Рішення № 13307479, 30.12.2010, Господарський суд Черкаської області

ГОСПОДАРСЬКИЙ СУД ЧЕРКАСЬКОЇ ОБЛАСТІ

РІШЕННЯ

І М Е Н Е М У К Р А Ї Н И

"30" грудня 2010 р.Справа № 16/2475

Господарський суд Черкаської області у складі: головуючого - судді Спаських Н.М., з секретарем судового засідання Волна С.В., за участю представників:

від позивача: Семченко В.В. - заступник директора;

від відповідача: Собецький М.І. - за довіреністю;

розглянувши у відкритому судовому засіданні в м. Черкаси справу за позовом товариства з обмеженою відповідальністю "Реалтранс" до відкритого акціонерного товариства "Сведбанк (публічне) в особі Черкаського коооперативно-роздрібного відділення відкритого акціонерного товариства "Сведбанк" про стягнення 279 815,00 грн.

ВСТАНОВИВ:

Заявлено позов про стягнення з відповідача 279 815,00 грн. збитків внаслідок несанкціонованого списання сторонніми особами коштів з рахунку позивача, що сталося з причини неналежного зберігання банком коштів клієнта на його поточному рахунку згідно договору між сторонами. У судовому засіданні представник позивача позовні вимоги підтримав повністю та просить їх задовольнити.

Представник відповідача проти позову заперечив, оскільки вважає вину банку у виниклій ситуації несанкціонованого списання коштів клієнта не доведеною, зламу банківської системи платежів не було, а переконливі докази непричетності самого позивача до втручання у комп'ютерні мережі -- відсутні.

Ухвалою від 20.11.2009 року (а.с. 37 том 2) відповідача було замінено на Публічне акціонерне товариство в особі Черкаського відділення Черкаського регіонального центру підтримки.

Заслухавши доводи та пояснення представників сторін, дослідивши наявні у справі документи, суд вважає, що позов підлягає до повного задоволення, виходячи з наступного:

Приписами статей 33, 34 ГПК України встановлено, що кожна сторона повинна довести ті обставини, на які вона посилається як на обґрунтування своїх вимог та заперечень. Обставини справи, які відповідно до законодавства повинні бути підтвердженні певними засобами доказування, не можуть підтверджуватися іншими засобами доказування.

Згідно ст. 43 ГПК України господарський суд оцінює докази за своїм внутрішнім пекреконанням, що ґрунтується на всебічному, повному і об'єктивному розгляді в судовому процесі всіх обставин справи в їх сукупності, керуючись законом.

З матеріалів справи вбачається наступне:

01 вересня 2008 року між сторонами по справі було укладено договір № 33846 на відкриття та обслуговування поточних рахунків (далі - договір № 33846 а.с. 10 том 1), у відповідності до умов якого відповідач відкриває позивачу поточний рахунок у національній та/або іноземній валюті (надалі-Рахунок), та здійснює його розрахунково-касове обслуговування згідно зі статутом відповідача, законодавством України, нормативними актами Національного банку України, умовами функціонування кореспондентських рахунків відповідача.

При цьому, серед обов'язків банку у розділі 3 вказано пункт 3.1.3., за яким банк зобов'язується забезпечувати збереження ввірених йому коштів клієнта, здійснювати списання коштів з рахунку клієнта тільки за його дорученням, крім випадків, передбачених законодавством України та договором між сторонами.

17 грудня 2008 року між сторонами по справі також було укладено і договір № 0626335/1 на розрахункове обслуговування за допомогою системи дистанційного обслуговування (а.с. 16 том 1). У відповідності до даного договору позивач доручає, а відповідач бере на себе зобов'язання забезпечити обслуговування позивача за допомогою Комплексу "Клієнт-Банк" з системою криптозахисту. При цьому визначено, що комплекс "Клієнт-Банк" є сукупністю технічних засобів та програмного забезпечення, впровадженого в Банку, що дозволяють без відвідування клієнтом банку за допомогою каналів зв'язку, визначених у документації до Комплексу, та через сайт Банку за адресою https://ibank.swedbank.ua, здійснювати операції за рахунком на підставі електронних документів клієнта, в т.ч. виконувати створення і підписання електронних документів клієнта, а також отримувати банківські виписки по рахунку, довідкову інформацію та ін.

Відповідно до Закону України "Про платіжні системи та переказ коштів в Україні" розрахунково-касове обслуговування - це послуги, що надаються банком клієнту на підставі відповідного договору, укладеного між ними, які пов'язані із переказом коштів з рахунка (на рахунок) цього клієнта, видачею йому коштів у готівковій формі, а також здійсненням інших операцій, передбачених договорами.

За змістом даного закону (ст. 38), захист інформації забезпечується суб'єктами переказу коштів шляхом обов'язкового впровадження та використання відповідної системи захисту, що складається в тому числі з: технологічних та програмно-апаратних засобів криптографічного захисту інформації, що обробляється в платіжній системі. Система захисту інформації повинна забезпечувати цілісність інформації, що передається в платіжній системі, та компонентів платіжної системи; конфіденційність інформації під час її обробки, передавання та зберігання в платіжній системі; неможливість відмови ініціатора від факту передавання та отримувачем від факту прийняття документа на переказ, документа за операціями із застосуванням засобів ідентифікації, документа на відкликання; забезпечення постійного та безперешкодного доступу до компонентів платіжної системи особам, які мають на це право або повноваження, визначені законодавством України, а також встановлені договором. Розробка заходів охорони, технологічних та програмно-апаратних засобів криптографічного захисту здійснюється платіжною організацією відповідної платіжної системи, її членами або іншою установою на їх замовлення.

Таким чином саме банківська установа повинна забезпечити таке функціонування своєї платіжної системи, яка б безумовно забезпечувала і збереження грошей клієнта і оперативний їх переказ чи зарахування на рахунок клієнта.

Наказом від 14.04.2006 року ( а.с. 81 том 1) в АКБ "ТАС-Комерцбанк" (правонаступником якого є відповідач) застосовується комплекс "Клієнт-Банк" розробки ТОВ "Біфіт".

Згідно приписів ст. 1066, 1068 Цивільного кодексу України, за договором банківського рахунка банк зобов'язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій за рахунком. Банк має право використовувати грошові кошти на рахунку клієнта, гарантуючи його право безперешкодно розпоряджатися цими коштами. Банк не має права визначати та контролювати напрями використання грошових коштів клієнта та встановлювати інші, не передбачені договором або законом, обмеження його права розпоряджатися грошовими коштами на власний розсуд. Обмеження прав клієнта щодо розпорядження грошовими коштами, що знаходяться на його рахунку, не допускається, крім випадків обмеження права розпоряджання рахунком за рішенням суду у випадках, встановлених законом (ст. 1074 Цивільного кодексу України).

З пояснень представників обох сторін вбачається, що позивач з грудня 2008 року безпроблемно користувався комплексом "Клієнт-банк", який було встановлено відповідачем по справі для дистанційного проведення платежів позивача. При цьому у відповідності до договору між позивачем та СПД ОСОБА_1 № 418 на доступ в Інтернет від 09.02.2005 року ( а.с. 56 том 1) позивач користувався лише послугами одного інтернетпровайдера - Маклаут для доступу в Інтернет з метою з"єднання із сервером банку для проведення платежів по системі "Клієнт-банк".

Однак, 22 липня 2009 року з поточного рахунку позивача № 26008062633501 згідно платіжного доручення № 1239 відповідачем було списано 479 815,00 грн. і переведено на користь отримувача ПП "Дніпрогальвано-сервіс" (а.с.8 том 1), який обслуговується в ВАТ "Ерсте Банк" м. Дніпродзержинськ, з призначенням платежу - за послуги по супроводу вантажу (вагонів) зг.дог. № 0173/09-в від 02.02.09р.

Позивач вказує, що цього платіжного доручення він не формував і ніяких стосунків з ПП "Дніпрогальваносервіс" ніколи не мав.

Після виявлення несанкціонованого списання коштів позивач повідомив про це банк і відповідач 22.07.2009 року у другій половині дня направив повідомлення у ВАТ "Ерсте Банк" щодо повернення коштів позивача, як помилково перерахованих. Після втручання у ситуацію служби безпеки ВАТ "Ерсте Банк" , 29.07.2009 року частину коштів в розмірі 200 000,00 грн. позивачу було повернуто із рахунку ПП "Дніпрогальваносервіс" з призначенням платежу - повернення помилково зарахованих коштів ( а.с. 7 том 1).

Решта коштів позивачу не повернута до цього часу, свою вину у виниклій ситуації банк-відповідач не визнає, надавати подальшу допомогу у поверненні коштів відмовився, з чого і виник спір.

Статтею 1071 ЦК України визначено, що банк може списати грошові кошти з рахунка клієнта на підставі його розпорядження; ці кошти можуть бути списані з рахунка клієнта без його розпорядження на підставі рішення суду.

За доводами представника позивача, тільки директор ТОВ "Реалтранс" Заєць Віталій Дмитрович, має право розпоряджатися рахунком та здійснювати інші дії щодо рахунку, зразок підпису якого міститься в картці зі зразками підписів та відбитка печатки, лише він за допомогою особистого ключа здійснює накладення електронного цифрового підпису на електронний документ. Кошти в сумі 479 815,00 грн. були перераховані відповідачем на підставі електронного платіжного документа, але жоден із співробітників підприємства позивача ніякі платіжні документи не надсилав до відповідача через систему "Клієнт-Банк".

В ході розгляду справи суду не вдалося встановити механізм формування платіжного доручення для списання коштів з рахунку позивача у сумі 479 815,00 грн., оскільки не домігшись від банку-відповідача сприяння у поверненні всієї суми списаних коштів, позивач розірвав всі договірні стосунки та перейшов на обслуговування у "Приватбанк" (пояснення а.с. 113 том 1). При цьому позивачу було встановлено і нове програмне забезпечення системи "Клієнт-Банк", яким його забезпечив "Приватбанк". Але при встановленні цієї системи позивач провів перезавантаження всієї власної комп'ютерної системи "Windows", що вимагалося для встановлення нової системи "Клієнт-Банк", яка стерла всі дані щодо шляхів доступу в коп"ютер позивача, а тому журнали безпеки, які формувалися в комп'ютері позивача під час несанкціонованого списання його коштів, надати вже не можливо. Внаслідок цього було безповоротно втрачено можливість відслідкувати механізм підбору паролю та копіювання ключа, якими користувався директор підприємства-позивача для проведення електронних документів через систему "Клієнт-банк", якщо це мало місце з боку сторонніх осіб. За доводами позивача, це сталося виключно внаслідок того, що він не володів інформацією, як потрібно було зберегти та зафіксувати докази, які в майбутньому знадобилися б йому для розшуку осіб, що не санкціоновано втрутилися в комп'ютерну мережу ТОВ "Реалтранс".

Представник відповідача проти доводів представника позивача заперечив з мотивів, що всі платежі клієнтів Черкаських відділень банку проходять обов'язкову перевірку ще й через сервер у м. Києві. При цьому ні працівники банку у м. Черкаси, ні працівники банку у м. Києві не зафіксували користування системою "Клієнт-банк" не позивачем, а сторонньою особою, оскільки підбору ключів та паролів (фіксація невдалих спроб підбору) не відбувалося, а формування електронного платіжного доручення від імені позивача зроблено у повній відповідності до банківських вимог та договору між сторонами. Значна сума перерахування з рахунку позивача працівників банку у м. Черкаси не насторожила і вони не вважали за необхідне у телефонному режимі перепровірити ці дані у працівників позивача.

Представник позивача стверджує, що з банківської виписки, яку видав відповідач видно, що 22.07.2009 року з рахунку ТОВ "Реалтранс" № 26008062633501 в АТ " Сведбанк" було перераховано 479 815,00 грн. на рахунок ПП "Дніпрогальвано-сервіс", № 260031114 в ВАТ "Ерсте Банк", за послуги по супроводу вантажу (вагонів), згідно договору № 0173/09-в від 02.02.09р., але ТОВ "Реалтранс" не має жодних фінансових відносин з ПП "Дніпрогальвано-сервіс" чи його посадовими особами.

22.07.2009 року після звернення позивача до відповідача було сформоване дебетове інформаційне повідомлення № 1239 до ВАТ "Ерсте Банк" про повернення коштів в сумі 479 815,00 грн. на рахунок ТОВ "Реалтранс", як такі, що помилково перераховані, після чого 29.07.2009 року частина коштів в сумі 200 000,00 грн. була перерахована на рахунок ТОВ "Реалтранс", згідно платіжного доручення № 7 від 29.07.2009 року, що підтверджується і матеріалами справи.

Суд вважає, що перерахування коштів з рахунку позивача у сумі 479 815,00 грн. не можна вважати помилковим перерахуванням, оскільки за змістом визначень, вказаних у Законі України "Про платіжні системи та переказ коштів в Україні" помилковий переказ - рух певної суми коштів, внаслідок якого з вини банку або іншого суб'єкта переказу відбувається її списання з рахунку неналежного платника та/або зарахування на рахунок неналежного отримувача чи видача йому цієї суми у готівковій формі.

Ситуація, що виникла у позивача, більше підходить під визначення неналежного переказу (з цього ж Закону) - це рух певної суми коштів, внаслідок якого з вини ініціатора переказу, який не є платником, відбувається її списання з рахунка неналежного платника та/або зарахування на рахунок неналежного отримувача чи видача йому суми переказу в готівковій чи майновій формі.

За таких обставин, відносини з приводу повернення позивачу решти несанкціоновано списаних коштів (279 815,00 грн.) не повинні переводитися в площину повернення помилково зарахованих коштів від ПП "Дніпрогальвано-сервіс" і звужуватися лише до відносин між цим підприємством та позивачем.

Ініціатором перерахування коштів у сумі 479 815,00 грн. на рахунок ПП "Дніпрогальваносервіс" позивач не був, а тому не було і факту помилкового перерахування з боку позивача цих коштів. Немає помилкового перерахування цих коштів і з боку банку-відповідача.

Суд вважає, що кошти в сумі 479 815,00 грн. з рахунку позивача були вкрадені невідомими особами через проникнення до системи електронних платежів між сторонами через підбір ключів та паролів і з використанням неждосконалості банківської системи захисту електронних платежів позивача.

ПП "Дніпрогальваносервіс" було залучено до участі у справі в якості третьої особи без самостійних вимог на предмет у спору, але жодного разу в засідання дане підприємство не з'явилося, свого пояснення по суті спору суду не надало.

За доводами позивача, для зв'язку з банком-відповідачем він завжди користувався послугами лише одного інтернетпровайдера - Маклаут.

На вимогу суду банком-відповідачем було надано інформацію про ІР адреси (ідентифікатори конкретних комп'ютерів), з яких відбувалася робота позивача в системі "Клієнт-Банк" за період з 27.05.2009 року по 22.07.2009 року ( а.с. 32) з якого вбачається, що з 27.05.2009 року по 21.07.2009 року позивач зв'язувався із банком-відповідачем лише через інтернетпровайдера - Маклаут.

Однак ввечері 21.07.2009 року в проміжок часу 21 год. 20 хв. - 21 год. 21 хв. позивач нібито зв'язувався із відповідачем через інтернетпровайдера Scartel, який зареєстровано у Москві. На ранок 22.07.2009 року від імені позивача було з'єднання з відповідачем через Укртелеком м. Київ, а спірне перерахування коштів проведено 22.07.2009 року через інтернетпровайдера UKRTELNET, при чому всі ці з'єднання проведені з різних ІР адрес, які за доводами позивача йому не належать.

Суд вважає, що 22.07.2009 року у банку взагалі стався збій програми електронного проходження платежів, оскільки за доводами позивача, 22.07.2010 року ним самостійно і від власного імені через систему "Клієнт-Банк" було проведено платіж на суму 1 425,61 грн. ( а.с. 61 том 1), який згідно виданої виписки по рахунку відповідачем було проведено об 11:51 год. Однак, незважаючи на те, що позивач користувався для виходу в Інтернет лише послугами інтернетпровайдера - Маклаут, за даними банку ( а.с. 33 том 1) в цей конкретний проміжок часу зв'язок для проведення позивачем платежу в сумі 1 425,61 грн. відбувався через Інтернет провайдера UKRTELNET, що банківські працівники пояснити не змогли.

З приводу приналежності вказаних банком ІР адрес ( а.с. 32-33 том 1), з яких на рахунок позивача заходили невідомі особи, судом було зроблено запит до ЧФ ВАТ "Укртелеком", який повідомив, що вказані банком ІР адреси не належать Черкаській філії ВАТ "Укртелеком" ( а.с. 135 том 1).

ВАТ "Укртелеком" листом від 17.11.2009 року (а.с. 27 том 2) повідомив Черкаську філію про те, що ІР адреси, з яких проводилося входження на рахунок позивача, належать МКП "Газмонтаж" (Вінницька область, м. Літин) та ОСОБА_3 (Львівська область, м. Новояворівське). Позивач довідкою від 24.11.2009 року ( а.с. 43 том 2) заперечив будь-які зв"язки із цими особами. За даними СБУ (відповідь а.с. 57 том 2) вказані ПЕОМ могли використовуватися зловмисниками дистанційно лише для маскування справжньої ІР-адреси свого комп"ютера та за умови їх зараження на липень 2009 року вірусними програмами, однак технічно довести цей факт вже не можливо.

Механізм формування платіжного доручення на перерахування третій особі по справі -ПП "Дніпрогальваносервіс" 479 815,00 грн. коштів, засвідчення його достовірними підписами і паролями позивача, в ході розгляду справи судом так і не було встановлено.

За доводами представника комп'ютерного відділу банку-відповідача, здійснення проводки через систему "Клієнт-Банк" потребує застосування пароля та ключа, які генерує сам клієнт і він не відомий банку, однак існують комп'ютерні програми, які допомагають зчитувати дані з комп'ютера та клавіатури стосовно комбінацій, які постійно повторюються користувачем у роботі, за допомогою чого може проводитися підбір пароля та копіювання ключа.

Працівниками банку також не заперечується, що в ході дії договору між сторонами № 0626335/1 від 17.12.2008 року на розрахункове обслуговування за допомогою системи дистанційного обслуговування, банк змінив канал зв'язку клієнта з банком -- спочатку позивач мав право заходити на сервер банку лише з єдиної ІР адреси свого комп'ютера, але потім банк відкрив доступ до свого сервера через Інтернет з будь-якої ІР адреси, не попередивши позивача про наслідки цього (що тепер для проводки потрібен був лише пароль і ключ), що і доводиться інформацією про неналежні позивачу ІР адреси, що надав банк і банк беззастережно приймав ці з'єднання як від імені позивача ( а.с. 32-33 т. 1).

За доводами відповідача, банк використовує систему "Клієнт-Банк" , розроблену ТОВ "Біфіт" м. Дніпропетровськ ( а.с. 87-108). В керівництві до цієї програми є розділ про обмеження доступу по ІР адресам ( а.с. 101 стор. керівництва 26). Програма, якою користується банк, дозволяє відповідальним співробітникам банку налагодити індивідуальний список ІР адрес, з яких дозволено працювати певному клієнту, а доступ з будь-яких інших ІР адрес буде заборонений.

Судом було опитано представників обох сторін про те, як банк роз'яснив позивачу-клієнту про особливості роботи програми "Клієнт-банк" та заходи безпеки від несанкціонованого втручання в рахунок клієнта.

При цьому позивач повідомив суд про те, що ні про які методи безпеки банк йому нічого не роз'яснював, інструктаж не проводився. Позивач повністю покладався на компетенцію банку в питанні схоронності коштів на своєму рахунку. Про спеціальну можливість фіксації єдиної ІР адреси комп'ютера для зв'язку із банком, що упередило б несанкціоноване списання коштів, позивач почув лише в ході розгляду справи.

Пунктом 3.5. договору між сторонами № 0626335/1 від 17.12.2008 року на розрахункове обслуговування за допомогою системи дистанційного обслуговування ( а.с. 22) прямо передбачено, що передавання електронних розрахункових документів та їх реєстрація банком здійснюється за погодженим у цьому договорі каналом зв"язку в автоматичному режимі.

Цим каналом зв'язку і могла бути конкретна ІР адреса комп'ютера позивача, про що йшлося у керівництві програмного забезпечення, розробленого ТОВ "Біфіт" м. Дніпропетровськ ( а.с. 87-108).

За доводами представників обох сторін, вони не погоджували нікого каналу зв'язку між собою, не виконавши тим самим істотну умову договору № 0626335/1 від 17.12.2008 року. За доводами позивача, він не усвідомлював значення і необхідність погодження цього каналу аж до часу несанкціонованого списання коштів з його рахунку та аналізу причин цієї події.

Працівники банку невиконання п. 3.5. вказаного договору з позивачем пояснити взагалі не змогли.

Суд не погоджується із доводами представників банку про те, що клієнт сам повинен охороняти свої гроші після того, як помістив їх у банк, оскільки згідно умов п. 3.1.3. договору № 33846 від 01.09.2008 року на відкриття та обслуговування поточних рахунків, саме банк прийняв на себе обов'язок "забезпечувати збереження ввірених йому коштів клієнта".

Суд вважає, що якщо банк пропонує клієнту специфічний продукт - програмне забезпечення по дистанційному електронному обслуговуванню ( на вибір банку щодо цього програмного забезпечення клієнт не впливає, а може лише погодися з ним), він в першу чергу повинен попередити клієнта про всі ризики щодо схоронності коштів і зорієнтувати клієнта в питанні ефективного захисту інформації. За доводами позивача, його не ознайомили з цими особливостями та не застерегли від ймовірних ризиків. Банк не підписав і з позивачем жодного документу про те, що при невжитті позивачем певних заходів безпеки банк знімає з себе відповідальність за виникнення ризиків несхоронності коштів клієнта.

Суд не погоджується із доводами представника відповідача про те, що у додатках до договору (а.с. 87-88 том 2) між сторонами було обумовлено всі достатньо необхідні дії, які клієнт повинен виконати для забезпечення роботи системи дистанційного обслуговування та складено акт про початок роботи клієнта за допомогою комплексу. В справі є додатки до договору № 196/1 від 12.07.2006 року про розрахункове обслуговування за допомогою системи дистанційного обслуговування ( а.с. 82 том 2) та додатки до договору від 17.12.2008 року № 0626335/1 ( а.с. 24-26 том 2), однак вони регулюють лише питання активізації ключів, сертифікатів до нього, їх зберігання і не містять ніякого застереження щодо каналу зв'язку для проведення електронних платежів в автоматичному режимі. Згідно наказу від 16.12.2008 року голови Правління ВАТ "Сведбанк" ( а.с. 5 том 2) нова типова форма договору на розрахункове обслуговування за допомогою системи дистанційного обслуговування та додатково до неї вводяться із 17.12.2008 року, а типова форма цього ж договору з додатками від 2006 року втрачають чинність.

Таким чином, виходячи з ситуації, що виникла у позивача, вбачається, що саме по собі виконання умов додатків до договору № 0626335/1 від 17.12.2008 року стосовно збереження паролів та ключа в недоступному стороннім особам місці ще не є гарантією збереження грошових коштів позивача від їх несанкціонованого списання. Головною причиною списання коштів стало не застереження банком єдиної ІР адреси позивача для роботи в системі "Клієнт-Банк" і дозвіл банку заходити в цю систему з інших ІР адрес, які позивачу не належали із застосуванням його скопійованих ключів та паролів, що можливо при застосуванні зловмисниками шкідливих програм.

Програмне забезпечення по системі "Клієнт-Банк", яким користується відповідач і умова п. 3.5. договору між сторонами № 0626335/1 від 17.12.2008 року на розрахункове обслуговування за допомогою системи дистанційного обслуговування ( а.с. 22) допускають можливість застосування елементарного засобу безпеки для клієнта банку - визначення конкретної ІР адреси для проведення платежів (при цьому щоб проводити платіж треба мати доступ до конкретного комп'ютера), і виконання п. 3.5. цього договору в першу чергу покладається на банк, як на найбільш компетентну особу у використанні програмного забезпечення дистанційного обслуговування клієнта та зобов'язану особу за збереження коштів клієнта.

В ході розгляду справи інформацію про скоєний злочин судом було передано в управління СБУ в Черкаській області для встановлення винної особи та механізму несанкціонованого списання коштів, а також проводилося і розслідування службою безпеки банку відповідача причин ситуації, що сталася у його клієнта.

При цьому згідно висновку служби безпеки банку відповідача ( а.с. 77 том 2) ймовірно мало місце порушення позивачем порядку зберігання ключів на клієнтському місці, в результаті чого ключ доступу став відомим іншим особам, оскільки невдалих спроб підбору ключа в ході списання коштів в сумі 479 815,00 грн. не було встановлено, а зламу банківської системи не було. Даний висновок суд оцінює як упереджений і спрямований на ухилення банку від відповідальності.

Листом Управління СБУ в Черкаській області(а.с. 58 том 2) суд повідомлено, що до несанкціонованого списання коштів з рахунку позивача причетна злочинна група ( і вона помічена в інших фактах списання коштів), члени якої є переважно мешканцями м. Дніпродзержинська, організатором якої є ОСОБА_4 1971 р.н. Ця особа протягом 2009 року виступала організатором протиправних схем отримання грошових коштів на підставні юрособи МПП "Брат" та ПП "Дніпрогальваносервіс" від клієнтів різних банківських установ України, які цих коштів за власною ініціативою не перераховували. Це стало можливим через несанкціоноване проникнення через Інтернет до приєднаних до системи "Клієнт-Банк" комп'ютерів, отримання паролів та ключів, які не захищені в окремих банківських установах. Не знімається підозра і з банківських працівників, які умисно не забезпечували канали захисту клієнта при переведенні на нову систему "Клієнт-Банк" або повідомляли службову інформацію про клієнта зловмисникам.

Однак, оскільки не було встановлено механізму списання коштів з рахунку позивача і не було несанкціонованого втручання в банківську систему електронних платежів, постановою слідчого слідчого відділу УСБУ в Черкаській області Смілянець С.В. від 28.05.2010 року було відмовлено в порушенні кримінальної справи за відсутністю в діянні ознак складу злочинів ( а.с. 61-62 том 2). При цьому в постанові вказано, що "одним із головних факторів, що дозволи втрутитися в роботу ПЕОМ ТОВ "Реалтранс" було переведення на початку липня 2009 року без згоди клієнта роботи системи клієнт-банк з режиму "РС-банкінг" , коли передача даних між клієнтським комп'ютером та сервером банку здійснюється шляхом з'єднання двох модемів, що практично виключає можливість несанкціонованого втручання, на режим "Інтернет-банкінг", коли клієнтський комп'ютер постійно підключений до ніяким чином не захищеного веб-сайту банку через звичайне програмне забезпечення (браузер), яке ніяким чином не захищене". Також у постанові вказано, що невстановленими особами було застосовано спеціальне шкідливе програмне забезпечення для копіювання ключа доступу, логіна та пароля доступу в систему "Клієнт-банк" позивача по справі, а також здійснювалося маскування справжньої ІР-адреси, з якої проводилося входження в систему "Клієнт-банк" позивача по справі.

Постанову УСБУ в Черкаській області про відмову в порушенні кримінальної справи було скасовано, а розслідування проводилося Придніпровським РВ внутрішніх справ м. Черкаси. Матеріали кримінальної справи досліджено судом зі сторонами, а їх копії приєднано до справи. Після вжитих заходів, 17.09.2010 року ст. слідчим СВ Придніпровського РВ УМВС України в Черкаській області Зінець Ю.О. прийнято постанову про зупинення досудового слідства до встановлення особи, що скоїла злочин.

Доказів причетності позивача до несанкціонованого списання з його рахунку коштів у сумі 479 815,00 грн. в ході розгляду справи та розслідування правоохоронних органів і служби безпеки банку-відповідача встановлено не було.

Кошти в сумі 479 815,00 грн. після надходження на рахунок ПП "Дніпрогальваносервіс" 22.07.2010 року о 12:58 цього ж дня були зняті готівкою (477 000,00 грн.) директором підприємства ОСОБА_2 ( див. висновок служби безпеки а.с. 77 том 1 та копію грошового чеку а.с. 144 том 1, надану банком, де обслуговується ПП "Дніпрогальваносервіс"). Все це вказує на заздалегідь сплановані злочинні дії невідомих осіб, які провели списання коштів з рахунку позивача. Є ймовірність і причетності працівників ВАТ "Ерсте банку" м. Дніпродзержинськ до цих невідомих осіб, оскільки зняття готівкою коштів в сумі 477 000,00 грн. без попереднього її замовлення для банківської системи є нонсенсом. Крім того, за доводами представника позивача, який сам їздив у м. Дніпродзержинськ щоб розібратися із списанням коштів зі свого рахунку, служба безпеки ВАТ "Ерсте банку" м. Дніпродзержинськ кошти в сумі 200 000,00 грн., які потім були повернуті позивачу на рахунок, вже тримала в своєму сейфі, знала про їх несанкціоноване списання на користь ПП "Дніпрогальваносервіс", однак нічого не зробила для затримання ОСОБА_2 та передачі його правоохоронним органам, з яким проводилася бесіда в присутності позивача. Вся ситуація із несанкціонованим списанням коштів позивача в результаті обернута як помилкове перерахування їх на користь ПП "Дніпрогальваносервіс".

Незважаючи на не встановлення винних осіб у несанкціонованому списанні грошових коштів позивача в сумі 479 815,00 грн. та достовірного механізму їх списання, предметом спору у даній справі є стягнення збитків з установи банку за неналежне виконання відповідачем своїх договірних зобов'язань по збереженню коштів клієнта, що дозволяє продовжувати проводити розгляд судової справи по суті.

Суд вважає, що позивачем обрано належний спосіб захисту його права, оскільки при наявності договору між сторонами, неналежне виконання якого з боку відповідача доводить позивач, мова може йти лише про стягнення збитків, а не завдання позадоговірної шкоди (п. 1 роз'яснення ВАС України від 01.04.1994 року № 02-5/215 зі змінами та доповненнями "Про деякі питання практики вирішення спорів, пов'язаних із відшкодуванням шкоди).

Цим же роз'ясненням вказано і таке: "Як у випадках порушення зобов'язання за договором, так і за зобов'язанням, що виникає внаслідок заподіяння шкоди, цивільне законодавство (статті 614 та 1166 ЦК України) передбачає презумпцію вини правопорушника. Отже, позивач не повинен доказувати наявність вини відповідача у заподіянні шкоди. Навпаки, на відповідача покладено тягар доказування того, що в його діях (діях його працівників) відсутня вина у заподіянні шкоди. При цьому встановлення причинного зв'язку між протиправною поведінкою особи, яка завдала шкоду, та збитками потерпілої сторони є важливим елементом доказування наявності реальних збитків. Слід довести, що протиправна дія чи бездіяльність завдавача є причиною, а збитки, які виникли у потерпілої особи, - наслідком такої протиправної поведінки. Питання про наявність або відсутність причинного зв'язку між протиправною поведінкою особи і шкодою має бути вирішено судом шляхом оцінки усіх фактичних обставин справи ( п. 6)".

Із змісту статей 610,611 ЦК України вбачається, що відшкодування збитків є одним із правових наслідків порушення зобов'язання, мірою відповідальності. Порушенням зобов'язання є його невиконання або виконання з порушенням умов, визначених змістом зобов'язання (неналежне виконання). Притягнення винної особи до відповідальності можливо лише при наявності передбачених законом умов у їх сукупності: факт нанесення збитків, винна особа, яка своїми діями чи бездіяльністю спричинила ці збитки і причинний зв'язок між діями (бездіяльністю) винної особи та завданими збитками.

Суд вважає, що у поведінці відповідача по справі є всі елементи, які дозволяють притягнути його до відповідальності за неналежне виконання договірних зобов'язань -- сторони по справі пов'язані договірними відносинами, за якими виключно на відповідача покладається обов'язок зберігати кошти клієнта-позивача на його рахунках; відповідач встановив позивачу програмне забезпечення для дистанційного обслуговування його платежів та не застеріг при цьому канал зв'язку для безпечного проходження електронних документів і не вжив ніяких заходів безпеки для схоронності коштів клієнта; без погодження з позивачем відповідач відкрив через Інтернет доступ до його рахунку з будь-якої ІР адреси і при заході на рахунок клієнта сторонніх осіб з невідомих банку адрес відповідач навіть не повідомив про це свого клієнта-позивача та не переконався в його ідентифікації. Причетність самого позивача до несанкціонованого списання коштів, відповідачем суду не доведена.

Суд вважає, що ніяких переконливих доказів того, що банк-відповідач вжив всіх заходів безпеки для того, щоб не сталося несанкціоноване списання коштів з рахунку позивача, відповідач суду не надав.

В постанові УСБУ в Черкаській області про відмову в порушенні кримінальної справи від 28.05.2010 року ( а.с. 61 том 2) вказано, що опитаний начальник відділу інформатизації ПАБ "Сведбанк" ОСОБА_5 показав, що при переведенні позивача в роботу "Інтернет-Банкінг" позивачу жодних заходів безпеки з боку банку не надавалося. Моніторинг ІР-адрес, з яких клієнт підключається до системи "Клієнт-банк" на серверах ПАБ "Сведбанк" не ведеться, що вже виключає можливість належного контролю з боку банку за несанкціонованим втручанням у роботу системи.

Система дистанційного обслуговування платежів, по якій працював позивач, є власністю відповідача, а тому саме відповідач повинен забезпечувати її захист від роботи в ній сторонніх осіб, а також перешкоджати хакерським атакам на цю систему.

Суд не погоджується із точкою зору представника відповідача про те, що саме клієнт повинен бути відповідальною особою за вжиття заходів збереження коштів при роботі в системі електронних платежів, оскільки збереження коштів є безумовним обов'язком саме банку згідно п. 3.1.3. договору між сторонами від 01.09.2008 року (а.с. 10-15 том 1). Клієнт не спеціалістом в галузі комп"ютерних технологій і не зобов"язаний знати особливості роботи системи електронних платежів, власником якої є банк, а розробляла її спеціалізована фірма. Тим більше клієнт не знає і не повинен знати і враховувати способи стороннього втручання у його роботу та самостійно вживати заходи до перешкоджання їм.

Суд вважає, що саме обов'язком банку є попередження клієнта про те, що невжиття ним певних заходів безпеки ( в даному випадку - визначення клієнтом єдиної ІР адреси, з якої будуть проводитися платежі) при роботі системи дистанційного обслуговування платежів, тягне за собою ризики несанкціонованого списання коштів з його рахунку і лише у випадку не реагування клієнта на такі попередження, з банку можна знімати відповідальність за завдані клієнту збитки.

Незважаючи на те, що зламу банківської системи електронних платежів з боку невстановлених осіб все ж таки не було, банк повинен нести відповідальність за незабезпечення збереження грошових коштів свого клієнта-позивача по справі, оскільки списання коштів з його рахунку відбулося поза волею позивача сторонніми особами і банк не застосував ніяких заходів безпеки платежів, щоб цього не сталося. Між невжиттям банком-відповідачем належних (і елементарних в даному випадку) заходів безпеки щодо збереження коштів клієнта і завданням позивачу збитків є безпосередній причинний зв'язок. Обов'язок вжиття заходів безпеки проходження платежів банк протиправно переклав на свого клієнта.

Сам по собі факт відсутності зламу банківської системами електронних платежів ніяким чином не свідчить про відсутність вини банку у несанкціонованому списанні коштів з рахунку позивача, виходячи зі специфіки комп'ютерних технологій, які дозволяють спеціальними шкідливими програмами підбирати ключі та паролі доступу до рахунків клієнтів та списувати кошти. Відповідач відкрив доступ до рахунку позивача через Інтернет та не попередив його про це. Вжиття заходів безпеки від несанкціонованого втручання у систему електронних платежів є обов'язком банку ( в якому б виді це втручання не відбувалося), оскільки клієнт не може бути охоронцем своїх же власних коштів, внесених ним у банківську установу.

Порядок відшкодування збитків встановлений також главою 25 Господарського кодекс України. Так, відповідно до ст.224 цього Кодексу учасник господарських відносин, який порушив господарське зобов'язання або установлені вимоги щодо здійснення господарської діяльності, повинен відшкодувати завдані цим збитки суб'єкту, права або законні інтереси якого порушено.

Аналогічні приписи встановлені ст. 623 ЦК України - боржник, який порушив зобов'язання, має відшкодувати кредиторові завдані цим збитки. Розмір збитків, завданих порушенням зобов'язання, доказується кредитором.

Статтею 614 Цивільного кодексу України передбачає, що відповідність за невиконання або неналежне виконання зобов'язань покладається при наявності вини (умислу або необережності).

Статтею 22 ЦК України, встановлено, що збитками є:

1) втрати, яких особа зазнала у зв'язку зі знищенням або пошкодженням речі, а також витрати, які особа зробила або мусить зробити для відновлення свого порушеного права (реальні збитки);

2) доходи, які особа могла б реально одержати за звичайних обставин, якби її право не було порушено (упущена вигода).

Ст. 225 ГК України також передбачає, до складу збитків, що підлягають відшкодуванню особою, яка допустила господарське правопорушення, включаються в т.ч. : вартість втраченого, пошкодженого або знищеного майна, визначена відповідно до вимог законодавства.

Позивач доводить, що його збитками є втрати в сумі 279 815,00 грн., яких він зазнав внаслідок несанкціонованого списання цих коштів з його банківського рахунку (ця частина коштів не була повернута), а відповідач не забезпечив схоронність цих коштів, що відповідає поняттю збитків згідно ст. 22 ЦК України та ст. 225 ГК України.

У відповідності до розділу 6 договору № 33846 на відкриття та обслуговування поточних рахунків від 01.09.2008 року ( а.с. 13) , звільнення банку від відповідальності за невиконання чи неналежне виконання зобов'язань за цим договором настає лише за обставин вини клієнта чи його контрагентів у помилковому зарахуванні чи списанні коштів, впливу обставин непереборної сили, наявності причин поза сферою контролю банку.

Ситуація незастереженого відкриття відповідачем доступу до рахунку позивача через Інтернет і невжиття банком елементарного заходу безпеки щодо визначення конкретної і єдиної ІР адреси позивача для проведення електронних платежів клієнта, внаслідок чого сталося несанкціоноване списання коштів з рахунку позивача, ніяким чином не може трактуватися як обставини, що знаходяться поза сферою контролю банку. При таких обставинах, сам по собі факт відсутності зламу банківської системи електронних платежів ще не є підставою звільнення відповідача по справі від відповідальності перед позивачем та не є доказом відсутності вини банку у допущеному несанкціонованому списанні коштів позивача з його рахунку (з боку банку це і є неналежним зберіганням коштів по договору).

На підставі викладеного, позовні вимоги підлягають до повного задоволення і з відповідача на користь позивача слід стягнути 279 815,00 грн. коштів в якості збитків, завданих позивачу з вини відповідача, який не виконав свої договірні зобов'язання щодо збереження коштів клієнта на рахунку у банківський установі за договором між сторонами.

На підставі ст. 49 ГПК України судові витрати при задоволенні позову покладаються на відповідача, з якого на користь позивача слід стягнути 2 798,15 грн. на відшкодування сплаченого державного мита та 236,00 грн. витрат на інформаційно-технічне забезпечення судового процесу.

Керуючись ст. 49, ст. 82-85 ГПК України, суд -

ВИРІШИВ:

1. Позов задовольнити повністю.

2. Стягнути з Публічного акціонерного товариства "Сведбанк" в особі Черкаського відділення Черкаського регіонального центру підтримки (ідентифікаційний код 19356840, м. Черкаси, вул. Лазарєва, 6) на користь Товариства з обмеженою відповідальністю "Реалтранс" (ідентифікаційний код 33209742, м. Черкаси, вул. Козацька, 7 кв. 424) -- 279 815,00 грн. збитків, 2 798,15 грн. на відшкодування сплаченого державного мита та 236,00 грн. витрат на інформаційно-технічне забезпечення судового процесу.

Наказ видати.

Рішення може бути оскаржене до Київського апеляційного господарського суду протягом 10 днів.

Суддя Н.М. Спаських

Повний текст рішення підписано 31 грудня 2010 року.