ПОСТАНОВА
ІМЕНЕМ УКРАЇНИ
21 червня 2023 року
м. Київ
cправа № 922/4091/19
Верховний Суд у складі колегії суддів Касаційного господарського суду:
Кібенко О.Р. - головуючий, Бакуліна С.В., Кондратова І.Д.,
за участю секретаря судового засідання - Шпорт В.В.,
представників учасників справи:
Приватного сільськогосподарського підприємства "Фацелія" - Куц К.К.,
Акціонерного товариства Комерційний банк "Приватбанк" в особі філії "Харківське головне регіональне управління" Акціонерного товариства Комерційний банк "Приватбанк" - Лопатнікова А.В.,
розглянув у відкритому судовому засіданні касаційну скаргу Приватного сільськогосподарського підприємства "Фацелія"
на рішення Господарського суду міста Києва від 16.11.2022 (суддя Андреїшина І.О.)
та постанову Північного апеляційного господарського суду від 15.02.2023 (колегія суддів: Андрієнко В.В., Буравльов С.І., Шапран В.В.)
у справі за позовом Приватного сільськогосподарського підприємства "Фацелія" (далі - ПСП "Фацелія")
про стягнення 1 510 030,00 грн.
Суть спору
1. ПСП "Фацелія" мало поточні банківські рахунки у двох банках - АТ "Райффайзен Банк" та АТ КБ "Приватбанк".
2. 03.12.2018 бухгалтер ПСП "Фацелія" ОСОБА_1 на своєму робочому комп`ютері, з метою проведення необхідних господарських операцій, зайшла до системи "клієнт-банк" у АТ "Райффайзен Банк". Орієнтовно об 11:40 екран комп`ютера погаснув та з`явився напис про те, що комп`ютер перезавантажується і його не треба вимикати; через незначний проміжок часу ОСОБА_1 вимкнула комп`ютер із мережі через те, що він так і не перезавантажився. В цей же день в вечірній час ОСОБА_1 спробувала включити комп`ютер, що їй вдалося, однак працювати на комп`ютері вона не змогла, оскільки комп`ютер був заражений вірусом - робочий стіл став чорний і зникли деякі програми. 04.12.2018 майстер підтвердив, що комп`ютер заражений вірусом; бухгалтер не змогла зайти до системи "клієнт-банк" у АТ "Райффайзен Банк", з`явилася помилка, оскільки програма вже відкрита. 05.12.2018 бухгалтер з допомогою оператора АТ "Райффайзен Банк" встановила іншу програму "клієнт-банк" та створила новий ключ.
3. Після входу в програму "клієнт-банк" 06.12.2018 бухгалтер виявила, що 03.12.2018 було здійснено перерахування коштів у сумі 1 250 000,00 грн з рахунку ПСП "Фацелія" у АТ "Райффайзен Банк" на рахунок підприємства у АТ КБ "Приватбанк" як перерозподіл власних коштів з розбивкою на 8 окремих платежів, які були проведені протягом двох хвилин.
4. В цей же день всі кошти з рахунка ПСП "Фацелія" були перераховані на рахунки трьох юридичних осіб, відкриті у ПАТ "ПУМБ" незадовго до інциденту, з якими у позивача відсутні будь-які правовідносини. Таке перерахування відбулося з розбивкою на 10 окремих платежів, з тим, щоб сума кожного не перевищувала 150 000,00 грн (сума, з якої операція підпадає під обов`язковий фінансовий моніторинг), 9 з них були зроблені протягом однієї хвилини.
5. ПСП "Фацелія" просило АТ КБ "Приватбанк" сприяти у поверненні коштів, провести службову перевірку для встановлення осіб у Банку, причетних до вказаного випадку. Крім того стверджувало, що безпідставне списання коштів могло статися з вини працівників Банку, що відповідають за безпеку проведення грошових операцій, зауважувало, що працівники Банку мали доступ до логіну та паролю ПСП "Фацелія".
6. АТ КБ "Приватбанк" відмовило ПСП "Фацелія" у задоволенні вимоги про повернення списаних грошових коштів. У своїй відповіді зазначило, що в результаті проведеного розслідування встановлено факт несанкціонованого зняття коштів з рахунку; аналіз обставин, які сприяли використанню коштів третіми особами, вказав, що ПСП "Фацелія" порушило умови і правила надання банківських послуг, зокрема, використання системи дистанційного банківського обслуговування Приват24 та правил дистанційного управління рахунком, у зв`язку з чим кошти не можуть бути повернуті Банком.
7. ПСП "Фацелія" звернулося до правоохоронних органів із заявою про вчинення злочину та до господарського суду з позовом, у якому просило стягнути з Банку помилково списані з рахунку підприємства кошти.
8. Справа розглядалася господарськими судами неодноразово. Верховний Суд двічі направляв справу на новий розгляд до суду першої інстанції. За наслідками нового розгляду справи суди попередніх інстанцій втретє відмовили у задоволенні позову, мотивуючи свої рішення відсутністю вини Банку у несанкціонованому списанні коштів. Позивач звернувся з касаційною скаргою до Верховного Суду.
9. Перед Верховним Судом у цій справі постали такі питання:
- за яких умов у банку виникає обов`язок повернути кошти на рахунок клієнта відповідно до приписів ч.1 ст.1073 Цивільного кодексу України (далі - ЦК), якщо їх помилкове (несанкціоноване) списання відбулося внаслідок злочинних дій;
- чи є юридична особа, суб`єкт господарювання, слабкою стороною у відносинах з банком;
- чи сприяв позивач втраті, незаконному використанню інформації, що дало можливість третім особам ініціювати несанкціоновані платіжні операції;
- чи поширюється на спірні відносини законодавство про кібербезпеку та фінансовий моніторинг;
- чи мав Банк можливість зупинити проведення підозрілих операцій, які призвели до несанкціонованого списання коштів з рахунку клієнта?
10. Верховний Суд касаційну скаргу задовольнив та ухвалив нове рішення про задоволення позову, виходячи з таких мотивів.
ІСТОРІЯ СПРАВИ
Короткий зміст позовних вимог
11. ПСП "Фацелія" звернулося до Господарського суду Харківської області з позовом до АТ КБ "Приватбанк" про стягнення 1 270 000,00 грн, що були безпідставно списані з поточного рахунку позивача, відкритого в філії Харківського ГРУ АТ КБ "Приватбанк", та пені в сумі 240 030,00 грн за несвоєчасне повернення безпідставно списаних коштів.
12. Позовні вимоги мотивовані тим, що:
- АТ КБ "Приватбанк" безпідставно відмовилося повертати ПСП "Фацелія", протиправно списані кошти з розрахункового рахунку останнього;
- матеріально-правовою підставою позову є Закон "Про платіжні системи та переказ коштів в Україні" та пункти 8, 9 розд.VI Положення про порядок емісії електронних платіжних засобів і здійснення операцій з їх використанням, затвердженого постановою Правління Національного банку України (далі - НБУ) від 05.11.2014 №705 (далі - Положення №705);
- АТ КБ "Приватбанк" не виконало вимог Закону "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі - Закон №1702-VII) щодо зупинення операцій з протиправного списання коштів з рахунку позивача, внаслідок чого останньому завдано майнової шкоди на суму списаних коштів відповідно до ст.1166 ЦК;
- Банк має сплатити пеню за неповернення безпідставно списаних коштів відповідно до Інструкції про безготівкові розрахунки в Україні в національній валюті, затвердженої постановою Правління НБУ від 21.01.2004 №22 (далі - Інструкція №22).
Фактичні обставини справи, встановлені судами попередніх інстанцій
13. 05.09.2018 ПСП "Фацелія" подало до АТ КБ "Приватбанк" анкету-заяву з проханням відкрити поточний рахунок № НОМЕР_1 ; особою з правом фінансового підпису вказало ОСОБА_2 (генеральний директор), який має право розпоряджатися рахунками; уповноважені особи - відсутні; обороти, які плануються / очікуються в першому кварталі після відкриття рахунку - 500 000,00 грн; фінансові операції з готівкою, які плануються / очікуються в першому кварталі після відкриття рахунку: сума списань - 450 000,00 грн, сума зарахувань - 550 000,00 грн; основні контрагенти відсутні.
14. ОСОБА_2 цією анкетою-заявою відповідно до ст.634 ЦК у повному обсязі приєднався до Умов та правил надання банківських послуг АТ КБ "Приватбанк", що розміщені на офіційному сайті Банку в мережі інтернет за адресою: privatbank.ua, та які разом з пам`яткою клієнта і тарифами становлять договір банківського обслуговування. Також вказана особа підтвердила, що в разі використання ним електронного підпису або іншого аналогу власноручного підпису для підписання цієї анкети-заяви, такий підпис прирівнюється до його власноручного підпису. Анкету-заяву складено та підписано клієнтом та банком 05.09.2018.
15. Анкета-заява складена та підписана клієнтом та банком 05.09.2018.
16. 07.09.2018 АТ КБ "Приватбанк" видало ПСП "Фацелія" довідку №180907SU14381002 про відкриття рахунку (поточного) № НОМЕР_1 у валюті - українська гривня, дата відкриття 06.09.2018.
17. За період 06.09.2018 - 03.12.2018 на рахунок ПСП "Фацелія", відкритий в AT КБ "Приватбанк", перераховувалися власні кошти з рахунку, відкритого у АТ "Райффайзен Банк", зокрема: 07.09.2018 - на суми 100 000,00 грн та 460 000,00 грн, 11.09.2018 - 260 000,00 грн, 10.10.2018 - 200 000,00 грн, тощо. Надалі ці кошти спрямовувалися позивачем на рахунки різних контрагентів як оплата за послуги/товар/виконання договірних зобов`язань.
18. 03.12.2018 на рахунок № НОМЕР_2 ПСП "Фацелія, відкритий у АТ "Райффайзен Банк", зараховані грошові кошти у сумі 1 250 000,00 грн. Того ж дня (03.12.2018) зазначені кошти у сумі 1 250 000,00 грн з рахунку ПСП "Фацелія" № НОМЕР_2 у АТ "Райффайзен Банк" були перераховані на рахунок ПСП "Фацелія" № НОМЕР_1 у АТ КБ "Приватбанк". Після виконання переказу на рахунку ПСП "Фацелія" № НОМЕР_1 у АТ КБ "Приватбанк" обліковувалося 1 270 000,00 грн.
19. 03.12.2018 кошти у сумі 1 270 000,00 грн о 12:26 (1 платіж) та о 16:29 (9 платежів) перераховані на рахунки третіх осіб відповідно до платіжних доручень:
- №97 від 03.12.2018 на суму 132 765,00 грн: отримувач ТОВ "Протекпро", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товари згідно з договором №13/436 від 03.12.2018;
- №100 від 03.12.2018 на суму 114 494,00 грн: отримувач ТОВ "Протекпро", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товари нгч згідно з договором №28/436 від 03.12.2018;
- №96 від 03.12.2018 на суму 131 981,00 грн: отримувач ТОВ "Молікс", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товари згідно з накладною №025-7/48 від 03.12.2018;
- №98 від 03.12.2018 на суму 97 368,00 грн: отримувач ТОВ "Протекпро", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товари нгч згідно з договором №15/436 від 03.12.2018;
- №95 від 03.12.2018 на суму 127 376,00 грн: отримувач ТОВ "Молікс", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товар згідно з накладною №024-7/48 від 03.12.2018;
- №94 від 03.12.2018 на суму 140 643,00 грн: отримувач ТОВ "Молікс", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товар згідно з накладною №023-7/48 від 03.12.2018;
- №91 від 03.12.2018 на суму 138 547,00 грн: отримувач ТОВ "Гарвісмін", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товар згідно з договором №253/12 від 03.12.2018;
- №93 від 03.12.2018 на суму 134 864,00 грн: отримувач ТОВ "Гарвісмін", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товар згідно з договором №255/12 від 03.12.2018;
- №99 від 03.12.2018 на суму 125 373,00 грн: отримувач ТОВ "Протекпро", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товари нгч згідно з договором №23/436 від 03.12.2018;
- №92 від 03.12.2018 на суму 126 589,00 грн: отримувач ТОВ "Гарвісмін", банк одержувача ПАТ "ПУМБ", призначення платежу: оплата за товар згідно з договором №254/12 від 03.12.2018.
20. 10.12.2018 ПСП "Фацелія" звернулося до АТ КБ "Приватбанк" із заявою щодо несанкціонованого списання грошових коштів з розрахункового рахунку, відкритого в АТ КБ "Приватбанк", повідомило Банк про несанкціоноване переведення коштів ПСП "Фацелія" на рахунки невідомих третіх осіб та вказало, що:
- 03.12.2018 бухгалтер ОСОБА_1 на своєму робочому комп`ютері з метою проведення необхідних господарських операцій зайшла до системи "клієнт-банк" у АТ "Райффайзен Банк", в якому відкрито один із рахунків ПСП "Фацелія" № НОМЕР_2 , та о 10:24 роздрукувала банківську виписку з рахунку і продовжила подальшу роботу;
- орієнтовно об 11:40 екран комп`ютера погас та з`явився напис про те, що комп`ютер перезавантажується і його не треба вимикати; через незначний проміжок часу ОСОБА_1 вимкнула комп`ютер із мережі через те, що він так і не перезавантажився;
- в цей же день в вечірній час ОСОБА_1 спробувала включити комп`ютер, це їй вдалося, однак працювати на комп`ютері вона не мала можливості, оскільки комп`ютер був заражений вірусом - робочий стіл став чорний, і зникли деякі програми;
- 04.12.2018 майстер підтвердив, що комп`ютер заражений вірусом, бухгалтер не змогла зайти до системи "клієнт-банк" у АТ "Райффайзен Банк", з`явилася помилка, оскільки програма вже відкрита;
- 05.12.2018 бухгалтер з допомогою оператора АТ "Райффайзен Банк" встановила іншу програму "клієнт-банк" та створила новий ключ;
- після входу в програму "клієнт-банк" 06.12.2018 виявили перерахування коштів у сумі 1 250 000,00 грн з рахунку ПСП "Фацелія" у АТ "Райффайзен Банк" на рахунок ПСП "Фацелія" у АТ КБ "Приватбанк" як перерозподіл власних коштів, а в подальшому 10 платіжними дорученнями кошти перераховані на рахунки третіх осіб, з якими у позивача відсутні будь-які правовідносини;
- безпідставне списання коштів могло статися з вини працівників банку, що відповідають за безпеку проведення грошових операцій, крім того, працівники банку мали доступ до логіну та паролю ПСП "Фацелія";
- ПСП "Фацелія" просило АТ КБ "Приватбанк" сприяти у поверненні коштів, провести службову перевірку для встановлення осіб у банку, причетних до вказаного випадку.
21. 08.01.2019 АТ КБ "Приватбанк" надало ПСП "Фацелія" відповідь №20.1.0.0.0/7-181210/760, у якій зазначило, що в результаті проведення розслідування установлено, що факт несанкціонованого зняття коштів з рахунку знайшов своє підтвердження, однак, аналіз обставин, які сприяли використанню коштів третіми особами показав, що позивачем були порушені умови і правила надання банківських послуг, а саме: використання системи дистанційного банківського обслуговування Приват24 та правил дистанційного управління рахунком. Обслуговування рахунків клієнтів за допомогою Приват24 для бізнесу здійснюється за допомогою дистанційних розпоряджень клієнтів банку. Згідно з п.3.8.2.3.1.7 та п.3.8.2.3.1.8 Умов та правил передбачено, банк не несе відповідальності за збереження коштів клієнта у разі розголошення уповноваженими/довіреними особами клієнта відомостей про логін та пароль/або передачі ЕЦП третім особам та за несанкціонований доступ до сховища ключів клієнта під час реєстрації в системі Приват24 для бізнесу в разі відсутності ліцензійного програмного забезпечення, відсутність антивірусних і антишпигунських програм, що забезпечується захист від несанкціонованого доступу до інформації клієнта на персональному комп`ютері користувача, з якого здійснюється реєстрація.
22. ПСП "Фацелія" звернулося до правоохоронних органів, відомості про вчинений злочин були внесені до Єдиного реєстру досудових розслідувань: 11.12.2018 №1201822036000537 та 13.12.2018 за №12018220360000541 щодо крадіжки грошових коштів ПСП "Фацелія" 03.12.2018 у сумі 1 270 000,00 грн шляхом переведення грошових коштів з рахунку підприємства у АТ КБ "Приватбанк" на невідомі фірми.
Короткий зміст рішень судів першої та апеляційної інстанцій
23. Господарський суд Харківської області ухвалою від 09.01.2020 матеріали справи №922/4091/19 передав за підсудністю до Господарського суду міста Києва.
24. Господарський суд міста Києва рішенням від 08.10.2020, залишеним без змін постановою Північного апеляційного господарського суду від 19.01.2021, у задоволенні позову відмовив.
25. Верховний Суд постановою від 25.05.2021 постанову Північного апеляційного господарського суду від 19.01.2021 та рішення Господарського суду міста Києва від 08.10.2020 скасував, справу №922/4091/19 передав до Господарського суду міста Києва на новий розгляд.
26. Господарський суд міста Києва рішенням від 28.09.2021, залишеним без змін постановою Північного апеляційного господарського суду від 14.12.2021, у задоволенні позову відмовив.
27. Верховний Суд постановою від 21.07.2022 постанову Північного апеляційного господарського суду від 14.12.2021 та рішення Господарського суду міста Києва від 28.09.2021 скасував, справу №922/4091/19 передав до Господарського суду міста Києва на новий розгляд.
28. Господарський суд міста Києва рішенням від 16.11.2022 у задоволенні позову відмовив.
29. Рішення мотивоване відсутністю у справі належних та допустимих доказів протиправної поведінки АТ КБ "Приватбанк" та порушення його працівниками вимог законодавства під час виконання переказів на підставі сформованих платіжних доручень. Суд дійшов висновку, що АТ КБ "Приватбанк" в дотримання вимог закону та договору банківського обслуговування виконав взяті на себе зобов`язання з виконання розрахункових документів, що були отримані від ПСП "Фацелія" за підписом уповноваженої особи - директора ОСОБА_2; вина АТ КБ "Приватбанк" в заподіянні ПСП "Фацелія" збитків належним чином не встановлена; відсутній склад цивільного правопорушення, необхідний для застосування такої міри цивільно-правової відповідальності як стягнення збитків.
30. Північний апеляційний господарський суд постановою від 15.02.2023 рішення Господарського суду міста Києва від 16.11.2022 залишив без змін.
31. Постанова суду апеляційної інстанції мотивована, зокрема, таким:
- всі долучені до матеріалів справи платіжні доручення містять всі необхідні реквізити електронного розрахункового документа; на власника особистого ключа покладається обов`язок повідомляти про його компрометацію для унеможливлення вчинення незаконних дій з використанням такого ключа; ПСП "Фацелія" не надало належних, допустимих та вірогідних доказів, які б вказували на те, що платіжні доручення, на підставі яких були списані кошти з рахунку ПСП "Фацелія" на рахунки третіх осіб, не містили електронного цифрового підпису (далі - ЕЦП) підприємства; або про те, що ПСП "Фацелія" повідомляло Банк про компрометацію особистих ключів повноважних осіб підприємства; отже, відсутні обставини, з якими законодавство пов`язує право банку не виконувати розпорядження клієнта на переказ коштів;
- ПСП "Фацелія" зазначило, що його комп`ютер, з якого проводиться формування електронних платіжних документів, був заражений вірусом, що є безпосередньою загрозою безпеки банківських переказів; ПСП "Фацелія" не зазначило: адресу комп`ютера (-ів) (ІР адреса), з якого здійснювалися грошові перекази від його імені, переліку осіб, повноважених здійснювати грошові перекази від імені ПСП "Фацелія" та не долучило докази призначення відповідних осіб на посади (накази), їх посадові інструкції тощо;
- правовідносини, що виникли між ПСП "Фацелія" та АТ КБ "Приватбанк", не є деліктними, а носять договірний характер, у зв`язку з чим вина відповідача має доводитися позивачем; в матеріалах справи відсутні належні та допустимі докази протиправної поведінки відповідача та порушення його працівниками вимог законодавства при виконанні переказів на підставі сформованих платіжних доручень;
- банк зобов`язаний перевірити електронний розрахунковий документ платника виключно на відповідність номера рахунка платника та коду юридичної особи; законодавство не передбачає, що така перевірка відбувається вручну працівниками; 03.12.2018 в АТ КБ "Приватбанк" загальна кількість виконаних банком операцій упродовж дня становила 9 477 040; зокрема, за платіжними дорученнями клієнтів проведено 273 111 транзакцій;
- доводи ПСП "Фацелія" про невиконання АТ КБ "Приватбанк" вимог щодо фінансового моніторингу, зокрема, ч.1 ст.15, ч.1 ст.10 Закону №1702-VII необґрунтовані, оскільки цей закон застосовується до правовідносин щодо боротьби з легалізацію коштів, отриманих злочинним шляхом та не застосовується до правовідносин, що мають місце у цій справі;
- Положення №705 передбачає відновлення коштів на рахунку до того стану, у якому він був перед виконанням цієї операції, проте предметом цього позову є стягнення з відповідача коштів, списаних з рахунку позивача, а не відновлення коштів на рахунку; відповідне стягнення можливе лише з винної особи, однак вина Банку не доведена;
- сума кожного платежу була меншою 150 000,00 грн, а, отже, фінансові операції, проведені 03.12.2018 за платіжними дорученнями №91-100 за рахунком ПСП "Фацелія" №26009052108527, не підлягали обов`язковому фінансовому моніторингу; вони є аналогічними попереднім операціям клієнта (були типовими для нього як за їх видом, так і за сумами платежів), тому АТ КБ "Приватбанк" виконав взяті на себе зобов`язання шляхом виконання розрахункових документів, отриманих від ПСП "Фацелія" за підписом уповноваженої особи - директора ОСОБА_2;
- вірогідною є та обставина, що відбулося втручання в роботу пристроїв саме ПСП "Фацелія", а не АТ КБ "Приватбанк"; з висновку експерта від 14.05.2020 №4507/9414-9420 вбачається, що досліджуваний жорсткий диск комп`ютера містив програму, яка могла пересилати дані інтернет-банкінгу на сторонні електронні адреси;
- з огляду на відмову у задоволенні основної вимоги, похідні вимоги про стягнення штрафних санкцій задоволенню не підлягають.
Короткий зміст вимог та доводів касаційної скарги, відзиву на касаційну скаргу, інших заяв учасників справи
32. 15.03.2023 ПСП "Фацелія" звернулося з касаційною скаргою на рішення Господарського суду міста Києва від 16.11.2022 та постанову Північного апеляційного господарського суду від 15.02.2023, у якій просить їх скасувати та ухвалити нове рішення про задоволення позову.
33. На виконання вимог п.5 ч.2 ст.290 Господарського процесуального кодексу України (далі - ГПК) скаржник посилається на підставу касаційного оскарження, передбачену п.1 ч.2 ст.287 ГПК, та зазначає, що суди попередніх інстанцій не врахували висновки, викладені у постановах Верховного Суду від 16.12.2020 у справі №214/2867/18 та Верховного Суду України від 13.05.2015 у справі №6-71цс15, щодо застосування норм права (ст.1073 ЦК, ст.37 Закону "Про платіжні системи та переказ коштів в Україні", Положення №705) стосовно відповідальності банку перед клієнтом за безпідставне стягнення коштів з банківського рахунку у подібних правовідносинах, а також не врахували висновки, викладенні в постановах Верховного Суду від 25.05.2021 та від 21.07.2022, у цій справі (№922/4091/19) та не виконали вказівки суду касаційної інстанції.
34. ПСП "Фацелія" у касаційній скарзі вказує, зокрема, таке:
- банк несе відповідальність перед клієнтом за безпідставне стягнення грошових коштів і має їх негайно повернути; наявність належним чином оформлених платіжних доручень не є підставою звільнення АТ КБ "Приватбанк" від повернення безпідставно списаних грошових коштів;
- Верховний Суд у постановах від 25.05.2021 та від 21.07.2022 у цій справі зазначив, що суди попередніх інстанцій не надали належної оцінки змісту листа АТ КБ "Приватбанк" від 08.01.2019 №20.1.0.0.0./7-181210/760 на предмет того, які саме умови і правила надання банківських послуг порушило ПСП "Фацелія"; суди попередніх інстанцій не дослідили вказаний лист та не зробили висновок щодо нього;
- суди попередніх інстанцій не звернули увагу на те, що в день несанкціонованого списання коштів ПСП "Фацелія" не користувалося системою дистанційного доступу, а в період несанкціонованого списання коштів комп`ютер, за яким зазвичай працює бухгалтер підприємства, був вимкнений з електричної мережі; пін-код, за допомогою якого здійснюється ініціювання банківських переказів, на мобільний телефон клієнта не надходив, отже передати його чи неналежно зберігати він не міг;
- суд першої інстанції не виконав вказівку Верховного Суду, що містилася у постанові від 21.07.2022, а саме не надав оцінки діям АТ КБ "Приватбанк" на предмет виконання ухвали суду щодо витребування матеріалів внутрішнього розслідування (яке є обов`язковим), проведеного за фактом несанкціонованого списання коштів; невиконання вказівки суду касаційної інстанції є самостійною підставою для скасування судових рішень за приписами ч.5 ст.310 та ст.316 ГПК;
- банк є суб`єктом первинного фінансового моніторингу, на нього поширюються вимоги Закону №1702-VII; АТ КБ "Приватбанк" в особі відповідального працівника, який обслуговує рахунок позивача, отримавши для виконання платіжні доручення ПСП "Фацелія", мав звернути увагу на очевидні ознаки сумнівності (підозрілості) фінансових операцій та у зв`язку з цим їх зупинити; наслідком невиконання вимог закону є несанкціоноване списання грошових коштів позивача; суди попередніх інстанцій не надали належної оцінки вказаним обставинам, що призвело до неправильних висновків щодо відсутності відповідальності банку за здійснення спірних грошових переказів.
35. 04.05.2022 надійшов відзив АТ КБ "Приватбанк", в якому просить залишити касаційну скаргу без задоволення, а оскаржувані рішення - без змін.
36. У відзиві АТ КБ "Приватбанк" зазначає, зокрема, таке:
- доводи ПСП "Фацелія" про те, що суди попередніх інстанцій не врахували висновки Верховного Суду, викладені у постановах від 13.05.2015 у справі №6-71пс15, від 16.12.2020 у справі №214/2867/18, є помилковими, оскільки різними є суб`єктний склад та зміст правовідносин, їх предмет, підстави та правове регулювання, а також встановлені судами фактичні обставини; Верховний Суд у вказаних справах не робив висновки щодо застосування ст.1073 ЦК та ст.37 Закону "Про платіжні системи та переказ коштів в Україні";
- платіжні доручення від 03.12.2018 №91- 100, що надійшли від ПСП "Фацелія", підписані КЕП ОСОБА_2, який є засновником, власником, генеральним директором підприємства та уповноважений на підписання документів від імені ПСП "Фацелія"; в матеріалах справи відсутні докази повідомлення АТ КБ "Приватбанк" про компрометацію КЕП ОСОБА_2, власних даних від Приват24 та/або будь-якої іншої інформації до моменту завершення виконання переказу коштів за розрахунковими документами, а також докази опротестування переказу емітентом або платіжною організацією платіжної системи; у АТ КБ "Приватбанк" були відсутні підстави для зупинення переказу коштів; банк законно виконав власні зобов`язання перед клієнтом;
- ПСП "Фацелія" не забезпечило належний захист власного пристрою дистанційного обслуговування та особистої інформації (даних КЕП та інтернет-банкінгів), які дали змогу ініціювати спірні платіжні операції; саме ПСП "Фацелія" (як користувач) несе відповідальність за здійснення спірних платіжних операцій від 03.12.2018, оскільки користувач був ідентифікований як ПСП "Фацелія", а повідомлення про платіжні операції, які не виконувалися ним, надійшло після їх завершення;
- виходячи з положень Умов та правил надання банківських послуг АТ КБ "Приватбанк" (в редакції станом на 03.12.2018), Закону "Про електронні довірчі послуги", АТ КБ "Приватбанк" не несе відповідальності за збереження коштів ПСП "Фацелія", саме ПСП "Фацелія" своїми діями/бездіяльністю не забезпечило схоронність даних для доступу до свого комп`ютера, в особистий акаунт ПСП "Фацелія" в "Приват24 для бізнесу" та КЕП ОСОБА_2;
- невиконання АТ КБ "Приватбанк" ухвали суду щодо витребування матеріалів внутрішнього розслідування не мало та не має місця, з огляду на неіснування службового розслідування та наявність відповідних письмових пояснень АТ КБ "Приватбанк";
- сума кожного платіжного доручення ПСП "Фацелія" була меншою 150 000,00 грн, тому фінансові операції, проведені 03.12.2018 за платіжними дорученнями №91- 100, не підлягали обов`язковому фінансовому моніторингу відповідно до імперативних положень ст.15 Закону №1702-VII;
- операції за рахунком ПСП "Фацелія" від 03.12.2018 були типовими для нього як за їх видом, так і за сумами платежів;
- строк для проведення АТ КБ "Приватбанк" аналізу операцій ПСП "Фацелія" від 03.12.2018 станом на 03.12.2018 не настав;
- ознака сумнівності - дроблення суми за вихідними платежами та здійснення таких в незначний проміжок часу не є наслідком розповсюдження на такі операції дії статей 15, 16 Закону №1702-VII; в матеріалах справи відсутні докази віднесення учасників спірних платежів до переліку осіб, пов`язаних з провадженням терористичної діяльності або щодо яких застосовано міжнародні санкції (якщо види та умови застосування санкцій передбачають зупинення або заборону фінансових операцій); у АТ КБ "Приватбанк" був відсутній обов`язок зупинення відповідних фінансових операції.
Надходження касаційної скарги на розгляд Верховного Суду
37. Верховний Суд ухвалою від 18.04.2023 відкрив касаційне провадження за касаційною скаргою ПСП "Фацелія", розгляд касаційної скарги призначив у відкритому судовому засіданні на 31.05.2023. Верховний Суд у судовому засіданні 31.05.2023 оголосив перерву до 21.06.2023.
ПОЗИЦІЯ ВЕРХОВНОГО СУДУ
За яких умов у банку виникає обов`язок повернути кошти на рахунок клієнта, якщо їх помилкове (несанкціоноване) списання відбулося внаслідок злочинних дій?
38. Скаржник стверджував, що суди попередніх інстанцій застосували норми права, передбачені ст.1073 ЦК, ст.37 Закону "Про платіжні системи та переказ коштів в Україні", Положення №705, без урахування висновків Верховного Суду України та Верховного Суду, викладених у постановах від 13.05.2015 у справі №6-71цс15 та від 16.12.2020 у справі №214/2867/18 відповідно, щодо відповідальності банку за помилкове списання грошових коштів з банківського рахунку клієнта. Скаржник зазначив, що відсутні підстави вважати, що ПСП "Фацелія" своїми діями або бездіяльністю сприяло списанню грошових коштів з рахунку, відкритого у АТ КБ "Приватбанк". ПСП "Фацелія" не ініціювало списання грошових коштів зі свого рахунку, що перебуває на обслуговуванні АТ КБ "Приватбанк". Банк визнав факт несанкціонованого списання грошових коштів скаржника.
39. ПСП "Фацелія" також вказало на те, що суди не врахували висновки Верховного Суду, викладенні у постановах від 25.05.2021 та від 21.07.2022 у цій справі (№922/4091/19), та не виконали вказівки суду касаційної інстанції.
40. Верховний Суд частково погоджується з аргументами скаржника, виходячи з таких мотивів.
41. Правовідносини сторін у цій справі виникли з договору банківського рахунку. Відповідно до ч.1 ст.1066 ЦК за договором банківського рахунка банк зобов`язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій. Згідно з ч.1 ст.1071 ЦК банк може списати грошові кошти з рахунку клієнта на підставі його розпорядження.
42. З абз.1 п.1.8 гл.1 Інструкції про порядок відкриття, використання і закриття рахунків у національній та іноземних валютах, затвердженої постановою Правління НБУ від 12.11.2003 №492 та зареєстрованої в Міністерстві юстиції України 17.12.2003 за №1172/8493 (далі - Інструкція №492), вбачається, що банки відкривають своїм клієнтам за договором банківського рахунку поточні рахунки, за договором банківського вкладу - вкладні (депозитні) рахунки, за договором рахунку умовного зберігання (ескроу) - рахунки умовного зберігання (ескроу).
43. Поточний рахунок - рахунок, що відкривається банком клієнту на договірній основі для зберігання грошей і здійснення розрахунково-касових операцій за допомогою платіжних інструментів відповідно до умов договору та вимог законодавства України (абз.1 п.1.8 гл.1 Інструкції №492).
44. Відповідно до п.32.1 ст.32 Закону "Про платіжні системи та переказ коштів в Україні" банк, що обслуговує платника, та банк, що обслуговує отримувача, несуть перед платником та отримувачем відповідальність, пов`язану з проведенням переказу, відповідно до цього Закону та умов укладених між ними договорів.
45. З ч.1 ст.1073 ЦК вбачається, що у разі несвоєчасного зарахування на рахунок грошових коштів, що надійшли клієнтові, їх безпідставного списання банком з рахунка клієнта або порушення банком розпорядження клієнта про перерахування грошових коштів з його рахунка банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти та відшкодувати завдані збитки, якщо інше не встановлено законом.
46. Згідно з п.32.3.2 ст.32 Закону "Про платіжні системи та переказ коштів в Україні" у разі помилкового переказу з рахунка неналежного платника, що стався з вини банку, цей банк зобов`язаний переказати відповідну за рахунок власних коштів суму переказу на рахунок неналежного платника, а також сплатити неналежному платнику пеню у розмірі процентної ставки, що встановлена цим банком по короткострокових кредитах, за кожний день починаючи від дня помилкового переказу до дня повернення суми переказу на рахунок неналежного платника, якщо інша відповідальність не передбачена договором.
47. Пунктами 1.24 та 1.32 ст.1 Закону "Про платіжні системи та переказ коштів в Україні" визначено, що помилковий переказ - рух певної суми коштів, внаслідок якого з вини банку або іншого суб`єкта переказу відбувається її списання з рахунку неналежного платника та/або зарахування на рахунок неналежного отримувача чи видача йому цієї суми у готівковій формі; неналежний платник - особа, з рахунка якої помилково або неправомірно переказана сума коштів.
48. У правових висновках, на які посилається скаржник, вказано, що у разі встановлення факту неналежного переказу грошових коштів з банківського рахунку банк зобов`язаний повернути клієнту відповідну суму, тоді як виключення із вказаного правила можливе лише за умови встановлення обставин, які підтверджують, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції (постанова Верховного Суду України від 13.05.2015 у справі №6-71цс15, постанова Верховного Суду від 16.12.2020 у справі №214/2867/18, постанови Верховного Суду від 25.05.2021 та 22.05.2021 у цій справі).
49. Верховний Суд у постанові від 21.04.2021 у справі №751/6050/18 дійшов висновку, що саме на банк, який є професійним учасником ринку надання банківських послуг, покладено обов`язок доведення того, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. Відповідно, вимоги до рівня та розумності ведення справ банком є вищими, ніж до споживача - фізичної особи, яка зазвичай є слабшою стороною у цивільних відносинах з такою кредитною установою. З врахуванням наведеного, всі сумніви та розумні припущення мають тлумачитися судом саме на користь такої слабшої сторони.
50. Верховний Суд у постанові від 20.07.2022 у справі №521/20764/20 виснував, що саме банк має доводити, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції; у разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів; сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
51. Подібні правові висновки викладено у постанові Верховного Суду України від 13.05.2015 у справі №6-71цс15 та постановах Верховного Суду, зокрема: від 23.01.2018 у справі №202/10128/14-ц, від 14.02.2018 у справі №127/23496/15-ц, від 20.06.2018 у справі №691/699/16-ц, від 03.07.2019 у справі №537/3312/16-ц, від 17.07.2019 у справі №571/841/16-ц, від 24.07.2019 у справі №753/16954/16-ц, від 13.09.2019 у справі №501/4443/14-ц, від 02.10.2019 у справі №182/3171/16, від 20.11.2019 у справі №577/4224/16-ц, від 23.01.2020 у справі №179/1688/17, від 26.08.2020 у справі №766/19614/18, від 02.09.2020 у справі №311/634/18-ц, від 16.12.2020 у справі №214/2867/18, від 27.01.2021 у справі №210/1242/18, від 17.06.2021 у справі №759/4025/19.
52. Верховний Суд відхиляє аргументи відповідача про неподібність правовідносин у справах №6-71цс15 та №214/2867/18 з відносинами у справі, яка переглядається, адже ті елементи правовідносин, які є неподібними, не впливають на застосування норми права, а саме, ч.1 ст.1073 ЦК, яка поширює свою дію на всіх клієнтів банку, незалежно від їх статусу (фізична чи юридична особа), а також від категорії рахунку, з якого відбулося помилкове списання (картковий чи поточний).
53. Водночас, Верховний Суд погоджується з доводами відповідача про те, що ст.37 Закону "Про платіжні системи та переказ коштів в Україні", яка встановлює відповідальність банків-емітентів електронних платіжних засобів за ініціацію неналежного переказу, а також Положення №705, яке визначає порядок емісії електронних платіжних засобів і здійснення операцій з їх використанням, не підлягають застосуванню до спірних правовідносин, оскільки зі встановлених судами попередніх інстанцій обставин справи випливає, що у спірних відносинах банк не виступав емітентом електронних платіжних засобів.
54. Втім, у постановах, на які посилається скаржник (постанова Верховного Суду України від 13.05.2015 у справі №6-71цс15, постанова Верховного Суду від 16.12.2020 у справі №214/2867/18, постанови Верховного Суду від 25.05.2021 та 22.05.2021 у цій справі) містяться загальні правові висновки щодо застосування ст.1073 ЦК, які не залежать від того, яка саме стаття Закону "Про платіжні системи та переказ коштів в Україні" додатково до ст.1073 ЦК підлягає застосуванню до спірних відносин: ст.32, яка регулює відповідальність банків при здійсненні помилкового (несанкціонованого клієнтом) переказу, чи ст.37 цього Закону.
55. Те, що у справі, яка переглядається, клієнтом банку є не фізична, а юридична особа-суб`єкт господарської діяльності, не впливає на визначення її як більш слабкої сторони у відносинах із банком, особливо у сфері кібербезпеки (інформаційної безпеки) щодо захисту клієнтів банку та коштів, які зберігаються на рахунках клієнтів у банку, від кіберзлочинів.
56. Позивач (невелике сільськогосподарське підприємство) та АТ КБ "Приватбанк", який є одним із найбільших банків України, мають вочевидь різні технічні та фінансові можливості у сфері забезпечення кібербезпеки та захисту від кіберзлочинів. Крім того, саме Банк є фінансовою установою, професійним учасником ринку фінансових послуг, на яку покладається організація та забезпечення безпеки платежів.
57. Стаття 41 Конституції визначає, що кожен має право володіти, користуватися і розпоряджатися своєю власністю. Отже, гроші, що перебувають на рахунку клієнта, є його власністю, яка охороняється Основним законом.
58. З приписів ч.1 ст.1066, ч.1 ст.1071 ЦК, абз.1, 2 п.1.8 гл.1 Інструкції №492 вбачається, що у правовідношенні з обслуговування банківського рахунку банк зобов`язаний зберігати грошові кошти клієнта та здійснювати розрахунково-касові операції на підставі розпорядження клієнта.
59. Суди попередніх інстанцій встановили, що розрахунки між сторонами спору здійснювалися за допомогою систем дистанційного банківського обслуговування (ДБО).
60. Відповідно до п.2.10 Інструкції №22 клієнт, виходячи з технічних можливостей своїх та обслуговуючого банку, може подавати до банку розрахункові документи як на паперових носіях, так і у вигляді електронних розрахункових документів, використовуючи системи дистанційного обслуговування. Спосіб подання клієнтом документів до банку передбачається в договорі банківського рахунку. Банк, що обслуговує платника із застосуванням систем дистанційного обслуговування, зобов`язаний перевірити відповідність номера рахунку платника і його коду, що зазначені в електронному розрахунковому документі, і приймати цей документ до виконання, лише якщо вони належать цьому платнику.
61. Відповідно до п.10.5 Інструкції №22 під час здійснення розрахунків за допомогою систем "клієнт - банк", "клієнт - Інтернет - банк" тощо застосовуються електронні розрахункові документи.
62. Абзац 1 п.10.1 гл.10 Інструкції №22 передбачає, що дистанційне обслуговування рахунку клієнт може здійснювати за допомогою систем "клієнт - банк", "клієнт - Інтернет - банк", "телефонний банкінг", "миттєва безконтактна оплата" та інших систем дистанційного обслуговування.
63. Програмне забезпечення систем дистанційного обслуговування має відповідати вимогам законодавства, в тому числі нормативно-правових актів Національного банку, які пред`являються до технології та захисту електронних банківських розрахунків (п.10.2 Інструкції №22).
64. Згідно з абз.3 п.10.8 Інструкції №22 під час використання систем "клієнт - банк", "клієнт - Інтернет - банк" клієнт має дотримуватися всіх вимог, що встановлює банк, з питань безпеки оброблення електронних розрахункових документів. Якщо це передбачено в договорі, то банк має право виконувати періодичні перевірки виконання клієнтом вимог щодо захисту інформації та зберігання засобів захисту і припиняти обслуговування клієнта за допомогою системи в разі невиконання ним вимог безпеки.
65. З урахуванням наведеного вище, Верховний Суд зауважує, що у подібних правовідносинах клієнт банку є споживачем банківських послуг, а тому не має тих рівня знань і засобів, які можуть забезпечити безпеку (схоронність) грошових коштів на своєму рахунку, що обслуговує банк.
66. Банк зі свого боку, надаючи такі фінансові послуги, зобов`язаний забезпечити такий рівень безпеки фінансових активів клієнта, довірених банку, аби убезпечити їх від безпідставного зменшення, зокрема за допомогою систем дистанційного банківського обслуговування (Інтернет-банкінгу), відповідальним за які є банк. З цією метою банк має постійно впроваджувати у своїй діяльності технологічні процеси (алгоритми), що відповідають актуальним викликам безпеки та спрямовані на запобігання помилковому переказу грошових коштів клієнтів, а також здійснювати контроль за їх дотриманням і виконанням.
67. Отже, із умов укладеного з банком договору клієнт банку має чітко зрозуміти, які вимоги висуваються банком щодо обладнання, за допомогою якого здійснюється дистанційне обслуговування рахунку, програмного забезпечення, зокрема, наявності антивірусних та антишпигунських програм.
68. Верховний Суд зауважує, що суди попередніх інстанцій помилково застосували до спірних правовідносин статті 22, 623 ЦК та статті 225, 226 ГК щодо умов притягнення до відповідальності за завдані збитки, адже ст.1073 ЦК є спеціальною нормою, яка встановлює обов`язки банку, що виникають внаслідок помилкового (несанкціонованого клієнтом) списання, а саме:
- негайно після виявлення порушення (помилкового списання) зарахувати відповідну суму на рахунок клієнта або належного отримувача,
- сплатити проценти;
- відшкодувати завдані збитки, якщо інше не встановлено законом.
69. Отже, обов`язок банку повернути на рахунок клієнта суму помилково списаних коштів є окремим, спеціальним обов`язком банку, відмінним від обов`язку відшкодувати завдані збитки, відтак позовна вимога щодо стягнення з банку суми несанкціонованого платежу не є вимогою про стягнення збитків.
70. Верховний Суд вважає помилковими й висновки судів попередніх інстанцій про те, що оскільки відносини з банком є договірними, а не деліктними, то вина банка не презюмується, а повинна бути доведена позивачем. Такі висновки не ґрунтуються на чинному законодавстві та судовій практиці.
71. Верховний Суд неодноразово звертав увагу на дію так званої об`єктивної концепції вини у цивільних та господарських відносинах. Так, відповідно до приписів ст.614 ЦК особа, яка порушила зобов`язання, несе відповідальність за наявності її вини (умислу або необережності), якщо інше не встановлено договором або законом. Особа є невинуватою, якщо вона доведе, що вжила всіх залежних від неї заходів щодо належного виконання зобов`язання. Відсутність своєї вини доводить особа, яка порушила зобов`язання.
72. У цій справі обидві сторони не заперечують, що несанкціоноване, помилкове списання відбулося внаслідок злочинних дій третіх осіб. Втім, позивач вважає, що таке списання відбулося через неправомірні дії Банку, який не зупинив підозрілі платежі, натомість Банк стверджує, що він не мав можливості не виконати належним чином оформлені та підписані клієнтом платіжні доручення, а втрата клієнтом коштів відбулася через необачливі дії самого позивача, який не захистив свій комп`ютер від шкідливих програм.
73. Отже, ключовими питаннями цієї справи є те, чи довів Банк вину позивача (клієнта) у доступі третіх осіб до інформації, яка дозволила ініціювати банківські операції, і чи спростував Банк наявність своєї вини у несанкціонованому списанні коштів з рахунку клієнта.
Чи сприяв позивач втраті, незаконному використанню інформації, яка дала можливість третім особам ініціювати несанкціоновані платіжні операції?
74. Суди попередніх інстанцій послалися на приписи ст.12 Закону "Про електронні довірчі послуги", яка встановлює, що користувачі електронних довірчих послуг зобов`язані: забезпечувати конфіденційність та неможливість доступу інших осіб до особистого ключа; невідкладно повідомляти надавача електронних довірчих послуг про підозру або факт компрометації особистого ключа; не використовувати особистий ключ у разі його компрометації, а також у разі скасування або блокування сертифіката відкритого ключа. Суди вважали, що на власника особистого ключа покладається обов`язок повідомляти про його компрометацію для унеможливлення вчинення незаконних дій з використанням особистого ключа особи.
75. Суди також застосували до спірних відносин ст.33.3 Закону "Про платіжні системи та переказ коштів в Україні", яка передбачає, що платник зобов`язаний відшкодувати шкоду, заподіяну банку або іншій установі - учаснику платіжної системи, що його обслуговують, внаслідок недотримання цим платником вимог щодо захисту інформації і проведенням незаконних операцій з компонентами платіжних систем (платіжні інструменти, обладнання, програмне забезпечення тощо). При цьому банк або інша установа - учасник платіжної системи, що обслуговує платника, звільняється від відповідальності перед платником за проведення переказу.
76. Суди вказали, що у листі АТ КБ "Приватбанк" №20.1.0.0.0./7-181210/760 від 08.01.2019 Банк зазначив про те, що в результаті проведення розслідування установлено, що факт несанкціонованого зняття коштів з рахунку знайшов своє підтвердження, однак, аналіз обставин, які сприяли використанню коштів третіми особами вказав, що позивач порушив умови і правила надання банківських послуг, а саме: використання системи дистанційного банківського обслуговування Приват24 та правил дистанційного управління рахунком. Разом з тим, відповідач в листі зазначив, що обслуговування рахунків клієнтів за допомогою Приват24 для бізнесу здійснюється за допомогою дистанційних розпоряджень клієнтів банку. Також відповідач зазначив, що згідно з п.3.8.2.3.1.7 та п.3.8.2.3.1.8 Умов та правил передбачено, що Банк не несе відповідальності за збереження коштів клієнта у разі розголошення уповноваженими/довіреними особами клієнта відомостей про логін та пароль/або передачі ЕЦП третім особам та за несанкціонований доступ до сховища ключів клієнта під час реєстрації в системі Приват24 для бізнесу в разі відсутності ліцензійного програмного забезпечення, відсутності антивірусних і антишпигунських програм, що забезпечують захист від несанкціонованого доступу до інформації клієнта на персональному комп`ютері користувача, з якого здійснюється реєстрація.
77. Суди виснували, що сам позивач визнав, що його комп`ютер, з якого проводиться формування електронних платіжних документів, був заражений вірусом, що є безпосередньою загрозою безпеки банківських переказів.
78. Верховний Суд вважає такі висновки помилковими.
79. Як вже зазначалося вище, обидві сторони не заперечують того, що платежі не були санкціоновані клієнтом Банку.
80. Втім, суди попередніх інстанцій, зауважуючи, що позивач не повідомив Банк про компрометацію особистого ключа, не звернули увагу, що так звані програми-шпигуни, тобто шкідливе програмне забезпечення, встановлюється на комп`ютер та збирає інформацію, як правило, непомітно для користувача. Отже, незрозуміло, яким чином позивач міг дізнатися та повідомити Банк про компрометацію особистого ключа чи втрату іншої важливої інформації.
81. Суди не вказали, які саме вимоги щодо захисту інформації порушив позивач або які саме незаконні операції з компонентами платіжних систем (платіжні інструменти, обладнання, програмне забезпечення тощо) здійснював позивач, тобто не встановили підстав для застосування ст.33.3 Закону "Про платіжні системи та переказ коштів в Україні" щодо звільнення банку від відповідальності через винні дії платника.
82. Зокрема, як вже зазначалося вище, Банк не провів повноцінного службового розслідування для встановлення, з якої саме IP адреси надсилалися Банку платіжні доручення, чи було встановлено на комп`ютері позивача ліцензійне програмне забезпечення, коли і які саме шкідливі програми були встановлені на комп`ютері клієнта, які саме приписи законодавства чи вимоги Банку щодо забезпечення безпеки платежів не виконував клієнт, чи міг клієнт запобігти завантаженню таких програм, зокрема шляхом перевірки комп`ютера на наявність шкідливого програмного забезпечення (яку саме антивірусну програму мав встановити клієнт, з якою періодичністю потрібно було проводити такі перевірки, чи порушив він ці приписи).
83. Відповідач лише при третьому новому розгляді справи подав до суду матеріали щодо результатів проведеної Банком службової перевірки випадку стосовно здійснення спірних помилкових переказів, за наслідками якої встановлено факт несанкціонованого зняття коштів з рахунку ПСП "Фацелія". Втім, ці матеріали викладені на чотирьох сторінках і місять жодним чином не аргументоване твердження Банку про вину клієнта у несанкціонованому списанні коштів з його рахунків. Без проведення повноцінного розслідування твердження Банку про допущенні клієнтом порушення кібербезпеки, які призвели до несанкціонованого зняття коштів з його рахунку, не може вважатися доведеним, презумпція вини клієнта банку у несанкціонованому доступі і втручанні третіх осіб в систему дистанційного обслуговування не відповідає вимогам чинного законодавства, яке саме на банк покладає вимоги забезпечення безпеки електронних платежів і дистанційного обслуговування.
84. Так, у файлі службової перевірки, номер картки інциденту НОМЕР_3 , референс ВК 181210PBNKI000000000760 (т.3, а.с.235-238) перераховані вчинені операції та юридичні особи - отримувачі коштів і зазначено:
"Згідно витягу з Єдиного державного реєстру відповідні фірми зареєстровано за однією особою ОСОБА_3 , усі вказані підприємства зареєстровано у м. Дніпро (додаток 1, додаток 2, додаток 3).
В ході проведення перевірки направлено листа до ПАТ "ПУМБ" про блокування рахунків вказаних клієнтів та розгляд можливості повернення грошових коштів на адресу відправника. В ході встановлення контакту з гр. ОСОБА_3 (ПН: НОМЕР_4 ) останній не визнав, що є засновником юридичних осіб ТОВ "Молікс", ТОВ "Гарвісмін" та ТОВ "Протетпро" та відмовився від надання пояснень.
Таким чином, з пояснення посадових осіб ПСП "Фацелія" слідує, що грошові кошти було переказано з рахунку даного підприємства внаслідок встановлення на комп`ютер бухгалтера ПСП "Фацелія" шкідливого ПЗ.
За даним фактом клієнту рекомендовано звернутися до правоохоронних органів та банку-отримувача переказів (ПАТ "ПУМБ").
Гр. ОСОБА_3 (ПН: НОМЕР_4 ) внесено до списку обмежень банківського обслуговування за кодифікатором 1.41 "шахраї в електронних операціях", id заявки 190102EC393531UUZ2NW".
85. У постанові від 16.12.2020 у справі №214/2867/1, на висновки у якій покликався скаржник, вказано що "Довідка розслідування", на яку посилається відповідач, не підтверджує, що позивач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду чи іншої інформації, яка дає змогу ініціювати платіжні операції.
86. Отже, суди попередніх інстанцій у цій справі при встановленні вини позивача у втраті конфіденційної інформації мали критично оцінити зміст наданих Банком результатів службової перевірки як документу, складеного в односторонньому порядку самим відповідачем без участі представників позивача чи незалежних фахівців, експертів.
87. Верховний Суд вважає, що перевірка Банком цього інциденту була проведена поверхнево та формально, що не відповідає вимогам Закону "Про основні засади забезпечення кібербезпеки України", на необхідність застосування якого до спірних відносин звертав увагу Верховний Суд у постанові від 21.07.2022 у цій справі.
88. Так, Закон "Про основні засади забезпечення кібербезпеки України" покладає на банки обов`язок з забезпечення кібербезпеки.
89. Закон "Про основні засади забезпечення кібербезпеки України" визначає кібербезпеку як захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі (п.5 ч.1 ст.1).
90. Банки в силу ст.5 Закону "Про основні засади забезпечення кібербезпеки України" є суб`єктами забезпечення кібербезпеки.
91. Відповідно до ч.5 ст.5 Закону "Про основні засади забезпечення кібербезпеки України" суб`єкти забезпечення кібербезпеки у межах своєї компетенції:
1) здійснюють заходи щодо запобігання використанню кіберпростору у воєнних, розвідувально-підривних, терористичних та інших протиправних і злочинних цілях;
2) здійснюють виявлення і реагування на кіберінциденти та кібератаки, усунення їх наслідків;
3) здійснюють інформаційний обмін щодо реалізованих та потенційних кіберзагроз;
4) розробляють і реалізують запобіжні, організаційні, освітні та інші заходи у сфері кібербезпеки, кібероборони та кіберзахисту;
5) забезпечують проведення аудиту інформаційної безпеки, у тому числі на підпорядкованих об`єктах та об`єктах, що належать до сфери їх управління;
6) здійснюють інші заходи із забезпечення розвитку та безпеки кіберпростору.
92. Інцидент кібербезпеки (далі - кіберінцидент) - подія або ряд несприятливих подій ненавмисного характеру (природного, технічного, технологічного, помилкового, у тому числі внаслідок дії людського фактора) та/або таких, що мають ознаки можливої (потенційної) кібератаки, які становлять загрозу безпеці систем електронних комунікацій, систем управління технологічними процесами, створюють імовірність порушення штатного режиму функціонування таких систем (у тому числі зриву та/або блокування роботи системи, та/або несанкціонованого управління її ресурсами), ставлять під загрозу безпеку (захищеність) електронних інформаційних ресурсів (п.3 ч.1 ст.1 Закону "Про основні засади забезпечення кібербезпеки України").
93. Інформація про інцидент кібербезпеки - відомості про обставини кіберінциденту, зокрема про те, які об`єкти кіберзахисту і за яких умов зазнали кібератаки, які з них успішно виявлені, нейтралізовані, яким запобігли за допомогою яких засобів кіберзахисту, у тому числі з використанням яких індикаторів кіберзагроз (п.2 ч.1 ст.1 Закону "Про основні засади забезпечення кібербезпеки України").
94. Кіберзахист - сукупність організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем (п.7 ч.1 ст.1 Закону "Про основні засади забезпечення кібербезпеки України").
95. Кіберзлочин (комп`ютерний злочин) - суспільно небезпечне винне діяння у кіберпросторі та/або з його використанням, відповідальність за яке передбачена законом України про кримінальну відповідальність та/або яке визнано злочином міжнародними договорами України (п.8 ч.1 ст.1 Закону "Про основні засади забезпечення кібербезпеки України").
96. Отже несанкціоноване списання коштів з рахунку позивача є не просто помилковим платежем, а інцидентом кібербезпеки, який мав бути зафіксований та розслідуваний Банком відповідно до приписів Закону "Про основні засади забезпечення кібербезпеки України".
97. Суди попередніх інстанцій помилково вважали, що Закон "Про основні засади забезпечення кібербезпеки України" не підлягає застосуванню, оскільки атака відбулася саме на персональний комп`ютер позивача, а не на пристрої Банку.
98. Такий висновок є помилковим, саме Банк відповідає за безпеку здійснення електронних платежів. Несанкціоноване списання коштів поза волею клієнта, чого не заперечує Банк, свідчить про несанкціоноване втручання в систему здійснення банківських платежів, яка належить Банку, з боку третіх осіб.
99. Крім того, позивач неодноразово зазначав, і ці факти встановлені судом, що його комп`ютер, на який було встановлене програмне забезпечення для зв`язку з банком, був вимкнений під час здійснення операцій зі списання коштів. Суди помилково поклали на позивача обов`язок доведення, з якої саме IP адреси здійснювався зв`язок з банком при ініціюванні платежів. Позивач не має і не може мати інформації про те, з якої IP адреси Банк отримав відповідні платіжні доручення.
100. Суди попередніх інстанцій вказали на наявність вірусів на комп`ютері позивача і вважали це достатнім доказом його вини у розкритті конфіденційної банківської інформації, за допомогою якої третіми особами були ініційовані платежі.
101. Втім, у постанові від 25.05.2021 у цій справі Верховний Суд зазначав, що посилання судів попередніх інстанцій на те, що комп`ютер позивача, з якого проводиться формування електронних платіжних документів, був заражений вірусом, як на підставу для відмови в позові, колегія суддів вважає передчасним доводом на підтвердження вини позивача у сприянні списанню коштів з його рахунку, оскільки такі висновки зроблені без зазначення конкретних доказів, на підставі яких можна встановити обставини, що вірус, яким був уражений комп`ютер позивача, становив безпеку банківській системі відповідача або, що внаслідок ураження цим вірусом інформація, за допомогою якої відбувається дистанційний доступ до банківського рахунку клієнта, вибула до третіх осіб. При цьому тягар доказування таких обставин покладається саме на відповідача (п.5.12).
102. Верховний Суд звертає увагу, що Банк відмовився і від проведення експертизи для встановлення цих фактів.
103. Верховний Суд, направляючи постановою від 21.07.2022 цю справу на новий розгляд до суду першої інстанції, зокрема, виходив з того, що п.3 висновку експерта Харківського науково-дослідного інституту судових експертиз ім. Засл. проф. М.С. Бокаріуса від 14.05.2020 №4507/9414-9420 (далі - Висновок експерта), наявного у матеріалах справи, містить лише припущення, що шкідливе програмне забезпечення, виявлене на жорсткому диску комп`ютера працівника ПСП "Фацелія" (бухгалтера), могло мати доступ до даних аутентифікації позивача в інтернет-банкінгу та пересилати такі дані на сторонні електронні адреси.
104. У зв`язку з цим Верховний Суд у зазначеній постанові вважав, що для з`ясування можливого факту втручання сторонніх осіб в дистанційне банківське обслуговування, а також причини допущення такого втручання (недотримання Банком вимог щодо забезпечення кібербезпеки при дистанційному обслуговуванні клієнтів чи порушення клієнтом правил кібербезпеки, встановлених Банком) необхідно призначити судову експертизу, адже вирішення цих питань потребує спеціальних знань.
105. Однак зі змісту оскаржуваного рішення суду першої інстанції вбачається, що у судовому засіданні, що відбулося 19.10.2022, представник позивача заперечив проти призначення судової експертизи, у зв`язку з тим, що, зокрема, за змістом положень ст.1073 ЦК та статей 32, 37 Закону "Про платіжні системи та переказ коштів в Україні та переказ коштів в Україні" тягар доведення обставин, що виключають вину Банку, лежить на останньому.
106. Водночас, представник АТ КБ "Приватбанк" також заперечив проти призначення експертизи та подав відповідну письмову заяву від 19.10.2022, зі змісту якої вбачається, що сукупність доказів є достатньою для встановлення факту відсутності порушення відповідачем прав та інтересів позивача.
107. Отже, суди попередніх не встановили фактів, які б свідчили про те, що саме позивач свідомо або необережно сприяв втраті, незаконному використанню іншими особами інформації, яка надала змогу ініціювати несанкціоновані платіжні операції, тобто не встановили вину позивача.
Чи мав Банк можливість зупинити проведення підозрілих операцій, які призвели до несанкціонованого списання коштів з рахунку клієнта?
108. Суди попередніх інстанцій, відмовляючи у задоволенні позову, виходили з того, що Банк не мав можливості проаналізувати та зупинити підозрілі операції зі списання коштів через те, що вони здійснюються автоматизовано (без залучення до обробки документів відповідального працівника Банку), а загальна кількість банківських операцій, що проводилася у день списання коштів, була значною.
109. Крім того, суди вважали, що до спірних відносин не підлягає застосуванню законодавство про фінансовий моніторинг, адже його приписи спрямовані на боротьбу з легалізацію коштів, отриманих злочинним шляхом. Також суди зазначили, що сума кожного платежу була меншою за 150 000,00 грн, а тому спірні фінансові операції не підлягали обов`язковому фінансовому моніторингу. У зв`язку з цим, суди вважали, що інші ознаки, визначені ст.15 Закону №1702-VII для здійснення обов`язкового фінансового моніторингу, не підлягають окремій оцінці.
110. Верховний Суд з такими висновками судів попередніх інстанції не погоджується з огляду на таке.
111. У постанові 25.05.2021 у цій справі Верховний Суд дійсно вказав, що Закон №1702-VII не застосовується до правовідносин у цій справі, які виникли між клієнтом та Банком, оскільки відсутній причинно-наслідковий зв`язок між виконанням покладених на Банк прав та обов`язків щодо фінансового моніторингу та неналежним переказом коштів (п.5.14).
112. Втім у постанові від 21.07.2022 з урахуванням встановлених судами при новому розгляді обставин справи цей висновок був уточнений (п.5.8), зокрема, Верховний Суд вказав, що банківські операції із зарахування та списання коштів, вчинені 03.12.2018, підпадали під дію законодавства про фінансовий моніторинг а отже їх підозрілий (сумнівний) характер мав би бути виявлений працівником Банку. Зазначив, що кожне платіжне доручення не виконується автоматично, воно підлягає перевірці уповноваженим працівником Банку.
113. Суди при новому розгляді справи не врахували цих вказівок, що призвело до помилкових висновків щодо недоведеності вини Банку, яка як вже зазначалося вище, презюмується.
114. Банк є суб`єктом первинного фінансового моніторингу відповідно до п.1 ч.2 ст.5 Закону №1702-VII .
115. Відповідно до ч.2 ст.6 Закону №1702-VII суб`єкт первинного фінансового моніторингу зобов`язаний:
- здійснювати ідентифікацію, верифікацію клієнта (представника клієнта), вивчення клієнта та уточнення інформації про клієнта у випадках, встановлених законом;
- забезпечувати виявлення фінансових операцій, що підлягають фінансовому моніторингу, до початку, в процесі, в день виникнення підозри, після їх проведення або під час спроби їх проведення чи після відмови клієнта від їх проведення, зокрема з використанням засобів автоматизації. Особливості та строки виявлення суб`єктами первинного фінансового моніторингу фінансових операцій залежно від специфіки їх діяльності можуть встановлюватися нормативно-правовими актами суб`єктів державного фінансового моніторингу, які відповідно до цього Закону виконують функції державного регулювання і нагляду за суб`єктами первинного фінансового моніторингу;
- забезпечувати у своїй діяльності управління ризиками та розробляти критерії ризиків.
116. Внутрішній фінансовий моніторинг - сукупність заходів з виявлення фінансових операцій, що підлягають внутрішньому фінансовому моніторингу, із застосуванням підходу, що ґрунтується на проведенні оцінки ризиків легалізації (відмивання) доходів, одержаних злочинним шляхом, або фінансування тероризму; ідентифікації, верифікації клієнтів (представників клієнтів), ведення обліку таких операцій та відомостей про їх учасників; обов`язкового звітування до центрального органу виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення про фінансові операції, щодо яких виникає підозра, а також подання додаткової та іншої інформації у випадках, передбачених цим Законом (п.9 ч.1 ст.1 Закону №1702-VII).
117. Управління ризиками - заходи, які здійснюються суб`єктами первинного фінансового моніторингу, із створення та забезпечення функціонування системи управління ризиками, яка передбачає, зокрема, визначення (виявлення), оцінку (вимірювання), моніторинг, контроль ризиків, з метою їх зменшення (п.43 ч.1 ст.1 Закону №1702-VII).
118. Відповідно до ч.3 ст.9 Закону №1702-VII залежно від рівня ризику проведення фінансової операції ідентифікація, верифікація клієнта здійснюються також у разі проведення ним фінансової операції на суму, визначену ч.1 ст.15 вказаного Закону (150 000,00 грн), незалежно від того, проводиться така фінансова операція одноразово чи як кілька фінансових операцій, які можуть бути пов`язані між собою.
119. Законом №1702-VII визначаються операції, які підпадають під фінансовий моніторинг (ст.15) та фінансові операції, які підлягають внутрішньому фінансовому моніторингу (ст.16).
120. Зі ст.16 Закону №1702-VII вбачається, що під внутрішній фінансовий моніторинг підпадають операції, якщо у суб`єкта первинного фінансового моніторингу виникають підозри, які ґрунтуються, зокрема, на:
- критеріях ризиків, визначених самостійно суб`єктом первинного фінансового моніторингу з урахуванням критеріїв ризиків, встановлених центральним органом виконавчої влади з формування та забезпечення реалізації державної політики у сфері запобігання і протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму;
- встановленні за результатами проведеного аналізу факту (фактів) невідповідності фінансової (фінансових) операції (операцій) фінансовому стану та/або змісту діяльності клієнта;
- типологічних дослідженнях у сфері протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму чи фінансуванню розповсюдження зброї масового знищення, підготовлених та оприлюднених спеціально уповноваженим органом.
121. У Типології легалізації (відмивання) доходів, одержаних злочинним шляхом, додаток "Кіберзлочинність та відмивання коштів", затвердженій наказом Дерфінмоніторингу від 25.12.2013 №157 (далі - Типологія), вказано, що банківська система України є однією зі сфер, де найбільш широко та активно використовуються сучасні можливості інформаційних технологій та мережі Інтернет. А враховуючи, що зазначені технології використовуються для грошових переказів, зазначена сфера привертає все більшу увагу злочинців. Несанкціоноване списання коштів з банківських рахунків, шахрайство з платіжними картками, втручання в роботу інтернет-банкінгу, розповсюдження комп`ютерних вірусів, DDoS атаки на інтернет-ресурси, шахрайство в інформаційних мережах - це не вичерпний перелік кіберзлочинів, тобто злочинів у сфері інформаційних та комп`ютерних технологій.
122. Типологія відносить до шахрайства в системах дистанційного банківського обслуговування створення комп`ютерних вірусів та троянських програм для прихованого перехоплення управління комп`ютером клієнта з встановленим програмним забезпеченням ДБО.
123. У розд.2.1 "Шахрайство в системах дистанційного банківського обслуговування" Типології, вказано, що системи ДБО, як інструмент доступу до грошових переказів, сьогодні все частіше стають мішенню для кіберзлочинців. Втручання в роботу систем ДБО найчастіше відбувається шляхом зараження комп`ютера вірусним програмним забезпеченням через шкідливу спам-розсилку, відвідування заражених сайтів або використання заражених магнітних носіїв.
124. Завантаження вірусу на комп`ютер жертви відбувається практично непомітно. Основне завдання вірусу на початковому етапі - це спостереження, збір інформації і передача його на комп`ютер шахраїв. Вірус може викрадати паролі доступу до систем ДБО, ключі електронного цифрового підпису, зчитувати реквізити платежів. Це також можуть бути програми, що відстежують появу на екрані вікна підключення до ДБО з метою подальшого перехоплення секретної інформації, яка вводиться в це вікно, або копіюють вміст буфера обміну в момент підключення до систем електронних платежів.
125. Мета шахраїв спотворити інформацію, сформувати за допомогою ДБО і провести платіж, який за змістом не буде виділятися в потоці звичайної діяльності жертви, але переведе гроші на рахунки підставної особи або фіктивної фірми, використовуючи звичайне для даного клієнта призначення платежу.
126. У Типології вказано, що індикаторами підозрілості фінансових операцій зазначеної спрямованості для банківських установ опосередковано можуть бути наступні фактори, зокрема:
- спроба входу із забороненого/нового IP-адресу;
- транзакції в нестандартний час або підключення до системи у вечірній час;
- незвичайні умови або складність операції: висока частота переказів коштів протягом невеликого періоду часу, велика кількість різноманітних джерел походження коштів та платіжних методів (інструментів);
- спроби зняти кошти в день їх зарахування;
- операції не відповідають попереднім операціям клієнта.
127. Відповідно до ч.1 ст.17 Закону №1702-VII суб`єкт первинного фінансового моніторингу має право зупинити здійснення фінансової (фінансових) операції (операцій), яка (які), зокрема містить (містять) ознаки, передбачені статтями 15 та/або 16 цього Закону.
128. Виходячи із вказаних норм права та встановлених судами попередніх інстанцій обставин справи, Верховний Суд зазначає, що Банк після отримання для виконання платіжних доручень про перерахування грошових коштів з рахунку позивача мав здійснити фінансовий моніторинг таких операцій, адже вони мали очевидні ознаки, що вказують на сумнівність (підозрілість).
129. Верховний Суд у постанові від 21.07.2022 у цій справі зазначив, що суди не врахували вимог чинного законодавства, відповідно до яких відповідальний працівник Банку (відповідача), який обслуговує рахунок позивача і отримав для виконання платіжні доручення позивача, мав звернути увагу на очевидні ознаки сумнівності (підозрілості) фінансових операцій, про які стверджує позивач, і зупинити такі операції:
1) очевидна невідповідність суми (1 250 000,00 грн), яка надійшла на рахунок, та сум, які списані з рахунку (1 270 000,00 грн), профайлу клієнта банку (опису його ділової активності, розміру надходжень протягом першого кварталу обслуговування, розміру разових платіжних операцій в анкеті-заяві, яка заповнюється з метою ідентифікації клієнта банку, тобто з метою здійснення фінансового моніторингу);
2) розбивка платежу 1 250 000,00 грн, яким власні кошти позивача були перераховані з рахунка позивача у АТ "Раффайзен Банк" на рахунок позивача, відкритий у відповідача, на 8 окремих платіжних доручень, причому всі 8 платіжних доручень надійшли в межах часового інтервалу - з 11.48 до 11.50 03.12.2018; у випадку, якщо клієнт банку перераховував власні кошти, не було жодної потреби чи причини дробити цей платіж на 8 окремих платіжних доручень з тим, щоб кожна сума не перевищувала ліміт 150 000,00 грн;
3) виведення значної суми, яка надійшла на рахунок позивача у АТ КБ "Приватбанк" з рахунку у той самий день на рахунки трьох юридичних осіб із дробленням платежів - на кожну юридичну особу було здійснено по три платежі з тим, щоб кожна сума не перевищувала ліміт 150 000,00 грн;
4) відсутність у позивача попередніх платежів на цих отримувачів.
130. Верховний Суд звернув увагу на те, що ознаки сумнівності, вказані у пунктах 2 та 3, є очевидними для будь-якої розумної людини, а не тільки для працівника Банку, який повинен був бути ознайомлений з вимогами чинного законодавства та внутрішніми положеннями Банку, які регулюють здійснення фінансового моніторингу у Банку.
131. Суди попередні інстанцій не врахували зазначених вказівок при новому розгляді справи.
132. Так, суди встановили, що за період 06.09.2018 - 03.12.2018 на рахунок ПСП "Фацелія", відкритий в AT КБ "Приватбанк", перераховувалися власні кошти з рахунку, відкритого у АТ "Райффайзен Банк", зокрема: 07.09.2018 - на суми 100 000,00 грн та 460 000,00 грн, 11.09.2018 - 260 000,00 грн, 10.10.2018 - 200 000,00 грн тощо. Надалі ці кошти спрямовувалися позивачем на рахунки різних контрагентів як оплата за послуги/товар/виконання договірних зобов`язань. Виходячи з цього суди виснували, що операції, які вчинялися 03.12.2018, були типовими для позивача як клієнта Банку.
133. Верховний Суд вважає такі висновки нелогічними та необґрунтованими - адже суди не встановили, що позивач раніше застосовував практику "дроблення" платежів на одного й того контрагента, що такі платежі вчинялися з незвичною для людини швидкістю (значна кількість платіжних доручень надходила до Банку протягом 1-2 хвилин), що в один день сума вхідних і вихідних операцій позивача перевищувала 1 000 000,00 грн (тоді як прогнозовані обороти на квартал мали становити 500 000,00 грн). Отже, Верховний Суд відхиляє як помилкові висновки судів попередніх інстанцій щодо типовості операцій та їх відповідності профайлу клієнта Банку.
134. Верховний Суд також звертає увагу на те, що норми законодавства про фінансовий моніторинг спрямовані на виявлення підозрілих фінансових операцій, і саме через те, банк при вчиненні будь-якої банківської операції має керуватися приписами цього законодавства. Через дотримання процедур фінансового моніторингу банк може виявити підозрілі операції і запобігти відмиванню коштів, отриманих злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення.
135. Так, у цій справі суди встановили, що кошти з рахунку позивача були спрямовані на рахунки трьох юридичних осіб, які не були контрагентами позивача і засновник (бенефіціар) яких не підтвердив юридичний зв`язок з ними. Отже, висновки судів попередніх інстанцій про те, що вказані операції не пов`язані із відмиванням коштів, отриманих злочинним шляхом, або те, що зазначені кошти не були використані на фінансування тероризму та фінансування розповсюдження зброї масового знищення є безпідставними, адже суди не встановили, куди в подальшому були спрямовані ці кошти їх отримувачами.
136. Суди попередніх інстанцій також проігнорували висновки Верховного Суду про те, що відповідальний працівник Банку (відповідача), який обслуговує рахунок позивача і отримав для виконання платіжні доручення позивача, мав би звернути увагу на очевидні ознаки сумнівності (підозрілості) фінансових операцій (п.5.8 постанови від 21.07.2022 у цій справі).
137. Суди попередніх інстанцій вказали, що законодавством не передбачено, що така перевірка відбувається вручну працівниками. Так, суди встановили, що 03.12.2018 в АТ КБ "Приватбанк" загальна кількість виконаних Банком операцій упродовж дня становила 9 477 040. Зокрема, за платіжними дорученнями клієнтів проведено 273 111 транзакцій. На думку судів така кількість операцій робить неможливою їх перевірку, про яку вказав Верховний Суд постанові від 21.07.2022 у цій справі.
138. Верховний Суд не погоджується з такими висновками, адже якщо на банк покладена відповідальність за перевірку платіжних доручень, але таку перевірку здійснює не працівник банку (людина), а комп`ютерна програма (спеціальне банківське програмне забезпечення), то банк не звільняється від обов`язку проведення перевірки та відповідальності за нехтування цим обов`язком.
139. В Інструкції №22 вказано, що програмне забезпечення систем дистанційного обслуговування має відповідати вимогам законодавства, в тому числі нормативно-правових актів НБУ, які пред`являються до технології та захисту електронних банківських розрахунків (п.10.2).
140. Значна кількість операцій та автоматизація внутрішніх процесів у банку (опрацювання платіжних доручень та здійснення платежів не в ручному режимі працівником банку, а комп`ютерною програмою) жодним чином не звільняє банк від здійснення фінансового моніторингу відповідно до вимог закону та забезпечення кібербезпеки дистанційних платежів. Навпаки, саме за допомогою спеціального програмного забезпечення банк має можливість швидко опрацьовувати значні масиви даних і виявляти нетипові, підозрілі за своїм характером операції.
141. Верховний Суд зауважує, що саме Банк є учасником відносин, який отримує платіжні доручення для виконання. Якщо такі платіжні доручення складені третіми особами (шахраями), то позивач при всій своїй обачливості не може дізнатися про це, і не може повідомити Банк про компрометацію ЕЦП чи пін-коду. Про такі факти клієнт банку зазвичай дізнається вже після списання коштів зі свого рахунку. Водночас банк за будь-яких обставин не може не знати про надходження розпоряджень про переказ коштів до їх виконання, адже безпосередньо банк здійснює опрацювання і виконання платіжних документів. Тому саме на банк покладений обов`язок оцінювати усі платіжні доручення, що надходять від імені клієнта, насамперед через призму безпеки дистанційних платежів, з урахуванням наявних ризиків та з метою завчасного виявлення підроблених платіжних документів. Однак суди попередніх інстанцій зазначеного не врахували, що призвело до ухвалення неправильних рішень про відмову у задоволенні позову.
142. Отже, Банк не довів вину позивача (клієнта) у доступі третіх осіб до інформації, яка дозволила ініціювати банківські операції, і не спростував наявність своєї вини у несанкціонованому списанні коштів з рахунку клієнта. За таких умов Верховний Суд вважає, що наявні підстави для задоволення позову ПСП "Фацелія" про стягнення з АТ КБ "Приватбанк" грошових коштів в сумі 1 270 000,00 грн, помилково списаних Банком з рахунку позивача поза його волею.
Щодо стягнення пені
143. Відповідно до п.32.3.2 ст.32 Закону "Про платіжні системи та переказ коштів в Україні" та п.2.38 Інструкції №22, у разі помилкового переказу з рахунка неналежного платника, що стався з вини банку, цей банк зобов`язаний переказати відповідну за рахунок власних коштів суму переказу на рахунок неналежного платника, а також сплатити неналежному платнику пеню у розмірі процентної ставки, що встановлена цим банком по короткострокових кредитах, за кожний день починаючи від дня помилкового переказу до дня повернення суми переказу на рахунок неналежного платника, якщо інша відповідальність не передбачена договором.
144. Відповідач не надав заперечень щодо розміру нарахованої пені.
145. Враховуючи, що Верховний Суд дійшов висновку про задоволення позовної вимоги про стягнення суми помилкового переказу, то вимога про стягнення з АТ КБ "Приватбанк" пені за період часу з 03.12.2018 до 15.10.2019 в сумі 240 030,00 грн є обґрунтованою та підлягає задоволенню.
Висновки за результатами розгляду касаційної скарги
146. Відповідно до ч.1 ст.300 ГПК, переглядаючи у касаційному порядку судові рішення, суд касаційної інстанції в межах доводів та вимог касаційної скарги, які стали підставою для відкриття касаційного провадження, та на підставі встановлених фактичних обставин справи перевіряє правильність застосування судом першої чи апеляційної інстанції норм матеріального і процесуального права.
147. Згідно із ч.1 ст.311 ГПК суд скасовує судове рішення повністю або частково і ухвалює нове рішення у відповідній частині або змінює його, якщо таке судове рішення, переглянуте в передбачених ст.300 цього Кодексу межах, ухвалено з неправильним застосуванням норм матеріального права або порушенням норм процесуального права.
148. Враховуючи викладене, Верховний Суд дійшов висновків про задоволення касаційної скарги та скасування рішень судів попередніх інстанцій з ухваленням нового рішення про задоволення позову.
Судові витрати
149. Якщо суд касаційної інстанції, не передаючи справи на новий розгляд, змінює рішення або ухвалює нове, цей суд відповідно змінює розподіл судових витрат (ч.14 ст.129 ГПК).
Керуючись статтями 300, 301, 308, 311, 314, 315, 317 Господарського процесуального кодексу України, Верховний Суд
ПОСТАНОВИВ:
1. Касаційну скаргу Приватного сільськогосподарського підприємства "Фацелія" задовольнити.
2. Рішення Господарського суду міста Києва від 16.11.2022 та постанову Північного апеляційного господарського суду від 15.02.2023 у справі №922/4091/19 скасувати та ухвалити нове рішення.
3. Позов Приватного сільськогосподарського підприємства "Фацелія" до Акціонерного товариства Комерційний банк "Приватбанк" в особі філії "Харківське головне регіональне управління" Акціонерного товариства Комерційний банк "Приватбанк" про стягнення 1 510 030,00 грн задовольнити.
4. Стягнути з Акціонерного товариства Комерційний банк "Приватбанк" в особі філії "Харківське регіональне управління Акціонерного товариства Комерційний банк "Приватбанк" (01001, м. Київ, вул. Грушевського, 1д, код ЄДРПОУ 14360570) на користь Приватного сільськогосподарського підприємства "Фацелія" (62032, Харківська обл., Краснокутський р-н, с. Любівка, вул. 1 травня, 19, код ЄДРПОУ 30957199) 1 270 000 (один мільйон двісті сімдесят тисяч) грн 00 коп., списаних з рахунку позивача, та 240 030 (двісті сорок тисяч тридцять) грн 00 коп. пені.
5. Стягнути з Акціонерного товариства Комерційний банк "Приватбанк" в особі філії "Харківське регіональне управління Акціонерного товариства Комерційний банк "Приватбанк" (01001, м. Київ, вул. Грушевського, 1д, код ЄДРПОУ 14360570) на користь Приватного сільськогосподарського підприємства "Фацелія" (62032, Харківська обл., Краснокутський р-н, с. Любівка, вул. 1 травня, 19, код ЄДРПОУ 30957199) судові витрати зі сплати судового збору у розмірі 22 650 (двадцяти двох тисяч шестисот п`ятдесяти) грн 45 коп. за подання позову, 101 927 (ста однієї тисячі дев`ятисот двадцяти семи) грн 01 коп. за подання апеляційної скарги та 135 902,70 (ста тридцяти п`яти тисяч дев`ятисот двох) грн 70 коп. за подання касаційних скарг.
6. Доручити Господарському суду міста Києва видати відповідні накази.
Постанова набирає законної сили з моменту її прийняття, є остаточною і оскарженню не підлягає.
Головуючий суддя О. Кібенко
Судді С. Бакуліна
І. Кондратова
Суд | Касаційний господарський суд Верховного Суду |
Дата ухвалення рішення | 21.06.2023 |
Оприлюднено | 17.10.2023 |
Номер документу | 114187019 |
Судочинство | Господарське |
Господарське
Касаційний господарський суд Верховного Суду
Кібенко О. Р.
Всі матеріали на цьому сайті розміщені на умовах ліцензії Creative Commons Із Зазначенням Авторства 4.0 Міжнародна, якщо інше не зазначено на відповідній сторінці
© 2016‒2023Опендатабот
🇺🇦 Зроблено в Україні