Постанова

від 19.11.2024 по справі 320/12807/23

ШОСТИЙ АПЕЛЯЦІЙНИЙ АДМІНІСТРАТИВНИЙ СУД

ШОСТИЙ АПЕЛЯЦІЙНИЙ АДМІНІСТРАТИВНИЙ СУДСправа № 320/12807/23 Суддя (судді) першої інстанції: Кушнова А.О.

ПОСТАНОВА

ІМЕНЕМ УКРАЇНИ

19 листопада 2024 року м. Київ

Шостий апеляційний адміністративний суд у складі колегії суддів:

головуючого судді: Собківа Я.М.,

суддів: Сорочка Є.О., Чаку Є.В.,

за участю секретаря: Ольшевської Ж.А.

розглянувши у закритому судовому засіданні апеляційну скаргу Національного банку України на рішення Київського окружного адміністративного суду від 24 червня 2024 року у справі за адміністративним позовом Товариства з обмеженою відповідальністю «АВТО УКР БІЛС» до Національного банку України про визнання протиправним та скасування рішення, -

ВСТАНОВИВ:

Товариство з обмеженою відповідальністю «АВТО УКР БІЛС» звернулось до Київського окружного адміністративного суду з адміністративним позовом до Національного банку України про визнання протиправним та скасування рішення Національного банку України від 20.03.2023 року №21/496-рк.

Рішенням Київського окружного адміністративного суду від 24 червня 2024 року адміністративний позов задоволено.

Не погодившись із вказаним рішенням суду, Національним банком України подано апеляційну скаргу, в якій скаржник просить скасувати рішення Київського окружного адміністративного суду та прийняти нову постанову, якою відмовити у задоволенні позовних вимог в повному обсязі.

Відповідно до ч.1 ст. 308 КАС України суд апеляційної інстанції переглядає справу за наявними у ній і додатково поданими доказами та перевіряє законність і обґрунтованість рішення суду першої інстанції в межах доводів та вимог апеляційної скарги.

Заслухавши у закритому судовому засіданні суддю-доповідача, представників сторін, перевіривши матеріали справи та доводи апеляційної скарги, колегія суддів зазначає наступне.

Судом першої інстанції встановлено, що Товариство з обмеженою відповідальністю "Укрфінстандарт" зареєстровано за адресою: 49009, м. Дніпро, вул. Володимира Вернадського, б. 35, корп. 5, к. 2, ідентифікаційний код 38216487.

Відповідно до рішення учасника № 31/08 товариства з обмеженою відповідальністю "Укрфінстандарт" від 31.08.2023 вирішено змінити види економічної діяльності Товариства, а саме: виключити існуючі, включити наступні: 49.41 - (Основний), 52.10, 52.24, 52.29, 68.20; змінити назву Товариства на наступну: "АВТО УКР БІЛС"; змінити місцезнаходження Товариства у зв`язку із виробничою необхідністю на наступне: 79000, Львівська область, м. Львів, вул. Кульпарківська, б. 266/2.

Згідно з рішенням Національного банку України "Про виключення Товариства з обмеженою відповідальністю "Укрфінстандарт" з Державного реєстру фінансових установ" від 02.06.2024 № 21/1015-рк ТОВ "Укфінстандарт" виключено з Державного реєстру фінансових установ.

Відповідно до статті 18 Закону України "Про запобігання та протидію легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення" від 06.12.2019 №361-IX, на підставі розділу IV Положення про порядок організації та здійснення нагляду у сфері фінансового моніторингу, валютного нагляду, нагляду з питань реалізації моніторингу ефективності персональних економічних та обмежувальних заходів (санкцій), затвердженого постановою Правління Національного банку України від 30.06.2020 №90 Департаментом фінансового моніторингу Національного банку України шляхом безвиїзного нагляду здійснено перевірку дотримання Товариством з обмеженою відповідальністю "Укрфінстандарт" вимог законодавства в сфері ПВК/ФТ, за результатами якого складено акт про результати безвиїзного нагляду з питань фінансового моніторингу від 22.12.2022 №В/25-0014/1826/ДСК.

13.03.2023 Національним банком України направлено на адресу ТОВ "Укрфінстандарт" листа №25-0014/16843 "Щодо запрошення на засідання Комітету з питань нагляду та регулювання діяльності ринків небанківських фінансових послуг", у відповідності до якого позивача запрошено на розгляд питання щодо застосування заходів впливу за результатами безвиїзного нагляду на 20.03.2023 з початком о 10 год 00 хв за допомогою відеозв`язку через платформу ZOOM.

Надалі, 20.03.2023 Національний банк України, керуючись статтею 17 Закону України "Про Національний банк України", статтями 18, 32 Закону України "Про запобігання та протидію легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення" від 06.12.2019 №361-IX, та пунктом 10-2 розділу ХIII "Прикінцеві та перехідні положення" Закону України "Про виконавче провадження", Положення №106 та Положення №498-рш прийняв рішення №21/496-рк "Про накладення штрафу на Товариство з обмеженою відповідальністю "Укрфінстандарт"", яким вирішено накласти на Товариство з обмеженою відповідальністю "Укрфінстандарт" штраф за порушення вимог пункту 2 частини 2 статті 8 Закону України Про запобігання та протидію легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення" від 06.12.2019 №361-IX у частині не проведення первинного фінансового моніторингу у розмірі 14 600 100 (чотирнадцять мільйонів шістсот тисяч сто) гривень (пункт 1 рішення).

Вважаючи вказані дії відповідача протиправними, а свої права порушеними, позивач звернувся до суду з відповідним позовом.

Колегія суддів, розглядаючи справу в межах доводів апеляційної скарги, дійшла висновку про обґрунтованість та правомірність висновків суду першої інстанції з огляду на наступне.

Відповідно до статті 19 Конституції України органи державної влади та органи місцевого самоврядування, їх посадові особи зобов`язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України.

Відповідно до частини 1 статті 2 Закону України "Про Національний банк України" від 20.05.1999 № 679-XIV (далі - Закон № 679-XIV) Національний банк України (далі - Національний банк) є центральним банком України, особливим центральним органом державного управління, юридичний статус, завдання, функції, повноваження і принципи організації якого визначаються Конституцією України, цим Законом та іншими законами України.

Згідно з пунктом 30 частини 1 статті 7 Закону № 679-XIV Національний банк виконує такі функції: здійснює державне регулювання та нагляд у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення за банками та філіями іноземних банків, страховиками (перестраховиками), страховими (перестраховими) брокерами, кредитними спілками, ломбардами, іншими фінансовими установами, реєстрацію чи ліцензування діяльності яких здійснює Національний банк, операторами поштового зв`язку, які надають платіжні послуги та/або послуги поштового переказу, та/або здійснюють валютні операції, операторами платіжних систем, філіями або представництвами іноземних суб`єктів господарської діяльності, які надають фінансові послуги на території України, іншими юридичними особами, які за своїм правовим статусом не є фінансовими установами, але надають окремі фінансові послуги.

Постановою Правління Національного банку України від 30.06.2020 №90 затверджено Положення про порядок організації та здійснення нагляду у сфері фінансового моніторингу, валютного нагляду, нагляду з питань реалізації і моніторингу ефективності персональних спеціальних економічних та інших обмежувальних заходів (санкцій) (далі - Положення №90), яке розроблено відповідно до статті 7 Закону України "Про Національний банк України", статті 63 Закону України "Про банки і банківську діяльність", статті 18 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі - Закон про запобігання), статті 11 Закону України "Про валюту і валютні операції", Закону України "Про санкції", з метою встановлення порядку організації та здійснення Національним банком України (далі - Національний банк) нагляду у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - легалізація кримінальних доходів/фінансування тероризму), валютного нагляду, нагляду за дотриманням вимог нормативно-правових актів Національного банку, якими запроваджені обмеження щодо проведення операцій, які мають на меті/порушують, сприяють або можуть сприяти уникненню/порушенню обмежень, установлених персональними спеціальними економічними та іншими обмежувальними заходами (санкціями) (далі - санкційне законодавство) та поширює свою дію на страховиків (перестраховиків), страхових (перестрахових) брокерів, кредитні спілки, ломбарди та інші фінансові установи (крім фінансових установ та інших юридичних осіб, щодо яких державне регулювання і нагляд у сфері запобігання та протидії здійснюються іншими суб`єктами державного фінансового моніторингу); платіжні організації, учасників чи членів платіжних систем, які надають фінансові послуги на підставі відповідних ліцензій чи реєстраційних документів; операторів поштового зв`язку; інші установи, які надають послуги з переказу коштів та здійснення валютних операцій; філії або представництва іноземних суб`єктів господарської діяльності, які надають фінансові послуги на території України, інших юридичних осіб, які за своїм правовим статусом не є фінансовими установами, але надають окремі фінансові послуги; небанківські фінансові установи, їх структурні підрозділи, а також операторів поштового зв`язку, які отримали ліцензію Національного банку на здійснення валютних операцій або генеральну ліцензію на здійснення валютних операцій, яка не втратила чинність після введення в дію Закону України "Про валюту і валютні операції" (далі - установи) (пп. 2 п. 2 р. I Положення №90).

Згідно із пунктом 66 частини 1 статті 1 Закону України Про запобігання та протидію легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення" від 06.12.2019 №361-IX (далі - Закон №361-IX) фінансовий моніторинг - сукупність заходів, що вживаються суб`єктами фінансового моніторингу у сфері запобігання та протидії, що включають проведення державного фінансового моніторингу та первинного фінансового моніторингу.

Суб`єктами державного фінансового моніторингу є Національний банк України, центральний орган виконавчої влади, що забезпечує формування та реалізацію державної політики у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, Міністерство юстиції України, Національна комісія з цінних паперів та фондового ринку, Міністерство цифрової трансформації України та спеціально уповноважений орган (ч. 3 ст. 6 Закону №361-IX).

Досліджуючи обставини, які покладені в основу акту безвиїзного нагляду та які в подальшому стали підставою для прийняття Національним банком України спірного рішення, колегія суддів надає оцінку вказаним обставинам та зазначає наступне.

Згідно з частиною 1 статті 8 Закону №361-IX встановлено, що суб`єкт первинного фінансового моніторингу (крім спеціально визначених суб`єктів первинного фінансового моніторингу, що провадять свою діяльність одноособово, без утворення юридичної особи) з урахуванням вимог законодавства, результатів національної оцінки ризиків та оцінки ризиків, притаманних його діяльності, розробляє, впроваджує та оновлює правила фінансового моніторингу, програми проведення первинного фінансового моніторингу та інші внутрішні документи з питань фінансового моніторингу (далі - внутрішні документи з питань фінансового моніторингу) і призначає працівника, відповідального за його проведення (далі - відповідальний працівник).

Внутрішні документи з питань фінансового моніторингу повинні містити процедури, достатні для забезпечення ефективного управління ризиками, а також для запобігання використанню послуг та продуктів суб`єкта первинного фінансового моніторингу для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення.

Групи, учасниками яких є суб`єкти первинного фінансового моніторингу, розробляють та впроваджують єдині правила фінансового моніторингу, що, зокрема, включають процедуру використання інформації в межах групи з метою фінансового моніторингу. Такі правила поширюються на всіх суб`єктів первинного фінансового моніторингу, що входять до групи, їх філії та дочірні компанії, розташовані в інших країнах.

Відповідно до частини 1 статті 7 Закону №361-IX суб`єкт первинного фінансового моніторингу зобов`язаний у своїй діяльності застосовувати ризик-орієнтований підхід, враховуючи відповідні критерії ризику, зокрема, пов`язані з його клієнтами, географічним розташуванням держави реєстрації клієнта або установи, через яку він здійснює передачу (отримання) активів, видом товарів та послуг, що клієнт отримує від суб`єкта первинного фінансового моніторингу, способом надання (отримання) послуг. Ризик-орієнтований підхід має бути пропорційний характеру та масштабу діяльності суб`єкта первинного фінансового моніторингу.

Частиною 2 статті 7 Закону №361-IX передбачено, що застосування ризик-орієнтованого підходу здійснюється в порядку, визначеному внутрішніми документами з питань фінансового моніторингу суб`єкта первинного фінансового моніторингу, з урахуванням рекомендацій відповідних суб`єктів державного фінансового моніторингу, які згідно із цим Законом виконують функції державного регулювання і нагляду за такими суб`єктами первинного фінансового моніторингу.

Суб`єкт первинного фінансового моніторингу зобов`язаний здійснювати оцінку/переоцінку ризиків, у тому числі притаманних його діяльності, документувати їх результати, а також підтримувати в актуальному стані інформацію щодо оцінки ризиків, притаманних його діяльності (ризик-профіль суб`єкта первинного фінансового моніторингу), та ризику своїх клієнтів таким чином, щоб бути здатним продемонструвати своє розуміння ризиків, що становлять для нього такі клієнти (ризик-профіль клієнтів).

Згідно із частиною 3 статті 7 Закону №361-IX критерії ризиків визначаються суб`єктом первинного фінансового моніторингу самостійно з урахуванням критеріїв ризиків, встановлених відповідно:

Національним банком України - для суб`єктів первинного фінансового моніторингу, щодо яких Національний банк України відповідно до статті 18 цього Закону виконує функції державного регулювання і нагляду;

центральним органом виконавчої влади, що забезпечує формування та реалізацію державної політики у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, - для інших суб`єктів первинного фінансового моніторингу.

У той же час, постановою Правління Національного банку України від 28.07.2020 №107 затверджено Положення про здійснення установами фінансового моніторингу" (далі - Положення №107, у редакції чинній до 07.09.2023), яке розроблене відповідно до Законів України "Про Національний банк України", "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення", з метою запобігання використанню установ для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення.

Відповідно до пункту 2 розділу I Положення №107 установлюються загальні вимоги Національного банку України (далі - Національний банк) щодо виконання установами вимог законодавства України з питань фінансового моніторингу.

Пунктом 4 розділу I Положення №107 визначено основні скорочення (абревіатури).

Так, ВК/ФТ - легалізація (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та/або фінансування розповсюдження зброї масового знищення; Закон про ПВК/ФТ - Закон України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення"; НПК - належна перевірка клієнта; ПВК/ФТ - запобігання та протидія легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення; ПЗНП - посилені заходи належної перевірки; СПФМ - суб`єкт первинного фінансового моніторингу; FATF - Група з розробки фінансових заходів боротьби з відмиванням грошей.

Відповідно до підпунктів 2, 3, 7, 19, 24, 32, 33, 41, 46 пункту 5 розділу I Положення №107 аналіз фінансових операцій - комплекс ризик-орієнтованих заходів, які здійснюються на постійній основі та встановлені внутрішніми документами установи з питань ПВК/ФТ, проведення яких дає змогу установі виявити фінансові операції, що підлягають фінансовому моніторингу; високий ризик ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом - результат оцінки установою ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом, що базується на результатах аналізу сукупності критеріїв, передбачених законодавством України та внутрішніми документами установи з питань ПВК/ФТ, та який свідчить про високу ймовірність використання клієнтом послуг установи для ВК/ФТ; внутрішні документи установи з питань ПВК/ФТ - правила, програми, методики, інші документи, розроблені та затверджені установою з метою належного виконання функцій СПФМ; моніторинг ділових відносин / моніторинг фінансових операцій - аналіз фінансових операцій клієнта, що здійснюються у процесі ділових відносин з ним, щодо відповідності таких фінансових операцій наявній в установі інформації про клієнта, його діяльність та ризик (у тому числі в разі необхідності про джерело коштів, пов`язаних з фінансовими операціями); низький ризик ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом - результат оцінки установою ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом, що базується на результатах аналізу сукупності критеріїв, передбачених законодавством України та внутрішніми документами установи з питань ПВК/ФТ, та який свідчить про низьку ймовірність використання клієнтом послуг установи для ВК/ФТ; онлайн-моніторинг переказів коштів - процедура аналізу переказів коштів у режимі реального часу, що здійснюється до моменту: зарахування установою отримувача коштів на електронний гаманець отримувача / виплати коштів отримувачу за відсутності у нього електронного гаманця; перерахування установою-посередником коштів іншому СПФМ-посереднику або СПФМ отримувача; порядок - чітка послідовність дій певного процесу із зазначенням способів, форм, строків (термінів) ужиття працівниками установи цих дій, визначена у внутрішніх документах установи з питань ПВК/ФТ; прийнятний рівень ризиків ВК/ФТ - ризик, який є керованим, підконтрольним установі, не може спричинити підвищення юридичного ризику та ризику репутації, а також погіршення фінансових результатів діяльності установи чи завдати шкоди її кредиторам і клієнтам; ризик-апетит (схильність до ризику) установи у сфері ПВК/ФТ - величина ризику ВК/ФТ, визначена наперед та в межах прийнятного рівня ризику ВК/ФТ, щодо якої установа прийняла рішення про доцільність/необхідність її утримання з метою досягнення її стратегічних цілей; середній ризик ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом - результат оцінки установою ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом, що базується на результатах аналізу сукупності критеріїв, передбачених законодавством України та внутрішніми документами установи з питань ПВК/ФТ, та який свідчить про підвищену ймовірність використання клієнтом послуг установи для ВК/ФТ.

Згідно з пунктами 20, 21 розділу III Положення №107 установа розробляє та затверджує внутрішні документи з метою виконання вимог законодавства України у сфері ПВК/ФТ, які повинні містити дієві ризик-орієнтовані процедури, порядки, достатні для належної організації та функціонування внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу, функціонування належної системи управління ризиками ВК/ФТ.

Внутрішні документи установи з питань ПВК/ФТ розробляються установою з урахуванням вимог законів України, що регулюють питання ПВК/ФТ, цього Положення, нормативно-правових актів Кабінету Міністрів України, Міністерства фінансів України, Національного банку, прийнятих для виконання та відповідно до цих законів, рекомендацій FATF, результатів національної оцінки ризиків та ризик-профілю установи, рекомендацій Національного банку та типологічних досліджень СУО.

Установа, яка є учасником групи, має право використовувати у своїй діяльності процедури / програми / інші документи з питань ПВК/ФТ, розроблені та затверджені головною (материнською) організацією цієї групи (за умови, що установа може надати такий документ на запит Національного банку).

В силу вимог пункту 22 розділу III Положення №107 основними принципами розроблення та реалізації внутрішніх документів установи з питань ПВК/ФТ є:

1) належна організація та функціонування внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу, функціонування належної системи управління ризиками ВК/ФТ, забезпечення функціонування ефективної внутрішньої системи ПВК/ФТ;

2) запровадження ризик-орієнтованого підходу під час здійснення процедур з ПВК/ФТ;

3) виконання установою усіх вимог, визначених законодавством України у сфері ПВК/ФТ;

4) урахування всіх видів та напрямів діяльності установи;

5) запровадження культури ПВК/ФТ в установі та забезпечення безпосередньої участі кожного працівника (у межах його компетенції) у процесі реалізації процедур ПВК/ФТ;

6) чіткий розподіл обов`язків та повноважень між керівником установи, відповідальним працівником установи, іншими працівниками установи, залученими до проведення первинного фінансового моніторингу, з метою недопущення в роботі установи порушень законодавства України у сфері ПВК/ФТ;

7) установлення детального та максимально зрозумілого працівникам установи, залученим до проведення первинного фінансового моніторингу, порядку дій під час здійснення ними процедур ПВК/ФТ;

8) забезпечення таємниці фінансового моніторингу та конфіденційності інформації про інформаційний обмін із СУО, у тому числі факт передавання відомостей про фінансову операцію клієнта СУО;

9) забезпечення конфіденційності інформації про внутрішні документи установи з питань ПВК/ФТ;

10) забезпечення конфіденційності інформації про клієнтів, їхні фінансові операції, а також інших відомостей відповідно до вимог законодавства України у сфері захисту інформації;

11) запобігання залученню працівників установи до ВК/ФТ.

Згідно із пунктом 24 розділу III Положення №107 внутрішні документи установи з питань ПВК/ФТ мають враховувати особливості, напрями та специфіку діяльності установи, особливості різних типів клієнтів, а також імплементацію установою ризик-орієнтованого підходу.

Внутрішні документи установи з питань ПВК/ФТ можуть бути у вигляді одного загального документа або кількох окремих документів.

Установа має забезпечити актуальність внутрішніх документів установи з питань ПВК/ФТ, ураховуючи зміни до законодавства України у сфері ПВК/ФТ та події, що можуть вплинути на ризики ВК/ФТ установи (п. 25 р. III Положення №107).

Як вбачається з матеріалів справи, наказом №1-ФМ від 23.06.2021 директором ТОВ "Укрфінстандарт" затверджено Правила фінансового моніторингу (далі - Правила), розділом III яких врегульовано принципи та порядок застосування ризик орієнтованого підходу.

Відповідно до пункту 1.2 розділу III Правил визначено, що здійснення оцінки власного ризик-профілю Компанії базується на розумінні та кількісному вимірюванні за допомогою бальних оцінок та вагових коефіцієнтів ризиків відмивання коштів/фінансування тероризму, притаманних діяльності компанії з переказу коштів.

Методика оцінки ризик-профілю компанії наведена у додатку 4 до цих Правил.

На підставі здійснення оцінки ризик-профілю та з урахуванням доступних для здійснення компанією заходів з управління ризиками відмивання коштів/фінансування тероризму, визначається ризик-апетит компанії у сфері відмивання коштів/фінансування тероризму, як інтегрований показник ступеню ризику, притаманного компанії відповідно до профілю її діяльності та фактичної структури клієнтської бази за рівнями ризику.

Додатком №4 до Правил затверджені Критерії ризику та методика оцінки ризик профілю компанії.

Розділом III додатку 4 до Правил визначено методику оцінки ризик-профілю компанії:

1. Ризик компанії середній, якщо ризик-профілю притаманні 1-4 критерії середнього рівня ризику та у лінійці послуги/продуктів відсутні послуги/продукти високого ризику.

2. Ризик компанії високий, якщо ризик-профілю притаманні 5-7 критеріїв середнього ризику з будь-якої групи або є щонайменше 1 критерій високого ризику та хоча б один та у лінійці послуг/продуктів наявні послуги/продукти високого ризику.

3. Ризик клієнта неприйнятно високий, якщо ризик-профілю клієнта притаманні 3-4 критерії високого ризику з будь-якої групи або щонайменше один критерій неприйнятно високого ризику з будь-якої групи.

Розділом II додатку 4 до Правил врегульовано критерії ризику продуктів компанії, а саме:

- Критерії, тип продуктів.

1. цільове використання продукту та/або послуги:

1.1 чи дають змогу продукти та/або послуги установи маскувати незаконне походження коштів, переказувати кошти для фінансування терористичної діяльності, сприяти анонімності учасників фінансової операції (приховувати реальних кінцевих отримувачів тих чи інших продуктів та/або послуг): інтернет-еквайринг (низький); масові витрати (середній); р2р-перекази (середній); термінальні мережі (високий);

1.2. чи можуть вони використовуватися клієнтом від імені третіх осіб; чи можуть бути цікавими для компаній-оболонок: інтернет-еквайринг (середній); масові витрати (середній); р2р-перекази (низький); термінальні мережі (високий);

2. особливі можливості використання продукту та/або послуги: чи дає змогу продукт та/або послуга клієнту установи здійснювати операції з контрагентами/бізнес-сегментом, яким притаманні підвищені ризики у сфері ВК/ФТ: інтернет-еквайринг (низький); масові витрати (середній); р2р-перекази (низький); термінальні мережі (високий);

3. цільовий сегмент для реалізації продукту та/або послуги: види клієнтів, які найбільше/найчастіше використовують той чи інший продукт та/або ту чи іншу послугу: інтернет-еквайринг (низький); масові витрати (середній); р2р-перекази (середній); термінальні мережі (високий);

Розділом I додатку 4 до Правил встановлено критерії ризику, притаманні ризик-профілю компанії:

1. Характер та масштаб діяльності компанії (показник для оцінки: річний обсяг: до 6 млрд. грн (низький), до 12 млрд. грн (середній), понад 12 млрд. грн (високий));

2. Джерела фінансування бізнесу (власні або залучені кошти) (показник для оцінки: власні (100%) - низький; залучені у співвідношенні до 50% - середній; залучені у співвідношенні понад 50% - високий);

3. Контрагенти, за участю яких компанія проводить дії з активами клієнтів (показник для оцінки: тільки банки та НФУ (так/ні) - низький; також інші особи (агенти, посередники), що не є НФУ та банківськими установами (та/ні) - середній; юридичні особи-нерезиденти (так/ні) - високий);

4. Види клієнтів та рівень їх ризик-профілю: показник для оцінки: питома вага високоризикових клієнтів (до 10% - низький); до 50% - середній; понад 50% - високий;

5. Географічне розташування компанії, географічне розташування держави реєстрації клієнтів або установ, через які компанія здійснює передавання (отримання) активів: показник для оцінки: нерезиденти з країн, що не входять до переліку (з відповідних довідників (низький); нерезиденти з країн з переліків (з відповідних довідників - високий);

6. Продукти та послуги, що надаються компанією: показник для оцінки: ліцензійні (низький); супутні (середній).

7. Канали/способи надання (отримання) послуг: показник для оцінки: оффлайн в головному офісі (низький); онлайн (середній); оффлайн через агентську мережу (високий);

8. Інші значущі фактори, пов`язані із діяльністю компанії: показник для оцінки: наявні (низький); відсутні (середній).

Згідно з частиною 4 статті 7 Закону №361-IX при визначенні критеріїв ризиків суб`єкт первинного фінансового моніторингу повинен враховувати типологічні дослідження у сфері запобігання та протидії, підготовлені спеціально уповноваженим органом та оприлюднені ним на своєму веб-сайті, результати національної оцінки ризиків, а також рекомендації суб`єктів державного фінансового моніторингу.

Розділом IV Положення №107 врегульовано належна система управління ризиками ВК/ФТ.

Так, пунктами 32-42 розділу IV Положення №107 визначено, що установа зобов`язана у своїй діяльності застосовувати ризик-орієнтований підхід, що має бути пропорційним характеру та масштабу діяльності установи.

Ризик-орієнтований підхід має застосовуватися установою на постійній основі та забезпечувати виявлення, ідентифікацію, оцінку всіх наявних та потенційних ризиків ВК/ФТ, притаманних діяльності установи (ризик-профілю установи) та її клієнтам, а також передбачати своєчасне розроблення заходів з управління ризиками ВК/ФТ, їх мінімізації.

Установа документує процес застосування ризик-орієнтованого підходу таким чином, щоб бути здатною продемонструвати його суть (зокрема те, у чому полягає різниця в підходах), прийняті установою рішення під час його застосування та обґрунтованість таких рішень.

Установа, застосовуючи ризик-орієнтований підхід, має утримуватися від необґрунтованого застосування де-рискінгу. Зазначений підхід протирічить ризик-орієнтованому підходу та не сприяє фінансовій інклюзії.

Ризик-орієнтований підхід має ґрунтуватися на оцінці ризиків та включати в себе:

1) оцінку ризик-профілю установи:

виявлення та оцінку ризиків ВК/ФТ, притаманних діяльності установи;

аналіз наявних заходів з управління ризиками ВК/ФТ для їх зниження (мінімізації);

визначення ризик-апетиту установи у сфері ПВК/ФТ (прийнятного для установи рівня ризику ВК/ФТ);

2) оцінку ризик-профілю клієнта:

виявлення та оцінку ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом;

аналіз наявних заходів з управління ризиками ВК/ФТ для їх зниження (мінімізації) до прийнятного для установи рівня ризику ВК/ФТ (у межах ризик-апетиту установи у сфері ПВК/ФТ).

Установа здійснює оцінку власного ризик-профілю з урахуванням специфіки своєї діяльності й таких факторів:

1) характеру та масштабу діяльності установи;

2) джерел фінансування бізнесу (власні або залучені кошти);

3) продуктів та послуг, що надаються установою;

4) видів клієнтів та їх ризик-профілю;

5) географічного розташування установи, географічного розташування держави реєстрації клієнтів або установ, через які установа здійснює передавання (отримання) активів;

6) каналів/способів надання (отримання) послуг;

7) контрагентів, за участю яких установа проводить дії з активами;

8) інших значущих факторів, пов`язаних із діяльністю установи.

Установа, аналізуючи ризики ПВК/ФТ своїх продуктів та послуг, має враховувати особливості та можливості їх використання, зокрема:

1) цільове використання продукту та/або послуги:

чи дають змогу продукти та/або послуги установи маскувати незаконне походження коштів, переказувати кошти для фінансування терористичної діяльності, сприяти анонімності учасників фінансової операції (приховувати реальних кінцевих отримувачів тих чи інших продуктів та/або послуг);

чи можуть вони використовуватися клієнтом від імені третіх осіб;

чи можуть бути цікавими для компаній-оболонок;

2) особливі можливості використання продукту та/або послуги: чи дає змогу продукт та/або послуга клієнту установи здійснювати операції з контрагентами/бізнес-сегментом, яким притаманні підвищені ризики у сфері ВК/ФТ;

3) цільовий сегмент для реалізації продукту та/або послуги: види клієнтів, які найбільше/найчастіше використовують той чи інший продукт та/або ту чи іншу послугу.

Аналізуючи канали/способи надання (отримання) своїх продуктів та/або послуг, установа має приділяти окрему увагу ризикам, притаманним новітнім технологіям (зокрема віддаленому встановленню ділових відносин з клієнтом), наявності агентів, використанню інформації інших СПФМ.

Установа повинна враховувати географічні критерії ризику, приділяючи, зокрема, особливу увагу державам (територіям), що не виконують рекомендації FATF, або які мають стратегічні недоліки у сфері ПВК/ФТ (відповідно до заяв FATF), державам, що здійснюють збройну агресію проти України у значенні, наведеному в статті 1 Закону України "Про оборону України", наявності/відсутності військових конфліктів, терористичних груп та/або організацій на території держави (території).

Географічні критерії ризиків установи мають також враховувати місцезнаходження самої установи (її материнської установи, філій, представництв, дочірніх установ) та географію надання установою своїх продуктів та/або послуг.

Установа під час визначення свого ризик-профілю зобов`язана також ураховувати наявність і характер санкцій, які до неї застосовані.

Критерії ризиків визначаються установою самостійно з урахуванням критеріїв ризиків, установлених Національним банком у додатку 18 до цього Положення, типологічних досліджень СУО, результатів національної оцінки ризиків, а також рекомендацій Національного банку.

В розділу I акта НБУ зазначено, що "окремі із вищезазначених Установою критеріїв ризику, притаманних ризик-профілю Установи є загальними та носять формальний характер, не враховуючи вимоги частини 4 статті 7 Закону про ПВК/ФТ та пункту 39 розділу IV Положення №107 та навело певні критерії, зокрема:

Критерій "Характер та масштаб діяльності компанії" не враховує характер діяльності Установи (чим вона займається, які послуги надає, яких клієнтів обслуговує тощо), а передбачений показник для його оцінки "річний обсяг" є загальним, значно завищеним (згідно з даними файлу 2LXза 2020 та 2021 роки, загальна сума здійснених Установою переказів становить - 6 160 389 946,97 грн та 5 337 328 626,30 грн) та не дає можливості визначити адекватність значень такого показника і причину визначення саме таких числових меж з огляду на види послуг, що надає Установа.

Також колегія суддів вказує, що додатком №18 до Положення №107 закріплено Критерії ризику ВК/ФТ, в переліку яких відсутній такий критерій як "Характер та масштаб діяльності компанії".

Отже, з урахуванням пункту 42 розділу IV Положення №107 вказаний вище критерій установлюється установою самостійно.

Національний банк України ані в акті безвиїзного нагляду, ані в апеляційній скарзі не мотивував, яким чином критерій, визначений позивачем "Характер та масштаб діяльності компанії" суперечить положенням частини 4 статті 7 статті 7 Закону про ПВК/ФТ та пункту 39 розділу IV Положення №107.

Крім того, розділом I додатку 4 до Правил встановлено критерії ризику, притаманні ризик-профілю компанії, критерій "Характер та масштаб діяльності компанії" визначено наступним чином: (показник для оцінки: річний обсяг: до 6 млрд. грн (низький), до 12 млрд. грн (середній), понад 12 млрд. грн (високий)).

Твердження відповідача, що показник для оцінки критерію "Характер та масштаб діяльності компанії" є значно завищеним та загальним базуються виключно на суб`єктивному сприйнятті останнього без наведення ним правового підґрунтя таким твердженням.

Колегія суддів наголошує, що Національним банком України не вказано жодного нормативно-правового акту, яким встановлюється методика визначення показника оцінки для критерію "Характер та масштаб діяльності компанії", а відтак стверджувати про наявність порушення Закону №361-IX позивачем в окресленій частині не вбачається за можливе.

Щодо критерію "Продукти та послуги, що надаються компанією", колегія суддів вказує наступне.

НБУ вважає, що у такому критерії позивачем не визначено конкретного переліку продуктів (р2р перекази, масові виплати, термінальні мережі тощо) та послуг, що надаються Установою, а натомість визначено 2 показники - ліцензійні, яким присвоєно низькій рівень ризику, та супутні - яким присвоєно середній рівень ризику (високий рівень ризику відсутній).

Проте, для критерію "Продукти та послуги, що надаються компанією" ТОВ "Укрфінстандарт" визначено показник для оцінки: ліцензійні (низький); супутні (середній).

Разом з цим, конкретний перелік продуктів, визначений позивачем в розділі II додатку №4 до Правил "Критерії ризику продуктів компанії", для визначення якого враховано положення пункту 37 розділу IV Положення №107.

Згідно з підпунктом 3.1.1 НОР "Фінансовий банківський сектор" пункту 3.1 "Секторальна оцінка ризиків СПФМ з метою ВК/ФТ" розділу 3 "Секторальна оцінка ризиків" вказано про те, що законодавство України передбачає діяльність в Україні внутрішньодержавних та міжнародних платіжних систем. Діяльність платіжної системи має відповідати вимогам законодавства України. В Україні функціонує приблизно однакова кількість платіжних систем, що створені резидентами банками (16 платіжних систем), так і НФУ (14 платіжних систем). Зазначені дані свідчать про значний рівень конкуренції з боку альтернативних (небанківських) послуг щодо переказу коштів. Упродовж 2018 року на території України надавали послуги 35 систем переказу коштів, з яких 28 систем створені резидентами та 7 систем створені нерезидентами (3 системи з США, по 1 - з Грузії, Великобританії, Канади, Азербайджану). Ризик використання переказу коштів для ВК в Україні оцінюється як дуже високий, ризик використання переказу коштів з метою ФТ чи міжнародного збройного конфлікту на Сході Україні оцінюються як високий.

Надаючи оцінку наведеному колегія суддів звертає увагу, що критерії управління ризиками ВК/ФТ включають в себе декілька аспектів, а тому визначення у НОР продукту (послуги) - переказ коштів, як високий ризик для ВК в Україні не може бути беззаперечною підставою та автоматичного віднесення такого продукту до високого ризику.

Також відповідач жодним чином не обґрунтував порушення позивачем у наведеній частині вимоги частини 4 статті 7 Закону про ПВК/ФТ та пункту 39 розділу IV Положення №107, а вказане в акті безвиїзного нагляду не дає суду підстави дійти до однозначного висновку про наявність такого порушення.

З приводу критерія "Види клієнтів та рівень їх ризик-профілю", колегія суддів зазначає таке.

Відповідачем не наведено, яку норму Закону про ПВК/ФТ та/або Положення №107 порушено позивачем.

ТОВ "Укрфінстандарт" використано показник для оцінки такого критерію, як питома вага.

Жодним нормативно-правовим актом не заборонено використання такого показника для оцінки, а відповідачем зворотного не доведено.

Отже, посилання НБУ в цій частині є необґрунтованими, адже останнім не наведено пункту, частини, статті, назви нормативно-правового акту, який вимагає від позивача зазначення саме такого показника для оцінки вищевказаного ризику (види клієнтів), а тому вказувати, що показник для оцінки використаний ТОВ "Укрфінстандарт" помилково та/або з порушенням норм законодавства у сфері фінансового моніторингу не вбачається за можливе.

Щодо критерія "Географічне розташування компанії, географічне розташування держави реєстрації клієнтів або установ, через які компанія здійснює передавання (отримання) активів", - НБУ вказав, що позивачем не враховано географічне розташування Установи, її клієнтів та установ, через які Установа здійснює передавання (отримання) активів, а показником для оцінки є наявність в неназваних переліках (в Правилах відсутнє визначення "переліки", що використовується у цьому критерії).

При цьому, відповідач вважає, що цей критерій не враховує вимоги пункту 39 розділу IV Положення №107.

Суд критично сприймає такі доводи НБУ, мотивуючи це наступним.

Як вже було вказано вище, критерій "Географічне розташування компанії, географічне розташування держави реєстрації клієнтів або установ через які компанія здійснює передавання (отримання) активів" визначається позивачем із застосуванням показника для оцінки: нерезиденти з країн, що не входять до переліку (з відповідних довідників (низький); нерезиденти з країн з переліків (з відповідних довідників - високий).

Пунктом 39 розділу IV Положення №107 регламентовано, що установа повинна враховувати географічні критерії ризику, приділяючи, зокрема, особливу увагу державам (територіям), що не виконують рекомендації FATF, або які мають стратегічні недоліки у сфері ПВК/ФТ (відповідно до заяв FATF), державам, що здійснюють збройну агресію проти України у значенні, наведеному в статті 1 Закону України "Про оборону України", наявності/відсутності військових конфліктів, терористичних груп та/або організацій на території держави (території).

Згідно з пунктами 7-8 розділу II Додатку №18 до Положення 107 географічні критерії ризику - це критерії ризику ВК/ФТ, притаманні співпраці між установою та клієнтом, який [КБВ якого або вигодоодержувач (вигодонабувач) за договором страхування життя якого] пов`язаний із державою (територією), на якій економічні, соціальні, правові чи політичні умови можуть спричинити високий рівень ризику ВК/ФТ.

Установа під час розроблення власних географічних критеріїв ризику повинна, зокрема, врахувати:

1) державу (територію) резидентності, громадянства, реєстрації, місцезнаходження клієнта, його КБВ, ключових контрагентів клієнта, вигодоодержувача (вигодонабувача) за його договором страхування життя;

2) державу (територію), у якій здійснюється основна господарська діяльність клієнта;

3) державу (територію) походження клієнта, його КБВ та державу (територію), у якій вони мають суттєві особисті або ділові зв`язки;

4) держави (території):

що віднесені Кабінетом Міністрів України до переліку офшорних зон;

що віднесені до переліку держав, що не виконують рекомендації FATF (чорний список);

що мають стратегічні недоліки у сфері ПВК/ФТ відповідно до заяв FATF (сірий список);

що визначені Європейською комісією як країни із слабкими режимами ПВК/ФТ;

яким притаманний підвищений ризик корупції;

яким притаманний підвищений ризик фінансування тероризму.

Установа для формування переліку країн, яким притаманний підвищений ризик корупції, може використовувати, наприклад, національну оцінку корупційного ризику, надану TransparencyInternational, а переліку країн, яким притаманний підвищений ризик фінансування тероризму, - Звіт про глобальний індекс тероризму Інституту економіки та миру.

Аналіз вказаного дає підстави для висновку, що пункт 39 розділу IV Положення №107 враховується Установою при визначенні критерію "Географічне розташування компанії, географічне розташування держави реєстрації клієнтів або установ, через які компанія здійснює передавання (отримання) активів" шляхом використання останньою пунктів 7-8 розділу II Додатку №18 до Положення 107 та відповідний перелік.

При цьому, зазначення ТОВ "Укрфінстандарт" в показниках для оцінки: "країн з переліків (з відповідних довідників") без наведення визначення у Правилах "переліків", з урахуванням пунктів 7-8 розділу II Додатку №18 до Положення 107 та, у взаємозв`язку із положенням пункту 42 розділу IV Положення №107 свідчить лише про узагальнення ним показнику для оцінки та містить відсильний характер до довідників, переліків, які у свою чергу, визначені пунктом 8 розділу II Додатку №18.

При цьому, НБУ в акті безвиїзного нагляду не зафіксовано будь-яких операцій здійснених позивачем із нерезидентом, резидентом із високим ризиком.

Отже, стверджувати, що критерій визначений позивачем не враховує вимоги пункту 39 розділу IV Положення №107 не вбачається за можливе.

Щодо критерію "Канали/способи надання (отримання) послуг", колегія суддів зазначає наступне.

Так в НОР (пункт 33) - пункт 20 ВК/ФТ через дистанційні послуги або з використанням віртуальних валют (Ідентифіковані ризики в рамках другої НОР) розділ 4 вказано про те, що протягом 2017 року Держфінмоніторингом до НПУ направлено 14 УМ, які були пов`язані з підозрами, щодо списання та спроб списання грошових коштів з рахунків клієнтів без їх відома. За 2017 рік Держфінмоніторингом виявлено 48 фактів шахрайських дій із заволодінням коштами громадян та юридичних осіб, шляхом введення в оману (направлено до ПО 21 УМ та 1 ДУМ). Протягом 2018 року Держфінмоніторингом виявлено 18 фактів заволодіння коштами фізичних та юридичних осіб, шляхом вчинення кіберзлочинів та направлено НПУ 14 матеріалів (12 УМ та 2 ДУМ), які були пов`язані з підозрами щодо списання та спроб списання грошових коштів з рахунків клієнтів без їх відома. За 2018 рік Держфінмоніторингом виявлено 91 факт шахрайських дій із заволодінням коштами фізичних та юридичних осіб, шляхом введення в оману (направлено до ПО 29 УМ та 8 ДУМ).

НКЦПФР розміщено на офіційному вебсайті рекомендації для підзвітних СПФМ з управління ризиками клієнтів СПФМ, щодо ризиків дистанційних послуг, щодо ризиків, пов`язаних із фінансуванням сепаратистських та терористичних заходів на території України, а також під час проведення перевірок підзвітних СПФМ, перевіряються заходи щодо дистанційних сервісів, пов`язаних з послугами, що надаються з використанням новітніх технологій. Крім того, НКЦПФР рішенням від 07.03.2018 №149 зобов`язала депозитарні установи створити КСЗІ в інформаційно-телекомунікаційних системах забезпечення депозитарного обліку. НБУ розроблено Положення про організацію заходів із забезпечення інформаційної безпеки в банківській системі України, яке затверджено постановою Правління НБУ від 28 вересня 2017 року №95, розроблені рекомендації СПФМ з метою мінімізації ризиків під час надання ними дистанційних послуг. НБУ здійснюється постійний контроль за станом інформаційної безпеки в банківських та інших установах, які використовують засоби захисту інформації НБУ. СБУ у 2017 році зафіксовано велику кількість кібератак, об`єктами яких були інформаційно-телекомунікаційні системи дипломатичних установ, правоохоронних структур, складові елементи оборонно-промислового комплексу України, розпочато 3 КП. У 2018 році викрито 5 злочинних проявів. Крім того, з метою вдосконалення системи кібербезпеки України спеціалісти СБУ брали участь у розробці Закону України "Про основні засади забезпечення кібербезпеки України" від 05.10.2017 №2163-VІІІ, рішення Ради національної безпеки України від 29.12.2016 "Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації", введене в дію Указом Президента України від 13.02.2017 №32. Також на базі СБУ у січні 2018 року відкрито Ситуаційний центр забезпечення кібербезпеки. НПУ у 2017 році виявлено 6974 кіберзлочини (до суду направлено 764 обвинувальних акти), у 2018 році розслідувались КП щодо 8559 кримінальних правопорушень, що вчинені з використанням високо інформаційних технологій (у відношенні 305 осіб складено обвинувальні акти).

Крім того, оцінка такої діяльності, як ризикової мала місце в 2019 році, а станом на 2024 рік (у тому числі 2020, 2021, 2022, 2023 роки) діяльність з надання дистанційних послуг щодо переказу коштів тощо є звичним явищем, а тому вказувати на те, що така діяльність має високу ризиковість, а не середню, як то було визначено позивачем, не вбачається за можливе.

Щодо критерію "Інші значущі фактори, пов`язані із діяльністю компанії", колегія суддів відмічає наступне.

ТОВ "Укрфінстандарт", визначаючи у Правилах такий критерій, застосував показник для оцінки: наявні (низький); відсутні (середній).

В частині не наведення позивачем переліку відповідних факторів безпосередньо у додатку 4 до Правил не може свідчити про порушення безпосередньо законодавства про фінансовий моніторинг та бути підставою для застосування штрафу.

Що стосується критерію ризику продуктів Установи, зокрема для р2р переказів, суд зазначає, що НБУ не наводить жодних конкретних та правових підстав не відповідності додатку 4 до Правил положенням чинного законодавства, а тому доводи, які покладені в основу порушення в цій частині є абстрактними та не конкретизованими.

З урахуванням вищевикладеного, в ході розгляду справи не знайшли свого підтвердження посилання відповідача щодо неврахування Установою результатів НОР, масштабів та специфіки власної діяльності, бази клієнтів, видів продуктів та послуг, наслідком чого є: не проведення Установою належної оцінки/переоцінки ризиків ВК/ФТ Установи, документування їх результатів, заходів із моніторингу, контролю ризиків та підтримання ризик-профілю установи в актуальному стані для мінімізації використання послуг установи з метою ВК/ФТ; незастосування Установою ризик-орієнтованого підходу на постійній основі та не забезпечення установою виявлення, ідентифікації, оцінки всіх наявних та потенційних ризиків ВК/ФТ.

Надаючи оцінку твердженням НБУ в частині відсутності в Правилах опису ризик-апетиту Установи у сфері ПВК/ФТ та порядку вжиття заходів з метою мінімізації ризиків ВК/ФТ, що передбачено пунктом 4 пункту 23 розділу III Положення №107, колегія суддів зазначає наступне.

За правилами пунктів 53-55 розділу IV Положення №107 установа запроваджує власну модель оцінки ризиків (за потреби скорингову ризик-модель) і самостійно визначає вхідні дані та інформаційні джерела для проведення оцінки ризиків, алгоритм (модель) проведення оцінки ризиків та шкалу визначення рівнів ризиків.

Установа, розробляючи критерії ризику з урахуванням свого ризик-апетиту у сфері ПВК/ФТ, визначає адекватні кількісні межі для тих критеріїв, які містять кількісні характеристики (зокрема "істотне збільшення", "великі обсяги", "регулярність").

Установа розробляє алгоритми, що містять кількісні та/або якісні характеристики, які надають можливість виявити і встановити наявність відповідного критерію ризику, притаманного клієнту і діловим відносинам із ним (фінансовій операції без встановлення ділових відносин) [вигодоодержувачу (вигодонабувачу) за договором страхування життя].

Так, критерії ризику за типом клієнта - це критерії ризику ВК/ФТ, що притаманні правовій формі, структурі власності клієнта, діловій, професійній чи особистій діяльності клієнта та його КБВ.

Установа під час розроблення власних критеріїв ризику за типом клієнта повинна врахувати критерії ризику, зазначені в пунктах 3 - 6 розділу I додатка 18 до Положення про здійснення установами фінансового моніторингу (далі - Положення).

Критеріями ризику, що зумовлені репутацією клієнта, його КБВ або вигодоодержувача (вигодонабувача) за його договором страхування життя, зокрема, є таке: 1) наявна негативна інформація про нього в офіційних та/або публічних джерелах, що свідчить про можливий зв`язок із тероризмом або іншою кримінальною/незаконною діяльністю; 2) його кошти заморожені або заарештовані у зв`язку з кримінальними провадженнями, пов`язаними із ВК/ФТ; 3) установа неодноразово інформувала СУО про фінансові операції клієнта у зв`язку із своїми підозрами.

Установа під час аналізу інформації з публічних джерел має враховувати авторитетність такого джерела з огляду на його надійність та незалежність, а також якість викладених матеріалів.

У свою чергу, розділом II Додатку 5 до Правил затверджено Методику оцінки ризиків клієнта, а саме:

1. Ризик клієнта середній, якщо ризик-профілю клієнта притаманні 1-2 критерії середнього рівня ризику з будь-якої групи;

2. Ризик клієнта високий, якщо ризик-профілю клієнта притаманні 3-4 критерія середнього ризику з будь-якої групи або є щонайменше 1 критерій високого ризику з будь-якої групи.

3. Ризик клієнта неприйнятно високий, якщо ризик профілю клієнта притаманні 3-4 критерії високого ризику з будь-якої групи або щонайменше один критерій неприйнятно високого ризику з будь-якої групи.

В акті безвиїзного нагляду НБУ вказує, що методика оцінки ризик-профілю клієнта, визначена у розділі II Додатку 5 до Правил, не дає можливості визначити ризик клієнта в разі наявності у діяльності клієнта Установи 5 і більше критеріїв середнього рівня ризику.

При цьому, методикою оцінки ризику клієнта Установи (додаток 5 до Правил) взагалі не передбачений випадок, коли ризик клієнта може бути оцінений як низький, що може свідчити про формальний підхід до її формування.

Суд апеляційної інстанції, аналізуючи Правила в окресленій частині у взаємозв`язку із доводами відповідача, які наведені вище звертає увагу на те, що твердження про відсутність можливості визначити ризик клієнта в разі наявності у діяльності клієнта Установи 5 і більше критеріїв середнього рівня ризику, як підстави для висновку про порушення позивачем законодавства про фінансовий моніторинг є необґрунтованими, оскільки ТОВ "Укрфінстандарт" у Додатку 5 до Правил чітко визначило методику оцінки ризиків клієнта, яка поставлена в залежність від кількості критеріїв ризик-профілю клієнта середнього ризику, високого ризику, неприйнятно високого ризику з будь-якої групи, яким відповідає клієнт.

Таким чином, суд звертає увагу на те, що формуючи висновки про відсутність у Звітах результатів аналізу фінансових операцій клієнтів, які здійснювали р2р перекази, відповідач не посилається на нормативно-правовий акт, який зобов`язує установу відображати деталізовано такі відомості.

В той же час Положення № 107 не регламентує, що безпосередньо має бути вказано у Звіті, та як відповідна інформація має бути описана установою. Тобто, в даному випадку наведення позивачем у Звітах за 2021, 2022 роки переліку заходів, які здійснювалися, результат за наслідком їх здійснення, фактично і є аналізом фінансових операцій клієнтів, які здійснювали р2р перекази.

За таких обставин, доводи відповідача в цій частині є безпідставними.

Щодо інших обставин, які описані в акті безвиїзного нагляду, колегія суддів зазначає.

Матеріалами справи встановлено, що позивачем було укладено договір інтернет-еквайрингу з АТ "БАНК ФОРВАРД" №9 від 27.07.2018, договір з АТ "КІБ" №КІБ-А-15 від 10.03.2021 та інші. Перелік укладених договорів інтернет-еквайрингу зафіксовано в Таблиці 3 акту безвиїзного нагляду та у довідці ТОВ "Укрфінстандарт" вих. № 06/06 від 06.01.2022 до пункту 6 запиту №25-0015/121218 від 20.12.2021.

ТОВ "Укрфінстандр" відповідні договори в більшій своїй мірі укладались в період часу до IV кварталу 2020 року, коли товариство дійсно мало намір приймати платежі, в тому числі, у якості поповнення онлайн-ігор (не азартних ігор) на користь відповідних суб`єктів господарювання - клієнтів Установи або через відповідні сервіси внутрішньодержавних платіжних систем, учасником яких є Установа.

Таким чином, віртуальним платіжним терміналам, які реєструвалися в МПС банками-контрагентами установи з метою забезпечення діяльності по відповідним договорам інтернет-еквайрингу з Установою, присвоювався, в тому числі, МСС 7994, який відповідає опису "відеоігри, азартні ігри".

Як вказує позивач, товариство продовжило використовувати зазначені платіжні термінали після зміни вектору діяльності для забезпечення 1-го етапу (списання коштів з ЕПЗ відправників) у р2р переказах.

Згідно з пунктами 1.8, 1.9, 1.14, 1.18-1, 1.27 статті 1 Закону України "Про платіжні системи та переказ коштів в Україні" від 05.04.2001 № 2346-III (далі - Закон № 2346-III (втратив чинність 01.08.2022) еквайрингова установа (еквайр) - юридична особа, яка здійснює еквайринг; еквайринг - послуга технологічного, інформаційного обслуговування розрахунків за операціями, що здійснюються з використанням електронних платіжних засобів у платіжній системі; електронний платіжний засіб - платіжний інструмент, який надає його держателю можливість за допомогою платіжного пристрою отримати інформацію про належні держателю кошти та ініціювати їх переказ; користувач платіжної системи (далі - користувач) - юридична або фізична особа, якій надається послуга платіжної системи щодо виконання переказу коштів учасником платіжної системи; платіжна картка - електронний платіжний засіб у вигляді емітованої в установленому законодавством порядку пластикової чи іншого виду картки, що використовується для ініціювання переказу коштів з рахунка платника або з відповідного рахунка банку з метою оплати вартості товарів і послуг, перерахування коштів зі своїх рахунків на рахунки інших осіб, отримання коштів у готівковій формі в касах банків через банківські автомати, а також здійснення інших операцій, передбачених відповідним договором.

Згідно з пунктом 1.29 статті 1 окресленого закону платіжна система - платіжна організація, учасники платіжної системи та сукупність відносин, що виникають між ними при проведенні переказу коштів. Проведення переказу коштів є обов`язковою функцією, що має виконувати платіжна система.

Внутрішньодержавна платіжна система - платіжна система, в якій платіжна організація є резидентом та яка здійснює свою діяльність і забезпечує проведення переказу коштів виключно в межах України.

Міжнародна платіжна система - платіжна система, в якій платіжна організація може бути як резидентом, так і нерезидентом і яка здійснює свою діяльність на території двох і більше країн та забезпечує проведення переказу коштів у межах цієї платіжної системи, у тому числі з однієї країни в іншу.

Відповідно до пункту 9.1 статті 9 Закону № 2346-III переказ в Україні може здійснюватися за допомогою внутрішньодержавних та міжнародних платіжних систем.

Згідно з пунктом 14.1 статті 14 Закону № 2346-III електронний платіжний засіб може існувати в будь-якій формі, на будь-якому носії, що дає змогу зберігати інформацію, необхідну для ініціювання електронного переказу.

Електронний платіжний засіб має відповідати вимогам щодо захисту інформації, передбаченим цим Законом та нормативно-правовими актами Національного банку України (п. 14.6 статті 14 Закону № 2346-III).

Відповідно до пункту 14.8 статті 14 Закону № 2346-III еквайринг у межах України здійснюється виключно юридичними особами-резидентами, що уклали відповідний договір з платіжною організацією.

За операціями з використанням електронних платіжних засобів, здійснених резидентами і нерезидентами на території України, переказ між еквайрами і суб`єктами господарювання здійснюється виключно в гривнях у порядку, встановленому договором.

Статтею 25 Закону № 2346-III визначено, що для ініціювання переказу в межах України можуть застосовуватися електронні платіжні засоби як внутрішньодержавних, так і міжнародних платіжних систем у порядку, встановленому Національним банком України.

Ініціювання переказу за допомогою електронних платіжних засобів має оформлюватися відповідними документами за операціями із застосуванням електронних платіжних засобів, що визначаються правилами платіжних систем.

Згідно з статтею 37 Закону № 2346-III для встановлення правомірності переказу еквайр, за результатами моніторингу або в разі опротестування переказу держателем, емітентом або платіжною організацією платіжної системи, має право призупинити завершення переказу на час, передбачений правилами відповідної платіжної системи, але не більше ніж на дев`яносто календарних днів.

У разі правомірності переказу еквайр має завершити переказ та відшкодувати отримувачу 0,1 відсотка суми платежу за кожний день такого призупинення, якщо більший розмір пені не обумовлений договором між ними.

На час встановлення ініціатора та правомірності переказу, але не більше ніж впродовж дев`яноста календарних днів, емітент має право не повертати на рахунок неналежного платника суму попередньо списаного неналежного переказу. У разі ініціації неналежного переказу з рахунка неналежного платника, з вини ініціатора переказу, що не є платником, емітент зобов`язаний переказати на рахунок неналежного платника відповідну суму грошей за рахунок власних коштів, а також сплатити неналежному платнику пеню в розмірі 0,1 відсотка суми неналежного переказу за кожний день, починаючи від дня неналежного переказу до дня повернення відповідної суми на рахунок, якщо більший розмір пені не обумовлений договором між ними.

Отже, еквайрингова установа (еквайр) надає послуги технологічного, інформаційного обслуговування розрахунків за операціями, що здійснюються з використанням електронних платіжних засобів у платіжній системі.

Відповідно до Довідки щодо порядку інформаційної взаємодії між учасниками процесу при здійсненні переказів коштів на сайтах https://municipalpay.com.ua, https://oplati.top, https://wepay.com.ua, https://paynow.com.ua ініціатор на сайті ініціює переказ коштів зі своєї картки на картку отримувача шляхом введення повних реквізитів своєї картки та номеру картки отримувача, після чого фінансова компанія передає інформацію щодо необхідності списання відповідної суми коштів з картки ініціатора Еквайру, який передає таку інформацію у МПС, а банк-емітент за наслідком отримання запиту з МПС перевіряє можливість списання з картки ініціатора, у разі необхідності проводить перевірку, підтверджує списання, передає таку інформацію до МПС, яку отримує Еквайр та, в подальшому останній передає таку інформацію фінансовій компанії. Надалі, фінансова компанія передає інформацію щодо необхідності зарахування відповідної суми на карту отримувача партнеру по зарахуванню, який передає таку інформацію в МПС, а банк-емітент отримувача, за наслідком отримання такої інформації проводить відповідні зарахування, про що повідомляє фінансову установу.

Схожий алгоритм описаний і в частині здійснення р2р переказів за номером телефону та email.

Разом з цим, ані в акті безвиїзного нагляду, ані в апеляційній скарзі, НБУ не зазначено нормативно-правової підстави, яка б давала суду підстави для формування висновку про те, що саме позивач здійснює присвоєння коду категорії продавця - МСС при здійсненні фінансової операції.

Також з матеріалів справи вбачається, що ТОВ "Укрфінстандарт" не встановлював договірні відносини з суб`єктами господарювання, які б мали відношення до проведення азартних ігор, не має діючих договорів з такими суб`єктами господарювання та фактично не здійснював та не здійснює операцій з перерахунку коштів, пов`язаних з азартними іграми. Доказів зворотного НБУ до суду не надано.

Крім того, наведені положення закону свідчать про те, що саме еквайнер надає послуги технологічного, інформаційного обслуговування розрахунків за операціями, що здійснюються з використанням електронних платіжних засобів у платіжній системі.

Беручи до уваги викладене, суд не вбачає підстав для формування висновку про те, що саме ТОВ "Укфінстандарт" здійснює кодування платежів за кодом МСС 7994, відтак стверджувати про порушення ним правил проведення фінансових операцій з переказу коштів з точки зору виконання вимог у сфері ПВК/ФТ та можливе маскування фактично проведених фінансових операцій суду не вбачається за можливе.

При цьому не можливо розцінювати посилання відповідача на те, що позивач мав вчинити дії шляхом повідомлення еквайнера про не надання послуг за кодом МСС 7994, як підстави для висновку про порушення ним чинного законодавства у сфері протидії та легалізації відмивання доходів, оскільки нормативно-правовим документом такого обов`язку не визначено. Водночас, матеріали справи не містять в собі належних та достатніх доказів, які б вказували про обізнаність позивача щодо кодування наданих ним послуг за окресленим вище кодом. Доказів зворотного представниками відповідача до суду не надано.

Відповідно до пункту 2 частини 2 статті 8 Закону № 361-IX суб`єкт первинного фінансового моніторингу зобов`язаний забезпечувати відповідно до вимог, встановлених відповідним суб`єктом державного фінансового моніторингу, належну організацію та проведення первинного фінансового моніторингу, що належним чином надасть можливість виявляти порогові та підозрілі фінансові операції (діяльність) незалежно від рівня ризику ділових відносин з клієнтом (проведення фінансових операцій без встановлення ділових відносин) та повідомляти про них спеціально уповноважений орган, а також запобігати використанню послуг та продуктів суб`єкта первинного фінансового моніторингу для проведення клієнтами фінансових операцій з протиправною метою.

При цьому, за правилами пункту 25 частини 2 статті 8 Закону № 361-IX суб`єкт первинного фінансового моніторингу зобов`язаний здійснювати управління ризиками, пов`язаними із запровадженням чи використанням нових та існуючих інформаційних продуктів, ділової практики або технологій, у тому числі таких, що забезпечують проведення фінансових операцій без безпосереднього контакту з клієнтом.

Пунктом 69 розділу IV Положення №107 регламентовано, що ознаками неналежної системи управління ризиками є:

1) неналежне здійснення комплексної оцінки/переоцінки ризиків ВК/ФТ установи, уключно з притаманними її діяльності (ризик-профілю установи), документування їх результатів, заходів із моніторингу, контролю ризиків та підтримання ризик-профілю установи в актуальному стані для мінімізації використання послуг установи з метою ВК/ФТ;

2) нездійснення НПК, неналежне здійснення оцінки/переоцінки ризику ділових відносин (фінансових операцій без встановлення ділових відносин) з клієнтами (ризик-профілів клієнтів), документування їх результатів, заходів із моніторингу, контролю ризиків та підтримання ризик-профілів клієнтів установи в актуальному стані для мінімізації використання послуг установи з метою ВК/ФТ;

3) неналежне застосування ризик-орієнтованого підходу, що полягає в неналежному розумінні установою ризиків ВК/ФТ, невжиття пропорційних виявленим ризикам ефективних заходів щодо їх мінімізації (СЗНП для клієнтів із низьким ризиком та ПЗНП для клієнтів із високим ризиком), відсутність ризик-орієнтованої процедури погодження ділових відносин з клієнтами;

4) невжиття своєчасних та адекватних заходів щодо мінімізації виявлених ризиків ВК/ФТ до прийнятного рівня ризиків ВК/ФТ;

5) відсутність дієвих інструментів для запобігання/унеможливлення багаторазового, у великих обсягах проведення фінансових операцій (діяльності), щодо яких є підозри у використанні установи для ВК/ФТ чи вчинення іншого злочину, зокрема моніторингу ділових відносин з клієнтами та фінансових операцій клієнтів, що здійснюються в процесі таких ділових відносин;

6) відсутність ефективного внутрішнього контролю з питань фінансового моніторингу, несвоєчасне виявлення внутрішнім аудитом (контролем) проблем та недоліків у внутрішній системі ПВК/ФТ та ознак неналежної системи управління ризиками ВК/ФТ;

7) відсутність ефективної системи ескалації підозр та проблемних питань у сфері ПВК/ФТ, що унеможливило своєчасний та дієвий порядок їх розгляду, уключно з повідомленням інформації/фактів, що стосуються випадків порушення або можливого порушення законодавства України у сфері ПВК/ФТ;

8) відсутність належної системи виявлення PEPs, що призвело до невжиття належним чином установою щодо них додаткових заходів, визначених законодавством України у сфері ПВК/ФТ;

9) відсутність належної системи виявлення КБВ клієнтів;

10) незабезпечення установою належного документування дій працівників установи та фіксації подій, пов`язаних із виконання установою функцій СПФМ.

В силу вимог пункту 70 розділу IV Положення №107 система управління ризиками ВК/ФТ установи вважається неналежною в разі встановлення хоча б однієї з ознак, визначених у пункті 69 розділу IV цього Положення, та фактів багаторазового, у великих обсягах проведення фінансових операцій, щодо яких є підозри у використанні установи для ВК/ФТ чи вчинення іншого злочину, що стали наслідком невиконання заходів ПВК/ФТ.

З урахуванням вищевикладеного, колегія суддів погоджується з висновком суду першої інстанції про те, що доводи НБУ, які покладені як в основу акту безвиїзного нагляду, так і в основу оскаржуваного рішення не знайшли свого підтвердження в ході розгляду даної адміністративної справи.

За таких обставин, стверджувати про неналежну організацію та проведення ТОВ "Укрфінстандарт" первинного фінансового моніторингу, не здійснення ним належного управління ризиками, пов`язаними із запровадженням чи використанням нових та існуючих інформаційних продуктів, ділової практики або технологій, у тому числі таких, що забезпечують проведення фінансових операцій без безпосереднього контакту з клієнтом не вбачається за можливе, відтак, колегія суддів вважає безпідставними висновки НБУ.

З огляду на викладене суд апеляційної інстанції погоджується з висновком суду першої інстанції, що рішення Національного банку України від 20.03.2023 року №21/496-рк підлягає скасуванню, а позовні вимоги задоволенню в повному обсязі.

Решта тверджень та посилань сторін судовою колегією апеляційного суду не приймається до уваги через їх неналежність до предмету позову або непідтвердженість матеріалами справи.

При цьому, колегія суддів зазначає, що згідно з п. 30. Рішення Європейського Суду з прав людини у справі "Hirvisaari v. Finland" від 27 вересня 2001 р., рішення судів повинні достатнім чином містити мотиви, на яких вони базуються для того, щоб засвідчити, що сторони були заслухані, та для того, щоб забезпечити нагляд громадськості за здійсненням правосуддя.

Однак, згідно з п. 29 Рішення Європейського Суду з прав людини у справі "Ruiz Torija v. Spain" від 9 грудня 1994 р., статтю 6 п. 1 не можна розуміти як таку, що вимагає пояснень детальної відповіді на кожний аргумент сторін. Відповідно, питання, чи дотримався суд свого обов`язку обґрунтовувати рішення може розглядатися лише в світлі обставин кожної справи.

Відповідно до ч. 3 ст. 242 КАС України, обґрунтованим є рішення, ухвалене судом на підставі повно і всебічно з`ясованих обставин в адміністративній справі, підтверджених тими доказами, які були досліджені в судовому засіданні, з наданням оцінки всім аргументам учасників справи.

З підстав вищенаведеного, колегія суддів дійшла висновку, що суд першої інстанції вірно встановив фактичні обставини справи, дослідив наявні докази, надав їм належну оцінку та прийняв рішення, з дотриманням норм матеріального і процесуального права, а тому підстав для його скасування не вбачається.

Відповідно до ст. 316 КАС України, суд апеляційної інстанції залишає апеляційну скаргу без задоволення, а рішення або ухвалу суду - без змін, якщо визнає, що суд першої інстанції правильно встановив обставини справи та ухвалив судове рішення з додержанням норм матеріального і процесуального права.

Керуючись статтями 315, 316, 321, 322, 325 Кодексу адміністративного судочинства України, суд,

ПОСТАНОВИВ:

Апеляційну скаргу Національного банку України - залишити без задоволення.

Рішення Київського окружного адміністративного суду від 24 червня 2024 року залишити без змін.

Постанова суду набирає законної сили з дати її прийняття та може бути оскаржена шляхом подачі касаційної скарги безпосередньо до Верховного Суду протягом тридцяти днів з дня складення повного судового рішення.

Головуючий суддя Собків Я.М.

Суддя Сорочко Є.О.

Суддя Чаку Є.В.

Повний текст постанови виготовлено - 20 листопада 2024 року.