Рішення від 28.08.2025 по справі 910/6854/25

ГОСПОДАРСЬКИЙ СУД міста КИЄВА 01054, м.Київ, вул.Б.Хмельницького,44-В, тел. (044) 334-68-95, E-mail: inbox@ki.arbitr.gov.uaІМЕНЕМ УКРАЇНИ

РІШЕННЯ

м. Київ

28.08.2025Справа № 910/6854/25Господарський суд міста Києва у складі судді Курдельчука І.Д., за участю секретаря судового засідання Калашнік Ю.В., розглянувши у закритому судовому засіданні справу №910/6854/25 за позовом Товариства з обмеженою відповідальністю «Центр-Шина Груп» до Акціонерного товариства Комерційний банк «Приватбанк», за участі у справі як третіх осіб, які не заявляють самостійних вимог щодо предмета спору на стороні відповідача: 1) Мовчан Яни Миколаївни , 2) Уманського Кирила Руслановича , 3) Остролуцької Дар`ї Павлівни , 4) Воскобойник Сергія Олександровича , про стягнення грошових коштів, за участю представників позивача Чуміної К. та відповідача Понамаря С.

ОБСТАВИНИ СПРАВИ

Товариство з обмеженою відповідальністю «Центр-Шина Груп» звернулось до Господарського суду міста Києва з позовною заявою до Акціонерного товариства Комерційний банк «Приватбанк» про стягнення 2 336 822,00 грн списаних з рахунку ТОв «Центр-Шина Груп» на користь третіх осіб; 47,00 грн комісії банку; 324 532,08 грн пені; 133 764,96 грн інфляційних втрат; 32 830,43 грн трьох відсотків річних, понесені судові витрати зі сплати судового збору за подання позову у розмірі 42 419,95 грн, витрати, пов`язані із проведенням експертизи у розмірі 39 693,89 грн та витрати на професійну правничу допомогу в загальному розмірі 150 000,00 грн.

Обґрунтовуючи позовні вимоги позивач зазначає, що ТОВ «Центр-Шина Груп» є клієнтом AT КБ «Приватбанк» та має відкритий поточний рахунок у банку № НОМЕР_1 . Протягом робочого часу 03.12.2024 відбулося потрапляння на комп`ютер позивача шкідливого програмного забезпечення та 04.12.2024 здійснено несанкціоновані власником рахунку платежі як розрахунки із фізичними особами-підприємцями: Мовчан Яна Миколаївна , код НОМЕР_2 , Уманський Кирило Русланович , код НОМЕР_3 , Остролуцька Дар`я Павлівна , код НОМЕР_4 , Воскобойник Сергій Олександрович , код НОМЕР_5 .

Так, 04.12.2024 у проміжок з 21:39 год. по 22:20 год. без відома та без вказівки ТОВ «Центр-Шина Груп» із вказаного рахунку № НОМЕР_1 були проведені списання на загальну суму 2 336 822,00 грн, а саме проведено 47 окремих операцій (платежів) кожен на суму до п`ятдесяти тисяч гривень на наступні рахунки: - НОМЕР_6 (в AT «Універсал Банк») ФОП Мовчан Яна Миколаївна, ЄДРПОУ НОМЕР_2 - відбулось 15 платежів на загальну суму 747 816,00 грн; - НОМЕР_7 (в AT «Універсал Банк») ФОП Уманський Кирило Русланович, ЄДРПОУ НОМЕР_3 - відбулось 15 платежів на загальну суму 747 526,00 грн.; - НОМЕР_8 (в AT «Універсал Банк») ФОП Остролуцька Дар`я Павлівна, ЄДРПОУ НОМЕР_4 - відбулось 14 платежів на загальну суму 694 643,00 грн; - НОМЕР_9 (в AT «Універсал Банк») ФОП Воскобойник Сергій Олександрович, ЄДРПОУ 3131905412-відбулось 3 платежі на загальну суму 146 837,00 грн.

Відтак, Товариство з обмеженою відповідальністю «Центр-Шина Груп» вказує, що АТ КБ «Приватбанк» не виконано належним чином своїх зобов`язань із забезпечення схоронності належних позивачу коштів та без законних підстав відповідачем було здійснено неналежні перекази коштів, які обліковувались на банківському рахунку позивача, у зв`язку з чим у останнього наявний обов`язок повернути списані кошти у розмірі 2 336 822,00 грн.

Ухвалою Господарського суду міста Києва від 02.06.2025 прийнято позовну заяву до розгляду і відкрито провадження у справі; вирішено здійснювати розгляд справи в порядку загального позовного провадження у закритих підготовчих і судових засіданнях; залучено до участі у справі як третіх осіб, які не заявляють самостійних вимог щодо предмета спору, на стороні відповідача; Мовчан Яну Миколаївну , Уманського Кирила Руслановича , Остролуцьку Дар`ю Павлівну , Воскобойник Сергія Олександровича ; призначено до проведення підготовче засідання на 01.07.2025; розкрито у AT «Універсал Банк» банківську таємницю щодо запитуваної інформації; витребувано у AT «Універсал Банк» інформацію про документи на підставі, яких ідентифіковано особи нижчезазначених клієнтів банку, а також про рух коштів в період з 01.12.2024 - 10.12.2024 на рахунках: НОМЕР_6 (в AT «Універсал Банк») Мовчан Яна Миколаївна , РНОКПП НОМЕР_2 - на який відбулось 15 платежів на загальну суму 747 816,00 грн; НОМЕР_7 (в AT «Універсал Банк») Уманський Кирило Русланович , РНОКПП НОМЕР_3 - на який відбулось 15 платежів на загальну суму 747 526,00 грн.; НОМЕР_8 (в AT «Універсал Банк») Остролуцька Дар`я Павлівна , РНОКПП НОМЕР_4 - на який відбулось 14 платежів на загальну суму 694 643,00 грн; НОМЕР_9 (в AT «Універсал Банк») Воскобойник Сергій Олександрович , РНОКПП НОМЕР_5 на який відбулось 3 платежі на загальну суму 146 837,00 грн.

13.06.2025 до суду надійшов відзив АТ КБ «Приватбанк» на позов, із запереченнями проти позову у якому просив відмовити в задоволенні позовних вимог в повному обсязі з огляд на те, що шахрайські дії, через здійснення яких клієнту - ТОВ «Центр-Шина Груп» завдано збиток на загальну суму 2 336 822,00 грн, були скоєні шахраями завдяки отриманню доступу до пристроїв з доступом до програмних комплексів банку, а також конфіденційної інформації клієнтів, зберігання яких перебуває в зоні відповідальності клієнта, в той час як в діях співробітників банку порушень не встановлено. Тому, враховуючи, що позивач допустив та здійснив самостійно завантаження на власні комп`ютери шкідливого програмного забезпечення і проігнорував вимоги безпеки доступу до системи дистанційного обслуговування «Приват24 для бізнесу» та безпеки проведення платежів, відсутні правові підстави для відповідальності банку за збереження коштів клієнта.

18.06.2025 до суду надійшла відповідь на відзив ТОВ «Центр-Шина Груп», в якій позивач надав пояснення по суті спору з урахуванням заперечень відповідача, викладених у відзиві на позов, підтримав позов та просив задовольнити позовні вимоги в повному обсязі. Звертав увагу на те, що ідентифікаційні дані для входу у систему дистанційного обслуговування «Приват24 для бізнесу» не були розголошені позивачем, не втрачені внаслідок бездіяльності або недбалості його працівників, а були викрадені шляхом запуску та дії шкідливого програмного забезпечення у «тихому» режимі, як було встановлено судовим експертом, що унеможливлювало його виявлення та зупинення позивачем. Разом з цим, обставини таких платежів, зокрема: їх проведення на користь фізичних осіб-підприємців, з якими ТОВ «Центр-Шина Груп» раніше не взаємодіяло; здійснення переказів шляхом дроблення платежів - кожен із 47 платежів був на суму до 50 000,00 грн; часовий інтервал між ініціюванням платежів (формування платіжних інструкцій) - секунди, а в більшості випадків - пів секунди; проведення операцій в нічний час, тобто, не робочий для підприємства час, не відповідали типовій діловій активності ТОВ «Центр-Шина Груп», а тому їх проведення є наслідком саме неналежного функціонування системи безпеки АТ КБ «Приватбанк».

01.07.2025 відкладено підготовче засідання на 10.07.2025.

09.07.2025 до суду надійшли пояснення позивача, в яких викладено узагальнення щодо суті порушення прав позивача, допущеного банком.

10.07.2025 до суду надійшли пояснення третьої особи - Уманського К.Р. по суті спору, в яких останнім зазначалось про те, що про зняття коштів із рахунку інших осіб, що зараховувалися на його рахунок, а потім невідомо ким знімалися, йому нічого не відомо.

10.07.2025 відкладено підготовче засідання на 07.08.2025.

07.08.2025 до суду надійшли пояснення третьої особи - Остролуцької Д.П. у справі, за змістом яких відсутні договірних відносини з ТОВ «Центр-Шина Груп» і жодних рахунків вона даному підприємству не виставляла, а зарахування коштів від такої особи на її рахунок та подальше перерахування на користь інших осіб було здійснено без її відома та без її участі.

07.08.2025 закрито підготовче провадження та призначено справу до розгляду по суті на 26.08.2025, в якому було оголошено перерву до 28.08.2025.

У судовому засіданні 28.08.2025 відповідно до положень ст.ст. 233, 240 ГПК України, було оголошено скорочене рішення. Повідомлено, що повне рішення буде складено протягом 10 робочих днів.

Відповідно до ч. 5 ст. 240 ГПК України датою ухвалення рішення є дата його проголошення (незалежно від того, яке рішення проголошено - повне чи скорочене).

Згідно ч 6 цієї статті у разі проголошення у судовому засіданні скороченого (вступної та резолютивної частин) рішення суд повідомляє, коли буде складено повне рішення.

Повне судове рішення складено на десятий день після відпустки судді.

Розглянувши подані документи і матеріали, заслухавши пояснення представників сторін, всебічно і повно з`ясувавши фактичні обставини, на яких ґрунтується позов, об`єктивно оцінивши докази, які мають значення для розгляду справи і вирішення спору по суті, Господарський суд міста Києва, -

ВСТАНОВИВ

ТОВ «Центр-Шина Груп» (Клієнт) в АТ КБ «Приватбанк» (Банк) поточний рахунок № НОМЕР_1 .

04.12.2024, у проміжок з 21:39 год. по 22:20 год., із вказаного рахунку № НОМЕР_1 були проведені списання коштів на загальну суму 2 336 822,00 грн, а саме: проведено 47 окремих операцій (платежів) кожен на суму до п`ятдесяти тисяч гривень на наступні рахунки:

- НОМЕР_6 (в AT «Універсал Банк») ФОП Мовчан Яна Миколаївна, ЄДРПОУ НОМЕР_2 - відбулось 15 платежів на загальну суму 747 816,00 грн;

- НОМЕР_7 (в AT «Універсал Банк») ФОП Уманський Кирило Русланович, ЄДРПОУ НОМЕР_3 - відбулось 15 платежів на загальну суму 747 526,00 грн.;

- НОМЕР_8 (в AT «Універсал Банк») ФОП Остролуцька Дар`я Павлівна, ЄДРПОУ НОМЕР_4 - відбулось 14 платежів на загальну суму 694 643,00 грн;

- НОМЕР_9 (в AT «Універсал Банк») ФОП Воскобойник Сергій Олександрович, ЄДРПОУ 3131905412-відбулось 3 платежі на загальну суму 146 837,00 грн.

Листом №2024/12-05/1 від 05.12.2024 позивач направив відповідачу звернення, в якому повідомляв, що ним не здійснювалося ініціювання списання коштів 04.12.2024, у проміжок з 21:39 год. по 22:20 год., з його рахунку на рахунки відповідних фізичних осіб-підприємців, а тому в проведенні таких переказів вбачається шахрайська схема, у зв`язку з чим просив докласти всіх зусиль для розслідування цієї ситуації та повернення ТОВ «Центр-Шина Груп» неправомірно списаних з його рахунку коштів. Аналогічні звернення були надіслані відповідачу 10.12.2024 за №2024/12-10/1 та 12.12.2024 за №2024/12-12/1.

Відомості про вказані обставини за заявою ТОВ «Центр-Шина Груп» внесені 06.12.2024 до Єдиного реєстру досудових розслідувань за №12024042150000164.

В ході досудового розслідування встановлено, що несанкціоноване списання грошових коштів ТОВ «Центр-Шина Груп» відбулось внаслідок стороннього запуску шкідливого програмного забезпечення без згоди та без відома ТОВ «Центр-Шина Груп», а саме: в ході огляду серверу ТОВ «Центр-Шина Груп», проведеного начальником 7-го відділу управління протидії кіберзлочинам в Дніпропетровській області ДКП НП України (протокол огляду предмету від 23.12.2024), встановлено, що на оглянутому об`єкті виявлено програмне забезпечення, яке визначається антивірусними програмами як шкідливе, було встановлено 03.12.2024, дозволяє віддалено переглядати робочий стіл користувача, здійснювати віддалено зміни налаштувань, завантажувати певні файли без відома такого користувача; також 03.12.2024 19:26:27 був завантажений кейлоггер - різновид ПЗ, яке застосовується для відстеження або легування всіх натискань клавіш на клавіатурі; користувач електронного пристрою може навіть не підозрбвати, що будь-які кліки та натискання записуються, а кейлоггер запам`ятовує абсолютно все - аж до листування в соцмережах і чатах.

У відповідь на заяви позивача стосовно проведення перевірки щодо несанкціонованого переказу 04.12.2024 грошових коштів з належного ТОВ «Центр-Шина Груп» поточного рахунку № НОМЕР_1 , відповідач листом від 18.12.2024 №20.1.0.0.0/7-241205/51119, повідомив позивача, що банком було ініційовано проведення службового розслідування, в ході якого здійснювався детальний аналіз всієї викладеної в зверненнях інформації. В результаті проведення розслідування встановлено, що факт несанкціонованого зняття коштів з рахунку знайшов своє підтвердження. Однак аналіз обставин, які сприяли використанню коштів третіми особами показав, що Клієнтом були порушені умови і правила надання банківських послуг, а саме: використання системи дистанційного банківського обслуговування «Приват24 для бізнесу» та правил дистанційного управління рахунком. Враховуючи, що Клієнтом не в повній мірі було дотримано вимоги безпеки доступу до системи дистанційного обслуговування «Приват24 для бізнесу» та безпеки проведення платежів, Банк повідомив про відсутність правових підстав для задоволення вимог щодо повернення суми несанкціонованого зняття.

Листом №17 від 20.02.2025 ТОВ «Центр-Шина Груп» звернулося до АТ КБ «Приватбанк» з претензією про повернення на його рахунок суми коштів у розмірі 2 336 869,00 грн, з яких: 2 336 822,00 грн - сума несанкціонованого списання в період з 21:39 год. по 22:20 год. 04.12.2024; 47,00 грн - сума списаної комісії за виконання відповідних платежів.

Спір у справі виник у зв`язку з твердженнями ТОВ «Центр-Шина Груп», що АТ КБ «Приватбанк» не виконано належним чином своїх зобов`язань з забезпечення схоронності належних позивачу коштів та без законних підстав було здійснено неналежні перекази коштів, які обліковувались на банківському рахунку позивача, у зв`язку з чим у останнього наявний обов`язок повернути (зарахувати) на відповідний рахунок позивача кошти у розмірі 2 336 869,00 грн. Крім того, позивач стверджує про наявність правових підстав для стягнення з відповідача пені у розмірі 324 532,08 грн, інфляційних втрат у розмірі 133 764,96 грн, 3% річних у розмірі 32 830,43 грн., нарахованих за прострочення по поверненню на рахунок позивача списаних коштів.

При цьому, за твердженнями позивача саме Банком не було належним чином виконано своїх обов`язків щодо забезпечення схоронності коштів Клієнта, у зв`язку з чим останній і зобов`язаний їх повернути за наслідками допущення несанкціонованих переказів.

В той же час, заперечуючи проти позову Банк не заперечує факту несанкціонованого списання коштів з рахунку Клієнта за наслідками шахрайських дій інших осіб, однак, стверджує про те, що наведене мало місце за наслідками порушення ним умов і правил надання банківських послуг в частині дотримання вимог безпеки доступу до системи дистанційного обслуговування «Приват24 для бізнесу» та безпеки проведення платежів, у зв`язку із чим шахраями і було використано шкідливе програмне забезпечення на його комп`ютері задля ініціювання несанкціонованих переказів на спірну суму.

Відтак, з метою вирішення даного спору суду слід дослідити: чи наявний умисел або необережність клієнта (в т.ч. порушення встановлених Банком умов та правил надання банківських послуг), які сприяли доступу до його рахунку сторонніми особами, що стало наслідком несанкціонованого списання коштів у сумі 2 336 822,00 грн. з рахунку ТОВ «Центр-Шина Груп», та надати у зв`язку з цим відповідь на питання: чи існує обов`язок Банку повернути такі кошти на рахунок позивача, адже інші обставини спірних правовідносин, як-то: сам факт несанкціонованого переказу коштів 04.12.2024 у проміжок часу з 21:39 год. по 22:20 год. на загальну суму 2 336 822,00 грн внаслідок стороннього запуску шкідливого програмного забезпечення без згоди та без відома ТОВ «Центр-Шина Груп» жодною із сторін не заперечується.

Згідно зі статтею 51 Закону України «Про банки і банківську діяльність» для здійснення банківської діяльності банки відкривають та ведуть кореспондентські рахунки у Національному банку України та інших банках в Україні і за її межами, банківські рахунки для фізичних та юридичних осіб у гривнях та іноземній валюті. Банківські розрахунки проводяться у готівковій та безготівковій формах згідно із правилами, встановленими нормативно-правовими актами Національного банку України. При виконанні розрахункової операції банк зобов`язаний перевірити достовірність та формальну відповідність документа.

Відповідно до статті 55 Закону України «Про банки та банківську діяльність» відносини банку з клієнтом регулюються законодавством України, нормативно-правовими актами Національного банку України та угодами (договорами) між клієнтом та банком.

Частиною першою статті 1066 Цивільного кодексу України за договором банківського рахунка банк зобов`язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій за рахунком.

Згідно із ч. 1 ст. 1068 Цивільного кодексу України банк зобов`язаний вчиняти для клієнта операції, які передбачені для рахунків даного виду законом, банківськими правилами та звичаями ділового обороту, якщо інше не встановлено договором банківського рахунка.

За змістом частини першої статті 1071 Цивільного кодексу України банк може списати грошові кошти з рахунка клієнта на підставі його розпорядження.

Відповідно до статті 1073 Цивільного кодексу України у разі несвоєчасного зарахування на рахунок грошових коштів, що надійшли клієнтові, їх безпідставного списання банком з рахунка клієнта або порушення банком розпорядження клієнта про перерахування грошових коштів з його рахунка банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти та відшкодувати завдані збитки, якщо інше не встановлено законом.

Частиною третьою статті 1092 Цивільного кодексу України передбачено, якщо порушення банком правил розрахункових операцій спричинило помилковий переказ банком грошових коштів, банк несе відповідальність відповідно до цього Кодексу та Закону.

Із матеріалів справи вбачається, що за умовами заяви про приєднання до Умов та правил надання банківських послуг АТ КБ «ПриватБанк» від 10.10.2019 Банк як надавач платіжних послуг зобов`язувався надавати позивачу ряд банківських послуг, в тому числі виконувати платіжну інструкцію клієнта про перерахування, здійснення розрахунково-касового обслуговування та проведення інших операцій за рахунком через систему дистанційного обслуговування.

Згідно із частиною першою статті 1 Закону України «Про платіжні послуги» безготівкові розрахунки - перерахування коштів з рахунків платників на рахунки отримувачів, а також перерахування надавачами платіжних послуг коштів, внесених платниками готівкою, на рахунки отримувачів; вразливі платіжні дані - дані (їх сукупність), включаючи індивідуальну облікову інформацію, за допомогою яких можуть вчинятися шахрайські дії; надавач платіжних послуг з обслуговування рахунку - надавач платіжних послуг, у якому відкритий рахунок платника для виконання платіжних операцій; неакцептована платіжна операція - платіжна операція, виконана надавачем платіжних послуг платника на підставі наданої ініціатором платіжної інструкції без отримання згоди платника (крім примусового списання (стягнення) або після відкликання такої згоди; неналежний платник - особа, з рахунку якої списано кошти без законних підстав (помилково або неправомірно); помилкова платіжна операція - платіжна операція, внаслідок якої з вини надавача платіжних послуг здійснюється списання коштів з рахунку неналежного платника та/ або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі; суб`єкти платіжних операцій - користувачі (платники, отримувачі) та відповідні надавачі платіжних послуг; схема виконання платіжних операцій - єдиний набір правил, стандартів та/або процедур, що розроблені та використовуються для виконання платіжних операцій (у тому числі в платіжній системі) і визначають порядок ініціювання, виконання та завершення платіжних операцій, платіжні інструменти, що використовуються для виконання платіжних операцій, порядок їх емісії та еквайрингу; технологічний оператор платіжних послуг (далі - технологічний оператор) - юридична особа, що надає послуги процесингу, клірингу або виконує операційні, інформаційні та інші технологічні функції, пов`язані з наданням платіжних послуг, без залучення коштів за платіжними операціями на свій рахунок; унікальний ідентифікатор - комбінація цифр або знаків, що надається користувачу надавачем платіжних послуг та дає змогу однозначно ідентифікувати користувача та/ або його рахунок для цілей виконання платіжної операції.

Відповідно до пунктів 42-44 частини першої статті 1 Закону України «Про платіжні послуги» неналежна платіжна операція - платіжна операція, внаслідок якої з вини особи, яка не є ініціатором або надавачем платіжних послуг, здійснюється списання коштів з рахунку неналежного платника та/або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі; неналежний отримувач-особа, на рахунок якої без законних підстав зарахована сума платіжної операції або яка отримала суму платіжної операції в готівковій формі; неналежний платник-особа, з рахунку якої списано кошти без законних підстав (помилково або неправомірно).

Згідно із пунктами 69, 70 частини першої статті 1 Закону України «Про платіжні послуги» помилкова платіжна операція - платіжна операція, внаслідок якої з вини надавача платіжних послуг здійснюється списання коштів з рахунку неналежного платника та/або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі; посилена автентифікація - процедура автентифікації, яка передбачає використання двох чи більше сукупностей даних, що належать до таких різних категорій: а) знань (володіння інформацією (даними), що відома лише користувачу); б) володінь (застосування матеріального предмета, яким володіє лише користувач); в) притаманність (перевірка біометричних даних або інших властивостей (рис, характеристик), притаманних лише користувачу, що відрізняють його від інших користувачів).

Частиною першою статті 51 Закону України «Про платіжні послуги» передбачено, що надавачі платіжних послуг зобов`язані здійснювати моніторинг платіжних операцій користувачів відповідно до внутрішнього порядку управління операційними ризиками та ризиками інформаційної безпеки з метою ідентифікації неакцептованих, помилкових та неналежних платіжних операцій, суб`єктів таких операцій та забезпечувати вжиття заходів для запобігання або припинення таких операцій.

Згідно з частиною першою статті 67 Закону України «Про платіжні послуги» надавачі платіжних послуг зобов`язані запровадити систему захисту інформації, що має забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання.

За змістом статті 68 Закону України «Про платіжні послуги» електронна взаємодія надавача платіжних послуг із користувачем здійснюється лише після автентифікації користувача, який є фізичною особою, або уповноваженого представника користувача, який є юридичною особою. Надавачі платіжних послуг зобов`язані застосовувати посилену ідентифікацію користувача під час: - отримання користувачем доступу до рахунку за допомогою засобів дистанційної комунікації; - ініціювання дистанційної платіжної операції; - будь-яких інших дій у разі підозри вчинення шахрайства (або існування ризику шахрайства) чи інших неправомірних дій (або існування ризику вчинення інших неправомірних дій). Надавачі платіжних послуг зобов`язані розробити та застосовувати елементи посиленої ідентифікації, які мають бути незалежними, щоб виявлення факту несанкціонованого доступу до одного захищеного елемента або його розголошення не загрожувало надійності інших елементів, а також запровадити заходи із забезпечення захисту конфіденційності даних ідентифікації. Для проведення дистанційних платіжних операцій надавачі платіжних послуг зобов`язані застосовувати посилену ідентифікацію платника, що включає використання унікальних для кожної окремої операції даних, які дають змогу пов`язувати (в результаті виконання алгоритму співставляти контрольний показник з даними операції) операцію на певну суму і конкретного отримувача.

Статтею 86 Закону України «Про платіжні послуги» передбачено відповідальність надавачів платіжних послуг під час виконання платіжних операцій, зокрема зазначено, що: надавач платіжних послуг несе відповідальність перед користувачами за невиконання або неналежне виконання платіжних операцій відповідно до цього Закону та умов укладених між ними договорів, якщо не доведе, що платіжні операції виконані цим надавачем платіжних послуг належним чином; надавачі платіжних послуг несуть відповідальність, визначену цим Законом, за виконання помилкової, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків; користувачі мають право на відшкодування в судовому порядку шкоди, заподіяної надавачем платіжних послуг внаслідок помилкової, неналежної, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків; надавач платіжних послуг у разі виконання помилкової, неналежної, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків зобов`язаний на запит користувача, якого він обслуговує, невідкладно вжити заходів для отримання всієї наявної у надавача платіжних послуг інформації про платіжну операцію та надати її користувачу без стягнення плати. Надавачі платіжних послуг несуть відповідальність перед користувачами за помилкові платіжні операції, у тому числі за виконання: 1) помилкової платіжної операції на рахунок неналежного отримувача; 2) помилкової платіжної операції з рахунку неналежного платника; 3) платіжної операції з рахунку платника без законних підстав або внаслідок інших помилок надавача платіжних послуг. Надавач послуг з ініціювання платіжної операції у разі невиконання або неналежного виконання платіжної операції з його вини зобов`язаний відшкодувати надавачу платіжних послуг з обслуговування рахунку на вимогу останнього всі понесені збитки та суми, відшкодовані користувачам. Надавач платіжних послуг з обслуговування рахунку несе передбачену цим Законом відповідальність перед користувачами за невиконання або неналежне виконання платіжних операцій, ініційованих через надавача платіжних послуг з ініціювання платіжної операції. Надавачі платіжних послуг несуть відповідальність перед користувачами за дії або бездіяльність своїх працівників, залучених комерційних агентів та надавачів платіжних послуг - посередників, у тому числі за невиконання або неналежне виконання платіжних операцій та/або за заподіяну шкоду.

Згідно з пунктом 140 Розділу VІІ Положення про порядок емісії та еквайрингу платіжних інструментів, затвердженого постановою Національного банку України від 29.07.2022 №164, користувач зобов`язаний не повідомляти та іншим чином не розголошувати індивідуальну облікову інформацію та/або іншу інформацію, що дає змогу ініціювати платіжні операції, та негайно після того, як йому стало відомо про факт втрати такої інформації та/або платіжного інструменту, повідомити про це емітента в спосіб та каналами зв`язку, визначеними договором між емітентом та користувачем. До моменту повідомлення емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації ризик збитків від виконання неналежних платіжних операцій та відповідальність за них покладаються на користувача. З моменту повідомлення користувачем емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації ризик збитків від виконання неакцептованих/неналежних платіжних операцій та відповідальність покладаються на емітента. Момент, з якого настає відповідальність емітента, має бути чітко визначений умовами договору, укладеного між користувачем та емітентом.

Згідно із пунктами 143-144 Розділу VІІ Положення про порядок емісії та еквайрингу платіжних інструментів, затвердженого постановою Національного банку України від 29.07.2022 №164, надавач платіжних послуг у разі виконання помилкової платіжної операції з рахунку неналежного платника, якщо власник рахунку/держатель невідкладно повідомив про платіжні операції з використанням платіжного інструменту, які ним не виконувалися, зобов`язаний негайно після виявлення помилки або після отримання повідомлення (залежно від того, що відбулося раніше) переказати за рахунок власних коштів суму платіжної операції на рахунок неналежного платника. Надавач платіжних послуг зобов`язаний також відшкодувати неналежному платнику суму утриманої/сплаченої неналежним платником комісійної винагороди за виконану помилкову платіжну операцію (за наявності такої комісійної винагороди). Надавач платіжних послуг повинен сприяти власнику рахунку/держателю в поверненні коштів за неналежною платіжною операцією з використанням платіжного інструменту шляхом негайного надання доступної йому інформації про таку операцію (без стягнення плати), уключаючи інформацію, отриману на його запит від надавача платіжних послуг, що обслуговує неналежного отримувача.

Пунктом 150 Розділу VІІ Положення про порядок емісії та еквайрингу платіжних інструментів, затвердженого постановою Національного банку України від 29.07.2022 №164, передбачено, що емітент має право прийняти рішення про зупинення здійснення операцій з використанням певного платіжного інструменту, а також про вилучення платіжного інструменту за наявності обставин, що можуть свідчити про незаконне його використання та/або його реквізитів, значно збільшеного ризику неспроможності користувача виконати своє зобов`язання щодо сплати кредиту та процентів за ним, в інших випадках, установлених договором.

З огляду на викладене вбачається, що крім функцій розрахунково-касового обслуговування клієнта банк також виконує й функцію зберігання його грошових коштів, які перебували на поточному рахунку, і несе відповідальність за безпеку власної платіжної системи, а значить і грошових коштів. (Аналогічний висновок міститься в постанові Верховного Суду від 23.04.2025 у справі №910/3176/24).

Тобто Банк відповідає за схоронність коштів на рахунку клієнта, якщо не доведе, що доступ до рахунку клієнта (і відповідне списання) відбулося за участі Клієнта як з умислу, так і з його необережності. По суті наведене закріплено як в положеннях п. 146 Розділу VІІ Положення про порядок емісії та еквайрингу платіжних інструментів, затвердженого постановою Національного банку України від 29.07.2022 №164, так і приписах п. 3.1.3.7.2 Умов та Правил надання банківських послуг АТ КБ «Приватбанк», на які посилається сам відповідач у своєму відзиві.

Матеріалами справи підтверджується, а сторонами не заперечується, що 04.12.2024 у проміжку часу з 21:39 год. по 22:20 год. з рахунку ТОВ «Центр-Шина Груп» № НОМЕР_1 Банком були проведені перекази на загальну суму 2 336 822,00 грн, а саме проведено 47 окремих операцій (платежів) кожен на суму до п`ятдесяти тисяч гривень на наступні рахунки: - НОМЕР_6 (в AT «Універсал Банк») ФОП Мовчан Яна Миколаївна, ЄДРПОУ НОМЕР_2 - відбулось 15 платежів на загальну суму 747 816,00 грн; - НОМЕР_7 (в AT «Універсал Банк») ФОП Уманський Кирило Русланович, ЄДРПОУ НОМЕР_3 - відбулось 15 платежів на загальну суму 747 526,00 грн.; - НОМЕР_8 (в AT «Універсал Банк») ФОП Остролуцька Дар`я Павлівна, ЄДРПОУ НОМЕР_4 - відбулось 14 платежів на загальну суму 694 643,00 грн; - НОМЕР_9 (в AT «Універсал Банк») ФОП Воскобойник Сергій Олександрович, ЄДРПОУ 3131905412-відбулось 3 платежі на загальну суму 146 837,00 грн.

Наслідком огляду Управлінням протидії кіберзлочинам в Дніпропетровській області ДКП НП України (протокол огляду предмету від 23.12.2024) було встановлено, що такі перекази з рахунку ТОВ «Центр-Шина Груп» були ініційовані через систему дистанційного обслуговування «Приват24 для бізнесу» за рахунок використання шкідливого програмного забезпечення, що в подальшому також підтверджено АТ КБ «Приватбанк» з визнанням таких переказів несанкціонованими (лист від 18.12.2024 №20.1.0.0.0/7-241205/51119).

Тобто наведені перекази було здійснено шахрайським шляхом сторонніми особами за відсутності волі Клієнта.

Верховний Суд у постанові від 21.04.2021 у справі №751/6050/18 дійшов висновку, що саме на банк, який є професійним учасником ринку надання банківських послуг, покладено обов`язок доведення того, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. Відповідно, вимоги до рівня та розумності ведення справ банком є вищими, ніж до споживача - фізичної особи, яка зазвичай є слабшою стороною у цивільних відносинах з такою кредитною установою. З врахуванням наведеного, всі сумніви та розумні припущення мають тлумачитися судом саме на користь такої слабшої сторони.

Верховний Суд у постанові від 20.07.2022 у справі №521/20764/20 виснував, що саме банк має доводити, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції; у разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів; сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.

Разом з тим, Банк не довів існування обставин умисного або з необережності розголошення реквізитів банківського рахунку позивача, інших дій або бездіяльності позивача, що призвели до несанкціонованого доступу невстановлених осіб до банківського рахунку позивача, та не підтвердив належними і допустимими доказами обставин, які б безспірно доводили те, що позивач, як користувач банківського рахунку, своїми діями чи бездіяльністю сприяв у доступі до відомостей по банківському рахунку, акаунту чи інтернет додатку «Приват24 для бізнесу», незаконному використанню ПІН-коду або іншої інформації, яка дала змогу ініціювати 47 платіжних операцій на загальну суму 2 336 822,00 грн.

Окрім того, не надано доказів того, що позивач міг знати, або йому було достеменно відомо про встановлення на його комп`ютерну техніку стороннього шкідливого програмного забезпечення.

Разом з тим, суд звертає увагу на те, що згідно зібраних в матеріалах справи доказів вбачається нетипова для ТОВ «Центр-Шина Груп» поведінка як користувача за стосунку «Приват24 для бізнесу», адже згідно наявних виписок з його рахунків за інші періоди не вбачається жодного разу ініціювання подібних переказів - в неробочий час та з великою кількістю за малий проміжок часу.

Тому, очевидним, що така нетипова поведінка мала розцінюватися як втручання в систему «Приват24 для бізнесу» сторонніми особами за відсутності волевиявлення Клієнта і мати відповідну реакцію з боку Банку.

Однак, відсутність такої реакції у вигляді зупинення (блокування) відповідних переказів свідчить про те, що всупереч положень статей 67, 68 Закону України «Про платіжні послуги» банк не запровадив систему захисту інформації, що мала забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання, а також не запровадив посилену ідентифікацію користувача (позивача), яка мала забезпечити виявлення несанкціонованого доступу до платіжної операції позивача.

Разом з цим, суд нагадує, що лише наявність обставин, які безспірно доводять, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, є підставою для притягнення такого користувача до цивільно-правової відповідальності - в усіх інших випадках відповідальність покладається на банк.

В разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів. (Аналогічний висновок викладено в постанові Верховного Суду від 23.04.2025 у справі №910/3176/24).

Сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.

За відсутності належних та допустимих доказів сумніви та припущення мають тлумачитися переважно на користь споживача, який зазвичай є "слабкою" стороною у таких цивільних відносинах, правові відносини споживача з банком фактично не є рівними.

Враховуючи зазначене, суд приходить до висновку про допущення відповідачем, як фінансовою установою, порушення положень законодавства та прав позивача, як споживача фінансової послуги, що полягало в протиправних діях банку, а саме: в незабезпеченні посиленої ідентифікації користувача позивача; в незабезпеченні захисту конфіденційності даних ідентифікації позивача тощо.

В аспекті наведеного суд враховує правову позицію, викладену у постанові Верховного Суду від 21.06.2023 у справі №922/4091/19 стосовно того, що Закон України «Про основні засади забезпечення кібербезпеки України» покладає на банки обов`язок з забезпечення кібербезпеки. Саме Банк відповідає за безпеку здійснення електронних платежів. Несанкціоноване списання коштів поза волею клієнта, свідчить про несанкціоноване втручання в систему здійснення банківських платежів, яка належить Банку, з боку третіх осіб. Несанкціоноване списання коштів з рахунку позивача є не просто помилковим платежем, а інцидентом кібербезпеки, який мав бути зафіксований та розслідуваний Банком відповідно до приписів Закону України «Про основні засади забезпечення кібербезпеки України».

Однак, в даному випадку, Банк в своєму листі від 18.12.2024 №20.1.0.0.0/7-241205/51119 щодо наслідків перевірки обставин несанкціонованого переказу 04.12.2024 грошових коштів з належного ТОВ «Центр-Шина Груп» поточного рахунку № НОМЕР_1 , виключно обмежився твердженням про те, що Клієнтом не в повній мірі було дотримано вимоги безпеки доступу до системи дистанційного обслуговування «Приват24 для бізнесу» та безпеки проведення платежів, у зв`язку з чим зняв з себе відповідальність за несанкціоновані перекази.

При цьому, жодних конкретних порушень та відповідних доказів їх допущення Клієнтом як в послідуючому, так і під час розгляду даної справи, Банком не наведено / не надано, як і не надано зі свого боку виконання своїх зобов`язань щодо проведення періодичних перевірок виконання Клієнтом вимог щодо захисту інформації та зберігання засобів захисту, як-то передбачено п. 3.1.3.4.1 його ж Умов надання банківських послуг.

Таким чином, оскільки судом встановлено, що списання коштів з рахунку ТОВ «Центр-Шина Груп» відбулось поза волею останнього, а АТ КБ «Приватбанк» не доведено, що доступ до рахунку № НОМЕР_1 відбувся за участі позивача з умислу чи з його необережності, то відповідно у відповідача наявний обов`язок з повернення всіх списаних коштів за несанкціонованими операціями.

Частиною 3 статті 13 Господарського процесуального кодексу України визначено обов`язок сторін довести обставини, які мають значення для справи і на які вона посилається як на підставу своїх вимог або заперечень, крім випадків, встановлених законом.

Тотожні приписи викладені у частині 1 статті 74 Господарського процесуального кодексу України.

За приписами частини 4 статті 13 Господарського процесуального кодексу України передбачено, що кожна сторона несе ризик настання наслідків, пов`язаних з вчиненням чи невчиненням нею процесуальних дій.

За таких обставин, позовна вимога ТОВ «Центр-Шина Груп» до АТ КБ «Приватбанк» в частині стягнення списаних за рахунку коштів у розмірі 2 336 822,00 грн та комісії за таке списання у розмірі 47,00 грн підлягає задоволенню в повному обсязі.

Крім того, позивач стверджує про наявність правових підстав для стягнення з відповідача пені у розмірі 324 532,08 грн, інфляційних втрат у розмірі 133 764,96 грн, 3% річних у розмірі 32 830,43 грн.

В той же час, суд звертає увагу, що в даному випадку відсутнє грошове зобов`язання Банку перед Клієнтом, а підтверджений судом обов`язок Банку щодо повернення на рахунок Клієнта коштів є виключно наслідком порушення ним обов`язку належного надання послуг з ведення рахунку із забезпечення схоронності коштів Клієнта, що виключає можливість застосування визначеної законодавством відповідальності за прострочене грошове зобов`язання.

Витрати по сплаті судового збору за первісним позовом відповідно до ст. 129 Господарського процесуального кодексу України покладаються на сторони пропорційно розміру задоволених позовних вимог.

На підставі викладеного та керуючись статтями 13, 74, 76-79, 129, 231, 232, 236-241 Господарського процесуального кодексу України, Господарський суд міста Києва -

ВИРІШИВ:

Позов задовольнити частково.

Стягнути з Акціонерного товариства Комерційний банк «Приватбанк» (код ЄДРПОУ 14360570 01001, місто Київ, вул. Грушевського, буд. 1Д) на користь Товариства з обмеженою відповідальністю «Центр-Шина Груп» (код ЄДРПОУ 39104926 Адреса: 49073, Дніпропетровська обл., місто Дніпро, вул. Хвойна, буд. 104) 2 336 822, 00 грн списаних з рахунку Товариства з обмеженою відповідальністю «Центр-Шина Груп», 47, 00 грн комісії банку та 35 053, 93 грн судового збору.

В решті позову відмовити.

Рішення господарського суду набирає законної сили після закінчення строку подання апеляційної скарги, якщо апеляційну скаргу не було подано. У разі подання апеляційної скарги рішення, якщо його не скасовано, набирає законної сили після повернення апеляційної скарги, відмови у відкритті чи закриття апеляційного провадження або прийняття постанови суду апеляційної інстанції за наслідками апеляційного перегляду.

Апеляційна скарга на рішення суду може бути подана протягом двадцяти днів з дня складення повного судового рішення безпосередньо до Північного апеляційного господарського суду.

Повне судове рішення складено 24.09.2025.

Суддя Ігор Курдельчук