Одной из особенностей мобильного банкинга является привязка банковского счета к абонентскому номеру подвижной телефонной связи. Для подтверждения распоряжения о переводе денежных средств по счету на соответствующий абонентский номер направляются пароли, требующие введения определенной комбинации символов для подтверждения ранее направленного распоряжения.
Оформление правоотношении в рамках мобильного банкинга выглядит следующим образом. Банк с одной стороны, заключает договора с клиентом, в котором прописаны взаимные права и обязанности в рамках мобильного банкинга. С другой стороны, договор оформляется между кредитной организацией и оператором сотовой связи, в рамках которого прописан регламент взаимодействия и функционирования услуг мобильного банкинга. Кроме того между клиентом и оператором сотовой связи также существует договор, устанавливающий взаимоотношения сторонами по поводу оказания услуг телефонной связи.
Долгое время непререкаемым постулатом было правило о том, что банк несет риск ответственности за последствия исполнения поручений, выданных неуполномоченными лицами. Однако в рамках мобильного банкинга полноценным участником данных правоотношений является оператор сотовой связи, что делает невозможным его игнорирование по спорам о несанкционированном списании денег с банковского счета.
В декабре 2015 года Верховный Суд РФ впервые в банковской практике указал на то, что к ответственности за несанкционированное списание денежных средств со счета, к которому подключена услуга мобильного банкинга, должен быть привлечён не банк, но оператор сотовой связи (Определение Верховного Суда РФ от 08.12.2015 N 5-КГ15-164). Напомним фабулу дела. Между клиентом (далее – истец) и банком было заключено соглашение об открытии банковского счета и выдаче банковской карты. У истца с ОАО "МТС" заключен договор на оказание услуг подвижной телефонной связи по абонентскому номеру истца, к которому впоследствии была подключена услуга "мобильный банк". ОАО "МТС" выдало неустановленному лицу дубликат сим-карты с абонентским номером клиента, вследствие чего находящаяся у истца сим-карта перестала обслуживаться. Заявление о выдаче сим-карты и расписка этого лица о получении сим-карты оформлены не были, сведения об этом лице и о документе, удостоверяющем его личность, отсутствовали. В результате выдачи дубликата сим-карты оператором связи неустановленному лицу сим-карта истца не обслуживалась определенный период времени. Впоследствии истцом была получена новая сим-карта. При этом неустановленное лицо получило возможность пользоваться услугами связи с абонентского номера истца, оплата которых производилась путем списания денежных средств с абонентского лицевого счета клиента в ОАО "МТС". Кроме того, указанное лицо получило доступ к управлению банковским счетом и одноразовым паролям на списание денежных средств с банковского счета истца. За указанный период времени денежные средства истца были переведены с банковского счета на счета третьих лиц, а также за счет истца были оказаны услуги связи третьим лицам. Клиент, узнав о несанкционированном списании денежных средств, обратился в банк. Банк не нашел оснований удовлетворить требования клиента в добровольном порядке. Тогда последний обратился в суд с иском к банку и ОАО "МТС" как солидарным ответчикам о защите прав потребителя, в котором просил признать незаконными действия ОАО "МТС" по передаче третьему лицу sim-карты и sms-сообщений по абонентскому номеру подвижной телефонной связи, взыскать солидарно с банка и ОАО "МТС" незаконно списанные с банковского счета денежные средства, проценты на эту сумму и др.
Суды нижестоящих инстанций в удовлетворении требований истца отказали. Однако ВС РФ не согласился с позицией нижестоящих судов, указав следующее. Отношения между абонентом, пользующимся услугами подвижной телефонной связи, и оператором связи регулируются главой 39Гражданского кодекса Российской Федерации, Федеральным законом от 7 июля 2003 г. N 126-ФЗ "О связи" (далее - Закон о связи), Правилами оказания услуг телефонной связи, утвержденными постановлением Правительства Российской Федерации от 9 декабря 2014 г. N 1342. Кроме того, на отношения оператора связи с гражданином, пользующимся услугами связи распространяются положения Закона Российской Федерации от 7 февраля 1992 г. N 2300-I "О защите прав потребителей". Разрешая спор, ВС РФ учел следующие обстоятельства. Из условий заключенного между истцом и банком договора на обслуживание международной карты следует, что банк обязан списать/перевести денежные средства со счетов клиента в банке на счета физических и юридических лиц в случае получения распоряжения клиента, каковым является смс-сообщение, направленное с использованием средства мобильной связи с номера телефона истца, указанного в заявлении при подключении услуги "мобильный банк". Согласно письмам банка со счета карты истца были списаны денежные средства по 19 операциям, совершенным в сети "Интернет" с использованием одноразовых паролей, направленных посредством смс-сообщений на телефон истца. Пароли были введены верно, в связи с чем банк правомерно произвел указанные операции, что свидетельствует об отсутствии виновности и противоправности в действиях кредитной организации. Верховный Суд направил дело на новое рассмотрение. При повторном рассмотрении спор суд апелляционной инстанции вынес решение в пользу истца, взыскав убытки с оператора сотовой связи. Поскольку вины в действиях банка суд не нашел, то кредитная организация была освобождена от ответственности перед клиентом (Апелляционное определение Московского городского суда №33-1147/2016).
В рамках другого спора с аналогичными обстоятельствами за тем исключением, что владельцем банковского счета являлся субъект предпринимательской деятельности, суды не нашли оснований для привлечения к ответственности за несанкционированное списание денег со счета ни банк ни оператора сотовой связи. В частности между банком и организацией был заключен договор об открытии банковского счета. Для проведения операций, связанных с деятельностью клиента, дополнительно заключен договор о расчетном обслуживании клиента с использованием системы "Банк-клиент Онлайн". Клиент был подключен Банком к своей системе "Банк-Клиент Онлайн" с привязкой к телефонному номеру, услуги связи по которому предоставлял ПАО Вымпел-Коммуникации" на основании договора об оказании услуг связи "Билайн". Банк произвел списание денежных средств с расчетного счета клиента. Как было установлено позднее при проведении данных операций был активирован дубликат сим-карты номера мобильного телефона клиента. Дубликат сим-карты был выдан неустановленному лицу. Частично удовлетворяя исковые требования, суд первой инстанции пришел к выводу о том, что ПАО "Вымпел-Коммуникации", выдав дубликат сим-карты неустановленному лицу, создало возможность третьему лицу сменить абонентский номер, что повлекло для истца неблагоприятные последствия в виде списания денежных средств посредством системы "Банк-клиент Онлайн", подключенной к телефонному номеру. Взыскивая в пользу истца указанную сумму, арбитражный суд указал на нарушение ПАО "Вымпел-Коммуникации" условий договора об оказании услуг связи, Закона о связи, постановленияN 1342. В принятом судебном акте арбитражный суд сделал выводы о фактическом соответствии платежных поручений требованиям, предъявляемым к документам в электронном виде, отсутствии у Банка оснований для отказа в исполнении распоряжения на перечисление денежных средств. Не усмотрев оснований для привлечения банка к ответственности в виде взыскания убытков, в иске к Банку отказал. Апелляционный суд поддержал выводы суда первой инстанции, оснований для отмены решения суда не установил. Однако суд кассационной инстанции высказал иное понимание спорной ситуации. Суд кассационной инстанции счел, что кассационная жалоба ПАО "Вымпел-Коммуникации" подлежит удовлетворению, а обжалуемые судебные акты в части удовлетворения исковых требований подлежат отмене по следующим основаниям. Для осуществления операций по платежным поручениям необходимо последовательно ввести в систему "Банк-Клиент онлайн" логин, пароль, путь к каталогу ключевого носителя СКЗИ и пароль секретного ключа, после чего для подтверждения операции необходимо ввести смс сообщение, полученное на мобильный номер телефона. То есть не следует прямая причинно-следственная связь между действиями ПАО "Вымпел-Коммуникации" по выдаче дубликата сим-карты и убытками, причиненными клиенту, путем формирования платежных поручений в соответствии с условиями договора банковского счета, установленной системой, подписанных с использованием данных действующего ключа электронной подписи, зарегистрированного на имя уполномоченного лица. Таким образом, состав правонарушения, необходимый и достаточный для привлечения, как банка, так и ПАО "Вымпел-Коммуникации" к ответственности в виде возмещения убытков, отсутствует (ПостановлениеАрбитражного суда Западно-Сибирского округа от 01.02.2017 N Ф04-6474/2016 по делу N А27-20863/2015).
Мы проанализировали два идентичных спора, в рамках одного из которых, ответственность была возложена на оператора сотовой связи, в рамках другого от ответственности были освобождены как банк, так и оператор сотовой связи. Если и можно объяснить подобное расхождение в позициях судов, то только тем, что стороной первого судебного спора был потребитель, традиционно являющейся экономически слабой стороной в отношениях с банками и операторами сотовой связи, чьи права требуют повышенной защиты. Второй спор был между субъектами предпринимательской деятельности, каждый из которых осуществляет деятельность на свой страх и риск. Однако мы встречаем третий судебный спор с аналогичными обстоятельствами, сторонами которого являются хозяйствующие субъекты, в рамках которого неустановленному лицу оператором сотовой связи был выдан дубликат сим-карты. Истец, с чьего счета произошло несанкционированное списание денежных средств, обратился с иском о возмещении убытков к банку и оператору сотовой связи как солидарным ответчикам. Первоначально суды в отказали в иске, аргументировав тем, что отсутствуют прямая причинно-следственная связь между незаконными действиями ответчиком и причиненным вредом. 1 февраля 2017 года отказные решения были отменены и спор направлен на новое рассмотрение поскольку, делая выводы о том, что при обращении с заявлением о замене SIM-карты истец представил оператору нотариальную доверенность и документ, удостоверяющий личность предъявителя доверенности - паспорт, суд не указал, на основании каких доказательств он пришел к указанному выводу, так как в материалах дела отсутствуют нотариальная доверенность, доказательства, подтверждающие факт ее выдачи и предъявления паспорта лицом, явившимся с доверенностью; так же как и отсутствует само заявление о замене SIM-карты. Новое рассмотрение назначено на 27 июня 2017 года (Постановление Арбитражного суда Московского округа от 19.01.2017 N Ф05-21060/2016 по делу N А40-186578/2015).В январе 2017 года ВС РФ рассмотрел еще один спор по иску клиента к банку, непосредственным участником которого выступал оператор сотовой связи Определение Верховного Суда РФ от 10.01.2017 N 4-КГ16-66. В рамках этого спора суд распределил риски между банком и оператором сотовой связи, возложив из на кредитную организацию. Между банком и клиентом заключен кредитный договор, по условиям которого клиенту выдана банковская с кредитным лимитом, составляющим 150 000 руб., впоследствии увеличенным до 180 000 руб., с подключением услуги "Мобильный банк" к абонентскому номеру, используемому клиентом и обслуживаемому ОАО "Вымпелком". Клиент воспользовался кредитом, но полностью погасил задолженность. В связи с отсутствием в течение 180 дней операций по электронному счету абонента его абонентский номер, к которому была подключена услуга "Мобильный банк", был отключен Оператором и впоследствии передан в пользование третьему лицу. В период с 29 апреля по 7 мая 2014 г. со счета банковской карты неизвестным лицом с использованием услуги "Мобильный банк", подключенной к указанному абонентскому номеру, были совершены операции по переводу денежных средств на счета других лиц, в результате чего по счету банковской карты истца образовалась задолженность в размере 176 000 руб. Клиент неоднократно обращался в банк с заявлениями о списании неправомерно начисленной, задолженности, однако данные требования ответчиком добровольно удовлетворены не были. В связи, с чем клиент инициировал судебное разбирате6льство в отношении банка. Удовлетворяя исковые требования, суд первой инстанции исходил из того, что клиент в спорный период услугой "Мобильный банк" не пользовался и денежные средства со счета банковской карты не получал, задолженность возникла вследствие действий третьего лица и в отсутствие воли истца, в связи с чем обязанность погасить эту задолженность у клиента отсутствует. Суд указал, что ответчик не исполнил обязанность по обеспечению сохранности конфиденциальной информации о банковской карте истца и по защите денежных средств от хищения. Отменяя решение суда первой инстанции и принимая по делу новое решение об отказе в удовлетворении исковых требований, суд апелляционной инстанции сослался на то, что истец, в нарушение пункта 7.20 Условий выпуска и обслуживания кредитной карты, не исполнила обязанность по информированию банка о прекращении использования абонентского номера, к которому подключена услуга "Мобильный банк". Суд апелляционной инстанции также указал, что истец своевременных действий по отключению услуги "Мобильный банк" не предпринимала. Судебная коллегия по гражданским делам Верховного Суда Российской Федерации не согласилась с позицией апелляции и указала, что волеизъявления истца в какой-либо форме на получение кредита, его распоряжений о совершении операций по счету, равно как и технических возможностей осуществить такие распоряжения посредством услуги "Мобильный банк", в спорный выше период у клиента не имелось. Следовательно, вывод о наличии у клиента как заемщика долга, вытекающего из кредитного договора, противоречит приведенным выше нормам материального права. Верховный Суд РФ направил дело на новое рассмотрение, в рамках которого иск клиента был удовлетворен, убытки были взысканы с кредитной организации Апелляционное определение судебной коллегии по гражданским делам Московского областного суда от 20 февраля 2017 года дело № 33-4214/2017.
Удивление вызывает игнорирование судом условия договора о том, что клиентом не исполнена обязанность по информированию банка о прекращении использования абонентского номера, к которому подключена услуга "Мобильный банк". Кроме того ВС РФ отказался рассматривать вопрос о причинении Банку убытков вследствие ненадлежащего исполнения обязанности уведомить Банк о прекращении использования абонентского номера и передачи его Оператором третьему лицу. Суд указал, что к предмету рассмотрения иска данный вопрос вообще не относится. Иными словами оператор сотовой связи фактически был выведен из круга лиц, ответственных за причинение вреда клиенту. Хотя выдача сим-карты третьему лицу произошла именно вследствие действий оператора сотовой связи. Банк объективно не имел возможность узнать о том, что абонентский номер сменил владельца.
Следует отметить, что Верховный Суд сделал неоднозначный вывод относительно статуса неперсонифицированных паролей, которые требуются для введения определенной комбинации символов для подтверждения ранее направленного распоряжения. Как указал ВС РФ такие меры направлены, главным образом, на предотвращение исполнения ошибочных и случайных распоряжений, однако из этого не следует, что таким образом идентифицируется владелец счета либо его доверенное лицо, владеющее соответствующим кодом или паролем.
Напротив, операция по введению направленного банком одноразового неперсонифицированного пароля доступна любому лицу, использующему в данный момент абонентское устройство подвижной телефонной сети. Данный вывод сделан судом, несмотря на то, что соглашение между банком и клиентом, предусматривало, что полученное банком смс-сообщение рассматривается как распоряжение (поручение) на проведение операций по счетам/вкладам клиента.
Мы убедились, что практика по спорам о взыскании убытков в связи с несанкционированным списанием денежных средств с банковского счета клиента в системе мобильный банкинг в связи с выдачей оператором сотовой связи дубликата сим-карты неустановленному лицу носит неоднозначный характер. В одних случаях к ответственности привлекается оператор сотовой связи, в других – банк, в третьих – в иске клиенту вообще отказывается. Все это, безусловно, не способствует безопасности и стабильности банковского оборота. Не следует забывать, что с позиции массового потребителя именно банк несет ответственность за безопасность платежей независимо от того, что истинной причиной несанкционированного списания денег являются действия оператора сотовой связи.
Попробуем проанализировать, что произойдет, если банк, пытающийся сохранить деловую репутацию и добрые отношения с клиентом, добровольно возместит ему вред, в размере суммы несанкционированного платежа, затем предъявит требования оператору сотовой связи как субъекту виновному за выдачу дубликата сим-карты неустановленному лицу. Судебная практика располагает подобными прецедентами. В арбитражный суд обратился банк с исковым заявлением к ПАО "Вымпел-Коммуникации" (далее - ответчик) о взыскании убытков в сумме 606 000 руб. Как следует из материалов дела, гражданин Б. (далее Клиент) имел два банковских счета. Услуга "Мобильный банк" подключена к номеру телефона Клиента, который был указан Клиентом при подключении услуги в заявлении Клиента. Данный номер обслуживался ответчиком. 02 декабря 2015 года в банк поступила информация о совершении операций, имеющих признаки мошеннических действий, совершенных третьими лицами в отношении денежных средств Клиента, через систему мобильный банк по счетам Клиента на общую сумму 606 000 руб. 12 декабря 2015 года Клиент обратился в Банк относительно указанных выше операций. В связи с поступившим обращением Клиента Банком проведена проверка и установлено, что Клиент не совершал и не одобрял оспариваемые им операции, а сумма средств, похищенных со счетов Клиента, составила 606 000 руб. Банк посчитал, что вина клиента в совершении операций по счетам и нарушение с его стороны правил совершения операций с использованием удаленных каналов обслуживания отсутствуют, в связи с чем 30 декабря 2015 года денежные средства в размере 604 тыс. руб. и 19 февраля 2016 года в размере 2000 руб. зачислил на счет Клиента за счет собственных средств Банка. Согласно информации, полученной от оператора сотовой связи, 26 ноября 2015 года с 14:24 до 14:26 проведена автоматическая блокировка, разблокировка и замена сим-карты с абонентским номером, зарегистрированным на имя Клиента. Вместе с тем, согласно устным пояснениям Клиента, предоставленным сотрудникам банка, он находился 26 ноября 2015 года за пределами РФ (о. Мальдивы), поэтому не мог лично провести замену сим-карты у оператора сотовой связи. При этом обслуживание первоначально выданной сим-карты Клиента оператором связи было прекращено, а все смс-сообщения, направленные ему банком посредством услуги "мобильный банк", содержащие конфиденциальную информацию, составляющую банковскую тайну, были получены неустановленным лицом.
Банк полагал, что вследствие разглашения по вине оператора сотовой связи информации о паролях Клиента на совершение операций с использованием удаленных каналов банковского обслуживания, в этот же день, 26 ноября 2015 года, на мобильном устройстве ОС "Андроид" была выполнена регистрация банковского мобильного приложения на карту Visa Gold, открытую Клиенту. Смс-сообщения с паролями, требуемыми для регистрации мобильного приложения, поступали на "подмененную" сим-карту. После чего, стало возможным хищение денежных средств по счетам клиента посредством услуги мобильный банк. Банк счел, что причиной того, что хищение денежных средств со счетов клиента стало возможным, является неправомерная замена сим-карты на имя Клиента оператором связи. В связи с неправомерными действиями оператора сотовой связи банку были причинены убытки в размере 606 000 руб., что послужило основанием для обращения в суд с иском. Решением арбитражного суда первой инстанции в удовлетворении исковых требований банка отказано. Банк оспорил судебный акт в апелляционном порядке. Вот к каким выводам пришел суд апелляционной инстанции. В силу статей 15, 1064 Гражданского кодекса Российской Федерации возмещение вреда, причиненного имуществу гражданина или юридического лица, допускается при доказанности факта причинения вреда и его размера (наличие вреда), противоправности действий (бездействия), наличии причинной связи между противоправными действиями (бездействиями) и наступившими последствиями и вины причинителя вреда. Причинная связь между фактом причинения вреда (убытков) и действием (бездействием) причинителя вреда должна быть прямой (непосредственной). В отсутствие хотя бы одного из указанных условий обязанность лица возместить причиненный вред не возникает.На основании статьи 44 Федерального закона от 07 июля 2003 года N 126-ФЗ "О связи" на территории Российской Федерации услуги связи оказываются оператором связи пользователям услугами связи на основании договора об оказании услуг связи, заключенного в соответствии с гражданским законодательством и правилами оказания услуг связи. Правилами оказания услуг телефонной связи, утвержденными Постановлением Правительства РФ от 09 декабря 2014 года N 1342 порядок замены сим-карты не установлен. ПАО "Вымпел-Коммуникации" разработана Инструкция по замене SIM-карт в офисах дилеров с использованием DCCA, согласно которой замена сим-карты осуществляется при обращении владельцев номера в офис компании или к дилеру, с документом, удостоверяющий личность, или при обращении доверенного лица, при наличии нотариально удостоверенной доверенности и личного паспорта, и письменного заявления на бланке установленного образца. Правилами оказания услуг подвижной связи N 328 установлено, что гражданин представляет оператору связи документ удостоверяющий личность (п. 18 Правил).
Согласно инструкции по замене SIM-карт в офисах дилеров, дилер при обращении абонента с заявлением о замене SIM-карты, осуществляет идентификацию абонента, путем проверки паспорта, формирует заявку на автоматическую замену SIM-карты, отправляет заявку в ПАО "ВымпелКом" на выполнение. После успешного выполнения заявки выдает абоненту новую SIM-карту. Привязка сотового номера телефона абонента к новой SIM-карте осуществляется автоматически при полном совпадении идентификационных данных. При несовпадении данных по договору, заявка автоматически отклоняется и замена SIM-карты не производится. В данном случае идентификационные данные абонента, указанные в заявке на замену SIM-карты полностью совпали с данными абонента, содержащимися в Договоре об оказании услуг связи "Билайн", заключенным между гражданином Б. и оператором сотовой связи. Таким образом, данные абонента были внесены в заявку на основании предъявленного документа, удостоверяющего личность, в связи с чем суд считает, что идентификация лица, обратившегося с заявлением о замене SIM-карты произведена надлежащим образом в соответствии с указанной Инструкцией и действующим законодательством. Правилами оказания услуг подвижной связи, установлен только порядок идентификации гражданина посредством проверки и сличения фотографии с документа, удостоверяющего личность с заявителем, обязанность Оператора связи снимать, копировать данные документы ни при заключении договора оказания услуг связи, ни при замене SIM-карты законом не установлена. Кроме того, в соответствии с пунктом 3.7 порядка предоставления банком услуг через удаленные каналы обслуживания доступ клиента к услугам банка осуществляется при условии его успешной идентификации и аутентификации на основании идентификатора пользователя и постоянного пароля.
Таким образом, для списания денежных средств со счета через систему мобильный банк необходимо иметь не только сим-карту с номером телефона подключенного к услуге "Мобильный банк", но и обладать информацией об открытых счетах, о наличии банковских карт, в том числе знать полные номера банковских карт, срок их действия и секретный CVV-код клиента. При этом, замена сим-карты представляет собой выдачу новой сим-карты и дополнительная информация не переносится одновременно с выдачей дубликата сим-карты. При выдаче новой сим-карты номер телефона, баланс и все подключенные услуги остаются для абонента неизменными, но все абонентские данные, хранившиеся на сим-карте, не подлежат восстановлению. Данное обстоятельство свидетельствует об отсутствии причинно-следственной связи между действиями оператора по замене SIM-карты и последующим списанием денежных средств со счетов гражданина Б. При таких обстоятельствах, банком не представлено доказательств противоправности поведения оператора сотовой связи, сопряженного с причинением вреда в заявленном размере. В связи с чем, исковые требования банка к оператору сотовой связи не могут быть удовлетворены Постановление Двенадцатого арбитражного апелляционного суда от 13.09.2016 N 12АП-8863/2016 по делу N А12-9847/2016.
К сожалению, количество споров, когда со счетов клиентов списываются деньги после того, как оператор сотовой связи выдает дубликат сим-карты неустановленному лицу, растет в геометрической прогрессии (Постановление Президиума Санкт-Петербургского городского суда от 15.02.2017 N 44г-32/2017 по делу N 2-263/2016; Определение Московского городского суда от 26.01.2017 N 4г-328/2017; Апелляционное определение Красноярского краевого суда от 29.06.2016 N 33-7144/2016; Апелляционное определение Самарского областного суда от 04.02.2016 по делу N 33-278/2016; Апелляционное определение Кемеровского областного суда от 22.01.2015 по делу N 33-13315; Апелляционное определение Волгоградского областного суда от 07.05.2014 по делу N 33-4548/2014). Единообразная судебная практика по данной категории дел отсутствует. Суды с переменным успехом признают в качестве надлежащего ответчика то банк, то оператора сотовой связи или вообще отказывают клиенту.
В связи с чем, можно говорить о появлении нового вида мошенничества со стороны лиц, которые с легкостью получают дубликаты сим-карт и реализуют корыстный умысел. По всей видимости, банковское сообщество пока ни юридически, ни фактически не готово противостоять злоумышленникам, ровно, как и не может обеспечить надлежащую защиту прав клиентов.