Финансовая сфера

Банковское обозрение


  • Операции без согласия клиента банка: практика по предотвращению
16.12.2020 Best-practiceFinRegulation
Операции без согласия клиента банка: практика по предотвращению

В последние годы число несанкционированных операций в сфере безналичных расчетов стремительно растет. Попробуем разобраться, насколько эффективен разработанный на законодательном уровне механизм, призванный предотвращать операции по переводу денежных средств, совершаемых без согласия клиента, и как он отражается на судебной практике


Нормативная база

Развитие электронной коммерции, современных технологий расчетов и инновации в финансовом секторе, глобализация в сфере платежей и расчетов, а также отсутствие комплексного регулирования данных систем расчетов и платежей привели к принятию Федерального закона от 27.06.2011 № 161-ФЗ «О Национальной платежной системе» (далее — Закон об НПС), который вступил в силу 29.09.2011.

Для создания механизма, позволяющего кредитным организациям предотвращать операции по переводу денежных средств, совершаемые без согласия клиента, принят Федеральный закон от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» (далее — Закон № 167-ФЗ).

Этим Законом внесены поправки в Закон об НПС, вступившие в силу 26.09.2018 и возложившие на операторов по переводу денежных средств новые обязанности, ключевой из которых является обязанность приостановить исполнение распоряжения клиента о совершении операции, соответствующей признакам перевода денежных средств без его согласия (ч. 5.1 ст. 8 Закона о НПС), а также иные обязанности по реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.

Анализ несанкционированных операций в кредитно-финансовой сфере, который проводит Банк России, показывает рост не только объема и количества несанкционированных операций1, но и их доли в общем массиве операций.

Итак, хотя глобально, как видно из статистики, доля операций без согласия клиентов составляет лишь малую часть общего объема всех операций в Российской Федерации, в абсолютных значениях они составляют значительные суммы и несут опасность всем пользователям банковских услуг.

Взаимодействие клиента и операторов

Первостепенной обязанностью операторов по переводу денежных средств, с соблюдением которой связаны доступные клиентам способы защиты, является обязанность информировать о совершении каждой операции с использованием электронного средства платежа путем направления клиенту уведомления об этом (ч. 4 ст. 9 Закона об НПС). Как указывают суды, Закон не обязывает делать это непосредственно до совершения операции2. Такое информирование позволяет клиентам сразу узнать о тех операциях, которые они не совершали.

В свою очередь, и на клиента в силу ч. 11 ст. 9 Закона об НПС возложена обязанность незамедлительно уведомить банк об утрате электронного средства платежа или о его использовании без своего согласия. Крайний срок для такого уведомления — следующий день после получения сведений о совершенной операции.

Положения ч. 11.1–11.5 ст. 9 Закона о НПС, вступившие в силу вместе с Законом № 167-ФЗ, ввели особый порядок действий операторов плательщика и получателя несанкционированного перевода по приостановлению зачисления соответствующих средств. Так, при получении от клиента — юридического лица уведомления после списания денежных средств банк должен направить в банк получателя платежа уведомление о приостановлении зачисления денежных средств на банковский счет получателя. После принятия такого уведомления запускается несудебная процедура подтверждения обоснованности получения денежных средств. Оператор получателя приостанавливает зачисление денежных средств и запрашивает у получателя документы, подтверждающие основания перевода. Такие документы должны быть предоставлены в течение пяти рабочих дней. При их отсутствии оператор-получатель обязан осуществить возврат денежных средств в срок не позднее двух рабочих дней после истечения пятидневного срока.

Данный механизм сработает, если плательщик оперативно сообщил о несанкционированном списании своему банку. Если же денежные средства уже зачислены на счет получателя, оператор, обслуживающий последнего, направляет уведомление о невозможности приостановления зачисления денежных средств.

Следует отметить, что такой порядок распространяется только на клиентов — юридических лиц, в отношении физических лиц условия возмещения сумм операций, совершенных до момента направления уведомления своему банку, были урегулированы в ч. 15 ст. 9 Закона об НПС.

Итак, мы видим, что законодательством возложены определенные обязанности на всех участников правоотношений при использовании электронных средств платежа.

Ответственность банка за совершение операций после получения уведомления от клиента

В соответствии с ч. 12 ст. 9 Закона об НПС банк несет безусловную обязанность возместить клиенту сумму операции, совершенной без его согласия после направления оператору по переводу денежных средств уведомления, предусмотренного ч. 11 ст. 9 Закона об НПС. Эта обязанность банка возникает исключительно в случае утраты электронного средства платежа и (или) его использования без согласия клиента и только в отношении сумм операций, совершенных без согласия клиента после получения соответствующего уведомления банком3. Например, если по данным выписки по счету операции произведены до обращения в банк для блокирования счета, то суды отказывают в удовлетворении требований по этому основанию4.

Действительно, после получения такого уведомления банки уже не могут рассматривать поступающие распоряжения как исходящие от уполномоченного лица. Анализ практики показывает, что по этому основанию суды крайне редко присуждают возмещение средств, поскольку факт направления уведомления до совершения операций остается недоказанным.

Ответственность банка за неуведомление клиента о совершенной операции

Согласно ч 13. ст. 9, Закона об НПС, если оператор по переводу денежных средств не направлял клиенту уведомление о совершенных операциях, он должен возместить суммы операций, которые были совершены без согласия клиента и о которых клиент не был проинформирован.

Здесь возникает важный вопрос: когда банк считается исполнившим свою обязанность по информированию при использовании электронных средств платежа?

В одном из дел, где основанием для обращения с иском послужило совершение несанкционированных платежей через систему «клиент-банк», суд посчитал, что использование программного обеспечения, позволяющего клиенту отслеживать текущий статус операции в такой системе (например, путем присвоения статуса «Исполнен»/«Проведен»), подтверждает надлежащее уведомление клиента5.

В другом деле суд не нашел нарушений в том, что обязанность по информированию о совершенных операциях банк исполнял через направление в электронном виде выписки по счету через систему «клиент-банк»6. В целом, такая практика согласуется с п. 5 Письма Банка России от 14.12.2012 № 172-Т «О рекомендациях по вопросам применения ст. 9 Федерального закона “О Национальной платежной системе”», в котором указано, что кредитная организация в зависимости от условий заключенного договора и с учетом оценки риска, правил платежной системы может выбирать любые доступные способы уведомления клиента в электронном виде и (или) на бумажном носителе.

Однако не всегда при совершении операций третьими лицами у клиентов сохраняется доступ к системе электронного банкинга. Поэтому вывод суда о том, что отражение в системе «клиент-банк» статуса поручения само по себе не является доказательством уведомления клиента о проведенной операции, если клиент был лишен доступа к системе дистанционного банковского обслуживания (из-за непоступления пароля)7, вполне справедлив.

Немаловажен и срок, в течение которого банк должен уведомить клиента об операции. Так, рассматривая спор о взыскании убытков, понесенных в результате необоснованного списания денежных средств со счета, суд указал, что если договором с банком не установлен срок информирования клиента о совершенных операциях с использованием электронного средства платежа, то банк не отвечает по ч. 13. ст. 9 Закона об НПС8.

Между тем такая позиция выхолащивает саму обязанность банка по уведомлению клиента. Поэтому более справедливым видится подход, согласно которому отсутствие в договоре срока информирования клиента не освобождает банк от ответственности, а устанавливает обязанность информировать клиента незамедлительно9.

Взыскание убытков за совершение операций при наличии признаков совершения операции без согласия клиента

Как мы уже отмечали, новеллами Закона о НПС установлена обязанность10 операторов по переводу денежных средств проверять операцию по переводу денежных средств на предмет ее соответствия признакам операций без согласия клиента непосредственно до списания денежных средств (ч. 5.1 ст. 8 Закона о НПС).

Признаки осуществления операций без согласия клиентов установлены Приказом Банка России от 27.09.2020 № ОД-2525 и размещены на его официальном сайте11. К ним относятся:

  • совпадение информации о получателе средств с информацией о получателе средств, полученной из базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента, формируемой Банком России (далее — база данных Банка России);
  • совпадение информации о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств, с аналогичной информацией из базы данных Банка России;
  • несоответствие между характером, параметрами или объемом проводимой операции (время (дни), место, сумма, периодичность (частота) осуществления операции, устройство и параметры его использования для осуществления операции, получатель средств) и обычно совершаемыми клиентом операциями.

Как видно, признаки можно условно разделить на две группы:

1) формальные, заключающиеся в выявлении соответствия сведений о получателях и параметрах устройства тем, которые распространяются из базы данных Банка России;

2) сущностные, касающиеся отклонения от типичных для клиента значений суммы, времени, места платежа и т.п.

В одном из последних дел о взыскании убытков с банка за исполнение операций без согласия клиента, в котором исследовался вопрос о типичности операций, суд указал на правомерность исполнения операций и отказал в иске при следующих обстоятельствах:

  • платежные поручения содержали корректную электронную подпись уполномоченного лица клиента банка;
  • платежи проведены с компьютера и IP-адреса, которые ранее неоднократно использовались для входа в систему интернет-банка;
  • переводы денежных средств соответствовали суммам иных ранее проводимых операций при глубине исследования в несколько лет с момента совершения спорных операций (в частности, банку удалось обнаружить схожие по объему операции в пользу физических лиц в нерабочее время)12.

Очевидно, что большинство спорных ситуаций при использовании электронных средств платежа как раз касается случаев, когда операция была проведена неустановленными лицами без согласия клиента, но с использованием корректной электронной подписи. Иначе автоматические алгоритмы банковских систем попросту бы не пропустили такой платеж.

В одном из споров суд, установив нарушение положений об информационной безопасности и компрометацию ключа электронной подписи со стороны клиента и указав на прохождение спорных операций проверки, выявляющей подозрительные операции по признакам несвойственности, занял позицию, что у банка отсутствовали основания для неисполнения платежных поручений13.

В другом деле было отказано в иске о взыскании убытков при совокупности следующих условий: направление распоряжения на перевод с обычных IP-адреса и МАС-адреса устройства, наличие вируса на компьютере, прохождение электронной подписью автоматической процедуры контроля при недоказанности иных признаков несвойственной операции14.

Отметим, что в Законе об НПС прямо не говорится, что исполнение операций, имеющих признаки операций без согласия клиентов, влечет обязанность банка возместить клиенту их сумму, в отличие от случаев нарушения обязанности по информированию клиентов или проведения операций после получения уведомления от клиента (ч. 12, 13 ст. 9 Закона об НПС). В силу этого одни суды применяют ограничительные подходы к вопросу о возможности взыскать с банка сумму совершенных операций, когда нарушение банком указанных условий судом не выявлено15. Другой суд сделал вывод об отсутствии вины банка в несанкционированном списании принадлежащих истцу денежных средств при условии компрометации рабочего места и формировании с него 480 платежных поручений, которые система fraud-мониторинга не расценила как сомнительные и которые были исполнены без направления для проведения дополнительной проверки16.

Выводы из судебной практики

В целом, суды обычно занимают достаточно формальную позицию и отказывают в исках о взыскании убытков с банков в случае исполнения несанкционированных распоряжений клиентов (при подписании распоряжения корректной электронной подписью) со ссылкой на отсутствие одного из обязательных условий для возмещения убытков, обычно противоправности в действиях банка17.

Следует сказать, что у судов нет четкого понимания того, как применять новые положения Закона об НПС. Так, в одном деле суд вовсе отклонил довод о том, что банк не проверил признаки осуществления перевода денежных средств без согласия клиента, поскольку поручение было подписано корректной электронной подписью18. А в другом, напротив, суд признал достаточными основаниями для зарождения у банка сомнений в легитимности платежных поручений превышение платежей над суммами, которые были характерны для истца, отсутствие предшествующих платежей в пользу получателя, а также тот факт, что ранее платежи на столь крупные суммы согласовывались банком с клиентом19. Причем такой вывод был сделан вовсе без ссылок на новые нормы Закона об НПС, а сами спорные платежи были исполнены еще до вступления в силу Закона № 167-ФЗ.

Следует признать, что практикой не разрешен очень важный вопрос о том, как работают распространенные в банковской практике положения договора банковского обслуживания об ограничении ответственности банков на случай компрометации ключа электронной подписи / получения третьими лицами доступа к системе дистанционного банковского обслуживания с учетом названных изменений в Законе об НПС. В связи с этим использование третьими лицами корректной электронной подписи всегда будет наталкиваться на доводы банков о нарушении клиентом требований «интернет-гигиены» или правил использования ключей шифрования.

Кроме того, повсеместно банки включают в договоры банковского счета / правила банковского обслуживания положения о том, что банк не несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, если с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факт выдачи распоряжения неуполномоченными лицами. Эти положения в определенной мере являются ответом на п. 2 Постановления Пленума ВАС РФ от 19.04.1999 № 5 «О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета», в котором закреплено обратное правило20 на случай, если иное не установлено законом или договором.

Нежелание судов ограничительно толковать соответствующие положения правил банковского обслуживания с учетом законодательно установленной обязанности банков исследовать типичность проводимых операций приведет к лишению всякого смысла новых норм об операциях без согласия клиентов как некоего фильтра, дополняющего проверку корректности электронной подписи или иных идентификаторов, позволяющих использовать электронное средство платежа.

Вопрос о том, насколько договор с банком может ограничивать ответственность последнего, если проведенные операции все же соответствовали установленным критериям операций без согласия, пока остается открытым.


1. После вступления в силу Закона № 167-ФЗ в статистике используется понятие «операция без согласия». До этого Банк России оперировал показателем «несанкционированная операция».
2. См.: Постановление АС Московского округа от 29.09.2015 № Ф05-13186/2015 по делу № А40-178644/2014.
3. См.: Постановление Первого ААС от 12.08.2019 № 01АП-5805/2019 по делу № А43-40953/2018.
4. См.: Постановление Седьмого ААС от 26.10.2016 № 07АП-3590/2016 по делу № А27-20118/2015.
5. См.: Постановление Пятнадцатого ААС от 19.09.2019 № 15АП-15016/2019 по делу № А32-1904/2019.
6. См.: Постановление Девятого ААС от 16.01.2020 № 09АП-61197/2019 по делу № А40-56663/2019.
7. См.: Постановление АС Центрального округа от 19.02.2020 № Ф10-6850/2019 по делу № А83-21483/2017.
8. См.: Постановление АС Волго-Вятского округа от 16.05.2018 № Ф01-1247/2018 по делу № А31-1965/2017.
9. См.: Постановление Пятнадцатого ААС от 26.02.2015 № 15АП-22175/2014 по делу № А53-21833/2014.
10. Следует оговориться, что в сноске к п. 13 Обзора практики рассмотрения судами дел по спорам о защите прав потребителей, связанным с реализацией товаров и услуг (утв. Президиумом Верховного Суда РФ 17.10.2018), говорится о праве кредитной организации приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента. Между тем предложенная трактовка не исключает наличия у банка обязанности приостанавливать такие платежи, что соответствует телеологическому толкованию новелл Закона об НПС.
11. См.: http://cbr.ru/Content/Document/File/47786/priznaki_20180928.pdf.
12. См.: Постановление Девятого ААС от 17.06.2020 № 09АП-3854/2020-ГК по делу № А40-260613/2019.
13. См.: Постановление АС Северо-Кавказского округа от 04.12.2019 № Ф08-10473/2019 по делу № А53-5074/2019.
14. См.: Постановление Четырнадцатого ААС от 18.06.2020 № 14АП-1558/2020 по делу № А66-7206/2019.
15. См.: Решение АС Республики Татарстан от 24.07.2020 по делу № А65-27375/2019.
16. См.: Решение АС Волгоградской области от 20.02.2020 по делу № А12-31860/2019.
17. См.: Постановление Девятого ААС от 02.11.2020 по делу № А40-206859/2019.
18. См.: Решение АС Ярославской области от 18.09.2019 по делу № А82-9101/2019.
19. См.: Постановление АС Поволжского округа от 26.06.2019 № Ф06-48556/2019 по делу № А55-14526/2018.
20. В целом, такой подход ВАС РФ понятен. Согласно ст. 312 ГК РФ риск исполнения ненадлежащему лицу лежит на должнике. Эта норма дополняется общими принципами распределения рисков в гражданском праве: риск возлагается на того, кто ближе к источнику риска, в чьей сфере контроля лежит его материализация. Банк при переводе денежных средств выступает в качестве должника, истец — кредитора, поскольку первый обязан исполнить распоряжения надлежащего лица. Поэтому общее правило заключается в том, что банк несет ответственность за исполнение распоряжения неуполномоченных лиц.






Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ