رای شماره 627 مورخ 1401/09/09 هیات تخصصی مالیاتی ، بانکی...

شماره پــرونـــده : هـ ع/ 9902862 شماره دادنامه: 140109970906000627 تاریخ: 09/09/1401

* شـاکــی : آقای محمد صادق سعادت

* طرف شکایت : بانک مرکزی جمهوری اسلامی ایران- معاونت حقوقی قوه قضاییه – دادستانی کل کشور

* مـوضـوع شـکـایت و خـواستـه : ابطال بخشنامه‌های 1- شماره 186717/97 مورخ 1397/06/01 2- شماره 51691/98 مورخ 1398/02/21 3- شماره 163575/98 مورخ 1398/05/14 بانک مرکزی از زمان ابلاغ 4- بخشنامه شماره 140/1398/21118/9000 دادستان کل کشور در خصوصی استفاده از رمزهای پویا در تراکنش‌های غیرحضوری

* شاکی دادخواستی به طرفیت بانک مرکزی جمهوری اسلامی ایران- معاونت حقوقی قوه قضاییه – دادستانی کل کشور به خواسته فوق‌الذکر به دیوان عدالت اداری تقدیم کرده که به هیات عمومی ارجاع شده است متن مقرره مورد شکایت به قرار زیر می‌باشد :

1- بخشنامه شماره 186717/97 مورخ 1397/06/01

با افزایش بهره گیری مشتریان بانکی از خدمات بانکداری و پرداخت الکترونیکی، میزان جرایم مرتبط با سواستفاده از اطلاعات محرمانه مشتریان علی‌الخصوص رمزهای کارت‌های بانکی نیز افزایش یافته است و این امر نشان میدهد که راهکارهای پیشین تولید و استفاده از اطلا عا ت محرمانه، توان مقابله با حملات گسترده امروزی را ندارند. لذا به منظور صیانت از حقوق مشتریان بانکی و کاهش مخاطرات مرتبط با رمزهای کارت‌های بانکی-بخصوص رمز دوم کارت‌های بانکی که در تراکنش‌های بدون حضور کارت به کار گرفته می‌شوند-شرایط و ضوابط مرتبط با پویاسازی رمزهای کارت در قالب سندی با عنوان «الزامات رمزهای پویا در تراکنش‌های مبتنی بر کارت » تبیین شده است. به این ترتیب با اجرایی شدن این الزامات، مخاطرات مرتبط با رمزهای ایستای کارت‌های بانکی تا حد زیادی کاهش پیدا خواهد کرد و تلاش مجرمان و سو استفاده کنندگان در سرقت و به کاربردن رمزهای ایستای کارت‌های بانکی با شکست مواجه خواهد شد.

سند «الزامات رمزهای پویا در تراکنش‌های مبتنی بر کارت» به شناسه 14-300 BIS RG با همکاری «کاشف» تهیه شده و هدف از آن ارایه الزاماتی به منظور حصول اطمینان موسسات اعتباری صادر کننده کارت‌های بانکی، از کاهش مخاطرات و ایستا بودن رمزهای کارت‌های بانکی است. الزامات ارایه شده شامل: مشخصات رمزهای پویا، نحوه ثبتنام برای استفاده از رمزهای پویا، نکات مهم در تولید رمز پویا، انتقال اطلاعات حساس، ابزارهای ارایه رمزهای پویا و وظایف موسسات اعتباری به عنوان ارایه دهنده خدمات رمزهای پویا است.

مقتضی است دستور فرمایید ضمن ابلاغ مراتب به واحدهای ذیربط با قید فوریت، تمهیدات لازم برای اجرای «الزامات رمزهای پویا در تراکنش‌های مبتنی بر کارت» در آن بانک/موسسه اعتباری مطابق با برنامه زمانبندی ذیل، فراهم شده و علاوه بر نظارت دقیق بر حسن اجرای آن، نتیجه اقدامات صورت گرفته به این بانک منعکس گردد.

توجه: مطابق مواد 55 و 57 از«الزامات رمزهای پویا در تراکنش‌های مبتنی بر کارت» ضروری است بانک ها و موسسات اعتباری پیش از عملیاتی نمودن خدمت رمزهای پویا، اسناد مرتبط با ارزیابی امنیتی و پذیرش با مخاطرات باقی مانده در محدوده خدمت مورد اشاره را برای اداره نظام‌های پرداخت این بانک ارسال نمایند .

2- بخشنامه شماره 51691/98 مورخ 1398/02/21

پیرو بخشنامه شماره 186717/97 مورخ 1397/06/01 این بانک در خصوص جایگزینی رمزهای پویا به جای رمزهای ایستا در پرداخت‌های بدون حضور کارت و با توجه به لزوم ارتقای سطح امنیت پرداخت‌های مردم و جلوگیری از تضییع حقوق سپرده‌گذاران و با توجه به نظرات دریافتی از کاربران و بانک ها در خصوص نحوه انجام کار، موارد زیر جهت توجه دقیق و اجرای مفاد آن ابلاغ میگردد:

1-از ابتدای خردادماه تامین امنیت مشتریان نظام بانکی در تراکنش‌های بدون حضور کارت برعهده بانک ها بوده و هرگونه مسیولیت سو استفاده از حساب‌های مشتریان به دلیل آسیب پذیری‌های امنیتی در سرویس‌های بانکی مستقیما عهده بانک بوده و در این موارد تایید مرجع قضایی برای جبران خسارت مشتریان کفایت میکند.

2- جایگزینی رمزهای دوم پویا به جای رمزهای دوم ایستا به عنوان یکی از برنامه‌های ارتقای سطح امنیتی نظام بانکی مطرح بوده و با توجه به اینکه امنیت بخش لاینفک هر خدمتی است، نباید هیچ هزینه‌ای از دارندگان کارت و مشتریان بانکی اخذ شود.

3- بانک ها میتوانند با قبول مسیولیت هرگونه سو استفاده از مسایل امنیتی و جبران خسارت احتمالی وارد شده به مشتریان، برای تراکنش‌های کم مقدار (با سقف کمتر از پنج میلیون ریال در روز برای تمام تراکنش‌ها) و همچنین تراکنش‌هایی که ذینفع آن دستگاه‌های عمومی-نظیر صادرکنندگان قبض-باشند، استفاده از رمزهای ایستا را مجاز تلقی نمایند .

4-در صورتی که بانک بتواند راه حل مطمین دیگری را، که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی نماید، میتواند از این راه کار به عنوان جایگزین رمز پویا استفاده به عمل آورد .

5- هرگونه فرآیند تامین امنیت پرداخت‌های بدون حضور کارت باید با انجام هزینه‌های منطقی و معقول و مطابق با قیمت تمامشده فنی در آن بانک به صورت یک زیرساخت دایمی صورت گرفته و صرفه و صلاح بانک به طور کامل در آن مدنظر قرار گیرد .

6-به منظور پشتیبانی حداکثری از مشتریان ضرورت دارد امکانات ارایه رمز محدود به استفاده از برنامه‌های کاربردی گوشی‌های هوشمند نشده و ارایه آن از طریق سایر ابزارهای نظیر پیامک، پیام رسان های داخلی مجاز و نظایر آن برای مشتریان بانک ها نیز حسب تشخیص بانک فعال گردد .

3- بخشنامه شماره 163575/98 مورخ 1398/05/14 بانک مرکزی

بر اساس بخشنامه‌های شماره 186717/97 مورخ 1397/06/01 و همچنین بند 1 از بخشنامه شماره 51691/98 مورخ 1398/02/21 از ابتدای خرداد ماه 1398 هرگونه مسیولیت سو استفاده از حساب‌های مشتریان بدلیل آسیب پذیری‌های امنیتی خدمات بانکی، مستقیما بر عهده بانک ها و موسسات اعتباری ارایه دهنده این خدمات بوده و در این موارد تایید مرجع قضایی برای جبران خسارت مشتریان کفایت می‌نماید.

بر این اساس و با عنایت به اینکه عدم پویاسازی رمز دوم کارت‌های بانکی از مصادیق آسیب پذیری امنیتی خدمات غیرحضوری مبتنی بر کارت محسوب می‌شود، لذا به موجب توافقات حاصل شده با معاونت محترم فضای مجازی دادستانی کشور کشور، مقرر گردید به منظور تسهیل و تسریع پرداخت خسارت مستقیم (معادل مبلغ مورد جرم) ناشی از عدم اجرای بخشنامه‌های صدرالاشاره به مالباختگان، مراجع قضایی پس از انجام بررسی‌های لازم دستورات مقتضی در این خصوص را از طریق سامانه تعاملی کاشف به بانک ها و موسسات اعتباری مرتبط ابلاغ نموده و این موسسات نیز مکلفند در حداقل زمان ممکن بدون قید و شرط نسبت به اجرای دستورات ابلاغ شده اقدام نموده و نتایج حاصله را از طریق سامانه مورد اشاره منعکس نمایند.

اداره نظام‌های پرداخت- داود محمد بیگی- اعظم السادات آقایی پور

بخشنامه شماره 140/1398/21118/9000 دادستان کل کشور

با توجه به اینکه بموجب بخشنامه شماره 186717/97 مورخ 1397/06/01 و بندهای 1 و 3 بخشنامه شماره 51691/98 مورخ 1398/02/21 و شماره 163575/98 مورخ 1398/05/14 بانک مرکزی ارایه خدمات غیرحضوری (نظیر تراکنش‌های بانکی اینترنتی) در بانک ها ضرورتا مستلزم استفاده از رمزهای پویا بوده و از تاریخ 1398/03/01 و هرگونه استفاده از رمزهای دوم ایستا در تراکنش‌های غیرحضوری ممنوع اعلام و ادامه بکارگیری رمز دوم ایستا از مصادیق آسیب پذیری امنیتی خدمات بانکی محسوب شده و بعنوان ضمانت اجرا مقرر داشته است که «هرگونه سو استفاده از حساب‌های مشتریان بدلیل آسیب پذیری امنیتی [ناشی از عدم اجرای الزامات رمزهای پویا] در سرویس‌های بانکی مستقیما به عهده بانک بوده و در این موارد تایید مرجع قضایی [دادسرا]، برای جبران خسارت مشتریان کفایت می‌کند.» لذا مقتضی است در پرونده‌های کلاهبرداری رایانه‌ای (برداشت غیرمجاز از حساب‌های بانکی) که پس از الزامی شدن استفاده از رمزهای پویا تشکیل شده است بررسی‌های لازم انجام شود و در صورت احراز انجام تراکنش مجرمانه با رمز دوم ایستا بلحاظ عدم رعایت بخشنامه بانک مرکزی و عدم رفع آسیب پذیری امنیتی، در قالب فرم پیوست دستور پرداخت خسارت بزه دیده صادر، و از طریق سامانه کاشف به بانک متخلف ابلاغ گردد.

*دلایل شاکی برای ابطال مقرره مورد شکایت :

مصوبات مورد شکایت برخلاف مفاد قوانین و مقررات و برخلاف شرع انور می‌باشد و در بخشنامه‌های یاد شده مورد شکایت، مسیولیت جبران خسارت در تراکنش‌های بدون حضور کارت را برمبنای توافقات حاصل شده با معاونت محترم فضای مجازی دادستانی کل کشور، بر بانک ها تحمیل نموده است و بخشنامه صرف اعلام مرجع قضایی مبنی بر تحمیل خسارت در مرحله تحقیقات و بدون محکومیت قطعی در مرحله محاکم را مستوجب مسیولیت برای جبران خسارت داشته است.

و پیرو بخشنامه‌های بانک مرکزی دادستان کل کشور، اقدام به صدور بخشنامه شماره 90005/21818/1398/140 مورخ 1398/06/03 در خصوص جبران خسارت در پرونده‌های کلاهبرداری رایانه‌ای (برداشت غیرمجاز) توسط بانک ها را به دادستان‌های سراسر کشور ابلاغ نموده است که:

1- بانک مرکزی برخلاف صلاحیت و خارج از حدود اختیار قانونی خویش در ماده 20 قانون عملیات بانکی بدون ربا و ماده 31 قانون پولی و بانکی و مواد 11 و 12 و 13 و 14 قانون پولی و بانکی کشور و ماده 14 قانون برنامه ششم توسعه کشور، عدم اجرایی نمودن رمز پویا را جرم انگاری و بانک ها را بدون رسیدگی در محکم مکلف به جبرات خسارت نموده است.

2- دادستانی کل کشور خارج از حدود اختیارات و وظایف خویش و برخلاف مواد 11 و 12 قانون مجازات اسلامی مصوب 1392 و با اضافه نمودن واژه "و دادسرا" به متن بخشنامه ابلاغی بانک مرکزی، دادستان‌های کل کشور را مکلف به مجازات بانک ها نموده است که این بخشنامه دادستان کل کشور برخلاف مواد 22 و 23 و 24 و 25 و 26 و 27 قانون آیین دادرسی کیفری می‌باشد (برخلاف حدود صلاحیت دادسراها)

3- بخشنامه‌های صادره برخلاف اصول مسلم قانون اساسی از جمله اصول 22 – 36- 37- 40- 49- 138- 169- 170 قانون اساسی بوده و موجب تعرض به اموال بانک و در نتیجه حقوق سهامداران شده اند و برخلاف اصل برایت می‌باشند.

4- بخشنامه‌های مورد شکایت برخلاف قاعده شرعی «من اتلف مال الغیر فهو له ضامن» و «لاضرر و لاضرار فی الاسلام» می‌باشند.

تقاضای رسیدگی و ابطال بخشنامه‌های مورد شکایت که مقررات یاد شده و نیز ماده 1 قانون مسیولیت مدنی در صدور آن‌ها رعایت نشده است دارم.

* در پاسخ به شکایت مذکور ، اداره دعاوی حقوقی بانک مرکزی به موجب لایحه شماره 24/1340/00 مورخ 1400/05/11 به طور خلاصه توضیح داده است که :

الف- کلیه بخشنامه‌های مورد شکایت به موجب بند 13 شناسه الزامات «رمزهای پویا در تراکنش‌های مبتنی بر کارت» منضم به بخشنامه شماره 273205/98 مورخ 1398/08/13 منسوخ شده ارز و در حال حاضر سند و بخشنامه اخیرالذکر ملاک عمل می‌باشد لیکن چون در ماده 59 این سند به بخشنامه‌های مورد اعتراض اشاره شده است پاسخ ماهوی نیز بیان می‌شود.

ب- بانک مرکزی به موجب بند 8 ماده 14 از قانون پولی و بانکی کشور می‌تواند با تعیین مقررات افتتاح حساب جاری و پس انداز و سایر حساب ها در امور پولی و بانکی کشور دخالت و نظارت کند که این امر باشد قبلا به تصویب شورای پول و اعتبار برسد.

ج- شورای پول و اعتبار در همین راستا، طی نهصد و پنجاه و سومین جلسه مورخ 1380/02/02 ضوابط صدور کارت را تصویب نمود و به بانک ها ابلاغ کرد و مسیولیت استفاده از روش‌های مطمین و رمز را با بانک عامل(صادر کننده کارت) قرار داده است و از سوی دیگر در برابر هر خسارتی که به مشتریان وارد می‌شود بانک عامل مسیول و متعهد به جبران است وثیقه بانک در صورت تخلف مفروض دانسته شد و اشخاص نیاز به اثبات ندارند.

د- بخشنامه‌ها برخلاف ادعای شاکی مخالف اصول قانون اساسی نیز نمی باشند و اصولا پذیرش احتمال خطر و ریسک در یک امر مالی، تعرض محسوب نمی شود و به واسطه جایگاه نظارتی بانک مرکزی و مجوز قانونی در این خصوص و اینکه کلیه قراردادهای بانکی باید در چارچوب‌های تنظیمی و اعلامی بانک مرکزی تدوین شوند، مراتب در حدود اختیار بوده و تقاضای رد شکایت واصله را دارم.

معاونت حقوق قوه قضاییه پاسخی ارسال ننموده است.

* در خصوص ادعای مغایرت مصوبه با شرع ، قایم مقام دبیر شورای نگهبان به موجب نامه شماره 32670/102 مورخ 1401/06/01 اعلام کرده است که :

«همانطور که قبلا طی نامه شماره 24986/102 مورخ 1400/02/06 اعلام شده است، بخشنامه‌ها و نامه مورد شکایت خلاف شرع شناخته نشد.»

پرونده کلاسه هـ ع/9902862 در جلسه مورخ 1401/08/15 هیات تخصصی مالیاتی بانکی دیوان عدالت اداری مورد تبادل واقع و با لحاظ نظریه اعضای حاضر با استعانت از درگاه خداوند متعال به شرح ذیل اقدام به انشا رای می‌نماید :

رای هیات تخصصی مالیاتی ، بانکی دیوان عدالت اداری

بخشنامه‌های مورد شکایت به شماره 186717/97 مورخ 1397/06/01 و شماره 51691/98 مورخ 1398/02/21 و شماره 163575/98 مورخ 1398/05/14 صادره از بانک مرکزی جمهـوری اسلامی ایـران و شماره 140/1398/21118/9000 دادستـان کـل کشور ، که مفاد آن‌ها در صدد بیـان این موضوع است که از تاریـخ لازم‌الاجرا شدن مصوبات و بخشنامه‌های بانک مرکزی در مورد تکالیف بانک‌های عامل و موسسات مالی و اعتباری مبنی بر عدم استفاده از رمز دوم ایستا در تراکنش‌های بانکی و اینکه صرفا از رمزهای دوم پویا استفاده شود ، مسیولیت عدم استفاده از رمزهای پویا و اصرار بر استفاده از رمزهای ایستا ، توسط هر بانک در صورت وجود و بروز خسارت و ضرر به مشتریان به عهده بانک مربوطه می‌باشد ، در حدود قانون و مقررات بوده چرا که اولا - بانک مرکزی وظیفه سیاست گذاری و اتخاذ تصمیم در حوزه معاملات پولی و بانکی و تعیین حدود آن را دارد ثانیا - در جهت کسب اعتماد بین مشتریان و بانک ها ، ایجاد مرزهای امنیتی و تلاش در جهت جلوگیری از سو استفاده از حساب ها از وظایف ذاتی بانک مرکزی جهت تبیین و ابلاغ به بانک ها می‌باشد و موجب اعتماد سازی می‌شود. ثالثا - شورای محترم نگهبان در نظریه شماره 24896/102 مورخ 1400/02/06 مفاد مصوبات مورد شکایت را خلاف شرع اعلام ننموده است ، بنابراین به استناد مـواد 84 ( بند ب و تبصره 1 آن ) و نیز ماده 87 از قانون تشکیلات و آیین دادرسی دیوان عدالت اداری مصوب 1392 رای به رد شکایت صادر می‌نماید. رای مزبور ظرف بیست روز پس از صدور قابل اعتراض از ناحیه ریاست معزز دیوان یا ده نفر از قضات گرانقـدر دیـوان عدالت اداری می‌باشد.

محمد علی برومندزاده

رییس هیات تخصصی مالیاتی بانکی

دیوان عدالت اداری