Кража денег из интернет-банка — виноват клиент или банк?

Кража денег из интернет-банка — виноват клиент или банк?

statia-minМоя статья по практике судебных дел, связанных с кражей через ДБО.

Давно ее написал, и сейчас уже есть что добавить. Все меняется и очень динамично. Позиция Клиента становится все сильнее, а Банк все больше рискует.

Если коротко, то любой стороне нужно делать и техническую и нормативную экспертизу.

Судье будет очень интересно.

Если проанализировать судебные решения за последние 6-7 лет по спорам между банками и клиентами о хищениях денег через интернет-банк (далее ДБО, сокращение от Дистанционное Банковское Обслуживание), собирается интересная статистика. Суды, как правило, встают на сторону банка. Дело в том, что клиенту крайне сложно доказать, что именно действия или бездействия банка привели к хищению денежных средств. Безусловно, отношение большинства клиентов банков к информационной безопасности оставляет желать лучшего. Клиенты часто не выполняют элементарные требования безопасности при работе с ДБО: не извлекают из компьютера токены и смарткарты; не устанавливают или не обновляют средства антивирусной защиты; используют операционные системы, которые не поддерживаются производителями с точки зрения безопасности, и пр. Однако даже если клиент выполняет все требования безопасности, доказать вину банка оказывается сложно.
Согласно статье 393 Гражданского кодекса Российской Федерации: Для взыскания понесенных убытков клиент должен представить суду доказательства, подтверждающие нарушение банком принятых по договору обязательств, а также доказать причинную связь между понесенными убытками и неисполнением или ненадлежащим исполнением обязательств.
Именно здесь кроется проблема.

Основная информация по инциденту находится на стороне банка. Именно банк располагает основным объемом значимой для суда информации. Однако предоставлять их суду банк не обязан.

Вот и получается, что доказывать вину банка должен клиент, а доказательств у него нет. Максимум, что делали клиенты пару лет назад — это предоставляли на техническую экспертизу компьютер, с которого совершаются платежи. Но такая экспертиза может доказать только вину клиента (если будет обнаружено вредоносное программное обеспечение), а вину банка такая экспертиза доказать не может. Попытка защитить свою позицию таким образом — явная ошибка юристов клиента, но в любом случае существует презумпция вины клиента, с этим не поспорить.

Есть решения, когда суд, получив информацию о наличии вредоносного ПО на компьютере клиента, автоматически отказывал клиенту в иске. Причем суд выносил решение в пользу банка даже в том случае, если вредоносное ПО не обладало функционалом, который мог позволить злоумышленнику похитить денежные средства.  

Также важным моментом является практика перераспределения рисков между клиентом и банком по договору. Большинство банков перекладывают на клиента абсолютно все риски, связанные с использованием системы дистанционного банкинга. Оспорить такие положения договора в суде крайне сложно.

Еще важный факт — это отсутствие каких-либо ограничений для банков по разработке правил работы с системой ДБО. Встречаются правила, которые крайне сложно не нарушить рядовому клиенту. В частности, банк может требовать установки антивирусного решения конкретного производителя и даже конкретной версии. А что если производитель выпустил новую версию, а старую уже не поддерживает? Обновление приведет к нарушению правил работы с системой дистанционного банкинга.

Наиболее сложная для доказательства в суде причина несанкционированного списания денег — низкий уровень безопасности системы ДБО в целом. Банки, как правило, указывают в договоре, что, подписывая договор, клиент осознает уровень безопасности. Оспорить такое положение в суде также крайне сложно.

До сих пор многие банки используют крайне уязвимые системы дистанционного банкинга. Для взлома таких систем не требуются какие-то особые знания. Ключи электронной подписи могут открыто храниться в «толстом» клиенте, и для проведения платежей флэшка с ключами может не требоваться вовсе. Или ДБО имеет известные уязвимости, которые не закрываются годами.

Вот и получается, что даже если вина банка есть и она очевидна, клиенту все равно сложно доказать свою позицию в суде.

Однако примерно 2 года назад ситуация стала постепенно меняться. Суды стали внимательнее прислушиваться к доводам клиентов, экспертов и специалистов. Здесь нужно выделить Постановление Президиума Высшего арбитражного суда от 10.06.2014 №716/14 по делу № А40-143607/12. Дело не имело прямого отношения к краже денег через ДБО, однако в дальнейшем суды других инстанций стали учитывать его положения.

Высший арбитражный суд возложил на банк риск незаконного списания денежных средств даже в случае, когда, действуя с обычной степенью осмотрительности, банк не мог этого выявить. ВАС предусмотрел ответственность банка как профессионального участника рынка при отсутствии в договоре иного условия.

В дальнейшем суды все чаще выражали сомнения в невиновности банков и указывали на обязанность банков обеспечивать высокую степень надежности своих систем и бизнес-процессов. Стали чаще ссылаться на банк как на профессионального участника рынка, действия которого должны быть направлены на обеспечение сохранности денежных средств клиента (Дело № А40-20848/15 от 22 июля 2015 г.).

Таким образом, постепенно суды меняют практику рассмотрения дел при краже через ДБО. Постепенно презумпция вины клиента уходит в прошлое. Сомнения суда в безопасности системы дистанционного банкинга могут, при наличии других доказательств, склонить чашу весов в пользу клиента. Сомнения могут появиться у суда по результатам проведения нормативных и технических экспертиз.

Если с технической экспертизой более или менее понятно, то нормативная экспертиза — явление новое. Банковская деятельность регулируется Центральным банком, который предъявляет требования по безопасности, в том числе и к ДБО. Существуют требования регуляторов ФСТЭК России и ФСБ. Есть ГОСТы и прочее. Нормативную экспертизу можно провести в досудебном порядке. Нарушения или несоответствия требованиям и рекомендациям, установленные нормативной экспертизой, также могут учитываться судом.

Практика постепенно разворачивается в сторону клиентов, суд перестает слепо вставать на сторону банков. Поэтому в ближайшее время банкам придется серьезнее заниматься практической безопасностью, более внимательно подходить к проектированию и эксплуатации своих систем дистанционного банковского обслуживания. Они будут вынуждены участвовать в FinCERT, привлекать в процессы сторонних специалистов и экспертов. Как раз сейчас идет целый ряд интересных судебных разбирательств, результаты которых могут серьезно изменить практику на ближайшие годы. Будем следить за событиями.


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации