Письмо Банка России от 8 мая 2020 г. № 56-3-2-ОЭ/5189 “О рассмотрении обращения”
На обращение от 14.04.2020 о разъяснении требований Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон N 63-ФЗ), Департамент информационной безопасности (далее - Департамент) сообщает следующее.
Банк России не наделен полномочиями по разъяснению требований Федерального закона N 63-ФЗ, а также гражданского законодательства Российской Федерации. Вопросы, поставленные в обращении, относятся к любым участникам электронного взаимодействия, не только к банкам и их клиентам.
Вместе с тем направляем позицию Департамента по обозначенным в обращении вопросам.
В силу пункта 1 статьи 854 Гражданского кодекса Российской Федерации (далее - ГК РФ) списание денежных средств со счета осуществляется банком на основании распоряжения клиента.
Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (пункт 2 статьи 160), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом (пункт 3 статьи 847 ГК РФ).
Согласно части 1 статьи 848 ГК РФ банк обязан совершать для клиента операции, предусмотренные для счетов данного вида законом, установленными в соответствии с ним банковскими правилами и применяемыми в банковской практике обычаями, если договором банковского счета не предусмотрено иное.
Банк несет ответственность за необоснованное списание денежных средств со счета клиента (статья 856 ГК РФ).
В соответствии со статьей 15 ГК РФ лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере.
Согласно статье 10 Федерального закона N 63-ФЗ при использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
уведомлять удостоверяющий центр, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия о нарушении конфиденциальности ключа электронной подписи в течение не более чем одного рабочего дня со дня получения информации о таком нарушении;
не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена.
В соответствии с пунктом 1 части 6 статьи 17 Федерального закона N 63-ФЗ владелец квалифицированного сертификата обязан не использовать ключ электронной подписи и немедленно обратиться в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата при наличии оснований полагать, что конфиденциальность ключа электронной подписи нарушена.
Согласно подпункту 5.1 пункта 5 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение N 683-П) кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.
Кроме того, согласно подпункту 5.2.1 пункта 5 Положения N 683-П технология обработки защищаемой информации, применяемая на всех технологических участках, должна обеспечивать целостность и достоверность защищаемой информации.
Поскольку электронная подпись является аналогом собственноручной подписи, ответственность за ее исполнение лежит на ее владельце. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования (Постановление Арбитражного суда Московского округа от 03.10.2018 N Ф05-14276/2018 по делу N А40-179170/16).
Таким образом, в случае, если поступившее в банк платежное поручение надлежащим образом подписано квалифицированной электронной подписью (обеспечена его целостность и достоверность), выполнены иные требования нормативных актов Банка России, при этом конфиденциальность ключа электронной подписи была нарушена по вине клиента, полагаем, что гражданско-правовая ответственность за причиненные убытки должна быть возложена на клиента.
Вопрос разрешения конкретного гражданско-правового дела относится к компетенции судов общей юрисдикции, арбитражных судов, требует проведения технической экспертизы и анализа конкретного гражданско-правового договора, предусматривающего ответственность сторон.
По обозначенному вопросу имеется обширная судебная практика (например, Определение Высшего Арбитражного Суда Российской Федерации от 18.11.2013 N ВАС-15780/13 по делу N А35-10589/2012, Постановление Федерального арбитражного суда Центрального округа от 03.09.2013 по делу N А35-10589/12).
Директор Департамента информационной безопасности |
В.А. Уваров |
Обзор документа
Если поступившее в банк платежное поручение подписано квалифицированной электронной подписью, выполнены требования нормативных актов, но конфиденциальность ключа подписи была нарушена по вине клиента, то гражданско-правовую ответственность за причиненные убытки несет клиент.