вул. Шолуденка, буд. 1, літера А, м. Київ, 04116 (044) 230-06-58 inbox@anec.court.gov.ua
"30" вересня 2025 р. Справа№ 925/1006/24
Північний апеляційний господарський суд у складі колегії суддів:
головуючого: Руденко М.А.
суддів: Барсук М.А.
Пономаренка Є.Ю.
при секретарі: Реуцькій Т.О.
за участю представників сторін:
від позивача: Колесниченко В.М., дов. № 20/06 від 20.06.2025;
від відповідача: Деденко Д.І., дов. від 10.12.2024,
розглянувши матеріали апеляційної скарги публічного акціонерного товариства "Комерційний банк "Акордбанк" на рішення господарського суду Черкаської області від 04.03.2025 у справі № 925/1006/24 (суддя - Грачов В.М.)
за позовом товариства з обмеженою відповідальністю "Черкасишляхбуд-плюс"
до публічного акціонерного товариства "Комерційний банк "Акордбанк" в особі відділення № 58 у м. Черкаси публічного акціонерного товариства "Комерційний банк "Акордбанк"
про стягнення 1 840 000,00 грн,-
Товариство з обмеженою відповідальністю (далі - ТОВ) "Черкасишляхбуд-плюс" звернулось до господарського суду Черкаської області з позовом до публічного акціонерного товариства "Комерційний банк "Акордбанк" (далі - ПАТ "КБ "Акордбанк") в особі відділення № 58 у м. Черкаси ПАТ "КБ "Акордбанк" про стягнення 1 840 000,00 грн.
Позовні вимоги обґрунтовані тим, що 06.07.2021 між позивачем, як клієнтом, та відповідачем, як банком, укладено договір банківського рахунку № РRUO-060721/019-58, за умовами якого банк відкрив клієнту рахунок в гривнях № НОМЕР_1 (далі - договір банківського рахунку).
Цього ж дня між сторонами також укладено договір про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування № KBUO-060721/019-58 (далі - договір про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування), який діє в рамках вказаного договору банківського рахунку.
15.11.2023 та 16.11.2023 були здійснені платіжні операції, які виконані відповідачем з застосуванням системи дистанційного обслуговування клієнт-банк, проте, за твердженням позивача, він, як платник, не є ініціатором цих платіжних операцій, платіжні інструкції із застосуванням платіжних інструментів не формував і їх не посвідчував, власні грошові кошти були списані з рахунку позивача у сумі 3 045 000,00 грн і безпідставно зараховані на рахунки фізичної особи-підприємця (далі - ФОП) Яценка Сергія Володимировича, які обслуговуються в акціонерному товаристві (далі - АТ) "Райффайзен Банк" і АТ "А-Банк", при цьому будь-яких господарських відносин позивач з цією особою не мав і про таке списання коштів негайно повідомив банк, але заходів щодо повернення коштів не отримав.
Позивач зазначав, що здійснення оплати за допомогою програмного забезпечення для віддаленого банківського обслуговування в системі Банку не являється односкладовою дією, а являє собою цілу сукупність дій, безпека вчинення яких захищається і гарантується банком, проте у даному випадку відповідачем не було дотримано такого порядку (алгоритму) дій, а списано без перевірок зі сторони банка грошові кошти внаслідок несанкціонованого втручання в роботу комп'ютерних мереж Товариства, в результаті чого було здійснено заволодіння грошовими коштами Товариства, шляхом несанкціонованого перерахування їх на банківські рахунки ФОП Яценка С.В.
За заявою директора позивача ОСОБА_1 від 21.11.2023 в Єдиному реєстрі досудових розслідувань (далі - ЄРДР), кримінальне провадження № 12023000000001971 від 24.10.2023, внесено відомості про кримінальне правопорушення за ознаками, передбаченого ч. 5 ст. 361 Кримінального кодексу (далі - КК) України (несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж, вчинені під час воєнного стану), та в ході досудового розслідування Товариство визнано потерпілим.
21.11.2023 та 24.11.2023 АТ "А-Банк" з рахунку ФОП Яценка С.В. повернув позивачу 1 200 000,00 грн та 5 000,00 грн на рахунки в ПАТ "КБ "Акордбанк".
За твердженням позивача, відповідач здійснивши безпідставне списання коштів з рахунку Товариства перерахувавши їх невідомій особі без відповідних розпоряджень позивача діяв всупереч законодавчим нормам та порушив договірні зобов'язання, допустив неналежне їх виконання, в результаті чого були завдані клієнту збитки, які складають 1 840 000,00 грн (3 045 000,00 грн перераховані кошти - 1 205 000,00 грн повернуті кошти).
Рішенням господарського суду Черкаської області від 04.03.2025 позов задоволено. Стягнуто з ПАТ "КБ "Акордбанк" в особі відділення №58 у м. Черкаси ПАТ "КБ "Акордбанк" на користь ТОВ "Черкасишляхбуд-плюс" 1 840 000,00 грн збитків та 22 080,00 грн судового збору за подання позову.
Мотивуючи рішення суд першої інстанції зазначив, що відповідачем всупереч законодавчим нормам та умовам договору про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування, при виконанні дистанційних платіжних операцій не було застосовано посилену автентифікацію учасників та допущено до обробки електронні платіжні документи неналежного платника при наявності підстав для сумніву в їх вірогідності, не з'ясовано їх дійсність з платником і без отримання згоди платника виконано неналежні платіжні операції з перерахування власних коштів клієнта неналежному отримувачу. При цьому, доказів сприяння позивачем втраті, використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати ним платіжні операції, не було встановлено, тому відповідальності за здійснення спірних платіжних операцій банком позивач не несе. В той же час АТ "А-Банк" надавач платіжних послуг отримувачу, зупинив виконання підозрілих платіжних операцій за платіжними інструкціями № 56 від 15.11.2023, № 58 від 16.11.2023, і після з'ясування їх недійсності з платником повернув йому грошові кошти в сумі 1 205 000,00 грн, а АТ "Райффайзен Банк" надавач платіжних послуг отримувачу, виконав підозрілі платіжні операції за платіжними інструкціями №№ 54, 55 від 15.11.2023 і № 57 від 16.11.2023, при цьому на момент їх виконання, за інформацією Національного агентства з питань запобігання корупції, цей банк був занесений до переліку міжнародних спонсорів війни через продовження роботи банку в Росії та офіційне визнання так званих "ДНР" і "ЛНР", що також було обставиною для зупинення видаткових операцій.
Не погоджуючись із вказаним рішенням ПАТ "КБ "Акордбанк" звернулося до Північного апеляційного господарського суду з апеляційною скаргою, в якій просило скасувати оскаржуване рішення та ухвалити нове рішення, яким у позові відмовити.
В обґрунтування апеляційної скарги апелянт зазначав, що банк, у відповідності до законодавчих норм, зобов'язаний за розпорядженням клієнта перерахувати з його рахунку грошові кошти в день надходження до банку відповідної платіжної інструкції, яка оформлена належним чином, і при виконанні розрахункової операції банк зобов'язаний перевірити достовірність, формальну відповідність документа та має право відмовити ініціатору у прийнятті наданої платіжної інструкції лише за наявності законних підстав для відмови. Так, на виконання умов договору про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування та у відповідності до законодавчих вимог позивачем було створено (згенеровано) ключ електронного підпису у системі "iBank-2 UA" (клієнт-банк) з ідентифікатором ключа клієнта 168863961516471248 і всі 5-ть платіжних інструкцій від 15.11.2023, 16.11.2023, були ініційовані та підписані електронним підписом уповноваженої особи позивача з вказаним ідентифікатором та виконані банком у відповідності до законодавчих норм та умов укладених між сторонами договорів. Враховуючи наведене, відповідач вказував, що неможна стверджувати про безпідставність списання банком грошових коштів з рахунку клієнта, як і те, що грошові кошти перераховані помилково або без законних на то підстав, оскільки платіжні інструкції належним чином сформовані та передані банку, підписані (акцептовані) позивачем, та грошові кошти були перераховані на реквізити вказані у платіжних інструкціях (належному отримувачу), а отже банком було перевірено достовірність та формальну відповідність платіжних інструкцій, і підстави для зупинення видаткових операцій за ними були відсутні. Окрім того, банк не має можливостей та законних підстав для повернення вже списаних грошових коштів на рахунок позивача.
Також відповідач стверджував, що під час проведення оспорюваних банківських операцій 15.11.2023 та 16.11.2023, було дотримано норми щодо посиленої автентифікації при проведенні дистанційних операцій, оскільки використовувалось дві сукупності даних, а саме: пароль доступу до ключа (ПІН-код), який згідно умов договору про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування має бути відомий тільки уповноваженій особі позивача, та ключ електронного підпису у системі "iBank-2 UA" (клієнт-банк) з ідентифікатором ключа клієнта 168863961516471248, яким згідно умов договору про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування може володіти виключно уповноважена особа позивача.
На переконання апелянта матеріали справи не містять доказів винних дій відповідача, які завдали позивачу шкоду, зокрема, висновком експерта № СЕ-19-24/52923-КТ від 14.02.2025, за результатами проведення комп'ютерно-технічної експертизи, не встановлено фактів та обставин причетності відповідача до будь-яких протиправних дій спрямованих на компрометацію будь-яких даних, втручання до роботи комп'ютерного обладнання, програмного забезпечення позивача або системи "iBank-2 UA" (клієнт-банк). Натомість позивачем самостійно допущено порушення умов договору про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування та рекомендації щодо безпечної роботи в системі дистанційного обслуговування "інтернет-банкінг", що є додатком № 1 до цього договору, які призвели до компрометації ключа та інших даних щодо роботи у системі клієнт-банк, а отже відсутні, як протиправна поведінка відповідача, так і причинний зв'язок між протиправною поведінкою відповідача і заподіяною позивачу шкодою.
Скаржник також зазначав, що Закон України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" не підлягає застосуванню у спірних правовідносин, оскільки спірні платіжні операції не містили ознак підозрілих в розумінні ст. 21 вказаного Закону.
Ухвалою Північного апеляційного господарського суду від 01.05.2025, у складі колегії суддів: Руденко М.А. (головуючий), Пономаренко Є.Ю., Барсук М.А., відкрито апеляційне провадження за апеляційною скаргою та призначено розгляд справи на 10.06.2025.
Ухвалою Північного апеляційного господарського суду від 10.06.2025 розгляд справи відкладено на 01.07.2025.
Ухвалою Північного апеляційного господарського суду від 01.07.2025 оголошена перерву до 09.09.2025.
03.09.2025 до апеляційного суду надійшла заява відповідача про участь у судовому засіданні в режимі відеоконференції.
Ухвалою Північного апеляційного господарського суду від 04.09.2025 задоволено вищевказану заяву.
05.09.2025 до апеляційного суду надійшло клопотання відповідача про відкладення розгляду справи.
05.09.2025 до апеляційного суду надійшли додаткові пояснення відповідача щодо подання клопотання про відкладення.
Ухвалою Північного апеляційного господарського суду від 09.09.2025 задоволено клопотання відповідача про відкладення розгляду справи та відкладено судове засідання на 30.09.2025.
23.09.2025 до апеляційного суду надійшли додаткові пояснення відповідача, в яких представник зазначав, що позивачем було порушено умови договору про дистанційне обслуговування банківських рахунків за допомогою систем дистанційного обслуговування та додаток № 1 до вказаного договору, самостійно недотримано вимоги щодо захисту інформації і здійснено неправомірні дії з компонентами платіжної інфраструктури, тож у відповідності до ч. 3 ст. 87 Закону України "Про платіжні послуги" банк звільняється від відповідальності перед платником за виконанні платіжні операції.
В судовому засіданні, яке відбулось 30.09.2025, відповідач просив скасувати оскаржуване рішення та прийняти нове рішення, яким відмовити у задоволенні позову. Позивач заперечував доводи апеляційної скарги та вказував на законність прийнятого судом першої інстанції рішення.
Заслухавши пояснення сторін, розглянувши доводи апеляційної скарги, дослідивши письмові докази, долучені до матеріалів справи, виходячи з вимог чинного законодавства, апеляційний суд дійшов висновку, що апеляційна скарга не підлягає задоволенню з наступних підстав.
Відповідно до ст. 269 Господарського процесуального кодексу (далі - ГПК) України суд апеляційної інстанції переглядає справу за наявними у ній і додатково поданими доказами та перевіряє законність і обґрунтованість рішення суду першої інстанції в межах доводів та вимог апеляційної скарги. Суд апеляційної інстанції не обмежений доводами та вимогами апеляційної скарги, якщо під час розгляду справи буде встановлено порушення норм процесуального права, які є обов'язковою підставою для скасування рішення, або неправильне застосування норм матеріального права.
Як вбачається з матеріалів справи, 06.07.2021 ТОВ "Черкасишляхбуд-Плюс", як клієнтом, та ПАТ "КБ "Акордбанк", як банком, укладено договір банківського рахунку № РRUO-060721/019-58 (далі - договір банківського рахунку; а.с. 93-95 том 1), за умовами якого банк відкрив клієнту рахунок в гривнях № UA593806340000026006120765001 та здійснює розрахунково-касове обслуговування за допомогою платіжних інструментів відповідно чинного законодавства України, нормативно-правових актів Національного банку України (далі - НБУ) та умов договору.
Додатком № 1 до договору банківського рахунку є тарифний пакет "платинум" на розрахуково-касове обслуговування суб'єктів господарювання, дія якого з 05.07.2023 погоджена сторонами (а.с. 227-230 том 1).
Додатком № 4 до договору банківського рахунку (а.с. 97 том 1) визначено, що електронно-цифровий підпис (далі - ЕЦП) - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати уповноважену особу. Уповноважена особа - особа, яка у встановленому законодавством порядку від свого імені або за дорученням особи, яку вона представляє, накладає ЕЦП під час створення електронного документа. У пункті 8 вказаного додатку сторони домовились, що ЕЦП прирівнюється до власноручного підпису та печатки.
Того ж дня, 06.07.2021 ТОВ "Черкасишляхбуд-Плюс", як клієнтом, та ПАТ "КБ "Акордбанк", як банком, укладено договір про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування № KBUO-060721/019-58 (далі - договір; а.с. 90-91 том 1), за умовами якого договір діє в рамках договору банківського рахунку № KRUO-060721/019-58 від 06.07.2021.
Згідно пункту 1.3 договору система дистанційного обслуговування являє собою програмно-технічний комплекс, що дозволяє клієнту здійснювати платежі, направляти в банк доручення на купівлю продаж та розподіл валюти, а також направляти інші фінансові документи, необхідні для розрахункового та касового обслуговування, одержувати виписки, а також обмінюватися різного роду інформаційними повідомленнями. Для забезпечення конфіденційності інформації, що пересилається, використовується система криптографічного захисту (електронний підпис), що гарантує вірогідність інформації, що пересилається, і не дозволяє третім особам утручатися у взаємні розрахунки.
У пункті 1.4 договору визначено, що система криптографічного захисту включає в себе послідовне накладення електронного підпису головного бухгалтера та керівника клієнта.
Відповідно пункту 1.5 договору електронний платіжний документ - це банківський розрахунковий документ в електронному виді, визначеного формату, що містить розпорядження про перерахування коштів з рахунку клієнта. Електронний платіжний документ має форму платіжного доручення.
Нормами пункту 1.6 договору передбачено, що банк інформує клієнта про існуючі способи та інструменти інформаційної безпеки при користуванні системою дистанційного обслуговування шляхом розміщення відповідних рекомендацій щодо безпечної роботи в цій системі в мережі інтернет на офіційному сайті банку та у додатку № 1 до цього договору.
Укладення цього договору та підпис уповноваженої особи клієнта під цим договором та додатком № 1 до цього договору свідчить про те, що до моменту укладення договору клієнт особисто ознайомився з рекомендаціями і розуміє важливість їх дотримання, підтверджує свою можливість та здатність вчасно ознайомлюватися з рекомендаціями банку (пункт 1.7 договору).
Зі змісту пунктів 2.1-2.6 договору вбачається, що предметом договору є надання банком послуг з розрахункового обслуговування клієнта у системі дистанційного обслуговування відповідно до чинного законодавства України, нормативно-правових актів НБУ та умов цього договору. Клієнт розпоряджається поточним рахунком шляхом передачі електронних платіжних документів за допомогою системи дистанційного обслуговування. Клієнт визнає достатнім метод захисту документів з використанням електронного підпису, наданого банком. Клієнт визнає, що одержання банком електронних платіжних документів, захищених електронним підписом, юридично еквівалентно одержанню документів на паперовому носії, завірених підписами з картки із зразками підписів і відбитком печатки клієнта, і надає право банку використовувати захищені електронні документи нарівні з завіреними документами на паперовому носії. Банк приймає електронні платіжні документи і перераховує кошти з рахунку клієнта відповідно до його вказівок. Клієнту надається інформація про стан його поточного рахунку.
Згідно пункту 3.2 договору банк, зокрема, зобов'язаний:
- на прохання клієнта зареєструвати його як користувача системи дистанційного обслуговування при дотриманні клієнтом вимог, викладених у п. 8 цього договору, надати клієнту програмне забезпечення у володіння та користування, протестувати його, надати клієнту документацію до програмного забезпечення та навчити одного представника клієнта роботі із системою дистанційного обслуговування (пп. 3.2.1);
- приймати електронні платіжні документи клієнта і робити перерахування коштів за умови дотримання клієнтом правил оформлення і передачі документів, а також процедури їхнього захисту (пп. 3.2.2).
Відповідно пункту 3.3 договору банк, зокрема, має право:
- затримувати чи не допускати до обробки електронні платіжні документи клієнта, якщо останнім не дотримані правила їхнього оформлення та/чи передачі, і процедура їхнього захисту (пп. 3.3.1);
- на виконання норм Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансуванню розповсюдження зброї масового знищення" затримувати на термін до 5 робочих днів чи не допускати до обробки електронні платіжні документи клієнта, якщо маються сумніви в їхній вірогідності, до з'ясування про їхню дійсність із клієнтом, зокрема, але не виключно (пп. 3.3.2): проведення клієнтом підозрілих фінансових операцій, що не несуть економічної чи законної мети (пп. 3.3.2.1); отримувачем/відправником платіжного документа клієнта є особи, стосовно яких у банку є негативна інформація, зокрема, але не виключно, фізичні особи, фізичні особи-підприємці та юридичні особи, яким банк відмовив у встановленні/підтриманні ділових відносин та/або (віднесені до "чорного" списку) (пп. 3.3.2.2).
У пункті 3.4 договору вказано, що клієнт, зокрема, зобов'язаний:
- дотримуватись усіх вимог, встановлених банком по роботі у системі дистанційного обслуговування (пп. 3.4.1);
- забезпечити збереження електронних підписів таким чином, щоб виключити їхнє використання третіми особами (пп. 3.4.2.);
- забезпечити збереження наданого банком програмного забезпечення системи дистанційного обслуговування таким чином, щоб виключити його використання третіми особами (пп. 3.4.3);
- у випадку виникнення погрози несанкціонованого доступу, утрати, викрадення програмного забезпечення, чи електронних підписів негайно припинити проведення електронних платежів і повідомити банк будь-яким зручним способом, а протягом 24 годин у письмовому вигляді (пп. 3.4.4).
За умовами пунктів 5.1, 5.2 договору він вважається укладеним з моменту підписання його сторонами. Договір укладений на невизначений термін. При розірванні договору банківського рахунку, цей договір також вважається розірваним.
За невиконання умов договору і за розголошення інформації, що стала відомою при роботі в системі дистанційного обслуговування, сторони несуть відповідальність відповідно до чинного законодавства (пункт п. 6.1 договору).
У пункті 6.4 договору погоджено сторонами, що банк не несе відповідальності за операції, проведені по рахунках клієнта неуповноваженими особами, якщо можливість проведення зазначених операцій виникла не з вини банку.
Згідно пункту 7.1 договору система працює цілодобово і без вихідних.
До договору сторонами складено додаток № 1 Рекомендації щодо безпечної роботи в системі дистанційного обслуговування "Інтернет-Банкінг" (а.с. 92 том 1), в якому визначено наступне.
1. Рекомендації щодо безпеки поводження з даними автентифікації (особистим ключем та паролем доступу до нього):
- особистий ключ та пароль доступу до нього є найкритичнішими даними з точки зору безпечної роботи в системі "Інтернет-банкінг". Особистий ключ генерується за ініціативою користувача - його власника під особистим контролем. Банк ні за яких обставин не має доступу до особистих ключів користувачів. Для забезпечення надійного зберігання та використання особистих ключів наполегливо рекомендується використання апаратних пристроїв формування підпису (токенів - "iBank-2 Key") та пристроїв багатофакторної аутентифікації і підтвердження документів корпоративних і приватних клієнтів (OTP-токенів або SMS підтвердження), що постачаються банком;
- у разі, якщо користувач обирає метод зберігання ключів в файловому контейнері, особисті ключі повинні зберігатися виключно на рухомому носії інформації (диск, USB-накопичувач). Не допускається навіть тимчасове зберігання ключів ЕЦП на жорсткому диску робочих станцій (комп'ютерів);
- носій ключової інформації, який містить чинний ключ (рухомий носій інформації, токен), повинен постійно бути під особистим контролем користувача, що забезпечує унеможливлення доступу до нього інших осіб. Ні за яких обставин не допускається передача носія ключової інформації (токену) та/або розголошення паролю до нього іншим особам, у тому числі співробітникам банку;
- носій ключової інформації, який містить чинний ключ (рухомий носій інформації, токен), повинен використовуватися тільки під час роботи у системі "Інтернет-банкінг". Носій ключової інформації (токен) не повинен залишатись приєднаним до персонального комп'ютера, якщо робота в системі призупинена чи не проводиться, персональний комп'ютер використовуються для виконання інших функцій, а також у неробочий час;
- пароль доступу (ПІН-код) до особистих ключів не повинен зберігатися у відкритому вигляді (наприклад, бути записаним на папері) та використовуватися для інших систем та сервісів. Персональна відповідальність за збереження паролю доступу (ПІН-коду) та унеможливлення використання носія ключової інформації іншою особою покладається виключно на користувача;
- необхідно періодично змінювати пароль доступу до ключа (не рідше одного разу на місяць). Пароль повинен складатися з цифр, літер верхнього та нижнього регістрів, а також спеціальних символів. При виборі паролю не повинні використовуватись комбінації, що легко вгадуються, наприклад, імена, дати народження, телефонні номери тощо;
- у разі звільнення користувачів або переведення їх на посади, які не передбачають роботу у системі "Інтернет-банкінг", необхідно негайно звернутися у банк із метою блокування їхніх ключів;
- у разі компрометації або підозри у компрометації ключа (втрати, пошкодження носія ключової інформації, розголошення пароля або інших подій та/або дій, що призвели або можуть призвести до несанкціонованого використання ключа), необхідно терміново звернутися у банк для блокування скомпрометованого ключа з відповідним листом або по телефону, обов'язково назвавши при цьому блокувальне слово.
2. Необхідно щоденно аналізувати всі повідомлення про прийняті та неприйняті банком електронні розрахункові документи та негайно повідомляти банк про випадки несанкціонованого зарахування (перерахування) коштів.
3. На робочу станцію, з якої здійснюється доступ до системи "Інтернет банкінг", необхідно встановити ліцензійне антивірусне програмне забезпечення, підтримувати оновлення версій, регулярно та своєчасно оновлювати антивірусні бази даних. Рекомендується до системи "Інтернет банкінгу" iBank-2, компанії "Біфіт", використовувати антивірусне програмне забезпечення.
4. На робочу станцію, з якої здійснюється доступ до системи "Інтернет Банкінг", необхідно встановити: ліцензійне антишпигунське програмне забезпечення (antispyware); програмний персональний мережевий екран (файервол, брендмауер, - на ринку існує низка програмних комплексів, які поєднують функції антивірусу, мережевого екрана, антишпигунського та інших програмних засобів, призначених для захисту робочих станцій).
Налаштування мережевого екрану необхідно здійснити таким чином, щоб максимально обмежити вихідний та вхідний мережевий трафік. Зокрема, рекомендується дозволити доступ тільки до ресурсів системи "Інтернет банкінг" та інших мінімально необхідних ресурсів, наприклад, для оновлення баз вірусних сигнатур антивірусних програмних засобів, оновлення антишпигунських програмних засобів, операційної системи та іншого програмного забезпечення. Антивірусне та антишпигунське програмне забезпечення необхідно налаштувати для моніторингу всіх подій та періодичного сканування даних, що зберігаються на жорсткому диску персонального комп'ютера, з якого здійснюється доступ до системи "Інтернет-Банкінг".
5. Необхідно регулярно та своєчасно оновлювати системне програмне забезпечення робочої станції, за допомогою якого здійснюється доступ до системи "Інтернет банкінг", особливо операційної системи, web-браузера. Рекомендується активувати можливість автоматичного оновлення програмного забезпечення.
6. Не рекомендується встановлювати на робочі станції, через які ведеться робота з системою "Інтернет-Банкінг", програмне забезпечення з ненадійних джерел (публічні бібліотеки програмного забезпечення, програми в електронних повідомленнях тощо) та здійснювати з такого комп'ютера доступ до ненадійних (незнайомих) інтернет-ресурсів.
7. Під час доступу до системи "Інтернет-банкінг" строго не рекомендується працювати в операційній системі з обліковим записом користувача, який має розширені права в операційній системі, наприклад, "Адміністратор".
8. Під час підключення до веб-сайту системи "Інтернет-банкінг" необхідно переконатися у коректній автентифікації веб-серверу системи "Інтернет-банкінг" за протоколом SSL та уникати підключень до веб-сайту системи за банерним посиланням або посиланням, отриманим електронною поштою. Рекомендується вводити адресу веб-сайту системи самостійно та додати її у закладки браузера. При доступі до веб-сайту необхідно звертати увагу на адресне поле браузера. Оскільки веб-сайт системи "Інтернет-банкінг" має справжній та дійсний сертифікат безпеки від світового Інтернет-центру сертифікації, то при вході на сайт в адресному полі браузера мають відображатися перші символи адреси https://, а не http:// (у вікні браузера може з'явитися повідомлення про те, що розпочинається перегляд сторінок через безпечне з'єднання).
9. Не рекомендується здійснювати доступ до системи "Інтернет-банкінг" через посилання, отримані електронною поштою, а також із неконтрольованих та ненадійних робочих станцій, розташованих в інтернет-кафе, готелях, офісах, інших організаціях.
10. З метою заволодіння даними автентифікації користувачів системи "Інтернет-банкінг" (особистий ключ ЕЦП та пароль доступу до нього) для їх подальшого незаконного використання, зловмисниками можуть здійснюватись атаки на робочі станції користувачів. Основні методи заволодіння ключовою інформацією: розсилання користувачам підроблених електронних листів із посиланням на адресу веб-сайту, що маскується під банківський; розповсюдження через електронні листи чи веб-сайти програмного забезпечення із зловмисним кодом (тобто програмного вірусу) для заволодіння даними автентифікації користувача; несанкціоноване дистанційне управління персональним комп'ютером користувача шляхом віддаленого доступу. Для запобігання подібних ситуацій необхідно знати, що банк ніколи та за жодних обставин не здійснює розсилку електронних листів із вимогою надіслати ключ, пароль, перейти за вказаною електронною адресою, а також не розповсюджує електронною поштою комп'ютерні програми. Відповідальність за збереження ключів та паролів покладається на користувача. У разі отримання подібних листів, програм чи будь-яких повідомлень електронною поштою, необхідно терміново проінформувати про це банк листом або по телефону. Рекомендується видаляти підозрілі електронні листи без їх відкриття, особливо листи від невідомих відправників із прикріпленими файлами, що мають розширення *.exe, *.pif, *.vbs та інші файли;
11. При проведенні налаштування робочої станції, з якої здійснюється доступ до системи "Інтернет-банкінг", стороннім спеціалістом, рекомендується забезпечити контроль за його діями.
Звітом про реєстрацію ключів підпису клієнта у системі "iBank 2 UA" від 06.07.2023 (а.с. 136-137 том 1) керівнику Товариства ОСОБА_1 (тел. НОМЕР_2 ) зареєстровано відкритий ключ електронного підпису 168863961516471248; ідентифікатор смарт-картки клієнта - відсутній (звичайний носій); серійний номер сертифікату відсутній (внутрішній ключ системи).
За твердженням позивача в офісі Товариства знаходився комп'ютер, на якому встановлено програмне забезпечення для віддаленого банківського обслуговування в системі ПАТ "КБ "Акордбанк", а електронний ключ до вказаного рахунку знаходився на флеш носії у бухгалтера підприємства Бойко Людмили Валентинівни . Вказаним комп'ютером користується тільки вона, або під її наглядом помічник бухгалтера Вількануровська Н.В.
15.11.2023 09:02 год. за вказівкою директора ТОВ "Черкасишляхбуд-плюс" ОСОБА_1 , бухгалтер підприємства перерахувала кошти з рахунку позивача № НОМЕР_1 на рахунок ТОВ "Колтех-Транс" (ЄДРПОУ 38843459) в сумі 300 000,00 грн, згідно платіжної інструкції № 52 від 15.11.2023, що підтверджено інформацією відповідача по рахунку позивача (а.с. 98 том 1), після чого комп'ютер бухгалтера з флеш-носієм (ключі ЕЦП) знаходився у робочому стані та бухгалтер знаходився в приміщенні офісу. В цей же день вказані кошти в сумі 300 000,00 грн були перераховані на користь ПрАТ "Малобузуківський кар'єр", після проведення вищевказаної операції вказаний комп'ютер протягом дня більше не використовувався та був вимкнутий.
16.11.2023 близько 8:30-9:00 год. за вказівкою директора ТОВ "Черкасишляхбуд-Плюс" ОСОБА_1., бухгалтер повинна була здійснити операцію щодо перерахунку грошових коштів з рахунку позивача № НОМЕР_1 , але не змогла цього зробити, у зв'язку з технічними несправностями комп'ютера. Крім цього, вона не змогла здійснити доступ до дистанційного банківського обслуговування відповідача, про що було повідомлено відповідальних працівників відповідача.
Після відновлення доступу до віддаленого банківського обслуговування в системі відповідача бухгалтер позивача з'ясувала факт відсутності коштів на рахунку позивача № НОМЕР_1 , з огляду на проведені наступні перерахування у сумі 3 045 000,00 грн:
- 15.11.2023 о 12:23 платіжною інструкцією № 54 (а.с. 20; 98 том 1) перераховано з рахунку ТОВ "Черкасишляхбуд-Плюс" (код ЄДРПОУ 40999565) № НОМЕР_1 на рахунок ФОП Яценка Сергія Володимировича (код отримувача НОМЕР_3 ), відкритого в АТ "Райффайзен Банк", № НОМЕР_4 , грошові кошти в сумі 735 000,00 грн, з призначення платежу: "за матеріали згідно договору № 13/11-2023 від 13.11.2023, у т.ч. ПДВ 20 % - 122 500,00 грн". Затверджено електронним ключем UETR: 0a2ec259-58ea-4c15-a063-0a32a8c04640;
- 15.11.2023 о 16:04 платіжною інструкцією № 55 (а.с. 21; 98 том 1) перераховано з рахунку ТОВ "Черкасишляхбуд-Плюс" (код ЄДРПОУ 40999565) № НОМЕР_1 на рахунок ФОП Яценка С.В. (код отримувача НОМЕР_3 ), відкритого в АТ "Райффайзен Банк", № НОМЕР_4 , грошові кошти в сумі 945 000,00 грн, з призначення платежу: "за матеріали згідно договору № 14/11-2023 від 14.11.2023, у т.ч. ПДВ 20 % - 157 500,00 грн". Затверджено електронним ключем UETR: 0a31fb29-6019-4717-a063-0a32a8c04447;
- 15.11.2023 о 16:04 платіжною інструкцією № 56 (а.с. 18; 98 том 1) перераховано з рахунку ТОВ "Черкасишляхбуд-Плюс" (код ЄДРПОУ 40999565) № НОМЕР_1 на рахунок ФОП Яценка С.В. (код отримувача НОМЕР_3 ), відкритого в АТ "А-Банк", № НОМЕР_5 , грошові кошти в сумі 1 200 000,00 грн, з призначенням платежу: "за матеріали згідно договору № 14/11-2023 від 14.11.2023, у т.ч. ПДВ 20 % - 200 000,00 грн". Затверджено електронним ключем UETR: 0a31fb29-5ef6-4717-a063-0a32a8c04447;
- 16.11.2023 о 09:13 платіжною інструкцією № 57 (а.с. 30; 98 том 1) перераховано з рахунку ТОВ "Черкасишляхбуд-Плюс" (код ЄДРПОУ 40999565) № НОМЕР_1 на рахунок ФОП Яценка С.В. (код отримувача НОМЕР_3 ), відкритого в АТ "Райффайзен Банк", НОМЕР_4 , грошові кошти в сумі 160 000,00 грн, з призначенням платежу: "за матеріали згідно договору № 15/11-2023 від 15.11.2023, у т.ч. ПДВ 20 % - 26 666,67 грн". Затверджено електронним ключем UETR: 0a40aa6d-0672-4b46-a063-0a32a8c088e4. Підпис платника: директор ОСОБА_1. (ID ключа: НОМЕР_6 );
-16.11.2023 о 09:13 платіжною інструкцією № 58 (а.с. 19; 98 том 1) перераховано з рахунку ТОВ "Черкасишляхбуд-Плюс" (код ЄДРПОУ 40999565) № НОМЕР_1 на рахунок ФОП Яценка С.В. (код отримувача НОМЕР_3 ), відкритого в АТ "А-Банк", № НОМЕР_5 , грошові кошти в сумі 5 000,00 грн, з призначенням платежу: "за транспортні послуги згідно договору № 14/11-2023 від 14.11.2023, у т.ч. ПДВ 20 % - 833,33 грн". Затверджено електронним ключем UETR: 0a40aa6d-05bb-4b46-a063-0a32a8c088e4. Підпис платника: директор ОСОБА_1. (ID ключа: НОМЕР_6 ).
Зі змісту довідки відповідача (без номера і дати; а.с. 263 том 1), за підписами директора департаменту інформаційних технологій і голови правління ПАТ "КБ "Акордбанк", вбачається, що за даними системи дистанційного обслуговування Інтернет-банкінг "іBank2UA" із використанням зазначеної системи клієнтом ТОВ "Черкасишляхбуд-плюс" 15.11.2023 об 11:56 год. з використанням ключа клієнта (ідентифікатор ключа клієнта - 1688639615164) було здійснено відключення смс інформування про рух коштів по рахунку № НОМЕР_1 по номерам телефону НОМЕР_2 , НОМЕР_7 .
За твердженнями позивача від представника банку йому стало відомо, що вхід до дистанційного банківського обслуговування ТОВ "Черкасишляхбуд-Плюс" здійснювався з використанням (ID ключа: 168863961516471248 - ОСОБА_1 ) до рахунку 26006120765001/980: 15.11.2023 в період часу з 08:50 год. до 08:56 год. з використанням IP-адреси (зовнішній) 91.244.49.191, (внутрішній) 192.168.0.7 3 сеансу; 15.11.2023 в період часу з 10:23 год. до 15:46 год. з використанням IP-адреси (зовнішній) 185.126.252.180, (внутрішній) 94.131.112.108 12 сеансу.
Разом з тим, Товариство відповідних доручень на перерахування коштів ФОП Яценку С.В. не надавало та будь-яких господарських відносин/зобов'язань з вказаною особою не має.
16.11.2023 позивач звертався до відповідача з листами:
- № 16/1 (а.с. 16 том 1), в якому просив банк надати документи, що допоможуть в розслідуванні несанкціонованого списання коштів з рахунку позивача на загальну суму 3 045 000,00 грн;
- № 16/2 (а.с. 12-13 том 1), в якому вказував про несанкціоновані проведені банком платежі з рахунку позивача на загальну суму 3 045 000,00 грн, що відбулись 15.11.2023, 16.11.2023, та просив провести міжбанківське розслідування;
- № 16/3 (а.с. 14 том 1), в якому просив відділення надати інформацію Службі безпеки України про здійснення шахрайських дій щодо безпідставного списання з рахунку позивача на рахунок ФОП Яценка С.В. грошових коштів у загальному розмірі 3 045 000,00 грн. Просив банк прийняти заходи щодо ідентифікації вказаної особи та повернення коштів.
За заявою ОСОБА_1. від 21.11.2023 в ЄРДР, кримінальне провадження 12023000000001971 від 24.10.2023, внесено відомості про кримінальне правопорушення за ознаками, передбаченого ч. 5 ст. 361 КК України (несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж, вчинені під час воєнного стану) (а.с. 23-24 том 1).
Позивач зазначав, що 21.11.2023 та 24.11.2023 АТ "А-Банк" з рахунку ФОП Яценка С.В. повернув позивачу 1 200 000,00 грн (а.с. 17 том 1) та 5 000,00 грн на рахунки в ПАТ "КБ "Акордбанк".
23.05.2024 постановою Головного слідчого управління Національної поліції України юридичну особу ТОВ "Черкасишляхбуд-Плюс" визнано потерпілою в кримінальному провадженні № 12023000000001971 за фактом несанкціонованого втручання третіх осіб в роботу інформаційної (автоматизованої) системи в умовах військового стану, в результаті чого спричинено матеріальні збитки в сумі 3 045 000,00 грн (а.с. 22 том 1).
Постановою старшого слідчого в особливо важливих справах Головного слідчого управління Національної поліції України від 09.08.2024 (а.с. 203 том 1) у кримінальному провадженні, внесеному до ЄРДР за № 12023000000001971 від 24.10.2023, була призначена комп'ютерно-технічна експертиза, проведення якої доручено експертам Державного науково-дослідного експертно-криміналістичного центру Міністерства внутрішніх справ України.
На вирішення судової експертизи були поставлені питання:
- чи наявні у файловій системі носія інформації DVD-R диска, файли які ідентифікуються антивірусним програмним забезпеченням як шкідливі (небезпечні)? Якщо так, яке їх функціональне призначення?
- чи передбачає програмний код програмного забезпечення, файлів які ідентифікуються антивірусним програмним забезпеченням як шкідливі (небезпечні), здійснювати віддалене керування пристроєм, в тому числі приховано від користувача? Якщо так, то прошу вказати до яких ІР чи веб-адрес здійснюється підключення?
За результатами проведення комп'ютерно-технічної експертизи судовий експерт склав висновок № СЕ-19-24/52923-КТ від 14.02.2025 (а.с. 17-31 том 2), із якого вбачається, що:
1. Серед файлів, що містяться на диску для лазерних систем зчитування "Verbatim", код на внутрішньому колі, що відобразився частково "MFP 33BE24232 43 5", наявні файли, які визначаються антивірусними програмними забезпеченнями як шкідливе програмне забезпечення. Файл "python2.py" відноситься до виду шкідливого програмного забезпечення "троян", а саме групи "downloader". Основне функціональне призначення файлу - це приховане від користувача завантаження та встановлення шкідливого програмного забезпечення з мережі інтернет за прописаною ІР-адресою "195.85.115.195" з прописаними облікованими даними (логін (ім'я користувача) "REA", пароль "REA"). Файл "python.py" відноситься до виду шкідливого програмного забезпечення "троян", а саме групи "downloader". Основне функціональне призначення файлу - це приховане від користувача завантаження та встановлення шкідливого програмного забезпечення з мережі інтернет за прописаною ІР-адресою "195.85.115.195" з прописаними облікованими даними (логін (ім'я користувача) "RMS", пароль "RMS"). У зв'язку з тим, що здійснити динамічний аналіз shellcode, що міститься у файлах "python2.py", "python.py", повноцінно не виявилось можливим, дослідити його можливість підключення до мережі інтернет і отримання команд від зловмисника, не виявилось можливим, у зв'язку з чим підтвердити чи спростувати належність файлів "python2.py", "python.py" до групи "backdoor" не виявилось можливим. Файл "RDPConf.exe" відноситься до так званого "сірого" програмного забезпечення - порушує ліцензію використання програмного забезпечення та створює потенційні вразливості для системи. В даному випадку, він відноситься до групи "hacktool", з можливістю стати компонентом "backdoor". Є частиною open-source утиліти RDP Wrapper Library (дозволяє активувати та налаштувати віддалений робочий стіл). Основне функціональне призначення: здійснює активацію та налаштування підключення RDP (протокол віддаленого доступу), в тому числі, з можливістю налаштувати здійснення прихованого від користувача підключення. Файл "RDPWInst.exe" теж відноситься до "сірого" програмного забезпечення - порушує ліцензію використання програмного забезпечення та створює потенційні вразливості для системи; він відноситься до групи "hacktool", з можливістю стати компонентом "backdoor". Є частиною open-source утиліти RDP Wrapper Library. Передбачає управління привілеями процесів, роботу з реєстром Windows (створення, видалення, отримання інформації про ключі та значення реєстру, особливо щодо ключа реєстру, що відповідає за параметри Remote Desktop Protocol (RDP)), а також забезпечує підключення до реєстру віддаленого комп'ютера і роботу з ним, як з реєстром локального комп'ютера. Він допомагає встановлювати налаштування, вибрані за допомогою файлу "RDPConf.exe". При "зломі" цього файлу за допомогою "зловмисних" конфігурацій, він стає частиною "бекдору": надає зловмиснику можливість встановити свої налаштування RDP. Файл "rdpwrap.dll" відноситься до "сірого" програмного забезпечення - це динамічна бібліотека, що використовується для взаємодії з RDP замість стандартної "termsrv.dll". Він також порушує ліцензію використання програмного забезпечення та створює потенційні вразливості для системи; він відноситься до групи "hacktool", з можливістю стати компонентом "backdoor". Він зчитує дані з конфігураційного файлу та відповідно до них "патчить" потрібні налаштування. У випадку завантаження неперевіреного INI-файлу, який може містити конфігурації, націлені на створення "бекдору", файл їх прочитає та "втілить" у систему.
2. Встановити можливість файлу "python2.py" здійснювати віддалене керування пристроєм, в тому числі, приховано від користувача, не виявилось можливим. Встановити можливість файлу "python.ру" здійснювати віддалене керування пристроєм, в тому числі, приховано від користувача, не виявилось можливим. Програмний код файлу "RDPConf.exe" не передбачає віддаленого керування пристроєм, але активує RDP та налаштовує його, в тому числі, має можливість налаштувати приховане від користувача підключення. Програмний код файлу "RDPWInst.exe" не передбачає можливість віддаленого керування пристроєм, але допомагає встановлювати налаштування RDP. Файл "rdpwrap.dll" є динамічною бібліотекою, що використовується для взаємодії з RDP замість стандартної "termsrv.dll". Його програмний код не передбачає можливість віддаленого керування пристроєм.
Позивач вказував, що відповідач не дотримався порядку (алгоритму) дій щодо перевірки проведених перерахувань коштів та не встановив підозрілість фінансових операцій внаслідок несанкціонованого втручання в роботу комп'ютерних мереж Товариства, здійснивши безпідставне списання з рахунку клієнта на рахунок ФОП Яценка С.В., в результаті чого були завдані позивачу збитки, які складають 1 840 000,00 грн (3 045 000,00 грн перераховані кошти - 1 205 000,00 грн повернуті кошти).
Задовольняючи позовні вимоги суд першої інстанції виходив з того, що відповідачем всупереч законодавчим нормам та умовам договору про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування, при виконанні дистанційних платіжних операцій не було застосовано посилену автентифікацію учасників та допущено до обробки електронні платіжні документи неналежного платника при наявності підстав для сумніву в їх вірогідності, не з'ясовано їх дійсність з платником і без отримання згоди платника виконано неналежні платіжні операції з перерахування власних коштів клієнта неналежному отримувачу. При цьому, доказів сприяння позивачем втраті, використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати ним платіжні операції, не було встановлено, тому відповідальності за здійснення спірних платіжних операцій Банком позивач не несе. В той же час АТ "А-Банк" надавач платіжних послуг отримувачу, зупинив виконання підозрілих платіжних операцій за платіжними інструкціями № 56 від 15.11.2023, № 58 від 16.11.2023, і після з'ясування їх недійсності з платником повернув йому грошові кошти в сумі 1 205 000,00 грн, а АТ "Райффайзен Банк" надавач платіжних послуг отримувачу, виконав підозрілі платіжні операції за платіжними інструкціями №№ 54, 55 від 15.11.2023 і № 57 від 16.11.2023, при цьому на момент їх виконання, за інформацією Національного агентства з питань запобігання корупції, цей банк був занесений до переліку міжнародних спонсорів війни через продовження роботи банку в росії та офіційне визнання так званих "ДНР" і "ЛНР", що також було обставиною для зупинення видаткових операцій.
Переглядаючи спір колегія суддів зазначає наступне.
Статтею 3 Цивільного кодексу (далі - ЦК) України визначено загальні засади цивільного законодавства, якими, зокрема, є: свобода договору; свобода підприємницької діяльності, яка не заборонена законом; судовий захист цивільного права та інтересу; справедливість, добросовісність та розумність.
Відповідно до ч.ч. 1, 2, 3, 4 ст. 11 ЦК України цивільні права та обов'язки виникають із дій осіб, що передбачені актами цивільного законодавства, а також із дій осіб, що не передбачені цими актами, але за аналогією породжують цивільні права та обов'язки. Підставами виникнення цивільних прав та обов'язків, зокрема, є договори та інші правочини.
Частиною 1 ст. 15 ЦК України встановлено, що кожна особа має право на захист свого цивільного права у разі його порушення, невизнання або оспорювання.
Згідно з ч. 1, п.п. 5, 8 ч. 2 ст. 16 ЦК України кожна особа має право звернутися до суду за захистом свого особистого немайнового або майнового права та інтересу. Способами захисту цивільних прав та інтересів можуть бути, зокрема, примусове виконання обов'язку в натурі, відшкодування збитків та інші способи відшкодування майнової шкоди. Суд може захистити цивільне право або інтерес іншим способом, що встановлений договором або законом.
Частиною 2 ст. 20 Господарського кодексу України (далі - ГК України) встановлено, що кожний суб'єкт господарювання та споживач має право на захист своїх прав і законних інтересів. Права та законні інтереси зазначених суб'єктів захищаються шляхом, зокрема, присудження до виконання обов'язку в натурі, відшкодування збитків, застосування штрафних санкцій, іншими способами, передбаченими законом. Порядок захисту прав суб'єктів господарювання та споживачів визначається цим Кодексом, іншими законами.
Статтями 13 і 14 ЦК України встановлено, відповідно, межі здійснення цивільних прав та загальні засади виконання цивільних обов'язків. Зокрема, і цивільні права і цивільні обов'язки здійснюються (виконуються) в межах, встановлених договором або актом цивільного законодавства.
Зі змісту ч.ч. 1-3 ст. 1066 ЦК України вбачається, що за договором банківського рахунка банк зобов'язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій за рахунком. Банк має право використовувати грошові кошти на рахунку клієнта, гарантуючи його право безперешкодно розпоряджатися цими коштами. Банк не має права визначати та контролювати напрями використання грошових коштів клієнта та встановлювати інші обмеження його права щодо розпорядження грошовими коштами, не передбачені законом, договором між банком і клієнтом або умовами обтяження, предметом якого є майнові права на грошові кошти, що знаходяться на банківському рахунку.
Згідно ч.ч. 1-3 ст. 1068 ЦК України банк зобов'язаний вчиняти для клієнта операції, які передбачені для рахунків даного виду законом, банківськими правилами та звичаями ділового обороту, якщо інше не встановлено договором банківського рахунка. Банк зобов'язаний зарахувати грошові кошти, що надійшли на рахунок клієнта, в день надходження до банку відповідного розрахункового документа, якщо інший строк не встановлений договором банківського рахунка або законом. Банк зобов'язаний за розпорядженням клієнта видати або перерахувати з його рахунка грошові кошти в день надходження до банку відповідного розрахункового документа, якщо інший строк не передбачений договором банківського рахунка або законом.
У ч. 1 ст. 1071 ЦК України вказано, що банк може списати грошові кошти з рахунка клієнта на підставі його розпорядження.
Відповідно ст. 1073 ЦК України у разі несвоєчасного зарахування на рахунок грошових коштів, що надійшли клієнтові, їх безпідставного списання банком з рахунка клієнта або порушення банком розпорядження клієнта про перерахування грошових коштів з його рахунка банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти та відшкодувати завдані збитки, якщо інше не встановлено законом.
Частинами 2, 6 ст. 334 ГК України визначено, що банки - це фінансові установи, функціями яких є залучення у вклади грошових коштів громадян і юридичних осіб та розміщення зазначених коштів від свого імені, на власних умовах і на власний ризик, відкриття та ведення банківських рахунків громадян та юридичних осіб. Банки у своїй діяльності керуються цим Кодексом, законом про банки і банківську діяльність, іншими законодавчими актами.
Згідно ч.ч. 1-3 ст. 339 ГК України фінансове посередництво здійснюється банками у формі банківських операцій. Основними видами банківських операцій є депозитні, розрахункові, кредитні, факторингові та лізингові операції. Перелік банківських операцій визначається законом про банки і банківську діяльність. Банківські операції провадяться в порядку, встановленому НБУ.
Зі змісту ст. 341 ГК України вбачається, що розрахункові операції банків спрямовані на забезпечення взаємних розрахунків між учасниками господарських відносин, а також інших розрахунків у фінансовій сфері. Для здійснення розрахунків суб'єкти господарювання зберігають грошові кошти в установах банків на відповідних рахунках. Безготівкові розрахунки можуть здійснюватися у формі платіжних доручень, платіжних вимог, вимог-доручень, векселів, чеків, банківських платіжних карток та інших дебетових і кредитових платіжних інструментів, що застосовуються у міжнародній банківській практиці. При безготівкових розрахунках усі платежі провадяться через установи банків шляхом перерахування належних сум з рахунку платника на рахунок одержувача або шляхом заліку взаємних зобов'язань і грошових претензій. Платежі здійснюються у межах наявних коштів на рахунку платника. У разі потреби банк може надати платникові кредит для здійснення розрахунків. Установи банків забезпечують розрахунки відповідно до законодавства та вимог клієнта, на умовах договору на розрахункове обслуговування. Договір повинен містити реквізити сторін, умови відкриття і закриття рахунків, види послуг, що надаються банком, обов'язки сторін та відповідальність за їх невиконання, а також умови припинення договору.
Згідно абз. 4, 7, 10, 11, 28, 52 ч. 1 ст. 2 Закону України "Про банки і банківську діяльність" банк - юридична особа, яка на підставі банківської ліцензії має виключне право надавати банківські послуги, відомості про яку внесені до Державного реєстру банків; банківська діяльність - залучення у вклади грошових коштів фізичних і юридичних осіб та розміщення зазначених коштів від свого імені, на власних умовах та на власний ризик, відкриття і ведення банківських рахунків фізичних та юридичних осіб; банківський платіжний інструмент - засіб, що містить реквізити, які ідентифікують його емітента, платіжну систему, в якій він використовується, та, як правило, держателя цього банківського платіжного інструмента. За допомогою банківських платіжних інструментів формуються відповідні документи за операціями, що здійснені з використанням банківських платіжних інструментів, на підставі яких проводиться переказ грошей або надаються інші послуги держателям банківських платіжних інструментів; банківські рахунки - рахунки, на яких обліковуються власні кошти, вимоги, зобов'язання банку стосовно його клієнтів і контрагентів та які дають можливість здійснювати переказ коштів за допомогою банківських платіжних інструментів; клієнт банку - будь-яка фізична чи юридична особа, що користується послугами банку; розрахункові банківські операції - рух грошей на банківських рахунках, здійснюваний згідно з розпорядженнями клієнтів або в результаті дій, які в рамках закону призвели до зміни права власності на активи.
У ст. 23 Закону України "Про банки і банківську діяльність" банк має право відкривати відокремлені підрозділи (філії, відділення, представництва тощо) на території України у разі його відповідності вимогам щодо відкриття відокремлених підрозділів, встановленим нормативно-правовими актами НБУ.
Відповідно ч.ч. 1-3 ст. 47 Закону України "Про банки і банківську діяльність" банк має право надавати банківські та інші фінансові послуги (крім послуг у сфері страхування), а також здійснювати іншу діяльність, визначену в цій статті, як у національній, так і в іноземній валюті. Банк має право здійснювати банківську діяльність на підставі банківської ліцензії шляхом надання банківських послуг. До банківських послуг належать: 1) залучення у вклади (депозити) коштів та банківських металів від необмеженого кола юридичних і фізичних осіб; 2) відкриття та ведення поточних (кореспондентських) рахунків клієнтів, у тому числі у банківських металах, та рахунків умовного зберігання (ескроу); 3) розміщення залучених у вклади (депозити), у тому числі на поточні рахунки, коштів та банківських металів від свого імені, на власних умовах та на власний ризик.
Нормами ч.ч. 1-6 ст. 51 Закону України "Про банки і банківську діяльність" передбачено, що для здійснення банківської діяльності банки відкривають та ведуть кореспондентські рахунки у НБУ та інших банках в Україні і за її межами, банківські рахунки для фізичних та юридичних осіб у гривнях та іноземній валюті. Банківські розрахунки проводяться у готівковій та безготівковій формах згідно із правилами, встановленими нормативно-правовими актами НБУ. Безготівкові розрахунки проводяться на підставі розрахункових документів на паперових носіях чи в електронному вигляді. Банки в Україні можуть використовувати як платіжні інструменти платіжні доручення, платіжні вимоги, вимоги-доручення, векселі, чеки, банківські платіжні картки та інші дебетові і кредитові платіжні інструменти, що застосовуються у міжнародній банківській практиці. Платіжні інструменти мають бути оформлені належним чином і містити інформацію про їх емітента, платіжну систему, в якій вони використовуються, правові підстави здійснення розрахункової операції і, як правило, держателя платіжного інструмента та отримувача коштів, дату валютування, а також іншу інформацію, необхідну для здійснення банком розрахункової операції, що цілком відповідають інструкціям власника рахунку або іншого передбаченого законодавством ініціатора розрахункової операції. При виконанні розрахункової операції банк зобов'язаний перевірити достовірність та формальну відповідність документа.
У ч. 1 ст. 55 Закону України "Про банки і банківську діяльність" вказано, що відносини банку з клієнтом регулюються законодавством України, нормативно-правовими актами НБУ та угодами (договорами) між клієнтом та банком.
Відповідно ч. 2 ст. 59 "Про банки і банківську діяльність" зупинення власних видаткових операцій банку за його рахунками, а також видаткових операцій за рахунками юридичних або фізичних осіб здійснюється в разі накладення арешту відповідно до частини 1 цієї статті, а також в інших випадках, передбачених договором, Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення", іншими законами та/або умовами обтяження, предметом якого є майнові права на грошові кошти, що знаходяться на банківському рахунку, кореспондентському рахунку. Зупинення видаткових операцій здійснюється в межах суми, на яку накладено арешт, крім випадків, коли арешт накладено без встановлення такої суми або коли інше передбачено договором, законом чи умовами такого обтяження.
До фінансових платіжних послуг належать такі послуги: послуги з виконання платіжних операцій із власними коштами користувача з рахунку / на рахунок користувача (крім платіжних операцій з електронними грошима), у тому числі виконання іншої платіжної операції, у тому числі з використанням платіжних інструментів (п.п. "в" п. 3 ч. 1 ст. 5 Закону України "Про платіжні послуги").
До надавачів платіжних послуг належать банки, філії іноземних банків (далі - банки). Банки надають платіжні послуги в порядку, передбаченому цим Законом та Законом України "Про банки і банківську діяльність" (п. 1 ч. 1, ч. 4 ст. 10 Закону України "Про платіжні послуги").
У ч. 1 ст. 29 Закону України "Про платіжні послуги" встановлено, що надання платіжних послуг (у тому числі виконання окремих або разових платіжних операцій, відкриття та обслуговування рахунків тощо) здійснюється на підставі договору, що укладається між надавачем платіжних послуг та користувачем відповідно до вимог законодавства, на узгоджених сторонами умовах.
Користувач відповідно до умов договору зобов'язаний надати надавачу платіжних послуг інформацію для здійснення контактів із ним, а надавач платіжних послуг зобов'язаний зберігати цю інформацію протягом строку дії договору. Обов'язок надавача платіжних послуг щодо повідомлення користувача (у спосіб, визначений договором) про здійснені операції з використанням платіжного інструменту користувача є виконаним у разі: 1) інформування надавачем платіжних послуг користувача про кожну здійснену операцію відповідно до контактної інформації, наданої користувачем; 2) відмови користувача від отримання повідомлень надавача платіжних послуг про здійснені операції з використанням платіжного інструменту користувача, про що зазначено в договорі. Надавач платіжних послуг зобов'язаний розглядати заяви (повідомлення) користувача щодо використання платіжного інструменту, помилкових, неналежних, неакцептованих платіжних операцій, ініційованих з використанням такого платіжного інструменту, надавати користувачу можливість одержувати інформацію про хід розгляду заяви (повідомлення) і повідомляти в письмовій формі про результати розгляду заяви (повідомлення) у строк, встановлений договором, але не більше строку, передбаченого законом для розгляду звернень (скарг) громадян (ч.ч. 1-3 ст. 32 Закону України "Про платіжні послуги").
До платіжних інструментів належать електронні платіжні засоби (п. 3 ч. 1 ст. 34 Закону України "Про платіжні послуги").
Згідно п. 1 ч. 1, п.п. 1, 4, 6 ч. 2, ч. 6 ст. 41 Закону України "Про платіжні послуги" ініціатором платіжної операції може бути платник (у тому числі через надавача платіжних послуг з ініціювання платіжної операції). Ініціювання платіжної операції здійснюється шляхом: надання ініціатором платіжної інструкції надавачу платіжних послуг, в якому відкрито його рахунок; використання користувачем платіжного інструменту для виконання платіжної операції; надання користувачем платіжної інструкції відповідному учаснику платіжної системи, у тому числі шляхом використання певного платіжного інструменту, в порядку, визначеному правилами цієї платіжної системи. Ініціювання платіжної операції є завершеним з моменту прийняття платіжної інструкції до виконання надавачем платіжних послуг платника.
У ч.ч. 1-7, 10 ст. 42 Закону України "Про платіжні послуги" визначено, що надавач платіжних послуг платника зобов'язаний отримати згоду платника на виконання кожної платіжної операції, крім випадків, передбачених цим Законом. Надавач платіжних послуг може передбачити в договорі з платником виконання платіжних операцій, пов'язаних між собою спільними ознаками, у визначений період часу (далі - пов'язані між собою платіжні операції). У такому разі згода надається перед виконанням першої платіжної операції. Порядок надання згоди на виконання платіжної операції визначається договором між платником та надавачем платіжних послуг платника. Платіжна операція вважається акцептованою після надання платником згоди на її виконання. Якщо немає згоди платника на виконання платіжної операції, - така операція вважається неакцептованою, якщо інше не передбачено цим Законом. Надавач платіжних послуг платника за виконання неакцептованих платіжних операцій несе відповідальність, передбачену цим Законом. Згода на виконання платіжної операції (пов'язаних між собою платіжних операцій) може бути надана платником надавачу платіжних послуг платника особисто, через надавача платіжних послуг з ініціювання платіжної операції або через отримувача. Згода на виконання платіжної операції (пов'язаних між собою платіжних операцій), крім платіжних операцій, що здійснюються для виконання платником грошових зобов'язань перед надавачем платіжних послуг платника, може бути відкликана платником у будь-який час, але не пізніше настання моменту безвідкличності платіжної інструкції відповідно до цього Закону. Надавач платіжних послуг платника зобов'язаний фіксувати в операційно-обліковій системі час отримання згоди платника на виконання платіжної операції (пов'язаних між собою платіжних операцій), а також розпорядження платника про відкликання згоди на виконання платіжної операції (пов'язаних між собою платіжних операцій).
Надавач платіжних послуг зобов'язаний прийняти до виконання надану ініціатором платіжну інструкцію, за умови що платіжна інструкція оформлена належним чином та немає законних підстав для відмови в її прийнятті (ч. 1 ст. 43 Закону України "Про платіжні послуги").
Надавач платіжних послуг має право відмовити ініціатору у прийнятті наданої платіжної інструкції лише за наявності законних підстав для відмови (ч. 1 ст. 44 Закону України "Про платіжні послуги").
Згідно абз. 1 ч. 1 ст. 46 Закону України "Про платіжні послуги" порядок виконання платіжних операцій, у тому числі обмеження щодо виконання платіжних операцій з використанням конкретних платіжних інструментів, визначається цим Законом та нормативно-правовими актами НБУ.
Відповідно ч. 1 ст. 49 Закону України "Про платіжні послуги" платіжна операція вважається завершеною в момент зарахування суми платіжної операції на рахунок отримувача або видачі суми платіжної операції отримувачу в готівковій формі.
Зі змісту ч. 1 ст. 67 Закону України "Про платіжні послуги" вбачається, що надавачі платіжних послуг зобов'язані запровадити систему захисту інформації, що має забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання.
Електронна взаємодія надавача платіжних послуг із користувачем здійснюється лише після автентифікації користувача, який є фізичною особою, або уповноваженого представника користувача, який є юридичною особою. Надавачі платіжних послуг зобов'язані застосовувати посилену автентифікацію користувача під час: 1) отримання користувачем доступу до рахунку за допомогою засобів дистанційної комунікації; 2) ініціювання дистанційної платіжної операції; 3) будь-яких інших дій у разі підозри вчинення шахрайства (або існування ризику шахрайства) чи інших неправомірних дій (або існування ризику вчинення інших неправомірних дій). Для проведення дистанційних платіжних операцій надавачі платіжних послуг зобов'язані застосовувати посилену автентифікацію платника, що включає використання унікальних для кожної окремої операції даних, які дають змогу пов'язувати (в результаті виконання алгоритму співставляти контрольний показник з даними операції) операцію на певну суму і конкретного отримувача (ч.ч. 1,3, 5 ст. 68 Закону України "Про платіжні послуги").
У ч.ч. 1-4, 8, 12, 14-17, 20 ст. 86 Закону України "Про платіжні послуги" визначено, що надавач платіжних послуг несе відповідальність перед користувачами за невиконання або неналежне виконання платіжних операцій відповідно до закону та умов укладених між ними договорів, якщо не доведе, що платіжні операції виконані цим надавачем платіжних послуг належним чином. Надавачі платіжних послуг несуть відповідальність, визначену цим Законом, за виконання помилкової, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків. Користувачі мають право на відшкодування в судовому порядку шкоди, заподіяної надавачем платіжних послуг внаслідок помилкової, неналежної, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків. Надавачі платіжних послуг несуть відповідальність перед користувачами за помилкові платіжні операції, у тому числі за виконання: 1) помилкової платіжної операції на рахунок неналежного отримувача; 2) помилкової платіжної операції з рахунку неналежного платника; 3) платіжної операції з рахунку платника без законних підстав або внаслідок інших помилок надавача платіжних послуг. Надавачі платіжних послуг, що обслуговують платників, несуть перед ними відповідальність за неакцептованими платіжними операціями. У разі виконання неакцептованої платіжної операції надавач платіжних послуг зобов'язаний негайно після виявлення факту виконання неакцептованої платіжної операції або після отримання повідомлення платника (залежно від того, що відбувалося раніше) повернути за рахунок власних коштів суму неакцептованої платіжної операції на рахунок платника, а також сплатити йому пеню в розмірі подвійної облікової ставки НБУ за кожний день від дня списання з рахунку платника коштів за неакцептованою платіжною операцією до дня повернення коштів на рахунок платника. Надавач платіжних послуг зобов'язаний також відшкодувати платнику суму утриманої / сплаченої неналежним платником комісійної винагороди за виконану неакцептовану платіжну операцію (за наявності такої комісійної винагороди). Надавач платіжних послуг після виявлення помилки одночасно зобов'язаний негайно повідомити неналежного отримувача про виконання помилкової платіжної операції і про необхідність ініціювання ним платіжної операції на еквівалентну суму коштів цьому надавачу платіжних послуг протягом трьох робочих днів з дня надходження такого повідомлення. Надавач платіжних послуг під час надходження коштів від неналежного отримувача залишає їх у своєму розпорядженні, за умови виконання своїх зобов'язань з відшкодування, передбачених частинами дев'ятою - тринадцятою цієї статті. У разі порушення неналежним отримувачем триденного строку надавач платіжних послуг має право вимагати від неналежного отримувача сплати пені в розмірі 0,1 відсотка суми простроченого платежу за кожний день від дати завершення помилкової платіжної операції до дня повернення коштів на рахунок платника, але не більше 10 відсотків суми платіжної операції. У разі ненадходження коштів від неналежного отримувача надавач платіжних послуг має право на їх відшкодування у судовому порядку. Надавач платіжних послуг повинен сприяти платнику в поверненні коштів за неналежною платіжною операцією шляхом надання доступної йому інформації про таку операцію, у тому числі отриманої на його запит від надавача платіжних послуг, що обслуговує неналежного отримувача. Надавач платіжних послуг, що обслуговує неналежного отримувача, для встановлення правомірності платіжної операції у разі опротестування неналежної платіжної операції платником та/або на вимогу надавача платіжних послуг платника зобов'язаний заблокувати кошти в сумі неналежної платіжної операції на рахунку неналежного отримувача на строк до 30 календарних днів. Надавачі платіжних послуг несуть відповідальність перед користувачами за дії або бездіяльність своїх працівників, залучених комерційних агентів та надавачів платіжних послуг - посередників, у тому числі за невиконання або неналежне виконання платіжних операцій та/або за заподіяну шкоду.
Платник несе відповідальність перед надавачем платіжних послуг, що його обслуговує, відповідно до умов укладеного між ними договору про надання платіжних послуг. Платник несе відповідальність за відповідність інформації, зазначеної ним у платіжній інструкції, суті платіжної операції. У разі виявлення невідповідності інформації платник має відшкодувати надавачу платіжних послуг шкоду, заподіяну внаслідок такої невідповідності інформації. Платник зобов'язаний відшкодувати шкоду, заподіяну надавачу платіжних послуг, що його обслуговує, внаслідок недотримання цим платником вимог щодо захисту інформації і здійснення неправомірних дій з компонентами платіжної інфраструктури (у тому числі платіжними інструментами, обладнанням, програмним забезпеченням). У разі недотримання користувачем зазначених вимог надавач платіжних послуг, що обслуговує платника, звільняється від відповідальності перед платником за виконання платіжних операцій. Платник зобов'язаний негайно після того, як така інформація стала йому відома, повідомити надавача платіжних послуг у визначеному договором порядку про факт виконання з його рахунку неналежної або неакцептованої платіжної операції для отримання відшкодування за такою операцією. Платник має право вимагати відшкодування коштів за неналежною платіжною операцією, за умови повідомлення про це надавача платіжних послуг протягом 90 календарних днів з дати списання коштів за такою операцією з його рахунку. Зазначений у цій частині строк не застосовується, якщо надавач платіжних послуг не дотримався свого обов'язку щодо інформування платника про виконані платіжні операції згідно з вимогами цього Закону (ч.ч. 1-4 ст. 87 Закону України "Про платіжні послуги").
Відповідно до розділу Прикінцеві та перехідні положення Закону України "Про платіжні послуги" № 1591-IX від 30.06.2021 (далі - Закон № 1591-IX від 30.06.2021), цей закон набрав чинності і введений в дію 01.08.2021, з дня введення в дію цього Закону втратив чинність Закон України "Про платіжні системи та переказ коштів в Україні", до ЦК і ГК України внесено відповідні зміни.
Користувачі електронних довірчих послуг мають право на: отримання електронних довірчих послуг; вільний вибір надавача електронних довірчих послуг; оскарження у судовому порядку дій чи бездіяльності надавачів електронних довірчих послуг та органів, що здійснюють державне регулювання у сфері електронних довірчих послуг; відшкодування завданої їм шкоди та захист своїх прав і законних інтересів; звернення із заявою про скасування, блокування та поновлення свого сертифіката відкритого ключа. Користувачі електронних довірчих послуг зобов'язані: забезпечувати конфіденційність та неможливість доступу інших осіб до особистого ключа; невідкладно повідомляти надавача електронних довірчих послуг про підозру або факт компрометації особистого ключа; надавати достовірну інформацію, необхідну для отримання електронних довірчих послуг; своєчасно здійснювати оплату за електронні довірчі послуги, якщо така оплата передбачена договором між надавачем та користувачем електронних довірчих послуг; своєчасно надавати надавачу електронних довірчих послуг інформацію про зміну ідентифікаційних даних, які містить сертифікат відкритого ключа; не використовувати особистий ключ у разі його компрометації, а також у разі скасування або блокування сертифіката відкритого ключа. Захист прав користувачів електронних довірчих послуг, а також механізм реалізації захисту цих прав регулюються цим Законом та Законом України "Про захист прав споживачів" (ст. 12 Закону України "Про електронну ідентифікацію та електронні довірчі послуги").
У абз. 1, 2 ч. 1 ст. 13 Закону України "Про електронну ідентифікацію та електронні довірчі послуги" кваліфіковані надавачі електронних довірчих послуг мають право: надавати електронні довірчі послуги з дотриманням вимог цього Закону; отримувати документи, необхідні для ідентифікації особи, ідентифікаційні дані якої міститимуться у сертифікаті відкритого ключа.
Згідно абз. 1, 2, 7, 9, 12, 13 ч. 2 ст. 13 Закону України "Про електронну ідентифікацію та електронні довірчі послуги" кваліфіковані надавачі електронних довірчих послуг зобов'язані забезпечити: захист персональних даних користувачів електронних довірчих послуг відповідно до вимог законодавства; функціонування програмно-технічного комплексу, що ними використовується, та захист інформації, що в ньому обробляється, відповідно до вимог законодавства; цілодобовий прийом та перевірку заяв підписувачів та створювачів електронних печаток про скасування, блокування та поновлення їхніх сертифікатів відкритих ключів; встановлення під час формування сертифіката відкритого ключа належності відкритого ключа та відповідного йому особистого ключа підписувачу чи створювачу електронної печатки; інформування користувачів електронних довірчих послуг про порушення конфіденційності та/або цілісності інформації, що впливають на надання їм електронних довірчих послуг або стосуються їхніх персональних даних, не пізніше двох годин з моменту, коли їм стало відомо про такі порушення; унеможливлення використання особистого ключа у разі його компрометації.
Відповідно до розділу Прикінцеві та перехідні положення Закону України "Про електронну ідентифікацію та електронні довірчі послуги" № 2155-VIII від 05.10.2017 (далі - Закон № 2155-VIII від 05.10.2017), цей закон набрав чинності і введений в дію 07.11.2018, з дня введення в дію цього Закону втратив чинність Закон України "Про електронний цифровий підпис".
Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" передбачено, що система фінансового моніторингу складається з первинного та державного рівнів. Суб'єктами первинного фінансового моніторингу є банки (ч. 1, п. 1 ч. 2 ст. 6). Суб'єкт первинного фінансового моніторингу зобов'язаний здійснювати кожен із заходів належної перевірки. Обсяг дій при здійсненні кожного із заходів належної перевірки визначається суб'єктом первинного фінансового моніторингу з урахуванням ризик-профілю клієнта, зокрема рівня ризику, мети ділових відносин, суми здійснюваних операцій, регулярності або тривалості ділових відносин (ч. 2 ст. 11). Належна перевірка здійснюється в разі, зокрема, наявності підозри (абз. 2 ч. 3 ст. 11). Суб'єкт первинного фінансового моніторингу має право відмовитися від проведення підозрілої фінансової операції (абз. 2 ч. 1 ст. 15).
Як вже зазначалось, 06.07.2021 між сторонами укладено договір банківського рахунку № РRUO-060721/019-58 і договір № КBUO-060721/019-58 про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування.
15.11.2023 та 16.11.2023 згідно 5-ти платіжних інструкцій відповідачем здійснено переказ з рахунку позивача № НОМЕР_1 у сумі 3 045 000,00 грн на рахунки ФОП Яценка С.В., що відкриті в АТ "Райффайзен Банк" та АТ "А-Банк".
Ці платіжні операції виконані відповідачем з застосуванням системи дистанційного обслуговування клієнт-банк, їх ініціатором значиться позивач в особі директора товариства, усі зазначені платіжні інструкції по формі і змісту оформлені належним чином, посвідченні електронним підписом директора товариства (а.с. 81-83, 85, 88, 89, 99-103 том 1), отже банк, згідно з його доводами, зобов'язаний був відповідно до ч. 1 ст. 43 Закону України "Про платіжні системи", виконати їх.
Проте, за твердженням позивача, він, як платник, не є ініціатором цих платіжних операцій, платіжні інструкції із застосуванням платіжних інструментів не формував і їх не посвідчував, власні грошові кошти безпідставно списані з рахунку позивача і зараховані на рахунки ФОП Яценка С.В., які обслуговуються АТ "Райффайзен Банк" і АТ "А-Банк", оскільки будь-яких господарських відносин позивач з цією особою не вів. Про безпідставне списання коштів з його рахунку позивач негайно повідомив банк, але заходів щодо повернення цих грошових коштів від банка не отримав.
Судом апеляційної інстанції враховується факт звернення позивача до банку та до правоохоронних органів з приводу вчиненого кримінального правопорушення, а також визнання Товариства в якості потерпілого згідно постанови від 23.05.2024 Головного слідчого управління Національної поліції України в кримінальному провадженні № 12023000000001971 за фактом несанкціонованого втручання третіх осіб в роботу інформаційної (автоматизованої) системи в умовах військового стану, в результаті чого спричинено матеріальні збитки (а.с. 22 том 1), що свідчить про те, що у позивача була відсутня воля на вчинення спірних перерахувань коштів.
За результатами проведення комп'ютерно-технічної експертизи, у кримінальному провадженні, внесеному до ЄРДР за № 12023000000001971 від 24.10.2023, судовий експерт склав висновок № СЕ-19-24/52923-КТ від 14.02.2025 (а.с. 17-31 том 2), з якого вбачається, що на території України діє організована група невстановлених осіб, які таємно викрадають кошти у суб'єктів господарювання, у тому числі у Товариства. 28.11.2024 в ході проведення огляду моноблоку, який використовувався Товариством, виявлено завантажені файли які ймовірно сприяли несанціоновому втручанні в комп'ютерні системи, які скопійовано на DVD-R диск (додаток № 1 до протоколу огляду 28.11.2024).
Експертом зроблено висновок, що на диску були наявні файли, які визначаються антивірусними програмними забезпеченнями як шкідливе програмне забезпечення, їх основне функціональне призначення - це приховане від користувача завантаження та встановлення шкідливого програмного забезпечення з мережі Інтернет за прописаною ІР-адресою з прописаними облікованими даними позивача; програмне забезпечення, що порушує ліцензію використання програмного забезпечення та створює потенційні вразливості для системи, дозволяє активувати та налаштувати віддалений робочий стіл; основне функціональне призначення файлів - здійснювати активацію та налаштування підключення RDP (протокол віддаленого доступу), в тому числі, з можливістю налаштувати здійснення прихованого від користувача підключення, надають зловмиснику можливість встановити свої налаштування.
Товариство та Банк мають вочевидь різні технічні та фінансові можливості у сфері забезпечення кібербезпеки та захисту від кіберзлочинів. Банк є фінансовою установою, професійним учасником ринку фінансових послуг, на який покладається організація та забезпечення безпеки платежів. Клієнт банку є споживачем банківських послуг, а тому не має того рівня знань і засобів, які можуть забезпечити безпеку (схоронність) грошових коштів на своєму рахунку, що обслуговує банк. Банк зі свого боку, надаючи такі фінансові послуги, зобов'язаний забезпечити такий рівень безпеки фінансових активів клієнта, довірених банку, аби убезпечити їх від безпідставного зменшення, зокрема, за допомогою систем дистанційного банківського обслуговування (Інтернет-банкінгу), відповідальним за які є Банк. З цією метою банк має постійно впроваджувати у своїй діяльності технологічні процеси (алгоритми), що відповідають актуальним викликам безпеки та спрямовані на запобігання помилковому переказу грошових коштів клієнтів, а також здійснювати контроль за їх дотриманням і виконанням.
Верховний Суд у постанові від 21.04.2021 у справі № 751/6050/18 дійшов висновку, що саме на банк, який є професійним учасником ринку надання банківських послуг, покладено обов'язок доведення того, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. Відповідно, вимоги до рівня та розумності ведення справ банком є вищими, ніж до споживача - фізичної особи, яка зазвичай є слабшою стороною у цивільних відносинах з такою кредитною установою. З врахуванням наведеного, всі сумніви та розумні припущення мають тлумачитися судом саме на користь такої слабшої сторони.
Те, що у справі, яка переглядається, клієнтом банку є не фізична, а юридична особа-суб'єкт господарської діяльності, не впливає на визначення її як більш слабкої сторони у відносинах із банком, особливо у сфері кібербезпеки (інформаційної безпеки) щодо захисту клієнтів банку та коштів, які зберігаються на рахунках клієнтів у банку, від кіберзлочинів (п. 55 постанови Верховного Суду від 21.06.2023 у справі № 922/4091/19).
Верховний Суд у постанові від 20.07.2022 у справі № 521/20764/20 виснував, що саме банк має доводити, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції; у разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів; сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
Разом з тим, Банк не довів існування обставин умисного або з необережності розголошення даних, інших дій або бездіяльності позивача, що призвели до несанкціонованого доступу невстановлених осіб до банківського рахунку позивача, та не підтвердив належними і допустимими доказами обставин, які б безспірно доводили, що позивач, як користувач банківського рахунку, своїми діями чи бездіяльністю сприяв у доступі до відомостей по банківському рахунку в акаунті у системі "iBank-2 UA", незаконному використанню ПІН-коду або іншої інформації, яка дала змогу ініціювати спірні платіжні операції.
Відповідно до пункту 2.8 тарифного пакету "платинум", який є додатком № 1 до договору договір про розрахункове обслуговування банківських рахунків за допомогою систем дистанційного обслуговування (а.с. 227 том 1) клієнт отримував інформацію про рух коштів за рахунком (стан рахунку). Послуга смс інформування щодо стану рахунку клієнтом була підключена на два номери телефону, проте згідно довідки (без номера і дати; а.с. 263 том 1) за даними системи дистанційного обслуговування Інтернет-банкінг "іBank2UA" із використанням зазначеної системи позивачем 15.11.2023 об 11 год. 56 хв. з використанням ключа клієнта було здійснено відключення смс інформування про рух коштів по рахунку клієнта на номери телефонів + 380677572198 та НОМЕР_7 .
З наданої банком довідки у період з 15.11.2023 по 16.11.2023 про здійснення клієнтом входу до інтернет банкінгу "iBank2" та дистанційного розпорядження рахунком вбачається, що клієнт входив за зовнішніми IP-адресами (а.с. 146-147 том 1):
- 91.244.49.191, - 15.11.2023 з 08.50 - 08:56;
- 185.126.252.180, - 15.11.2023 з 10:23 - 15:46 (відключення смс інформування та формування спірних платежів);
- 91.244.49.191, - 16.11.2023 з 10:14 - 10:14;
- 185.126.252.180, - 16.11.2023 з 06:03 - 10:55 (формування спірних платежів).
Банком не надано доказів того, що позивач міг знати, або йому було достеменно відомо про створення та підписання платіжних інструкцій, які здійснювалися з зовнішньої ip-адреси клієнта - "185.126.252.180". При цьому відключення смс інформування клієнтом по номерам його телефонів про рух коштів по рахунку перед ініціюванням спірних платіжних операцій викликає сумнів в дійсності цих платіжних операцій, на що повинен був звернути увагу банк.
Також колегія суддів враховує правову позицію, викладену у постанові Верховного Суду від 21.06.2023 у справі № 922/4091/19 стосовно того, що Закон України "Про основні засади забезпечення кібербезпеки України" покладає на банки обов'язок з забезпечення кібербезпеки. Саме Банк відповідає за безпеку здійснення електронних платежів. Несанкціоноване списання коштів поза волею клієнта, свідчить про несанкціоноване втручання в систему здійснення банківських платежів, яка належить Банку, з боку третіх осіб. Несанкціоноване списання коштів з рахунку позивача є не просто помилковим платежем, а інцидентом кібербезпеки, який мав бути зафіксований та розслідуваний Банком відповідно до приписів Закону України "Про основні засади забезпечення кібербезпеки України".
Лише наявність обставин, які безспірно доводять, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, є підставою для притягнення такого користувача до цивільно-правової відповідальності - в усіх інших випадках відповідальність покладається на банк. В разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів. Сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. За відсутності належних та допустимих доказів сумніви та припущення мають тлумачитися переважно на користь споживача, який зазвичай є "слабкою" стороною у таких цивільних відносинах, правові відносини споживача з банком фактично не є рівними (правові висновки викладені, зокрема, у постанові Верховного Суду України від № 176/1445/22 від 16.08.2023, а також від 13.05.2015 у справі № 6-71цс15 та неодноразово підтверджені Верховним Судом, зокрема у постановах від 23.01.2018 у справі № 202/10128/14-ц, від 18.04.2018 у справі № 190/926/16-ц, від 20.06.2018 у справі № 320/1169/16-ц, від 22.11.2018 у справі № 712/2283/16-ц, від 05.12.2018 у справі № 754/15020/15-ц, від 17.07.2019 у справі № 571/841/16-ц, від 13.09.2019 у справі № 501/4443/14-ц, від 02.10.2019 у справі № 182/3171/16, від 16.10.2019 у справі № 676/2792/16-ц, від 20.11.2019 у справі № 210/245/18-ц, від 05.12.2019 у справі № 168/613/16-ц, від 23.01.2020 у справі № 179/1688/17, від 07.10.2020 у справі № 748/1418/19).
Користувач не несе відповідальності за здійснення платіжних операцій у разі відсутності доказів сприяння ним втраті, використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції (правова позиція викладена у постанові Верховного Суду України від 13.05.2015 у справі № 6-71цс15, постановах Верховного Суду від 23.01.2018 у справі № 202/10128/14-ц (провадження № 61-1856св17), від 13.09.2019 у справі № 501/4443/14-ц (провадження № 61-10469св18), від 20.11.2019 у справі № 577/4224/16-ц (провадження № 61-30583св18), від 17.06.2021 у справі № 759/4025/19 (провадження № 61-1035св21), від 29.08.2022 у справі № 532/1349/19 (провадження № 61-6887св21), від 31.07.2024 у справі № 953/5904/22).
Враховуючи зазначене, відповідачем, як фінансовою установою, допущено порушення положень законодавства, умов договорів та прав позивача, як споживача фінансової послуги, що полягало в протиправних діях банку, а саме: банком не застосовано посилену автентифікацію учасників, яка мала забезпечити виявлення несанкціонованого доступу до платіжних операцій позивача; допущено до обробки електронні платіжні документи неналежного платника при наявності підстав для сумніву в їх вірогідності; не з'ясовано їх дійсність з платником і не отримано згоди платника, у зв'язку з чим було виконано неналежні платіжні операції, перерахувавши кошти клієнта неналежному отримувачу.
Отже, банк не довів вину позивача (клієнта) у доступі третіх осіб до інформації, яка дозволила ініціювати банківські операції, і не спростував наявність своєї вини у несанкціонованому списанні коштів з рахунку клієнта. За таких умов судом першої інстанції обґрунтовано задоволені позовні вимоги про стягнення з відповідача грошових коштів у розмірі 1 840 000,00 грн, помилково списаних банком з рахунку позивача поза його волею.
Відтак, переглянувши оскаржуване рішення, колегія суддів дійшла висновку про те, що твердження скаржника, викладені ним в апеляційній скарзі, не знайшли свого підтвердження під час розгляду справи, тому апеляційну скаргу слід залишити без задоволення, а оскаржуване рішення - без змін.
Відповідно до ст. 129 ГПК України судові витрати покладаються на апелянта.
Керуючись ст.ст. 129, 269, 270, 275, 276, 281-284 ГПК України, суд,-
Апеляційну скаргу публічного акціонерного товариства "Комерційний банк "Акордбанк" на рішення господарського суду Черкаської області від 04.03.2025 у справі № 925/1006/24 залишити без задоволення.
Рішення господарського суду Черкаської області від 04.03.2025 у справі № 925/1006/24 залишити без змін.
Матеріали справи № 925/1006/24 повернути до місцевого господарського суду.
Постанова набирає законної сили з дня її прийняття та може бути оскаржена в касаційному порядку відповідно до ст.ст. 287, 288 ГПК України.
Повний текст постанови складено 27.10.2025.
Головуючий суддя М.А. Руденко
Судді М.А. Барсук
Є.Ю. Пономаренко