При несанкціонованому списанні Банком коштів повернути їх вкрай складно, оскільки останній стверджує про вину саме постраждалої особи.
Верховний Суд розглянувши 21.06.2023 справу такої категорії, надав відповідь на ряд важливих питань, на які повинен відповісти суд при виникненні аналогічних спорів із Банком.
ПСП звернулось в суд із позовом до АТ КБ «Приватбанк» про стягнення 1 270 000 грн. списаних з рахунку позивача та 240 030 грн. пені.
Позов мотивовано тим, що внаслідок зараження вірусом комп’ютера позивача із його рахунку в АТ “Райффайзен Банк” було перераховано на рахунок у відповідача 1 250 000 грн. як перерозподіл власних коштів з розбивкою на 8 окремих платежів.
В цей же день вказані кошти перераховані на рахунки трьох юридичних осіб, відкриті у ПАТ “ПУМБ” незадовго до інциденту, з якими у позивача відсутні будь-які правовідносини. Таке перерахування відбулося з розбивкою на 10 окремих платежів, з тим, щоб сума кожного не перевищувала 150 000 грн. (сума, з якої операція підпадає під обов`язковий фінансовий моніторинг).
Банк відмовив ПСП у поверненні списаних коштів, мотивуючи тим, що ПСП порушило умови і правила надання банківських послуг, зокрема, використання системи дистанційного банківського обслуговування Приват24 та правил дистанційного управління рахунком.
Справа розглядалась неодноразово судами усіх інстанцій, останньою постановою Верховного Суду від 21.06.2023 скасовані судові рішення попередніх інстанцій про відмову у задоволенні позову та позовні вимоги задоволено. При цьому, перед ВС судом постали наступні питання:
1. за яких умов у банку виникає обов`язок повернути кошти на рахунок клієнта відповідно до приписів ч.1 ст. 1073 ЦКУ, якщо їх помилкове (несанкціоноване) списання відбулося внаслідок злочинних дій?
2.чи є юридична особа, суб`єкт господарювання, слабкою стороною у відносинах з банком?
3.чи сприяв позивач втраті, незаконному використанню інформації, що дало можливість третім особам ініціювати несанкціоновані платіжні операції?
4.чи поширюється на спірні відносини законодавство про кібербезпеку та фінансовий моніторинг?
5.чи мав Банк можливість зупинити проведення підозрілих операцій, які призвели до несанкціонованого списання коштів з рахунку клієнта?
Відповідаючи на вказані питання Верховний Суд дійшов наступних висновків.
1.У правових висновках ВС вказано, що у разі встановлення факту неналежного переказу грошових коштів з банківського рахунку банк зобов`язаний повернути клієнту відповідну суму, тоді як виключення із вказаного правила можливе лише за умови встановлення обставин, які підтверджують, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції (постанови від 16.12.2020, 25.05.2021, 22.05.2021).
2.У постановах ВС від 21.04.2021, 20.07.2022 дійшов висновку, що саме на банк, який є професійним учасником ринку надання банківських послуг, покладено обов`язок доведення того, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. Відповідно, вимоги до рівня та розумності ведення справ банком є вищими, ніж до споживача – фізичної особи, яка зазвичай є слабшою стороною у цивільних відносинах з такою кредитною установою. З врахуванням наведеного, всі сумніви та розумні припущення мають тлумачитися судом саме на користь такої слабшої сторони.
При цьому те, що у справі, яка переглядається, клієнтом банку є не фізична, а юридична особа-суб`єкт господарської діяльності, не впливає на визначення її як більш слабкої сторони у відносинах із банком, особливо у сфері кібербезпеки (інформаційної безпеки) щодо захисту клієнтів банку та коштів, які зберігаються на рахунках клієнтів у банку, від кіберзлочинів.
В іншому випадку необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів; сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
Верховний Суд зауважив, що суди попередніх інстанцій помилково застосували до спірних правовідносин статті 22, 623 ЦКУ та статті 225, 226 ГКУ щодо умов притягнення до відповідальності за завдані збитки, адже ст. 1073 ЦКУ є спеціальною нормою, яка встановлює обов`язки банку, що виникають внаслідок помилкового (несанкціонованого клієнтом) списання, а саме: негайно після виявлення порушення (помилкового списання) зарахувати відповідну суму на рахунок клієнта або належного отримувача; сплатити проценти; відшкодувати завдані збитки, якщо інше не встановлено законом.
Отже, обов`язок банку повернути на рахунок клієнта суму помилково списаних коштів є окремим, спеціальним обов`язком банку, відмінним від обов`язку відшкодувати завдані збитки, відтак позовна вимога щодо стягнення з банку суми несанкціонованого платежу не є вимогою про стягнення збитків.
3. Щодо, як стверджує відповідач, вини позивача, зауважуючи, що останній не повідомив Банк про компрометацію особистого ключа, ВС зазначив, що так звані програми-шпигуни, тобто шкідливе програмне забезпечення, встановлюється на комп`ютер та збирає інформацію, як правило, непомітно для користувача. Отже, незрозуміло, яким чином позивач міг дізнатися та повідомити Банк про компрометацію особистого ключа чи втрату іншої важливої інформації.
Також суди попередніх інстанцій не вказали, які саме вимоги щодо захисту інформації порушив позивач або які саме незаконні операції з компонентами платіжних систем (платіжні інструменти, обладнання, програмне забезпечення тощо) здійснював позивач, тобто не встановили підстав для застосування ст.33.3 Закону «Про платіжні системи та переказ коштів в Україні» щодо звільнення банку від відповідальності через винні дії платника.
Зокрема, Банк не провів повноцінного службового розслідування для встановлення, з якої саме IP адреси надсилалися Банку платіжні доручення, чи було встановлено на комп`ютері позивача ліцензійне програмне забезпечення, коли і які саме шкідливі програми були встановлені на комп`ютері клієнта, які саме приписи законодавства чи вимоги Банку щодо забезпечення безпеки платежів не виконував клієнт, чи міг клієнт запобігти завантаженню таких програм, зокрема шляхом перевірки комп`ютера на наявність шкідливого програмного забезпечення (яку саме антивірусну програму мав встановити клієнт, з якою періодичністю потрібно було проводити такі перевірки, чи порушив він ці приписи).
4. Виходячи із понять визначених в Законі «Про основні засади забезпечення кібербезпеки України»- інцидент кібербезпеки, інформація про інцидент кібербезпеки, кіберзахист, кіберзлочин-несанкціоноване списання коштів з рахунку позивача є не просто помилковим платежем, а інцидентом кібербезпеки, який мав бути зафіксований та розслідуваний Банком відповідно до приписів вказаного Закону.
Вказаний факт не спростовується (на твердження Банку) тим, що атака відбулася саме на персональний комп`ютер позивача, а не на пристрої Банку. Саме Банк відповідає за безпеку здійснення електронних платежів. Несанкціоноване списання коштів поза волею клієнта, чого не заперечує Банк, свідчить про несанкціоноване втручання в систему здійснення банківських платежів, яка належить Банку, з боку третіх осіб.
5. У постанові ВС від 21.07.2022 (у цій справі) вказано, що банківські операції із зарахування та списання коштів, вчинені 03.12.2018, підпадали під дію законодавства про фінансовий моніторинг а отже їх підозрілий (сумнівний) характер мав би бути виявлений працівником Банку. Кожне платіжне доручення не виконується автоматично, воно підлягає перевірці уповноваженим працівником Банку.
Банк є суб`єктом первинного фінансового моніторингу відповідно до п.1 ч.2 ст.5 Закону №1702-VII . Відповідно до ч.3 ст.9 Закону №1702-VII залежно від рівня ризику проведення фінансової операції ідентифікація, верифікація клієнта здійснюються також у разі проведення ним фінансової операції на суму, визначену ч.1 ст.15 вказаного Закону (150 000 грн.), незалежно від того, проводиться така фінансова операція одноразово чи як кілька фінансових операцій, які можуть бути пов`язані між собою.
Тобто Банк після отримання для виконання платіжних доручень про перерахування грошових коштів з рахунку позивача мав здійснити фінансовий моніторинг таких операцій, адже вони мали очевидні ознаки, що вказують на сумнівність (підозрілість).
Таким чином, Банк, якщо б провів фінансовий моніторинг міг зупинити проведення підозрілих операцій, які призвели до несанкціонованого списання коштів з рахунку клієнта.