, поступившим в Банк 16.11.2021 до даты обращения представителя клиента с информацией о невозможности доступа в Систему «Клиент-Банк», были совершены в соответствии с условиями договора банковского счета, Соглашения, Регламента, и у Банка не имелось достаточных оснований для вывода о совершении данных операций без согласия клиента, отсутствуют установленные Законом о национальной платежной системе условия для возложения на Банк обязанности перед клиентом по восстановлению средств в сумме 580 000 на счете клиента.

Доводы ООО «ТО Секом» относительно того, что Удостоверяющим центром Банка не исполнена обязанность по обеспечению конфиденциальности ключа электронной подписи истца, поскольку не была обеспечена защита от копирования ключа электронной подписи, отклонены судом.

В соответствии с пунктом 1 части 1 статьи 10 Закона № 63-ФЗ при использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия.

При этом участниками электронного взаимодействия признаются осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, индивидуальные предприниматели, а также граждане (пункт 11 статьи 2 Закона № 63-ФЗ).

Пунктом 2.1.1 Регламента, к которому присоединился истец, установлено, что клиент самостоятельно генерирует свой ключ электронной подписи и ключ проверки электронной подписи.

Таким образом, именно на ООО «ТО Секом» как участника электронного взаимодействия с Банком была возложена обязанность обеспечить конфиденциальность принадлежащего обществу и используемого им в электронном документообороте ключа электронной подписи. Возложение указанной обязанности на Банк и (или) Удостоверяющий центр Банка, не являвшиеся держателями ключа электронной подписи, необоснованно и противоречит существу используемого сторонами электронного средства платежа.

Действительно, пунктом 4 части 2 статьи 13 Закона № 63-ФЗ на удостоверяющий центр возложена обязанность обеспечивать конфиденциальность созданных удостоверяющим центром ключей электронных подписей.

По смыслу данной нормы соответствующая обязанность реализуется удостоверяющим центром в отношении собственных ключей электронных подписей удостоверяющего центра и к ключам, созданным удостоверяющим центром по специальному обращению заявителей (пункт 7 части 1 статьи 13 Закона № 63-ФЗ).

В рассматриваемом деле Регламентом Удостоверяющего центра Банка установлено, что клиент самостоятельно генерирует свой ключ электронной подписи и ключ проверки электронной подписи. Доказательства того, что ООО «ТО Секом» обращалось в Удостоверяющий центр Банка с обращением о создании ключа электронной подписи, и что использовавшийся обществом ключ был создан Удостоверяющим центром, в материалах дела отсутствуют. Напротив, из содержания заявлений общества от 27.09.2018, от 25.09.2019 следует, что общество обращалось в Удостоверяющий центр с заявлением о выдаче сертификата ключа проверки электронной подписи (то есть документа, подтверждающего принадлежность ключа проверки электронной подписи), а не о создании ключа электронной подписи.

Ссылки истца на то, что использовавшийся им ключ электронной подписи не являлся неэкспортируемым и мог быть скопирован злоумышленниками на жесткий диск персонального компьютера с последующим использованием электронной копии ключа для формирования и подписания электронных документов, не свидетельствуют о ненадлежащем исполнении обязательства Банка и (или) о его неосмотрительности при исполнении обязательств. Как указывалось выше, в соответствии с положениями Закона № 63-ФЗ и по условиям заключенного сторонами Соглашения риски необеспечения конфиденциальности ключа электронной подписи отнесены на клиента, являвшегося участником электронного документооборота и держателем ключа электронной подписи. Обстоятельства использования ключа электронной подписи, в том числе его возможного копирования, находились вне сферы контроля Банка, в связи с чем предполагаемые действия злоумышленников по копированию ключа электронной подписи не могут свидетельствовать о неосмотрительности Банка.

Кроме того, истцом не представлены доказательства, однозначно свидетельствующие о том, что несанкционированное использование ключа электронной подписи оказалось возможным вследствие копирования данного ключа неустановленными лицами, данные утверждения основаны на предположениях. Истцом не раскрыт механизм возможного копирования ключа электронной подписи, не доказано, что такое копирование было осуществлено злоумышленниками, а не сотрудниками самого истца, а также не подтверждена техническая возможность проведения Банком и (или) Удостоверяющим центром Банка каких-либо мероприятий, исключающих возможность копирования ключа электронной подписи, в случае проведения которых доступ злоумышленников к электронной подписи был бы невозможен.

Утверждение истца об отсутствии сертификата соответствия на средства криптографической защиты информации (СКЗИ), на базе которых создан программный продукт Системы «Клиент-Банк», не соответствует фактическим обстоятельствам. В материалы дела представлены сертификаты соответствия, действительные в период с 2021 по 2024 год, подтверждающие соответствие СКЗИ «КриптоПРО CSP» версии 4.0, использовавшейся в программном продукте Банка, предъявляемым требованиям (т. 2, л.д. 125-127).

Указание истца на то обстоятельство, что в соответствии с Приложением к договору об использовании документов в электронной форме предусмотрено использование СКЗИ, сертифицированного по классу КС2, в то время как ответчиком представлены сертификаты соответствия с классом защиты КС1, является формальным и не свидетельствует о ненадлежащим исполнении ответчиком обязательств в части проверки подлинности электронной подписи. В материалах дела отсутствуют доказательства того, что в случае сертификации программного обеспечения по классу защиты КС2 использование злоумышленниками ключа электронной подписи было бы невозможным или существенно затруднено. Истцом не опровергнуты утверждения ответчика о том, что программное обеспечение СКЗИ класса КС2 отличается от программного обеспечения класса КС1 лишь средствами защиты от злоумышленника, имеющего возможность непосредственного физического доступа к оборудованию с СКЗИ, и об избыточности в рассматриваемом случае требований класса защиты КС2. При подключении к Системе «Клиент-Банк», а также при обращении с заявлением об акцепте условий Регламента и об изготовлении сертификата ключа проверки электронной подписи истец согласился на использование программного обеспечения СКЗИ «Крипто-ПРО CSP» версии 4.0, не заявлял о недостаточном уровне защиты информации на стороны Банка при использовании данного СКЗИ, не информировал Банк об угрозе непосредственного физического доступа злоумышленников к СКЗИ, предполагающей повышенный класс защиты информации.

Доводы истца о ненадлежащем извещении его об операциях, проведенных Банком по платежным поручениям №№ 530-545 от 15.11.2021 и по платежным поручениям №№ 546-549 от 16.11.2021, отклонены судом по следующим основаниям.

В соответствии с частью 4 статьи 9 Закона о национальной платежной системе оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом.

Из буквального содержания данной нормы права следует, что оператор по переводу денежных средств (банк) и клиент своим соглашением определяют порядок уведомления клиента о совершении каждой операции с использованием электронного средства платежа.

В рассматриваемом деле такой порядок согласован сторонами в Общих условиях расчетно-кассового обслуживания Банком юридических лиц – некредитных организаций, индивидуальных предпринимателей и физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой (далее – Условия).

В пункте 5.5.1 Условий установлено, что при поступлении распоряжений клиента в электронном виде Банк принимает распоряжение к исполнению и направляет клиенту уведомление в электронном виде с использованием Системы электронного документооборота о приеме распоряжения к исполнению с указанием информации, позволяющей клиенту идентифицировать распоряжение и дату приема его к исполнению.

Пунктом 5.3.6 Соглашения предусмотрено, что клиент обязан ежедневно осуществлять прием от Банка электронных документов и информационных сообщений.

Таким образом, соглашением сторон предусмотрено информирование клиента о совершенных операциях и (или) предоставление отчета о совершенных операциях путем размещения информации в Системе «Клиент-Банк»; условий о направлении клиенту специальных уведомлений о каждом списании денежных средств или иной банковской операции посредством направления отдельного сообщения (например, посредством SMS, мгновенных сообщений или электронной почты) соглашение сторон не содержит. При таких обстоятельствах нельзя говорить о том, что Банк нарушил свою обязанность уведомить клиента о совершенных операциях, если клиенту был обеспечен онлайн-доступ к данным по своему счету, а Банк не был проинформирован клиентом о невозможности отслеживать операции по счету.

Следуя материалам дела, истец сообщил Банку о невозможности доступа в систему электронного документооборота (что предполагало, в том числе, невозможность получения сведений об операциях по счету) 16.11.2021 в 11 часов 34 минуты МСК. До этого момента Банк вправе был добросовестно рассчитывать на то, что клиент получает электронные уведомления, направлявшиеся Банком посредством Системы «Клиент-Банк», и что им исполнена обязанность по извещению клиента об операциях по счету. Какие-либо доказательства того, что истец не имел доступа в Систему «Клиент-Банк» ранее 16.11.2021 11 часов 34 минуты МСК и что он сообщал об этом Банку, в материалах дела отсутствуют.

Не нашли своего подтверждения в ходе судебного разбирательства утверждения истца о том, что операции, проведенные Банком по платежным поручениям №№ 530-545 от 15.11.2021 и по платежным поручениям №№ 546-549 от 16.11.2021, обладали признаками осуществления перевода денежных средств без согласия клиента, и что Банк не предпринял необходимых мер к проверке соответствия данных операций названным признакам.

Согласно части 5.1 статьи 8 Закона о национальной платежной системе оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента. Признаки осуществления перевода денежных средств без согласия клиента устанавливаются Банком России и размещаются на его официальном сайте в информационно-телекоммуникационной сети «Интернет». Оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).

Признаки осуществления перевода денежных средств без согласия клиента утверждены приказом Банка России от 27.09.2018 № ОД-2525, в соответствии с которым такими признаками являются:

1. Совпадение информации о получателе средств с информацией о получателе средств по переводам денежных средств без согласия клиента, полученной из базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента, формируемой Банком России в соответствии с частью 5 статьи 27 Закона о национальной платежной системе (далее – база данных);

2. Совпадение информации о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств, с информацией о параметрах устройств, с использованием которых был осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, полученной из базы данных;

3. Несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств) операциям, обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности).

Согласно информации, представленной Банком России в отзыве на исковое заявление, проведенная им проверка по реквизитам получателей указанных истцом платежей не выявила наличия данных сведений в базе данных ФинЦЕРТ в даты и время их исполнения Банком; сведения о параметрах устройства, с использованием которого мог быть осуществлен доступ к личному кабинету автоматизированной системы и Системе «Клиент-Банк», в базу данных ФинЦЕРТ не предоставлялись (т. 3, л.д. 13-15).

Банком ГПБ (АО) представлен подробный анализ соответствия характера, параметров, объема проведенных операций по платежным поручениям №№ 530-545 от 15.11.2021 и по платежным поручениям №№ 546-549 от 16.11.2021 тем операциям, которые обычно совершаются клиентом (т. 1, л.д. 56-57). Учитывая, что спорные операции не были явно экстраординарными, не отклонялись существенным образом от операций, обычно совершаемым клиентом, а у Банка не имелось оснований полагать, что клиентом утрачена возможность отслеживать операции по счету и контролировать расходование денежных средств, от клиента не поступали связанные с этим обращения, суд счел недостаточно обоснованными доводы истца о нарушении Банком порядка проверки осуществления операций без согласия клиента в отношении названных платежей, имевших место до обращения главного бухгалтера истца.

В указанных обстоятельствах тот факт, что количество операций, совершенных 15.11.2021, превысило среднее количество расходных операций по счету клиента, а сумма операций превысила средний размер перечисляемых клиентом денежных средств, сам по себе не свидетельствует о явной нетипичности и подозрительности проведенных банком операций, поскольку отклонение клиента от средних значений в текущей хозяйственной деятельности не является экстраординарным обстоятельством. Ссылки истца на то, что проведенные операции превысили максимальное количество осуществлявшихся обществом перечислений физическим лицам, периодичность операций по платежам физическим лицам «под отчет», также не свидетельствует о недобросовестности или неосмотрительности Банка, так как установление чрезмерно высоких стандартов требований к Банку по проведению анализа категории получателей (граждане или юридические лица, работники или не работники организации и т.п.), указанных клиентами назначений платежа противоречило бы существу используемого электронного средства платежа, при которых проверка платежей осуществляется, как правило, в автоматическом режиме с использованием искусственного интеллекта. Именно существо используемого средства платежа предопределяет специальный порядок распределения рисков несанкционированного списания денежных средств на счете, при котором на Банк возложены обязанности информировать клиента эффективным образом о каждой совершенной операции и блокировать совершение банковских операций после получения от клиента сведений о возможной утрате электронного средства платежа, а на клиента – обязанности контролировать совершение операций и незамедлительно сообщать Банку об утрате электронного средства платежа и о совершении несанкционированных платежей. Такой правовой режим не позволяет отнести на Банк риск совершения любых операций, которые незначительно превышают типичное количество и назначение платежей, обычно совершаемых клиентом, если у клиента сохранялась реальная возможность получать информацию об операциях по счету и если он не сообщил Банку о препятствиях в получении такой информации и (или) о возможной утрате контроля над электронным средством платежа.

Суждение истца о том, что Банком не исполнена обязанность по обеспечению внутреннего контроля с целью выявления и приостановления операций по переводу денежных средств, имеющих признаки осуществления сомнительных операций, конечной целью которых является обналичивание денежных средств, не может являться основанием для удовлетворения иска клиента Банка.

Действительно, в соответствии с подпунктом 3.2 пункта 1 статьи 7 Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – Закон № 115-ФЗ) организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны принимать в соответствии с правилами внутреннего контроля меры по снижению выявленных рисков совершения клиентами подозрительных операций.

Согласно пункту 11 статьи 7 Закона № 115-ФЗ организации, осуществляющие операции с денежными средствами или иным имуществом, если иное не предусмотрено настоящим Федеральным законом, вправе отказать в совершении операции, в том числе в совершении операции на основании распоряжения клиента, при условии, что в результате реализации правил внутреннего контроля у работников организации, осуществляющей операции с денежными средствами или иным имуществом, возникают подозрения, что операция совершается в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма.

Указанная обязанность кредитной организации является публично-правовой, установлена в целях защиты интересов государства, общества и неопределенного круга лиц и по существу противопоставлена субъективному праву клиента требовать от кредитной организации исполнения распоряжений о перечислении денежных средств. В этой связи непринятие кредитной организацией мер реагирования, предусмотренных Законом № 115-ФЗ, не может нарушать права и законные интересы клиента, имеющего, как правило, частный интерес в совершении кредитной организацией соответствующей банковской операции, а не в ее блокировке. Таким образом, предполагаемый истцом ненадлежащий внутренний контроль Банка за совершением подозрительных операций, предусмотренный Законом № 115-ФЗ, не может являться основанием для вывода о ненадлежащем исполнении Банком гражданско-правового обязательства перед истцом и для взыскания связанных с этим убытков.

Кроме того, у суда отсутствуют основания полагать, что спорные операции в действительности совершались обществом «ТО Секом» в целях легализации (отмывания) доходов, полученных преступным путем, финансирования терроризма и финансирования распространения оружия массового уничтожения; на выявление такого рода обстоятельств не ссылались в ходе рассмотрения дела ни истец, ни ответчик. В этой связи приостановление Банком операций по причинам, предусмотренным Законом № 115-ФЗ, являлось бы необоснованным, и истец не вправе ссылаться на несовершение Банком такого рода неправомерных или ошибочных действий, даже если последствия совершения таких действий являлись бы для истца в настоящее время желательными.

С учетом изложенного, у суда отсутствуют основания для удовлетворения исковых требований ООО «ТО Секом» о взыскании с ответчика 580 000 рублей задолженности, возникшей в связи с несанкционированным переводом денежных средств по платежным поручениям №№ 530-545, поступившим в Банк 15.11.2021, и платежным поручениям №№ 546-549, поступившим в Банк 16.11.2021 до даты обращения представителя клиента с информацией о невозможности доступа в Систему «Клиент-Банк», а также начисленной на эту сумму неустойки.

Вместе с тем суд усмотрел основания для взыскания задолженности, возникшей в связи с несанкционированным списанием денежных средств по платежным поручениям, сформированным в системе электронного документооборота после получения Банком от клиента сведений о невозможности доступа в Систему «Клиент-Банк».

Как указывалось выше, обязательным условием освобождения оператора по переводу денежных средств от обязанности возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента, является надлежащее исполнение им обязанности по информированию клиента о каждой совершенной операции.В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента (часть 13 статьи 9 Закона о национальной платежной системе).

Поскольку в рассматриваемом деле Банк являлся лицом, внедрившим в своей предпринимательской деятельности информационный сервис для совершения платежей (Систему «Клиент-Банк») и разработавшим комплекс договорных условий по использованию данного сервиса, к которым присоединился истец, а также являлся оператором по переводу денежных средств, на Банк возложена обязанность разработать и использовать такие способы уведомления клиента о совершенных по его счету операциях, которые позволяют клиенту эффективно, оперативно и безопасно получать достоверную информацию об операциях по счету.

Кроме того, Банк, как владелец информационной инфраструктуры и профессиональный участник в сфере осуществления банковских операций, электронных платежей, несет повышенные риски своей ответственности перед клиентом за совершенные без согласия клиента операции в ситуации, когда клиент непосредственно и недвусмысленно сообщил о невозможности получать информацию об операциях по счету с использованием предложенного Банком способа информирования. В такой ситуации стандарты поведения добросовестного и осмотрительного контрагента предполагают использование механизмов повышенного контроля за операциями по счету, в том числе непосредственное уведомление клиента о совершаемых по его счету операциях, не оставляющее сомнений в осведомленности клиента о соответствующих операциях и о его согласии на их проведение банком (например, путем согласования совершения таких операций посредством телефонной связи, по электронной почте, приостановление совершения операций до восстановления клиентом доступа к системе электронного документооборота и (или) до получения клиентом выписки по счету на бумажном носителе и т.п.).

Из материалов настоящего дела следует, что соглашением сторон предусмотрено информирование клиента о совершенных операциях и (или) предоставление отчета о совершенных операциях путем размещения информации в Системе «Клиент-Банк»; установлена также обязанность клиента ежедневно контролировать совершение операций по счету. Сами по себе такие условия договора между банком и клиентом не противоречат закону и существу используемого электронного средства платежа, а Банк до получения от клиента сведений об отсутствии доступа в Систему вправе добросовестно рассчитывать, что клиент имеет возможность отслеживать операции по счету.

Между тем сторонами не оспаривалось, что 16.11.2021 в 11 часов 34 минуты МСК главный бухгалтер истца ФИО2 совершила телефонный звонок в банк, в ходе которого сообщила сотруднику Банка о невозможности входа в Систему «Клиент-Банк». Предложенные сотрудником Банка способы входа в Систему оказались безрезультатны, возможность дистанционного доступа в Систему клиенту не обеспечена.

Иными словами, клиент недвусмысленно сообщил о невозможности получения информации об операциях по счету согласованным сторонами способом. При таких обстоятельствах суд полагает, что с этого момента у Банка не имелось оснований считать, что обязанность по информированию клиента об операциях может быть исполнена способом, предусмотренным разработанным Банком порядком электронного взаимодействия сторон, к которому клиент присоединился при заключении договора банковского счета. Это предполагало, по крайней мере, повышенный контроль Банка за совершаемыми по счету клиента операциями с использованием электронного средства платежа, поскольку продолжение совершения клиентом действий по формированию платежных поручений в ситуации озвученной невозможности доступа в систему электронного документооборота являлось явно нетипичным, нестандартным и вызывающим подозрения у любого профессионального пользователя информационного сервиса.

Несмотря на это, обстоятельства дела указывают на то, что Банком не принято во внимание юридически значимое сообщение клиента о недоступности Системы «Клиент-Банк», не реализованы механизмы эффективного извещения клиента о совершаемых операциях и дополнительного контроля за совершаемыми операциями. Более того, формирование электронных платежных документов осуществлялось неустановленными лицами непосредственно во время телефонного звонка уполномоченного представителя общества «ТО Секом» в Банк: телефонный разговор продолжался с 11 часов 34 минут МСК до 11 часов 57 минут МСК 16 ноября 2021 года, за это время злоумышленниками сформировано 32 платежных поручения на общую сумму 960 000 рублей, которые впоследствии исполнены Банком.

Следует также отметить, что в случае дополнительного контроля за совершением операций, имевших место 16.11.2021 и 17.11.2021 после получения сведений об утрате клиентом доступа в Систему «Клиент-Банк», Банком мог и должен был быть установлен нетипичный и подозрительный характер совершаемых операций, свидетельствующий о возможности их проведения без согласия клиента. Так, 16.11.2021 32 платежных поручения были сформированы в течение короткого периода времени – 20 минут, одновременно с обращением уполномоченного представителя клиента о невозможности использования системы электронного документооборота; получателями платежей с назначением платежей «подотчет на хозрасходы без НДС» являлись граждане, которым ранее клиент денежные средства никогда не переводил; все операции были совершены на одну сумму – 30 000 рублей, при этом одновременно совершалось несколько платежей с одной и той же суммой на счет одного и того же получателя с одинаковым назначением платежа; счета получателей находились в отделениях банков, расположенных в Москве, Санкт-Петербурге, Самаре, в то время как ранее операции по перечислению средств «подотчет на хозрасчета» осуществлялись истцом только на зарплатные карты. Таким образом, операции, совершенные от имени истца 16.11.2021 и 17.11.2021, имели признаки подозрительности: необоснованная поспешность в проведении операций, а именно единовременная выдача денежных средств разным физическим лицам, чьи счета открыты в разных регионах страны; совершение операций с использованием дистанционных систем обслуживания в случае, если возникает подозрение, что такими системами пользуется третье лицо, а не клиент (личное обращение клиента о невозможности доступа в систему электронного документооборота, открытие двух или нескольких сессий в системе «Клиент-Банк» одновременно одним ключом электронной подписи, синхронное формирование нескольких платежных поручений); перечисление клиентом одинаковой суммы денежных средств одному или нескольким получателям в результате небольшого периода времени (дробление операций); операции, не свойственные видам деятельности клиента.

Указанные обстоятельства в совокупности не характерны для типичных банковских операций клиента; если в обычных условиях (в отсутствие оснований сомневаться в получении клиентом сведений об операциях на его счете) такие операции могли пройти внутренний контроль банка, то с учетом информированности банка о недоступности для клиента электронных сервисов Системы «Клиент-Банк» невыявление признаков нетипичных операций свидетельствует о ненадлежащем контроле за совершаемыми операциями со стороны кредитной организации и является основанием для возложения на Банк обязанности по восстановлению денежных средств на счете клиента.

Следуя материалам дела, за период после уведомления клиентом Банка о неполучении информации о совершаемых платежах и об отсутствии доступа в Систему «Клиент-Банк» со счета истца по распоряжениям неустановленного лица списано 1 048 000 рублей. С учетом того, что денежные средства в сумме 120 000 рублей возвращены на счет истца в результате предпринятых Банком действий по отзыву несанкционированных операций, сумма имущественных потерь истца от необоснованного списания денежных средств составила 928 000 рублей.

При таких обстоятельствах суд считает обоснованными требования ООО «ТО Секом» в части взыскания с Банка 928 000 рублей, составляющих сумму денежных средств, подлежащих восстановлению на счете клиента.

Ссылки Банка на то, что в случае недоступности для клиента Системы «Клиент-Банк» информирование об операциях могло осуществляться в порядке, предусмотренном пунктом 3.3 Условий расчетно-кассового обслуживания, отклонены судом.

Согласно абзацам первому и третьему пункта 3.3 Условий расчетно-кассового обслуживания в период неработоспособности автоматизированного рабочего места клиента Системы электронного документооборота Банк предоставляет клиенту выписку из лицевого счета по банковскому счету через абонентский ящик или уполномоченному представителю клиента, действующему на основании соответствующей доверенности, на следующий рабочий день после совершения операций или поступления корреспонденции.

Очевидно, что указанный способ информирования клиента не обеспечивает оперативное и эффективное уведомление клиента о совершаемых в электронной форме операциях. В этой связи, с учетом предусмотренного Законом о национальной платежной системе распределения рисков несанкционированных операций, в которой решающее значение имеет информированность клиента о совершаемых по его счету операциях или, по крайней мере, доступность оперативного получения такой информации, Банк должен был осознавать возможность перенесения на него ответственности за совершенные без согласия клиента операции.

Кроме того, в абзаце пятом пункта 3.3 Условий расчетно-кассового обслуживания установлено, что в случае выдачи выписки по счету на бумажном носителе операции по счету считаются подтвержденными клиентом в случае, если клиент в течение 10 календарных дней с даты выдачи выписки не направил в Банк письменное заявление об ошибочно зачисленных/списанных суммах.

Таким образом, истец, присоединившийся к Условиям, разработанным и предложенным Банком, вправе был рассчитывать на то, что Банк принял на себя риск неинформирования клиента о несанкционированных операциях, о которых клиент, получающий выписки в бумажном виде, сообщил в течение 10 календарных дней с даты получения выписки.

Доводы Банка о том, что в соответствии с пунктом 9.2 Условий расчетно-кассового обслуживания, пунктов 7.2, 7.3 Соглашения банк не несет ответственности за убытки, причиненные клиенту в результате исполнения электронного документа, подписанного электронной подписью клиента в случае использования Системы «Клиент-Банк» неуполномоченными лицами клиента, отклонены судом, поскольку названные условия договора не могут быть истолкованы как освобождающие Банк от обязанности информировать клиента об операциях по счету и от обязанности возместить клиенту сумму операции, совершенной без согласия клиента, в отсутствие его надлежащего информирования и (или) в случае грубой неосмотрительности Банка при проведении платежей. Указанная обязанность установлена частью 13 статьи 9 Закона о национальной платежной системе и является императивной, принимая во внимание, что Банк является профессиональным участником отношений по совершению банковских операций и сильной стороной в обязательстве (пункт 3 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 14.03.2014 № 16 «О свободе договора и ее пределах», пункт 45 постановления Пленума Верховного Суда Российской Федерации от 25.12.2018 № 49 «О некоторых вопросах применения общих положений Гражданского кодекса Российской Федерации о заключении и толковании договора»).

Кроме того, само по себе условие об освобождении Банка от ответственности в виде возмещения убытков, причиненных клиенту, не является основанием для неисполнения Банком позитивного обязательства по возвращению необоснованно списанных денежных средств на счет клиента, не являющегося обязательством по возмещению убытков.

Указания ответчика на то, что при совершении звонка в банк представитель истца отказался от блокировки логина и пароля в Системе «Клиент-Банк», и на то, что клиент должен был осознавать негативные последствия отсутствия доступа в Систему, не свидетельствуют о возможности освобождения Банка от исполнения обязательства по восстановлению денежных средств, перечисленных после получения от клиента сведений о невозможности доступа в Систему. Именно Банк является лицом, разработавшим и внедрившим в своей предпринимательской деятельности соответствующую информационную систему, в связи с чем он не вправе снимать с себя все возможные риски уязвимости системы электронного документооборота. Фундаментальные принципы договорного права, такие как принципы разумности, справедливости, добросовестности и честной деловой практики, недопустимости извлечения выгоды из своих недобросовестных действий, сотрудничества участников гражданских правоотношений, предполагают сбалансированное распределение названных рисков, предопределенное, в первую очередь, возможностью осуществления лицом контроля за юридически значимыми действиями или событиями. В рассматриваемом случае суд полагает, что Банк не приложил требуемых от него как от профессионального участника банковского рынка и как от держателя информационной инфраструктуры усилий по содействию клиенту в минимизации негативных последствий от действий злоумышленников. При этом сообщенные клиентом сведения о невозможности доступа в информационную систему в совокупности с доступными Банком сведениями о продолжении формирования электронных платежных документов и о явно подозрительном и нетипичном характере планирующихся платежей свидетельствовали о нарушении безопасности электронного документооборота. Клиент же, не являющийся профессионалом в этой области и разработчиком внедренного банком программного обеспечения, вправе был рассчитывать на профессионализм банка, на принятие им достаточных средств для обеспечения информационной безопасности или, по крайней мере, на раскрытие информации о продолжении операций по счету; непринятие клиентом самостоятельных активных действий по немедленной блокировке аккаунта сразу же после утраты доступа в информационную систему не может рассматриваться как явно неосмотрительное или неосторожное поведение, учитывая, что клиент мог считать эти действия чрезмерными, будучи введенным в заблуждение авторитетом профессионального участника банковского рынка.

Доводы ответчика о том, что причиной списания денежных средств явилось необеспечение клиентом информационной безопасности, документально не подтверждены и основаны исключительно на предположениях о механизме использования злоумышленниками электронной подписи истца. Вина истца в списании денежных средств с его счета в форме умысла или грубой неосторожности не установлена ни в рамках расследования уголовного дела, ни при рассмотрении настоящего дела в арбитражном суде.

В соответствии со статьей 856 Гражданского кодекса Российской Федерации в случаях несвоевременного зачисления банком на счет клиента поступивших клиенту денежных средств либо их необоснованного списания со счета, а также невыполнения или несвоевременного выполнения указаний клиента о перечислении денежных средств со счета либо об их выдаче со счета банк обязан уплатить на эту сумму проценты в порядке и в размере, которые предусмотрены статьей 395 настоящего Кодекса, независимо от уплаты процентов, предусмотренных пунктом 1 статьи 852 настоящего Кодекса.

Как разъяснено в пунктах 20, 21 постановления Пленума Верховного Суда Российской Федерации № 13, Пленума Высшего Арбитражного Суда Российской Федерации № 14 от 08.10.1998 «О практике применения положений Гражданского кодекса Российской Федерации о процентах за пользование чужими денежными средствами», при рассмотрении дел, возникших в связи с ненадлежащим совершением банком операций по счету, необходимо учитывать, что неустойка, предусмотренная статьей 856 Кодекса, является законной (статья 332 Кодекса) и может быть применена к банку, обслуживающему клиента на основании договора банковского счета.

При необоснованном списании, то есть списании, произведенном в сумме большей, чем предусматривалось платежным документом, а также списании без соответствующего платежного документа либо с нарушением требований законодательства, неустойка начисляется со дня, когда банк необоснованно списал средства, и до их восстановления на счете по учетной ставке Банка России на день восстановления денежных средств на счете. Если требование удовлетворяется в судебном порядке, то ставка процента должна быть определена на день предъявления иска либо на день вынесения решения.

Поскольку ответчиком ненадлежащим исполнены обязательства по договору банковского счета, заключенному с истцом, допущено необоснованное списание денежных средств в сумме 928 000 рублей, ООО «ТО Секом» правомерно предъявило требование о взыскании неустойки, начисленной с 16.11.2021 (даты списания денежных средств после уведомления Банка о недоступности Системы «Клиент-Банк») по 30.08.2023.

Расчет неустойки произведен истцом по ключевой ставке ЦБ РФ, действовавшей в период просрочки. По расчету суда, размер неустойки, начисленной в соответствии с примененной истцом ставкой на сумму долга (928 000 рублей) за период просрочки (с 16.11.2021 по 30.08.2023), и подлежащей взысканию с ответчика, составляет 156 127 рублей 46 копеек. Данная сумма не превышает сумму неустойки, рассчитанную по ключевой ставке ЦБ РФ, установленной на дату принятия решения (199 198,68 рублей), в связи с чем исковые требования общества подлежат удовлетворению судом в пределах заявленных требований.

С учетом изложенного, с Банка в пользу ООО «ТО Секом» подлежит взысканию 1 084 127,46 рублей, в том числе 928 000 рублей основного долга, 156 127,46 рублей неустойки за период с 16.11.2021 по 30.08.2023. В остальной части исковые требования общества удовлетворению не подлежат.

В силу части 1 статьи 110 Арбитражного процессуального кодекса Российской Федерации судебные расходы на уплату государственной пошлины относятся на стороны пропорционально удовлетворенным требованиям.

Руководствуясь статьями 110, 167-171, 181 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд

РЕШИЛ:

Исковые требования удовлетворить частично.

Взыскать с «Газпромбанка» (акционерного общества) (117420, <...>, ИНН <***>, ОГРН <***>) в лице филиала в городе Томске в пользу общества с ограниченной ответственностью «ТО СеКоМ» (636037, <...>, ИНН <***>, ОГРН <***>) 1 084 127 рублей 46 копеек, в том числе 928 000 рублей основного долга, 156 127 рублей 46 копеек неустойки за период с 16.11.2021 по 30.08.2023.

В удовлетворении остальной части исковых требований отказать.

Взыскать с «Газпромбанка» (акционерного общества) (117420, <...>, ИНН <***>, ОГРН <***>) в лице филиала в городе Томске в доход федерального бюджета 18 841 рубль государственной пошлины по иску.

Взыскать с общества с ограниченной ответственностью «ТО СеКоМ» (636037, <...>, ИНН <***>, ОГРН <***>) в доход федерального бюджета 7 777 рублей государственной пошлины по иску.

Решение вступает в законную силу по истечении месячного срока со дня его принятия и может быть обжаловано в Седьмой арбитражный апелляционный суд через принявший решение в первой инстанции арбитражный суд в срок, не превышающий одного месяца со дня его принятия.

Судья А.В. Кузьмин