Статья из журнала «ГЛАВНАЯ КНИГА» актуальна на 22 февраля 2013 г.
Содержание журнала № 5 за 2013 г.После «взлома» системы «Клиент-Банк»
С кого взыскивать ущерб от хищения денег и можно ли защититься от взлома
Если в вашей компании установлена система «Клиент-Банк», то это, конечно, очень удобно — почти моментальные платежи, не нужно ездить в банк каждый день, мгновенное получение информации о прошедших платежах и т. д. Но у прогресса есть своя цена. Вы наверняка уже наслышаны о попытках взлома этих систем и похищения средств со счетов клиентов банков.
Как это происходит
Вы проводите сеанс платежей через вашу программу и со спокойной душой идете домой. А затем по выписке банка узнаете, что... перечислили внушительную сумму «левой» компании или вовсе неизвестному физлицу.
Причем в банке уверяют, что это был ваш платеж — совершенно добровольный и соответствующий всем правилам банка. Чтобы этого не произошло, нужно принимать хотя бы элементарные меры предосторожности, а еще лучше — целый комплекс мер по защите вашей системы. Ну а как ликвидировать последствия ЧП, которое предотвратить не удалось?
Что делать при ЧП
В случае ЧП — подвисания, перезагрузки компьютера при работе системы «Клиент-Банк», отказа в доступе, удаления программы — рекомендации почти всех банков одинаковы:
- извлеките носитель ключа цифровой подписи и выйдите из сети (отключите интернет-соединение). Затем лучше и вовсе выключить компьютер (обесточить его при зависании). Дело в том, что злоумышленники часто после «удачной охоты» разрушают файловую систему и доказать что-либо вам будет проблематично. Не пытайтесь пока заново загружать компьютер, проверять его на вирусы и тем более «лечить» — не исключено, что банк и/или правоохранительные органы запросят его для технической экспертизы. Кстати, в банк на экспертизу лучше отдавать копию (скопированный «образ») диска вашего компьютера, а не сам компьютер — для безопасности ваших же доказательств;
- сообщите о проблеме в службу поддержки банка. Возможно, это простое зависание компьютера и вам ничего не угрожает. И далее действуйте согласно инструкции банка. Причем телефонный разговор со службой поддержки банка лучше записать — банки и сами пишут все разговоры с клиентами, но записи в случае ЧП иногда «теряются»;
- в любом случае запросите у банка данные о последних отправленных от вашего имени платежах. Некоторые банки предоставляют услугу запроса этой информации по телефону с помощью кодовых слов, так что, возможно, вам и ехать в банк не придется;
- при выявлении не санкционированного вами платежа немедленно подайте в банк заявление о приостановке приема электронных платежек по вашему счету, о возможной компрометации цифровой подписи и опротестовании (отзыве) несанкционированного платежа. В этом же заявлении потребуйте от банка вернуть неправомерно списанные с вашего счета средства, если он уже их списал. Даже если банк позволяет заявлять о таких ЧП по телефону или в электронном виде, такое заявление необходимо продублировать в бумажном виде. Причем требуйте, чтобы сотрудник банка расписался на еще двух экземплярах заявления, один из которых останется у вас, а другой вы затем приложите к заявлению в полицию. Одновременно затребуйте бумажную выписку по счету.
Быстрое обращение в банк приостановит проведение платежа (если он еще не проведен — банк может это делать и на следующий операционный день, если платежка поступила в конце
Некоторые банки позволяют опротестовывать платеж аж в течение 10 дней с момента его совершения. Это еще не гарантирует возврат средств — банк будет пытаться получить их в рамках взаимоотношений с банком получателя. Но если вы, имея столь вольготные условия, до банка так и не доберетесь в этот срок, требовать возмещения ущерба от своего банка будет почти бессмысленн
При хищении средств сразу решите, кто лучше разбирается в ситуации и будет участвовать в работе специально создаваемой банками в таких случаях технической комиссии, если банк пригласит в ее состав и ваших представителей. Ими могут быть, например, ваш системный администратор, руководитель и т. д. Они должны попытаться доказать, что вы предприняли все требуемые банком меры по защите от «взлома» и к хищению средств привели, в частности, действия/бездействие банка.
Если вам срочно нужен доступ к «Клиент-Банку», то систему придется установить на другом компьютере. Плюс потребуется сменить ключ ЭЦП и пароли доступа к программе. Все это может занять примерно неделю.
Если деньги уже «ушли» — кричим «Караул!»
Если банк уже успел списать деньги с вашего счета и они ушли в банк получателя, то практически единственная возможность вернуть ваши деньги — это взыскать их с самого банка. Для этого вам придется:
- подать в полицию заявление, в котором нужно описать произошедшее, и приложить к нему копии уже имеющихся у вас на руках документов (выписка банка, заявление в банк и т. д.). Заявление можно подать в орган полиции (в отдел или сразу в управление внутренних дел) по вашему местонахождению. Шансов найти злоумышленников немного, а владельцем счета наверняка окажется компания-однодневка или не подозревающий об этом граждани
нсм., например, Определение Мосгорсуда от 02.03.2011 № 33-5683. Но для вас важен сам факт регистрации заявления и возбуждения уголовного дела — без этого вам будет сложно списать в бухгалтерском и налоговом учете (касается только «общережимных» налогоплательщиков) на расходы сумму ущерба; - получить от банка акт и подписать его по итогам работы технической комиссии. В этом акте банк, скорее всего, признает отправленное вами платежное поручение подлинным, а себя невиновным в спорной ситуации. А затем может предложить подписать решение (протокол урегулирования разногласий), в котором ваши претензии на возмещение списанных сумм признаются необоснованными. Такое решение подписывать не нужно. Обычно договором с банком предусмотрено, что без таких претензионных, досудебных процедур стороны не вправе обращаться в суд. С экземплярами заявления в банк, актом и выпиской по счету вы уже можете обращаться в суд с иском к банку.
А вот подавать иск к компании или гражданину — получателю средств по спорной платежке о возврате неосновательного обогащения особого смысла нет. Скорее всего, это «промежуточное звено» и никаких денег у него нет. Если полиция установит конечных получателей средств, то в рамках рассмотрения уголовного дела у вас (или у банка, если он возместит вам ущерб) будет возможность заявить иск о возмещении похищенного. А если преступников не найдут, то у вас и так будут основания списать похищенное на расходы.
Еще раз обратим ваше внимание: шансы взыскать деньги с банка есть.
В каких случаях спор с банком имеет смысл
В большинстве случаев банки отказывают в возмещении убытков из-за несанкционированно списанных со счетов компаний средств. Компании заявляют, что убытки возникли по причине ненадлежащего исполнения банками своих обязательст
В итоге если платежка подписана вашей цифровой подписью и вы не соблюдали меры безопасности, то и обращение в суд ничего не даст — таких споров было уже предостаточно и почти во всех случаях суд встал на сторону банк
Возражения банка обычно таковы:
- платежка была подписана вашей ЭЦП и до проведения платежа о компрометации этой ЭЦП вы банку не сообщали. Банк обязан исполнить такую платежку в срок не позднее следующего дня после ее получения (если другой срок не указан в договоре
)п. 4.9 Временного положения, утв. ЦБ 10.02.98 № 17-П; - контролировать круг получателей ваших платежей вы банк не просили. Если вы «решили» перечислить некоему физлицу в другой город месячную зарплату в 2 млн руб., он исполнит платежку и будет пра
вПостановление ФАС МО от 13.11.2012 № А40-18115/12-133-166. Это же касается и «алиментов» директора на 800 тыс. руб. — его личная жизнь банк не интересуетПостановление 9 ААС от 27.07.2011 № 09АП-17167/2011; - если платежка поступила в банк не с вашего компьютера, а вы с банком адреса отправки платежек не оговаривали, то тоже сами виноваты — банк их фильтровать не уполномоче
нПостановления ФАС ЗСО от 22.10.2010 № А45-13807/2009; ФАС МО от 03.08.2011 № КГ-А40/8007-11; 9 ААС от 27.07.2011 № 09АП-17167/2011, от 31.08.2011 № 09АП-20846/2011; - услугу дополнительной авторизации в виде одноразовых SMS-паролей вы не подключали.
И получается, что шансы взыскать ущерб с банка есть только при выполнении его требований по работе с «Клиент-Банком», быстром выявлении хищения и обращении в банк с протесто
- соблюдали все требования банка, в том числе и технические, после сообщения в банк о сбое строго руководствовались инструкциями специалистов банка;
- банк, наоборот, не выполнил свои обязанности по договору (например, не приостановил проведение платежа после сообщения о сбое), то суд вполне может принять вашу сторону. Ну или банк сам признает свою вин
усм., например, Постановление ФАС МО от 17.02.2012 № А40-5666/11-29-45.
Кстати, дополнительные меры защиты не только помогут в споре с банком, но и снизят собственно риск хищения.
Строим из счета «крепость»
Банки обычно прописывают в договоре технические требования и рекомендации по работе с «Клиент-Банком», а дополнительные — так называемые авторизационные — опции предлагают в качестве платной услуги.
ИЗ АВТОРИТЕТНЫХ ИСТОЧНИКОВ
“Помимо уже упомянутых мер по защите системы «Клиент-Банк» (ограничение трафика «компьютер — сеть», выделение его в отдельную подсеть, установка только лицензионных программ, регулярное обновление антивируса, покупка и строгий режим хранения защищенного носителя цифровой подписи), есть еще ряд хороших способов, снижающих риск хищения.
Во-первых, имеет смысл ограничить взаимодействие компьютера с внешней средой — попросите системного администратора отключить на нем все ненужные для работы системы и «Клиент-Банка» настройки, плагины, приложения и оборудование (например, Bluetooth или Wi-Fi, если подключение к Интернету идет не через них). Это позволит уменьшить возможности проникновения на компьютер через ошибки в программах или драйверах оборудования. Беспроводное оборудование в этом случае несколько менее безопасно, чем проводное: злоумышленник может находиться в радиусе действия беспроводной сети (например, Wi-Fi), но за территорией организации, и при плохой защите незаметно получить доступ к сети предприятия и найти в ней для себя много интересного, а также построить атаки, например, на компьютер с «Клиент-Банком» изнутри сети.
Во-вторых, не стоит пренебрегать дополнительными мерами авторизации, предлагаемыми вашим банком. Это не только согласование допустимых адресов, с которых могут приходить ваши платежки, но и SMS-авторизация платежей. Поскольку согласовывать каждый платеж утомительно, некоторые банки предлагают такую дополнительную авторизацию только для подозрительных платежей. Например, платежей свыше определенной суммы или в адрес новых контрагентов, которых банк не нашел в вашей «платежной истории
»”.
Причем после подключения дополнительных авторизационных опций тоже нужно проявлять осторожность. Например, при подключении услуги подтверждения операций одноразовым SMS-паролем банки рекомендуют:
- каждый раз контролировать реквизиты платежки в сообщении — а вдруг она была «скорректирована» перед отправкой в банк;
- выделить для сообщений отдельный мобильный телефон, с которого другими сервисами не пользоваться;
- при утрате телефона или ошибке в подключении SIM-карты немедленно заблокировать номер, заменить карту и обратиться за переподключением услуги в банк.
Ну и наконец, после отправки платежек всегда нужно дожидаться получения электронной выписки банка и тщательно ее проверять. При проблемах с формированием выписки банка стоит начать нервничать.
И еще напомним о двух требованиях банков, о которых часто забывают.
Во-первых, не забудьте определить приказом по организации круг сотрудников, допущенных к компьютеру с «Клиент-Банком», и установите режим хранения и использования носителя ЭЦП.
А во-вторых, еще раз внимательно перечитайте договор с банком — иногда банки прямо прописывают в нем обязанность держать такие компьютеры в охраняемом, опечатываемом (!) помещении с доступом только строго оговоренным сотрудникам. Если это ваш случай, а требование банка вы не выполнили, наверняка последует отказ в возмещении убытков, в том числе и в суд
«Утешительный» расход
Если спор с банком завершился безрезультатно, а виновных лиц полиция так и не нашла, то вам остается лишь списать сумму ущерба:
- на прочие расходы в бухгалтерском учете. Списанную с расчетного счета сумму, которая была учтена у вас на счете 76 (удобнее открыть специальный субсчет «Невыясненные платежи»), вы относите в дебет счета 91 «Прочие доходы и расходы»;
- на внереализационные расходы в налоговом учете.
Причем списать ущерб в налоговом учете на расходы вы сможете только в периоде принятия постановления о приостановлении предварительного следствия в связи с неустановлением лица, подлежащего привлечению в качестве обвиняемого, — требуйте заверенную следователем или дознавателем копию этого документ
Возможен и другой вариант. В полицию вы не обращались и пытались взыскать перечисленные средства в виде неосновательного обогащения с их получателя. И суд даже принял решение в вашу пользу, только вот попытки приставов найти получателя денег окончились ничем и в итоге вам вернули исполнительный документ. Тогда вы можете попробовать учесть невозвращенную сумму как безнадежный дол
Ну а если вы вообще ничего не делали для возврата денег, то оснований учитывать в расходах перечисленные «неизвестному контрагенту» суммы точно нет, даже после истечения срока давности.
***
Случаи несанкционированного списания средств со счетов компаний стали настолько типичными, что банки, возможно, уже скоро начнут продвигать услугу по страхованию от такого рода хищений. Для граждан — держателей банковских карт такие страховки уже давно существуют. Им они обходятся в