1. Главная
  2. Законодательство
  3. Практика
  4. № 922/4091/19
Конституция
Кодексы
Законы
Поостановы КМУ
Практика

ПОСТАНОВА

ІМЕНЕМ УКРАЇНИ

21 липня 2022 року

м. Київ

cправа № 922/4091/19

Верховний Суд у складі колегії суддів Касаційного господарського суду:

Студенець В.І. - головуючий, судді: Баранець О.М., Кібенко О.Р.

за участю секретаря судового засідання: Натаріної О.О.

розглянувши касаційну скаргу Приватного сільськогосподарського підприємства «Фацелія»

на рішення Господарського суду міста Києва

(суддя - Кирилюк Т.В.)

від 28.09.2021

та постанову Північного апеляційного господарського суду

(головуючий суддя - Ткаченко Б.О., судді: Євсіков О.О., Гаврилюк О.М.)

від 14.12.2021

у справі № 922/4091/19

за позовом Приватного сільськогосподарського підприємства «Фацелія»

до Акціонерного товариства Комерційний банк «ПриватБанк» в особі філії «Харківське головне регіональне управління» АТ КБ «ПриватБанк»

про стягнення 1 510 030,00 грн,

за участю представників учасників справи:

позивача - Куц К.К.

відповідача - Лопатнікова А.В.

ВСТАНОВИВ:

ІСТОРІЯ СПРАВИ

1. Короткий зміст позовних вимог

1.1. Приватне сільськогосподарське підприємство «Фацелія» (далі - ПСП «Фацелія») звернулось до Господарського суду Харківської області з позовом до Акціонерного товариства Комерційний банк «ПриватБанк» (далі - АТ КБ «ПриватБанк») в особі філії «Харківське головне регіональне управління» АТ КБ "ПриватБанк" (далі - філія «Харківське ГРУ» АТ КБ «ПриватБанк») про стягнення 1 270 000,00 грн, що були безпідставно списані з поточного рахунку позивача, відкритого в філії Харківського ГРУ АТ КБ «ПриватБанк», та пені в сумі 240 030,00 грн за несвоєчасне повернення безпідставно списаних коштів.

1.2. Позовні вимоги мотивовано тим, що відповідач безпідставно відмовився повертати позивачеві протиправно списані кошти з розрахункового рахунку останнього. Матеріально-правовою підставою позову визначено Закон України «Про платіжні системи та переказ коштів в Україні» та пункти 8, 9 розділу VI Положення про порядок емісії електронних платіжних засобів і здійснення операцій з їх використанням, затвердженого постановою Правління Національного банку України від 05.11.2014 №705 (далі - Положення №705). Також позивач вказував на те, що відповідачем не виконано вимог Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» щодо зупинення операцій по протиправному списанню коштів з рахунку позивача, внаслідок чого позивач вважав, що йому завдано майнової шкоди на суму списаних коштів відповідно до статті 1166 Цивільного кодексу України. Крім того, посилаючись на Закон України «Про платіжні системи та переказ коштів в Україні» та Інструкцію про безготівкові розрахунки в Україні в національній валюті, затверджену постановою Правління НБУ від 21.01.2004 №22 (далі - Інструкція №22), позивач вказував, що банк має сплатити пеню за неповернення безпідставно списаних коштів.

2. Зміст рішень судів першої та апеляційної інстанцій

2.1. Рішенням Господарського суду міста Києва від 08.10.2020, залишеним без змін постановою Північного апеляційного господарського суду від 19.01.2021, у справі №922/4091/19 в задоволенні позову відмовлено повністю.

2.2. Постановою Верховного Суду від 25.05.2021 у справі №922/4091/19 рішення Господарського суду міста Києва від 08.10.2020 та постанову Північного апеляційного господарського суду від 19.01.2021 скасовано, справу направлено на новий розгляд до місцевого господарського суду.

2.3. Постанова мотивована тим, що у разі встановлення факту неналежного переказу грошових коштів з банківського рахунку банк зобов`язаний повернути клієнту відповідну суму, тоді як виключення із вказаного правила можливе лише за умови встановлення обставин, які підтверджують, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. Верховний Суд звернув увагу на подібну правову позицію щодо застосування статті 1073 Цивільного кодексу України, пункту 37.2 статті 37 Закону України «Про платіжні системи та перекази коштів в Україні» та пунктів 6.7, 6.8 Положення про порядок емісії спеціальних платіжних засобів і здійснення операцій з їх використанням, затвердженого постановою Правління Національного банку України від 30.04.2010 №223 (далі - Положення №233), яка була викладена у постанові Верховного Суду України від 13.05.2015 у справі №6-71цс15. При цьому колегія суддів касаційної інстанції зазначила, що Положення №233 втратило чинність на момент виникнення спірних правовідносин у цій справі, однак пункт 9 розділу VI Положення №705 аналогічно регулює вказані відносини щодо покладення відповідальності за неналежний переказ на користувача виключно у разі доведення його вини у сприянні втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.

Також Верховний Суд зазначив, що суди не дослідили зміст листа №20.1.0.0.0/7-181210/760 від 08.01.2019 відповідача на предмет того, які саме умови і правила надання банківських послуг були порушені позивачем; судом першої інстанції не розглянуто і клопотання позивача про витребування у відповідача матеріалів службового розслідування, проведеного за фактом незаконного списання грошових коштів.

Крім того суд касаційної інстанції зазначив про передчасність висновків стосовно вини позивача у сприянні списанню коштів з рахунку останнього, оскільки вони зроблені без зазначення на конкретні докази, на підставі яких можна встановити обставини, що вірус, яким був уражений комп`ютер, становив безпеку банківській системі відповідача або, що внаслідок ураження цим вірусом інформація, за допомогою якої відбувається дистанційний доступ до банківського рахунку клієнта, вибула до третіх осіб.

2.4. За результатами нового розгляду рішенням Господарського суду міста Києва від 28.09.2021 у справі №922/4091/19 у задоволенні позову відмовлено.

2.5. Рішення суду першої інстанції мотивоване тим, що переказ грошових коштів з банківського рахунку позивача відбувся на підставі платіжних документів, які оформлені відповідно до вимог законодавства та містять усі формально необхідні реквізити для здійснення банківською установою відповідних платежів.

Також судом встановлено, що в діях відповідача відсутній факт порушення встановлених договором або Законом зобов`язань, а тому відсутні правові та фактичні підстави для покладення на нього обов`язку з відшкодування втрачених позивачем грошових коштів. Разом з тим, відсутність юридичного обов`язку з відшкодування грошових коштів зумовлює неможливість стягнення пені.

При цьому, суд також зазначив, що до відносин сторін у справі не застосовуються норми пунктів 8, 9 розділу VI Положення №705, оскільки вони регулюють взаємовідносини емітента та користувача електронного платіжного засобу (пластикова картка, мобільний додаток тощо).

2.6. Постановою Північного апеляційного господарського суду від 14.12.2021 рішення Господарського суду міста Києва від 28.09.2021 у справі №922/4091/19 залишено без змін.

2.7. Суд апеляційної інстанції погодився з висновком місцевого господарського суду про відсутність правових підстав для задоволення заявлених позовних вимог.

3. Короткий зміст вимог касаційної скарги та узагальнений виклад позиції інших учасників справи

3.1. Не погоджуючись з рішенням Господарського суду міста Києва від 28.09.2021 та постановою Північного апеляційного господарського суду від 14.12.2021 у справі №922/4091/21, Приватне сільськогосподарське підприємство «Фацелія» звернулося з касаційною скаргою, якою просить оскаржувані рішення місцевого господарського суду та постанову суду апеляційної інстанції скасувати, ухвалити нове рішення про задоволення позову.

3.2. Підставою касаційного оскарження Приватне сільськогосподарське підприємство «Фацелія» визначило пункт 1 частини другої статті 287 Господарського процесуального кодексу України.

3.3. Відповідно до пункту 1 частини другої статті 287 Господарського процесуального кодексу України підставою касаційного оскарження судових рішень є неправильне застосування судом норм матеріального права чи порушення норм процесуального права у випадку, якщо суд апеляційної інстанції в оскаржуваному судовому рішенні застосував норму права без урахування висновку щодо застосування норми права у подібних правовідносинах, викладеного у постанові Верховного Суду, крім випадку наявності постанови Верховного Суду про відступлення від такого висновку.

3.4. Приватне сільськогосподарське підприємство «Фацелія» підставою касаційного оскарження зазначає пункт 1 частини другої статті 287 Господарського процесуального кодексу України оскільки вважає, що судами попередніх інстанцій не було враховано висновки щодо застосування статті 1073 Цивільного кодексу України, статті 37 Закону України «Про платіжні системи та переказ коштів в Україні», Положення про порядок емісії електронних платіжних засобів і здійснення операцій з їх використанням, затвердженого постановою правління НБУ від 05.11.2014 №705 у подібних правовідносинах, викладені у постанові Верховного Суду України від 13.05.2015 у справі №6-71цс15, постанові Верховного Суду від 16.12.2020 у справі №214/2867/18.

Також посилається на те, що судами не виконано вказівок постанови Верховного Суду від 25.04.2021 у справі №922/4091/19.

3.5. У відзиві на касаційну скаргу АТ КБ «ПриватБанк» в особі філії «Харківське головне регіональне управління» АТ КБ «ПриватБанк» проти вимог касаційної скарги заперечує з підстав, викладених у ньому, та просить оскаржувані судові рішення залишити без змін.

4. Фактичні обставини справи, встановлені судами попередніх інстанцій

ПСП «Фацелія» 07.09.2018 відкрито у відповідача на підставі анкети-заяви клієнта юридичної особи-резидента про приєднання до умов і правил надання банківських послуг поточний рахунок № НОМЕР_1 .

До матеріалів справи долучено анкету-заяву клієнта юридичної особи-резидента про приєднання до умов і правил надання банківських послуг, подану ПСП «Фацелія» до АТ КБ «Приватбанк», з проханням відкрити, в тому числі, поточний рахунок № НОМЕР_1 . Особою з правом фінансового підпису вказано ОСОБА_1 (генеральний директор), який має право розпоряджатись рахунками.

Кінцевий бенефіціарний власник - ОСОБА_1 .

Структура засновників/учасників/акціонерів: 100% - ОСОБА_1 . Уповноважені особи - відсутні.

Обороти, які плануються/очікуються в першому кварталі після відкриття рахунку - 500 000,00 грн. Фінансові операції з готівкою, які плануються/очікуються в першому кварталі після відкриття рахунку: сума списань - 450 000,00 грн, сума зарахувань - 550 000,00 грн. Основні контрагенти відсутні. Характеристики джерел надходження коштів - господарська діяльність, фінансова допомога.

Мета встановлення ділових відносин з банком (якими послугами плануєте користуватись): депозити, кредитування, розрахунково-касове обслуговування, система «клієнт-банк», документарні операції, зарплатні проекти. Послуги банку, що планується використовувати, і відповідальні особи - рахунок та розрахунки з партнерами в національній валюті, ОСОБА_1

ОСОБА_1 цією анкетою-заявою відповідно до статті 634 Цивільного кодексу України у повному обсязі приєднується до Умов та правил надання банківських послуг АТ «КБ «Приватбанк», які розміщені на офіційному сайті банку в мережі інтернет за адресою: privatbank.ua, та які разом з пам`яткою клієнта і тарифами становлять договір банківського обслуговування. Також вказана особа підтвердила, що в разі використання ним електронного підпису або іншого аналогу власноручного підпису для підписання цієї анкети-заяви, такий підпис прирівнюється до його власноручного підпису. Анкету-заяву складено та підписано клієнтом та банком 05.09.2018.

Згідно з довідкою про відкриття рахунку, виданої відповідачем 07.09.2018 №180907SU14381002 клієнту ПСП «Фацелія» відкрито поточний рахунок № НОМЕР_1 у валюті - українська гривня, дата відкриття 06.09.2018.

На рахунок ПСП «Фацелія» № НОМЕР_2 , відкритий у ПрАТ «Райффайзен Банк Аваль», 03.12.2018 були зараховані кошти у сумі 1 250 000,00 грн та в той же день зазначені кошти були перераховані на рахунок позивача № НОМЕР_1 у АТ КБ «Приватбанк». Після виконання переказу на рахунку позивача № НОМЕР_1 у АТ КБ «Приватбанк» обліковувалось 1 270 000,00 грн.

За твердженням позовної заяви 03.12.2018 в період часу з 11 години 48 хвилин по 11 годину 50 хвилин з поточного рахунку позивача № НОМЕР_2 в АТ «Райффайзен Банк Аваль» було перераховано на його поточний рахунок № НОМЕР_1 , відкритий у відповідача, 1 250 000 гривень. Загальна сума грошових коштів на рахунку № НОМЕР_1 склала 1 270 000,00 грн.

03.12.2018 на рахунок ПСП «Фацелія» № НОМЕР_2 , відкритий у ПрАТ «Райффайзен Банк Аваль», були зараховані кошти у сумі 1 250 000,00 грн та в той же день зазначені кошти були перераховані на рахунок позивача № НОМЕР_1 у АТ КБ «ПриватБанк». Після виконання переказу на рахунку позивача № НОМЕР_1 у АТ КБ «ПриватБанк» обліковувалось 1 270 000,00 грн.

03.12.2018 кошти у сумі 1 270 000,00 грн о 12:26 та о 16:29 були перераховані на рахунки третіх осіб, що підтверджується наступними платіжними дорученнями: №97 від 03.12.2018 на суму 132 765,00 грн, отримувач: ТОВ «Протекпро», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товари нгч згідно з договором №13/436 від 03.12.2018; №100 від 03.12.2018 на суму 114 494,00 грн, отримувач: ТОВ «Протекпро», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товари нгч згідно з договором №28/436 від 03.12.2018; №96 від 03.12.2018 на суму 131981,00 грн, отримувач: ТОВ «Молікс», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товари згідно з накладною №025-7/48 від 03.12.2018; №98 від 03.12.2018 на суму 97 368,00 грн, отримувач: ТОВ «Протекпро», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товари нгч згідно з договором №15/436 від 03.12.2018; №95 від 03.12.2018 на суму 127 376,00 грн, отримувач: ТОВ «Молікс», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товар згідно з накладною №024-7/48 від 03.12.2018; №94 від 03.12.2018 на суму 140 643,00 грн, отримувач: ТОВ «Молікс», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товар згідно з накладною №023-7/48 від 03.12.2018; №91 від 03.12.2018 на суму 138 547,00 грн, отримувач: ТОВ «Гарвісмін», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товар згідно з договором №253/12 від 03.12.2018; №93 від 03.12.2018 на суму 134 864,00 грн, отримувач: ТОВ «Гарвісмін», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товар згідно з договором №255/12 від 03.12.2018; №99 від 03.12.2018 на суму 125 373,00 грн, отримувач: ТОВ «Протекпро», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товари нгч згідно з договором №23/436 від 03.12.2018; №92 від 03.12.2018 на суму 126 589,00 грн, отримувач: ТОВ «Гарвісмін», банк одержувача ПАТ «ПУМБ», призначення платежу: оплата за товар згідно з договором №254/12 від 03.12.2018.

10.12.2018 ПСП «Фацелія» звернувся до відповідача з заявою щодо несанкціонованого списання грошових коштів з розрахункового рахунку, відкритого в АТ КБ «ПриватБанк». В заяві було повідомлено банк про несанкціоноване переведення коштів позивача на рахунки невідомих третіх осіб, а саме те, що 03.12.2018 бухгалтер ОСОБА_2 на своєму робочому комп`ютері з метою проведення необхідних господарських операцій зайшла до системи «Клієнт-Банк» у АТ «Райффайзен Банк Аваль», в якому відкрито один із рахунків ПСП «Фацелія» № НОМЕР_2 . В 10:24 нею була роздрукована банківська виписка з рахунку і продовжена подальша робота. Приблизно о 11:40 екран комп`ютера погас, однак, при цьому з`явився напис, про те, що комп`ютер перезавантажується і його не треба вимикати. В подальшому через незначний проміжок часу ОСОБА_2 вимкнула комп`ютер із мережі через те, що він так і не перезавантажився. В цей же день в вечірній час ОСОБА_2 зробила спробу включити комп`ютер, це їй вдалось, однак працювати на комп`ютері вона не змогла, оскільки, комп`ютер був заражений вірусом - робочий стіл став чорний, і зникли деякі програми.

Майстер 04.12.2018 підтвердив, що комп`ютер заражений вірусом, бухгалтер не змогла зайти до системи «Клієнт-Банк» у ПрАТ «Райффайзен Банк Аваль», вибилась помилка, оскільки програма вже відкрита.

Бухгалтер 05.12.2018 з допомогою оператора ПрАТ «Райффайзен Банк Аваль» встановила іншу програму «Клієнт-Банк» та створила новий ключ. Після входу в програму «Клієнт-банк» 06.12.2018 було виявлено перерахування коштів у сумі 1250000,00 грн з рахунку позивача у ПрАТ «Райффайзен Банк Аваль» на рахунок позивача у АТ КБ «ПриватБанк» як перерозподіл власних коштів, а в подальшому 8 платіжними дорученнями кошти були перераховані на рахунку третіх осіб, з якими у позивача відсутні будь-які правовідносини.

Позивач звернувся до правоохоронних органів, дані про вчинений злочин були внесенні до Єдиного реєстру судових розслідувань: 11.12.2018 за №1201822036000537 та 13.12.2018 за №12018220360000541 щодо крадіжки грошових коштів ПСП «Фацелія» 03.12.2018 у сумі 1 270 000,00 грн, шляхом переведення грошових коштів з рахунку підприємства у АТ КБ «ПриватБанк» на невідомі фірми.

Банк 08.01.2019 надав позивачеві відповідь №20.1.0.0.0/7-181210/760, в якій зазначив, що в результаті проведеного розслідування встановлено, що факт несанкціонованого зняття коштів з рахунку знайшов своє підтвердження. Проте, аналіз обставин, які сприяли використанню коштів третіми особами, показав, що клієнтом були порушені умови і правила надання банківських послуг, а саме, використання системи дистанційного банківського обслуговування «Приват24» та правил дистанційного управління рахунком, в зв`язку з чим кошти не можуть бути повернуті банком.

Позивач, звернувся до суду з позовом до АТ КБ «ПриватБанк» в особі Філії «Харківське ГРУ» АТ КБ «ПриватБанк» про стягнення 1 510 030,00 грн, що були безпідставно списані з поточного рахунку позивача, відкритого в Харківському ГРУ АТ КБ «ПриватБанк», та пені в сумі 240 030,00 грн за несвоєчасне повернення безпідставно списаних коштів.

Відповідач, в свою чергу, заперечуючи проти задоволення позовних вимог вказує про відсутність вини банку у несанкціонованому списанні коштів.

5. Оцінка аргументів учасників справи і висновків судів першої та апеляційної інстанцій з посиланням на норми права, яким керувався суд

5.1. Відповідно до положень статті 300 Господарського процесуального кодексу України, переглядаючи у касаційному порядку судові рішення, суд касаційної інстанції в межах доводів та вимог касаційної скарги, які стали підставою для відкриття касаційного провадження, та на підставі встановлених фактичних обставин справи перевіряє правильність застосування судом першої чи апеляційної інстанції норм матеріального і процесуального права. Суд касаційної інстанції не має права встановлювати або вважати доведеними обставини, що не були встановлені у рішенні або постанові суду чи відхилені ним, вирішувати питання про достовірність того чи іншого доказу, про перевагу одних доказів над іншими, збирати чи приймати до розгляду нові докази або додатково перевіряти докази.

5.2. Відмовляючи у задоволенні позовних вимог, суди попередніх інстанцій виходили з того, що платіжні доручення відповідно до яких здійснювався переказ, були оформлені належним чином і завірені КЕП керівника платника. Тобто переказ було здійснено з рахунка належного платника, і вина Банку у здійсненні такого переказу відсутня. Позивач стверджував, що не надавав платіжних доручень на здійснення переказу, а платежі були здійснені внаслідок кіберзлочину. При цьому Банк факт несанкціонованого списання коштів з рахунку платника визнав.

5.3. За частиною першою статті 1066 Цивільного кодексу України за договором банківського рахунка банк зобов`язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій. Згідно з частиною першою статті 1071 Цивільного кодексу України банк може списати грошові кошти з рахунку клієнта на підставі його розпорядження.

5.4. Правовідносини сторін у цій справі виникли з договорів рахунку та обслуговування, за якими Банк зобов`язався, зокрема, приймати та зараховувати на рахунок позивача грошові кошти, здійснювати розрахункові операції, підключити позивача до електронної банківської системи для користування банківськими послугами, а позивач - оплачувати надані послуги на умовах договору.

5.5. Частиною першою статті 1073 Цивільного кодексу України передбачено що, у разі несвоєчасного зарахування на рахунок грошових коштів, що надійшли клієнтові, їх безпідставного списання банком з рахунка клієнта або порушення банком розпорядження клієнта про перерахування грошових коштів з його рахунка банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти та відшкодувати завдані збитки, якщо інше не встановлено законом.

5.6. Питання відповідальності банків, платників та одержувачів переказу врегульовані розділом VII Закону України «Про платіжні системи та переказ коштів».

Статтею 32 Закону України «Про платіжні системи та переказ коштів» визначено відповідальність банків при здійсненні переказу. Пунктом 32.1 статті 32 зазначеного Закону передбачено, що Банк, що обслуговує платника, та банк, що обслуговує отримувача, несуть перед платником та отримувачем відповідальність, пов`язану з проведенням переказу, відповідно до цього Закону та умов укладених між ними договорів. Банки зобов`язані виконувати доручення клієнтів, що містяться в документах на переказ, відповідно до реквізитів цих документів та з урахуванням положень, встановлених пунктом 22.6 статті 22 цього Закону.

Відповідно до пункту 32.3.2 статті 32 Закону України «Про платіжні системи та перекази коштів в Україні» у разі помилкового переказу з рахунка неналежного платника, що стався з вини банку, цей банк зобов`язаний переказати відповідну за рахунок власних коштів суму переказу на рахунок неналежного платника, а також сплатити неналежному платнику пеню у розмірі процентної ставки, що встановлена цим банком по короткострокових кредитах, за кожний день починаючи від дня помилкового переказу до дня повернення суми переказу на рахунок неналежного платника, якщо інша відповідальність не передбачена договором.

Працівники банку, винні в здійсненні помилкового переказу, несуть відповідальність відповідно до закону (пункт 32.4 статті 32 Закону України «Про платіжні системи та перекази коштів в Україні»).

Пунктами 1.24 та 1.32 статті 1 Закону України «Про платіжні системи та перекази коштів в Україні» визначено, що помилковий переказ - рух певної суми коштів, внаслідок якого з вини банку або іншого суб`єкта переказу відбувається її списання з рахунку неналежного платника та/або зарахування на рахунок неналежного отримувача чи видача йому цієї суми у готівковій формі; неналежний платник - особа, з рахунка якої помилково або неправомірно переказана сума коштів.

Стаття 33 Закону України «Про платіжні системи та перекази коштів в Україні» встановлює відповідальність платника при проведенні переказу. Платник несе перед банком або іншою установою - учасником платіжної системи, що його обслуговують, відповідальність, передбачену умовами укладеного між ними договору. Платник несе відповідальність за відповідність інформації, зазначеної ним в документі на переказ, суті операції, щодо якої здійснюється цей переказ. Платник має відшкодувати банку або іншій установі - учаснику платіжної системи шкоду, заподіяну внаслідок такої невідповідності інформації. Платник зобов`язаний відшкодувати шкоду, заподіяну банку або іншій установі - учаснику платіжної системи, що його обслуговують, внаслідок недотримання цим платником вимог щодо захисту інформації і проведенням незаконних операцій з компонентами платіжних систем (платіжні інструменти, обладнання, програмне забезпечення тощо). При цьому банк або інша установа - учасник платіжної системи, що обслуговує платника, звільняється від відповідальності перед платником за проведення переказу.

Статтею 35 Закону України «Про платіжні системи та перекази коштів в Україні» також встановлено відповідальність неналежних отримувачів при проведенні переказу. Неналежний отримувач зобов`язаний протягом трьох робочих днів від дати надходження повідомлення банку-порушника про здійснення помилкового переказу ініціювати переказ еквівалентної суми коштів банку-порушнику, за умови отримання повідомлення цього банку про здійснення помилкового переказу. У разі своєчасного повідомлення банком-порушником неналежного отримувача про здійснення помилкового переказу та порушення неналежним отримувачем строку, встановленого пунктом 35.1 цієї статті, неналежний отримувач має повернути суму переказу, а також сплатити банку-порушнику пеню в розмірі 0,1 відсотка цієї суми за кожний день починаючи від дати завершення помилкового переказу до дня повернення коштів включно, яка не може перевищувати 10 відсотків суми переказу. Спори між банком-порушником та неналежним отримувачем щодо помилкового переказу розглядаються у судовому порядку.

5.7. Інструкція про безготівкові розрахунки в Україні в національній валюті, затверджена постановою Правління НБУ від 21.04.2004 №22 (далі - Інструкція №22) містить наступні визначення (пункт 1.4):

Дистанційне обслуговування - комплекс інформаційних послуг за рахунком клієнта та здійснення операцій за рахунком на підставі дистанційних розпоряджень клієнта.

Дистанційне розпорядження - розпорядження банку виконати певну операцію, яке передається клієнтом за погодженим каналом доступу, без відвідання клієнтом банку.

Безготівкові розрахунки - перерахування певної суми коштів з рахунків платників на рахунки отримувачів коштів, а також перерахування банками за дорученням підприємств і фізичних осіб коштів, унесених ними готівкою в касу банку, на рахунки отримувачів коштів. Ці розрахунки проводяться банком на підставі розрахункових документів на паперових носіях чи в електронному вигляді.

Відповідальний виконавець - працівник банку, який відповідно до своїх службових обов`язків має повноваження вчиняти від імені банку певні дії, пов`язані із здійсненням розрахунків.

Електронний розрахунковий документ - документ, інформація в якому представлена у формі електронних даних, уключаючи відповідні реквізити розрахункового документа, який може бути сформований, переданий, збережений і перетворений у візуальну форму представлення електронними засобами.

Неналежний отримувач - особа, якій без законних підстав зарахована сума переказу на її рахунок або видана їй у готівковій формі.

Неналежний платник - особа, з рахунку якої помилково або неправомірно переказана сума коштів.

Платіжне доручення - розрахунковий документ, що містить письмове доручення платника обслуговуючому банку про списання зі свого рахунку зазначеної суми коштів та її перерахування на рахунок отримувача.

Помилкове списання/зарахування коштів - списання/зарахування коштів, унаслідок якого з вини банку або клієнта відбувається їх списання з рахунку неналежного платника та/або зарахування на рахунок неналежного отримувача.

Інструкція №22 в пункті 2.10 визначає, що клієнт, виходячи з технічних можливостей своїх та обслуговуючого банку, може подавати до банку розрахункові документи як на паперових носіях, так і у вигляді електронних розрахункових документів, використовуючи системи дистанційного обслуговування. Спосіб подання клієнтом документів до банку передбачається в договорі банківського рахунку.

Банк, що обслуговує платника із застосуванням систем дистанційного обслуговування, зобов`язаний перевірити відповідність номера рахунку платника і його коду, що зазначені в електронному розрахунковому документі, і приймати цей документ до виконання, лише якщо вони належать цьому платнику.

Тобто, кожне платіжне доручення не виконується автоматично, воно підлягає перевірці уповноваженим працівником банку.

Судами попередніх інстанцій встановлено, що розрахунки здійснювалися за допомогою систем дистанційного обслуговування.

Глава 10 Інструкції №22 передбачає, що дистанційне обслуговування рахунку клієнт може здійснювати за допомогою систем «клієнт - банк», «клієнт - Інтернет - банк», «телефонний банкінг», «миттєва безконтактна оплата» та інших систем дистанційного обслуговування.

Програмне забезпечення систем дистанційного обслуговування має відповідати вимогам законодавства, в тому числі нормативно-правових актів Національного банку, які пред`являються до технології та захисту електронних банківських розрахунків (пункт 10.2 Інструкції №22).

Юридичною підставою для роботи клієнта за допомогою систем дистанційного обслуговування і оброблення банком дистанційних розпоряджень клієнта є договір банківського рахунку. У договорі обов`язково мають обумовлюватися права, обов`язки та відповідальність сторін, порядок вирішення спорів у разі їх виникнення тощо (пункт 10.3 Інструкції №22).

Дистанційне обслуговування рахунку за допомогою системи "миттєва безконтактна оплата" регулюється нормативно-правовим актом Національного банку України з питань здійснення операцій, ініційованих із використанням електронних платіжних засобів (пункт 10.4 Інструкції №22).

Відповідно до пункту 10.5 Інструкції №22 під час здійснення розрахунків за допомогою систем «клієнт - банк», «клієнт - Інтернет - банк» тощо застосовуються електронні розрахункові документи.

Реквізити електронного розрахункового документа, що використовуються в системах "клієнт - банк", "клієнт - Інтернет - банк", визначаються договором між банком та клієнтом, але обов`язково цей документ має містити такі з них:

дату і номер;

назву, код платника та номер його рахунку;

код банку платника;

назву, код одержувача та номер його рахунку;

код банку одержувача;

суму цифрами;

призначення платежу;

електронний(і) підпис(и)/електронний(і) цифровий(і) підпис(и) відповідно до вимог, установлених нормативно-правовим актом Національного банку з питань застосування електронного підпису в банківській системі України;

інші реквізити, які під час формування електронного розрахункового документа системою електронних платежів розміщуються в полі «Допоміжні реквізити».

Відповідальні особи платника, які вповноважені розпоряджатися рахунком і на законних підставах володіють особистим ключем, від свого імені або за дорученням особи, яку представляють, накладають підписи під час створення електронного розрахункового документа.

Під час використання систем «клієнт - банк», «клієнт - Інтернет - банк» банк щоденно архівує електронні розрахункові документи, які відправлені клієнтом, та зберігає їх протягом установленого строку.

Під час використання систем «клієнт - банк», «клієнт - Інтернет - банк» клієнт має дотримуватися всіх вимог, що встановлює банк, з питань безпеки оброблення електронних розрахункових документів. Якщо це передбачено в договорі, то банк має право виконувати періодичні перевірки виконання клієнтом вимог щодо захисту інформації та зберігання засобів захисту і припиняти обслуговування клієнта за допомогою системи в разі невиконання ним вимог безпеки.

Банк зобов`язаний/має право відмовитися від виконання електронного розрахункового документа/дистанційного розпорядження, переданого телефоном за фінансовою операцією у випадках, установлених статтею 10 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення». Банк повідомляє клієнта засобами системи про причину відмови у виконанні електронного розрахункового документа/дистанційного розпорядження (з обов`язковим посиланням на статтю 10 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» і на пункт 10.3 глави 10 цієї Інструкції) (пункт 10.13 Інструкції №22).

З огляду на викладене, колегія суддів вважає, що суди попередніх інстанцій дійшли передчасних висновків про відсутність вини банку у здійсненні помилкового переказу.

5.8. Банк є суб`єктом первинного фінансового моніторингу відповідно до частини другої статті 5 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення».

Відповідно до статті 6 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» суб`єкт первинного фінансового моніторингу з урахуванням вимог законодавства розробляє, впроваджує та постійно з урахуванням законодавства оновлює правила фінансового моніторингу, програми здійснення фінансового моніторингу та інші внутрішні документи з питань фінансового моніторингу (далі - внутрішні документи з питань фінансового моніторингу) та призначає працівника, відповідального за його проведення (далі - відповідальний працівник).

Суб`єкт первинного фінансового моніторингу зобов`язаний:

здійснювати ідентифікацію, верифікацію клієнта (представника клієнта), вивчення клієнта та уточнення інформації про клієнта у випадках, встановлених законом;

забезпечувати виявлення фінансових операцій, що підлягають фінансовому моніторингу, до початку, в процесі, в день виникнення підозри, після їх проведення або під час спроби їх проведення чи після відмови клієнта від їх проведення, зокрема з використанням засобів автоматизації. Особливості та строки виявлення суб`єктами первинного фінансового моніторингу фінансових операцій залежно від специфіки їх діяльності можуть встановлюватися нормативно-правовими актами суб`єктів державного фінансового моніторингу, які відповідно до цього Закону виконують функції державного регулювання і нагляду за суб`єктами первинного фінансового моніторингу;

забезпечувати у своїй діяльності управління ризиками та розробляти критерії ризиків.

Внутрішній фінансовий моніторинг - сукупність заходів з виявлення фінансових операцій, що підлягають внутрішньому фінансовому моніторингу, із застосуванням підходу, що ґрунтується на проведенні оцінки ризиків легалізації (відмивання) доходів, одержаних злочинним шляхом, або фінансування тероризму; ідентифікації, верифікації клієнтів (представників клієнтів), ведення обліку таких операцій та відомостей про їх учасників; обов`язкового звітування до центрального органу виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення про фінансові операції, щодо яких виникає підозра, а також подання додаткової та іншої інформації у випадках, передбачених цим Законом (пункт 9 частини першої статті 1 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення»).

Управління ризиками - заходи, які здійснюються суб`єктами первинного фінансового моніторингу, із створення та забезпечення функціонування системи управління ризиками, яка передбачає, зокрема, визначення (виявлення), оцінку (вимірювання), моніторинг, контроль ризиків, з метою їх зменшення (пункт 43 частини першої статті 1 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення»).

Відповідно до частини третьої статті 9 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» залежно від рівня ризику проведення фінансової операції ідентифікація, верифікація клієнта здійснюються також у разі проведення ним фінансової операції на суму, визначену частиною першою статті 15 цього Закону (150 000,00 грн), незалежно від того, проводиться така фінансова операція одноразово чи як кілька фінансових операцій, які можуть бути пов`язані між собою.

Законом України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» визначаються операції, які підпадають під фінансовий моніторинг (стаття 15) та фінансові операції, підлягають внутрішньому фінансовому моніторингу (стаття 16).

Під внутрішній фінансовий моніторинг підпадають операції, якщо у суб`єкта первинного фінансового моніторингу виникають підозри, які ґрунтуються, зокрема, на:

критеріях ризиків, визначених самостійно суб`єктом первинного фінансового моніторингу з урахуванням критеріїв ризиків, встановлених центральним органом виконавчої влади з формування та забезпечення реалізації державної політики у сфері запобігання і протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму;

встановленні за результатами проведеного аналізу факту (фактів) невідповідності фінансової (фінансових) операції (операцій) фінансовому стану та/або змісту діяльності клієнта;

типологічних дослідженнях у сфері протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму чи фінансуванню розповсюдження зброї масового знищення, підготовлених та оприлюднених спеціально уповноваженим органом.

У Типології легалізації (відмивання) доходів, одержаних злочинним шляхом, додаток «Кіберзлочинність та відмивання коштів», затвердженій наказом Дерфінмоніторингу 25.12.2013 №157 (далі - Типологія), вказано, що банківська система України є однією зі сфер, де найбільш широко та активно використовуються сучасні можливості інформаційних технологій та мережі Інтернет. А враховуючи, що зазначені технології використовуються для грошових переказів, зазначена сфера привертає все більшу увагу злочинців. Несанкціоноване списання коштів з банківських рахунків, шахрайство з платіжними картками, втручання в роботу інтернет-банкінгу, розповсюдження комп`ютерних вірусів, DDoS атаки на інтернет-ресурси, шахрайство в інформаційних мережах - це не вичерпний перелік кіберзлочинів, тобто злочинів у сфері інформаційних та комп`ютерних технологій.

Типологія відносить до шахрайства в системах дистанційного банківського обслуговування (далі - ДБО) створення комп`ютерних вірусів та троянських програм для прихованого перехоплення управління комп`ютером клієнта з встановленим програмним забезпеченням ДБО.

У розділі 2.1 «Шахрайство в системах дистанційного банківського обслуговування» Типології, вказано, що дистанційне банківське обслуговування (ДБО) - загальний термін для технологій надання банківських послуг на підставі розпоряджень, переданих клієнтом віддалено (без візиту до банку). У сучасних умовах системи ДБО (Клієнт-Банк, Інтернет-Клієнт-Банк, Інтернет-банкінг тощо) стали невід`ємною частиною фінансової системи як в Україні, так і у всьому світі.

Система ДБО - це багатофункціональний програмно-технічний комплекс, що дозволяє клієнтам банку готувати і направляти в банк на виконання платіжні та інші документи, контролювати стан своїх рахунків, а також отримувати широкий спектр актуальної фінансової інформації без безпосереднього звернення до банку.

Системи ДБО, як інструмент доступу до грошових переказів, сьогодні все частіше стають мішенню для кіберзлочинців. Втручання в роботу систем ДБО найчастіше відбувається шляхом зараження комп`ютера вірусним програмним забезпеченням через шкідливу спам-розсилку, відвідування заражених сайтів або використання заражених магнітних носіїв.

Завантаження вірусу на комп`ютер жертви відбувається практично непомітно. Основне завдання вірусу на початковому етапі - це спостереження, збір інформації і передача його на комп`ютер шахраїв. Вірус може викрадати паролі доступу до систем ДБО, ключі електронного цифрового підпису, зчитувати реквізити платежів. Це також можуть бути програми, що відстежують появу на екрані вікна підключення до ДБО з метою подальшого перехоплення секретної інформації, яка вводиться в це вікно, або копіюють вміст буфера обміну в момент підключення до систем електронних платежів.

Мета шахраїв спотворити інформацію, сформувати за допомогою ДБО і провести платіж, який за змістом не буде виділятися в потоці звичайної діяльності жертви, але переведе гроші на рахунки підставної особи або фіктивної фірми, використовуючи звичайне для даного клієнта призначення платежу.

У Типології вказано, що індикаторами підозрілості фінансових операцій зазначеної спрямованості для банківських установ опосередковано можуть бути наступні фактори, зокрема:

спроба входу із забороненого/нового IP-адресу;

трансакції в нестандартний час або підключення до системи у вечірній час;

незвичайні умови або складність операції: висока частота переказів коштів протягом невеликого періоду часу, велика кількість різноманітних джерел походження коштів та платіжних методів (інструментів);

спроби зняти кошти в день їх зарахування;

операції не відповідають попереднім операціям клієнта.

Відповідно до частини першої статі 17 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» суб`єкт первинного фінансового моніторингу має право зупинити здійснення фінансової (фінансових) операції (операцій), яка (які) містить (містять) ознаки, передбачені статтями 15 та/або 16 цього Закону, та/або фінансові операції із зарахування чи списання коштів, що відбувається в результаті дій, які містять ознаки вчинення злочину, визначеного Кримінальним кодексом України, та зобов`язаний зупинити здійснення фінансової (фінансових) операції (операцій), якщо її учасником або вигодоодержувачем за ними є особа, яку включено до переліку осіб, пов`язаних з провадженням терористичної діяльності або щодо яких застосовано міжнародні санкції (якщо види та умови застосування санкцій передбачають зупинення або заборону фінансових операцій), і в день зупинення повідомити спеціально уповноваженому органу в установленому законодавством порядку про таку (такі) фінансову (фінансові) операцію (операції), її (їх) учасників та про залишок коштів на рахунку (рахунках) клієнта, відкритому (відкритих) суб`єктом первинного фінансового моніторингу, який зупинив здійснення фінансової (фінансових) операції (операцій), та у разі зарахування коштів на транзитні рахунки суб`єкта первинного фінансового моніторингу - про залишок коштів на таких рахунках в межах зарахованих сум. Таке зупинення фінансових операцій здійснюється на два робочих дні з дня зупинення (включно).

З огляду на викладене, а також, враховуючи встановлені судами попередніх інстанцій за результатами нового розгляду фактичні обставини справи, колегія суддів вважає, що суди не врахували вимог чинного законодавства, відповідно до яких відповідальний працівник банку (відповідача), який обслуговує рахунок позивача і отримав для виконання платіжні доручення позивача, мав звернути увагу на очевидні ознаки сумнівності (підозрілості) фінансових операцій, про які стверджує позивач, і зупинити такі операції:

1) очевидна невідповідність суми (1 250 000,00 грн), яка надійшла на рахунок, та сум, які списані з рахунку (1 270 000,00 грн), профайлу клієнта банку (опису його ділової активності, розміру надходжень протягом першого кварталу обслуговування, розміру разових платіжних операцій в анкеті-заяві, яка заповнюється з метою ідентифікації клієнта банку, тобто з метою здійснення фінансового моніторингу);

2) розбивка платежу 1 250 000,00 грн, яким власні кошти позивача були перераховані з рахунка позивача у ПрАТ «Раффайзен Банк Аваль» на рахунок позивача, відкритий у відповідача, на 8 окремих платіжних доручень, причому всі 8 платіжних доручень надійшли в межах часового інтервалу - з 11.48 до 11.50 03.12.2018; у випадку, якщо клієнт банку перераховував власні кошти не було жодної потреби чи причини дробити цей платіж на 8 окремих платіжних доручень з тим, щоб кожна сума не перевищувала ліміт 150 000,00 грн;

3) виведення значної суми, яка надійшла на рахунок позивача у АТ КБ «Приватбанк» з рахунку у той самий день, через 36 хвилин після їх зарахування, на рахунки трьох юридичних осіб із дробленням платежів - на кожну юридичну особу було здійснено по три платежі з тим щоб кожна сума не перевищувала ліміт 150 000,00 грн;

4) відсутність у позивача попередніх платежів на цих отримувачів.

Верховний Суд звертає увагу на те, що ознаки сумнівності, вказані у пунктах 2 та 3, є очевидними для будь-якої розумної людини, а не тільки для працівника банку, який повинен був бути ознайомлений з вимогами чинного законодавства та внутрішніми положеннями банку, які регулюють здійснення фінансового моніторингу у банку.

Позивач також звертав увагу на ознаки фіктивності трьох юридичних осіб - отримувачів платежів (всі вони створені однією фізичною особою, зареєстровані як юридичні особи незадовго до дати проведення операцій). Факт наявності таких осіб в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань на час розгляду справи судом жодним чином не свідчить про те, що такі юридичні особи не є фіктивними (створеними без мети здійснення господарської діяльності) і не могли використовуватися для вчинення злочину (несанкціонованого списання коштів з рахунку позивача).

Отже, суди попередніх інстанцій не оцінили дії банку при проведенні відповідних фінансових операцій на відповідність зазначеним нормам законодавства та внутрішнім положенням банку, не перевірили чи були підстави для зупинення відповідних фінансових операції уповноваженим працівником банку для проведення їх додаткової перевірки.

5.9. Закон України «Про основні засади забезпечення кібербезпеки України» покладає на банки обов`язок з забезпечення кібербезпеки.

Закон України «Про основні засади забезпечення кібербезпеки України» визначає кібербезпеку як захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі (пункт 5 частини першої статті 1).

Банки в силу статті 5 Закону України «Про основні засади забезпечення кібербезпеки України» є суб`єктами забезпечення кібербезпеки.

Відповідно до частини п`ятої статті 5 Закону України «Про основні засади забезпечення кібербезпеки України» суб`єкти забезпечення кібербезпеки у межах своєї компетенції:

1) здійснюють заходи щодо запобігання використанню кіберпростору у воєнних, розвідувально-підривних, терористичних та інших протиправних і злочинних цілях;

2) здійснюють виявлення і реагування на кіберінциденти та кібератаки, усунення їх наслідків;

3) здійснюють інформаційний обмін щодо реалізованих та потенційних кіберзагроз;

4) розробляють і реалізують запобіжні, організаційні, освітні та інші заходи у сфері кібербезпеки, кібероборони та кіберзахисту;

5) забезпечують проведення аудиту інформаційної безпеки, у тому числі на підпорядкованих об`єктах та об`єктах, що належать до сфери їх управління;

6) здійснюють інші заходи із забезпечення розвитку та безпеки кіберпростору.

Інцидент кібербезпеки (далі - кіберінцидент) - подія або ряд несприятливих подій ненавмисного характеру (природного, технічного, технологічного, помилкового, у тому числі внаслідок дії людського фактора) та/або таких, що мають ознаки можливої (потенційної) кібератаки, які становлять загрозу безпеці систем електронних комунікацій, систем управління технологічними процесами, створюють імовірність порушення штатного режиму функціонування таких систем (у тому числі зриву та/або блокування роботи системи, та/або несанкціонованого управління її ресурсами), ставлять під загрозу безпеку (захищеність) електронних інформаційних ресурсів (пункт 3 частини першої статті 1 Закону України «Про основні засади забезпечення кібербезпеки України»).

Інформація про інцидент кібербезпеки - відомості про обставини кіберінциденту, зокрема про те, які об`єкти кіберзахисту і за яких умов зазнали кібератаки, які з них успішно виявлені, нейтралізовані, яким запобігли за допомогою яких засобів кіберзахисту, у тому числі з використанням яких індикаторів кіберзагроз (пункт 2 частини першої статті 1 Закону України «Про основні засади забезпечення кібербезпеки України»).

Кіберзахист - сукупність організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем (пункт 7 частини першої статті 1 Закону України «Про основні засади забезпечення кібербезпеки України»).

Кіберзлочин (комп`ютерний злочин) - суспільно небезпечне винне діяння у кіберпросторі та/або з його використанням, відповідальність за яке передбачена законом України про кримінальну відповідальність та/або яке визнано злочином міжнародними договорами України (пункт 8 частини першої статті 1 Закону України «Про основні засади забезпечення кібербезпеки України»).

Отже несанкціоноване списання коштів з рахунку позивача є не просто помилковим платежом, а інцидентом кібербезпеки, який мав бути зафіксований та розслідуваний банком відповідно до приписів Закону «Про основні засади забезпечення кібербезпеки України».

Суди попередніх інстанцій для вирішення питання щодо наявності вини банку у здійсненні помилкового платежу, який є інцидентом кібербезпеки, повинні були з`ясувати, чи були дотримані відповідачем приписи законодавства про кібербезпеку.

5.10. На переконання судів попередніх інстанцій, до даних правовідносин Положення про порядок емісії електронних платіжних засобів і здійснення операцій з їх використанням, затвердженого постановою правління НБУ від 05.11.2014 №705 (далі - Положення №705) не застосовується, оскільки правовідносини сторін у справі не передбачали емісію (випуск) Банком платіжних карток або інших визначених законодавством видів електронних платіжних засобів для використання їх позивачем за допомогою платіжних пристроїв. Проте, колегія суддів вважає зазначений висновок передчасним з огляду на наступне.

Відповідно до пункту 3 розділу І Положення №705 вимоги цього Положення поширюються на платіжні організації, учасників платіжних систем, які є суб`єктами відносин, що виникають під час здійснення операцій, ініційованих із використанням електронних платіжних засобів цих платіжних систем та їх користувачів.

Платіжна операція - дія, ініційована користувачем електронного платіжного засобу, з унесення або зняття готівки з рахунку, здійснення розрахунків у безготівковій формі з використанням цього електронного платіжного засобу та/або його реквізитів за банківськими рахунками (підпункт 7 пункту 4 Положення).

Відповідно до пункту 1 розділу 2 Положення емісія електронних платіжних засобів у межах України проводиться виключно банками, що уклали договір з платіжною організацією платіжної системи та отримали її дозвіл на виконання цих операцій (крім банків, які здійснюють емісію електронних платіжних засобів для використання в межах цих банків).

Згідно із пунктами 2 та 3 розділу ІІ Положення №705 користувачем електронного платіжного засобу (далі - користувач) може бути юридична або фізична особа. Емітент має право надавати фізичним особам, які не здійснюють підприємницької діяльності, особисті електронні платіжні засоби, а суб`єктам господарювання - корпоративні електронні платіжні засоби. Електронний платіжний засіб, за допомогою якого можна ініціювати переказ з рахунку користувача, має дозволяти ідентифікувати користувача. Ідентифікація користувача може здійснюватися за реквізитами електронного платіжного засобу, нанесеними на нього в графічному та електронному вигляді.

Пунктом 12 розділу ІІ Положення №705 передбачено, що електронний платіжний засіб може існувати в будь-якій формі, на будь-якому носії, що дає змогу зберігати інформацію, необхідну для ініціювання електронного переказу.

Відповідно до пунктів 1 - 3 розділу ІV Положення №705 Банк має право здійснювати емісію електронних платіжних засобів у вигляді мобільного платіжного інструменту та обслуговування операцій з їх використанням, передбачених правилами платіжної системи, відповідно до умов договору та вимог цього Положення. Мобільний платіжний інструмент може бути реалізований в апаратно-програмному середовищі мобільного телефону або іншому бездротовому пристрої користувача (далі - мобільний пристрій), що обслуговує оператор телекомунікацій. Мобільні платежі здійснюються користувачами за банківськими рахунками.

Проте, судами попередніх інстанцій залишено поза увагою, що за умовами, встановленими Банком відповідно до Умов та правил надання банківських послуг АТ КБ «ПриватБанк», до яких приєдналося і ПСП «Фацелія», дистанційне обслуговування рахунку клієнт може здійснювати за допомогою системи «Приват24 для бізнесу», «Платіж телефоном», що існують у вигляді мобільного додатку. При цьому суди не з`ясовували наявність у позивача мобільного додатку.

До того ж, аналогічні положення щодо покладення відповідальності за неналежний переказ, які відповідають змісту пунктів 8, 9 розділу VI Положення №705, передбачені пунктами 3.8.2.3.1.7 та 3.8.2.3.1.8 Умов та правил надання банківських послуг АТ КБ «Приватбанк».

5.11. Всупереч положень статей 236 310 316 Господарського процесуального кодексу України, суди попередніх інстанцій під час нового розгляду так і не надали належної правової оцінки змісту листа №20.1.0.0.0/7-181210/760 від 08.01.2019 відповідача на предмет того, які саме умови і правила надання банківських послуг були порушені позивачем.

Банк стверджує про відсутність внутрішнього службового розслідування, проведеного по факту несанкціонованого списання коштів з рахунку клієнта. Без проведення такого розслідування твердження Банку про допущенні клієнтом порушення кібербезпеки, які призвели до несанкціонованого зняття коштів з його рахунку, не може вважатися доведеними, презумпція вини клієнта банку у несанкціонованому доступі і втручанні третіх осіб в систему дистанційного обслуговування не відповідає вимогам чинного законодавства, яке саме на банк покладає вимоги забезпечення безпеки електронних платежів і дистанційного обслуговування.

До того ж, невиконання відповідачем ухвали суду з витребовування матеріалів внутрішнього розслідування (яке є обов`язковим), з приводу несанкціонованого списання коштів з рахунку клієнта банку, має бути оцінено судом відповідно до приписів частини десятої статті 81 Господарського процесуального кодексу України.

Висновки судів попередніх інстанцій на підтвердження вини позивача у сприянні списання стосовно того, що жорсткий диск комп`ютера містив програму, яка могла пересилати дані інтернет-банкінгу на сторонні електронні адреси, зробленого на підставі висновку експертизи, колегія суддів вважає передчасним, оскільки пункт 3 висновку експерта, містить лише припущення, що зазначене шкідливе програмне забезпечення може мати доступ до даних аутентифікації Інтернет-банкінгу.

При цьому, оскільки причиною несанкціонованого списання коштів з рахунку клієнта могли бути як дії самого клієнта банку з недотримання приписів інформаційної безпеки так і дії банку (недостатня захищеність системи дистанційного обслуговування від несанкціонованого втручання), то для з`ясування того чи мав місце факт такого втручання, а також його причини (недотримання банком вимог щодо забезпечення кібербезпеки при дистанційному обслуговуванні клієнтів, чи порушення клієнтом правил кібербезпеки, встановлених банком) суд повинен був призначити судову експертизу (вирішення цих питань потребує спеціальних знань).

5.12. Відповідно до статті 236 Господарського процесуального кодексу України судове рішення повинно ґрунтуватися на засадах верховенства права, бути законним і обґрунтованим.

Законним є рішення, ухвалене судом відповідно до норм матеріального права при дотриманні норм процесуального права. Судове рішення має відповідати завданню господарського судочинства, визначеному цим Кодексом.

Обґрунтованим є рішення, ухвалене на підставі повно і всебічно з`ясованих обставин, на які сторони посилаються як на підставу своїх вимог і заперечень, підтверджених тими доказами, які були досліджені в судовому засіданні, з наданням оцінки всім аргументам учасників справи.

Разом з тим, як вбачається з оскаржуваних судових рішень, вони зазначеним критеріям не відповідають, а суд касаційної інстанції позбавлений можливості встановлювати або вважати доведеними обставини, що не були встановлені у рішенні або постанові суду чи відхилені ним, вирішувати питання про достовірність того чи іншого доказу, про перевагу одних доказів над іншими, збирати чи приймати до розгляду нові докази або додатково перевіряти докази.

6. Висновки за результатами розгляду касаційної скарги

6.1. Відповідно до положень частини другої статті 300 Господарського процесуального кодексу України суд касаційної інстанції, здійснюючи касаційний розгляд, не має права встановлювати або вважати доведеними обставини, що не були встановлені у рішенні або постанові суду чи відхилені ним, вирішувати питання про достовірність того чи іншого доказу, про перевагу одних доказів над іншими, збирати чи приймати до розгляду нові докази або додатково перевіряти докази.

6.2. Пунктом 2 частини першої статті 308 Господарського процесуального кодексу України встановлено, що суд касаційної інстанції за результатами розгляду касаційної скарги має право скасувати судові рішення судів першої та апеляційної інстанцій повністю або частково і передати справу повністю або частково на новий розгляд, зокрема за встановленою підсудністю або для продовження розгляду.

6.3. Згідно з частиною третьою статті 310 Господарського процесуального кодексу України підставою для скасування судового рішення та направлення справи на новий розгляд є також порушення норм процесуального права, на які посилається скаржник у касаційній скарзі, що унеможливило встановлення фактичних обставин, які мають значення для правильного вирішення справи, якщо суд не дослідив зібрані у справі докази, за умови висновку про обґрунтованість заявлених у касаційній скарзі підстав касаційного оскарження, передбачених пунктами 1, 2, 3 частини другої статті 287 цього Кодексу.

6.4. Беручи до уваги те, що суди попередніх інстанцій допустили неправильне застосування норм матеріального права та порушили норми процесуального права, в тому числі, положень частини першої статті 316 Господарського процесуального кодексу України, що унеможливило встановлення фактичних обставин, які мають значення для правильного вирішення справи, оскільки не дослідили всі зібрані у справі докази та не надали їм належної оцінки, а у Верховного Суду відсутня процесуальна можливість з`ясувати дійсні обставини справи, що перешкоджає ухвалити нове рішення у справі, то це є підставою для його скасування та передання справи на новий розгляд до суду першої інстанції.

7. Судові витрати

7.1. Оскільки суд касаційної інстанції не змінює та не ухвалює нового рішення, розподіл судових витрат відповідно до частини чотирнадцятої статті 129 Господарського процесуального кодексу України судом касаційної інстанції не здійснюється.

Керуючись статтями 236 238 300 301 308 310 314 315 316 317 Господарського процесуального кодексу України, суд

П О С Т А Н О В И В:

1. Касаційну скаргу Приватного сільськогосподарського підприємства «Фацелія» задовольнити частково, рішення Господарського суду міста Києва від 28.09.2021 та постанову Північного апеляційного господарського суду від 14.12.2021 у справі №922/4091/21 скасувати, а справу направити на новий розгляд до Господарського суду міста Києва.

2. Постанова набирає законної сили з моменту її прийняття, є остаточною та не підлягає оскарженню.

Головуючий В. Студенець

Судді О. Баранець

О. Кібенко

Политика
О нас
Реклама
Правила