Юридична практика
Помилкові платіжні операції. На що потрібно звертати увагу судам для встановлення незаконності дій банківських установ
Ще в травні 2015 року Верховний Суд України, ухваливши постанову в справі № 760/2409/14-ц, встановив правила, за якими слід визначати, чи повинен банк відшкодовувати громадянам збитки, заподіяні шахрайським викраденням коштів з їх рахунків. Тоді йшлося про фізичних осіб, а що стосується юридичних, то суди ще довго після того сповідували принцип такої собі презумпції винуватості підприємства в тому, що воно стало жертвою злочину. Й лише майже через вісім років Верховний Суд у складі колегії суддів Касаційного господарського суду, ухваливши постанову від 21 червня 2023 р. у справі № 922/4091/19, суттєво змінив таке упереджене ставлення судової системи до представників бізнесу.
Коли раптово гасне екран…
У даній ситуації в ролі жертви опинилося невеличке Приватне сільськогосподарське підприємство «Фацелія», яке здійснювало діяльність у Харківській області. В грудні 2018-го з ним трапилася халепа, яка доволі часто виникає в юридичних осіб. В один із робочих днів його бухгалтерка зі свого комп’ютера зайшла до системи «клієнт–банк», встановлену Акціонерним товариством «Райффайзен банк», як раптом з екрану зникло звичне зображення й натомість з’явився напис про те, що комп’ютер перезавантажується, тож його не треба вимикати. Оскільки машина так і не перезавантажилася ні через годину, і навіть через дві, жінка вимкнула її з мережі й увімкнула знову, після чого виявила, що з дисків зникла низка програм, у тому числі й «клієнт–банк».
Наступного дня системний адміністратор, оглянувши цей комп’ютер, повідомив, що внаслідок зловмисної атаки він був заражений вірусом і встановив на нього нове програмне забезпечення, але то було для підприємства ще не найбільшою бідою – коли за допомогою оператора «Райффайзен банку» бухгалтерка встановила нову програму «клієнт–банк» і створила для неї новий електронний ключ, виявилося що з рахунків зникли кошти в сумі 1 270 тисяч гривень. Причому крадіжка грошей відбулася в два прийоми: спочатку вони без волі й згоди на те їхнього законного власника були переказані на рахунок цього ж підприємства, тільки в іншій фінустанові під назвою АТ КБ «Приватбанк». Втім і це ще тільки півбіди (ну подумаєш – перерозподіл власних коштів), а от найбільшою неприємністю було те, що з цього самого рахунку в Приватбанку гроші протягом двох хвилин з розбивкою на 10 окремих платежів були перекинуті до третього учасника цієї історії – АТ «Перший український міжнародний банк», але вже на рахунки невідомій підприємству юридичній особі, в якої воно не придбавало жодних товарів чи послуг і взагалі ніколи не мало з нею господарсько-правових відносин.
Читайте також: Спадкоємці проти банків
У зв’язку з цим було подано дві заяви: одну до органів поліції про вчинення злочину, другу – до Приватбанку з вимогою повернення коштів, причому в обох із них вказувалося, що протиправне списання коштів могло статися з вини працівників банку, які відповідають за безпеку проведення грошових операцій, оскільки вони мали доступ до логіну й паролю заявника. Також зазначалося, що платіж навмисне був розбитий на 10 частин, щоб жоден із них не перевищував 150 тисяч гривень і не підпадав під обов’язковий фінансовий моніторинг, про який детальніше пояснюється нижче. Поліція, реагуючи на звернення, відкрила кримінальне провадження за фактом крадіжки без жодної, звичайно, надії коли-небудь розкрити цей злочин, а Приватбанк відмовився повертати викрадені кошти, мотивуючи це тим, що працівники підприємства, мовляв, самі винуваті в тому, що сталося, оскільки порушили умови та правила користування системою дистанційного банківського обслуговування «Приват24», внаслідок чого логін з паролем стали відомі зловмисникам.
Не отримавши від цього листування жодного позитивного результату, підприємство в жовтні 2019-го подало до Господарського суду Києва позовну заяву, в якій вимагало стягнути з Приватбанку незаконно списані ним 1 270 тисяч гривень, а крім того, стягнути з нього пеню в сумі 240 тисяч гривень, яка накапала протягом цих 10 місяців. Тут варто зазначити, що така форма відповідальності була передбачена чинним на той період Законом «Про платіжні системи та переказ коштів в Україні», відповідно до положень статті 32 згідно якого банк, у разі вчинення незаконного переказу, має не лише повернути законному власнику рахунку списані з нього кошти, а й сплатити пеню в розмірі процентної ставки, що встановлена цим банком по короткострокових кредитах, за кожний день, починаючи від дня помилкового переказу до дня повернення її суми. Позивач, зрозуміло, не знав і не міг знати, коли настане цей самий день повернення, а тому назвав у позовній заяві вирахувану ним суму пені, яка набігла з дня списання грошей до моменту звернення до суду. Через чотири роки по тому «хвіст» уже певно перевищує «тіло боргу».
Світова судова практика змінила підхід
Якщо вірити керівництву департаменту кіберполіції НПУ, то крадіжки грошей з банківських рахунків найчастіше вчиняються працівниками банків, які мають доступ до систем управління коштами клієнтів. Попервах (причому не лише в Україні, а й у набагато більш розвинених країнах світу) у ході вирішення подібних спорів суди грішили тим, що вірили банкам і «вішали» в подібних випадках провину на їхніх клієнтів: ви, мовляв, самі винуваті в тому, що дали комусь покористуватися своєю банківською карткою чи розголосили пароль. Із часом правова концепція стала мінятися й суди вирішили, що в подібних випадках не обкрадений клієнт має доводити, що він нікому нічого не давав і не розголошував, а навпаки, банк повинен надати суду переконливі докази, що крадіжка була вчинена з вини клієнта.
Читайте також: Банки, фінансові компанії та кредитні спілки звітуватимуть про активні операції
Така зміна позиції спричинила гостру критику з боку банкірів, оскільки, на їх думку, вона відкривала шлюзи «симулянтам». Адже за таких умов зловмисник може зняти з рахунку гроші й сказати, що його обікрали, а ти, банку, доводь, що це не так. Тож, якщо раніше банкіри мали остерігатися недобросовісних позичальників, то тепер повинні будуть підозрювати в потенційному шахрайстві кожного вкладника. Проте в ході гострих дискусій суди більшості країн дійшли висновку, що все ж таки слід виходити з принципу презумпції невинуватості клієнта. В Україні такий правовий підхід було запроваджено згаданою вище постановою ВСУ від 13.05.2015 р. в справі № 760/2409/14-ц, але на практиці часто буває, що суди не лише низових, а й іноді й касаційної інстанції, стають у подібних спорах на бік банків.
Щось подібне спостерігалося й у нашій справі, пов’язаній із ПСП «Фацелія», оскільки Господарський суд Києва тричі ухвалював рішення про відмову в задоволенні її позову, які Північний апеляційний господарський суд своїми постановами залишав без змін. Натомість Верховний суд двічі скасовував їхні вердикти й відправляв справу на новий розгляд до суду першої інстанції, а на третій, видно, не витримав і не лише скасував, а й ухвалив нове рішення, яким позовні вимоги повністю задовольнив, ухваливши стягнути з Приватбанку зазначені вище суми, а на додачу ще й присудив сплатити позивачеві за рахунок відповідача судовий збір за подання позову та пов’язаних із ним апеляційної й касаційної скарг на загальну суму 260 тисяч гривень.
Поверховість судів попередніх інстанцій
У цій ситуації обидві сторони погоджувалися з тим, що несанкціоноване списання коштів спричинили злочинні дії третіх осіб, але при цьому підприємство вважало, що банк міг і повинен був заблокувати виконання ініційованих шахраями платіжних доручень, натомість відповідач стверджував, що ці доручення оформлені належним чином, супроводжувалися коректним вводом логіну й паролю, містили електронний цифровий підпис керівника, тож фінансова установа не мала права відмовити в проведенні платіжних операцій, що мали всі ознаки законності. Суди попередніх інстанцій вирішили, що банк добросовісно виконав усі вимоги законів та умов договору з клієнтом, а тому не повинен нести відповідальності за дії зловмисників. Проте Верховний Суд встановив, що ті не повною мірою дослідили обставини справи.
Так поліція опитала чоловіка, на якого була записана фірма, куди пішли 1 270 тисяч вкрадених у підприємства гривень, але той і сам не знав, що був її засновником, оскільки вона була оформлена на його ім’я з використанням втраченого паспорта. Отже, з точки зору Кримінального кодексу списання коштів вважалося злочином, а з точки зору Закону «Про основні засади забезпечення кібербезпеки України» дана подія кваліфікується як інцидент кібербезпеки, який вимагає ретельного розслідування з боку банку. Разом із тим Приватбанк не провів такого службового розслідування й не долучив до судової справи його матеріалів, чим порушив вимоги закону. Це свідчило про те, що дана фінансова установа допускає недбалість у роботі з коштами клієнтів і цей факт, кинутий на шальки терезів, переважував їх не на користь банку.
Але найцікавіший момент цієї історії був пов’язаний із неналежним виконанням позивачем Закону «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення». ГС Києва та Північний АГС вирішили, що раз кожна з десяти спірних платіжних операцій не перевищувала встановлений ним поріг у 150 тисяч гривень, то банк і не був зобов’язаний додатково перевіряти законність їх проведення. На відміну від них Верховний Суд звернув увагу не лише на закон, а й на підзаконний акт, а саме Типологію легалізації (відмивання) доходів, одержаних злочинним шляхом, затверджену наказом Державної служби фінансового моніторингу від 25 грудня 2013 р. № 157, зокрема її розділ 2.1 «Шахрайство в системах дистанційного банківського обслуговування».
А в ньому вказано, що індикаторами підозрілості фінансових операцій є висока частота переказів коштів протягом невеликого періоду часу, а також те, що операції не відповідають попереднім операціям клієнта. Виходячи з цього, банк повинен був якщо не після другої, то принаймні після третьої операції, що проводилися з інтервалом у десять секунд, заблокувати перерахування до з’ясування обставин. Крім того, його працівники повинні були звернути увагу на те, що раніше це підприємство перераховувало кошти лише своїм постійним контрагентам і не більше 200 – 300 тисяч гривень за раз, а тут раптом більше мільйона фірмі, з якою раніше ніколи не мало справи. Звичайно, зробити це «вручну» співробітники банку не могли, оскільки, наприклад, саме в той грудневий день 2018-го Приватбанк виконав на вимогу клієнтів 9 мільйонів операцій, з яких близько 300 тисяч переказів. Але на те ж і придумане програмне забезпечення, в яке мають бути закладені всі параметри передбачених законом перевірок. А раз не виконав ці вимоги – плати.
Джерело: Юридичний вісник України