Правомерность использования банками РФ СМС и push-уведомлений для взаимодействия с клиентами

[BOOX]

Данный отчет содержит анализ правомерности использования банками Российской Федерации СМС и push-уведомлений для взаимодействия с клиентами. В ходе исследования использовались документы:

• Определения и решения судов:
  • Определение Верховного Суда РФ от 24.04.2018 № 5-КГ18-41;
  • Апелляционное определение Санкт-Петербургского городского суда от 18.08.2016 № 33-13456/2016 по делу № 2-360/2016;
  • Апелляционное определение Хабаровского краевого суда от 12.01.2018 по делу № 33-31/2018;
  • Апелляционное определение Новосибирского областного суда от 12.02.2015 по делу № 33-864-2015;
  • Апелляционное определение Саратовского областного суда от 08.04.2014 по делу № 33-2061;
  • Апелляционное определение Хабаровского краевого суда от 29.05.2015 по делу № 33-3348/2015;
  • Апелляционное определение Санкт-Петербургского городского суда от 28.04.2016 № 33-7902/2016 по делу № 2-6233/2015;
  • Апелляционное определение Санкт-Петербургского городского суда от 11.06.2015 № 33-8603/2015 по делу № 2-622/2015;
  • Определение Московского городского суда от 29.01.2018 № 4Г-166/2018;
  • Апелляционное определение Санкт-Петербургского городского суда от 22.11.2016 № 33-23533/2016 по делу № 2-1403/2016;
  • Постановление Суда по интеллектуальным правам от 27.02.2018 № С01-1092/2017 по делу № А40-239086/2016.
• Apple Developer Program License Agreement.
• 3GPP TS 23.040 Technical Realization of the Short Message Service (SMS).
• Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей».
• Федеральный закон № 63 от 06.04.2011 «Об электронной подписи».
• Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
• Указание Банка России от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».
• Письмо Банка России от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности».
• Письмо Банка России от 05.08.2013 № 146-Т «О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети «Интернет».

Отчет был подготовлен аналитиками Центра судебных экспертиз компании RTM Group. RTM Group – группа экспертных и юридических компаний, специализирующихся на правовых и технических вопросах в области информационных технологий и информационной безопасности. Первый на российском рынке исполнитель судебных нормативно-технических ИТ и ИБ экспертиз.

Методика

В целях подготовки настоящего отчета проанализированы опубликованные данные судов общей юрисдикции, арбитражных судов РФ и Верховного суда РФ (далее – ВС РФ).

Построены правовые конструкции применения СМС и push-уведомлений с учетом позиций российских судов. Также для формирования правовых конструкций использован опыт проведения компьютерно-технических и нормативно-технических экспертиз подразделения RTM Group – RTM TECHNOLOGIES. Одной из задач проведения экспертиз является подготовка технического описания и схем функционирования систем дистанционного банковского обслуживания, использующих СМС и push-уведомления.

Цель исследования

Провести анализ правомерности использования банками Российской Федерации СМС и push-уведомлений для взаимодействия с клиентами.

Описать необходимые и достаточные условия использования банками Российской Федерации СМС и push-уведомлений.

Часть по СМС

Для анализа правомерности использования банками Российской Федерации СМС необходимо дать пояснения относительно функционирования системы, которая используется банками для взаимодействия с клиентами.

В рамках настоящего исследования будут рассмотрены два самых распространенных варианта применения банками СМС-сообщений:

1. использование СМС в качестве одного из каналов передачи клиенту кодов подтверждения операций;
2. отправка СМС клиентом в адрес банка в качестве подтверждения воли клиента совершить какую-либо операцию по счету (перевод денежных средств через СМС).

Одним из принципов функционирования дистанционного банковского обслуживания является знание или обладание клиентом закрытого ключа/кода. В качестве закрытого ключа/кода (хранилища ключа/кода) может использоваться номер телефона (SIM-карта), само устройство (телефон/смартфон, далее – мобильное устройство), флэш-карты, токены, PIN-код и пр. Обладание закрытым ключом или кодом позволяет получить доступ к системе дистанционного банковского обслуживания для совершения определенных операций, включая операции перевода денежных средств.

Теперь необходимо дать пояснения по существующей законодательной базе.

Согласно статье 160 ГК РФ одним из аналогов собственноручной подписи является электронная подпись.

Федеральный закон № 63 от 06.04.2011 «Об электронной подписи» (далее – 63-ФЗ) в статье 2 вводит понятие электронной подписи:

Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

В статье 5 63-ФЗ определены виды электронных подписей:

• Простая электронная подпись.
• Усиленная электронная подпись:
  • усиленная неквалифицированная электронная подпись;
  • усиленная квалифицированная электронная подпись.

В отличие от простой электронной подписи, усиленная электронная подпись:

1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2. позволяет определить лицо, подписавшее электронный документ;
3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4. создается с использованием средств электронной подписи.

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 63-ФЗ.

Согласно статье 9, электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий:

1. простая электронная подпись содержится в самом электронном документе;
2. ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

При этом на использование простой электронной подписи накладывается ряд ограничений в части возможности ее применения. Взаимодействие между банком и клиентом – физическим лицом с использованием простой электронной подписи допускается.

Вариант 1: Использование СМС в качестве одного из каналов передачи клиенту кодов подтверждения операций

Важным обстоятельством в гражданском процессе для установления ответственности банка за хищение средств клиента является установление факта безопасной передачи одноразового кода. Поскольку ответственным за перевод денежных средств клиента без его воли является банк, то именно на банке лежит обязанность по обеспечению безопасности транзакций и избранию максимально безопасного способа выявления действительной воли клиента на перевод денежных средств.

В случае незаконного списания денежных средств со счета клиента банк признается невиновным, если при той степени заботливости и осмотрительности, какая от него требовалась по характеру обязательства и условиям оборота, он принял все меры для надлежащего исполнения обязательства (Определение Верховного Суда РФ от 24.04.2018 № 5-КГ18-41).

Банк обязан доказать, что принял все меры для надлежащего исполнения обязательства при той степени заботливости и осмотрительности, какая от него требовалось по характеру обязательства и условиям оборота.

Вариант 2: Отправка СМС клиентом в адрес банка в качестве подтверждения воли клиента совершить какую-либо операцию по счету

Согласно технической спецификации 3GPP TS 23.040 Technical Realization of the Short Message Service (SMS), представляющей собой подробное техническое описание работы СМС-сообщений в сетях мобильной связи, помимо самого текста сообщения при отправке СМС-сообщения передается также техническая информация, в том числе информация о номере телефона отправителя. Номер телефона привязывается к SIM-карте оператором мобильной связи. Одновременно в сети мобильной связи не может работать две SIM-карты с одинаковым номером. Оборудование оператора мобильной связи самостоятельно определяет последнюю активную SIM-карту с присвоенным номером.

Схематично взаимодействие между банком и клиентом при использовании СМС-сообщений можно представить следующим образом:

Таким образом, оборудование на стороне банка получает не только текст сообщения, но и техническую информацию, включая номер телефона абонента.

В случае возникновения спора между клиентом и банком, а также в случае назначения по делу судебной экспертизы необходимо установить механизм идентификации клиента при отправке клиенту и при получении от клиента кодов подтверждения операции.

Как будет описано ниже, банку будет необходимо доказать, что он принял все разумные меры, которые принял бы любой осмотрительный профессиональный участник для выявления воли клиента. И получение одноразового кода может рассматриваться одной из таких мер.

Если в судебном заседании будет установлено, что СМС-информирование является безопасным и используемым другими участниками оборота способом подтверждения воли клиента на совершение транзакции, а также то, что банк с разумной степенью достоверности убедился, что обмен данными по СМС имел место именно с клиентом, то суд откажет клиенту в иске.

Между тем, как видно из настоящего исследования, обмен конфиденциальной информацией между банком и клиентом с помощью СМС проходит по открытым каналам связи, т. е. в незашифрованном виде, что нельзя назвать безопасным. И данное обстоятельство может быть доказано суду.

Нормативное регулирование и судебная практика

Обмен данными с клиентом по альтернативному каналу связи (не система интернет-банкинга) находит отражение в документах ЦБ РФ. Например, в Указаниях Банка России от 09.06.2012 № 2831-У и Положении № 382-П.

Важно отметить, что в Положении № 382-П речь не идет об СМС. Речь идет о том, что банк может использовать альтернативный канал связи для передачи клиенту одноразового кода. Сам формат передачи не уточняется.

В п. 4.2.9. Письма от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» Банк России рекомендует банкам «организовать оперативное информирование клиентов – пользователей систем ДБО кредитной организации через каналы связи, отличные от используемых для ДБО (SMS-информирование, электронная почта и тому подобное), о поступлении от этих клиентов в кредитную организацию распоряжений о переводе денежных средств через системы ДБО и получение подтверждений клиентов о подлинности таких распоряжений». Другими словами ЦБ РФ рекомендует использовать СМС в качестве канала уведомления клиента о совершении операции, но никак не о передаче таким образом кодов подтверждения операций. Говорится лишь о необходимости получения подтверждений клиентов о подлинности распоряжений. Аналогичные рекомендации есть во многих других документах ЦБ РФ.

Согласно п. 6 Письма Банка России от 05.08.2013 № 146-Т операторам по переводу денежных средств рекомендуется при предоставлении клиентам розничных платежных услуг с использованием сети Интернет использовать в том числе подтверждение операций с помощью одноразовых паролей (кодов подтверждения), при этом пароли (коды подтверждения) должны доводиться до клиента в совокупности с информацией о совершаемой операции (например, сумма операции, получатель и пр.) и доставляться до клиента по альтернативному каналу связи, например через СМС-сообщения.

Таким образом, при информировании об отдельных распоряжениях о переводе денежных средств с помощью СМС и получении подтверждения такого перевода Банки действуют в соответствии с рекомендациями Банка России. При этом ЦБ РФ не дает прямые рекомендации банкам использовать СМС в качестве канала для передачи одноразовых кодов подтверждения операций по переводу денежных средств за исключением розничных платежных услуг (платежи, не включенные в определение платежей на крупные суммы). К таким платежам относятся подавляющее количество платежей.

Важно отметить, что в ходе настоящего исследования не удалось найти иных рекомендаций Банка России (кроме Письма 146-Т) использовать СМС-сообщения для передачи одноразовых кодов.

Итого, нужно разделять:

• СМС-сообщения об уже совершенных операциях;
• СМС-сообщения, которые содержат коды для подтверждения операций по счету.

Судебная практика в части СМС-информирования сформирована, однако при условии отправки в СМС кодов подтверждения операций позиции судов расходятся.

В последние годы суды регулярно вставали на сторону клиента – физического лица (решение Фрунзенского районного суда Санкт-Петербурга от 17.02.2016 № 2-360/2016). Свою позицию суды мотивируют тем, что направление СМС-уведомления с кодом подтверждения операций не обеспечивало защиту от совершения мошеннических действий по снятию денег с банковского счета. При этом суды вышестоящих инстанций могли отменить такое решение, сославшись на условия договора и идентификацию клиента в соответствии с правилами (Апелляционное определение Санкт-Петербургского городского суда от 18.08.2016 № 33-13456/2016 по делу № 2-360/2016).

В большинстве случаев суды соглашаются, что направление СМС подтверждает добросовестность банка и отсутствие его вины в незаконном списании средств со счета клиента (Апелляционное определение Хабаровского краевого суда от 12.01.2018 по делу № 33-31/2018, Апелляционное определение Новосибирского областного суда от 12.02.2015 по делу № 33-864-2015).

Напротив, установив, что СМС-информирование не производилось, суды удовлетворяют требования о взыскании с банка убытков (Апелляционное определение Хабаровского краевого суда от 29.05.2015 по делу № 33-3348/2015).

При этом необходимо отметить, что существует судебная практика, где суды взыскивают с банка убытки даже в случае наличия СМС-информирования (Апелляционное определение Санкт-Петербургского городского суда от 28.04.2016 № 33-7902/2016 по делу № 2-6233/2015, Апелляционное определение Санкт-Петербургского городского суда от 11.06.2015 № 33-8603/2015 по делу № 2-622/2015).

Логика судов в этих делах заключается не в том, что СМС-информирование небезопасно, а в том, что сам клиент ничего не нарушал. Поскольку это были потребительские споры, то суды указали, что на клиента риски возлагаются только в случае его вины (Закон РФ «О защите прав потребителей»), причем бремя доказывания в этом случае возлагается на банк как профессионального участника рынка (Постановление Пленума Верховного Суда РФ от 28.06.2012 года № 17 «О рассмотрении судами гражданских дел по спорам о защите прав потребителей»).

Важно отметить, что в рассматриваемых делах у судов не было доказательств, что СМС-сообщение отправляется по открытым каналам связи и в открытом виде, равно как и не было установлено, что хищение произошло по причине перехвата сообщения злоумышленниками.

Таким образом, при существующем регулировании, а также с учетом судебной практики:

• использование СМС как средства уведомления клиента об уже совершенных операциях является для банков важным и безопасным элементом работы систем дистанционного банковского обслуживания;
• использование для передачи одноразовых кодов подтверждения операций СМС-сообщений порождает финансовые и правовые риски для банков.

В случае появления судебных дел, в которых будет доказан факт перехвата СМС злоумышленником, при привлечении эксперта, который в качестве специалиста или через судебную экспертизу опишет механизм передачи СМС, подтвердив тем самым позицию клиента о небезопасности передачи одноразовых кодов в СМС-сообщениях, судебная практика может скорректироваться в пользу клиентов.

Дополнительно важно отметить, что ранее сформировавшаяся судебная практика о безоговорочном отказе в удовлетворении требований клиентов (в том числе потребителей) к банкам о взыскании средств незаконно списанных с их счета при наличии направленного банком клиенту одноразового кода подтверждения в настоящее уже меняется (Определение Верховного Суда РФ от 24.04.2018 № 5-КГ18-41).
С учетом приведенной позиции Верховного суда, высказанной в том числе в указанном Определении, об обязанности профессионального участника рынка доказывать максимальную степень разумности своего поведения при выявлении действительной воли клиента на совершение транзакции, мы полагаем, что банкам будет сложнее настаивать, что они не знали и не могли знать об уязвимости передачи одноразовых кодов через СМС. А в случае осведомленности банка о небезопасности передачи одноразового кода с помощью СМС он не сможет настаивать на том, что принял все разумные меры для обеспечения безопасности транзакции.

 

[BOOX]

Часть по PUSH

В данном разделе будут рассмотрены варианты использования клиентом банка операционных систем Android и iOS как наиболее популярных на рынке операционных систем для мобильных устройств.

Для отправки push-уведомлений в операционной системе iOS используется Apple Push Notification Service (далее – APNs).

Реализованное через APNs push-уведомление может выполнять три действия:

• Показать короткое текстовое сообщение.
• Воспроизвести короткий звуковой сигнал.
• Установить число на бейдже иконки приложения.

Возможны комбинации данных действий.

Схема работы механизма push-уведомлений следующая:

1. После установки приложения пользователь должен подтвердить принятие push-уведомлений от данного приложения. Таким образом, приложение регистрируется для получения push-уведомлений.
2. iOS запрашивает токен у девайса APNs-сервера (данный сервер принадлежит и поддерживается компанией Apple).
3. APNs-сервер передает токен приложению пользователя.
4. Приложение пользователя связывается с сервером приложения (данный сервер принадлежит и поддерживается разработчиком приложения, в общем случае самому банку).
5. Сервер приложений в случае наступления какого-либо события отправляет push-уведомление на APNs-сервер.
6. Получив push-уведомление от сервера приложений, APNs-сервер пересылает push-уведомление в приложение пользователя.

Общая схема работы APNs представлена на рисунке 2.

Рисунок 2. Общая схема работы APNs

Ключевым элементом всего сервиса является APNs. Именно через него проходят все push-уведомления прежде, чем попадают на устройство пользователя.

Согласно Apple Developer Program License Agreement (Приложение 1, пункт 4):

4. Delivery by the APN or via Local Notifications. You understand and agree that in order to provide the APN and make Your Push Notifications available on iOS Products, Apple Watch, or macOS, Apple may transmit Your Push Notifications across various public networks, in various media, and modify or change Your Push Notifications to comply with the technical and other requirements for connecting to networks or devices. You acknowledge and agree that the APN is not, and is not intended to be, a guaranteed or secure delivery service, and You shall not use or rely upon it as such. Further, as a condition to using the APN or delivering Local Notifications, You agree not to transmit sensitive personal or confidential information belonging to an individual (e. g., a social security number, financial account or transactional information, or any information where the individual may have a reasonable expectation of secure transmission) as part of any such Notification, and You agree to comply with any applicable notice or consent requirements with respect to any collection, transmission, maintenance, processing or use of an end-user's personal information.

Данный документ принимается всеми разработчиками приложений. Таким образом, Apple не только предупреждает о незащищенности канала передачи между APNs-сервером и приложением пользователя, но и берет обязательство с разработчика не передавать через push-уведомления персональную или конфиденциальную информацию, в том числе транзакционную информацию, к которой коды подтверждения операции, безусловно, относятся.

В отличие от ситуации с СМС, обмен данными между банком и клиентом посредством push-уведомлений не урегулирован. Во-первых, ЦБ РФ прямо не говорит о таком способе обмена данными между банком и клиентом. Во-вторых, существует мало судебной практики, где рассматривался вопрос направления банком клиенту информации с помощью push-уведомлений.

Есть несколько судебных актов, где возможность такого способа передачи информации положительно описывается судами (например, Определение Московского городского суда от 29.01.2018 № 4Г-166/2018).

Нами было найдено только одно судебное постановление, где при хищении денег с банковской карты клиента информирование происходило путем отправки push-уведомлений. На это ссылался банк (Апелляционное определение Санкт-Петербургского городского суда от 22.11.2016 № 33-23533/2016 по делу № 2-1403/2016).

В данном случае у суда не вызвала сомнения допустимость такого способа доведения до клиента информации о транзакциях.

Однако ни в одном из проанализированных нами судебных актов не давалась оценка безопасности такого рода обмена данными. И ни в одном из описанных случаев уязвимость информации, передаваемой с помощью push-уведомлений, не использовалась для хищения.

В рамках настоящего исследования был проведен анализ актуальной на дату проведения исследования редакции Apple Developer Program License Agreement (далее – соглашение Apple). Данный документ содержит в себе требования к разработчикам программных продуктов для платформы Apple.

В пункте 4 соглашения Apple имеется прямое указание на недопустимость передачи конфиденциальной информации с помощью push-уведомлений. Данное положение должно восприниматься минимум как указание разработчикам ПО на небезопасность передачи в push-уведомлениях какой-либо чувствительной для пользователя информации.

Теперь нужно определить лиц, которые вправе заявлять о нарушении банками соглашения Apple.

Согласно ч. 2 ст. 1250 ГК РФ, «предусмотренные настоящим Кодексом способы защиты интеллектуальных прав могут применяться по требованию правообладателей, организаций по управлению правами на коллективной основе, а также иных лиц в случаях, установленных законом».

Наличие права лица на обращение в защиту интеллектуального права проверяется как судами, так и органами власти (Заключение Палаты по патентным спорам от 13.11.2010, Приложение к решению Роспатента от 14.01.2011 по заявке N 2008723214/50; Постановление Суда по интеллектуальным правам от 27.02.2018 № С01-1092/2017 по делу № А40-239086/2016).

Таким образом, правом заявлять об указанном нарушении именно как о нарушении интеллектуального права может либо его обладатель (корпорация Apple), либо лицо, прямо названное в законе.

С другой стороны, банки, использующие push-уведомления для передачи конфиденциальной информации клиенту, игнорируют прямое требование правообладателя ПО не делать этого. Как минимум они игнорируют предупреждение разработчика о небезопасности такого обмена данными.

По нашему мнению, это нарушает право клиентов таких банков, использующих для интернет-банкинга устройства Apple, и клиенты могут требовать от банка принятия разумных мер по обеспечению безопасности транзакций. Ведь умышленное игнорирование банком требований безопасности транзакций не может быть признано надлежащим исполнением своих обязательств перед клиентом.

Клиенты таких банков имеют все основания обращаться с жалобой как в саму кредитную организацию, так и к регулятору.

Если средства клиентов будут похищены именно путем получения злоумышленниками доступа к информации, содержащейся в push-уведомлениях, можно будет говорить о вине банка, который умышленно игнорирует как требования обладателя интеллектуального права, так и соответствующее заявление клиента.

В случае появления судебного разбирательства, где причиной, сделавшей хищение возможным, стала именно небезопасность обмена данными с помощью push-уведомления и это обстоятельство будет доказано путем проведения судебной экспертизы, у суда не будет оснований не поддержать иск клиента. В таком деле для клиента будет важно установить прямую связь между отправкой ему push-уведомления и хищением. Помимо установления данного факта, клиенту необходимо продемонстрировать суду, что устройство, которое им было использовано, было технически исправно, отсутствовал jailbreak, что iOS был обновлен, что устройство с установленным ПО для дистанционного банкинга им не терялось, равно как и банковская карта и т. д.

Суду будет необходимо установить, что единственной причиной хищения стала уязвимость такого способа информирования клиента, как push-уведомления. В противном случае будет сложно доказать причинно-следственную связь между уязвимостью передачи данных с помощью push-уведомления и незаконным списанием средств. Причинная связь – это один из элементов необходимых для взыскания с банка убытков, наряду с доказыванием ненадлежащего исполнения им обязательств перед клиентом.

Вероятность удовлетворения такого иска клиента мы оцениваем как высокую.

Применительно к операционной системе Android в ходе настоящего исследования аналогичные требования к разработчикам обнаружены не были.

В свою очередь формирование судебной практики может побудить банковскую систему перейти на более безопасные средства обмена данными с клиентом, чем push-уведомления.

Выводы с учетом опыта RTM GROUP

1. Использование СМС как средства уведомления клиента об уже совершенных операциях является для банков важным и безопасным элементом работы систем дистанционного банковского обслуживания.
2. Использование СМС для передачи одноразовых кодов подтверждения операций порождает финансовые и правовые риски для банков.
3. Судебная практика в части СМС-информирования сформирована, однако при условии отправки в СМС кодов подтверждения операций позиции судов расходятся.
4. Банки, использующие push-уведомления для передачи одноразовых кодов в архитектуре Apple, игнорируют прямое требование компании Apple не совершать данных действий ввиду небезопасности таких уведомлений. Клиенты таких банков имеют все основания обращаться с жалобой как в саму кредитную организацию, так и к регулятору. Если средства клиентов будут похищены именно путем получения злоумышленниками доступа к информации, содержащейся в push-уведомлениях, можно говорить о вине банка, который умышленно игнорирует как требования обладателя интеллектуального права, так и соответствующее заявление клиента.
5. Судебная практика в части push-уведомлений, содержащих одноразовые коды, не сформирована.
6. Судебная практика о безоговорочном отказе в удовлетворении требований клиентов к банкам о взыскании незаконно списанных средств меняется.