вул. Шолуденка, буд. 1, літера А, м. Київ, 04116 (044) 230-06-58 inbox@anec.court.gov.ua
"16" червня 2025 р. Справа№ 904/4408/24
Північний апеляційний господарський суд у складі колегії суддів:
головуючого: Ходаківської І.П.
суддів: Владимиренко С.В.
Демидової А.М.
розглянувши у порядку письмового провадження без повідомлення учасників справи матеріали апеляційної скарги Акціонерного товариства Комерційний банк "Приватбанк"
на рішення господарського суду міста Києва від 03.02.2025 (повний текст рішення підписано 03.02.2025)
у справі № 904/4408/24 (суддя Пукас А.Ю.)
за позовом Фізичної особи-підприємця Черняк Вікторії Станіславівни
до Акціонерного товариства Комерційний банк "Приватбанк"
про стягнення 90 999 грн
Короткий зміст позовних вимог.
В жовтні 2024 року Фізична особа-підприємець Черняк Вікторії Станіславівни (позивач) звернулася до господарського суду Дніпропетровської області з позовом до Акціонерного товариства Комерційний банк "Приватбанк" (відповідач) про стягнення 90 999 грн безпідставно списаних грошових коштів.
Позовні вимоги обґрунтовано тим, що у вересні 2024 року у зв'язку з неналежним наданням відповідачем послуг, третіми особами здійснено несанкціонований доступ до відкритих рахунків позивача та здійснено без її згоди списання грошових коштів на суму 90 999 грн.
Ухвалою господарського суду Дніпропетровської області від 14.10.2024 матеріали справи передано за територіальною підсудністю до господарського суду міста Києва.
Короткий зміст рішення місцевого господарського суду та мотиви його ухвалення.
Рішенням господарського суду міста Києва від 03.02.2025 у справі № 904/4408/24 позов задоволено та стягнуто з Акціонерного товариства Комерційний банк "Приватбанк" на користь Фізичної особи-підприємця Черняк Вікторії Станіславівни безпідставно списані кошти в розмірі 90 999 грн 00 грн та судовий збір в розмірі 3 028 грн.
Рішення суду мотивовано посиланням на постанову Національного банку України № 164 від 29.07.2022, якою затверджено Положення про порядок емісії та еквайрингу платіжних інструментів, яким зокрема встановлено, що надавач платіжних послуг у разі виконання помилкової платіжної операції з рахунку неналежного платника, якщо власник рахунку/держатель невідкладно повідомив про платіжні операції з використанням платіжного інструменту, які ним не виконувалися, зобов'язаний негайно після виявлення помилки або після отримання повідомлення (залежно від того, що відбулося раніше) переказати за рахунок власних коштів суму платіжної операції на рахунок неналежного платника. Надавач платіжних послуг повинен сприяти власнику рахунку/держателю в поверненні коштів за неналежною платіжною операцією з використанням платіжного інструменту шляхом негайного надання доступної йому інформації про таку операцію (без стягнення плати), уключаючи інформацію, отриману на його запит від надавача платіжних послуг, що обслуговує неналежного отримувача (пункт 144); Власник рахунку має право на відшкодування в судовому порядку шкоди, заподіяної надавачем платіжних послуг унаслідок помилкової, неналежної платіжної операції або виконання платіжної операції з порушенням установлених законодавством України строків (пункт 147).
Короткий зміст апеляційної скарги та її доводів.
Не погоджуючись з рішенням господарського суду міста Києва від 03.02.2025 у справі № 910/4408/24, відповідач звернувся до Північного апеляційного господарського суду з апеляційною скаргою, у якій просить скасувати згадане рішення суду як таке, що ухвалене з порушенням норм матеріального та процесуального права, зокрема, ст.ст. 207, 546, 634, 639, 1212 ЦК України, п. 23.4 ст. 23 Закону України "Про платіжні системи та переказ коштів в Україні", ст.ст. 74, 79 ГПК України, ухвалити нове рішення, яким в задоволенні позову відмовити.
Зокрема, скаржник зазначає, що матеріали справи не містять доказів, що позивач негайно повідомив банк про несанкціоновані незаконні платіжні операції на його рахунках, а тому, не доведено, що такі операції були здійснені після повідомлення нею банк про підозру доступу третіх осіб до платіжних засобів та фінансового номеру позивача.
Відзив на апеляційну скаргу до суду не надходив.
Дії суду апеляційної інстанції щодо розгляду апеляційної скарги по суті.
Ухвалою Північного апеляційного господарського суду від 07.04.2025 (колегія суддів у складі: головуючої Ходаківської І.П., суддів Владимиренко С.В., Демидової А.М.) відкрито апеляційне провадження за апеляційною скаргою Акціонерного товариства Комерційний банк "Приватбанк" на рішення господарського суду міста Києва від 03.02.2025 по справі № 904/4408/24; розгляд апеляційної скарги постановлено здійснювати у порядку спрощеного провадження без повідомлення учасників справи.
Обставини справи, встановлені судом першої та перевірені судом апеляційної інстанції, визначення відповідно до них правовідносин.
Як встановлено судом першої та перевірено судом апеляційної інстанції, Черняк Вікторія Станіславівни зареєстрована у якості фізичної особи - підприємця 23.05.2024.
Видами економічної діяльності позивача за КВЕД є: 47.29 Роздрібна торгівля іншими продуктами харчування в спеціалізованих магазинах (основний); 47.21 Роздрібна торгівля фруктами й овочами в спеціалізованих магазинах; 47.22 Роздрібна торгівля м'ясом і м'ясними продуктами в спеціалізованих магазинах; 47.23 Роздрібна торгівля рибою, ракоподібними, та молюсками в спеціалізованих магазинах; 47.24 Роздрібна торгівля хлібобулочними виробами, борошняними та цукровими кондитерськими виробами в спеціалізованих магазинах; 47.99 Інші види роздрібної торгівлі поза магазинами.
Для здійснення господарської діяльності та проведення розрахунків в безготівковій формі на підставі заяви про приєднання до Умов та правил надання банківських послуг АТ КБ "ПриватБанк" від 27.05.2024 ФОП Черняк Вікторії Станіславівні відкрито поточний рахунок для господарської діяльності, внаслідок чого вона є клієнтом АТ КБ "ПриватБанк".
Звертаючись з позовом у даній справі, ФОП Черняк Вікторія Станіславівня послалась на те, що 02.09.2024 о 16:01 год. нею підтверджено вхід у систему "Приват24 Бізнес" для проведення оплати ТОВ "АДВ" на суму 213 001,72 грн.
В цей день вхід у систему нею більше не здійснювався та ніякі транзакції щодо списання грошових коштів для проведення будь-яких оплат не проводились.
Однак, в подальшому цього ж дня 02.09.2024, невстановленим особами здійснено несанкціонований доступ до системи дистанційного банківського обслуговування "Приват24Бізнес", який належить ФОП Черняк В.С. та з її банківського рахунку, здійснено несанкціоноване списання грошових коштів двома платежами на загальну суму 90 999 грн.
Наведені обставини підтверджується сформованими за допомогою банківського сервісу платіжними інструкціями № 51, дата складання 02.09.2024 18:14 год. та № 52, дата складання 02.09.2024 18:15, відповідно до яких на рахунок одержувача ФОП Кущак Ірини Андріївни здійснено транзакцію грошових коштів на суму 78 090 грн та 12 909 грн, з призначенням платежу - сплата за ковбасні вироби зг. накладної № 8829 від 27.08.2024.
При цьому позивач зазначив, що після відкриття поточного рахунку нікому не розголошувався ПІН-код банківської картки та інша конфіденційна інформація, включаючи дані свого акаунту в "Приват24", своїми діями чи бездіяльністю не сприяв втраті чи незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
Про проведення вказаних несанкціонованих операцій (транзакцій) позивачу стало відомо вранці 03.09.2024 при перевірці залишку коштів, розміщених банківському рахунку. Будь яких повідомлень від банку ФОП Черняк В.С. не надходило.
За фактом незаконного заволодіння грошовими коштами в розмірі 90999 грн, що належать ФОП Черняк В.С. зверталася до Департаменту кіберполіції Національної поліції України в Дніпропетровській області із заявою про вчинення кримінального правопорушення.
11.09.2024 за результатами розгляду вищезазначеної заяви про кримінальне правопорушення, Лівобережною окружною прокуратурою внесено відомості за вказаним фактом до ЄДРДР №42024042010000198 за частиною 5 статті 361 Кримінального кодексу України та розпочато досудове розслідування.
19.09.2024 ФОП Черняк В.С. звернулася АТ КБ "Приватбанк" із заявою про проведення службового розслідування за фактом несанкціонованого доступу 02.09.2024 року до її банківського рахунку, відкритого в АТ КБ "Приватбанк", та несанкціонованого списання з нього грошових коштів на загальну суму 90 999 грн, а також з вимогою повернути безпідставно списані кошти шляхом їх відновлення на рахунку.
Листом АТ КБ "Приватбанк" від 19.09.2024 за № 20.1.0.0.0/7-240918/86933 повідомило, що банком ініційовано проведення службового розслідування, в ході якого здійснювався детальний аналіз всієї викладеної інформації.
В результаті проведеного розслідування встановлено, що факт несанкціонованого зняття коштів з рахунку знайшов своє підтвердження. Однак, аналіз обставин, які сприяли використанню коштів третіми особами показав, що позивачем порушені умови і правила наданих банківських послуг, а саме: використання системи дистанційного банківського обслуговування "Приват24 для Бізнесу" та правил дистанційного управління рахунком.
В листі зазначено, банк повідомив про відсутність правових підстав для задоволення вимог позивача з посиланням на положення пункту 3.1.3.7.2 та 3.1.3.7.3 Умов та правил надання банківських послуг, що розміщуються в мережі Інтернет і є невід'ємною частиною договору банківського обслуговування.
Зокрема вказаним пунктом передбачено, що Банк не несе відповідальність за збереження коштів та даних клієнта у разі розголошення/втрати уповноваженими / довіреними особами клієнта відомостей про логін та пароль або передачі КЕП третім особам.
Банк не несе відповідальності за несанкціонований доступ до сховища ключів клієнта під час реєстрації/авторизації в Системі "Приват24 для бізнесу" в разі відсутності ліцензійного програмного забезпечення, відсутність антивірусних та антишпигунських програм, що забезпечують захист від несанкціонованого доступу до інформації клієнта на персональному комп'ютері користувача, з якого здійснюється реєстрація.
Мотиви та джерела права, з яких виходить суд апеляційної інстанції при прийнятті постанови та оцінка аргументів учасників справи.
Відповідно до статті 2 Закону України "Про банки і банківську діяльність" банківський платіжний інструмент - засіб, що містить реквізити, які ідентифікують його емітента, платіжну систему, в якій він використовується, та, як правило, держателя цього банківського платіжного інструмента. За допомогою банківських платіжних інструментів формуються відповідні документи за операціями, що здійснені з використанням банківських платіжних інструментів, на підставі яких проводиться переказ грошей або надаються інші послуги держателям банківських платіжних інструментів; розрахункові банківські операції - рух грошей на банківських рахунках, здійснюваний згідно з розпорядженнями клієнтів або в результаті дій, які в рамках закону призвели до зміни права власності на активи.
Статтею 47 Закону України "Про банки і банківську діяльність" визначено, що банк має право надавати банківські та інші фінансові послуги (крім послуг у сфері страхування), а також здійснювати іншу діяльність, визначену в цій статті, як у національній, так і в іноземній валюті.
Згідно зі статтею 51 Закону України "Про банки і банківську діяльність" для здійснення банківської діяльності банки відкривають та ведуть кореспондентські рахунки у Національному банку України та інших банках в Україні і за її межами, банківські рахунки для фізичних та юридичних осіб у гривнях та іноземній валюті. Банківські розрахунки проводяться у готівковій та безготівковій формах згідно із правилами, встановленими нормативно-правовими актами Національного банку України. При виконанні розрахункової операції банк зобов'язаний перевірити достовірність та формальну відповідність документа.
Відповідно до статті 55 Закону України "Про банки та банківську діяльність" відносини банку з клієнтом регулюються законодавством України, нормативно-правовими актами Національного банку України та угодами (договорами) між клієнтом та банком.
Відповідно до частини першої статті 1066 Цивільного кодексу України за договором банківського рахунка банк зобов'язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій за рахунком.
Частиною першою статті 1068 Цивільного кодексу України передбачено, що банк зобов'язаний вчиняти для клієнта операції, які передбачені для рахунків даного виду законом, банківськими правилами та звичаями ділового обороту, якщо інше не встановлено договором банківського рахунка.
Згідно з частиною першою статті 1071 Цивільного кодексу України банк може списати грошові кошти з рахунка клієнта на підставі його розпорядження.
Відповідно до статті 1073 Цивільного кодексу України у разі несвоєчасного зарахування на рахунок грошових коштів, що надійшли клієнтові, їх безпідставного списання банком з рахунка клієнта або порушення банком розпорядження клієнта про перерахування грошових коштів з його рахунка банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти та відшкодувати завдані збитки, якщо інше не встановлено законом.
Частиною третьою статті 1092 Цивільного кодексу України передбачено, якщо порушення банком правил розрахункових операцій спричинило помилковий переказ банком грошових коштів, банк несе відповідальність відповідно до цього Кодексу та Закону.
Матеріалами справи підтверджено, що за умовами заяви про приєднання до Умов та правил надання банківських послуг АТ "КБ "ПриватБанк" від 27.05.2024 , укладеної між позивачем та Акціонерним товариством Комерційним банком "Приватбанк", останнє як надавач платіжних послуг зобов'язувався надавати позивачу ряд банківських послуг, в тому числі виконувати платіжну інструкцію клієнта про перерахування, здійснення розрахунково-касового обслуговування та проведення інших операцій за рахунком через систему дистанційного обслуговування.
Згідно із частиною першою статті 1 Закону України "Про платіжні послуги", безготівкові розрахунки - перерахування коштів з рахунків платників на рахунки отримувачів, а також перерахування надавачами платіжних послуг коштів, внесених платниками готівкою, на рахунки отримувачів; вразливі платіжні дані - дані (їх сукупність), включаючи індивідуальну облікову інформацію, за допомогою яких можуть вчинятися шахрайські дії; надавач платіжних послуг з обслуговування рахунку - надавач платіжних послуг, у якому відкритий рахунок платника для виконання платіжних операцій; неакцептована платіжна операція - платіжна операція, виконана надавачем платіжних послуг платника на підставі наданої ініціатором платіжної інструкції без отримання згоди платника (крім примусового списання (стягнення) або після відкликання такої згоди; неналежний платник - особа, з рахунку якої списано кошти без законних підстав (помилково або неправомірно); помилкова платіжна операція - платіжна операція, внаслідок якої з вини надавача платіжних послуг здійснюється списання коштів з рахунку неналежного платника та/ або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі; суб'єкти платіжних операцій - користувачі (платники, отримувачі) та відповідні надавачі платіжних послуг; схема виконання платіжних операцій - єдиний набір правил, стандартів та/або процедур, що розроблені та використовуються для виконання платіжних операцій (у тому числі в платіжній системі) і визначають порядок ініціювання, виконання та завершення платіжних операцій, платіжні інструменти, що використовуються для виконання платіжних операцій, порядок їх емісії та еквайрингу; технологічний оператор платіжних послуг (далі - технологічний оператор) - юридична особа, що надає послуги процесингу, клірингу або виконує операційні, інформаційні та інші технологічні функції, пов'язані з наданням платіжних послуг, без залучення коштів за платіжними операціями на свій рахунок; унікальний ідентифікатор - комбінація цифр або знаків, що надається користувачу надавачем платіжних послуг та дає змогу однозначно ідентифікувати користувача та/ або його рахунок для цілей виконання платіжної операції.
Відповідно до пунктів 42-44 частини першої статті 1 Закону України "Про платіжні послуги" неналежна платіжна операція - платіжна операція, внаслідок якої з вини особи, яка не є ініціатором або надавачем платіжних послуг, здійснюється списання коштів з рахунку неналежного платника та/або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі; неналежний отримувач-особа, на рахунок якої без законних підстав зарахована сума платіжної операції або яка отримала суму платіжної операції в готівковій формі; неналежний платник-особа, з рахунку якої списано кошти без законних підстав (помилково або неправомірно).
Згідно зі статтею 43 Закону України "Про платіжні послуги" надавач платіжних послуг зобов'язаний прийняти до виконання надану ініціатором платіжну інструкцію, за умови що платіжна інструкція оформлена належним чином та немає законних підстав для відмови в її прийнятті. Надавач платіжних послуг платника під час виконання платіжної операції з рахунку платника зобов'язаний перевірити в платіжній інструкції ініціатора відповідність:
1) номера рахунку платника та коду платника (коду юридичної особи (відокремленого підрозділу юридичної особи) згідно з Єдиним державним реєстром підприємств та організацій України/податкового номера або серії (за наявності) та номера паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті); або
2) унікального ідентифікатора платника.
Надавач платіжних послуг приймає рішення щодо перевірки в платіжній інструкції інформації, зазначеної в пунктах 1 або 2 цієї частини, самостійно, а якщо він є учасником платіжної системи - згідно з правилами платіжної системи.
Надавач платіжних послуг платника приймає до виконання платіжну інструкцію лише у разі, якщо зазначена у пункті 1 або 2 цієї частини інформація, яку він перевіряє відповідно до вимог цієї частини, відповідає тій інформації про платника, що зберігається у такого надавача платіжних послуг. У разі недотримання вимог, зазначених у цій частині, відповідальність за шкоду, заподіяну платнику, несе надавач платіжних послуг платника. Такі ж дії передбачені даним законом щодо порядку виконання платіжних операцій.
Частиною першою статті 51 Закону України "Про платіжні послуги" передбачено, що надавачі платіжних послуг зобов'язані здійснювати моніторинг платіжних операцій користувачів відповідно до внутрішнього порядку управління операційними ризиками та ризиками інформаційної безпеки з метою ідентифікації неакцептованих, помилкових та неналежних платіжних операцій, суб'єктів таких операцій та забезпечувати вжиття заходів для запобігання або припинення таких операцій.
Відповідно до статті 52 Закону України "Про платіжні послуги" платник протягом 60 календарних днів після списання коштів з його рахунку має право подати письмовий запит до надавача платіжних послуг платника з вимогою відшкодування суми платіжної операції згідно з положеннями цієї статті. Форма та порядок подання запиту з вимогою відшкодування суми платіжної операції визначаються договором між платником та надавачем платіжних послуг. Надавач платіжних послуг повинен фіксувати дату і час отримання запиту з вимогою відшкодування суми платіжної операції в операційно-обліковій системі. Надавач платіжних послуг платника зобов'язаний протягом 10 робочих днів з дня отримання запиту платника відшкодувати йому суму платіжної операції або надати обґрунтовану відмову у відшкодуванні. Платіжна операція відшкодовується в повному обсязі. Платник має право оскаржити відмову у відшкодуванні суми платіжної операції в судовому порядку. Надавач платіжних послуг платника має право на отримання від отримувача відшкодування суми сплаченої платнику оскарженої платіжної операції в судовому порядку.
Згідно з частиною четвертою статті 67 Закону України "Про платіжні послуги" надавачі платіжних послуг зобов'язані запровадити систему захисту інформації, що має забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання.
Крім цього частинами першою, третьою - п'ятою статті 68 Закону України "Про платіжні послуги" визначено, що електронна взаємодія надавача платіжних послуг із користувачем здійснюється лише після автентифікації користувача, який є фізичною особою, або уповноваженого представника користувача, який є юридичною особою.
Надавачі платіжних послуг зобов'язані застосовувати посилену ідентифікацію користувача під час:
- отримання користувачем доступу до рахунку за допомогою засобів дистанційної комунікації;
- ініціювання дистанційної платіжної операції;
- будь-яких інших дій у разі підозри вчинення шахрайства (або існування ризику шахрайства) чи інших неправомірних дій (або існування ризику вчинення інших неправомірних дій).
Надавачі платіжних послуг зобов'язані розробити та застосовувати елементи посиленої ідентифікації, які мають бути незалежними, щоб виявлення факту несанкціонованого доступу до одного захищеного елемента або його розголошення не загрожувало надійності інших елементів, а також запровадити заходи із забезпечення захисту конфіденційності даних ідентифікації.
Для проведення дистанційних платіжних операцій надавачі платіжних послуг зобов'язані застосовувати посилену ідентифікацію платника, що включає використання унікальних для кожної окремої операції даних, які дають змогу пов'язувати (в результаті виконання алгоритму співставляти контрольний показник з даними операції) операцію на певну суму і конкретного отримувача.
Статтею 86 Закону України "Про платіжні послуги" передбачено відповідальність надавачів платіжних послуг під час виконання платіжних операцій, зокрема зазначено, що: надавач платіжних послуг несе відповідальність перед користувачами за невиконання або неналежне виконання платіжних операцій відповідно до цього Закону та умов укладених між ними договорів, якщо не доведе, що платіжні операції виконані цим надавачем платіжних послуг належним чином; надавачі платіжних послуг несуть відповідальність, визначену цим Законом, за виконання помилкової, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків; користувачі мають право на відшкодування в судовому порядку шкоди, заподіяної надавачем платіжних послуг внаслідок помилкової, неналежної, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків; надавач платіжних послуг у разі виконання помилкової, неналежної, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків зобов'язаний на запит користувача, якого він обслуговує, невідкладно вжити заходів для отримання всієї наявної у надавача платіжних послуг інформації про платіжну операцію та надати її користувачу без стягнення плати.
Надавачі платіжних послуг несуть відповідальність перед користувачами за помилкові платіжні операції, у тому числі за виконання:
1) помилкової платіжної операції на рахунок неналежного отримувача;
2) помилкової платіжної операції з рахунку неналежного платника;
3) платіжної операції з рахунку платника без законних підстав або внаслідок інших помилок надавача платіжних послуг.
Надавач послуг з ініціювання платіжної операції у разі невиконання або неналежного виконання платіжної операції з його вини зобов'язаний відшкодувати надавачу платіжних послуг з обслуговування рахунку на вимогу останнього всі понесені збитки та суми, відшкодовані користувачам. Надавач платіжних послуг з обслуговування рахунку несе передбачену цим Законом відповідальність перед користувачами за невиконання або неналежне виконання платіжних операцій, ініційованих через надавача платіжних послуг з ініціювання платіжної операції.
Надавачі платіжних послуг несуть відповідальність перед користувачами за дії або бездіяльність своїх працівників, залучених комерційних агентів та надавачів платіжних послуг - посередників, у тому числі за невиконання або неналежне виконання платіжних операцій та/або за заподіяну шкоду.
Згідно з пунктом 140 Розділу VІІ Постанови Національного банку України від 29.07.2022 №164 "Про затвердження Положення про порядок емісії та еквайрингу платіжних інструментів", користувач зобов'язаний не повідомляти та іншим чином не розголошувати індивідуальну облікову інформацію та/або іншу інформацію, що дає змогу ініціювати платіжні операції, та негайно після того, як йому стало відомо про факт втрати такої інформації та/або платіжного інструменту, повідомити про це емітента в спосіб та каналами зв'язку, визначеними договором між емітентом та користувачем. До моменту повідомлення емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації ризик збитків від виконання неналежних платіжних операцій та відповідальність за них покладаються на користувача. З моменту повідомлення користувачем емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації ризик збитків від виконання неакцептованих/неналежних платіжних операцій та відповідальність покладаються на емітента. Момент, з якого настає відповідальність емітента, має бути чітко визначений умовами договору, укладеного між користувачем та емітентом.
Відповідно до пунктів 16-17 Розділу І Положення про порядок емісії та еквайрингу платіжних інструментів власник рахунку здійснює контроль за рухом і цільовим використанням коштів за операціями з використанням платіжних інструментів. Користувач здійснює контроль за використанням платіжного інструменту для проведення операцій.
Згідно з пунктами 143-144 Розділу VІІ Положення про порядок емісії та еквайрингу платіжних інструментів надавач платіжних послуг у разі виконання помилкової платіжної операції з рахунку неналежного платника, якщо власник рахунку/держатель невідкладно повідомив про платіжні операції з використанням платіжного інструменту, які ним не виконувалися, зобов'язаний негайно після виявлення помилки або після отримання повідомлення (залежно від того, що відбулося раніше) переказати за рахунок власних коштів суму платіжної операції на рахунок неналежного платника. Надавач платіжних послуг зобов'язаний також відшкодувати неналежному платнику суму утриманої/сплаченої неналежним платником комісійної винагороди за виконану помилкову платіжну операцію (за наявності такої комісійної винагороди). Надавач платіжних послуг повинен сприяти власнику рахунку/держателю в поверненні коштів за неналежною платіжною операцією з використанням платіжного інструменту шляхом негайного надання доступної йому інформації про таку операцію (без стягнення плати), уключаючи інформацію, отриману на його запит від надавача платіжних послуг, що обслуговує неналежного отримувача.
Пунктом 150 Розділу VІІ Положення про порядок емісії та еквайрингу платіжних інструментів передбачено, що емітент має право прийняти рішення про зупинення здійснення операцій з використанням певного платіжного інструменту, а також про вилучення платіжного інструменту за наявності обставин, що можуть свідчити про незаконне його використання та/або його реквізитів, значно збільшеного ризику неспроможності користувача виконати своє зобов'язання щодо сплати кредиту та процентів за ним, в інших випадках, установлених договором.
Таким чином, крім функцій розрахунково-касового обслуговування клієнта банк також виконує й функцію зберігання його грошових коштів, які перебували на поточному рахунку, і несе відповідальність за безпеку власної платіжної системи, а значить і грошових коштів. Зазначений висновок узгоджується із правовою позицією Верховного Суду, викладеного в постанові від 21.06.2023 у справі №922/4091/19.
Судом встановлено, що 02.09.2024 невстановленими особами здійснено несанкціонований доступ до системи дистанційного банківського обслуговування "Приват24Бізнес", який належить ФОП Черняк В.С. та з її банківського рахунку, здійснено несанкціоноване списання грошових коштів двома платежами на загальну суму 90 999 грн.
Наведені обставини підтверджується сформованими за допомогою банківського сервісу платіжними інструкціями № 51, дата складання 02.09.2024 18:14 год. та № 52, дата складання 02.09.2024 18:15, відповідно до яких на рахунок одержувача ФОП Кущак Ірини Андріївни здійснено транзакцію грошових коштів на суму 78 090 грн та 12 909 грн, з призначенням платежу - сплата за ковбасні вироби зг. накладної № 8829 від 27.08.2024.
Апеляційний господарський суд в даному випадку приймає до уваги те, що факт несанкціонованого зняття коштів з рахунку позивача підтверджено і АТ КБ "Приватбанк" в листі від 19.09.2024 за № 20.1.0.0.0/7-240918/86933.
При цьому апеляційний господарський суд зважає на правову позицію, Верховний Суд у постанові від 21.04.2021 у справі №751/6050/18, згідно із якою саме на банк, який є професійним учасником ринку надання банківських послуг, покладено обов'язок доведення того, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. Відповідно, вимоги до рівня та розумності ведення справ банком є вищими, ніж до споживача - фізичної особи, яка зазвичай є слабшою стороною у цивільних відносинах з такою кредитною установою. З врахуванням наведеного, всі сумніви та розумні припущення мають тлумачитися судом саме на користь такої слабшої сторони.
Окрім того, Верховний Суд у постанові від 20.07.2022 у справі №521/20764/20 надав правовий висновок, що саме банк має доводити, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції; у разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів; сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
Разом з тим, суд апеляційної інстанції погоджується з висновком суду першої інстанції, що відповідачем не доведено існування обставин умисного або з необережності розголошення реквізитів банківського рахунку позивача, інших дій або бездіяльності позивача, що призвели до несанкціонованого доступу невстановлених осіб до банківського рахунку позивача, та не підтвердив належними і допустимими доказами обставин, які б безспірно доводили, що позивач, як користувач банківського рахунку, своїми діями чи бездіяльністю сприяв у доступі до відомостей по банківському рахунку, акаунту чи інтернет додатку "Приват-24 для бізнесу", незаконному використанню ПІН-коду або іншої інформації, яка дала змогу ініціювати спірну платіжну операцію.
З огляду на викладене, суд апеляційної інстанції дійшов висновку, що всупереч положень статей 67, 68 Закону України "Про платіжні послуги", банк не запровадив систему захисту інформації, що мала забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання, а також не запровадив посилену ідентифікацію користувача (позивача), яка мала забезпечити виявлення несанкціонованого доступу до платіжної операції позивача.
Як вказано в постанові Верховного Суду від 23.04.2025 у справі № 910/3176/24, лише наявність обставин, які безспірно доводять, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, є підставою для притягнення такого користувача до цивільно-правової відповідальності - в усіх інших випадках відповідальність покладається на банк.
В разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів.
Сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
За відсутності належних та допустимих доказів сумніви та припущення мають тлумачитися переважно на користь споживача, який зазвичай є "слабкою" стороною у таких цивільних відносинах, правові відносини споживача з банком фактично не є рівними.
Аналогічні правові висновки викладені, зокрема у постанові Верховного Суду України від № 176/1445/22 від 16.08.2023, а також від 13.05.2015 у справі № 6-71цс15 та неодноразово підтверджені Верховним Судом, зокрема у постановах від 23.01.2018 у справі № 202/10128/14-ц, від 18.04.2018 у справі № 190/926/16-ц, від 20.06.2018 у справі № 320/1169/16-ц, від 22.11.2018 у справі № 712/2283/16-ц, від 05.12.2018 у справі № 754/15020/15-ц, від 17.07.2019 у справі №571/841/16-ц, від 13.09.2019 у справі № 501/4443/14-ц, від 02.10.2019 у справі № 182/3171/16, від 16.10.2019 у справі № 676/2792/16-ц, від 20.11.2019 у справі № 210/245/18-ц, від 05.12.2019 у справі № 168/613/16-ц, від 23.01.2020 у справі № 179/1688/17, від 07.10.2020 у справі № 748/1418/19.
Також, апеляційний господарський суд враховує правову позицію, викладену у постанові Верховного Суду від 21.06.2023 у справі №922/4091/19 стосовно того, що Закон "Про основні засади забезпечення кібербезпеки України" покладає на банки обов'язок з забезпечення кібербезпеки. Саме Банк відповідає за безпеку здійснення електронних платежів. Несанкціоноване списання коштів поза волею клієнта, свідчить про несанкціоноване втручання в систему здійснення банківських платежів, яка належить Банку, з боку третіх осіб. Несанкціоноване списання коштів з рахунку позивача є не просто помилковим платежем, а інцидентом кібербезпеки, який мав бути зафіксований та розслідуваний Банком відповідно до приписів Закону "Про основні засади забезпечення кібербезпеки України".
З огляду на викладене правомірним є висновок господарського суду міста Києва про задоволення позову.
Європейський суд з прав людини у рішенні від 10.02.2010 у справі "Серявін та інші проти України" зауважив, що згідно з його усталеною практикою, яка відображає принцип, пов'язаний з належним здійсненням правосуддя, у рішеннях, зокрема, судів мають бути належним чином зазначені підстави, на яких вони ґрунтуються. Хоча пункт 1 статті 6 Конвенції зобов'язує суди обґрунтовувати свої рішення, його не можна тлумачити як такий, що вимагає детальної відповіді на кожний аргумент. Міра, до якої суд має виконати обов'язок щодо обґрунтування рішення, може бути різною залежно від характеру рішення.
У справі "Трофимчук проти України" (№ 4241/03, §54, ЄСПЛ, 28 жовтня 2010 року) Європейський суд з прав людини також зазначив, що хоча пункт 1 статті 6 Конвенції зобов'язує суди обґрунтовувати свої рішення, це не може розумітись як вимога детально відповідати на кожен довід.
Колегія суддів апеляційної інстанції з огляду на викладене зазначає, що учаснику справи надано вичерпну відповідь на всі істотні питання, що виникають при кваліфікації спірних відносин як у матеріально-правовому, так і у процесуальному сенсах.
Висновки суду апеляційної інстанції за результатами розгляду апеляційної скарги
Відповідно до вимог статті 269 ГПК України суд апеляційної інстанції переглядає справу за наявними у ній і додатково поданими доказами та перевіряє законність і обґрунтованість рішення суду першої інстанції в межах доводів та вимог апеляційної скарги. Суд апеляційної інстанції досліджує докази, що стосуються фактів, на які учасники справи посилаються в апеляційній скарзі та (або) відзиві на неї.
Згідно пункту 1 частини першої статті 275 ГПК України суд апеляційної інстанції за результатами розгляду апеляційної скарги має право залишити судове рішення без змін, а скаргу без задоволення.
Згідно зі статтею 276 ГПК України суд апеляційної інстанції залишає апеляційну скаргу без задоволення, а судове рішення без змін, якщо визнає, що суд першої інстанції ухвалив судове рішення з додержанням норм матеріального і процесуального права.
Перевіривши рішення суду першої інстанції в межах вимог та доводів апеляційної скарги, встановивши, що відповідні доводи щодо наявності підстав для скасування оскаржуваного рішення не знайшли свого підтвердження, колегія суддів дійшла висновку про відсутність підстав для задоволення апеляційної скарги.
Судові витрати
З огляду на те, що суд апеляційної інстанції залишає апеляційну скаргу без задоволення, судовий збір за подання апеляційної скарги в порядку статті 129 ГПК України, покладається на скаржника.
Керуючись ст.ст. 129, 269, 275, 276, 281, 282, 284 ГПК України, Північний апеляційний господарський суд
Апеляційну скаргу Акціонерного товариства Комерційний банк "Приватбанк" залишити без задоволення.
Рішення господарського суду міста Києва від 03.02.2025 у справі № 904/4408/24 залишити без змін.
Судові витрати по сплаті судового збору за подання апеляційної скарги покласти на скаржника.
Матеріали справи повернути до суду першої інстанції.
Постанова суду апеляційної інстанції набирає законної сили з моменту її ухвалення і може бути оскаржена до Верховного Суду у порядку та строк, передбачений ст.ст. 287-289 ГПК України.
Головуючий суддя І.П. Ходаківська
Судді С.В. Владимиренко
А.М. Демидова