Злоупотребление правом пользователями услуг интернет-банкинга

В практике возможна ситуация, когда клиент - физическое лицо предъявляет банку иск, связан­ный с несанкционированным списанием его денежных средств со счета при дистанционном бан­ковском обслуживании. Такой гражданин будет осно­вывать свои требования на положениях законодатель­ства о защите прав потребителей. В суде он станет доказывать, что хранил файлы с секретным ключом, содержащим электронную цифровую подпись (ЭЦП), в соответствии с условиями договора банковского обслуживания и указаниями банка, и утверждать, что, несмотря на это, из другого города, с компьютера и 1Р-адреса, ему не принадлежащих, кем-то было дано пору­чение (ордер) на списание и перевод со счета опреде­ленной суммы денежных средств. Банк, удостоверив­шись, что ЭЦП подлинная, эти средства списал.

Конечно, этот клиент мог и не хранить файлы со своим ключом надлежащим образом. Однако перед судом и законом он хочет выглядеть добросовестным. При этом не исключен предварительный сговор этого гражданина с другими злоумышленниками.

Казалось бы, правовая позиция банка будет безого­ворочно сильной. Но не все так однозначно: клиент может заявить, что банк не обеспечил ему, как потре­бителю, безопасность предлагаемой услуги, как того требует законодательство о защите прав потребителей. При этом потребитель будет иметь в виду безопас­ность всех систем, применяемых при дистанционном банковском обслуживании.

При возникновении рассматриваемой ситуации в практической деятельности банк стремится возложить вину на клиента, доказывая, что списание было санк­ционировано (поскольку электронная цифровая под­пись (ЭЦП), сопровождающая ордер, принадлежит ему). А клиент будет утверждать, что виноват банк, заявляя, что распоряжение на списание и перечисле­ние делал не он. Хотя, действительно, не всегда реаль­ным злоумышленником является клиент. Тем не менее третье лицо остается в стороне от разбирательств банка и клиента и тем самым уходит от ответственнос­ти. Поскольку из такого рода требований потребите­лей может сложиться тенденция к повсеместному зло­употреблению ими своим правом, следует рассмотреть проблему подробнее.

 Закон о защите прав потребителей и Закон о техническом регулировании

Понятие интернет-банкинга содержится в Прило­жении к письму Банка России от 31.03.2008 № 36-Т «О Рекомендациях по организации управления риска­ми, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга». Как следует из этого документа, интернет-банкинг - это способ дистанционного бан­ковского обслуживания клиентов, осуществляемого кредитными организациями через Интернет (в том числе через веб-сайты) и включающего информацион­ное и операционное взаимодействие с ними.

В соответствии с п. 1 ст. 7 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» (далее - Закон о защите прав потребителей) потребитель имеет право на то, чтобы товар (работа, услуга) при обычных условиях его использования, хранения, транспортировки и утилизации был безопасен для жизни, здоровья, окру­жающей среды, а также не причинял вред имуществу потребителя. Требования, которые должны обеспечи­вать безопасность товара (работы, услуги) для жизни и здоровья потребителя, окружающей среды, а также предотвращение причинения вреда имуществу потре­бителя, являются обязательными и устанавливаются законом или в установленном им порядке. Пунктом 4 ст. 7 Закона о защите прав потребителей предусмотре­но, что если на товары (работы, услуги) законом уста­новлены обязательные требования, обеспечивающие их безопасность для жизни, здоровья потребителя, окружающей среды и предотвращение причинения вреда имуществу потребителя, соответствие товаров (работ, услуг) указанным требованиям подлежит обя­зательному подтверждению в порядке, предусмотрен­ном законом и иными правовыми актами. При этом не допускается продажа товара (выполнение работы, ока­зание услуги), в том числе импортного, без информа­ции об обязательном подтверждении его соответствия требованиям, указанным в п. 1 ст. 7 Закона о защите прав потребителей.

Таким образом, положения этого закона в части требования обеспечения безопасности товара (работы, услуги), в том числе положения п. 1 и 4 ст. 7, распро­страняются только на случаи, когда такие требования являются обязательными и установлены законом или в установленном им порядке. Таким законом, которым или в соответствии с которым устанавливаются ука­занные требования, является Федеральный закон от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее - Закон о техническом регулировании).

В соответствии со ст. 2 Закона о техническом регу­лировании под безопасностью продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации понимается состояние, при котором отсутствует недопустимый риск, связан­ный с причинением вреда жизни или здоровью граж­дан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений. Пунктом 2 ст. 4 предусмотрено, что поло­жения федеральных законов и иных нормативных правовых актов Российской Федерации, касающиеся сферы применения Закона о техническом регулирова­нии (в том числе прямо или косвенно предусматриваю­щие осуществление контроля (надзора) за соблюде­нием требований технических регламентов), приме­няются в части, не противоречащей Закону о техническом регулировании.

Поскольку положения Закона о защите прав потре­бителей в части требования обеспечения безопасности товара (работ, услуг), которые предусмотрены его ст. 7, затрагивают сферу применения Закона о техническом регулировании, то Закон о защите прав потребителей применяется в части, ему не противоречащей.

Статьей 20 Закона о техническом регулировании установлено, что подтверждение соответствия на тер­ритории Российской Федерации может носить добровольный или обязательный характер. Добровольное подтверждение осуществляется в форме добровольной сертификации, обязательное подтверждение соответ­ствия - в двух формах: принятия декларации о соот­ветствии и об обязательной сертификации. При этом, согласно п. 1 ст. 23 Закона о техническом регулирова­нии, обязательное подтверждение соответствия необ­ходимо только в случаях, установленных соответствую­щим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обраще­ние на территории Российской Федерации.

Таким образом, Закон о техническом регулирова­нии устанавливает, что обязательное подтверждение соответствия требуется лишь в отношении продукции, под которой указанный закон понимает результат деятельности, представленный в материально-вещест­венной форме и предназначенный для дальнейшего использования в хозяйственных и иных целях (ст. 2 закона).

Работы и услуги объектом обязательного подтверж­дения соответствия не являются, они - объекты добровольного подтверждения соответствия. Это предусмот­рено во втором абзаце п. 1 ст. 21 Закона о техническом регулировании: объектами добровольного подтверж­дения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реа­лизации и утилизации, работы и услуги, а также иные объекты, в отношении которых стандартами, система­ми добровольной сертификации и договорами уста­навливаются требования.

То, что работы и услуги относятся к объектам доб­ровольного подтверждения соответствия, также под­тверждается Информационным письмом Госстан­дарта РФ от 11.07.2003 № ВК-110-28/2522 «О сертифи­кации услуг в Системе сертификации ГОСТР».

Как было указано, согласно п. 1 ст. 23 Закона о тех­ническом регулировании, обязательное подтвержде­ние соответствия осуществляется только в случаях, установленных соответствующим техническим регла­ментом, и исключительно на соответствие требовани­ям технического регламента. Пунктом 3 ст. 46 преду­смотрено, что Правительством Российской Федерации до дня вступления в силу соответствующих техничес­ких регламентов утверждаются и ежегодно уточняют­ся единый перечень продукции, подлежащей обяза­тельной сертификации, и единый перечень продукции, подлежащей декларированию соответствия.

В настоящее время действует Постановление Правительства РФ от 01.12.2009 № 982 «Об утвержде­нии Единого перечня продукции, подлежащей обяза­тельной сертификации, и Единого перечня продукции, подтверждение соответствия которой осуществляет­ся в форме принятия декларации о соответствии», которым утверждены соответствующие перечни про­дукции. Так, в первом Едином перечне названы объек­ты, имеющие отношение к вычислительным элект­ронным цифровым сетям, системам и комплексам, например, комплексы вычислительные электронные цифровые, машины вычислительные электронные цифровые и другие машины и устройства (т.е. продук­ция, но не услуги).

Ни в одном из указанных перечней не названа услу­га интернет-банкинга или иная услуга либо продукция, подобная или каким-либо образом связанная с этим видом деятельности.

Автоматизированная банковская система

Потребитель, говоря о необходимости обеспече­ния безопасности оказанной ему услуги, может заявить, что банк обязан обеспечить безопасность всех систем, функционирующих в рамках интернет-банкинга, ссылаясь, например, на то, что в указанном Едином перечне имеется такая продукция, как комп­лексы вычислительные электронные цифровые.

Доводы клиента можно оспорить. Понятие вычис­лительного электронного цифрового комплекса в законодательстве не определено. Но в любом случае, согласно Общероссийскому классификатору продук­ции ОК 005-93, утвержденному Постановлением Госстандарта РФ от 30.12.1993 № 301, он относится к вычислительной технике. Общероссийский классифи­катор продукции по видам экономической деятельнос­ти ОК 034-2007 (ОКПД) (КПЕС 2002), введенный в действие Приказом Федерального агентства по техни­ческому регулированию и метрологии от 22.11.2007 № 329-ст, относит его к вычислительной технике и про­чему оборудованию для обработки информации. Комплекс в общем значении этого слова представляет собой совокупность, сочетание объектов, предметов, действий, тесно связанных и взаимодействующих между собой, образующих единую целостность.

В законодательстве предусмотрены понятия, имею­щие отношение к автоматизированным системам, в том числе банковским, и ее комплексам. Существует Межгосударственный стандарт ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения», утвержденный Постановлением Госстандарта СССР от 27.12.1990 № 3399 и введенный 01.01.1992 (далее - ГОСТ 34.003-90). Этим документом предусмотрен ряд общих понятий. Так, им определено, что автоматизированная система (АС) - это система, состоящая из персонала и комплек­са средств автоматизации его деятельности, реализую­щая информационную технологию выполнения уста­новленных функций.

К основным компонентам АС относятся, в частно­сти: пользователи АС; эксплуатационный персонал АС; различное обеспечение АС (организационное, методическое, техническое, математическое, програм­мное, информационное, лингвистическое, правовое, эргономическое); комплексы средств автоматизации АС; компоненты автоматизированной системы; ком­плектующие, программные и информационные изде­лия в АС; информационные средства; программно-технический комплекс АС; информационная (внема-шинная и машинная) база АС; автоматизированные рабочие места.

Комплекс средств автоматизации АС - совокуп­ность всех компонентов АС, за исключением людей; компонент АС - часть АС, выделенная по определен­ному признаку или совокупности признаков и рассмат­риваемая как единое целое. Программно-технический комплекс автоматизированной системы - это продук­ция, представляющая собой совокупность средств вычислительной техники, программного обеспечения и средств создания и заполнения машинной информа­ционной базы при вводе системы в действие достаточ­ных для выполнения одной или более задач АС.

Из указанных определений следует, что понятие вычислительного электронного цифрового комплекса и понятие программно-технического комплекса автома­тизированной системы не тождественны: первый явля­ется лишь одним из элементов второго. Что касается понятия комплекса средств автоматизации АС, то оно также более обширно по сравнению с понятием вычис­лительного электронного цифрового комплекса.

На уровне банковских правил существует стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банков­ской системы Российской Федерации. Общие положе­ния», принятый и введенный в действие Распоряжением ЦБ РФ от 21.06.2010 № Р-705. В этом документе преду­смотрено, что к активам организации банковской сис­темы Российской Федерации могут относиться работ­ники (персонал), финансовые (денежные) средства, средства вычислительной техники, телекоммуникаци­онные средства и пр.; различные виды банковской информации — платежная, финансово-аналитическая, служебная, управляющая, персональные данные и пр.; банковские процессы (банковские платежные техноло­гические процессы, банковские информационные тех­нологические процессы); банковские продукты и услу­ги, предоставляемые клиентам.

Как видим, средства вычислительной техники не могут являться банковскими продуктами и услугами, предоставляемыми клиентам, - это различные виды активов банка.

Стандартом СТО БР ИББС-1.0-2010 также определе­ны необходимые понятия. В нем указано, что автоматизи­рованная банковская система - это автоматизированная система, реализующая технологию выполнения функций организации банковской системы Российской Федерации (п. 3.30); комплекс средств автоматизации автоматизиро­ванной банковской системы - совокупность всех компо­нентов автоматизированной банковской системы органи­зации банковской системы Российской Федерации, за исключением людей (п. 3.31).

В этом стандарте дано определение понятия безо­пасности. Это - «состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз» (п. 3.32). Определено понятие информационной безопасности (ИБ) - «безо­пасность, связанная с угрозами в информационной сфере» (п. 3.33). При этом указано, что информацион­ная сфера представляет собой совокупность информа­ции, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распростране ние, хранение и использование информации, а также системы регулирования возникающих при этом отно­шений; защищенность достигается обеспечением сово­купности свойств ИБ — доступности, целостности, конфиденциальности информационных активов.

В пункте 3.36 стандарта определено понятие конфи­денциальности информационных активов. Это -свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что обработ­ка, хранение и передача информационных активов осу­ществляются таким образом, что информационные активы доступны только авторизованным пользовате­лям, объектам системы или процессам.

Таким образом, банковская отрасль стремится достаточно подробно и детально регламентировать и обеспечивать деятельность, связанную с информаци­онной безопасностью при предоставлении банковских услуг. Банковскими правилами и стандартами опреде­лены концептуальная схема (парадигма) обеспечения информационной безопасности организаций банков­ской системы Российской Федерации, требования по обеспечению информационной безопасности, модели угроз и нарушителей и т.д. В целом, как отмечается рядом авторов, стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют крите­рии, которым должно следовать управление ИБ [2].

При этом банки информированы о возможных рис­ках при дистанционном банковском обслуживании. Например, Письма ЦБ РФ от 07.12.2007 № 197-1 «О рисках при дистанционном банковском обслужива­нии» и от 27.04.2007 № 60-Т «Об особенностях обслу­живания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-бан­кинг)» содержат соответствующие рекомендации.

Лицензирование и сертификация

Нужно также учитывать, что при оказании услуг интернет-банкинга кроме банка и его клиента задей­ствовано еще одно лицо - провайдер (организация, предоставляющая кредитным организациям услуги по выполнению функций обработки, передачи, хранения банковской и другой информации, а также обеспечивающая доступ к информационно-телекоммуникацион­ным сетям). В данном случае на основании ст. 313 Гражданского кодекса Российской Федерации имеет место возложение исполнения обязательства на третье лицо, и, согласно ст. 403 ГК РФ, ответственность перед клиентом в рамках оказания услуг интернет-банкинга будет нести непосредственно банк.

По вопросам обеспечения информационной безо­пасности при расчетах с использованием интернет-банкинга, а также по другим проблемам, связанным с дистанционным банковским обслуживанием, имеется значительное число публикаций, предлагающих прак­тические технические, технологические и организаци­онные решения в этой сфере [3]. Если говорить о кли­ентах банка, то обязательное их информирование о правилах безопасной работы при дистанционном бан­ковском обслуживании - задача банков.

Итак, услуга интернет-банкинга имеет комплексный характер. В ней задействованы технические средства банка, клиента и третьего лица - провайдера, челове­ческие ресурсы банка и провайдера, существует челове­ческий фактор и со стороны клиента. Более того, при оказании этой услуги широко используется открытая информационная сеть (в отличие от системы «банк — клиент», где связь через Интернет используется только для приема и передачи информации). Исходя из этого, представляется, что установить какие-либо обязатель­ные требования для безопасности услуги интернет-бан­кинга в целом - задача практически невыполнимая.

Конечно, определенные требования к устройствам и системам, обеспечивающим эту услугу, установить можно, и это в известной степени на законодательном уровне сделано. Так, существует Федеральный закон от 08.08.2001 № 128-ФЗ «О лицензировании отдель­ных видов деятельности» (далее - Закон о лицензиро­вании). Им (подп, 5-8 п. 1 ст. 17) предусмотрено лицензирование деятельности по распространению шифровальных (криптографических) средств; деятель­ности по техническому обслуживанию шифровальных (криптографических) средств; предоставления услуг в области шифрования информации; разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифроваль­ных (криптографических) средств информационных систем, телекоммуникационных систем. Эти виды деятельности так или иначе связаны со сферой при­менения ЭЦП, которая используется клиентом в отношениях с банком при предоставлении им услуг интернет-банкинга.

Электронная цифровая подпись

В соответствии со ст. 3 Федерального закона от 10.01.2002 № 1-ФЗ «Об электронной цифровой подпи­си» (далее - Закон об ЭЦП) электронная цифровая подпись - это реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Законом об ЭЦП введено также понятие средств ЭЦП, практически полностью продублированное в положениях о лицензировании, утвержденных Постановлением Правительства РФ от 29.12.2007 № 957 «Об утверждении положений о лицензировании отдель­ных видов деятельности, связанных с шифровальными (криптографическими) средствами». При этом средства ЭЦП указанными положениями (см. п. 2) отнесены к шифровальным (криптографическим) средствам (сред­ствам криптографической защиты информации).

В статье 3 Закон об ЭЦП определяет средства электронной цифровой подписи как аппаратные и (или) программные, обеспечивающие реализацию хотя бы одной из следующих функций - создание ЭЦП в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа ЭЦП подлинности электронной цифровой подписи в электронном документе, создание закрытых и откры­тых ключей ЭЦП.

Таким образом, законодательством определен порядок государственного регулирования и контроля за деятельностью в этой сфере путем установления лицензирования соответствующих видов деятельнос­ти, введена сертификация качества аппаратно-про­граммного обеспечения. При этом система криптогра­фической защиты информации (СКЗИ) должна быть сертифицирована в Федеральном агентстве правитель­ственной связи и информации (ФАПСИ).

Однако, как представляется, обеспечить безопас­ность буквально всех систем (частей, сетей и т.п.), задействованных в рамках интернет-банкинга, т.е. обеспечить безопасность всей данной услуги в целом, в принципе невозможно. Нужно учитывать, что даже при доскональной защите банком информационных ресурсов своих автоматизированных систем, исполь­зовании сертифицированного программного обеспече­ния и т.д. клиент по недобросовестности или халатнос­ти либо из-за невысокого уровня компьютерной гра­мотности может допустить возникновение банковских рисков. Значительное число случаев их возникновения в практике связано именно с этим. К тому же, как утверждают специалисты, «практически при любом дистанционном банковском обслуживании действует эффект взаимной анонимности агентов удаленного информационного взаимодействия, и кредитная орга­низация не всегда может быть полностью уверена, что из виртуального пространства информационного кон­тура банковской деятельности могут поступить орде­ра, сформированные легитимно действующим, то есть официально зарегистрированным клиентом».

ВЫВОДЫ

Лишаясь денежных средств по собственной халат­ности и неосмотрительности, клиент может попы­таться возложить вину за это на банк, ссылаясь на Закон о защите прав потребителей. Думается, в рас­смотренном случае ссылки потребителя на необхо­димость банка обеспечить безопасность услуги интернет-банкинга в целом неправомерны. При этом, конечно, банк, реализуя данную услугу, обязан обеспечить наличие сертифицированных средств защиты информации, приобретать соответствую­щую продукцию в области шифрования информа­ции у организаций, имеющих необходимую лицен­зию, информировать клиента о правилах безопас­ной работы при дистанционном банковском обслуживании, исполнять прочие обязательные требования, предусмотренные законодательством.