30 вересня 2025 року справа №320/12802/23
Київський окружний адміністративний суд у складі колегії суддів: головуючої судді Василенко Г.Ю., суддів: Панової Г.В., Лисенко В.І., розглянувши за правилами загального позовного провадження (у письмовому провадженні) адміністративну справу за позовною заявою Товариства з обмеженою відповідальністю «Є-ПЕЙ» до Національного банку України про визнання протиправним та скасування рішення,
До Київського окружного адміністративного суду звернулось Товариство з обмеженою відповідальністю «Є-ПЕЙ» (далі - позивач, Товариство) з позовною заявою до Національного банку України (далі - відповідач, НБУ), в якій просить визнати протиправним та скасувати рішення від 20.03.2023 № 21/495-рк.
Позовні вимоги обґрунтовані тим, що спірне рішення відповідача є протиправними та підлягає скасуванню, оскільки не відповідає критеріям правомірності, закріпленим у частині другій статті 2 Кодексу адміністративного судочинства України, оскільки позивачем не вчинялися правопорушення, які стали підставою для прийняття такого спірного акта індивідуальної дії. Крім того представником позивача зазначено, що спірним рішенням до позивача застосовано штраф за порушення вимог пункту 2 частини 2 статті 18 Закону №361-ІХ, у той час, як за результатами безвиїзного нагляду встановлено порушення частини 1 статті 18 Закону № 361-ІХ, що додатково свідчить про протиправність спірного рішення. Більше того, представник позивача наголосив, що зі змісту спірного рішення неможливо встановити, у чому саме полягає невідповідність затверджених позивачем Правил фінансового моніторингу вимогам чинного законодавства. Натомість вважає твердження відповідача про неврахування позивачем в Правилах фінансового моніторингу характеру діяльності Установи, видів клієнтів, що користуються послугами Установи та географічного розташування Установи такими, що мають абстрактний і неконкретний характер та не свідчить про порушення позивачем частини першої статті 8 Закону № 361-IХ. Зокрема, у спірному рішенні не вказано, який саме характер діяльності позивача, відповідно до типологічних досліджень СФМУ та результатів НОР не було враховано в Правилах фінансового моніторингу та що саме, на думку відповідача повинно було б бути зазначено в Правилах фінансового моніторингу позивача щоб вони відповідали характеру діяльності Установи відповідно до типологічних досліджень ДСФМУ та результатів НОР. Також, в оскаржуваному рішенні не вказано, в чому саме полягає невідповідність критеріїв ризику, які встановлені для ризик-профілю Установи та які визначені у додатку 4 до Правил фінансового моніторингу позивача до видів клієнтів, що користуються послугами позивача та до її географічного розташування.
Ухвалою Київського окружного адміністративного суду від 24.04.2023 відкрито провадження в адміністративній справі за правилами загального позовного провадження, розпочато підготовку справи до судового розгляду та призначено підготовче засідання.
Ухвалою Київського окружного адміністративного суду від 31.08.2023 закрито підготовче провадження у справі та призначено справу до судового розгляду колегією суддів по суті.
Представником відповідача подано до суду письмовий відзив на позов, в якому зазначено, що спірне рішення прийняте відповідачем на підставі, в межах повноважень та у спосіб, що передбачені Законом № 361-ІХ, внаслідок виявлення порушення у вигляді незабезпечення належної організації внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу, отже спірне рішення є правомірними та скасуванню не підлягають.
Розглянувши у письмовому провадженні подані сторонами (їх представниками) документи та матеріали, з'ясувавши фактичні обставини справи, на яких ґрунтується позов, оцінивши докази, які мають значення для розгляду справи і вирішення спору по суті, суд встановив таке.
Національним банком України проведено безвиїзний нагляд з питань фінансового моніторингу з питань дотримання Товариством (Установа) вимог законодавства, що регулює відносини у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - законодавство в сфері ПВК/ФТ), за результатами якого складено акт від 05.10.2022 (далі - Акт).
Зі змісту Акту вбачається таке.
Станом на дату здійснення безвиїзного нагляду Установою розроблені внутрішні документи з питань ПВК/ФТ, які затверджені наказом Директора Установи від 22.06.2021 №6-ФМ, зокрема Правила фінансового моніторингу (далі - Правила). Однак, за результатами перевірки встановлено, що Правила містять лише загальні норми, не врахують особливостей, напрямів та специфіки діяльності Установи, клієнтської бази, видів продуктів та послуг та не відповідають окремим вимогам законодавства з питань ПВК/ФТ, є недієвими, а також не враховують рекомендації FATF, результати національної оцінки ризиків та типологічних досліджень спеціально уповноваженого органу.
Встановлено, що методика оцінки ризик-профілів клієнтів, яка викладена у додатку 5 до Правил та у розділі ІІІ Правил, не відповідає вимогам пунктів 53, 55 розділу IV Положення №107 та є формальною та недієвою, зокрема, не передбачає алгоритми, що містять кількісні та/або якісні характеристики, які надають можливість виявити і встановити наявність відповідного критерію ризику. притаманного клієнту і діловим відносинам із ним (фінансовій операції без встановлення ділових відносин), зокрема. з урахуванням критерію ризику дроблення фінансової операції - штучну структуризацію (ділення) суми фінансової операції, граничний розмір якої визначений відповідними вимогами та обмеженнями, передбаченими законодавством з питань ПВК/ФТ, на кілька пов'язаних між собою фінансових операцій, що здійснюються на менші суми, з метою уникнення певних порогових значень/вимог, визначених законодавством з питань ПВК/ФТ.
Розділом III додатку 4 до Правил передбачено методику оцінки ризик-профілю Установи, яка складається лише з таких пунктів:
1. Ризик Компанії середній, якщо ризик-профілю притаманні 1-4 критерію середнього рівня ризику та у лінійці послуг/продуктів відсутні послуги/продукти високого ризику.
2. Ризик Компанії високий, якщо ризик-профілю притаманні 5-7 критеріїв середнього ризику з будь-якої групи або є щонайменше 1 критерій високого ризику та хоча б один та у лінійці послуг/продуктів наявні послуги/продукти високого ризику.
3. Ризик Компанії неприйнятно високий, якщо ризик профілю притаманні 3-4 критерія високого ризику з будь-якої групи та у ліній і послуг/продуктів наявні послуги/продукти високого ризику».
Водночас, у додатку 4 до Правил та у самих Правилах відсутня інформація стосовно бальних оцінок, вагових коефіцієнтів, інформація стосовно розрахунку таких значень.
При цьому вбачається, що методика оцінки ризик-профілю Установи, визначена у розділі ІІ додатку 4 до Правил, не дає можливості визначити ризик Установі у разі притаманності їй 1, 2 критерія високого ризику та відсутності у лінійці Установи послуг/продуктів високого ризику.
Отже, Установі необхідно розробити модель оцінки ризиків (за потреби скорингову ризик-модель) ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом, яка відповідатиме вимогам Положення № 107.
Установою порушено вимоги частини 1 статті 8 Закону про ПВК/ФТ в частині неналежного виконання обов'язку Установи розробляти, впроваджувати та оновлювати правила фінансового моніторингу, програми проведення фінансового моніторингу та інших внутрішніх документів з питань фінансового моніторингу, а також незабезпечення процедур, достатніх для забезпечення ефективного управління ризиками та для запобігання використанню послуг та продуктів Установи для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму фінансування розповсюдження зброї масового знищення.
НБУ було зроблено висновок, що зазначені у Звіті 2022 та Додатку 1 до нього розрахунки та висновки не дозволяють забезпечити виявлення, ідентифікацію наявних та потенційних ризиків ВК/ФТ Установи, здійснити належну їх оцінку та, відповідно, здійснити оцінку/переоцінку ризик-профілю Установи та ризик-профілю клієнтів, а також визначити заходи, які необхідно вжити з метою мінімізації ризиків ВК/ФТ.
За результатами безвиїзного нагляду виявлено порушення вимог частини 1 статті 8 Закону про ПВК/ФТ щодо розробки внутрішніх документів з питань ПВК/ФТ Установи пов'язане, зокрема, із: невраховуванням результатів НОР, типологій ДСФМУ, специфіки власної діяльності, клієнтської бази, видів продуктів та послуг; відсутністю в Правилах опису визначення ризик-апетиту Установи у сфері ПВК/ФТ та порядку вжиття заходів з метою мінімізації ризиків ВК/ФТ, що передбачене підпунктом 4 пункту 23 розділу ІІІ Положення № 107; відсутністю в Правилах вимог, передбачених пунктом 41 розділу IV Положення № 107, відповідно до якого установа під час визначення свого ризик-профілю зобов?язана також ураховувати наявність і характер санкцій, які до неї застосовані; визначенням у Правилах критеріїв ризику, притаманних ризик-профілю Установи та ризик-профілю клієнтів, що є загальними та носять формальний характер.
Також НБУ встановлено, що віртуальним платіжним терміналам, що використовуються Установою, банками-еквайрами присвоєний МСС-7994-відеоігри, а згідно з наданою Установою інформацією вона здійснює р2р перекази. При цьому, відповідно до інформації, наявної у відкритих джерелах Установа не є розробником або продавцем відеоігор та серед її клієнтів відсутні особи, що є розробниками або продавцями відеоігор.
Отже здійснені Установою р2р перекази в міжнародних платіжних системах Visa та MasterCard кодуються як оплата відеоігор. Зазначене може свідчити про високий ризик використання послуг Установи для легалізації кримінальних доходів/фінансування тероризму та маскування фактичної суті проведених фінансових операцій використовуючи технологію р2р переказів.
Також встановлено, що визначений Установою у Правилах індикатор «Ознаки пов?язаності переказів», що використовуються для моніторингу р2р переказів, теоретично навіть не може бути досягнутий з огляду на встановлені Установою ліміти за операціями з використанням ЕПЗ. Водночас, за результатами вибіркового аналізу наданої Установою інформації виявлені факти здійснення регулярних фінансових операцій з р2р переказів, що перевищують, визначені Правилами, індикатори (зокрема «Ознаки пов'язаності переказів») та ліміт платежу від одного платника на користь одного отримувача.
Отже наявні заходи Установи з управління ризиками ВК/ФТ не мінімізують достатнім чином ризики використання її послуг щодо обслуговування незаконної діяльності, зазначеної в НОР, рекомендаціях FATF та типологіях ДСФМУ, як наслідок МПС VISA було зафіксовано б випадків порушень. а МПС MasterCard 1 випадок порушення та накладені штрафні санкції до банків-еквайєрів за проведені через термінали, що використовуються Установою, фінансові операції, які в подальшому були списані банками з рахунків Установи.
За результатами аналізу наданих Установою документів, інформації щодо управління ризиками, пов'язаними із запровадженням чи використанням нових та існуючих інформаційних продуктів, ділової практики або технологій, у тому числі таких, що забезпечують проведення фінансових операцій без безпосереднього контакту з клієнтом, оцінки/переоцінки ризиків, у тому числі притаманних її діяльності, документування їх результатів, а також підтримки в актуальному стані інформації щодо оцінки ризиків, притаманних її діяльності (ризик-профіль Установи), встановлено, зокрема, що:
- Установою не здійснено належного виконання обов'язку застосовувати ризик-орієнтований підхід при оцінці ризик-профілю Установи, зазначені у Звіті 2022 та Додатку 1 до нього, розрахунки та висновки не дозволяють забезпечити виявлення, ідентифікацію наявних та потенційних ризиків ВК/ФТ Установи, здійснити належну їх оцінку та, відповідно, здійснити оцінку/переоцінку ризик-профілю Установи та ризик-профілю клієнтів, а також визначити заходи, які необхідно вжити з метою мінімізації ризиків ВК/ФТ;
- високий ризик використання послуг Установи для легалізації кримінальних доходів/фінансування тероризму та маскування фактичної суті проведених фінансових операцій;
- застосування санкцій МПС Visa та MasterCard, в зв'язку з істотним ризиком використання послуг Установи для маскування фактичної мети здійснюваних через неї фінансових операцій;
- в Установі відсутні дієві інструменти для запобігання/унеможливлення багаторазового, у великих обсягах проведення фінансових операцій (діяльності), щодо яких є підозри у використанні Установи для ВК/ФТ чи вчинення іншого злочину.
Таким чином Установою порушено вимоги абзацу 2 частини 2 статті 7 та пункту 25 частини 2 статті 8 Закону про ПВК/ФТ в частині неналежного виконання Установою обов'язку здійснювати оцінку/переоцінку ризиків, у тому числі притаманних її діяльності, документувати їх результати, а також підтримувати в актуальному стані інформацію щодо оцінки ризиків, притаманних її діяльності (ризик-профіль суб'єкта первинного фінансового моніторингу, а також здійснювати управління ризиками, пов'язаними із запровадженням чи використанням нових та існуючих інформаційних продуктів, ділової практики або технологій, у тому числі таких, що забезпечують проведення фінансових операцій без безпосереднього контакту з клієнтом.
Також встановлено, що Установа всупереч наданій інформації щодо визначених індикаторів та встановлених лімітів забезпечила проведення фінансових операцій з переказу коштів за наявності ознак пов'язаності з іншими фінансовими операціями, що в сумі перевищують 30 тисяч гривень, та не забезпечила супроводження вищезазначених переказів інформацією про платника (ініціатора переказу) та отримувача.
В акті НБУ вказано, що відносно Товариства вже проводилась планова виїзна перевірка з питань дотримання вимог законодавства у сфері ПВК/ФТ, за результатами яких встановлено нездійснення Установою управління ризиками з урахуванням результатів вивчення послуг, що надаються клієнту та аналізу операцій, проведених ним, та було пов'язано з проведенням Установою протягом одного дня значної кількості послідовних фінансових операцій з переказу коштів на значні суми (більше 150 тис. грн.) із використанням одного ідентифікатора ініціатора переказу. Також виявлено порушення, що полягало у неналежному виконанні обов'язку здійснювати вивчення клієнта. Також вказано про проведення відносно позивача аналізу статистичної звітності, внаслідок якого встановлено, що специфіка діяльності Установи протягом значного періоду часу не змінюється та направлена на обслуговування грошових потоків, що мають значний ризик використання послуг Установи з протиправною метою. Внутрішня система фінансового моніторингу Установи дозволяє приймати на обслуговування клієнтів, що за своєю суттю є ідентичними як за ознаками фіктивності так і за змістом надаваних послуг тим клієнтам, яким Установа раніше відмовляла після отримання запитів від Національного банку. При цьому, виявлено порушення Установою вимог частини першої статті 11 Закону № 1702-VII, що полягає у неналежному виконанні Установою обов'язку щодо управління ризиками, та свідчать про високий ризик використання послуг Установи для легалізації кримінальних доходів/фінансування тероризму.
Також, Установою порушено вимоги пунктів 1 та 2 частини першої статті 14 Закону про ПВК/ФТ у редакції, що діяла на момент вчинення порушення, в частині не супроводження переказу інформацією про платника (ініціатора переказу) та отримувача (61 випадок).
Внаслідок безвиїзного нагляду встановлено, що Установою порушено вимоги пункту 2 частини другої статті 8 Закону про ПВК/ФТ у частині у невиконання обов'язку забезпечити належну організацію та проведення первинного фінансового моніторингу.
Товариством 21.10.2022 подано НБУ обґрунтовані заперечення щодо обставин, фактів і висновків, викладених в Акті.
Стосовно обставин/фактів/висновків щодо відсутності бальних оцінок у застосовуваній методиці оцінки ризику Установи, неврахування результатів Національної оцінки ризиків позивачем зазначено, що протягом 2020-2021 року діяльність Установи суттєво змінилась внаслідок дії об'єктивних зовнішніх факторів. Початок пандемії COVID-19 змістив тенденції користувацької поведінки споживачів послуг з переказу коштів в бік росту попиту саме на послуги Р2P-переказів. Установа відмовилась від розвитку напрямів діяльності, пов'язаних з обслуговуванням е-commerce і фактично надавала виключно послуги Р2Р-переказів. Спрощення продуктової лінійки Установи, звуження географії надання послуг (виключно перекази на картки українських банків-емітентів та концентрація на наданні послуг виключно клієнтам - фізичним особам (платникам та отримувачам переказів), призвело до унеможливлення застосування на практиці складних моделей оцінки ризику Установи. У зв'язку з цим, під час затвердження нової редакції Правил фінансового моніторингу Установи від 21.06.2021, методика оцінки була переглянута, що передбачало наявність вагових коефіцієнтів у вигляді визначення у відсотках діапазонів категорій ризику для повних параметрів діяльності, зокрема, відсотку високоризикових клієнтів, розподілу джерел фінансування бізнесу, а також додані елементи експертного оцінювання абсолютних значень (обіг коштів, який забезпечується Установою), бінарних показників «так/ні» (типи контрагентів, держави реєстрації клієнтів та фінансових установ, надання ліцензійних або супутніх послуг тощо).
При цьому, при застосуванні бінарних показників у критеріях «Контрагенти, за участю яких Компанія проводить дії з активами», «Географічне розташування Компанії, географічне розташування держави реєстрації Клієнтів або установ, через які Компанія здійснює передавання (отримання) активів», повністю враховані результати Національної оцінки ризиків, та передбачено встановлення високого рівня ризику за цими критеріями, при наявності серед контрагентів, партнерів та клієнтів Установи осіб-нерезидентів, зокрема, осіб (установ) що мають реєстрацію або місцезнаходження у державах (на територіях) що не виконують рекомендації FATF, або які мають стратегічні недоліки у сфері ПВК/ФТ (відповідно до заяв ФАТФ), на територіях яких наявні військові конфлікти, терористичні групи та/або організації. Переліки таких держав (юрисдикцій) наведені у додатку 15 до Правил фінансового моніторингу, тому за текстом правил використовується узагальнений термін «Переліки».
Таким чином, засоби і методи оцінювання ризику Установою були диверсифіковані та максимально наближені до реальної діяльності Установи з метою здійснення якісної оцінки ризик-профілю Установи.
Стосовно критеріїв ризику продуктів та послуг Установи позивачем зазначено, що протягом 2020 та І півріччя 2021 року Установа розробила та ввела в дію систему автоматизації фінансового моніторингу, невід'ємною частиною якої є система онлайн-моніторингу переказів, яка застосовується, зокрема, з метою зниження ризиків, притаманних продуктам та послугам Установи, та передбачає постійну взаємодію з іншими надавачами послуг переказу - суб'єктами первинного фінансового моніторингу, в яких запроваджені аналогічні стандарти протидії ризикам ВК/ФТ. На відміну від готівкових переказів, при здійсненні Р2P-переказів учасники фінансової операції завжди є клієнтами певних банківських установ, де їм відкриті рахунки, до яких емітовані електронні платіжні засоби (далі - «ЕП3»). Стосовно цих осіб вже проведені заходи належної перевірки, а фінансова поведінка є предметом аналізу та вивчення банківською установою. Установа як посередник у переказі коштів протягом періоду перевірки не отримувала від банків-емітентів ЕПЗ звернень щодо підозрілої діяльності клієнтів-учасників переказу, здійснення шахрайських операцій або захисту прав споживачів.
Отже, з урахуванням змін у зовнішньому середовищі та сучасних умов роботи на ринку платіжних послуг України, а також завдяки заходам, що розроблені та на постійній основі застосовуються Установою з метою обмеження ризику продуктів та послуг Установи, під час затвердження 21.06.2021 нової редакції методики оцінки ризик-профілю Установи для послуг Р2P-переказів встановлена дворівнева шкала оцінки ризиків, яка складається із низького та середнього рівня ризиків, за умови дії сумарних та кількісних обмежень, встановлених статтею 14 Закону про запобігання. Якщо обмеження та вимоги статті 14 Закону про запобігання не застосовуються або виявлені факти порушень вимог зазначеної статті, оцінка ризику послуги P2P-переказів та інших послуг, що надаються онлайн, набуває значення «високий».
Стосовно невизначеного ризик-апетиту позивачем зазначено, що відповідно до визначення, наведеного у пункті 41 частини п'ятої розділу І Положення про здійснення Установами фінансового моніторингу від 28.07.2020 № 107: ризик-апетит (схильність до ризику) установи у сфері ПВК ФТ - величина ризику ВК/ФТ, визначена наперед та в межах прийнятного рівня ризику ВКФТ, щодо якої установа прийняла рішення про доцільність/необхідність її утримання з метою досягнення її стратегічних цілей.
У абзаці третьому пункту 1.2 частини 1 розділу III Правил фінансового моніторингу Установи від 21.06 2022 визначений спосіб встановлення ризик-апетиту Установи: «На підставі здійсненої оцінки ризик-профілю та з урахуванням доступних для здійснення Компанією заходів з управління ризиками відмивання коштів/фінансування тероризму, визначається ризик-апетит Компанії у сфері відмивання коштів/фінансування тероризму, як інтегрований показник ступеню ризику, притаманного Компанії відповідно до профілю її діяльності та фактичної структури клієнтської бази за рівнями ризику».
У абзаці другому пункту 1.5 частини першої розділу ІІІ Правил фінансового моніторингу Установи від 21.06.2022 визначений прийнятний для Установи рівень ризику клієнтів та установи: «Прийнятним вважається рівень ризику, оцінений за методиками, наведеними у додатках 4, 5 до даних Правил, який приймає значення «низький» або «середній»». Отже результати інтегрованої оцінки ризиків за 2020 та 2021 роки встановлені на рівні «середній», що є прийнятним рівнем відповідно до затверджених Правил фінансового моніторингу.
Стосовно використання коду категорії торговця 7994 позивачем зазначено, що основний обсяг операцій з переказу коштів, які здійснюються Установою починаючи з IV кварталу 2020 року, відноситься до т.з. P2Р-переказів (код призначення - «перекази для зарахування на рахунки фізичних осіб»). Будь-який Р2Р-переказ ініціюється шляхом використання платником (ініціатором) ЕП3 та завершується шляхом зарахування на рахунок отримувача, до якого прив'язаний ЕПЗ отримувача. Таким чином, операція P2P-переказу складається з двох етапів: 1) списання коштів з ЕПЗ платника; 2) зарахування коштів на рахунок отримувача за номером ЕПЗ отримувача. Для виконання 1-го із зазначених етапів Установа використовує дві технології МПС Visa та Mastercard, які у практиці платіжного ринку України прийнято називати «інтернет-еквайринг» та «Card2Account». З метою отримання доступу до таких технологій Установа уклала відповідні договори з банками та іншими фінансовими установами. При цьому, договори інтернет-еквайрингу (зокрема, зазначені в Акті Договір інтернет-еквайрингу з АТ «АКБ КОНКОРД» №92.15.000112/2 від 12.03.2018, Договір інтернет-еквайрингу з АТ «БАНК ФОРВАРД» №18 від 29.11.2018, Договір з АТ «КІБ» №КІБ-А-9 від 06.04.2020) здебільшого укладалися Установою у період часу до IV кварталу 2020 року, коли Установа дійсно мала намір приймати платежі, в тому числі, у якості поповнення онлайн-ігор (не азартних ігор) на користь відповідних суб'єктів господарювання - клієнтів Установи або через відповідні сервіси внутрішньодержавних платіжних систем, учасником яких є Установа.
Таким чином, віртуальним платіжним терміналам, які реєструвалися в МПС банками-контрагентами Установи з метою забезпечення діяльності по відповідним договорам інтернет-еквайрингу з Установою, присвоювався, в тому числі, МСС 7994, який відповідає опису «відеоігри, азартні ігри».
Установа продовжила використовувати зазначені платіжні термінали після зміни вектору діяльності для забезпечення 1-го етапу (списання коштів з ЕПЗ відправників) у Р2P-переказах. Отже, Установа не вбачає порушення у проведенні Р2Р-переказів, кодованих МСС 7994, з точки зору виконання вимог у сфері ВК/ФТ.
Окрім того позивач зауважив, що Установа не реєструє самостійно платіжні термінали в МПС, не встановлює їм коди МСС й взагалі немає ніяких повноважень щодо провадження діяльності з обробки операцій з ЕПЗ в МПС, крім як через банк-еквайр. Після того, як у ході проведення безвиїзного нагляду Національного банку, Установі стали відомі факти щодо використання невідповідного МСС на платіжних терміналах, які використовуються Установою, Установою було розпочато процес взаємодії з банками-контрагентами щодо внесення змін до МСС платіжних терміналів (або заміни платіжних терміналів на нові, з іншим МСС), а також внесення відповідних змін до договорів інтернет-сквайрингу. На даний час цей процес здебільшого завершений.
Стосовно штрафних санкцій МПС до Установи позивач повідомив, що кожен факт з надходження штрафних санкцій від МПС є помилковим. Установа вважає, що приводом для накладення штрафів можуть бути чітко підтверджені, обґрунтовані та зафіксовані відповідним чином факти порушень у діяльності Установи. Водночас, використання з боку МПС формулювань накшталт «потенційно здійснював обробку недопустимих операцій» або «можлива невідповідність правилам», використання системи МАТСН без підтвердження/контролю результатів її роботи співробітниками МПС, винесення з боку МПС одностороннього рішення щодо накладення штрафу без можливості його обґрунтованого заперечення, відмова МПС надавати будь-яку інформацію щодо операцій, які вважаються неналежними, - є неприпустимим порядком монопольного становища.
Умовами договорів, укладених між Установою та банками-еквайрами (укладаються на підставі типової форми договору, наданої банком), передбачено, що банк, який отримав від МПС повідомлення щодо накладення штрафу, виконує його в безумовному порядку, шляхом утримання відповідної суми штрафу з рахунку/балансу взаєморозрахунків Установи. Таким чином, в Установи відсутня будь-яка можливість заперечити проти рішення та довести відсутність своєї провини в інциденті.
Разом з тим, за зазначеними в Акті фактами накладання штрафних санкцій, з боку МПС не надано жодних доказів проведення неналежних операцій або будь-якої інформації, на підставі яких Установа хоча би могла провести внутрішній аналіз або розслідування з метою здійснення відповідних превентивних заходів у разі підтвердження такої інформації.
Додатково позивач зазначив, що процедура «заведення та перевірки торговця TRANSFERPAY в системі МАТСН», факт ніби порушення якої наведено в Акті, - знаходиться в компетенції банку (контрагента Установи), а не самої Установи, тому така претензія взагалі не мала б висуватися до Установи. У будь-якому разі, наведення фактів порушень та накладених з боку МПС штрафів, що не підтверджені жодними документами/висновками, не можуть бути підтвердженням для НБУ системних порушень Установою у сфері ВК/ФТ.
Стосовно відсутності економічної доцільності здійснення переказів між ЕПЗ, емітованих одним банком позивач вказав, що Установою розроблені веб-сайти для здійснення P2P-переказів, які мають просунутий функціонал та можливості, що дозволяють вирішити специфічні задачі як платників, так і отримувачів (наприклад, переказ коштів одночасно на декілька карток отримувачів або створення отримувачем платіжних посилань, що спрощує здійснення переказів та отримання коштів). Додаткові комісійні витрати, які несуть користувачі сайтів Установи, є виправданими через наявність функціоналу, який додає зручності під час здійснення переказів коштів.
Стосовно посилань на перевірки Установи НБУ за попередні періоди позивач наголосив, що Установою виконані всі заходи впливу за результатами Перевірки 1 та Перевірки 2. Одночасно позивач зазначив, що результати попередніх перевірок не можуть бути використані НБУ у якості аргументації, доказів або фактів, підтверджуючих будь-які порушення установою вимог ПВК/ФТ, встановлені за результатами безвиїзного нагляду, які викладені в Акті. Позивач вважає, що використання результатів попередніх перевірок з метою підтвердження нових фактів або обставин, що викладені в Акті, є юридично безпідставним та, як наслідок, може свідчити про порушення відповідних норм законодавства з боку НБУ.
Стосовно не супроводження Установою переказів унікальним номером ЕПЗ платників позивач вказав, що зарахування коштів на рахунок отримувача за номером його ЕПЗ у МПС Visa або Mastercard, що прикріплений до рахунку отримувача, здійснюється за технологіями МПС. При цьому, банк, який передає до МІС команду на зарахування коштів (за дорученням Установи, з якою у такого банку є відповідний договорі на надання послуги, яку у практиці платіжного ринку України прийнято називати «Account2Card»). Таким чином, передача банку-емітенту ЕПЗ отримувача відповідної інформації про ЕПЗ платника, покладається на банк, який надає Установі послугу Account2Card (далі - «банк-партнер по Account2Card»). Установа, якщо це передбачено протоколом технічної взаємодії з банком-партнером по Account2Card (такий протокол надається до реалізації Установі банком-партнером по Account2Card), передає банку-партнеру по Account2Card номер ЕПЗ платника під час здійснення операції з переказу коштів або окремо у вигляді реєстру/інформації іншого виду на регулярній основі або за запитом банка-партнера по Account2Card. Подальша передача номеру ЕПЗ платника від банка-партнера по Account2Card до банка-емітент ЕПЗ отримувача - знаходиться у зоні відповідальності банка-партнера по Account2Card.
Водночас, відповідно до пункту 13 статті 14 Закону про запобігання, якщо суб'єкт первинного фінансового моніторингу, що надає фінансові платіжні послуги отримувачу, під час отримання переказу виявив факт відсутності даних про платника (ініціатора) та/або отримувача, передбачених цією статтею, ... суб'єкт первинного фінансового моніторингу, що надає фінансові платіжні послуги отримувачу, повинен прийняти рішення на основі ризик-орієнтованого підходу про відхилення такого переказу або про подання запиту на отримання необхідної інформації до чи після здійснення зарахування коштів на рахунок отримувача або їх видачі отримувачу в готівковій формі.
У свою чергу позивач вказав, що Установою своєчасно надається інформація щодо ЕПЗ платника або іншої необхідної інформації щодо сторін переказу коштів, у відповідь на відповідні запити, які надходять до Установи від банків партнерів по Account2Card або від банків-емітентів ЕПЗ платників/отримувачів. Отже, Установа супроводжує перекази коштів необхідною інформацією, відповідно до вимог статті 14 Закону про запобігання (в т.ч. щодо номерів ЕПЗ платників). Установа не володіє інформацією щодо причин, через які Банк 1 та Банк 2 не отримали інформацію щодо ЕПЗ платників від банків-партнерів по Account2Card та чому у разі відсутності такої інформації Банк 1 та Банк 2 не прийняли рішення про відхилення переказів або про подання запитів на отримання необхідної інформації.
Стосовно обставин/фактів/висновків щодо звітів щодо управління ризиками за 2020 та 2021 роки позивачем зазначено, Установа продовжувала затверджувати у Звітах з управління ризиками заходи з управління ризиками на майбутні періоди для клієнтів, з якими встановлені ділові відносини, попри незначну частку фінансових операцій таких клієнтів у загальній сумі проведених операцій переказу за звітні періоди. Обсяг та характер цих заходів визначався відповідно до вірогідності настання ризиків під час обслуговування зазначеного сегмента клієнтів. Враховуючи обставини/факти/висновки, отримані Установою від Національного банку під час здійснення нагляду у попередні періоди, Установа протягом 2020 та 2021 років не укладала ділових відносин з клієнтами середнього та високого рівня ризику, тому на 2021 та 2022 були заплановані типові заходи з управління ризиками відповідно до обов'язків, покладених на Установу Законом про запобігання.
Заходи щодо управління ризиками фінансових операцій, які проводяться без укладання ділових відносин, здійснюються Установою на постійній основі в режимі ‹24/7» відповідно до вимог статті 14 Закону про запобігання та, на думку Установи, не потребують окремого планування на майбутні періоди.
Стосовно виявлених НБУ фактів дроблення клієнтами фінансових операцій позивач зазначив, що в Акті наведені приклади здійснення кількох пов'язаних фінансових операцій переказу коштів. Критерієм пов'язаності визначені номери ЕПЗ платника та отримувача, повторюваність яких надає підстави підозрювати умисне дроблення фінансової операції - штучну структуризацію (ділення) суми фінансової операції, граничний розмір якої визначений відповідними вимогами та обмеженнями, передбаченими законодавством з питань ПВК/ФТ, на кілька пов'язаних між собою фінансових операцій, що здійснюються на менші суми, з метою уникнення певних порогових значень/вимог, визначених законодавством з питань ПВК/ФТ. Водночас, повторюваність сум пов'язаних фінансових операцій (14500 грн) викликана тим фактом, що банками-емітентами ЕПЗ та банками-партнерами по Account2Card станом на відповідні дати проведення фінансових операцій були встановлені власні ліміти щодо максимальної суми одного P2P-переказу. Такі ліміти були встановлені банками при фактичних вимогах чинного Закону про запобігання до супроводження Р2P-переказів додатковою інформацією про платника та отримувача від суми 30 тис. грн., що створило штучні ситуації примусового дроблення сум фінансових операцій та є проявом де-рискінгу з боку банків у відношенні до клієнтів, адже банки відмовляють клієнтам у проведення Р2Р-переказів на понадлімітну суму.
Окрім наданих пояснень позивач зазначив, що Установа є посередником у здійсненні платіжних операцій. Установа забезпечує ініціювання P2Р-переказу тільки після авторизації цієї фінансової операції на боці банку-емітента ЕПЗ. Заходи онлайн-моніторингу та аналізу маркерів підозрілості фінансових операцій здійснюються протягом певного періоду часу (доба, місяць тощо) з урахуванням всіх обставин проведення Р2P-переказу, в тому числі інформації (повідомлень, запитів тощо), отриманої від СПФМ, що обслуговують учасників переказу (платників та отримувачів) на етапах ініціювання та завершення фінансової операції. Учасниками фінансової операції з Р2P-переказу завжди є особи-власники ЕПЗ, емітованих до рахунків, відкритих цим особам у банківських установах. Стосовно клієнтів, яким відкриті рахунки та здійснюються фінансові операції, банківські установи проводять всі необхідні заходи фінансового моніторингу, зокрема, належну перевірку клієнта та моніторинг фінансової діяльності (поведінки) під час користування рахунками. За наявності підозр щодо фінансової діяльності клієнтів банки мають право зупиняти фінансові операції або відмовляти в проведенні фінансових операцій (підтриманні ділових відносин). У випадку зупинення або відмови від проведення фінансових операцій, відмови у підтриманні ділових відносин, особа-власник рахунку та ЕПЗ до цього рахунку втрачає можливість здійснення вхідних/вихідних фінансових операцій, в тому числі P2P-переказів. Крім того, СПФМ наділені повноваженнями, відповідно до Закону про запобігання, здійснювати запити до інших СПФМ стосовно своїх клієнтів, в тому числі з метою підтвердження або спростування підозр.
Також позивач зауважив, що наразі неможливо визначити, чи мали певні P2P-перекази між зазначеними ЕПЗ ознаки ризику на момент проведення Установою заходів онлайн-моніторингу та чи були в Установи підстави для відмови платнику або отримувачу в здійсненні P2P-переказу. Проте, відсутність звернень до Установи щодо шахрайства, захисту прав споживачів фінансових послуг та сам факт можливості отримання коштів однією особою на свій рахунок протягом досить тривалого періоду (Ш кварталу 2021 року) - свідчать про відсутність у СПФМ, що обслуговує отримувача, підозр стосовно мети та характеру фінансової діяльності особи-власника ЕПЗ. Відповідно, відсутні підстави вважати, що Установа не має дієвих інструментів для запобігання/унеможливлення використання своїх послуг для ВК/Ф або вчинення іншого злочину.
На підставі Акту, НБУ було прийнято рішенням від 20.03.2023 № 21/495-рк «Про накладення штрафу на Товариство з обмеженою відповідальністю «Є-ПЕЙ»» на Товариство накладено штраф за порушення вимог пункту 2 частини другої статті 8 Закону № 361-IX у частині невиконання обов'язку забезпечити належну організацію та проведення первинного фінансового моніторингу у розмірі 64 256 900 гривень, що не перевищує 10 відсотків загального річного обороту Установи і не є більшим за 7950 тисяч НМДГ. Розмір штрафу розрахований НБУ з наявної інформації про загальний річний оборот Товариства станом на 31.12.2021, що склав 24 922 013 000,00 грн.
Зі змісту рішення вбачається, що за результатами безвиїзного нагляду встановлено незабезпечення Установою належної організації внутрішньої системи ПВК/ФТ та проведення первинного фінансового моніторингу, про що свідчать нижченаведені порушення Установою вимог:
- частини 1 статті 8 Закону № 361-IX в частині неналежного виконання обов'язку Установи розробляти, впроваджувати та оновлювати правила фінансового моніторингу, програми проведення фінансового моніторингу та інших внутрішніх документів з питань фінансового моніторингу, а також незабезпечення процедур, достатніх для забезпечення ефективного управління ризиками та для запобігання використанню послуг та продуктів Установи для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення;
- абзацу другого частини 2 статті 7 та пункту 25 частини другої статті 8 Закону №361-IХ в частині неналежного виконання Установою обов'язку здійснювати оцінку/переоцінку ризиків, у тому числі притаманних її діяльності, документувати їх результати, а також підтримувати в актуальному стані інформацію щодо оцінки ризиків, притаманних її діяльності (ризик-профіль СПФМ), та здійснювати управління ризиками, пов'язаними із запровадженням чи використанням нових та існуючих інформаційних продуктів, ділової практики або технологій, у тому числі таких, що забезпечують проведення фінансових операцій без безпосереднього контакту з клієнтом;
- пунктів 1 та 2 частини першої статті 14 Закону № 361-IX у редакції, що діяла на момент вчинення порушення, в частині не супроводження переказу інформацією про платника (ініціатора переказу) та отримувача.
Вважаючи таке рішення відповідача від 20.03.2023 № 21/495-рк протиправним, позивач звернувся до суду з даною позовною заявою про його скасування.
Надаючи правову оцінку спірним правовідносинам, виходячи з положень норм законодавства, які діяли на момент їх виникнення, суд виходить з такого.
Відповідно до частини другої статті 6 та частини другої статті 19 Конституції України органи законодавчої, виконавчої та судової влади здійснюють свої повноваження у встановлених цією Конституцією межах і відповідно до законів України.
Органи державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України.
Частиною другою статті 2 Кодексу адміністративного судочинства України передбачено, що у справах щодо оскарження рішень, дій чи бездіяльності суб'єктів владних повноважень адміністративні суди перевіряють, чи прийняті (вчинені) вони: 1) на підставі, у межах повноважень та у спосіб, що визначені Конституцією та законами України; 2) з використанням повноваження з метою, з якою це повноваження надано; 3) обґрунтовано, тобто з урахуванням усіх обставин, що мають значення для прийняття рішення (вчинення дії); 4) безсторонньо (неупереджено); 5) добросовісно; 6) розсудливо; 7) з дотриманням принципу рівності перед законом, запобігаючи всім формам дискримінації; 8) пропорційно, зокрема з дотриманням необхідного балансу між будь-якими несприятливими наслідками для прав, свобод та інтересів особи і цілями, на досягнення яких спрямоване це рішення (дія); 9) з урахуванням права особи на участь у процесі прийняття рішення; 10) своєчасно, тобто протягом розумного строку.
Виходячи з наведених норм основного закону у зв'язку з положеннями Кодексу адміністративного судочинства України, адміністративний суд, здійснюючи судовий розгляд справи, перевіряє оскаржувані рішення, дії чи бездіяльність суб'єкта владних повноважень на відповідність вищенаведеним закріпленим процесуальним законом критеріям.
При цьому, принцип обґрунтованості рішення суб'єкта владних повноважень, відповідно до частини другої статті 2 Кодексу адміністративного судочинства України, має на увазі, що рішення повинно бути прийнято з урахуванням усіх обставин, що мають значення для його прийняття.
Зокрема, Європейський Суд з прав людини у рішенні від 01.07.2003 у справі «Суомінен проти Фінляндії» (Suominen v. Finland) (заява № 37801/97, пункт 36), вказав, що орган влади зобов'язаний виправдати свої дії, навівши обґрунтування своїх рішень.
У рішенні від 10.02.2010 у справі «Серявін та інші проти України» Європейський суд з прав людини вказав, що у рішеннях суддів та інших органів з вирішення спорів мають бути належним чином зазначені підстави, на яких вони ґрунтуються.
Отже, рішення суб'єкта владних повноважень повинно ґрунтуватися на оцінці усіх фактів та обставин, що мають значення. Суб'єкт владних повноважень повинен врахувати усі ці обставини, тобто надати їм правову оцінку: взяти до уваги або відхилити. У разі відхилення певних обставин висновки повинні бути мотивованими, особливо, коли має місце несприятливе для особи рішення.
Принцип обґрунтованості рішення вимагає від суб'єкта владних повноважень враховувати як обставини, на обов'язковість урахування яких прямо вказує закон, так і інші обставини, що мають значення у конкретній ситуації. Для цього він має ретельно зібрати і дослідити матеріали, що мають доказове значення у справі, наприклад, документи, пояснення осіб, тощо.
Разом з тим, суб'єкт владних повноважень повинен уникати прийняття невмотивованих висновків, обґрунтованих припущеннями та неперевіреними фактами, а не конкретними обставинами. Так само недопустимо надавати значення обставинам, які насправді не стосуються справи. Несприятливе для особи рішення повинно бути вмотивованим.
Таким чином, рішення суб'єкта владних повноважень можуть ґрунтуватися виключно на належних, достатніх, а також тих доказах, які одержані з дотриманням закону.
Згідно зі статтями 2, 6 Закону України від 20.05.1999 № 679-XIV «Про Національний банк України» (далі - Закон № 679-XIV) НБУ є центральним банком України, особливим центральним органом державного управління, юридичний статус, завдання, функції, повноваження і принципи організації якого визначаються Конституцією України, цим Законом та іншими законами України.
Відповідно до Конституції України основною функцією Національного банку є забезпечення стабільності грошової одиниці України.
Відповідно до пункту 30 частини першої статті 7 Закону № 679-XIV Національний банк виконує такі функції, зокрема здійснює державне регулювання та нагляд у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення за банками та філіями іноземних банків, страховиками (перестраховиками), страховими (перестраховими) брокерами, кредитними спілками, ломбардами, іншими фінансовими установами, реєстрацію чи ліцензування діяльності яких здійснює Національний банк, операторами поштового зв'язку, які надають платіжні послуги та/або послуги поштового переказу, та/або здійснюють валютні операції, операторами платіжних систем, філіями або представництвами іноземних суб'єктів господарської діяльності, які надають фінансові послуги на території України, іншими юридичними особами, які за своїм правовим статусом не є фінансовими установами, але надають окремі фінансові послуги.
За приписами статті 17 Закону № 679-XIV Правління Національного банку має право утворити Комітет з питань нагляду та регулювання діяльності банків, нагляду (оверсайту) платіжних систем та делегувати йому повноваження щодо здійснення банківського регулювання та нагляду, у тому числі застосування до банків та інших осіб, які можуть бути об'єктом перевірки Національного банку України, заходів впливу (санкцій), передбачених законами України, крім заходів, передбачених пунктами 11 і 12 частини першої статті 73 Закону України «Про банки і банківську діяльність».
Рішенням Правління НБУ від 29.07.2020 №498-рш створено Комітет з питань нагляду та регулювання діяльності ринків небанківських фінансових послуг (далі - Комітет) та затверджено Положення про нього, відповідно до пункту 2 розділу І якого Комітет є спеціально створеним колегіальним органом, якому Правління Національного банку делегувало окремі повноваження щодо здійснення нагляду за учасниками ринків небанківських фінансових послуг та регулювання діяльності на ринках небанківських фінансових послуг, у сфері захисту прав споживачів фінансових послуг, валютного нагляду, державного регулювання і нагляду у сфері фінансового моніторингу.
Згідно з підпунктом 2 частини 14 Положення Комітет має право приймати рішення про застосування/незастосування до учасників ринків небанківських фінансових послуг, інших осіб, які можуть бути об'єктом нагляду/перевірки Національного банку, за порушення законодавства з питань фінансового моніторингу таких заходів впливу, зокрема, як накладення штрафу.
При цьому, за приписами частин четвертої, п'ятої статті 56 Закону № 679-XIV Національний банк приймає індивідуальні акти, які є адміністративними актами, та здійснює адміністративне провадження відповідно до Закону України «Про адміністративну процедуру» з урахуванням особливостей, визначених цим Законом та законами, що регулюють діяльність на ринку фінансових послуг та на платіжному ринку.
Національний банк у прийнятому ним адміністративному акті, який негативно впливає на право, свободу чи законний інтерес особи або покладає на неї певний обов'язок, зазначає підстави прийняття такого акта з належним обґрунтуванням, строк і порядок його оскарження (у тому числі найменування суду, до якого особа може подати позов), а також вказівку на те, що оскарження рішення, акта або дії Національного банку не зупиняє їх виконання відповідно до статті 74 цього Закону.
Таким чином з наведеного вбачається, що рішення Комітету про застосування/незастосування до учасників ринків небанківських фінансових послуг, інших осіб, які можуть бути об'єктом нагляду/перевірки Національного банку, за порушення законодавства з питань фінансового моніторингу таких заходів впливу, зокрема, як накладення штрафу, має відповідати критеріям правомірності та положенням частини п'ятої статті 56 Закону № 679-XIV.
У свою чергу, Закон України від 06.12.2019 № 361-IX «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» (далі - Закон № 361-IX) спрямований на захист прав та законних інтересів громадян, суспільства і держави, забезпечення національної безпеки шляхом визначення правового механізму запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - запобігання та протидія).
Стаття 1 Закону № 361-IX визначає терміни, які в ньому вживаються, зокрема:
державний фінансовий моніторинг - сукупність заходів, що вживаються суб'єктами державного фінансового моніторингу і спрямовуються на виконання вимог цього Закону та іншого законодавства у сфері запобігання та протидії;
об'єкт фінансового моніторингу - дії з активами, пов'язані з відповідними учасниками фінансових операцій, які їх проводять, за умови наявності ризиків використання таких активів з метою легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та/або фінансування розповсюдження зброї масового знищення, а також будь-яка інформація про такі дії чи події, активи та їх учасників;
ризики - небезпека (загроза, уразливі місця) для суб'єктів первинного фінансового моніторингу бути використаними з метою легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та/або фінансування розповсюдження зброї масового знищення під час надання ними послуг відповідно до характеру їх діяльності;
управління ризиками - заходи, що вживаються суб'єктами первинного фінансового моніторингу щодо створення та забезпечення функціонування системи управління ризиками, що передбачає, зокрема, визначення (виявлення), оцінку/переоцінку (вимірювання), моніторинг, контроль ризиків, з метою їх мінімізації;
первинний фінансовий моніторинг - сукупність заходів, які вживаються суб'єктами первинного фінансового моніторингу і спрямовані на виконання вимог законодавства у сфері запобігання та протидії;
фінансовий моніторинг - сукупність заходів, що вживаються суб'єктами фінансового моніторингу у сфері запобігання та протидії, що включають проведення державного фінансового моніторингу та первинного фінансового моніторингу.
Дія Закону № 361-IX поширюється на громадян України, іноземців та осіб без громадянства, фізичних осіб - підприємців, юридичних осіб, їх філії, представництва та інші відокремлені підрозділи, що забезпечують проведення фінансових операцій на території України та за її межами відповідно до міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України, органи місцевого самоврядування, правоохоронні та розвідувальні органи, інші державні органи України.
Відповідно до частини першої, пункту 9 частини другої статті 6 Закону № 361-IX система фінансового моніторингу складається з первинного та державного рівнів.
Суб'єктами первинного фінансового моніторингу є інші юридичні особи, які за своїм правовим статусом не є фінансовими установами, але надають окремі фінансові послуги.
Згідно зі статтею 7 Закону № 361-IX суб'єкт первинного фінансового моніторингу зобов'язаний у своїй діяльності застосовувати ризик-орієнтований підхід, враховуючи відповідні критерії ризику, зокрема, пов'язані з його клієнтами, географічним розташуванням держави реєстрації клієнта або установи, через яку він здійснює передачу (отримання) активів, видом товарів та послуг, що клієнт отримує від суб'єкта первинного фінансового моніторингу, способом надання (отримання) послуг. Ризик-орієнтований підхід має бути пропорційний характеру та масштабу діяльності суб'єкта первинного фінансового моніторингу.
Застосування ризик-орієнтованого підходу здійснюється в порядку, визначеному внутрішніми документами з питань фінансового моніторингу суб'єкта первинного фінансового моніторингу, з урахуванням рекомендацій відповідних суб'єктів державного фінансового моніторингу, які згідно із цим Законом виконують функції державного регулювання і нагляду за такими суб'єктами первинного фінансового моніторингу.
Суб'єкт первинного фінансового моніторингу зобов'язаний здійснювати оцінку/переоцінку ризиків, у тому числі притаманних його діяльності, документувати їх результати, а також підтримувати в актуальному стані інформацію щодо оцінки ризиків, притаманних його діяльності (ризик-профіль суб'єкта первинного фінансового моніторингу), та ризику своїх клієнтів таким чином, щоб бути здатним продемонструвати своє розуміння ризиків, що становлять для нього такі клієнти (ризик-профіль клієнтів).
При визначенні критеріїв ризиків суб'єкт первинного фінансового моніторингу повинен враховувати типологічні дослідження у сфері запобігання та протидії, підготовлені спеціально уповноваженим органом та оприлюднені ним на своєму веб-сайті, результати національної оцінки ризиків, а також рекомендації суб'єктів державного фінансового моніторингу.
Суб'єкт первинного фінансового моніторингу зобов'язаний встановити високий ризик ділових відносин (фінансової операції без встановлення ділових відносин), зокрема стосовно таких клієнтів:
клієнтів, місцем проживання (перебування, реєстрації) яких є держава (юрисдикція), що не виконує чи неналежним чином виконує рекомендації міжнародних, міжурядових організацій, задіяних у сфері боротьби з легалізацією (відмиванням) доходів, одержаних злочинним шляхом, або фінансуванням тероризму чи фінансуванням розповсюдження зброї масового знищення;
клієнтів, включених до переліку осіб, клієнтів, які є представниками осіб, включених до переліку осіб, клієнтів, якими прямо або опосередковано володіють або кінцевими бенефіціарними власниками яких є особи, включені до переліку осіб;
іноземних фінансових установ (крім фінансових установ, зареєстрованих у державах - членах Європейського Союзу, державах - членах Групи з розробки фінансових заходів боротьби з відмиванням грошей (FATF), крім держав, що здійснюють збройну агресію проти України у значенні, наведеному у статті 1 Закону України «Про оборону України»), з якими встановлюються кореспондентські відносини;
іноземних публічних діячів, членів їх сімей та осіб, пов'язаних з такими політично значущими особами, а також клієнтів, кінцевими бенефеціарними власниками яких є зазначені особи;
клієнтів, стосовно яких (кінцевих бенефіціарних власників яких) застосовані спеціальні економічні та інші обмежувальні заходи (санкції) відповідно до статті 5 Закону України «Про санкції»;
клієнтів, місцем проживання (перебування, реєстрації) яких є держава, віднесена Кабінетом Міністрів України до переліку офшорних зон;
клієнтів, стосовно яких з Єдиного державного реєстру юридичних осіб, фізичних осіб - підприємців та громадських формувань виключено інформацію про кінцевого бенефіціарного власника юридичної особи або внесено відмітку про визнання Національним банком України структури власності юридичної особи непрозорою;
клієнтів, які є громадянами держави, що здійснює збройну агресію проти України (крім громадян такої держави, яким надано статус учасника бойових дій після 14 квітня 2014 року), та/або особами, місцем постійного проживання (перебування, реєстрації) яких є держава, що здійснює збройну агресію проти України;
клієнтів, які є юридичними особами - резидентами держави, що здійснює збройну агресію проти України;
клієнтів, кінцевими бенефіціарними власниками яких є громадяни держави, що здійснює збройну агресію проти України (крім громадян такої держави, яким надано статус учасника бойових дій після 14 квітня 2014 року), та/або особи, місцем постійного проживання (перебування, реєстрації) яких є держава, що здійснює збройну агресію проти України;
клієнтів, засновником (учасником, акціонером) або власником яких прямо чи опосередковано через інші юридичні особи (трасти, інші подібні правові утворення) є держава, що здійснює збройну агресію проти України;
клієнтів, щодо яких суб'єктом первинного фінансового моніторингу під час здійснення моніторингу фінансових операцій із застосуванням ризик-орієнтованого підходу за результатами перевірки джерела коштів встановлено, що джерело коштів, пов'язаних з фінансовою операцією такого клієнта, походить з держави, що здійснює збройну агресію проти України;
клієнтів, які здійснюють передачу (отримання) активів до (з) України, використовуючи депозитарні установи, банки, інші фінансові установи та небанківських надавачів платіжних послуг, місцем перебування та/або реєстрації яких є держава, що здійснює збройну агресію проти України.
Суб'єкт первинного фінансового моніторингу зобов'язаний встановити неприйнятно високий ризик ділових відносин (фінансової операції без встановлення ділових відносин) стосовно клієнтів у разі:
неможливості виконувати визначені цим Законом обов'язки або мінімізувати виявлені ризики, пов'язані з таким клієнтом або фінансовою операцією;
наявності обґрунтованих підозр за результатами вивчення підозрілої діяльності клієнта, що така діяльність може бути фіктивною.
Відповідно до частини першої статті 8 Закону № 361-IX суб'єкт первинного фінансового моніторингу (крім спеціально визначених суб'єктів первинного фінансового моніторингу, що провадять свою діяльність одноособово, без утворення юридичної особи) з урахуванням вимог законодавства, результатів національної оцінки ризиків та оцінки ризиків, притаманних його діяльності, розробляє, впроваджує та оновлює правила фінансового моніторингу, програми проведення первинного фінансового моніторингу та інші внутрішні документи з питань фінансового моніторингу (далі - внутрішні документи з питань фінансового моніторингу) і призначає працівника, відповідального за його проведення (далі - відповідальний працівник).
Внутрішні документи з питань фінансового моніторингу повинні містити процедури, достатні для забезпечення ефективного управління ризиками, а також для запобігання використанню послуг та продуктів суб'єкта первинного фінансового моніторингу для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення.
У свою чергу, вимоги до внутрішніх документів установи з питань ПВК/ФТ встановлені розділом III Положення про здійснення установами фінансового моніторингу, затвердженого постановою (далі - Положення №107).
Згідно з пунктом 25 частини другої статті 8 Закону № 361-IX суб'єкт первинного фінансового моніторингу зобов'язаний здійснювати управління ризиками, пов'язаними із запровадженням чи використанням нових та існуючих інформаційних продуктів, ділової практики або технологій, у тому числі таких, що забезпечують проведення фінансових операцій без безпосереднього контакту з клієнтом.
Відповідно до пунктів 23, 23 розділу ІІІ Положення № 107 внутрішні документи установи з питань ПВК/ФТ принаймні мають містити:
1) визначення працівників та/або підрозділів (за наявності) установи, відповідальних за здійснення заходів з НПК, та розподіл обов'язків між ними;
2) порядок дій, який забезпечує здійснення всіх заходів з НПК (зокрема заходів з ідентифікації та верифікації, встановлення КБВ, моніторингу ділових відносин та фінансових операцій, актуалізації даних про клієнта);
3) порядок виявлення PEPs та порядок ужиття щодо них необхідних додаткових заходів;
4) порядок здійснення оцінки/переоцінки ризик-профілю установи та ризик-профілю клієнтів і вжиття заходів з метою мінімізації ризиків ВК/ФТ;
5) порядок виявлення критеріїв ризику ВК/ФТ та індикаторів підозрілості фінансових операцій;
6) порядок ведення анкети клієнта, переліків клієнтів, зазначених у пункті 61 розділу IV цього Положення, що забезпечить своєчасність, повноту та достовірність унесеної до анкети клієнта або зазначених переліків клієнтів інформації;
7) порядок дій стосовно відмови установи від встановлення (підтримання) ділових відносин / обслуговування, у тому числі шляхом розірвання ділових відносин, відмови від проведення фінансової операції у випадках, передбачених Законом про ПВК/ФТ;
8) порядок виявлення установою розбіжностей між відомостями про КБВ, які містяться в ЄДР, та інформацією, отриманою установою в результаті здійснення НПК;
9) порядок використання інструменту покладання (у разі прийняття установою рішення використовувати цей інструмент);
10) порядок використання установою агентів, проведення навчальних заходів для них (їх працівників) та здійснення контролю за їхньою діяльністю (у разі прийняття установою рішення залучати агентів);
11) порядок унесення відповідної інформації до реєстрів повідомлень;
12) порядок використання СА (за наявності);
13) порядок здійснення інформаційного обміну з СУО та виконання відповідних рішень/доручень СУО;
14) порядок замороження активів, пов'язаних із тероризмом та його фінансуванням, розповсюдженням зброї масового знищення та його фінансуванням;
15) порядок зупинення установою операцій у випадках, визначених Законом про ПВК/ФТ;
16) порядок супроводження установою переказів коштів відповідною інформацією згідно з вимогами, визначеними в статті 14 Закону про ПВК/ФТ (для платіжних установ);
17) порядок контролю за відповідними лімітами в разі використання установою спрощених методів ідентифікації та верифікації клієнта (представника клієнта);
18) порядок забезпечення таємниці фінансового моніторингу, конфіденційності іншої інформації;
19) порядок інформування СБУ у випадках, визначених законодавством України у сфері ПВК/ФТ;
20) порядок проведення навчальних заходів для працівників установи;
21) порядок ознайомлення працівників установи з внутрішніми документами установи з питань ПВК/ФТ;
22) порядок зберігання всіх документів/інформації щодо виконання установою вимог законодавства України у сфері ПВК/ФТ.
Внутрішні документи установи з питань ПВК/ФТ мають враховувати особливості, напрями та специфіку діяльності установи, особливості різних типів клієнтів, а також імплементацію установою ризик-орієнтованого підходу.
Згідно з пунктами 31, 32, 35, 36 розділу IV Положення № 107 Установа зобов'язана у своїй діяльності застосовувати ризик-орієнтований підхід, що має бути пропорційним характеру та масштабу діяльності установи.
Ризик-орієнтований підхід має застосовуватися установою на постійній основі та забезпечувати виявлення, ідентифікацію, оцінку всіх наявних та потенційних ризиків ВК/ФТ, притаманних діяльності установи (ризик-профілю установи) та її клієнтам, а також передбачати своєчасне розроблення заходів з управління ризиками ВК/ФТ, їх мінімізації.
Ризик-орієнтований підхід має ґрунтуватися на оцінці ризиків та включати в себе: 1) оцінку ризик-профілю установи: виявлення та оцінку ризиків ВК/ФТ, притаманних діяльності установи; аналіз наявних заходів з управління ризиками ВК/ФТ для їх зниження (мінімізації); визначення ризик-апетиту установи у сфері ПВК/ФТ (прийнятного для установи рівня ризику ВК/ФТ); 2) оцінку ризик-профілю клієнта: виявлення та оцінку ризику ділових відносин (фінансової операції без встановлення ділових відносин) з клієнтом; аналіз наявних заходів з управління ризиками ВК/ФТ для їх зниження (мінімізації) до прийнятного для установи рівня ризику ВК/ФТ (у межах ризик-апетиту установи у сфері ПВК/ФТ).
Установа здійснює оцінку власного ризик-профілю з урахуванням специфіки своєї діяльності й таких факторів: 1) характеру та масштабу діяльності установи; 2) джерел фінансування бізнесу (власні або залучені кошти); 3) продуктів та послуг, що надаються установою; 4) видів клієнтів та їх ризик-профілю; 5) географічного розташування установи, географічного розташування держави реєстрації клієнтів або установ, через які установа здійснює передавання (отримання) активів 6) каналів/способів надання (отримання) послуг; 7) контрагентів, за участю яких установа проводить дії з активами; 8) інших значущих факторів, пов'язаних із діяльністю установи.
Таким чином, суб'єкт первинного фінансового моніторингу самостійно розробляють та затверджують внутрішні документи з питань фінансового моніторингу, які мають відповідати положенням та містить відповідні критерії, визначені національним законодавством.
У свою чергу, відповідно до Положення про порядок організації та здійснення нагляду у сфері фінансового моніторингу, валютного нагляду, нагляду у сфері реалізації спеціальних економічних та інших обмежувальних заходів (санкцій), затвердженого постановою Правління НБУ від 30.06.2020 № 90 (далі - Положення № 90), безвиїзний нагляд - аналіз діяльності банку/установи з питань дотримання банком/установою вимог законодавства України, який проводиться на постійній основі з урахуванням ризик-орієнтованого підходу працівниками Національного банку без їх присутності за місцезнаходженням банку/установи; порушення вимог законодавства України - виявлені під час проведення перевірки факти порушень законодавства України з питань фінансового моніторингу, факти порушень валютного та/або санкційного законодавства, а також факти невиконання вимог та обмежень у діяльності банку/установи у сфері фінансового моніторингу, валютного нагляду, нагляду з питань санкційного законодавства, установлених Національним банком.
Працівники Національного банку здійснюють безвиїзний нагляд шляхом проведення аналізу дотримання банком/установою вимог законодавства на підставі: 1) даних статистичної звітності банку/установи, що подається відповідно до вимог, визначених нормативно-правовими актами Національного банку з питань подання статистичної звітності; 2) інформації, документів (їх копій та/або витягів із них) в електронній або паперовій формі на визначених носіях надання такої інформації, звітів, отриманих від банку/установи; 3) інформації та документів, отриманих від підрозділів Національного банку, суб'єктів державного фінансового моніторингу, інших державних органів, а також іншої інформації та документів, отриманих Національним банком під час виконання ним своїх функцій; 4) довідки про виїзну перевірку та інших матеріалів виїзної перевірки банку/установи (пункт 76 розділу IV Положення № 90).
Банк/установа має право надати Національному банку разом із листом, зазначеним у пункті 90 розділу IV цього Положення, у строки, визначені в пункті 90 розділу IV цього Положення, пояснення чи обґрунтовані заперечення щодо обставин, фактів порушень (за наявності) у письмовій формі з обов'язковим документальним підтвердженням. Письмові пояснення, заперечення до акта разом з їх документальним підтвердженням є невід'ємною частиною матеріалів безвиїзного нагляду (пункт 93 розділу IV Положення № 90).
Відповідно до частини першої статті 32 Закону № 361-IX особи, винні у порушенні вимог законодавства у сфері запобігання та протидії, в тому числі у незабезпеченні належної організації та/або проведення первинного фінансового моніторингу, а також у причетності до легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення або у сприянні іншим особам у вчиненні таких дій, або які фінансували тероризм чи розповсюдження зброї масового знищення, несуть відповідальність згідно із законом.
Таким чином, виходячи з наведених положень Закону № 361-IX, у взаємозв'язку з положеннями частини п'ятої статті 56 Закону № 679-XIV, враховуючи норми Положень № 90 та 107, рішення НБУ про застосування до суб'єкта первинного фінансового моніторингу заходів впливу має відповідати критеріям правомірності, а обраний захід впливу має бути адекватним по відношенню до вчиненого порушення та об'єктивно враховувати обставини вчиненого порушення, визначені частиною сьомою Згідно з частиною третьою статті 32 Закону № 361-IX у разі невиконання (неналежного виконання) суб'єктом первинного фінансового моніторингу (його уповноваженою (посадовою) особою) вимог законодавства у сфері запобігання та протидії до нього адекватно вчиненому порушенню протягом шести місяців з дня виявлення порушення, але не пізніше ніж через три роки з дня його вчинення застосовуються такі заходи впливу:
1) письмове застереження;
2) анулювання ліцензії та/або інших документів, що надають право на здійснення діяльності, з провадженням якої в особи виникає статус суб'єкта первинного фінансового моніторингу, у встановленому законодавством порядку;
3) покладення на суб'єкта первинного фінансового моніторингу обов'язку відсторонення від роботи посадової особи такого суб'єкта первинного фінансового моніторингу;
4) штраф;
5) укладення письмової угоди із суб'єктом первинного фінансового моніторингу, за якою суб'єкт первинного фінансового моніторингу зобов'язується сплатити визначене грошове зобов'язання та вжити заходів для усунення та/або недопущення в подальшій діяльності порушень вимог законодавства у сфері запобігання та протидії, забезпечити підвищення ефективності функціонування та/або адекватності системи управління ризиками тощо (далі - угода про врегулювання наслідків вчинення порушення законодавства у сфері запобігання та протидії).
Пунктом 13 частини п'ятої статті 13 Закону № 361-IX передбачено, що до суб'єкта первинного фінансового моніторингу можуть бути застосовані штрафи у таких розмірах, зокрема, за незабезпечення належної організації та проведення первинного фінансового моніторингу, відсутність належної системи управління ризиками, повторне невиконання вимог суб'єктів державного фінансового моніторингу про усунення виявлених порушень та/або про вжиття заходів для усунення причин, що сприяли їх вчиненню, - у розмірі до 10 відсотків загального річного обороту, але не більше 7950 тисяч неоподатковуваних мінімумів доходів громадян.
Відповідно до частини сьомої статті 13 Закону № 361-IX, при визначенні заходу впливу та/або розміру штрафу суб'єкти державного фінансового моніторингу враховують обставини вчиненого порушення, у тому числі: 1) характер і тривалість порушення; 2) фінансовий стан суб'єкта первинного фінансового моніторингу; 3) вигоду, одержану суб'єктом первинного фінансового моніторингу внаслідок вчинення порушення, якщо сума такої вигоди може бути визначена; 4) збитки третіх осіб, спричинені внаслідок вчинення порушення, якщо сума таких збитків може бути визначена; 5) повторне вчинення однорідного правопорушення, за яке до суб'єкта первинного фінансового моніторингу протягом останніх трьох років застосовувалися заходи впливу; 6) ступінь відповідальності; 7) співпрацю суб'єкта первинного фінансового моніторингу з державними органами, включеними до системи запобігання та протидії.
З матеріалів справи судом встановлено, що на виконання наведених вимог Закону № 361-IX та Положення № 107 позивачем розроблено та затверджено 22.06.2021 Правила фінансового моніторингу (нова редакція), якою визначені основні засади функціонування системи фінансового моніторингу компанії; порядок проведення клієнтів щодо супроводження переказів інформацією про платника та отримувача; порядок проведення посилених заходів належної перевірки клієнтів; принципи та порядок застосування ризик-орієнтованого підходу; порядок виявлення критеріїв ризику відмивання коштів/фінансування тероризму та індикаторів підозрілості фінансових операцій; порядок моніторингу фінансових операцій, ескалації підозри, реєстрації фінансових операцій та повідомлень; перелік підозрілих фінансових операцій; порядок здійснення моніторингу переказу коштів; критерії ризику та методику оцінки ризик профілю компанії; критерії ризику та методику оцінки ризик профілю клієнта; індикатори підозрілості фінансових операцій.
Разом з тим, зі змісту оскаржуваного рішення вбачається, що відповідачем зроблено висновок про неналежне виконання позивачем вимог частини першої статті 8 Закону № 361-IX. Натомість відповідачем не вказано, яких саме вимог, встановлених чинним законодавством, зокрема Положенням №107, не містять Правила фінансового моніторингу позивача, а також у чому саме полягає невідповідність Правил фінансового моніторингу позивача, зокрема положенням пунктів 24 розділу ІІІ та пунктам 39, 40 розділу IV Положення № 107. Тобто висновок відповідача про порушення вимог частини першої статті 8 Закону №361-IX містить абстрактний характер та не підтверджує, які саме положення Правил фінансового моніторингу не відповідає вимогам Закону, Положення.
Натомість дослідивши та проаналізувавши зміст Правил фінансового моніторингу позивача, судом не встановлено неналежного виконання чи неврахування позивачем відповідних спеціальних положень законодавства під час розробки та складання вказаних Правил. Правила за свої змістом та суттю відповідають вимогам пунктів 23, 23 розділу ІІІ Положення № 107.
Слід також зазначити, що відповідачем не доведено належними доказами того, що навіть можливі недоліки у внутрішніх документах з питань фінансового моніторингу, на які відповідач посилається, призводять до високого ризику використання позивача для відмивання доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення.
Разом з тим судом встановлено, що формуючи висновок про порушення позивачем абзацу другого частини другої статті 7 та пункту 25 частини другої статті 8 Закону №361-IХ, що покладено в основу прийняття спірного рішення, відповідачем проігноровано доводи позивача, що позивач відмовився від розвитку напрямів діяльності, пов'язаних з обслуговуванням е-commerce і фактично надавав виключно послуги Р2Р-переказів. Спрощення продуктової лінійки послуг позивача, звуження географії їх надання (виключно перекази на картки українських банків-емітентів та концентрація на наданні послуг виключно клієнтам - фізичним особам (платникам та отримувачам переказів), призвело до унеможливлення застосування на практиці складних моделей оцінки ризику, у зв'язку з чим, під час затвердження нової редакції Правил фінансового моніторингу від 21.06.2021, методика оцінки була переглянута позивачем, що передбачало наявність вагових коефіцієнтів у вигляді визначення у відсотках діапазонів категорій ризику для повних параметрів діяльності, зокрема, відсотку високоризикових клієнтів, розподілу джерел фінансування бізнесу, а також додані елементи експертного оцінювання абсолютних значень (обіг коштів, який забезпечується позивачем), бінарних показників «так/ні» (типи контрагентів, держави реєстрації клієнтів та фінансових установ, надання ліцензійних або супутніх послуг тощо).
При цьому, при застосуванні бінарних показників у Правилах фінансового моніторингу Установи від 22.06.2021, а саме у критеріях «Контрагенти, за участю яких Компанія проводить дії з активами», «Географічне розташування Компанії, географічне розташування держави реєстрації Клієнтів або установ, через які Компанія здійснює передавання (отримання) активів», повністю враховані результати Національної оцінки ризиків, та передбачено встановлення високого рівня ризику за цими критеріями, при наявності серед контрагентів, партнерів та клієнтів Установи осіб-нерезидентів, зокрема, осіб (установ) що мають реєстрацію або місцезнаходження у державах (на територіях) що не виконують рекомендації FATF, або які мають стратегічні недоліки у сфері ПВК/ФТ (відповідно до заяв ФАТФ), на територіях яких наявні військові конфлікти, терористичні групи та/або організації. Переліки таких держав (юрисдикцій) наведені у додатку 15 до Правил фінансового моніторингу, тому за текстом правил використовується узагальнений термін «Переліки».
Таким чином, засоби і методи оцінювання ризику позивачем були диверсифіковані та максимально наближені до реальної діяльності Установи з метою здійснення якісної оцінки ризик-профілю Установи.
При цьому, в оскаржуваному рішенні відповідачем не вказано, у чому саме полягає невідповідність критеріїв ризику, які встановлені для ризик-профілю позивача та які визначені у додатку 4 до Правил фінансового моніторингу до видів клієнтів, що користуються послугами позивача та до її географічного розташування. Натомість, твердження відповідача про те, що критерії ризику які встановлені для ризик-профілю Установи та які визначені у додатку 4 до Правил фінансового моніторингу не відповідають видам клієнтів, що користуються послугами позивача та не відповідають його географічному розташуванню, спростовується самими Правилами та є таким, що не відповідає фактичним обставинам справи.
Більше того судом встановлено, що модель використання позивачем сервісу P2P передбачає можливість отримання коштів одним і тим же отримувачем від різних ініціаторів переказу/платників; суть роботи сервісу P2P полягає в тому, що сервіс дозволяє об'єднувати кілька ініційованих переказів в одну виплату таких переказів.
Як пояснив позивач, така модель побудована виключно задля зручності отримувача коштів, оскільки різні особи перераховують кошти в різний час, однак всі ці платежі виплачуються йому за один раз на обраний ним платіжний засіб. Також позивач зазначив, що такий механізм зарахування коштів користується попитом та повністю задовольняє потреби клієнтів, що спростовує твердження НБУ про нібито відсутність економічної доцільності.
В ході судового розгляду встановлено, що сервіс P2P працює на будь-якому девайсі; за допомогою сучасного веб-браузера доступний на будь-якому пристрої та легкий в користуванні, маючи кредитну чи дебетову карту міжнародних платіжних систем VISA та MasterCard або національної платіжної системи «Простір»; здійснює швидкі перекази у режимі реального часу на будь-які суму, але в межах встановленого Установою ліміту в 30 000 гривень; дозволяє об'єднувати кілька оплат чи виплат в один переказ.
З урахуванням викладеного суд погоджується з доводами позивача про те, що незначна кількість переказів на незначну суму у співвідношенні не можуть нести високий ступінь ризику, оскільки взаєморозрахунки (перекази) між користувачами сервісу P2P можуть бути на будь-яку суму, але в межах встановленого ліміту. При цьому, оскільки сервісом P2P не передбачена фіксована складова частини оплати за користування цим сервісом, то клієнтам сервісу P2P вигідно ініціювати перекази на будь-які суми, що є простим і зручним способом здійснення переказів.
Позивач фактично є посередником у здійсненні платіжних операцій та забезпечує ініціювання P2P-переказу тільки після авторизації цієї фінансової операції на боці банку-емітента ЕПЗ. Учасниками фінансової операції з Р2P-переказу завжди є особи-власники ЕПЗ, емітованих до рахунків, відкритих цим особам у банківських установах. Стосовно клієнтів, яким відкриті рахунки та здійснюються фінансові операції, банківські установи проводять всі необхідні заходи фінансового моніторингу, зокрема, належну перевірку клієнта та моніторинг фінансової діяльності (поведінки) під час користування рахунками. За наявності підозр щодо фінансової діяльності клієнтів банки мають право зупиняти фінансові операції або відмовляти в проведенні фінансових операцій (підтриманні ділових відносин). У випадку зупинення або відмови від проведення фінансових операцій, відмови у підтриманні ділових відносин, особа-власник рахунку та ЕПЗ до цього рахунку втрачає можливість здійснення вхідних вихідних фінансових операцій, в тому числі Р2Р-переказів. Крім того, СПФМ наділені повноваженнями, відповідно до Закону про запобігання, здійснювати запити до інших СПФМ стосовно своїх клієнтів, в тому числі з метою підтвердження або спростування підозр.
Тобто позивач, як суб'єкт участі у операціях з переказу коштів, здійснює такі перекази коштів з використанням ЕПЗ, які емітовані банківськими установами, у яких клієнти позивача мають відкриті рахунки та на момент проведення відповідних переказів коштів пройшли необхідну ідентифікацію, верифікацію, належну перевірку, що робить неможливим вчинення позивачем протизаконних чи ризикованих операцій. Фактично, позивач є посередником у здійсненні фінансових операцій з переказу коштів від платника до отримувача, які (платник та отримувач) ідентифікуються через банківські установи у яких вони мають відкриті рахунки.
Разом з тим, що не спростовано відповідачем, щодо перевищення індикатору «Ознаки пов?язаності переказів» та ліміту платежу від одного платника на користь одного отримувача, позивачем зазначено, що критерієм пов'язаності визначені номери ЕПЗ платника та отримувача, повторюваність яких надає підстави підозрювати умисне дроблення фінансової операції - штучну структуризацію (ділення) суми фінансової операції, граничний розмір якої визначений відповідними вимогами та обмеженнями, передбаченими законодавством з питань ПВК/ФТ, на кілька пов'язаних між собою фінансових операцій, що здійснюються на менші суми, з метою уникнення певних порогових значень/вимог, визначених законодавством з питань ПВК/ФТ. Повторюваність сум пов'язаних фінансових операцій (14500 грн) викликана тим фактом, що банками-емітентами ЕПЗ та банками-партнерами по Account2Card станом на відповідні дати проведення фінансових операцій були встановлені власні ліміти щодо максимальної суми одного P2P-переказу. Такі ліміти були встановлені банками при фактичних вимогах чинного Закону № 361-IX для супроводження P2P-переказів додатковою інформацією про платника та отримувача від суми 30000 грн, що створило штучні ситуації примусового дроблення сум фінансових операцій та є проявом де-рискінгу з боку банків у відношенні до клієнтів, адже банки відмовляють клієнтам у проведення Р2Р-переказів на понадлімітну суму. 3 огляду на вищезазначене, позивач постійно, в режимі онлайн-моніторингу переказів здійснював поточний аналіз маркерів підозрілості пов'язаних фінансових операцій з урахуванням всієї отриманої інформації про платників та отримувачів Р2P-переказів.
Окрім того, відповідно до доводів позивача, які не спростовані відповідачем, що будь-який Р2Р-переказ ініціюється шляхом використання платником (ініціатором) електронного платіжного засобу (надалі за текстом - ЕПЗ) та завершується шляхом зарахування на рахунок отримувача, до якого прив'язаний ЕПЗ отримувача.
Тож, операція Р2P-переказу складається з двох етапів: 1) списання коштів з ЕПЗ платника; 2) зарахування коштів на рахунок отримувача за номером ЕП3 отримувача. Для виконання 1-го із зазначених етапів Позивач використовує дві технології МПС Visa та Mastercard, які у практиці платіжного ринку України прийнято називати «інтернет-еквайринг» та «Card2Account». З метою отримання доступу до таких технологій Установа уклала відповідні договори з банками та іншими фінансовими установами. При цьому, договори інтернет-еквайрингу (зокрема, зазначені в Акті від 05.10.2022 Договір інтернет-еквайрингу з АТ «АКБ КОНКОРД» №92.15.000112/2 від 12.03.2018, Договір інтернет-еквайрингу з АТ «БАНК ФОРВАРД» №18 від 29.11.2018, Договір з АТ «КІБ» №КIБ-А-9 від 06.04.2020) здебільшого укладалися Установою у період часу до IV кварталу 2020 року, коли позивач дійсно мав намір приймати платежі, в тому числі, у якості поповнення онлайн-ігор (не азартних ігор) на користь відповідних суб'єктів господарювання - клієнтів Установи або через відповідні сервіси внутрішньодержавних платіжних систем, учасником яких є Установа.
Таким чином, віртуальним платіжним терміналам, які реєструвалися в МПС банками-контрагентами Установи з метою забезпечення діяльності по відповідним договорам інтернет-еквайрингу з Установою, присвоювався, в тому числі, МСС 7994, який відповідає опису «відеоігри, аркадні ігри».
Позивач продовжив використовувати зазначені платіжні термінали після зміни вектору діяльності для забезпечення 1-го етапу (списання коштів з ЕПЗ відправників) у Р2Р-переказах. Проте, у період, зазначений в Акті від 05.10.2022 позивач не встановлював та не встановлює договірні відносини з суб'єктами господарювання, які могли б мати відношення до проведення азартних ігор, не має діючих договорів з такими суб'єктами господарювання, не здійснював та не здійснює операцій переказу коштів, пов'язаних з азартними іграми. Крім того, позивач не реєструє самостійно платіжні термінали в МПС, не встановлює їм коди МСС й взагалі немає ніяких повноважень щодо провадження діяльності з обробки операцій з ЕПЗ в МПС, крім як через банк-еквайр. Отже, Позивач під час проведення Р2P-переказів, кодованих МСС 7994, не порушував правил проведення фінансових операцій з переказу коштів з точки зору виконання вимог у сфері ПВК/ФТ та не маскував фактичну суть проведених фінансових операцій, використовуючи технологію р2р переказів.
З огляду на викладене, судом не встановлено, а відповідачем не доведено, що здійсненню переказів за сервісом P2P притаманні будь-які потенційні ризики легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та/або фінансування розповсюдження зброї масового знищення в розумінні Закону № 361-IX.
Таким чином, судом не встановлено, а відповідачем не доведено дійсних обставин допущення позивачем порушень абзацу другого частини другої статті 7 та пункту 25 частини другої статті 8 Закону № 361-IX.
Стосовно висновку відповідача про порушення позивачем пунктів 1 та 2 частини першої статті 14 Закону № 361-IX позивачем зазначено, що на відміну від готівкових переказів, при здійсненні Р2P-переказів учасники фінансової операції завжди є клієнтами певних банківських установ, де їм відкриті рахунки, до яких емітовані електронні платіжні засоби. Стосовно цих осіб вже проведені заходи належної перевірки, а фінансова поведінка є предметом аналізу та вивчення банківською установою. Тобто, при переказуванні грошових коштів клієнт завжди є ідентифікованим, оскільки він є клієнтом певних банківських установ. При цьому, позивач, як посередник у переказі коштів, протягом періоду перевірки не отримував від банків-емітентів ЕПЗ звернень щодо підозрілої діяльності клієнтів-учасників переказу, здійснення шахрайських операцій або захисту прав споживачів.
Крім того, зарахування коштів на рахунок отримувача за номером його ЕПЗ у МПС Visa або Mastercard, що прикріплений до рахунку отримувача, здійснюється за технологіями МПС. Банк, який передає до МПС команду на зарахування коштів (за дорученням Установи, з якою у такого банку є відповідний договорі на надання послуги, яку у практиці платіжного ринку України прийнято називати «Account2Card»), має передавати за процедурами МПС до банку-емітенту ЕПЗ отримувача інформацію щодо сторін переказу коштів, в т.ч. номер ЕПЗ платника. Таким чином, передача банку-емітенту ЕПЗ отримувача відповідної інформації про ЕПЗ платника, покладається на банк, який надає Установі послугу Account2Card (далі - «банк-партнер по Account2Card»). Установа, в даному випадку позивач, якщо це передбачено протоколом технічної взаємодії з банком-партнером по Account2Card (такий протокол надається до реалізації Установі банком-партнером по Account2Card), передає банку-партнеру по Account2Card номер ЕПЗ платника під час здійснення операції з переказу коштів або окремо у вигляді реєстру/інформації іншого виду на регулярній основі або за запитом банка-партнера по Account2Card. Подальша передача номеру ЕПЗ платника від банка-партнера по Account2Card до банка-емітент ЕПЗ отримувача - знаходиться у зоні відповідальності банка-партнера по Account2Card.
При цьому, пунктом 13 статті 14 Закону № 361-IХ передбачено, що якщо суб'єкт первинного фінансового моніторингу, що надає фінансові платіжні послуги отримувачу, під час отримання переказу виявив факт відсутності даних про платника (ініціатора) та/або отримувача, передбачених цією статтею, або такі дані заповнені з використанням символів, що не допускаються правилами відповідної платіжної системи, суб'єкт первинного фінансового моніторингу, що надає фінансові платіжні послуги отримувачу, повинен прийняти рішення на основі ризик-орієнтованого підходу про відхилення такого переказу або про подання запиту на отримання необхідної інформації до чи після здійснення зарахування коштів на рахунок отримувача або їх видачі отримувачу в готівковій формі.
Згідно з доводами представника позивача, які не спростовані у законний спосіб відповідачем, позивачем своєчасно надавалась інформація щодо ЕПЗ платника або іншої необхідної інформації щодо сторін переказу коштів, у відповідь на відповідні запити, які надходили до позивача від банків-партнерів по Account2Card або від банків-емітентів ЕПЗ платників/отримувачів. Отже, якби дійсно позивач не забезпечував супроводження переказів інформацією про платника (ініціатора переказу) - фізичну особу та про отримувача - фізичну особу стосовно яких наявні ознаки пов'язаності фінансових операцій з іншими фінансовими операціями, то банками-партнерами відповідача по Account2Card було б відмовлено позивачу у здійсненні відповідних грошових переказів. При цьому, позивач не може нести відповідальність у випадку якщо якийсь банк не отримав інформацію щодо ЕПЗ платника від банку-партнера по Account2Card та не прийняв рішення про відхилення переказів або про подання запитів на отримання необхідної інформації.
У взаємозв'язку з вищенаведеним суд доходить висновку, що НБУ не наведено, а судом під час судового розгляду не підтверджено встановлення чітких порушень, які підтверджували б невиконання позивачем обов'язку щодо забезпечення належної організації та проведення первинного фінансового моніторингу, а також проведення з клієнтами фінансових операцій з протиправною метою, як наслідок, відповідачем не доведено вчинення позивачем порушення вимог пункту 2 частини другої статті 8; частини першої статті 8; абзацу другого частини другої статті 7 та пункту 25 частини другої статті 8; пунктів 1 та 2 частини першої статті 14 Закону № 361-IX.
Натомість суд зазначає, що надавши оцінку змісту спірного рішення вбачається, що таке рішення не відповідає критеріям правовірності рішення суб'єкта владних повноважень, прийняте відповідачем без дотримання вимог частини сьомої статті 13 Закону № 361-IX, частини п'ятої статті 56 Закону № 679-XIV, а застосований захід впливу у вигляді штрафу не є адекватним та обраний відповідачем без урахування усіх обставини, які мають значення та наведені у даному рішенні.
Суд зазначає, що відповідачем у спірному рішенні не обґрунтовано обрання саме такого виду заходу впливу на позивача (штраф) з-поміж усіх можливих заходів впливу, передбачених частиною третьою статті 32 Закону № 361-IX, які є менш негативними для позивача, враховуючи відсутність з боку відповідача обґрунтування обставини вчиненого порушення за критеріями, закріпленими частини сьомої статті 13 Закону № 361-IX.
З наведених вище мотивів, враховуючи встановлені обставини справи та судову практику Шостого апеляційного адміністративного суду в аналогічних справах № 320/12807/23, № 320/12167/23 суд вважає спірне рішення таким, що не відповідає критеріям правомірності та підлягає скасуванню в силу своєї протиправності.
За загальним правилом, що випливає з принципу змагальності, кожна сторона повинна подати докази на підтвердження обставин, на які вона посилається, або на спростування обставин, про які стверджує інша сторона.
Відповідно до частин першої, другої статті 77 Кодексу адміністративного судочинства України, кожна сторона повинна довести ті обставини, на яких ґрунтуються її вимоги та заперечення, крім випадків, встановлених статтею 78 цього Кодексу.
В адміністративних справах про протиправність рішень, дій чи бездіяльності суб'єкта владних повноважень обов'язок щодо доказування правомірності свого рішення, дії чи бездіяльності покладається на відповідача.
Суб'єкт владних повноважень повинен подати суду всі наявні у нього документи та матеріали, які можуть бути використані як докази у справі.
Враховуючи встановлені обставини справи в сукупності суд вважає, що відповідачем не доведена правомірність прийнятого ним спірного рішення, а отже суд дійшов висновку, що позовні вимоги є обґрунтованими та підлягають задоволенню.
Вирішуючи питання щодо розподілу судових витрат, суд зазначає, що відповідно до частини 1 статті 139 Кодексу адміністративного судочинства України при задоволенні позову сторони, яка не є суб'єктом владних повноважень, всі судові витрати, які підлягають відшкодуванню або оплаті відповідно до положень цього Кодексу, стягуються за рахунок бюджетних асигнувань суб'єкта владних повноважень, що виступав відповідачем у справі, або якщо відповідачем у справі виступала його посадова чи службова особа.
Таким чином, сплачений позивачем судовий збір у сумі 26840 грн підлягає стягненню на користь позивача за рахунок бюджетних асигнувань відповідача.
У взаємозв'язку з вищенаведеним та керуючись статтями 6, 7, 9, 14, 73-78, 90, 132, 134, 139, 242-246, 250, 255, 295 Кодексу адміністративного судочинства України, суд
1. Позовну заяву Товариства з обмеженою відповідальністю «Є-ПЕЙ» задовольнити повністю.
2. Визнати протиправним та скасувати рішення Національного банку України від 20.03.2023 № 21/495-рк.
3. Стягнути на користь Товариства з обмеженою відповідальністю «Є-ПЕЙ» сплачений судовий збір у розмірі 26840,00 за рахунок бюджетних асигнувань суб'єкта владних повноважень - Національного банку України.
Рішення набирає законної сили після закінчення строку подання апеляційної скарги всіма учасниками справи, якщо скаргу не було подано. У разі подання апеляційної скарги рішення, якщо його не скасовано, набирає законної сили після повернення апеляційної скарги, відмови у відкритті апеляційного провадження чи закриття апеляційного провадження або прийняття постанови судом апеляційної інстанції за наслідками апеляційного перегляду.
Апеляційна скарга на рішення суду подається до Шостого апеляційного адміністративного суду протягом тридцяти днів з дня його проголошення.
У разі оголошення судом лише вступної та резолютивної частини рішення, або розгляду справи в порядку письмового провадження, апеляційна скарга подається протягом тридцяти днів з дня складення повного тексту рішення.
Головуюча суддя Василенко Г.Ю.
Судді: Панова Г.В.
Лисенко В.І.