Реальные риски виртуальных платежей

(Лейба А.) («ЭЖ-Юрист», 2013, N 44)

РЕАЛЬНЫЕ РИСКИ ВИРТУАЛЬНЫХ ПЛАТЕЖЕЙ

А. ЛЕЙБА

Алексей Лейба, юрист, г. Добрянка.

Популярность и доступность интернет-банкинга рано или поздно должны были заставить банки задуматься о безопасности виртуальных платежей. Помочь банкам вызвался Банк России, подготовивший письмо N 146-Т «О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети Интернет».

Судебные споры между клиентами и банками

В практике судов встречается множество споров, когда клиент банка предъявляет иск, связанный с несанкционированным списанием денежных средств с его счета при дистанционном банковском обслуживании (ДБО). В подобных случаях клиент стремится возложить вину на банк, заявляя, что распоряжение на списание и перечисление средств делал не он. Банк возлагает вину на клиента, доказывая то, что списание было санкционировано клиентом, поскольку электронная цифровая подпись (ЭЦП), сопровождающая ордер, принадлежит ему <1>. ——————————— <1> Зоркольцев Р. Д. Злоупотребление правом пользователями услуг интернет-банкинга // Банковское дело. 2011. N 4.

Так, по одному из дел ООО было отказано в иске к коммерческому банку о взыскании сумм необоснованно списанных денежных средств в размере 5,9 млн. руб. в качестве убытков. Общество указало, что 19.08.2011 неустановленными лицами с его расчетного счета было осуществлено списание денежных средств по платежному поручению от 19.08.2011 N 91 посредством системы ДБО. Истец считал, что такое списание произошло в результате недостатков в системе защиты предоставленной банком услуги «клиент — банк» и нарушения ответчиком договора N 106627/220/1 на открытие расчетного счета от 24.11.2010 и контракта N 416655 на предоставление услуг ДБО от 26.11.2010. Как указал истец, с 18.08.2011 по 30.08.2011 вход в электронную систему ответчика с компьютера истца не осуществлялся, а платежное поручение N 91 было оформлено неверно, так как НДС был рассчитан неправильно. Кроме того, получатель денежных средств не являлся контрагентом истца, а платежное поручение было отправлено не с того компьютера, который обычно использовался истцом. Банк, в свою очередь, утверждал, что его действия соответствуют условиям договора, ЭЦП по итогам проведенной проверки является целостной (верной), в связи с чем исполнение платежного поручения обоснованно. Контрактом N 416655 предусмотрено, что получение банком электронных документов по системе ДБО, заверенных ЭЦП клиента, эквивалентно получению документов на бумажном носителе. Судом по ходатайству истца была назначена судебная экспертиза целостности ЭЦП на платежном поручении N 91, в результате которой установлено, что самоподписанный сертификат, с помощью которого подтверждается подлинность сертификата ключа проверки, был действительным и отсутствовал в списке отозванных сертификатов (то есть подтверждалась подлинность сертификатов ключа проверки и ЭЦП электронного документа) (решение Арбитражного суда Челябинской области от 31.01.2013 по делу N А76-3579/2012). Суды апелляционной и кассационной инстанций оставили в силе решение арбитражного суда первой инстанции (Постановления Восемнадцатого арбитражного апелляционного суда от 08.04.2013 N 18АП-2526/2013, ФАС УО от 26.08.2013 N Ф09-6844/13). К сожалению, подобные споры не единичны: решения Арбитражного суда г. Москвы от 13.05.2013 по делу N А40-48306/2012, Арбитражного суда Амурской области от 08.04.2013 по делу N А04-837/2013, Определение Московского городского суда от 09.06.2012 N 4г/5-4201/12, Кассационное определение Санкт-Петербургского городского суда от 06.09.2011 N 33-13574. Из содержания приведенных судебных постановлений можно увидеть, что чаще всего банки ссылаются на нарушения самими клиентами правил пользования системой типа «интернет — банк» либо правил пользования банковскими картами, а также на результат заражения вирусом компьютера клиента.

Преимущества и недостатки

Интернет-банкинг — это способ дистанционного банковского обслуживания клиентов, осуществляемого кредитными организациями в сети Интернет (в том числе через веб-сайт в сети Интернет) и включающего информационное и операционное взаимодействие с ними (приложение к письму ЦБ РФ от 31.03.2008 N 36-Т). Отметим, что ДБО имеет ряд преимуществ. Первое — сокращаются материальные и временные затраты. Стоимость ДБО, предлагаемого клиентам во многих банках, в разы дешевле, чем расчеты через офис кредитной организации. Кроме того, не требуются личное посещение офиса банка, ожидание своей очереди и т. п. Банки также признают преимущества ДБО, поскольку в отличие от банкоматов и терминалов для оплаты они несут меньше операционных (аренда площадей, инкассация и т. п.) и капитальных (закупка и амортизация) затрат. Второе — это удобство и непрерывность пользования. При интернет-банкинге пользоваться и управлять своим счетом можно 24 часа в сутки из любой технически оборудованной точки, то есть везде, где есть доступ в Интернет и веб-браузер: дома, на работе, на отдыхе. Третье — простота в использовании, так как нет необходимости обладать какими-либо специальными знаниями или навыками, чтобы управлять своими банковскими счетами через Интернет. И четвертое — ДБО обеспечивает конфиденциальность информации, поскольку банк и клиент используют ЭЦП, а система идентификации гарантирует подтверждение подлинности сторон, проводящих операцию. Но есть и недостатки. К основным можно отнести следующие. 1. Наличие определенных рисков, так как не происходит непосредственной передачи денежных средств и всегда существует возможность их утраты (кражи мошенниками и т. п.). Для банков это прежде всего риск снижения прибыли. В связи с этим в подп. 1 и 2 письма Банка РФ N 146-Т указано, что банкам рекомендуется проводить анализ рисков, а также пересматривать результаты такого анализа: — на регулярной основе в полном объеме (не реже чем 1 раз в 2 года); — при изменении или появлении факторов, влияющих на анализ рисков, например при внесении изменений в процесс предоставления РПУ с использованием сети Интернет; — по решению руководителя и лиц, ответственных за обеспечение защиты информации при осуществлении переводов денежных средств; — при внесении существенных изменений в состав организационных мер защиты информации, состав или конфигурацию технических средств защиты информации, программного и аппаратного обеспечения, применяемых при предоставлении РПУ (розничных платежных услуг) с использованием сети Интернет. 2. Необходимость обеспечения защиты информации, в том числе путем проведения работы по повышению финансовой грамотности клиентов (п. 4 письма Банка РФ N 146-Т), а также путем использования многофакторной аутентификации клиентов. Так, на российском отраслевом портале «Информационная безопасность банков» отмечается, что «некоторые зарубежные компании, действующие в сфере анализа инцидентов в системах безопасности, делают вывод: несанкционированный доступ к информации ограниченного использования о финансовой активности предприятия, договорах и графиках способен повлечь не то что потери — разорение» <2>, то же самое касается и процесса предоставления РПУ. ——————————— <2> http://www. ib-bank. ru

Кроме того, в период финансового кризиса многие банки сокращают финансирование мероприятий по обеспечению безопасности платежей, в то время как компьютерные мошенники, наоборот, только активизировались.

Аутентификация клиента

Как отмечает Ю. Деменюк, при использовании интернет-банкинга клиент в первую очередь должен быть аутентифицирован, при этом существует несколько способов аутентификации: 1) классический способ, основанный на том, что клиент знает, — аутентификация по логину и паролю (однофакторная аутентификация); 2) способ аутентификации, основанный на том, что пользователь имеет (например, пластиковую карту, электронный цифровой сертификат или токен); 3) биометрическая аутентификация, которая позволяет однозначно определить, что пользователь и есть тот самый субъект, за которого себя выдает (например, отпечаток пальца, голос, сетчатка глаза) <3>. ——————————— <3> Деменюк Ю. В. Аутентификация и защита информации в мобильном и интернет-банкинге // Расчеты и операционная работа в коммерческом банке. 2010. N 3.

Главное достоинство парольной (однофакторной) аутентификации — простота в использовании, однако, как показывает практика, она очень уязвима вследствие слабых паролей. Но и сильные пароли обладают определенными недостатками: человеку трудно их запомнить, отсюда небрежность их хранения в виде рабочих записей. Многие специалисты считают, что однофакторная аутентификация в тех или иных информационных системах в настоящее время себя изживает. В свою очередь, многофакторная, или расширенная, аутентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга, мобильного банкинга, файлообмена и т. п. решений для конечных пользователей. Она основана на совместном использовании нескольких факторов аутентификации (знаний, средств или объектов хранения одной из информационных составляющих легитимной процедуры аутентификации), что значительно повышает безопасность использования информации, по меньшей мере со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций <4>. ——————————— <4>