شماره پرونده: ه- ع/ 9902862 شماره دادنامه: 140109970906000627 تاریخ: 09/09/1401
شاکی: آقای محمد صادق سعادت
طرف شکایت: بانک مرکزی جمهوری اسلامی ایران- معاونت حقوقی قوه قضائیه - دادستانی کل کشور
موضوع شکایت و خواسته: ابطال بخشنامه های 1- شماره 186717/97 مورخ 1/6/1397 2- شماره 51691/98 مورخ 21/2/1398 3- شماره 163575/98 مورخ 14/5/1398 بانک مرکزی از زمان ابلاغ 4- بخشنامه شماره 140/1398/21118/9000 دادستان کل کشور در خصوصی استفاده از رمزهای پویا در تراکنش های غیرحضوری
شاکی دادخواستی به طرفیت بانک مرکزی جمهوری اسلامی ایران- معاونت حقوقی قوه قضائیه - دادستانی کل کشور به خواسته فوق الذکر به دیوان عدالت اداری تقدیم کرده که به هیات عمومی ارجاع شده است متن مقرره مورد شکایت به قرار زیر میباشد:
1- بخشنامه شماره 186717/97 مورخ 1/6/1397
با افزایش بهره گیری مشتریان بانکی از خدمات بانکداری و پرداخت الکترونیکی، میزان جرایم مرتبط با سوءاستفاده از اطلاعات محرمانه مشتریان علی الخصوص رمزهای کارتهای بانکی نیز افزایش یافته است و این امر نشان میدهد که راهکارهای پیشین تولید و استفاده از اطلا عا ت محرمانه، توان مقابله با حملات گسترده امروزی را ندارند. لذا به منظور صیانت از حقوق مشتریان بانکی و کاهش مخاطرات مرتبط با رمزهای کارتهای بانکیبخصوص رمز دوم کارت های بانکی که در تراکنشهای بدون حضور کارت به کار گرفته میشوندشرایط و ضوابط مرتبط با پویاسازی رمزهای کارت در قالب سندی با عنوان «الزامات رمزهای پویا در تراکنشهای مبتنی بر کارت » تبیین شده است. به این ترتیب با اجرایی شدن این الزامات، مخاطرات مرتبط با رمزهای ایستای کارتهای بانکی تا حد زیادی کاهش پیدا خواهد کرد و تلاش مجرمان و سوء استفاده کنندگان در سرقت و به کاربردن رمزهای ایستای کارتهای بانکی با شکست مواجه خواهد شد.
سند «الزامات رمزهای پویا در تراکنشهای مبتنی بر کارت» به شناسه 14-300 BIS RG با همکاری «کاشف» تهیه شده و هدف از آن ارائه الزاماتی به منظور حصول اطمینان موسسات اعتباری صادر کننده کارتهای بانکی، از کاهش مخاطرات و ایستا بودن رمزهای کارتهای بانکی است. الزامات ارائه شده شامل: مشخصات رمزهای پویا، نحوه ثبتنام برای استفاده از رمزهای پویا، نکات مهم در تولید رمز پویا، انتقال اطلاعات حساس، ابزارهای ارائه رمزهای پویا و وظایف موسسات اعتباری به عنوان ارائه دهنده خدمات رمزهای پویا است.
مقتضی است دستور فرمایید ضمن ابلاغ مراتب به واحدهای ذیربط با قید فوریت، تمهیدات لازم برای اجرای «الزامات رمزهای پویا در تراکنشهای مبتنی بر کارت» در آن بانک/موسسه اعتباری مطابق با برنامه زمانبندی ذیل، فراهم شده و علاوه بر نظارت دقیق بر حسن اجرای آن، نتیجه اقدامات صورت گرفته به این بانک منعکس گردد.
فاز
تاریخ
اقدامات
اول
1/6/1397
ابلاغ سند
دوم
1/9/1397
انتقال مسئولیت جبران خسارت مال باختگان به موسسه اعتباری
ارائه همزمان خدمت رمز دوم پویا و رمز ایستا به مشتریان
سوم
1/3/1398
حذف ارائه رمز دوم ایستا برای تمامی تراکنش ها
توجه: مطابق مواد 55 و 57 از«الزامات رمزهای پویا در تراکنشهای مبتنی بر کارت» ضروری است بانکها و موسسات اعتباری پیش از عملیاتی نمودن خدمت رمزهای پویا، اسناد مرتبط با ارزیابی امنیتی و پذیرش با مخاطرات باقی مانده در محدوده خدمت مورد اشاره را برای اداره نظامهای پرداخت این بانک ارسال نمایند.
2- بخشنامه شماره 51691/98 مورخ 21/2/1398
پیرو بخشنامه شماره 186717/97 مورخ 1/6/97 این بانک در خصوص جایگزینی رمزهای پویا به جای رمزهای ایستا در پرداختهای بدون حضور کارت و با توجه به لزوم ارتقای سطح امنیت پرداختهای مردم و جلوگیری از تضییع حقوق سپرده گذاران و با توجه به نظرات دریافتی از کاربران و بانکها در خصوص نحوه انجام کار، موارد زیر جهت توجه دقیق و اجرای مفاد آن ابلاغ میگردد:
1-از ابتدای خردادماه تامین امنیت مشتریان نظام بانکی در تراکنشهای بدون حضور کارت برعهده بانکها بوده و هرگونه مسئولیت سوء استفاده از حسابهای مشتریان به دلیل آسیب پذیریهای امنیتی در سرویسهای بانکی مستقیماً عهده بانک بوده و در این موارد تایید مرجع قضایی برای جبران خسارت مشتریان کفایت میکند.
2- جایگزینی رمزهای دوم پویا به جای رمزهای دوم ایستا به عنوان یکی از برنامه های ارتقای سطح امنیتی نظام بانکی مطرح بوده و با توجه به اینکه امنیت بخش لاینفک هر خدمتی است، نباید هیچ هزینه ای از دارندگان کارت و مشتریان بانکی اخذ شود.
3- بانک ها میتوانند با قبول مسئولیت هرگونه سوء استفاده از مسائل امنیتی و جبران خسارت احتمالی وارد شده به مشتریان، برای تراکنشهای کم مقدار (با سقف کمتر از پنج میلیون ریال در روز برای تمام تراکنشها) و همچنین تراکنشهایی که ذینفع آن دستگاههای عمومینظیر صادرکنندگان قبضباشند، استفاده از رمزهای ایستا را مجاز تلقی نمایند.
4-در صورتی که بانک بتواند راه حل مطمئن دیگری را، که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی نماید، میتواند از این راه کار به عنوان جایگزین رمز پویا استفاده به عمل آورد.
5- هرگونه فرآیند تامین امنیت پرداختهای بدون حضور کارت باید با انجام هزینه های منطقی و معقول و مطابق با قیمت تمامشده فنی در آن بانک به صورت یک زیرساخت دایمی صورت گرفته و صرفه و صلاح بانک به طور کامل در آن مدنظر قرار گیرد.
6-به منظور پشتیبانی حداکثری از مشتریان ضرورت دارد امکانات ارائه رمز محدود به استفاده از برنامه های کاربردی گوشیهای هوشمند نشده و ارائه آن از طریق سایر ابزارهای نظیر پیامک، پیام رسان های داخلی مجاز و نظایر آن برای مشتریان بانکها نیز حسب تشخیص بانک فعال گردد.
3- بخشنامه شماره 163575/98 مورخ 14/5/1398 بانک مرکزی
بر اساس بخشنامه های شماره 186717/97 مورخ 1/6/1397 و همچنین بند 1 از بخشنامه شماره 51691/98 مورخ 21/2/1398 از ابتدای خرداد ماه 1398 هرگونه مسئولیت سوء استفاده از حساب های مشتریان بدلیل آسیب پذیری های امنیتی خدمات بانکی، مستقیماً بر عهده بانک ها و موسسات اعتباری ارایه دهنده این خدمات بوده و در این موارد تایید مرجع قضایی برای جبران خسارت مشتریان کفایت مینماید.
بر این اساس و با عنایت به اینکه عدم پویاسازی رمز دوم کارت های بانکی از مصادیق آسیب پذیری امنیتی خدمات غیرحضوری مبتنی بر کارت محسوب میشود، لذا به موجب توافقات حاصل شده با معاونت محترم فضای مجازی دادستانی کشور کشور، مقرر گردید به منظور تسهیل و تسریع پرداخت خسارت مستقیم (معادل مبلغ مورد جرم) ناشی از عدم اجرای بخشنامه های صدرالاشاره به مالباختگان، مراجع قضایی پس از انجام بررسی های لازم دستورات مقتضی در این خصوص را از طریق سامانه تعاملی کاشف به بانک ها و موسسات اعتباری مرتبط ابلاغ نموده و این موسسات نیز مکلفند در حداقل زمان ممکن بدون قید و شرط نسبت به اجرای دستورات ابلاغ شده اقدام نموده و نتایج حاصله را از طریق سامانه مورد اشاره منعکس نمایند.
اداره نظام های پرداخت- داود محمد بیگی- اعظم السادات آقائی پور
بخشنامه شماره 140/1398/21118/9000 دادستان کل کشور
با توجه به اینکه به موجب بخشنامه شماره 186717/97 مورخ 1/6/97 و بندهای 1 و 3 بخشنامه شماره 51691/98 مورخ 21/2/98 و شماره 163575/98 مورخ 14/5/98 بانک مرکزی ارائه خدمات غیرحضوری (نظیر تراکنش های بانکی اینترنتی) در بانک ها ضرورتاً مستلزم استفاده از رمزهای پویا بوده و از تاریخ 1/3/98 و هرگونه استفاده از رمزهای دوم ایستا در تراکنش های غیرحضوری ممنوع اعلام و ادامه بکارگیری رمز دوم ایستا از مصادیق آسیب پذیری امنیتی خدمات بانکی محسوب شده و به عنوان ضمانت اجرا مقرر داشته است که «هرگونه سوء استفاده از حساب های مشتریان بدلیل آسیب پذیری امنیتی [ناشی از عدم اجرای الزامات رمزهای پویا] در سرویس های بانکی مستقیماً به عهده بانک بوده و در این موارد تایید مرجع قضایی [دادسرا]، برای جبران خسارت مشتریان کفایت می کند.» لذا مقتضی است در پرونده های کلاهبرداری رایانه ای (برداشت غیرمجاز از حساب های بانکی) که پس از الزامی شدن استفاده از رمزهای پویا تشکیل شده است بررسی های لازم انجام شود و در صورت احراز انجام تراکنش مجرمانه با رمز دوم ایستا به لحاظ عدم رعایت بخشنامه بانک مرکزی و عدم رفع آسیب پذیری امنیتی، در قالب فرم پیوست دستور پرداخت خسارت بزه دیده صادر، و از طریق سامانه کاشف به بانک متخلف ابلاغ گردد.
دلایل شاکی برای ابطال مقرره مورد شکایت:
مصوبات مورد شکایت برخلاف مفاد قوانین و مقررات و برخلاف شرع انور میباشد و در بخشنامه های یاد شده مورد شکایت، مسئولیت جبران خسارت در تراکنش های بدون حضور کارت را برمبنای توافقات حاصل شده با معاونت محترم فضای مجازی دادستانی کل کشور، بر بانک ها تحمیل نموده است و بخشنامه صرف اعلام مرجع قضایی مبنی بر تحمیل خسارت در مرحله تحقیقات و بدون محکومیت قطعی در مرحله محاکم را مستوجب مسئولیت برای جبران خسارت داشته است.
و پیرو بخشنامه های بانک مرکزی دادستان کل کشور، اقدام به صدور بخشنامه شماره 90005/21818/1398/140 مورخ 3/6/1398 در خصوص جبران خسارت در پرونده های کلاهبرداری رایانه ای (برداشت غیرمجاز) توسط بانک ها را به دادستان های سراسر کشور ابلاغ نموده است که:
1- بانک مرکزی برخلاف صلاحیت و خارج از حدود اختیار قانونی خویش در ماده 20 قانون عملیات بانکی بدون ربا و ماده 31 قانون پولی و بانکی و مواد 11 و 12 و 13 و 14 قانون پولی و بانکی کشور و ماده 14 قانون برنامه ششم توسعه کشور، عدم اجرایی نمودن رمز پویا را جرم انگاری و بانک ها را بدون رسیدگی در محکم مکلف به جبرات خسارت نموده است.
2- دادستانی کل کشور خارج از حدود اختیارات و وظایف خویش و برخلاف مواد 11 و 12 قانون مجازات اسلامی مصوب 1392 و با اضافه نمودن واژه "و دادسرا" به متن بخشنامه ابلاغی بانک مرکزی، دادستان های کل کشور را مکلف به مجازات بانک ها نموده است که این بخشنامه دادستان کل کشور برخلاف مواد 22 و 23 و 24 و 25 و 26 و 27 قانون آیین دادرسی کیفری میباشد (برخلاف حدود صلاحیت دادسراها)
3- بخشنامه های صادره برخلاف اصول مسلم قانون اساسی از جمله اصول 22 - 36- 37- 40- 49- 138- 169- 170 قانون اساسی بوده و موجب تعرض به اموال بانک و در نتیجه حقوق سهامداران شده اند و برخلاف اصل برائت میباشند.
4- بخشنامه های مورد شکایت برخلاف قاعده شرعی «من اتلف مال الغیر فهو له ضامن» و «لاضرر و لاضرار فی الاسلام» میباشند.
تقاضای رسیدگی و ابطال بخشنامه های مورد شکایت که مقررات یاد شده و نیز ماده 1 قانون مسئولیت مدنی در صدور آنها رعایت نشده است دارم.
در پاسخ به شکایت مذکور، اداره دعاوی حقوقی بانک مرکزی به موجب لایحه شماره 24/1340/00 مورخ 11/5/1400 به طور خلاصه توضیح داده است که:
الف- کلیه بخشنامه های مورد شکایت به موجب بند 13 شناسه الزامات «رمزهای پویا در تراکنش های مبتنی بر کارت» منضم به بخشنامه شماره 273205/98 مورخ 13/8/1398 منسوخ شده ارز و در حال حاضر سند و بخشنامه اخیرالذکر ملاک عمل میباشد لیکن چون در ماده 59 این سند به بخشنامه های مورد اعتراض اشاره شده است پاسخ ماهوی نیز بیان میشود.
ب- بانک مرکزی به موجب بند 8 ماده 14 از قانون پولی و بانکی کشور میتواند با تعیین مقررات افتتاح حساب جاری و پس انداز و سایر حساب ها در امور پولی و بانکی کشور دخالت و نظارت کند که این امر باشد قبلاً به تصویب شورای پول و اعتبار برسد.
ج- شورای پول و اعتبار در همین راستا، طی نهصد و پنجاه و سومین جلسه مورخ 2/2/1380 ضوابط صدور کارت را تصویب نمود و به بانک ها ابلاغ کرد و مسئولیت استفاده از روش های مطمئن و رمز را با بانک عامل(صادر کننده کارت) قرار داده است و از سوی دیگر در برابر هر خسارتی که به مشتریان وارد میشود بانک عامل مسئول و متعهد به جبران است وثیقه بانک در صورت تخلف مفروض دانسته شد و اشخاص نیاز به اثبات ندارند.
د- بخشنامه ها برخلاف ادعای شاکی مخالف اصول قانون اساسی نیز نمیباشند و اصولاً پذیرش احتمال خطر و ریسک در یک امر مالی، تعرض محسوب نمی شود و به واسطه جایگاه نظارتی بانک مرکزی و مجوز قانونی در این خصوص و اینکه کلیه قراردادهای بانکی باید در چارچوب های تنظیمی و اعلامی بانک مرکزی تدوین شوند، مراتب در حدود اختیار بوده و تقاضای رد شکایت واصله را دارم.
معاونت حقوق قوه قضائیه پاسخی ارسال ننموده است.
در خصوص ادعای مغایرت مصوبه با شرع، قائم مقام دبیر شورای نگهبان به موجب نامه شماره 32670/102 مورخ 1/6/1401 اعلام کرده است که:
«همانطور که قبلاً طی نامه شماره 24986/102 مورخ 6/2/1400 اعلام شده است، بخشنامه ها و نامه مورد شکایت خلاف شرع شناخته نشد.»
پرونده کلاسه ه- ع/9902862 در جلسه مورخ 15/8/1401 هیات تخصصی مالیاتی بانکی دیوان عدالت اداری مورد تبادل واقع و با لحاظ نظریه اعضای حاضر با استعانت از درگاه خداوند متعال به شرح ذیل اقدام به انشاء رای مینماید:
رای هیات تخصصی مالیاتی، بانکی دیوان عدالت اداری
بخشنامه های مورد شکایت به شماره 186717/97 مورخ 1/6/1397 و شماره 51691/98 مورخ 21/2/1398 و شماره 163575/98 مورخ 14/5/1398 صادره از بانک مرکزی جمهوری اسلامی ایران و شماره 140/1398/21118/9000 دادستان کل کشور، که مفاد آنها در صدد بیان این موضوع است که از تاریخ لازم الاجراء شدن مصوبات و بخشنامه های بانک مرکزی در مورد تکالیف بانک های عامل و موسسات مالی و اعتباری مبنی بر عدم استفاده از رمز دوم ایستا در تراکنش های بانکی و اینکه صرفاً از رمزهای دوم پویا استفاده شود، مسئولیت عدم استفاده از رمزهای پویا و اصرار بر استفاده از رمزهای ایستا، توسط هر بانک در صورت وجود و بروز خسارت و ضرر به مشتریان به عهده بانک مربوطه میباشد، در حدود قانون و مقررات بوده چرا که اولاً - بانک مرکزی وظیفه سیاست گذاری و اتخاذ تصمیم در حوزه معاملات پولی و بانکی و تعیین حدود آن را دارد ثانیاً - در جهت کسب اعتماد بین مشتریان و بانک ها، ایجاد مرزهای امنیتی و تلاش در جهت جلوگیری از سوء استفاده از حساب ها از وظایف ذاتی بانک مرکزی جهت تبیین و ابلاغ به بانک ها میباشد و موجب اعتماد سازی میشود. ثالثاً - شورای محترم نگهبان در نظریه شماره 24896/102 مورخ 6/2/1400 مفاد مصوبات مورد شکایت را خلاف شرع اعلام ننموده است، بنابراین به استناد مواد 84 (بند ب و تبصره 1 آن) و نیز ماده 87 از قانون تشکیلات و آیین دادرسی دیوان عدالت اداری مصوب 1392 رای به رد شکایت صادر مینماید. رای مزبور ظرف بیست روز پس از صدور قابل اعتراض از ناحیه ریاست معزز دیوان یا ده نفر از قضات گرانقدر دیوان عدالت اداری میباشد.
محمّد علی برومندزاده
رئیس هیات تخصصی مالیاتی بانکی
دیوان عدالت اداری