Вопросы общеправовой и судебной квалификации несанкционированных операций по банковским счетам в результате киберпреступлений
(Генкин А. С.) («Банковское право», 2013, N 1)
ВОПРОСЫ ОБЩЕПРАВОВОЙ И СУДЕБНОЙ КВАЛИФИКАЦИИ НЕСАНКЦИОНИРОВАННЫХ ОПЕРАЦИЙ ПО БАНКОВСКИМ СЧЕТАМ В РЕЗУЛЬТАТЕ КИБЕРПРЕСТУПЛЕНИЙ
А. С. ГЕНКИН
Генкин Артем Семенович, доктор экономических наук, профессор, исполнительный директор консалтинговой группы «АСПЕКТ».
Issues of general law and judicial qualification of non-sanctioned operations on bank accounts in the result of cybercrimes A. S. Genkin
Criminal activities related to thefts (illegal disposal of means) from bank accounts in distance service has become more active. The article studies the complex of legal relations arising during the period preceding commitment of such cybercrime, at the moment of commitment thereof and in the result of realization of consequences of commitment thereof. The author proposes analysis of the most demonstrative judicial cases in the said sphere; substantiates a number of legal measures of counteraction of cybercrimes.
Key words: cybercrime, cybercrimes, bank, bank account, client, Electronic Digital Signature, banking.
Интернет широко используется для оплаты услуг и покупки товаров, управления банковским счетом. 8 трлн. долл. проходит через Интернет ежегодно. Столь динамично развивающийся сектор мировой экономики становится центром притяжения внимания для преступности <1>. ——————————— <1> По данным исследования Группы 808, интерес российской интернет-аудитории к скачиванию различных программ для взлома за январь — август 2012 г. вырос более чем на 40% по сравнению с аналогичным периодом 2011 г. Как о свершившемся явлении можно говорить о формировании рынка услуг Cybercrime to Cybercrime, т. е. о сложившемся своеобразном интернациональном клубе взаимопомощи киберпреступников различной узкой специализации.
В международно-правовой практике понятие «киберпреступность» имеет строгое определение, построенное на основе выделения ее элементов и наиболее характерных проявлений. Европейская конвенция о киберпреступности 2001 г. выделяет следующие ее проявления: — незаконный доступ к компьютерным системам и перехват данных; — воздействие на данные; — воздействие на работу системы; — противозаконное использование устройств; — подлог и мошенничество с использованием компьютерных технологий; — правонарушения, связанные с детской порнографией; — правонарушения, связанные с авторским правом и смежными правами <2>. ——————————— <2> Конвенция подписана многими странами, но не ратифицирована ни одной страной БРИК. По нашей информации, причиной неподписания Конвенции Россией (в отличие от многих стран — членов СНГ) является наличие в документе некоторых положений, позволяющих при определенных обстоятельствах вмешательство в деятельность компьютерных сетей страны-участницы с территории иностранного государства в целях исполнения обязательств по Конвенции. При том что наличие такой возможности действительно может представлять угрозу национальной информационной безопасности, остается неясным, были ли использованы отечественной дипломатией все возможности для смягчения указанного пункта или по крайней мере проработки альтернативных его формулировок, приемлемых для наших национальных интересов.
Типичная схема хищения киберпреступниками средств со счета жертвы в России выглядит так: 1. Приобретение на «черном рынке» или самостоятельное изготовление вирусных программ. 2. Скрытное размещение в Интернете или распространение в спам-рассылках вирусного программного обеспечения. 3. Заражение компьютеров с установленным на них программным обеспечением «банк — клиент». 4. Получение логинов, паролей и цифровых подписей. 5. Осуществление платежей якобы от имени организаций или граждан на счета подставных фирм. 6. Перевод денежных средств на пластиковые карты. 7. Обналичивание денежных средств в банкоматах. С правовой точки зрения можно выделить целый ряд участников правоотношений, возникающих в период, предшествующий совершению киберпреступления, непосредственно в момент его совершения и в результате реализации последствий от его совершения: — «жертва» (юридическое или физическое лицо); — персонал «жертвы» (в случае, когда «жертва» является юридическим лицом); — кредитная организация (банк 1), являющаяся держателем расчетного счета «жертвы»; — персонал банка 1; — получатель платежа (как правило, физическое лицо); — кредитная организация (банк 2), являющаяся держателем расчетного счета получателя платежа; — персонал банка 2; — «дроппер», или «денежный мул» (осуществляет физическое снятие похищенных киберпреступниками денежных средств в наличной форме); — организатор/организаторы киберпреступления; — «защитники» — компании, предоставляющие «жертве» права на использование антивирусного программного обеспечения; — разработчики специального банковского программного оборудования типа «интернет-банк», используемого банком 1 и банком 2; — IT-компании — компании, предоставляющие «жертве» права на использование обычного ПО, и в том числе операционных систем. Каждый участник имеет сложные и нередко многоуровневые отношения с одним или несколькими другими участниками исследуемых правоотношений. Так, «жертва» — юридическое лицо имеет договорные отношения со своим персоналом (трудовые контракты, соглашения о материальной ответственности, режиме конфиденциальности на предприятии и т. д.), налоговые и иные обязательства перед государством, договор расчетно-кассового обслуживания (РКО) с обслуживающим банком, а также лицензионный (сублицензионный) договор с «защитниками» и IT-компаниями. Между банком 1 и банком 2, скорее всего, заключен договор о корреспондентских отношениях, а также имеются договоры на разработку для них специального программного обеспечения. У банка получателя существуют правоотношения в рамках договора банковского счета с «денежным мулом» или иным пособником хакеров. Правда, в момент совершения киберпреступления банк ни о чем еще не знает и оперативно зачисляет поступившие денежные средства на счет пособника, выполняет поручения клиента на выдачу средств наличными или на их безналичный перевод и т. д. В России растет число разбирательств, в том числе судебных, в которых данные сложные взаимоотношения задействованных лиц рассматриваются достаточно детально. Как правило, это споры между клиентом и обслуживающим его банком, куда клиент обращается, узнав о несанкционированном списании средств с его счета, и просит вернуть на свой счет указанные средства. Банк при досудебном разбирательстве обычно дает отказ в удовлетворении требований клиента. Чаще всего такой отказ обосновывается ссылкой на п. 3 ст. 845 Гражданского кодекса РФ: «Банк не вправе определять и контролировать направления использования денежных средств клиента и устанавливать другие, не предусмотренные законом или договором банковского счета, ограничения его права распоряжаться денежными средствами по своему усмотрению». Нередко банк прибегает к формулировкам Федерального закона «Об электронной подписи» (ЭЦП) и стандартных пунктов договоров с клиентами о РКО, перелагающих исключительно на клиента ответственность за любые действия, осуществляемые с возможностью использования его ЭЦП. Вот ряд однотипных дел, решенных судами в пользу банков. 1. Постановление ФАС МО от 4 мая 2010 г. N КГ-А40/1750-10 по делу ООО «Мосфармторг» против ЗАО «Банк «Резервные финансы и инвестиции». По договору между банком и клиентом основанием для принятия банком переданного клиентом по системе «банк — клиент» платежного документа являлось наличие и корректность ЭЦП, а клиент брал на себя полную ответственность и обязательство самостоятельно обеспечить сохранность, неразглашение и нераспространение ключей. 2. Определение ВАС РФ от 17 июня 2010 г. N ВАС-8027/10 об отказе в передаче в Президиум ВАС РФ иска ЗАО «Алакси» к ОАО «АКБ «Банк Москвы». Суд решил, что используемая система «Интернет-банк — клиент» не позволяет самому банку создать новое сообщение от имени клиента или передать такую возможность третьему лицу. Отказ в иске был обоснован отсутствием доказательств ненадлежащего исполнения ответчиком договора банковского счета и неправомерного распоряжения денежными средствами истца, поскольку электронные платежные поручения, полученные ответчиком по системе «банк — клиент», были подписаны ЭЦП уполномоченных истцом лиц. 3. Постановление 14-го ААС от 29 июня 2012 г. по делу N А66-9956/2011 ТСЖ «Калининское» против ОАО «КБ «Торжокуниверсалбанк». Суд решил, что истец не доказал факт доступа к системе ДБО третьих лиц по вине банка. Истец не проявил определенной степени заботливости и осмотрительности относительно сохранности денежных средств на своем расчетном счете, по своей воле воспользовался фактически предоставленной банком услугой без заключения письменного договора. 4. Постановление 9-го ААС от 6 августа 2012 г. N 09АП-20065/2012 по делу ОАО «АКБ «Связь-Банк» против ЗАО «ГКБ «Автоградбанк» (банка-партнера по осуществлению переводов физических лиц в системе переводов BLIZKO). Учитывая, что платежное поручение было подписано подлинной (корректной) ЭЦП уполномоченного лица, довод ответчика о том, что денежные средства перечислены без ведома уполномоченных лиц, судом был признан необоснованным. 5. Постановление 9-го ААС от 6 августа 2012 г. N 09АП-18900/2012-ГК по делу НОУДО «Перспектива» против КБ «Агропромкредит» (ОАО). Суд постановил, что по договору клиента с банком последний не несет ответственность за последствия исполнения электронного расчетного документа, защищенного корректной ЭЦП клиента, в том числе в случае использования ключей ЭЦП клиента неуполномоченным лицом. 6. Иногда на помощь банку приходят упущения истца (подлинные или мнимые). Так, Постановлением ФАС МО от 9 июня 2010 г. N КГ-А40/5369-10 по делу ООО «Ангор» против ООО «КБ «Региональные финансы» дело было решено в пользу банка, так как ненадлежащее лицо со стороны истца подписывало распечатку открытого ключа, о чем истец не заявлял. 7. Показательно и апелляционное Определение Забайкальского краевого суда от 17 июля 2012 г. по делу N 33-2238-2012 по иску физического лица к ОАО «Сбербанк России». Суд обнаружил, что истец не обеспечивал защиту компьютеров от несанкционированного доступа и вредоносного программного обеспечения. Поскольку потребитель услуги нарушил установленные правила использования предоставляемой услуги, то банк в данном случае не может нести ответственность как исполнитель услуги. 8. Правовую неуязвимость позиции банка — получателя украденных хакерами средств продемонстрировало Постановление ФАС ДО от 9 июля 2012 г. N Ф03-1727/2012 по иску ООО «Соллюкс» к ОАО «Сбербанк России» и ОАО «Роял Кредит Банк». Суд пришел к выводу об отсутствии оснований для возложения ответственности на ОАО «Сбербанк России», являющееся в данном случае банком-посредником и не имеющее договорных правоотношений с истцом, при том что возможность отзыва исполненного платежного поручения и обязания банка-посредника возвратить зачисленные на счет клиента денежные средства законодательством не предусмотрена. Необходимо упомянуть и Постановление ФАС ЦО от 24 декабря 2007 г. по делу N А08-10822/05-4 «ОАО «Банк ВТБ» (филиал в г. Белгороде) против ОАО «Белгородская сбытовая компания». В этом деле суд решил удовлетворить требования истца в силу на редкость удачного для последнего сочетания нескольких факторов. 1. Совместной комиссией было установлено, что файл, содержащий спорное платежное поручение, не был обнаружен среди электронных документов, переданных банку, и на жестком диске компьютера истца. 2. Кроме того, согласно экспертным заключениям, программный комплекс ДБО не обеспечивал требуемый уровень информационной безопасности в части защиты платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации платежных документов, копирования ЭЦП. 3. Файл подложного платежного поручения не был изготовлен на абонентском пункте истца и отсутствовал на нем до получения файла из банка, номер принятого банком ЭПД не соответствовал номерам платежных поручений, проводимых в ту же дату. В августе 2012 г. Чертановский районный суд г. Москвы вынес решение по делу, по которому жертвами фишинга (фишинг, от англ. fishing — рыбная ловля, выуживание — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей: логинам и паролям) стали жители 46 регионов России. Два инициатора киберпреступлений были приговорены к шести годам лишения свободы условно и штрафу 450 тыс. руб. каждый. Суд признал их виновными по ч. 2 ст. 272, ч. 1 ст. 273 и ч. 4 ст. 159 УК РФ (мошенничество, совершенное группой лиц по предварительному сговору с причинением ущерба в особо крупном размере). Лицо, создавшее копию веб-страницы банка «ВТБ 24», было признано виновным в пособничестве в совершении мошенничества (ч. 5 ст. 33 и ч. 4 ст. 159 УК РФ) и приговорено к четырем годам лишения свободы условно и штрафу в 200 тыс. руб. Были арестованы имущество фишеров и их счета в системе Webmoney. При этом банк возместил все похищенные деньги (13 млн. руб.) 170 пострадавшим клиентам до суда. Проведя анализ имеющихся судебных решений, стоит отметить, что судебные органы не дают однозначной трактовки исходных позиций ни в пользу банков, ни в пользу их клиентов. При этом в процентном соотношении на стороне банков все возрастающий перевес: если к осени 2010 г. примерно три четверти известных нам по данному вопросу судебных дел в первой инстанции было решено судами в пользу банков, то через два года доля таких решений приблизилась к 90%. Отмеченное положение дел объясняется целым рядом факторов, причем не все они объективно вытекают из понятия о правоте или неправоте той или иной стороны спора. Здесь, безусловно, играет роль как сравнительное преимущество банка над среднестатистическим клиентом — «жертвой» хакеров в наличии высококвалифицированного юридического персонала в судебном процессе, а также фактор договорной подсудности. Кроме того, в силу сложившихся в нашей стране обычаев делового оборота среднестатистический клиент, как правило, не имеет возможности на равных с банком обсудить условия договора между ними и вынужден идти на унифицированные, отточенные банком формулировки, зачастую трактующие «пограничные» вопросы взаимных прав и обязанностей сторон в невыгодном для клиента свете. Пока не обнаруживается судебных примеров использования клиентами — «жертвами» киберпреступлений аргументов, связанных с невыполнением или недостаточным выполнением банком (при борьбе с несанкционированными операциями по счету клиента) его обязанностей применительно к подозрительным операциям, установленных в Федеральном законе от 7 августа 2001 г. «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и в его более поздних редакциях. Не изучалась в этом контексте ни судами, ни регулятором некоторая не всегда объяснимая «небрежность» при выполнении процедур идентификации и проверки клиента при открытии счетов. Между тем согласно п. 3 ст. 401 ГК РФ лицо, не исполнившее или ненадлежащим образом исполнившее обязательство при осуществлении предпринимательской деятельности, несет ответственность в полном размере вне зависимости от наличия в его действиях вины. Также практически не исследовался судами вопрос о наличии или отсутствии вины за происшедшую утрату клиентом средств на организациях и (или) физических лицах, осуществивших разработку операционной системы, антивирусного ПО и системы интернет-банкинга банка пострадавшего клиента. В качестве возможного способа минимизации рисков, связанных с убытками от киберпреступлений, возможно применение страхования указанных рисков со стороны кредитных организаций, открывающих счета клиентам, по аналогии с системой страхования вкладов. Другой эффективный способ снижения вредоносного эффекта от действий хакеров — разъяснительная работа с клиентами, нацеленная на избежание рискогенерирующего поведения с их стороны, укрепление навыков безопасной работы в Сети, а также переход на технические, технологические и аппаратные средства, приспособленные к предотвращению и отражению хакерских атак. Влияет на ситуацию и распространенное использование злоумышленниками чужих, украденных или недействительных паспортов для открытия счета в банке, получения банковской карточки, снятия средств со счета и т. д.
——————————————————————