13 травня 2025 року місто Київ
Справа № 757/21765/23-ц
Апеляційне провадження № 22-ц/824/6889/2025
Київський апеляційний суд в складі колегії суддів судової палати з розгляду цивільних справ: головуючого судді Желепи О. В., суддів: Поливач Л.Д., Поліщук Н.В.,
за участю секретаря судового засідання Рябошапки М.О.
розглянув у відкритому судовому засіданні в залі суду цивільну справу за апеляційною скаргою ОСОБА_1 , в інтересах якої діє адвокат Щетінін Максим Юрійович, на рішення Печерського районного суду міста Києва від 18 грудня 2024 року (ухвалено у складі судді Бусик О. Л., повне рішення складено 23 грудня 2024 року)
у справі за позовом ОСОБА_1 , в інтересах якої діє адвокат Гармаш Катерина Григорівна до Акціонерного товариства «Державний ощадний банк України» про стягнення безпідставно отриманих коштів
Короткий зміст позовних вимог
У травні 2023 року ОСОБА_1 , в інтересах якого діє адвокат Гармаш К. Г. звернулась до суду з позовом до Акціонерного товариства «Державний ощадний банк України» (далі - АТ «Державний ощадний банк України), в якому просить стягнути з відповідача на користь позивача безпідставно списані кошти в розмірі 146 500 грн та пеню в розмірі 25 344,50 грн, судові витрати покласти на відповідача.
Позовні вимоги мотивовані тим, що 12 листопада 2014 року між ОСОБА_1 та АТ «Державний ощадний банк України» було укладено договір № 2090115 про відкриття та обслуговування рахунку, випуск та надання платіжної картки. Позивачка вказує, що 02 листопада 2022 року у 12:50 вона, використовуючи телефонний зв'язок, надала невідомій особі дані власної платіжної картки, зокрема зазначила її останні чотири цифри. Ніяких особистих даних та реквізитів даної банківської картки (пін-код, CVV) у позивачки не запитували, і відповідно нею не надавались. Згодом, проаналізувавши з персональним менеджером Ощадбанку операції, що були здійснені 02 листопада 2022 року шахраями по належному позивачці рахунку № НОМЕР_1 , позивачка дізналась, що з її рахунку було виведено загальну суму 146 500,00 грн.
07 лютого 2023 року позивачка звернулась до відповідача зі зверненням щодо опротестування операцій, вчинених 02 листопада 2022 року невідомими особами з її рахунку № НОМЕР_1 на загальну суму 146 600,00 грн. Однак банк, листом № 100.16-08/236 від 15 березня 2023 року відмовив позивачці у поверненні безпідставно списаних коштів, посилаючись на те, що зазначене списання коштів проведено коректно з використанням необхідних реквізитів платіжної картки позивачки, з правильним введенням паролів, які відомі лише клієнту.
03 листопада 2022 року за заявою позивачки було зареєстровано кримінальне провадження № 12022100050002647 за ознаками частини другої статті 190 КК України. Посилаючись на те, що жодних осіб розпоряджатися своїм картковим банківським рахунком не уповноважувала, позивачка просила стягнути з відповідача 146 600,00 грн безпідставно списаних коштів, пеню та судові витрати.
Короткий зміст рішення суду першої інстанції
Печерський районний суд міста Києва рішенням від 18 грудня 2024 року в задоволенні позову відмовив.
Короткий зміст вимог апеляційної скарги
Не погодившись з таким рішенням Щетінін М.Ю. в інтересах ОСОБА_1 15 січня 2025 року через систему «Електронний суд» подав до Київського апеляційного суду апеляційну скаргу, у якій просить оскаржуване рішення скасувати та ухвалити нове, яким позов задовольнити в повному обсязі, вирішити питання розподілу судових витрат.
Узагальненні доводи особи, яка подала апеляційну скаргу
Апеляційна скарга мотивована необґрунтованістю оскаржуваного рішення, ухваленого з порушенням норм процесуального права та неправильним застосуванням норм матеріального права.
Апелянт зазначає, що суд першої інстанції фактично проігнорував обставини, які свідчать про незабезпечення відповідачем належної безпеки рахунку позивача та не дослідив факту фальсифікації заяви клієнта від 07.02.2023, а також не звернув уваги на положення статті 86 Закону України «Про платіжні послуги», що передбачають обов'язок надавача платіжних послуг негайно відшкодувати кошти у випадку несанкціонованих (неакцептованих) платіжних операцій.
Скаржник наголошує, що позивач не розголошував третім особам пін-код, CVV, логін, пароль до системи банкінгу та будь-які персональні дані, необхідні для ініціювання переказу.
Звертає увагу, що заявлені вимоги про стягнення 146 500 грн та пені за кожен день з 02.11.2022 до моменту фактичного повернення коштів ґрунтуються на ч. 12 ст. 86 Закону України «Про платіжні послуги», а не тільки на положеннях 1213 ЦК України.
Суд першої інстанції послався на положення нормативно-правових актів, які вже втратили чинність, зокрема Закон України «Про платіжні системи та переказ коштів в Україні», Про здійснення операцій з використанням електронних платіжних засобів, (Положення № 705), а також використав положення Договору комплексного банківського обслуговування фізичних осіб, затвердженого постановою правління АТ «Ощадбанк» від 05.08.2015 в редакції від 25.09.2022, який не був чинним на 27 серпня 2018 року.
Узагальнені доводи та заперечення інших учасників справи
У відзиві на апеляційну скаргу представник відповідача - адвокат Дем'янов І.Ю. проти апеляційної скарги заперечував, просив її відхилити з підстав необґрунтованості викладених у ній доводів, а рішення суду першої інстанції залишити без змін як законне та обґрунтоване.
Позиція учасників справи, які з'явилися в судове засідання
У судовому засіданні представники позивачки - адвокати Щетінін М.Ю. та Гармаш К.Г. кожен окремо апеляційну скаргу підтримали, просили задовольнити її вимоги з підстав, викладених у скарзі.
Представник відповідача - адвокат Дем'янов І.Ю. проти апеляційної скарги заперечував у повному обсязі, просив її відхилити через безпідставність викладених у ній доводів, ґрунтуючись на мотивах, викладених у відзиві на апеляційну скаргу.
Фактичні обставини справи, встановлені судом
Суд першої інстанції вважав установленим, що відповідно до пункту 1.1.1 Договору Банк відповідно до вимог чинного законодавства України відкрив позивачці поточний рахунок № НОМЕР_2 (№ НОМЕР_1 , рахунок).
Згідно з пунктом 1.1.2 Договору позивачці було видано платіжну картку № НОМЕР_3 .
27 серпня 2018 року ОСОБА_1 підписано Заяву про приєднання № 510954311 до Договору комплексного банківського обслуговування фізичних осіб та відкриття поточного рахунку з використанням електронного платіжного засобу (ДКБО). Шляхом підписання цієї заяви позивачка беззастережно приєдналася до Договору ДКБО в редакції, яка на день підписання цієї заяви про приєднання розміщена на офіційному сайті Банку на інтернет-сторінці Банку www.oshadbank.ua.
Відповідно до пункту 1.11 ДКБО позивачка погоджується, що в результаті приєднання до ДКБО, раніше укладений з Банком Договір про відкриття та обслуговування рахунку, випуск та надання платіжної картки, викладається в новій редакції, і подальше обслуговування позивачки здійснюється на умовах, викладених у ДКБО. Такий договір банківського рахунку є укладеним з дня підтвердження Банком Заяви про відкриття рахунку, шляхом направлення клієнту на його фінансовий номер CVV/CVC 2-код та термін дії Цифрової картки, інформування Клієнта щодо номеру картки в СДО «Ощад24/7». Номер рахунку зазначається в заяві про відкриття рахунку та відображається в СДО «Ощад 24/7» у відповідному розділі про інформацію щодо рахунку.
02 листопада 2022 року позивачка виявила, що здійснена платіжна операція зі списання коштів в сумі 146 500 грн та того ж дня звернулася до Оболонського управління поліції ГУ НП у м. Києві із заявою про вчинення кримінального правопорушення.
За результатами розгляду заяви, 03 листопада 2022 року внесено відомості до Єдиного реєстру досудових розслідувань № 12022100050002647 за ознаками кримінального правопорушення, передбаченого частиною другою статті 190 КК України.
07 лютого 2023 року позивачка звернулась до відповідача із зверненням щодо опротестування операцій, вчинених 02 листопада 2022 року невідомими особами з її рахунку № НОМЕР_1 на загальну суму 29 500 грн та повернення безпідставно списаних коштів. Згідно з висновком експерта за результатами проведення судової почеркознавчої експертизи від 03 червня 2024 року № 1947/24-32 підпис від імені ОСОБА_1 , що міститься в графі «Підпис Клієнта/* Client'sSignature документа «Заява Клієнта/Client'sStatementofClaim» від 07 лютого 2023 року, виконаний не ОСОБА_1 , а іншою особою.
Листом № 100.16-08/236 від 15 березня 2023 року відповідачем відмовлено позивачці у поверненні безпідставно списаних коштів на загальну суму 146 500 грн, у зв'язку із відсутністю підстав для здійснення такого повернення. Відмова обґрунтована тим, що операції з використанням Інтернет ресурсу/ Ощад 24/7 були проведені коректно з використанням усіх реквізитів платіжної карти Банку.
Відповідно до пункту 3.5 Розділу ІІІ ДКБО Банк і позивачка допускають можливість використання у вигляді Електронного підпису підтвердження через Одноразовий цифровий пароль, який містить комбінацію символів у вигляді цифр, що генерується МПС, і яку направляють Держателю картки у вигляді SMS-повідомлення на верифікований номер мобільного телефону Клієнта, зафіксований в інформаційних системах Банку. Сторони домовились, що послідовне введення Одноразового цифрового паролю, отриманого на Номер мобільного телефону, повідомлений Клієнтом Банку в порядку та спосіб, визначений Договором або ідентифікація клієнта шляхом Біометрії, є аналогом власноручного підпису Клієнта. Всі документи, операції Клієнта, що ініціюються в електронному вигляді і підписані/підтверджені за допомогою Електронного підпису вважаються такими, що підписані власноручним підписом Клієнта та юридично прирівнюються до документів, отриманих від Клієнта на паперовому носії, оформлених відповідно до вимог чинного законодавства України. Електронний підпис не може бути визнано недійсним через те, що він не має статусу Кваліфікованого електронного підпису чи через його електронну форму ( пункт 17.1.5 Розділу ХVІІ ДКБО).
Розділ ІХ ДКБО передбачає, що:
- Клієнт зобов'язаний забезпечити/гарантувати неможливість отримання третіми особами інформації про Логін, Пароль, Картковий пароль, а також ПІН, CVV2/CVС2, строк дії, номер Картки тощо. Ризик і відповідальність за несанкціоноване використання Логіна, Пароля, Карткового пароля несе виключно Клієнт (пункт 9.15);
- Клієнт несе ризик та негативні наслідки передачі ним третій особі мобільного телефона (відповідної SIM-карти), номер якого визначений в Заяві про приєднання до Договору комплексного обслуговування фізичних осіб або повідомлений Банку в іншому встановленому Договором порядку як Номер мобільного телефону Клієнта, їх втрати, незаконного заволодіння ними, а також ризик технічного перехоплення інформації, направленої на Номер мобільного телефону Клієнта (пункт 9.16);
- Клієнт усвідомлює та приймає на себе усі ризики щодо можливої авторизації сторонньою особою в Мобільних додатках GooglePay або в інших подібних додатках за допомогою технології Біометрії, в тому числі якщо у Мобільному пристрої збережені відбитки пальця(ів) сторонньої особи (пункт 9.17);
- Будь-яку особу, що використала Біометрію як засіб ідентифікації клієнта для доступу до Системи ДБО (у тому числі технології Touch ID, FaceID), Банк безумовно вважає Клієнтом і не несе відповідальності за дії такої особи, навіть якщо такі дії будуть оскаржуватися (пункт 9.18).
Позиція суду апеляційної інстанції
Заслухавши доповідь головуючого судді Желепи О.В., пояснення представників сторін, переглянувши справу та перевіривши законність і обґрунтованість ухваленого рішення в межах доводів та вимог, з урахуванням доводів відзиву на неї, колегія суддів дійшла висновку, що апеляційна скарга не підлягає задоволенню.
Мотиви, з яких виходить апеляційний суд, та застосовані норми права
За приписами статті 367 ЦПК України суд апеляційної інстанції переглядає справу за наявними в ній і додатково поданими доказами та перевіряє законність і обґрунтованість рішення суду першої інстанції в межах доводів та вимог апеляційної скарги. Суд апеляційної інстанції досліджує докази, що стосуються фактів, на які учасники справи посилаються в апеляційній скарзі та (або) відзиві на неї. Суд апеляційної інстанції не обмежений доводами та вимогами апеляційної скарги, якщо під час розгляду справи буде встановлено порушення норм процесуального права, які є обов'язковою підставою для скасування рішення, або неправильне застосування норм матеріального права.
Відповідно до вимог статті 263 ЦПК України судове рішення повинно ґрунтуватися на засадах верховенства права, бути законним і обґрунтованим.
Законним є рішення, ухвалене судом відповідно до норм матеріального права із дотриманням норм процесуального права.
Обґрунтованим є рішення, ухвалене на підставі повно і всебічно з'ясованих обставин, на які сторони посилаються як на підставу своїх вимог і заперечень, підтверджених тими доказами, які були досліджені в судовому засіданні.
Указаним вимогам рішення суду першої інстанції відповідає.
Відмовляючи в задоволенні позову суд першої інстанції виходив із того, що:
- позивачка не заперечувала того, що 02 листопада 2022 року вона, використовуючи телефонний зв'язок, надала невідомій особі дані власної платіжної картки, зокрема зазначила її останні чотири цифри;
- виходячи з умов Договору, пункту 9.15 та статті 14 Закону України «Про платіжні системи та переказ коштів в Україні», саме позивач відповідальний за проведені фінансові операції, оскільки при їх здійсненні використовувалася ідентифікація клієнта з використанням біометричних даних, за відсутності повідомлення банка про втрату позивачем фінансового номеру телефону, із правильним введенням одноразового коду доступу при встановленні/переустановленні мобільного додатку, відтак у банку були відсутні підстави для блокування таких фінансових операцій;
- не можна вважати, що кошти, які 02 листопада 2022 року позивачка перерахувала через систему дистанційного банківського обслуговування у мобільному додатку MOBILE BANKING «Ощад 24/7» були списані без законних на те підстав;
- у матеріалах справи відсутні належні та допустимі докази на підтвердження неправомірних дій відповідача АТ «Ощадбанк», внаслідок яких списано грошові кошти з карток позивача.
Колегія суддів погоджується із такими висновками суду першої інстанції з огляду на таке.
Загальними засадами цивільного законодавства є, зокрема, справедливість, добросовісність та розумність (пункт 6 статті 3 ЦК Украйни).
Відповідно до частини першої статті 4 ЦПК України кожна особа має право в порядку, встановленому цим Кодексом, звернутися до суду за захистом своїх порушених, невизнаних або оспорюваних прав, свобод чи законних інтересів.
Відповідно до частини першої статті 55 Закону України «Про банки і банківську діяльність» відносини банку з клієнтом регулюються законодавством України, нормативно-правовими актами НБУ та угодами (договорами) між клієнтом та банком.
За договором банківського рахунка банк зобов'язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій за рахунком (частина перша статті 1066 ЦК України).
Згідно зі статтею 1068 ЦК України банк зобов'язаний вчиняти для клієнта операції, які передбачені для рахунків даного виду законом, банківськими правилами та звичаями ділового обороту, якщо інше не встановлено договором банківського рахунка. Банк зобов'язаний зарахувати грошові кошти, що надійшли на рахунок клієнта, в день надходження до банку відповідної платіжної інструкції, якщо інший строк не встановлений договором банківського рахунку або законом. Банк зобов'язаний за розпорядженням клієнта видати або перерахувати з його рахунку грошові кошти в день надходження до банку відповідної платіжної інструкції, якщо інший строк не передбачений договором банківського рахунку або законом. Клієнт зобов'язаний сплатити плату за виконання банком операцій за рахунком клієнта, якщо це встановлено договором.
За приписами частини першої статті 1071 ЦК України банк може списати грошові кошти з рахунка клієнта на підставі його розпорядження.
Відповідно до статті 1073 ЦК України у разі несвоєчасного зарахування на рахунок грошових коштів, що надійшли клієнтові, їх безпідставного списання банком з рахунка клієнта або порушення банком розпорядження клієнта про перерахування грошових коштів з його рахунка банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти та відшкодувати завдані збитки, якщо інше не встановлено законом.
З 01.08.2022 введено в дію Закон України «Про платіжні послуги» (далі - у редакції від 17.08.2022, що діяла станом на дату виникнення спірних правовідносин, Закон № 1591), який визначає поняття та загальний порядок виконання платіжних операцій в Україні, встановлює виключний перелік платіжних послуг та порядок їх надання, категорії надавачів платіжних послуг та умови авторизації їх діяльності, визначає загальні засади функціонування платіжних систем в Україні, загальні засади випуску та використання в Україні електронних грошей та цифрових грошей Національного банку України, установлює права, обов'язки та відповідальність учасників платіжного ринку України, визначає загальний порядок здійснення нагляду за діяльністю надавачів платіжних послуг, надавачів обмежених платіжних послуг, порядок здійснення оверсайта платіжної інфраструктури.
Статтею 1 Закону № 1591, визначено, що автентифікація - це процедура, що дає змогу надавачу платіжних послуг установити та підтвердити особу користувача платіжних послуг та/або належність користувачу платіжних послуг певного платіжного інструменту, наявність у нього підстав для використання конкретного платіжного інструменту, у тому числі шляхом перевірки індивідуальної облікової інформації користувача платіжних послуг;
безготівкові розрахунки - перерахування коштів з рахунків платників на рахунки отримувачів, а також перерахування надавачами платіжних послуг коштів, внесених платниками готівкою, на рахунки отримувачів;
вразливі платіжні дані - дані (їх сукупність), включаючи індивідуальну облікову інформацію, за допомогою яких можуть вчинятися шахрайські дії;
електронний платіжний засіб - платіжний інструмент, реалізований на будь-якому носії, що містить в електронній формі дані, необхідні для ініціювання платіжної операції та/або здійснення інших операцій, визначених договором з емітентом;
неналежна платіжна операція - платіжна операція, внаслідок якої з вини особи, яка не є ініціатором або надавачем платіжних послуг, здійснюється списання коштів з рахунку неналежного платника та/або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі;
неналежний отримувач - особа, на рахунок якої без законних підстав зарахована сума платіжної операції або яка отримала суму платіжної операції в готівковій формі;
неналежний платник - особа, з рахунку якої списано кошти без законних підстав (помилково або неправомірно).
Відповідно до пунктів 1-5 частини двадцятої статті 38 Закону № 1591 користувач, якому наданий електронний платіжний засіб, зобов'язаний:
1) надати емітенту інформацію для здійснення контактів у порядку, визначеному договором;
2) зберігати та використовувати електронний платіжний засіб відповідно до вимог законодавства України та умов договору, укладеного з емітентом;
3) не допускати використання електронного платіжного засобу особами, які не мають на це права;
4) не повідомляти та іншим чином не розголошувати індивідуальну облікову інформацію та/або іншу інформацію, що дає змогу ініціювати платіжні операції;
5) негайно після того, як така інформація стала йому відома, повідомити емітента у спосіб та каналами зв'язку, передбаченими договором між емітентом та платником, про факт втрати електронного платіжного засобу та/або факт втрати індивідуальної облікової інформації.
Відповідно до частин 1, 3 статті 68 Закону № 1591 електронна взаємодія надавача платіжних послуг із користувачем здійснюється лише після автентифікації користувача, який є фізичною особою, або уповноваженого представника користувача, який є юридичною особою.
Надавачі платіжних послуг зобов'язані застосовувати посилену автентифікацію користувача під час:
1) отримання користувачем доступу до рахунку за допомогою засобів дистанційної комунікації;
2) ініціювання дистанційної платіжної операції;
3) будь-яких інших дій у разі підозри вчинення шахрайства (або існування ризику шахрайства) чи інших неправомірних дій (або існування ризику вчинення інших неправомірних дій).
За змістом п. 70 частини 1 статті 1 Закону № 1591, посилена автентифікація - процедура автентифікації, яка передбачає використання двох чи більше сукупностей даних, що належать до таких різних категорій:
а) знань (володіння інформацією (даними), що відома лише користувачу);
б) володінь (застосування матеріального предмета, яким володіє лише користувач);
в) притаманність (перевірка біометричних даних або інших властивостей (рис, характеристик), притаманних лише користувачу, що відрізняють його від інших користувачів).
Відповідно до положень частини 5 статті 87 Закону України «Про платіжні послуги», до моменту повідомлення емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації відповідно до статті 38 цього Закону ризик збитків від виконання неналежних платіжних операцій та відповідальність за них покладаються на платника. З моменту повідомлення платником емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації ризик збитків від виконання неакцептованих/неналежних платіжних операцій та відповідальність покладаються на емітента. Момент, з якого настає відповідальність емітента, має бути чітко визначений умовами договору, укладеного між користувачем та емітентом.
Суд першої інстанції правильно встановив, що 27 серпня 2018 року ОСОБА_1 підписала заяву про приєднання № 510954311 до Договору комплексного банківського обслуговування фізичних осіб та відкриття поточного рахунку з використанням електронного платіжного засобу (ДКБО) (том 1 а. с. 238-240). Шляхом підписання цієї заяви позивачка беззастережно приєдналася до Договору ДКБО в редакції, яка на день підписання цієї заяви про приєднання розміщена на офіційному сайті Банку на інтернет-сторінці Банку www.oshadbank.ua.
Відповідно до пункту 1.11 ДКБО позивачка погоджується, що в результаті приєднання до ДКБО, раніше укладений з Банком Договір про відкриття та обслуговування рахунку, випуск та надання платіжної картки, викладається в новій редакції, і подальше обслуговування позивачки здійснюється на умовах, викладених у ДКБО.
Згідно з пунктом 1.16.2 ДКБО для ініціювання замовлення випуску Цифрової картки за допомогою Системи ДБО «Ощад 24/7»: 1) клієнт має заповнити Заяву про відкриття Рахунку; 2) обрати відділення Банку, в якому Клієнт бажає відкрити Рахунок та обслуговуватися (при замовленні Цифрової картки для вибору установи Банку Клієнту доступні лише ті установи, в яких Клієнт вже має відкритий Рахунок з використанням Платіжної картки до якої підключено Систему ДБО «Ощад 24/7»); 3) виконати інші дії, встановлені Банком. Заява про відкриття Рахунку, що підтверджена Клієнтом Одноразовим цифровим паролем/ Біометрією, в т.ч. по технології біометричної ідентифікації клієнта Touch ID (та подібні)/ Face ID (та подібні) та прийнята і виконана Банком, є невід'ємною частиною Договору. Виконання Клієнтом дій, вказаних в цьому підпункті Договору, свідчить про надання Клієнтом згоди на укладення між Банком та Клієнтом Договору банківського рахунку, щодо Рахунку, номер якого зазначається в Заяві про відкриття Рахунку. Такий договір банківського рахунку є укладеним з дня підтвердження Банком Заяви про відкриття рахунку, шляхом направлення клієнту на його фінансовий номер CVV/CVC 2-код та термін дії Цифрової картки, інформування Клієнта щодо номеру картки в СДО «Ощад24/7». Номер рахунку зазначається в заяві про відкриття рахунку та відображається в СДО «Ощад 24/7» у відповідному розділі про інформацію щодо рахунку.
За змістом підпункту 156 пункту 2.1 ДКБО система дистанційного банківського обслуговування/Система ДБО - це сукупність технічних засобів та програмного забезпечення, впровадженого в Банку, у тому числі таких як «Ощад 24/7», що дозволяють Клієнту без відвідування Банку за допомогою дистанційних каналів зв'язку, визначених в документації до Системи ДБО, через Сайт, мобільний телефон або іншій технічний пристрій здійснювати замовлення Платіжних карток (основних та Додаткових карток) Клієнтам, які вже мають відкриті в АТ «Ощадбанк» рахунки; здійснювати операції за Картковим, Депозитним рахунком, а також здійснювати Перекази коштів з картки, емітованої іншим банком України, на підставі Електронних документів Клієнта; створювати та підписувати Електронні документи Клієнта; отримувати банківські виписки; довідкову інформацію за вищевказаними рахунками, а також отримувати інші послуги, передбачені в документації до Системи ДБО.
СМС-банкінг або Послуга інформування/Інформування - це послуга надання інформації про здійснені операції за Картковим рахунком/Платіжною карткою у вигляді СМС чи Push - повідомлень, які направляються Банком на обраний Клієнтом канал для комунікацій (СМС на Фінансовий номер мобільного телефону, месенджер, електронна пошта, Інтернет-банкінг, тощо) (підпункту 157 пункту 2.1 ДКБО).
Відповідно до пункту 3.5 Розділу ІІІ ДКБО Банк і Клієнт допускають можливість використання у вигляді Електронного підпису підтвердження через Одноразовий цифровий пароль, який містить комбінацію символів у вигляді цифр, що генерується МПС, і яку направляють Держателю картки у вигляді SMS-повідомлення на верифікований номер мобільного телефону Клієнта, зафіксований в інформаційних системах Банку. Підписання будь-яких правочинів та/або підписання будь-яких документів, заяв, повідомлень, листів в рамках цього Договору таким чином прирівнюється до укладання наведених документів у письмовій формі. У випадку, якщо номер мобільного телефону зареєстрований і збігається з номером телефону клієнта, вважається, що Клієнт прийняв умови Договору, згідно з яким йому будуть надаватися витребувані ним Послуги, засвідчив/підтвердив документ/повідомлення/заяву.
За приписами пункту 17.1.5 Розділу ХVІІ ДКБО сторони домовились, що послідовне введення Одноразового цифрового паролю, отриманого на Номер мобільного телефону, повідомлений Клієнтом Банку в порядку та спосіб, визначений Договором або ідентифікація клієнта шляхом Біометрії, є аналогом власноручного підпису Клієнта. Всі документи, операції Клієнта, що ініціюються в електронному вигляді і підписані/підтверджені за допомогою Електронного підпису вважаються такими, що підписані власноручним підписом Клієнта та юридично прирівнюються до документів, отриманих від Клієнта на паперовому носії, оформлених відповідно до вимог чинного законодавства України. Електронний підпис не може бути визнано недійсним через те, що він не має статусу Кваліфікованого електронного підпису чи через його електронну форму.
У справі встановлено та визнається сторонами, що позивачка здійснила реєстрацію у WebBanking «Ощад24/7» та встановила мобільний додаток «Ощад24/7» на фінансовий номер +380661144255.
Відповідно до даних автоматизованої системи AT «Ощадбанк», спірні операції з переказу коштів 02.11.2022 було здійснено в системі «Ощад24/7» мобільного додатку, який встановлено позивачем на свій пристрій. Вхід до мобільного додатка «Ощад 24/7» здійснено із введенням коду для входу, що був надісланий на фінансовий номер позивачки з метою її автентифікації і був відомий тільки їй (том 1 а. с. 95-96).
Так, відповідно до Інструкції з реєстрації користувача у Мобільному Ощаді, яка наявна у відкритому доступі у мережі інтернет на сайті Банку www.oschadhank.ua, для реєстрації (перереєстрації) в системі «Ощад 24/7» (Мобільний Ощад) необхідно використання номеру телефону Клієнта, прив'язаного до картки (фінансовий номер), отримання дзвінка від Банку з кодом, чотири останні цифри номеру картки та PIN-код до неї. У подальшому Клієнт встановлює відомий тільки йому логін та пароль до мобільного додатку, а також створює код швидкого доступу та може налаштувати на мобільному пристрою Touch/Face ID (ідентифікація за допомогою відбитка пальця або обличчя) - в цьому випадку наступні входи у додаток та оплати здійснюються без підтвердження за допомогою паролю чи коду з SMS.
Відповідно до пункту 17.4.4 ДКБО Клієнт персонально відповідає за зберігання і не розголошення третім особам авторизаційних та ідентифікаційних даних при роботі ДБО, компрометацію ідентифікаційних/авторизаційних даних за допомогою вірусів і програм- шпигунів на персональному програмному забезпеченні Клієнта. Банк не несе відповідальності за операції з Картковим рахунком Клієнта при розголошенні третім особам авторизаційних та ідентифікаційних даних, відсутності сертифікованого антивірусного забезпечення.
Заперечуючи проти заявлених позовних вимог, відповідач по справі зазначав, що при проведенні спірних операцій вхід до Системи дистанційного банківського обслуговування Mobile-банкінг «Ощад 24/7» (Мобільний ощад) та операції з переказу коштів здійснені коректно, що можливо лише за наявності реквізитів банківської картки смс-паролів, push-повідомлення які направляються на фінансовий телефон позивача та відомі виключно їй.
Обов'язковою умовою отримання Push-повідомлень є встановлення мобільного додатку «Ощад 24/7» на мобільному телефоні Клієнта/Держателя додаткової платіжної картки та активації функції отримання Push-повідомлень в Системі ДБО «Ощад 24/7», а також наявність доступу мобільного додатку «Ощад 24/7» на мобільному телефоні Клієнта/ Держателя додаткової платіжної картки до мережі Інтернет. Push-повідомлення направляється Банком одноразово та доставляється Клієнту/Держателю додаткової платіжної картки лише в разі виконання умов їх отримання. При цьому Клієнт/Держатель додаткової платіжної картки несе усі ризики, пов'язані із тим, що направлена Банком інформація не буде доставлена вчасно, оскільки отримання Push- повідомлень залежить від декількох чинників, на які Банк не має впливу, таких як: трафік в мережі мобільного зв'язку, місце знаходження мобільного телефону Клієнта/ Держателя додаткової платіжної картки в межах досяжності мережі Інтернет, у роумінгу, а також чи ввімкнений мобільний телефон Клієнта/Держателя додаткової платіжної картки (пункт 11.10.6 ДКБО).
Розділ ІХ ДКБО передбачає, що:
- Клієнт зобов'язаний забезпечити/гарантувати неможливість отримання третіми особами інформації про Логін, Пароль, Картковий пароль, а також ПІН, CVV2/CVС2, строк дії, номер Картки тощо. Ризик і відповідальність за несанкціоноване використання Логіна, Пароля, Карткового пароля несе виключно Клієнт (пункт 9.15);
- Клієнт несе ризик та негативні наслідки передачі ним третій особі мобільного телефона (відповідної SIM-карти), номер якого визначений в Заяві про приєднання до Договору комплексного обслуговування фізичних осіб або повідомлений Банку в іншому встановленому Договором порядку як Номер мобільного телефону Клієнта, їх втрати, незаконного заволодіння ними, а також ризик технічного перехоплення інформації, направленої на Номер мобільного телефону Клієнта (пункт 9.16);
- Клієнт усвідомлює та приймає на себе усі ризики щодо можливої авторизації сторонньою особою в Мобільних додатках GooglePay або в інших подібних додатках за допомогою технології Біометрії, в тому числі якщо у Мобільному пристрої збережені відбитки пальця(ів) сторонньої особи (пункт 9.17);
- Будь-яку особу, що використала Біометрію як засіб ідентифікації клієнта для доступу до Системи ДБО (у тому числі технології Touch ID, FaceID), Банк безумовно вважає Клієнтом і не несе відповідальності за дії такої особи, навіть якщо такі дії будуть оскаржуватися (пункт 9.18).
Згідно з пунктом 17.3.8. ДКБО Банк не несе відповідальності за наслідки операцій в Системі ДБО, здійснених з використанням Облікового запису Клієнта, відповідальність за такі операції несе особисто Клієнт, а не Банк.
Таким чином, вхід до системи дистанційного банківського обслуговування Mobile- банкінг «Ощад 24/7» - та операції з переказу коштів були здійснені коректно, оскільки це можливо лише за наявності реквізитів платіжної картки СМС-повідомлень/Push-повідомлень, які направлялися на фінансовий телефон позивачки і були відомі виключно їй.
Відповідно до пунктів 42-44 частини першої статті 1 Закону № 1591 неналежна платіжна операція - платіжна операція, внаслідок якої з вини особи, яка не є ініціатором або надавачем платіжних послуг, здійснюється списання коштів з рахунку неналежного платника та/або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі. Неналежний отримувач - особа, на рахунок якої без законних підстав зарахована сума платіжної операції або яка отримала суму платіжної операції в готівковій формі. Неналежний платник - особа, з рахунку якої списано кошти без законних підстав (помилково або неправомірно).
За приписами частини двадцятої статті 38 Закону № 1591 користувач, якому наданий електронний платіжний засіб, зобов'язаний: 1) надати емітенту інформацію для здійснення контактів у порядку, визначеному договором; 2) зберігати та використовувати електронний платіжний засіб відповідно до вимог законодавства України та умов договору, укладеного з емітентом; 3) не допускати використання електронного платіжного засобу особами, які не мають на це права; 4) не повідомляти та іншим чином не розголошувати індивідуальну облікову інформацію та/або іншу інформацію, що дає змогу ініціювати платіжні операції; 5) негайно після того, як така інформація стала йому відома, повідомити емітента у спосіб та каналами зв'язку, передбаченими договором між емітентом та платником, про факт втрати електронного платіжного засобу та/або факт втрати індивідуальної облікової інформації.
Аналогічні обов'язки користувача передбачені пунктами 136 та 140 розділу VII «Загальні вимоги до безпеки здійснення платіжних операцій та управління ризиками» Положення про порядок емісії та еквайрингу платіжних інструментів, затвердженого постановою Правління Національного банку України від 29.07.2022 № 164 (чинного на час здійснення оспорюваних операцій, далі - Положення).
Як зазначалось вище, для реєстрації (перереєстрації), входу в систему «Ощад 24/7» на мобільному пристрої необхідні доступ до фінансового номеру, номер картки та PIN-код до неї, що у свою чергу є ідентифікацією платіжного засобу, а ідентифікацією клієнта - є відправлення повідомлень на фінансовий номер клієнта.
У справі, що переглядається, належними та допустимими доказами встановлено, що до проведення спірних операцій позивачка розголосила третім особам останні чотири цифри своєї платіжної картки, що безумовно сприяло шахраям у заволодінні її грошовими коштами.
При цьому колегія суддів враховує, що без розголошення іншої інформації, зокрема коду, надісланого на фінансовий номер позивачки та/або PIN-коду до своєї картки, авторизуватися у системі «Ощад 24/7» було б неможливо, а тому неспроможною є позиція позивачки про те, що окрім повідомлення останніх чотирьох цифр своєї картки вона не повідомляла інших відомостей.
До подібних висновків дійшов Верховний Суд у постанові від 01 грудня 2021 року у справі № 720/1119/19.
Позивачем не було надано належних та допустимих доказів, що саме з вини інших осіб та/або представників банку були перераховані кошти з її рахунку.
За встановлених обставин справи, відсутні будь-які підстави стверджувати про бездіяльність банку чи його неналежний рівень кібербезпеки, оскільки зі свого боку банк вжив достатніх заходів для встановлення особи позивачки перед здійсненням нею спірних операції, а саме - надіслав на фінансовий номер позивачки код доступу до системи «Ощад 24/7», введення якого було головною перевіркою особи позивачки, а його коректне введення звільняло банк від сумнівів щодо належності проведених операції.
Безпідставними є доводи позивачки щодо кваліфікації спірних операції як неакцептованих, оскільки відповідно до пункту 39 частини 1 статті 1 Закону № 1591 такою операцією є платіжна операція, виконана надавачем платіжних послуг платника на підставі наданої ініціатором платіжної інструкції без отримання згоди платника (крім примусового списання (стягнення) або після відкликання такої згоди.
Натомість надавачу послуг у цьому випадку не надавалося жодних платіжних інструкцій, а операції були проведені за розпорядження держателя платіжного інструменту.
У справі, що переглядається можливим було кваліфікувати такі операції як помилкові, з урахуванням положень пунктів 43-45, 69 частини 1 статті 1 Закону № 1591. Проте, як вже було встановлено вище, проведені операції такими не можна вважати, оскільки вони проведені коректно, з використанням всіх необхідних реквізитів платіжної картки банку. Окрім цього, за встановлених обставин справи, позивача не можна вважати неналежним платником у відносинах із банком.
Доводи апеляційної скарги щодо ненадання судом першої інстанції оцінки факту фальсифікації заяви клієнта від 07.02.2023 колегія суддів відхиляє як такі, що не свідчать про незаконність чи необґрунтованість оскаржуваного рішення, оскільки предметом доказування в цій справі є обставини, що сприяли проведенню спірних операцій. Натомість заява від 07.02.2023 вже не стосується таких обставин та може лише впливати на внутрішнє переконання судді.
Неспроможними є також доводи щодо посилання суду першої інстанції на редакцію ДКБО від 25.09.2022, що не була чинна станом на дату підписання заяви про приєднання до нього, оскільки за змістом пункту 3.1 підписаної позивачем заяви, шляхом її підписання Клієнт беззастережно приєднується до Договору в редакції, яка на день підписання Заяви на приєднання розміщена на інтернет-сторінці Банку та укладає з Банком Договір, складовою частиною якого є умови договору банківського рахунку, банківського вкладу, Кредитного договору, умови надання інших послуг, та підтвердив своє ознайомлення з умовами Договору.
Також такими, що не можуть бути підставою для скасування рішення суду першої інстанції доводи про застосування судом нечинного на час виникнення спірних правовідносин Закону України «Про платіжні системи та переказ коштів в Україні», оскільки як вбачається зі змісту оскаржуваного рішення (у якому застосовано старий закон) та цієї постанови (у якій застосовано чинний закон) висновки суду відповідають дійсним обставинам справи та є законними, оскільки аналогічні до Закону України «Про платіжні системи та переказ коштів в Україні» положення містяться і в новому Законі України «Про платіжні послуги».
Колегія суддів також звертає увагу, що застосування такого закону не було головною підставою для відмови у позові і до аналогічних висновків суд міг дійти використовуючи головним чином лише положення ДКБО, оскільки саме в ньому визначаються особливості електронної взаємодії клієнта із банком, а також шляхи автентифікації клієнта.
Твердження відповідача та висновки суду першої інстанції про те, що позивач своїми діями сприяв незаконному використанню інформації, яка дала змогу ініціювати третій особі проведення платіжних операцій, знайшли фактичне підтвердження в ході судового розгляду, а тому відсутні підстави для відповідальності банку за проведення помилкових операцій.
Доводи апеляційної скарги щодо неврахування судом першої інстанції постанови Верховного Суду від 16 серпня 2023 року у справі № 176/1445/22 колегія суддів відхиляє як безпідставні, оскільки у зазначеній справі були інші фактичні обставини справи, зокрема не було встановлено обставин погодження сторонами умов банківського обслуговування, відповідно до яких автентифікація користувача за допомогою коду-паролю надісланого на фінансовий номер телефона, є достатньою обставиною для проведення фінансових операцій.
Висновки за результатами розгляду апеляційної скарги
Відповідно до п. 1 ч. 1 ст. 374 ЦПК України суд апеляційної інстанції за результатами розгляду апеляційної скарги має право залишити судове рішення без змін, а скаргу без задоволення.
Відповідно до ст. 375 ЦПК України суд апеляційної інстанції залишає апеляційну скаргу без задоволення, а судове рішення без змін, якщо визнає, що суд першої інстанції ухвалив судове рішення з додержанням норм матеріального і процесуального права.
Колегія суддів, встановила, що при вирішенні справи судом першої інстанції не було допущено неправильного застосування норм матеріального права чи порушення норм процесуального права, висновки суду відповідають обставинам справи, а тому відсутні підстави для задоволення вимог апеляційної скарги та скасування законного та обґрунтованого рішення суду першої інстанції.
Судові витрати
Оскільки апеляційна скарга залишається без задоволення, а рішення суду першої інстанції - без змін, відсутні підстави для розподілу витрат на стадії апеляційного провадження відповідно до статей 141, 382 ЦПК України.
Керуючись ст.ст. 259, 263, 268, 374, 375, 381-384, 389 ЦПК України, суд
Апеляційну скаргу ОСОБА_1 , подану представником - адвокатом Щетініним Максимом Юрійовичем, - залишити без задоволення.
Рішення Печерського районного суду міста Києва від 18 грудня 2024 року - залишити без змін.
Постанова суду апеляційної інстанції набирає законної сили з дня її ухвалення і оскарженню в касаційному порядку не підлягає, крім випадків, визначених у ст. 389 ЦПК України.
Повна постанова складена 23 травня 2025 року.
Головуючий О.В. Желепа
Судді: Л.Д. Поливач
Н.В. Поліщук