Rambler's Top100
Блоги Евгений ЦАРЕВ

Кража денег из интернет-банка — виноват клиент или банк?

  22 августа 2016 Страница персоны
Если проанализировать судебные решения за последние 6-7 лет по спорам между банками и клиентами о хищениях денег через интернет-банк (далее ДБО, сокращение от Дистанционное Банковское Обслуживание), собирается интересная статистика.

Суды, как правило, встают на сторону банка. Дело в том, что клиенту крайне сложно доказать, что именно действия или бездействия банка привели к хищению денежных средств.

Безусловно, отношение большинства клиентов банков к информационной безопасности оставляет желать лучшего. Клиенты часто не выполняют элементарные требования безопасности при работе с ДБО:

не извлекают из компьютера токены и смарткарты; не устанавливают или не обновляют средства антивирусной защиты; используют операционные системы, которые не поддерживаются производителями с точки зрения безопасности, и пр.

Однако даже если клиент выполняет все требования безопасности, доказать вину банка оказывается сложно. Согласно статье 393 Гражданского кодекса Российской Федерации:

Для взыскания понесенных убытков клиент должен представить суду доказательства, подтверждающие нарушение банком принятых по договору обязательств, а также доказать причинную связь между понесенными убытками и неисполнением или ненадлежащим исполнением обязательств.

Именно здесь кроется проблема.

Основная информация по инциденту находится на стороне банка. Именно банк располагает основным объемом значимой для суда информации. Однако предоставлять их суду банк не обязан.

Вот и получается, что доказывать вину банка должен клиент, а доказательств у него нет. Максимум, что делали клиенты пару лет назад — это предоставляли на техническую экспертизу компьютер, с которого совершаются платежи. Но такая экспертиза может доказать только вину клиента (если будет обнаружено вредоносное программное обеспечение), а вину банка такая экспертиза доказать не может. Попытка защитить свою позицию таким образом — явная ошибка юристов клиента, но в любом случае существует презумпция вины клиента, с этим не поспорить.

Есть решения, когда суд, получив информацию о наличии вредоносного ПО на компьютере клиента, автоматически отказывал клиенту в иске. Причем суд выносил решение в пользу банка даже в том случае, если вредоносное ПО не обладало функционалом, который мог позволить злоумышленнику похитить денежные средства.

Также важным моментом является практика перераспределения рисков между клиентом и банком по договору. Большинство банков перекладывают на клиента абсолютно все риски, связанные с использованием системы дистанционного банкинга. Оспорить такие положения договора в суде крайне сложно.

Еще важный факт — это отсутствие каких-либо ограничений для банков по разработке правил работы с системой ДБО. Встречаются правила, которые крайне сложно не нарушить рядовому клиенту. В частности, банк может требовать установки антивирусного решения конкретного производителя и даже конкретной версии. А что если производитель выпустил новую версию, а старую уже не поддерживает? Обновление приведет к нарушению правил работы с системой дистанционного банкинга.

Наиболее сложная для доказательства в суде причина несанкционированного списания денег — низкий уровень безопасности системы ДБО в целом. Банки, как правило, указывают в договоре, что, подписывая договор, клиент осознает уровень безопасности. Оспорить такое положение в суде также крайне сложно.

До сих пор многие банки используют крайне уязвимые системы дистанционного банкинга. Для взлома таких систем не требуются какие-то особые знания. Ключи электронной подписи могут открыто храниться в «толстом» клиенте, и для проведения платежей флэшка с ключами может не требоваться вовсе. Или ДБО имеет известные уязвимости, которые не закрываются годами.

Вот и получается, что даже если вина банка есть и она очевидна, клиенту все равно сложно доказать свою позицию в суде.

Однако примерно 2 года назад ситуация стала постепенно меняться. Суды стали внимательнее прислушиваться к доводам клиентов, экспертов и специалистов. Здесь нужно выделить Постановление Президиума Высшего арбитражного суда от 10.06.2014 №716/14 по делу № А40-143607/12. Дело не имело прямого отношения к краже денег через ДБО, однако в дальнейшем суды других инстанций стали учитывать его положения.

Высший арбитражный суд возложил на банк риск незаконного списания денежных средств даже в случае, когда, действуя с обычной степенью осмотрительности, банк не мог этого выявить. ВАС предусмотрел ответственность банка как профессионального участника рынка при отсутствии в договоре иного условия.

В дальнейшем суды все чаще выражали сомнения в невиновности банков и указывали на обязанность банков обеспечивать высокую степень надежности своих систем и бизнес-процессов. Стали чаще ссылаться на банк как на профессионального участника рынка, действия которого должны быть направлены на обеспечение сохранности денежных средств клиента (Дело № А40-20848/15 от 22 июля 2015 г.).

Таким образом, постепенно суды меняют практику рассмотрения дел при краже через ДБО. Постепенно презумпция вины клиента уходит в прошлое. Сомнения суда в безопасности системы дистанционного банкинга могут, при наличии других доказательств, склонить чашу весов в пользу клиента. Сомнения могут появиться у суда по результатам проведения нормативных и технических экспертиз.

Если с технической экспертизой более или менее понятно, то нормативная экспертиза — явление новое. Банковская деятельность регулируется Центральным банком, который предъявляет требования по безопасности, в том числе и к ДБО. Существуют требования регуляторов ФСТЭК России и ФСБ. Есть ГОСТы и прочее. Нормативную экспертизу можно провести в досудебном порядке. Нарушения или несоответствия требованиям и рекомендациям, установленные нормативной экспертизой, также могут учитываться судом.

Практика постепенно разворачивается в сторону клиентов, суд перестает слепо вставать на сторону банков. Поэтому в ближайшее время банкам придется серьезнее заниматься практической безопасностью, более внимательно подходить к проектированию и эксплуатации своих систем дистанционного банковского обслуживания. Они будут вынуждены участвовать в FinCERT, привлекать в процессы сторонних специалистов и экспертов.

Как раз сейчас идет целый ряд интересных судебных разбирательств, результаты которых могут серьезно изменить практику на ближайшие годы. Будем следить за событиями.

Источник: https://www.anti-malware.ru/analytics/Threats_Analysis/Stealing_money_from_online_Bank#

Суды, как правило, встают на сторону банка. Дело в том, что клиенту крайне сложно доказать, что именно действия или бездействия банка привели к хищению денежных средств.

Безусловно, отношение большинства клиентов банков к информационной безопасности оставляет желать лучшего. Клиенты часто не выполняют элементарные требования безопасности при работе с ДБО:

не извлекают из компьютера токены и смарткарты; не устанавливают или не обновляют средства антивирусной защиты; используют операционные системы, которые не поддерживаются производителями с точки зрения безопасности, и пр.

Однако даже если клиент выполняет все требования безопасности, доказать вину банка оказывается сложно. Согласно статье 393 Гражданского кодекса Российской Федерации:

Для взыскания понесенных убытков клиент должен представить суду доказательства, подтверждающие нарушение банком принятых по договору обязательств, а также доказать причинную связь между понесенными убытками и неисполнением или ненадлежащим исполнением обязательств.

Именно здесь кроется проблема.

Основная информация по инциденту находится на стороне банка. Именно банк располагает основным объемом значимой для суда информации. Однако предоставлять их суду банк не обязан.

Вот и получается, что доказывать вину банка должен клиент, а доказательств у него нет. Максимум, что делали клиенты пару лет назад — это предоставляли на техническую экспертизу компьютер, с которого совершаются платежи. Но такая экспертиза может доказать только вину клиента (если будет обнаружено вредоносное программное обеспечение), а вину банка такая экспертиза доказать не может. Попытка защитить свою позицию таким образом — явная ошибка юристов клиента, но в любом случае существует презумпция вины клиента, с этим не поспорить.

Есть решения, когда суд, получив информацию о наличии вредоносного ПО на компьютере клиента, автоматически отказывал клиенту в иске. Причем суд выносил решение в пользу банка даже в том случае, если вредоносное ПО не обладало функционалом, который мог позволить злоумышленнику похитить денежные средства.

Также важным моментом является практика перераспределения рисков между клиентом и банком по договору. Большинство банков перекладывают на клиента абсолютно все риски, связанные с использованием системы дистанционного банкинга. Оспорить такие положения договора в суде крайне сложно.

Еще важный факт — это отсутствие каких-либо ограничений для банков по разработке правил работы с системой ДБО. Встречаются правила, которые крайне сложно не нарушить рядовому клиенту. В частности, банк может требовать установки антивирусного решения конкретного производителя и даже конкретной версии. А что если производитель выпустил новую версию, а старую уже не поддерживает? Обновление приведет к нарушению правил работы с системой дистанционного банкинга.

Наиболее сложная для доказательства в суде причина несанкционированного списания денег — низкий уровень безопасности системы ДБО в целом. Банки, как правило, указывают в договоре, что, подписывая договор, клиент осознает уровень безопасности. Оспорить такое положение в суде также крайне сложно.

До сих пор многие банки используют крайне уязвимые системы дистанционного банкинга. Для взлома таких систем не требуются какие-то особые знания. Ключи электронной подписи могут открыто храниться в «толстом» клиенте, и для проведения платежей флэшка с ключами может не требоваться вовсе. Или ДБО имеет известные уязвимости, которые не закрываются годами.

Вот и получается, что даже если вина банка есть и она очевидна, клиенту все равно сложно доказать свою позицию в суде.

Однако примерно 2 года назад ситуация стала постепенно меняться. Суды стали внимательнее прислушиваться к доводам клиентов, экспертов и специалистов. Здесь нужно выделить Постановление Президиума Высшего арбитражного суда от 10.06.2014 №716/14 по делу № А40-143607/12. Дело не имело прямого отношения к краже денег через ДБО, однако в дальнейшем суды других инстанций стали учитывать его положения.

Высший арбитражный суд возложил на банк риск незаконного списания денежных средств даже в случае, когда, действуя с обычной степенью осмотрительности, банк не мог этого выявить. ВАС предусмотрел ответственность банка как профессионального участника рынка при отсутствии в договоре иного условия.

В дальнейшем суды все чаще выражали сомнения в невиновности банков и указывали на обязанность банков обеспечивать высокую степень надежности своих систем и бизнес-процессов. Стали чаще ссылаться на банк как на профессионального участника рынка, действия которого должны быть направлены на обеспечение сохранности денежных средств клиента (Дело № А40-20848/15 от 22 июля 2015 г.).

Таким образом, постепенно суды меняют практику рассмотрения дел при краже через ДБО. Постепенно презумпция вины клиента уходит в прошлое. Сомнения суда в безопасности системы дистанционного банкинга могут, при наличии других доказательств, склонить чашу весов в пользу клиента. Сомнения могут появиться у суда по результатам проведения нормативных и технических экспертиз.

Если с технической экспертизой более или менее понятно, то нормативная экспертиза — явление новое. Банковская деятельность регулируется Центральным банком, который предъявляет требования по безопасности, в том числе и к ДБО. Существуют требования регуляторов ФСТЭК России и ФСБ. Есть ГОСТы и прочее. Нормативную экспертизу можно провести в досудебном порядке. Нарушения или несоответствия требованиям и рекомендациям, установленные нормативной экспертизой, также могут учитываться судом.

Практика постепенно разворачивается в сторону клиентов, суд перестает слепо вставать на сторону банков. Поэтому в ближайшее время банкам придется серьезнее заниматься практической безопасностью, более внимательно подходить к проектированию и эксплуатации своих систем дистанционного банковского обслуживания. Они будут вынуждены участвовать в FinCERT, привлекать в процессы сторонних специалистов и экспертов.

Как раз сейчас идет целый ряд интересных судебных разбирательств, результаты которых могут серьезно изменить практику на ближайшие годы. Будем следить за событиями.

Источник: https://www.anti-malware.ru/analytics/Threats_Analysis/Stealing_money_from_online_Bank#

Суды, как правило, встают на сторону банка. Дело в том, что клиенту крайне сложно доказать, что именно действия или бездействия банка привели к хищению денежных средств.

Безусловно, отношение большинства клиентов банков к информационной безопасности оставляет желать лучшего. Клиенты часто не выполняют элементарные требования безопасности при работе с ДБО:

не извлекают из компьютера токены и смарткарты; не устанавливают или не обновляют средства антивирусной защиты; используют операционные системы, которые не поддерживаются производителями с точки зрения безопасности, и пр.

Однако даже если клиент выполняет все требования безопасности, доказать вину банка оказывается сложно. Согласно статье 393 Гражданского кодекса Российской Федерации:

Для взыскания понесенных убытков клиент должен представить суду доказательства, подтверждающие нарушение банком принятых по договору обязательств, а также доказать причинную связь между понесенными убытками и неисполнением или ненадлежащим исполнением обязательств.

Именно здесь кроется проблема.

Основная информация по инциденту находится на стороне банка. Именно банк располагает основным объемом значимой для суда информации. Однако предоставлять их суду банк не обязан.

Вот и получается, что доказывать вину банка должен клиент, а доказательств у него нет. Максимум, что делали клиенты пару лет назад — это предоставляли на техническую экспертизу компьютер, с которого совершаются платежи. Но такая экспертиза может доказать только вину клиента (если будет обнаружено вредоносное программное обеспечение), а вину банка такая экспертиза доказать не может. Попытка защитить свою позицию таким образом — явная ошибка юристов клиента, но в любом случае существует презумпция вины клиента, с этим не поспорить.

Есть решения, когда суд, получив информацию о наличии вредоносного ПО на компьютере клиента, автоматически отказывал клиенту в иске. Причем суд выносил решение в пользу банка даже в том случае, если вредоносное ПО не обладало функционалом, который мог позволить злоумышленнику похитить денежные средства.

Также важным моментом является практика перераспределения рисков между клиентом и банком по договору. Большинство банков перекладывают на клиента абсолютно все риски, связанные с использованием системы дистанционного банкинга. Оспорить такие положения договора в суде крайне сложно.

Еще важный факт — это отсутствие каких-либо ограничений для банков по разработке правил работы с системой ДБО. Встречаются правила, которые крайне сложно не нарушить рядовому клиенту. В частности, банк может требовать установки антивирусного решения конкретного производителя и даже конкретной версии. А что если производитель выпустил новую версию, а старую уже не поддерживает? Обновление приведет к нарушению правил работы с системой дистанционного банкинга.

Наиболее сложная для доказательства в суде причина несанкционированного списания денег — низкий уровень безопасности системы ДБО в целом. Банки, как правило, указывают в договоре, что, подписывая договор, клиент осознает уровень безопасности. Оспорить такое положение в суде также крайне сложно.

До сих пор многие банки используют крайне уязвимые системы дистанционного банкинга. Для взлома таких систем не требуются какие-то особые знания. Ключи электронной подписи могут открыто храниться в «толстом» клиенте, и для проведения платежей флэшка с ключами может не требоваться вовсе. Или ДБО имеет известные уязвимости, которые не закрываются годами.

Вот и получается, что даже если вина банка есть и она очевидна, клиенту все равно сложно доказать свою позицию в суде.

Однако примерно 2 года назад ситуация стала постепенно меняться. Суды стали внимательнее прислушиваться к доводам клиентов, экспертов и специалистов. Здесь нужно выделить Постановление Президиума Высшего арбитражного суда от 10.06.2014 №716/14 по делу № А40-143607/12. Дело не имело прямого отношения к краже денег через ДБО, однако в дальнейшем суды других инстанций стали учитывать его положения.

Высший арбитражный суд возложил на банк риск незаконного списания денежных средств даже в случае, когда, действуя с обычной степенью осмотрительности, банк не мог этого выявить. ВАС предусмотрел ответственность банка как профессионального участника рынка при отсутствии в договоре иного условия.

В дальнейшем суды все чаще выражали сомнения в невиновности банков и указывали на обязанность банков обеспечивать высокую степень надежности своих систем и бизнес-процессов. Стали чаще ссылаться на банк как на профессионального участника рынка, действия которого должны быть направлены на обеспечение сохранности денежных средств клиента (Дело № А40-20848/15 от 22 июля 2015 г.).

Таким образом, постепенно суды меняют практику рассмотрения дел при краже через ДБО. Постепенно презумпция вины клиента уходит в прошлое. Сомнения суда в безопасности системы дистанционного банкинга могут, при наличии других доказательств, склонить чашу весов в пользу клиента. Сомнения могут появиться у суда по результатам проведения нормативных и технических экспертиз.

Если с технической экспертизой более или менее понятно, то нормативная экспертиза — явление новое. Банковская деятельность регулируется Центральным банком, который предъявляет требования по безопасности, в том числе и к ДБО. Существуют требования регуляторов ФСТЭК России и ФСБ. Есть ГОСТы и прочее. Нормативную экспертизу можно провести в досудебном порядке. Нарушения или несоответствия требованиям и рекомендациям, установленные нормативной экспертизой, также могут учитываться судом.

Практика постепенно разворачивается в сторону клиентов, суд перестает слепо вставать на сторону банков. Поэтому в ближайшее время банкам придется серьезнее заниматься практической безопасностью, более внимательно подходить к проектированию и эксплуатации своих систем дистанционного банковского обслуживания. Они будут вынуждены участвовать в FinCERT, привлекать в процессы сторонних специалистов и экспертов.

Как раз сейчас идет целый ряд интересных судебных разбирательств, результаты которых могут серьезно изменить практику на ближайшие годы. Будем следить за событиями.

Источник: https://www.anti-malware.ru/analytics/Threats_Analysis/Stealing_money_from_online_Bank#

Суды, как правило, встают на сторону банка. Дело в том, что клиенту крайне сложно доказать, что именно действия или бездействия банка привели к хищению денежных средств. Безусловно, отношение большинства клиентов банков к информационной безопасности оставляет желать лучшего. Клиенты часто не выполняют элементарные требования безопасности при работе с ДБО:
- не извлекают из компьютера токены и смарткарты;
- не устанавливают или не обновляют средства антивирусной защиты;
- используют операционные системы, которые не поддерживаются производителями с точки зрения безопасности, и пр.

Однако даже если клиент выполняет все требования безопасности, доказать вину банка оказывается сложно. Согласно статье 393 Гражданского кодекса Российской Федерации:
  Для взыскания понесенных убытков клиент должен представить суду доказательства, подтверждающие нарушение банком принятых по договору обязательств, а также доказать причинную связь между понесенными убытками и неисполнением или ненадлежащим исполнением обязательств.

Именно здесь кроется проблема.
Основная информация по инцеденту находится на стороне банка. Именно банк располагает основным объемом значимой для суда информации. Однако предоставлять суду банк их не обязан.
Вот и получается, что доказывать вину банка должен клиент, а доказательств у него нет. Максимум, что делали клиенты пару лет назад - это предоставляли на техническую экспертизу компьютер, с которого совершаются платежи. Но такая экспертиза может доказать только вину клиента ( если будет обноружено вредоносное програмное обеспечение), а вину банка такая экспертиза доказать не может. Попытка защитить свою позицию таким образом - явная ошибка юристов клиента, но в любом случае существует презумпция вины клиента, с этим не поспорить.

Есть решения, когда суд, получив информацию о наличии вредоносного ПО на компьютере клиента, автоматический отказывал клиенту в иске. Причем суд выносил решение в пользу банка даже в том случае, если вредоносное ПО не обладало функционалом, который мог позволить злоумышленнику похитить денежные средства.

Также важным моментом является практика перераспределения рисков между клиентом и банком по договору. Большинство банков перекладывают на клиента абсолютно все риски, связанные с использованием системы дистационного банкинга. Оспорить такие положения договора в суде крайне сложно.

Еще важный факт - это отсутсвие каких либо ограничений для банков по разработке правил работы с системой ДБО. Встречаются правила, которые крайне сложно не нарушить рядовому клиенту. В частности, банк может требовать установки антивирусного решения конкретного производителя и даже конкретной версии. А что если производитель выпустил новую версию, а старую уже не поддерживает? Обновление приведет к нарушению правил работы с системой  дистанционного банкинга.

Наиболее сложная для доказательств в суде причина несанкционированного списания денег - низкий уровень безопасности системы ДБО в целом. Банки, как правило, указывают в договоре, что, подписывая договор, клиент осознает уровень безопастности. Оспорить такое положение в суде крайне сложно.

До сих пор многие банки используют крайне уязвимые системы дистанционного банкинга. Для взлома таких систем не требуются какие то особые знания. Ключи электронной подписи могу открыто хранится в "толстом" клиенте, и для проведения платежей флэшка с ключами может не требоваться вовсе. Или ДБО имеет известные уязвимости, которые не закрываются годами.

Вот и получается, что даже если вина банка есть и она очевидна, клиенту все равно сложно доказать свою позицию в суде.

Однако примерно 2 года назад ситуация стала постепенно меняться. Суды стали внимательнее прислушиваться к доводам клиентов, экспретов и специалистов. Здесь нужно выделить Постановление Президиума Высшего арбитражного суда от 10.06.2014 №716/14 по делу № А40-143607/12. Дело не имело прямого отношения к  краже денег через ДБО, однако в дальнейшем суды других инстанций стали учитывать его положения.

Высший арбитражный суд возложил на банк риск незаконного списания денежных средств даже в случае, когда, действуя с обычной степенью осмотрительности, банк не мог этого выявить. ВАС предусмотрел отвественность банка как профессионального участника рынка при отсутствии в договоре иного условия.

В дальнейшем суды все чаще выражали сомнения в невиновности банков и указывали на обязанность банков обеспечивать высокую степень надежности своих систем и бизнец-процессов. Стали чаще ссылаться на банк как на профессионального участника рынка, действия которого должны быть направлены на обеспечение сохранности денежных средств клиента. (Дело №А40-20848/15 от 22 июля 2015 г.)

Таким образом, постепенно суды меняют практику рассмотрения дел при краже через ДБО. Постепенно призумпция вины клиента уходит в прошлое. Сомнения суда в безопастности системы дистанционного банкинга могу,  при наличии других доказательств, склонить чащу весов в пользу клиента. Сомнения могут появится у суда по результатам проведения нормативных и технических экспертиз.

Если с технической экспертизой более или менее  понятно, то нормативная экспертиза- явление новое. Банковская деятельность регулируется Центральным банком, который предъявляет требования по безопастности, в том числе и к ДБО. Существуют требования регуляторов ФСТЭК России и ФСБ. Есть ГОСТы и прочее. Нормативную экспретизу можно провести в досудебном порядке. Нарушения или несоответствия требованиям и рекомендациям, установленные нормативной экспертизой, также могут учитываться судом.

Практика постепенно разворачивается в сторону клиентов, суд перестает слепо вставать на сторону банков. Поэтому в ближайшее время банкам придется серьезнее заниматься практической безопастностью, более внимательно подходить к проектированию и эксплуатации своих систем дистанционного банковского обслуживания. Они буду вынуждены участвовать в FinCERT, привлекать в процессы сторонних специалистов и экспертов.

Как раз сейчас идет целый ряд интерестных судебных разбирательств, результаты которых могут серьезно изменить практику на ближайщие годы. Будем следить за событиями.

 Источник.
Суды, как правило, встают на сторону банка. Дело в том, что клиенту крайне сложно доказать, что именно действия или бездействия банка привели к хищению денежных средств.

Безусловно, отношение большинства клиентов банков к информационной безопасности оставляет желать лучшего. Клиенты часто не выполняют элементарные требования безопасности при работе с ДБО:

не извлекают из компьютера токены и смарткарты; не устанавливают или не обновляют средства антивирусной защиты; используют операционные системы, которые не поддерживаются производителями с точки зрения безопасности, и пр.

Однако даже если клиент выполняет все требования безопасности, доказать вину банка оказывается сложно. Согласно статье 393 Гражданского кодекса Российской Федерации:

Для взыскания понесенных убытков клиент должен представить суду доказательства, подтверждающие нарушение банком принятых по договору обязательств, а также доказать причинную связь между понесенными убытками и неисполнением или ненадлежащим исполнением обязательств.

Именно здесь кроется проблема.

Основная информация по инциденту находится на стороне банка. Именно банк располагает основным объемом значимой для суда информации. Однако предоставлять их суду банк не обязан.

Вот и получается, что доказывать вину банка должен клиент, а доказательств у него нет. Максимум, что делали клиенты пару лет назад — это предоставляли на техническую экспертизу компьютер, с которого совершаются платежи. Но такая экспертиза может доказать только вину клиента (если будет обнаружено вредоносное программное обеспечение), а вину банка такая экспертиза доказать не может. Попытка защитить свою позицию таким образом — явная ошибка юристов клиента, но в любом случае существует презумпция вины клиента, с этим не поспорить.

Есть решения, когда суд, получив информацию о наличии вредоносного ПО на компьютере клиента, автоматически отказывал клиенту в иске. Причем суд выносил решение в пользу банка даже в том случае, если вредоносное ПО не обладало функционалом, который мог позволить злоумышленнику похитить денежные средства.

Также важным моментом является практика перераспределения рисков между клиентом и банком по договору. Большинство банков перекладывают на клиента абсолютно все риски, связанные с использованием системы дистанционного банкинга. Оспорить такие положения договора в суде крайне сложно.

Еще важный факт — это отсутствие каких-либо ограничений для банков по разработке правил работы с системой ДБО. Встречаются правила, которые крайне сложно не нарушить рядовому клиенту. В частности, банк может требовать установки антивирусного решения конкретного производителя и даже конкретной версии. А что если производитель выпустил новую версию, а старую уже не поддерживает? Обновление приведет к нарушению правил работы с системой дистанционного банкинга.

Наиболее сложная для доказательства в суде причина несанкционированного списания денег — низкий уровень безопасности системы ДБО в целом. Банки, как правило, указывают в договоре, что, подписывая договор, клиент осознает уровень безопасности. Оспорить такое положение в суде также крайне сложно.

До сих пор многие банки используют крайне уязвимые системы дистанционного банкинга. Для взлома таких систем не требуются какие-то особые знания. Ключи электронной подписи могут открыто храниться в «толстом» клиенте, и для проведения платежей флэшка с ключами может не требоваться вовсе. Или ДБО имеет известные уязвимости, которые не закрываются годами.

Вот и получается, что даже если вина банка есть и она очевидна, клиенту все равно сложно доказать свою позицию в суде.

Однако примерно 2 года назад ситуация стала постепенно меняться. Суды стали внимательнее прислушиваться к доводам клиентов, экспертов и специалистов. Здесь нужно выделить Постановление Президиума Высшего арбитражного суда от 10.06.2014 №716/14 по делу № А40-143607/12. Дело не имело прямого отношения к краже денег через ДБО, однако в дальнейшем суды других инстанций стали учитывать его положения.

Высший арбитражный суд возложил на банк риск незаконного списания денежных средств даже в случае, когда, действуя с обычной степенью осмотрительности, банк не мог этого выявить. ВАС предусмотрел ответственность банка как профессионального участника рынка при отсутствии в договоре иного условия.

В дальнейшем суды все чаще выражали сомнения в невиновности банков и указывали на обязанность банков обеспечивать высокую степень надежности своих систем и бизнес-процессов. Стали чаще ссылаться на банк как на профессионального участника рынка, действия которого должны быть направлены на обеспечение сохранности денежных средств клиента (Дело № А40-20848/15 от 22 июля 2015 г.).

Таким образом, постепенно суды меняют практику рассмотрения дел при краже через ДБО. Постепенно презумпция вины клиента уходит в прошлое. Сомнения суда в безопасности системы дистанционного банкинга могут, при наличии других доказательств, склонить чашу весов в пользу клиента. Сомнения могут появиться у суда по результатам проведения нормативных и технических экспертиз.

Если с технической экспертизой более или менее понятно, то нормативная экспертиза — явление новое. Банковская деятельность регулируется Центральным банком, который предъявляет требования по безопасности, в том числе и к ДБО. Существуют требования регуляторов ФСТЭК России и ФСБ. Есть ГОСТы и прочее. Нормативную экспертизу можно провести в досудебном порядке. Нарушения или несоответствия требованиям и рекомендациям, установленные нормативной экспертизой, также могут учитываться судом.

Практика постепенно разворачивается в сторону клиентов, суд перестает слепо вставать на сторону банков. Поэтому в ближайшее время банкам придется серьезнее заниматься практической безопасностью, более внимательно подходить к проектированию и эксплуатации своих систем дистанционного банковского обслуживания. Они будут вынуждены участвовать в FinCERT, привлекать в процессы сторонних специалистов и экспертов.

Как раз сейчас идет целый ряд интересных судебных разбирательств, результаты которых могут серьезно изменить практику на ближайшие годы. Будем следить за событиями.

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

23.08 14:12 Игнат Петрович Ферцев :
Мне кажется, здесь всегда важно учитывать, что сделали для предотвращения подобных ситуаций обе стороны. Я это со знанием дела говорю. Недавно сам столкнулся с тем, что например, существует масса способов усовершенствования работу своего производства и его же защиты на самых разных уровнях. Даже нашел отличных людей, которые все это умеют делать:konsom.ru/solutions, и понял, как много всего упускал. Теперь максимально перестраиваю всю структуру работы)