При несанкционированном списании Банком средств возвратить их крайне сложно, поскольку последний утверждает о вине именно пострадавшего.
Верховный Суд рассмотрев 21.06.2023 дело такой категории, ответил на ряд важных вопросов, на которые должен ответить суд при возникновении аналогичных споров с Банком.
ЧСП обратилось в суд с иском к АО КБ «Приватбанк» о взыскании 1 270 000 грн. списанных со счета истца и 240 030 грн. пени.
Иск мотивирован тем, что в результате заражения вирусом компьютера истца с его счета в АО «Райффайзен Банк» было перечислено на счет ответчика 1 250 000 грн. как перераспределение собственных средств с разбивкой на 8 отдельных платежей.
В этот же день указанные средства перечислены на счета трех юридических лиц, открытые в ПАО «ПУМБ» незадолго до инцидента, с которыми у истца отсутствуют какие-либо правоотношения. Такое перечисление произошло с разбивкой на 10 отдельных платежей с тем, чтобы сумма каждого не превышала 150 000 грн. (сумма, по которой операция подпадает под обязательный финансовый мониторинг).
Банк отказал ЧСП в возвращении списанных средств, мотивируя тем, что ЧСП нарушило условия и правила предоставления банковских услуг, в частности, использование системы дистанционного банковского обслуживания Приват24 и правил дистанционного управления счетом.
Дело рассматривалось неоднократно судами всех инстанций, последним постановлением Верховного Суда от 21.06.2023 отменены судебные решения предыдущих инстанций об отказе в удовлетворении иска и исковые требования удовлетворены. При этом перед ВС судом встали следующие вопросы:
1. при каких условиях у банка возникает обязанность вернуть средства на счет клиента в соответствии с предписаниями ч.1 ст. 1073 ГКУ, если их ошибочное (несанкционированное) списание произошло в результате преступных действий?
2. является ли юридическое лицо, субъект хозяйствования, слабой стороной в отношениях с банком?
3. способствовал ли истец потере, незаконному использованию информации, что позволило третьим лицам инициировать несанкционированные платежные операции?
4. распространяются ли на спорные отношения законодательство о кибербезопасности и финансовом мониторинге?
5. имел ли Банк возможность остановить проведение подозрительных операций, приведших к несанкционированному списанию средств со счета клиента?
Отвечая на указанные вопросы, Верховный Суд пришел к следующим выводам.
1.В правовых выводах ВС указано, что в случае установления факта ненадлежащего перевода денежных средств с банковского счета банк обязан вернуть клиенту соответствующую сумму, тогда как исключение из указанного правила возможно только при установлении обстоятельств, подтверждающих, что пользователь своими действиями или бездействием способствовал потере, незаконному использованию ПИН-кода или другой информации, позволяющей инициировать платежные операции (постановления от 16.12.2020, 25.05.2021, 22.05.2021).
2.В постановлениях ВС от 21.04.2021, 20.07.2022 пришел к выводу, что именно на банк, являющийся профессиональным участником рынка предоставления банковских услуг, возложена обязанность доказывания того, что пользователь своими действиями или бездействием способствовал потере, незаконному использованию ПИН- кода или другой информации, позволяющей инициировать платежные операции. Соответственно, требования к уровню и разумности ведения дел банком выше, чем к потребителю — физическому лицу, которое обычно является более слабой стороной в гражданских отношениях с таким кредитным учреждением. С учетом приведенного все сомнения и разумные предположения должны толковаться судом именно в пользу такой слабой стороны.
При этом то, что в пересматриваемом деле клиентом банка является не физическое, а юридическое лицо-субъект хозяйственной деятельности, не влияет на определение его как более слабой стороны в отношениях с банком, особенно в сфере кибербезопасности (информационной безопасности) относительно защиты клиентов банка и средств, хранящихся на счетах клиентов в банке, от киберпреступлений.
В противном случае необходимо исходить из отсутствия вины пользователя в перечислении или получении спорных денежных средств; сам по себе факт корректного ввода исходных данных для инициирования такой банковской операции, как списание средств со счета пользователя, не может достоверно подтверждать то обстоятельство, что пользователь своими действиями или бездействием способствовал потере, незаконному использованию ПИН-кода или другой информации, позволяющей инициировать платежные операции
Верховный Суд отметил, что суды предыдущих инстанций ошибочно применили к спорным правоотношениям статьи 22, 623 ГКУ и статьи 225, 226 ХКУ об условиях привлечения к ответственности за нанесенный ущерб, ведь ст. 1073 ГКУ является специальной нормой, устанавливающей обязанности банка, возникающие в результате ошибочного (несанкционированного клиентом) списания, а именно: немедленно после выявления нарушения (ложного списания) засчитать соответствующую сумму на счет клиента или надлежащего получателя; уплатить проценты; возместить причиненный ущерб, если иное не установлено законом.
Следовательно, обязанность банка вернуть на счет клиента сумму ошибочно списанных средств является отдельной, специальной обязанностью банка, отличной от обязанности возместить причиненный ущерб, поэтому исковое требование по взысканию с банка суммы несанкционированного платежа не является требованием о взыскании убытков.
3. Относительно, как утверждает ответчик, вины истца, отмечая, что последний сообщил Банк о компрометации личного ключа, ВС отметил, что так называемые программы-шпионы, то есть вредоносное программное обеспечение, устанавливается на компьютер и собирает информацию, как правило, незаметно для пользователя. Итак, непонятно, каким образом истец мог узнать и сообщить Банку о компрометации личного ключа или потере другой важной информации.
Также суды предыдущих инстанций не указали, какие именно требования по защите информации нарушил истец или какие незаконные операции с компонентами платежных систем (платежные инструменты, оборудование, программное обеспечение и т.п.) осуществлял истец, то есть не установили оснований для применения ст.33.3 Закона «О платежных системы и перевод средств в Украине» об освобождении банка от ответственности через виновные действия плательщика.
В частности, Банк не провел полноценное служебное расследование для установления, с какой именно IP адреса направлялись Банку платежные поручения, было ли установлено на компьютере истца лицензионное программное обеспечение, когда и какие именно вредоносные программы были установлены на компьютере клиента, какие предписания законодательства или требования Банка по обеспечению безопасности платежей не выполнял клиент, мог ли клиент предотвратить загрузку таких программ, в частности путем проверки компьютера на наличие вредоносного программного обеспечения (какую именно антивирусную программу должен был установить клиент, с какой периодичностью нужно было проводить такие проверки, или нарушил он эти предписания).
4. Исходя из понятий определенных в Законе «Об основных основах обеспечения кибербезопасности Украины»- инцидент кибербезопасности, информация об инциденте кибербезопасности, киберзащите, киберпреступлении-несанкционированное списание средств со счета истца является не просто ошибочным платежом, а инцидентом кибербезопасности расследован Банком в соответствии с предписаниями указанного Закона.
Указанный факт не опровергается (по утверждению Банка) тем, что атака произошла именно на персональном компьютере истца, а не на устройстве Банка. Именно Банк отвечает за безопасность осуществления электронных платежей. Несанкционированное списание средств по воле клиента, чего не отрицает Банк, свидетельствует о несанкционированном вмешательстве в принадлежащую Банку систему осуществления банковских платежей со стороны третьих лиц.
5. В постановлении ВС от 21.07.2022 (по этому делу) указано, что банковские операции по зачислению и списанию средств, совершенные 03.12.2018, подпадали под действие законодательства о финансовом мониторинге, а значит, их подозрительный (сомнительный) характер должен быть обнаружен работником Банку. Каждое платежное поручение не выполняется автоматически, оно подлежит проверке уполномоченным работником Банка.
Банк является субъектом первичного финансового мониторинга в соответствии с п.1 ч.2 ст.5 Закона №1702-VII. Согласно ч.3 ст.9 Закона №1702-VII в зависимости от уровня риска проведения финансовой операции идентификация, верификация клиента осуществляется также в случае проведения им финансовой операции на сумму, определенную ч.1 ст.15 указанного Закона (150 000 грн.), независимо от того, проводится такая финансовая операция единовременно или несколько финансовых операций, которые могут быть связаны между собой.
То есть Банк после получения для выполнения платежных поручений о перечислении денежных средств со счета истца должен осуществить финансовый мониторинг таких операций, ведь они имели очевидные признаки, указывающие на сомнительность (подозрительность).
Таким образом, Банк, если бы провел финансовый мониторинг, мог остановить проведение подозрительных операций, которые привели к несанкционированному списанию средств со счета клиента.