|
Злоупотребление правом пользователями услуг интернет-банкингаВ практике возможна ситуация, когда клиент - физическое лицо предъявляет банку иск, связанный с несанкционированным списанием его денежных средств со счета при дистанционном банковском обслуживании. Такой гражданин будет основывать свои требования на положениях законодательства о защите прав потребителей. В суде он станет доказывать, что хранил файлы с секретным ключом, содержащим электронную цифровую подпись (ЭЦП), в соответствии с условиями договора банковского обслуживания и указаниями банка, и утверждать, что, несмотря на это, из другого города, с компьютера и 1Р-адреса, ему не принадлежащих, кем-то было дано поручение (ордер) на списание и перевод со счета определенной суммы денежных средств. Банк, удостоверившись, что ЭЦП подлинная, эти средства списал. Конечно, этот клиент мог и не хранить файлы со своим ключом надлежащим образом. Однако перед судом и законом он хочет выглядеть добросовестным. При этом не исключен предварительный сговор этого гражданина с другими злоумышленниками. Казалось бы, правовая позиция банка будет безоговорочно сильной. Но не все так однозначно: клиент может заявить, что банк не обеспечил ему, как потребителю, безопасность предлагаемой услуги, как того требует законодательство о защите прав потребителей. При этом потребитель будет иметь в виду безопасность всех систем, применяемых при дистанционном банковском обслуживании. При возникновении рассматриваемой ситуации в практической деятельности банк стремится возложить вину на клиента, доказывая, что списание было санкционировано (поскольку электронная цифровая подпись (ЭЦП), сопровождающая ордер, принадлежит ему). А клиент будет утверждать, что виноват банк, заявляя, что распоряжение на списание и перечисление делал не он. Хотя, действительно, не всегда реальным злоумышленником является клиент. Тем не менее третье лицо остается в стороне от разбирательств банка и клиента и тем самым уходит от ответственности. Поскольку из такого рода требований потребителей может сложиться тенденция к повсеместному злоупотреблению ими своим правом, следует рассмотреть проблему подробнее. Закон о защите прав потребителей и Закон о техническом регулировании Понятие интернет-банкинга содержится в Приложении к письму Банка России от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга». Как следует из этого документа, интернет-банкинг - это способ дистанционного банковского обслуживания клиентов, осуществляемого кредитными организациями через Интернет (в том числе через веб-сайты) и включающего информационное и операционное взаимодействие с ними. В соответствии с п. 1 ст. 7 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» (далее - Закон о защите прав потребителей) потребитель имеет право на то, чтобы товар (работа, услуга) при обычных условиях его использования, хранения, транспортировки и утилизации был безопасен для жизни, здоровья, окружающей среды, а также не причинял вред имуществу потребителя. Требования, которые должны обеспечивать безопасность товара (работы, услуги) для жизни и здоровья потребителя, окружающей среды, а также предотвращение причинения вреда имуществу потребителя, являются обязательными и устанавливаются законом или в установленном им порядке. Пунктом 4 ст. 7 Закона о защите прав потребителей предусмотрено, что если на товары (работы, услуги) законом установлены обязательные требования, обеспечивающие их безопасность для жизни, здоровья потребителя, окружающей среды и предотвращение причинения вреда имуществу потребителя, соответствие товаров (работ, услуг) указанным требованиям подлежит обязательному подтверждению в порядке, предусмотренном законом и иными правовыми актами. При этом не допускается продажа товара (выполнение работы, оказание услуги), в том числе импортного, без информации об обязательном подтверждении его соответствия требованиям, указанным в п. 1 ст. 7 Закона о защите прав потребителей. Таким образом, положения этого закона в части требования обеспечения безопасности товара (работы, услуги), в том числе положения п. 1 и 4 ст. 7, распространяются только на случаи, когда такие требования являются обязательными и установлены законом или в установленном им порядке. Таким законом, которым или в соответствии с которым устанавливаются указанные требования, является Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее - Закон о техническом регулировании). В соответствии со ст. 2 Закона о техническом регулировании под безопасностью продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации понимается состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений. Пунктом 2 ст. 4 предусмотрено, что положения федеральных законов и иных нормативных правовых актов Российской Федерации, касающиеся сферы применения Закона о техническом регулировании (в том числе прямо или косвенно предусматривающие осуществление контроля (надзора) за соблюдением требований технических регламентов), применяются в части, не противоречащей Закону о техническом регулировании. Поскольку положения Закона о защите прав потребителей в части требования обеспечения безопасности товара (работ, услуг), которые предусмотрены его ст. 7, затрагивают сферу применения Закона о техническом регулировании, то Закон о защите прав потребителей применяется в части, ему не противоречащей. Статьей 20 Закона о техническом регулировании установлено, что подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер. Добровольное подтверждение осуществляется в форме добровольной сертификации, обязательное подтверждение соответствия - в двух формах: принятия декларации о соответствии и об обязательной сертификации. При этом, согласно п. 1 ст. 23 Закона о техническом регулировании, обязательное подтверждение соответствия необходимо только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации. Таким образом, Закон о техническом регулировании устанавливает, что обязательное подтверждение соответствия требуется лишь в отношении продукции, под которой указанный закон понимает результат деятельности, представленный в материально-вещественной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях (ст. 2 закона). Работы и услуги объектом обязательного подтверждения соответствия не являются, они - объекты добровольного подтверждения соответствия. Это предусмотрено во втором абзаце п. 1 ст. 21 Закона о техническом регулировании: объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых стандартами, системами добровольной сертификации и договорами устанавливаются требования. То, что работы и услуги относятся к объектам добровольного подтверждения соответствия, также подтверждается Информационным письмом Госстандарта РФ от 11.07.2003 № ВК-110-28/2522 «О сертификации услуг в Системе сертификации ГОСТР». Как было указано, согласно п. 1 ст. 23 Закона о техническом регулировании, обязательное подтверждение соответствия осуществляется только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Пунктом 3 ст. 46 предусмотрено, что Правительством Российской Федерации до дня вступления в силу соответствующих технических регламентов утверждаются и ежегодно уточняются единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответствия. В настоящее время действует Постановление Правительства РФ от 01.12.2009 № 982 «Об утверждении Единого перечня продукции, подлежащей обязательной сертификации, и Единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии», которым утверждены соответствующие перечни продукции. Так, в первом Едином перечне названы объекты, имеющие отношение к вычислительным электронным цифровым сетям, системам и комплексам, например, комплексы вычислительные электронные цифровые, машины вычислительные электронные цифровые и другие машины и устройства (т.е. продукция, но не услуги). Ни в одном из указанных перечней не названа услуга интернет-банкинга или иная услуга либо продукция, подобная или каким-либо образом связанная с этим видом деятельности. Автоматизированная банковская система Потребитель, говоря о необходимости обеспечения безопасности оказанной ему услуги, может заявить, что банк обязан обеспечить безопасность всех систем, функционирующих в рамках интернет-банкинга, ссылаясь, например, на то, что в указанном Едином перечне имеется такая продукция, как комплексы вычислительные электронные цифровые. Доводы клиента можно оспорить. Понятие вычислительного электронного цифрового комплекса в законодательстве не определено. Но в любом случае, согласно Общероссийскому классификатору продукции ОК 005-93, утвержденному Постановлением Госстандарта РФ от 30.12.1993 № 301, он относится к вычислительной технике. Общероссийский классификатор продукции по видам экономической деятельности ОК 034-2007 (ОКПД) (КПЕС 2002), введенный в действие Приказом Федерального агентства по техническому регулированию и метрологии от 22.11.2007 № 329-ст, относит его к вычислительной технике и прочему оборудованию для обработки информации. Комплекс в общем значении этого слова представляет собой совокупность, сочетание объектов, предметов, действий, тесно связанных и взаимодействующих между собой, образующих единую целостность. В законодательстве предусмотрены понятия, имеющие отношение к автоматизированным системам, в том числе банковским, и ее комплексам. Существует Межгосударственный стандарт ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения», утвержденный Постановлением Госстандарта СССР от 27.12.1990 № 3399 и введенный 01.01.1992 (далее - ГОСТ 34.003-90). Этим документом предусмотрен ряд общих понятий. Так, им определено, что автоматизированная система (АС) - это система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. К основным компонентам АС относятся, в частности: пользователи АС; эксплуатационный персонал АС; различное обеспечение АС (организационное, методическое, техническое, математическое, программное, информационное, лингвистическое, правовое, эргономическое); комплексы средств автоматизации АС; компоненты автоматизированной системы; комплектующие, программные и информационные изделия в АС; информационные средства; программно-технический комплекс АС; информационная (внема-шинная и машинная) база АС; автоматизированные рабочие места. Комплекс средств автоматизации АС - совокупность всех компонентов АС, за исключением людей; компонент АС - часть АС, выделенная по определенному признаку или совокупности признаков и рассматриваемая как единое целое. Программно-технический комплекс автоматизированной системы - это продукция, представляющая собой совокупность средств вычислительной техники, программного обеспечения и средств создания и заполнения машинной информационной базы при вводе системы в действие достаточных для выполнения одной или более задач АС. Из указанных определений следует, что понятие вычислительного электронного цифрового комплекса и понятие программно-технического комплекса автоматизированной системы не тождественны: первый является лишь одним из элементов второго. Что касается понятия комплекса средств автоматизации АС, то оно также более обширно по сравнению с понятием вычислительного электронного цифрового комплекса. На уровне банковских правил существует стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», принятый и введенный в действие Распоряжением ЦБ РФ от 21.06.2010 № Р-705. В этом документе предусмотрено, что к активам организации банковской системы Российской Федерации могут относиться работники (персонал), финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства и пр.; различные виды банковской информации — платежная, финансово-аналитическая, служебная, управляющая, персональные данные и пр.; банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы); банковские продукты и услуги, предоставляемые клиентам. Как видим, средства вычислительной техники не могут являться банковскими продуктами и услугами, предоставляемыми клиентам, - это различные виды активов банка. Стандартом СТО БР ИББС-1.0-2010 также определены необходимые понятия. В нем указано, что автоматизированная банковская система - это автоматизированная система, реализующая технологию выполнения функций организации банковской системы Российской Федерации (п. 3.30); комплекс средств автоматизации автоматизированной банковской системы - совокупность всех компонентов автоматизированной банковской системы организации банковской системы Российской Федерации, за исключением людей (п. 3.31). В этом стандарте дано определение понятия безопасности. Это - «состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз» (п. 3.32). Определено понятие информационной безопасности (ИБ) - «безопасность, связанная с угрозами в информационной сфере» (п. 3.33). При этом указано, что информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распростране ние, хранение и использование информации, а также системы регулирования возникающих при этом отношений; защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. В пункте 3.36 стандарта определено понятие конфиденциальности информационных активов. Это -свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам. Таким образом, банковская отрасль стремится достаточно подробно и детально регламентировать и обеспечивать деятельность, связанную с информационной безопасностью при предоставлении банковских услуг. Банковскими правилами и стандартами определены концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации, требования по обеспечению информационной безопасности, модели угроз и нарушителей и т.д. В целом, как отмечается рядом авторов, стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии, которым должно следовать управление ИБ [2]. При этом банки информированы о возможных рисках при дистанционном банковском обслуживании. Например, Письма ЦБ РФ от 07.12.2007 № 197-1 «О рисках при дистанционном банковском обслуживании» и от 27.04.2007 № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)» содержат соответствующие рекомендации. Лицензирование и сертификация Нужно также учитывать, что при оказании услуг интернет-банкинга кроме банка и его клиента задействовано еще одно лицо - провайдер (организация, предоставляющая кредитным организациям услуги по выполнению функций обработки, передачи, хранения банковской и другой информации, а также обеспечивающая доступ к информационно-телекоммуникационным сетям). В данном случае на основании ст. 313 Гражданского кодекса Российской Федерации имеет место возложение исполнения обязательства на третье лицо, и, согласно ст. 403 ГК РФ, ответственность перед клиентом в рамках оказания услуг интернет-банкинга будет нести непосредственно банк. По вопросам обеспечения информационной безопасности при расчетах с использованием интернет-банкинга, а также по другим проблемам, связанным с дистанционным банковским обслуживанием, имеется значительное число публикаций, предлагающих практические технические, технологические и организационные решения в этой сфере [3]. Если говорить о клиентах банка, то обязательное их информирование о правилах безопасной работы при дистанционном банковском обслуживании - задача банков. Итак, услуга интернет-банкинга имеет комплексный характер. В ней задействованы технические средства банка, клиента и третьего лица - провайдера, человеческие ресурсы банка и провайдера, существует человеческий фактор и со стороны клиента. Более того, при оказании этой услуги широко используется открытая информационная сеть (в отличие от системы «банк — клиент», где связь через Интернет используется только для приема и передачи информации). Исходя из этого, представляется, что установить какие-либо обязательные требования для безопасности услуги интернет-банкинга в целом - задача практически невыполнимая. Конечно, определенные требования к устройствам и системам, обеспечивающим эту услугу, установить можно, и это в известной степени на законодательном уровне сделано. Так, существует Федеральный закон от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (далее - Закон о лицензировании). Им (подп, 5-8 п. 1 ст. 17) предусмотрено лицензирование деятельности по распространению шифровальных (криптографических) средств; деятельности по техническому обслуживанию шифровальных (криптографических) средств; предоставления услуг в области шифрования информации; разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем. Эти виды деятельности так или иначе связаны со сферой применения ЭЦП, которая используется клиентом в отношениях с банком при предоставлении им услуг интернет-банкинга. Электронная цифровая подпись В соответствии со ст. 3 Федерального закона от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» (далее - Закон об ЭЦП) электронная цифровая подпись - это реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Законом об ЭЦП введено также понятие средств ЭЦП, практически полностью продублированное в положениях о лицензировании, утвержденных Постановлением Правительства РФ от 29.12.2007 № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». При этом средства ЭЦП указанными положениями (см. п. 2) отнесены к шифровальным (криптографическим) средствам (средствам криптографической защиты информации). В статье 3 Закон об ЭЦП определяет средства электронной цифровой подписи как аппаратные и (или) программные, обеспечивающие реализацию хотя бы одной из следующих функций - создание ЭЦП в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа ЭЦП подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей ЭЦП. Таким образом, законодательством определен порядок государственного регулирования и контроля за деятельностью в этой сфере путем установления лицензирования соответствующих видов деятельности, введена сертификация качества аппаратно-программного обеспечения. При этом система криптографической защиты информации (СКЗИ) должна быть сертифицирована в Федеральном агентстве правительственной связи и информации (ФАПСИ). Однако, как представляется, обеспечить безопасность буквально всех систем (частей, сетей и т.п.), задействованных в рамках интернет-банкинга, т.е. обеспечить безопасность всей данной услуги в целом, в принципе невозможно. Нужно учитывать, что даже при доскональной защите банком информационных ресурсов своих автоматизированных систем, использовании сертифицированного программного обеспечения и т.д. клиент по недобросовестности или халатности либо из-за невысокого уровня компьютерной грамотности может допустить возникновение банковских рисков. Значительное число случаев их возникновения в практике связано именно с этим. К тому же, как утверждают специалисты, «практически при любом дистанционном банковском обслуживании действует эффект взаимной анонимности агентов удаленного информационного взаимодействия, и кредитная организация не всегда может быть полностью уверена, что из виртуального пространства информационного контура банковской деятельности могут поступить ордера, сформированные легитимно действующим, то есть официально зарегистрированным клиентом». ВЫВОДЫ Лишаясь денежных средств по собственной халатности и неосмотрительности, клиент может попытаться возложить вину за это на банк, ссылаясь на Закон о защите прав потребителей. Думается, в рассмотренном случае ссылки потребителя на необходимость банка обеспечить безопасность услуги интернет-банкинга в целом неправомерны. При этом, конечно, банк, реализуя данную услугу, обязан обеспечить наличие сертифицированных средств защиты информации, приобретать соответствующую продукцию в области шифрования информации у организаций, имеющих необходимую лицензию, информировать клиента о правилах безопасной работы при дистанционном банковском обслуживании, исполнять прочие обязательные требования, предусмотренные законодательством.
|
|
© about-internet-banking |