вул. Шолуденка, буд. 1, літера А, м. Київ, 04116 (044) 230-06-58 inbox@anec.court.gov.ua
"14" квітня 2026 р. Справа№ 910/14013/25
Північний апеляційний господарський суд у складі колегії суддів:
головуючого: Колесника Р.М.
суддів: Сковородіної О.М.
Тищенко А.І.
розглянувши у порядку письмового провадження апеляційну скаргу Акціонерного товариства Комерційний банк «Приватбанк»
на рішення Господарського суду міста Києва від 19.01.2026
у справі № 910/14013/25 (суддя - Ягічева Н.І.)
за позовом Акціонерного товариства Комерційний банк «Приватбанк»
до Фізичної особи-підприємця Гінки Крістіни Анатоліївни
прo стягнення 126177,00 гривень
Короткий зміст позовних вимог
ФОП Гінка К.А. (надалі - позивачка) звернулась до Господарського суду міста Києва із позовною заявою до АТ КБ «Приватбанк» (надалі - відповідач, банк) про стягнення безпідставно списаних коштів в розмірі 126177 гривень.
Позовні вимоги обґрунтовано тим, що з рахунку позивачки внаслідок несанкціонованої транзакції було списано грошові кошти у розмірі 126177,00 гривень чому відповідач не запобіг, а тому має відшкодувати позивачці вказану суму.
Короткий зміст судового рішення
Рішенням Господарського суду міста Києва від 19.01.2026 позов задоволено повністю, стягнуто з відповідача на користь позивачки безпідставно списані кошти в розмірі 126177,00 гривень та 2422,40 гривень витрат по сплаті судового збору.
Рішення суду першої інстанції мотивоване наступним:
- окрім функцій розрахунково-касового обслуговування клієнта банк також виконує й функцію зберігання його грошових коштів, які перебували на поточному рахунку, і несе відповідальність за безпеку власної платіжної системи, а значить і грошових коштів клієнта;
- банк не довів існування обставин умисного або з необережності розголошення позивачкою реквізитів банківського рахунку, інших дій або бездіяльності позивачки, що призвели до несанкціонованого доступу невстановлених осіб до її банківського рахунку, та не підтвердив належними і допустимими доказами обставин, які б безспірно доводили, що позивачка, як користувач банківського рахунку, своїми діями чи бездіяльністю сприяла у доступі до відомостей по банківському рахунку, акаунту чи інтернет додатку «Приват-24 для бізнесу», незаконному використанню ПІН-коду або іншої інформації, яка дала змогу ініціювати спірні платіжні операції;
- всупереч положень статей 67, 68 ЗУ «Про платіжні послуги» банк не запровадив систему захисту інформації, що мала забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання, а також не запровадив посилену ідентифікацію користувача (позивачки), яка мала забезпечити виявлення несанкціонованого доступу до платіжних операцій позивачки;
- навіть у разі наявності обставин, які безспірно доводять, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, то це є підставою для притягнення такого користувача до цивільно-правової відповідальності, а в усіх інших випадках відповідальність покладається на банк;
- в разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів;
- за відсутності належних та допустимих доказів сумніви та припущення мають тлумачитися переважно на користь споживача, який зазвичай є «слабкою» стороною у таких цивільних відносинах, правові відносини споживача з банком фактично не є рівними;
- у спірних правовідносинах позивачка є споживачем банківських послуг, а тому не має тих рівня знань і засобів, які можуть забезпечити безпеку (схоронність) грошових коштів на своєму рахунку, що обслуговує банк;
- банк, надаючи фінансові послуги, зобов'язаний забезпечити такий рівень безпеки фінансових активів клієнта, довірених банку, аби убезпечити їх від безпідставного зменшення, зокрема за допомогою систем дистанційного банківського обслуговування (Інтернет-банкінгу), відповідальним за які є банк. З цією метою банк має постійно впроваджувати у своїй діяльності технологічні процеси (алгоритми), що відповідають актуальним викликам безпеки та спрямовані на запобігання помилковому переказу грошових коштів клієнтів, а також здійснювати контроль за їх дотриманням і виконанням;
- обов'язок дотримання відповідачем вимог законодавства покладається саме на нього, як на надавача послуг клієнту з рахунку якого здійснено несанкціоноване списання, оскільки саме відповідача було повідомлено про несанкціонований доступ до рахунку клієнта та списання грошових коштів, то в такому випадку, виходячи з вище викладеного, належним відповідачем є саме АТ КБ «Приватбанк», так як користувач не несе відповідальності за здійснення платіжних операцій, якщо електронний платіжний засіб було використано без фізичного пред'явлення користувачем та/або електронної ідентифікації самого електронного платіжного засобу і його користувача, а відповідач не здійснив належної перевірки ініційованого платіжного документу, не встановив дійсність підпису ініціатора, цілісність, не перевірив згоди клієнта не забезпечив безпеку рахунку клієнта;
- враховуючи, що безпідставне списання коштів відбулось з рахунку позивачки, то саме на відповідача покладено обов'язок як обслуговуючого банку рахунку клієнта здійснювати захист від стороннього доступу до рахунку та несанкціонованого списання коштів з рахунку свого клієнта;
- відповідачем не доведено вину позивачки у доступі третіх осіб до інформації, яка дозволила ініціювати банківські операції, і не спростував наявність своєї вини у несанкціонованому списанні коштів з рахунку позивача.
Короткий зміст апеляційної скарги
Не погоджуючись з прийнятим рішенням, відповідач звернувся до Північного апеляційного господарського суду із апеляційною скаргою, в якій просить скасувати рішення суду першої інстанції та прийняти нове рішення, яким в задоволенні позову відмовити.
В обґрунтування апеляційної скарги скаржник посилався на наступне:
- судом першої інстанції не враховано, що банк не несе відповідальність за збереження коштів клієнта у разі розголошення уповноваженими/довіреними особами клієнта відомостей про логін та пароль та/або передачі КЕП або ПІН коду третім особам. Додані до матеріалів справи документи, зокрема дані щодо входу до акаунту Приват 24 позивачки, свідчать про те, що входи відбувались з коректним введенням ПІН коду, логіну і паролів, які відомі лише позивачці;
- 2025-10-01 з клієнтського терміналу позивачки № +380974447949 було підтверджено зміну паролю доступу в Приват24 та фінансового номеру (логіну). Клієнт здійснив це самостійно. Для підтвердження використовувався PIN-код карти 4627055110908547, який відомий тільки клієнту. 2025-10-01 о 17:04:53 позивачка відновлює фінансовий № 380974447949, але пароль лишається старий, який був встановлений невідомими особами. Відповідно вони мали доступ до акаунту позивачки з 01.10.2025 по 15.10.2025, попередньо встановивши доступ через відтиск пальця (біометрія);
- згідно налаштувань Профілю безпеки Приват24 для бізнесу у позивачки використовувалась двофакторна автентифікація, яка була включена в будь-якому випадку (Вхід за допомогою ключа УЕП додатково підтверджується одноразовим паролем, відправленим на мобільний телефон позивачки). Всі спірні платежі були підписані електронно цифровим підписом позивачки. Перелічені вище обставини свідчать про те, що позивачка самостійно своїми власними діями створила небезпеку проведення платежів та неконтрольований позивачкою доступ до свого акаунту в «Приват 24» та «Приват24 для бізнесу». Оскільки позивачкою не було дотримано вимоги безпеки доступу до системи дистанційного обслуговування «Приват 24» та «Приват24 для бізнесу» та безпеки проведення платежів, та не дотримано Умов та Правил надання банківських послуг, банк повідомляв про відсутність правових підстав для задоволення вимог щодо повернення коштів;
- без надання згоди на зміну паролів стороннім особам, згоди на зміну фінансового номеру, передачі кодів з смс банку, які передавати заборонено, передачі кваліфікованого електронного підпису (КЕП), який належав позивачці та паролів входу/ПІН-кодів, які були відомі лише позивачці, вхід та переведення коштів в Приват 24 та Приват 24 для бізнесу були б неможливими;
- на позивачку покладено обов'язок нерозголошення паролів та заборона передачі кодів, ПІН кодів, КЕП третім особам, і даний обов'язок позивачкою було порушено. Тому, відповідач не повинен нести відповідальність за спірні операції;
- судом першої інстанції не враховано, що в матеріалах справи абсолютно відсутні докази викрадення коштів або їх несанкціонованого перерахування з рахунку позивачки, а обставини, викладені в позовній заяві, не є доведеними;
- судом першої інстанції не враховано, що на момент проведення транзакцій, вони були ідентифіковані як такі, що вчинені позивачкою, і жодні підстави для їх оскарження були відсутні;
- на момент проведення транзакцій, вони були ідентифіковані як такі, що вчинені позивачкою, і жодні підстави для їх оскарження були відсутні;
- судом не враховано, що банк звільняється від обов'язку доказування вини позивачки в разі проведення спірної транзакції з автентифікацією платіжного інструменту і його держателя в силу п. 146 VІІ Положення №164 (Постанова НБУ від 29.07.2022 № 164 про затвердження Положення про порядок емісії та еквайрингу платіжних інструментів);
- посилання позивачки на Витяг з Єдиного реєстру досудових розслідувань не є доказом вчинення злочину щодо шахрайства з рахунком позивачки;
- судом не враховано, що позивачкою не зазначена жодна норма закону відповідно до якої банк має нести відповідальність за злочинні дії третіх осіб, в т.ч. відшкодовувати шкоду завдану в результаті таких протиправних дій;
- позивачка не надала суду належних, допустимих та вірогідних доказів того, що платіжні доручення, на підставі яких були списані кошти з її рахунку на рахунки іншої особи, не містили її ЕЦП чи що позивачкою було повідомлено банк про компрометацію особистих ключів.
До того ж, скаржником в своїй скарзі викладено клопотання про витребування у Львівського районного управління поліції № 2 Головного управління Національної поліції у Львівській області (м. Львів, вул. Городоцька, 118) копії матеріалів кримінального провадження 12025141370000797, ініційованого позивачкою.
Обставини справи, встановлені судом першої інстанції та перевірені судом апеляційної інстанції
30.10.2018 позивачка на підставі анкети-заяви про приєднання до Умов та правил надання банківських послуг АТ КБ «Приватбанк», відповідно до ст. 634 ЦК України, приєдналася до умов та правил надання банківських послуг банку, що розміщенні на його офіційному сайті в мережі інтернет privatbank.ua, які разом з пам'яткою клієнта і тарифами становлять договір банківського обслуговування.
На підставі анкети-заяви про приєднання позивачці було відкрито поточний банківський рахунок № НОМЕР_1 .
13.10.2025 в проміжок часу з 19 год. 46 хв. по 20 год. 36 хв. з банківського рахунку позивачки № НОМЕР_1 списано грошові кошти в загальній сумі 126177,00 гривень, зокрема, проведено 294 (двісті дев'яносто чотири) окремих операцій (платежів), кожен на суму 500 та 900 гривень.
Згідно банківської виписки за період з 13.10.2025 по 14.10.2025 списання грошових коштів здійснено на наступні банківські рахунки:
1. № НОМЕР_2 відкритого у АТ «Укрсиббанк», одержувач коштів ОСОБА_1 , РНОКПП НОМЕР_3 ;
2. № НОМЕР_4 відкритого у АТ «Сенс Банк», одержувач коштів ФОП Опанасенко Олександра Олегівна, РНОКПП НОМЕР_5 .
За фактом незаконного заволодіння належними грошовими коштами, що перебували на рахунку № НОМЕР_1 позивачкою 14.10.2025 року до ЛРУП №2 ГУНП у Львівській області подано заяву про вчинення кримінального правопорушення, передбаченого ч.4 ст. 190 КК України.
15.10.2025 за результатами розгляду вищезазначеної заяви про кримінальне правопорушення, Львівським районним управлінням поліції № 2 Головним управлінням Національної поліції у Львівській області внесено відомості до Єдиного реєстру досудових розслідувань за № 12025141370000797 з правовою кваліфікацією за частиною 4 статті 190 КК України.
15.10.2025 позивачка звернулась у відділення №12 АТ КБ «Приватбанк» у м. Львові із заявою щодо шахрайських дій по рахунку (вх№864-ВБ) з проханням провести службове розслідування щодо несанкціонованих банківських операцій.
Відповідач надав відповідь № 20.1.0.0.0/7-251015/64780 від 17.10.2025 повідомивши, що банком було ініційовано проведення службового розслідування, в ході якого здійснювався детальний аналіз всієї викладеної інформації. В результаті проведення розслідування встановлено, що факт несанкціонованого зняття коштів з рахунку знайшов своє підтвердження. Однак, аналіз обставин, які сприяли використанню коштів третіми особами показав, що позивачкою були порушені умови і правила надання банківських послуг, а саме: використання системи дистанційного банківського обслуговування «Приват24 для Бізнесу» та правил дистанційного управління рахунком. Відповідач зазначив, що пунктом 3.1.3.7.2. Умов передбачено, що Банк не несе відповідальність за збереження коштів та даних Клієнта у разі розголошення/втрати уповноваженими/довіреними особами Клієнта відомостей про логін та пароль або токен та інших даних, необхідних для роботи в Системі «Приват24 для бізнесу», а також у разі передачі КЕП третім особам. Банк не несе відповідальності за несанкціонований доступ до сховища ключів Клієнта під час реєстрації/авторизації в Системі «Приват24 для бізнесу» в разі відсутності ліцензійного програмного забезпечення, відсутність антивірусних та антишпигунських програм, що забезпечують захист від несанкціонованого доступу до інформації Клієнта на персональному комп'ютері Користувача, з якого здійснюється реєстрація (п. 3.1.3 7.2 Умов). Зазначено, що так як позивачкою не в повній мірі було дотримано вимоги безпеки доступу до системи дистанційного обслуговування «Приват24 для бізнесу» та безпеки проведення платежів, банк повідомив про відсутність правових підстав для задоволення вказаних вимог.
Позиція суду апеляційної інстанції
Щодо заявленого скаржником клопотання про витребування доказів.
Так, скаржником в своїй скарзі викладено клопотання про витребування у Львівського районного управління поліції № 2 Головного управління Національної поліції у Львівській області (м. Львів, вул. Городоцька, 118) копії матеріалів кримінального провадження 12025141370000797, ініційованого позивачкою.
Вказане клопотання обґрунтоване тим, що матеріали кримінального провадження містять пояснення сторін, документи витребувані у сторін, банків та компетентних органів, та інші документи, які матимуть вирішальний вплив для прийняття законного та обґрунтованого рішення у даній справі. Дані документи можуть спростувати доводи позивачки та спростувати відсутність підстав для перерахування коштів.
Також, матеріали кримінального провадження можуть містити проведені експертизи персональних комп'ютерів, містити інформацію хто насправді проводив платежі, з якого комп'ютеру, та хто мав доступ до комп'ютеру та кваліфікованого електронного підпису. Отримані копії документів можуть повністю спростувати доводи позивачки та встановити винних осіб.
Скаржник також посилається на безпідставну відмову у витребуванні вказаних доказів судом першої інстанції.
Розглянувши вказане клопотання колегія суддів приходить до наступних висновків.
Відповідно до частин 1 та 2 статті 81 ГПК України учасник справи у разі неможливості самостійно надати докази вправі подати клопотання про витребування доказів судом. Таке клопотання повинно бути подане в строк, зазначений в частинах другій та третій статті 80 цього Кодексу. Якщо таке клопотання заявлено з пропуском встановленого строку, суд залишає його без задоволення, крім випадку, коли особа, яка його подає, обґрунтує неможливість його подання у встановлений строк з причин, що не залежали від неї.
У клопотанні про витребування судом доказів повинно бути зазначено: 1) який доказ витребовується (крім клопотання про витребування судом групи однотипних документів як доказів); 2) обставини, які може підтвердити цей доказ, або аргументи, які він може спростувати; 3) підстави, з яких випливає, що цей доказ має відповідна особа; 4) заходи, яких особа, яка подає клопотання, вжила для отримання цього доказу самостійно, докази вжиття таких заходів та (або) причини неможливості самостійного отримання цього доказу; 5) причини неможливості отримати цей доказ самостійно особою, яка подає клопотання.
Як зазначає відповідач, банк не є стороною кримінального провадження і не може ознайомитись з його матеріалами або запросити його копії.
Разом з тим, колегія суддів зазначає, що витребування доказів з обмеженим доступом здійснюється з урахуванням спеціальних норм, зокрема, з урахуванням положень та обмежень, встановлених Кримінальним процесуальним кодексом України.
Згідно ч. 1 ст. 221, ст. 222 КПК України, слідчий, дізнавач, прокурор зобов'язаний за клопотанням сторони захисту, потерпілого, представника юридичної особи, щодо якої здійснюється провадження, надати їм матеріали досудового розслідування для ознайомлення, за виключенням матеріалів про застосування заходів безпеки щодо осіб, які беруть участь у кримінальному судочинстві, а також тих матеріалів, ознайомлення з якими на цій стадії кримінального провадження може зашкодити досудовому розслідуванню.
Відомості досудового розслідування можна розголошувати лише з письмового дозволу слідчого або прокурора і в тому обсязі, в якому вони визнають можливим.
Слідчий, прокурор попереджає осіб, яким стали відомі відомості досудового розслідування, у зв'язку з участю в ньому, про їх обов'язок не розголошувати такі відомості без його дозволу. Незаконне розголошення відомостей досудового розслідування тягне за собою кримінальну відповідальність, встановлену законом.
Відповідно до положень КПК України, матеріали кримінального провадження - це сукупність документів, що мають значення для цього кримінального провадження та скаржником не аргументовано, а колегією суддів не вбачається достатніх підстав для витребування матеріалів кримінального провадження, досудове розслідування по якому не закінчено, шляхом винесення ухвали про витребування доказів.
Відомості про закінчення досудового розслідування вказаного кримінального провадження в матеріалах справи відсутні, відповідач не скористався правом та не представив апеляційному суду відомості про стан, в якому вказане кримінальне провадження перебуває у спосіб направлення власного запиту до відповідного органу досудового розслідування.
Вказані обставини є самостійними підставами для відмови у задоволенні клопотання відповідача про витребування вказаних матеріалів кримінального провадження.
Менше з тим, відмовляючи у задоволенні вказаного клопотання суд першої інстанції виходив із того, що предмет та підстави розглядуваного позову не вимагають витребування матеріалів кримінального провадження для правильного вирішення цієї справи.
Колегія суддів не вбачає підстав для інших висновків щодо цього ж клопотання відповідача, адже в межах розглядуваної господарської справи достатнім для її правильного вирішення буде перевірка того, чи доведено відповідачем вину позивачки у доступі третіх осіб до інформації, яка дозволила ініціювати банківські операції. Проте, з огляду на перелік відомостей, що ймовірно може міститися в матеріалах кримінального провадження, про який зазначає відповідач у своєму клопотанні, він, здебільшого, зводиться до можливості встановлення винних осіб, що могли вчинити несанкціоновані позивачкою банківські операції.
Встановлення в межах кримінального провадження таких осіб не може свідчити, як про вину самої позивачки у доступі третіх осіб до відповідної інформації, так і не спростовуватиме самого права позивачки ініціювати розглядуваний позов до відповідача, який, за її твердженням, має нести відповідальність та відшкодувати втрачені грошові кошти, незалежно від встановлення осіб, що фактично вчинили відповідні шахрайські дії, адже її позов обґрунтований невиконанням відповідачем функцій зі збереження її грошових коштів та запровадження ефективного механізму захисту банківських операцій, що здійснюються в банку дистанційно.
З цих підстав, клопотання відповідача про витребування доказів задоволенню не підлягає.
Щодо суті апеляційної скарги
Заслухавши суддю-доповідача, дослідивши доводи, наведені у апеляційній скарзі та заперечення на них, перевіривши матеріали справи щодо правильності застосування судом першої інстанції норм матеріального і процесуального права, колегія суддів вважає, що апеляційна скарга задоволенню не підлягає з таких підстав.
Відповідно до ч. 1 ст. 269 ГПК України суд апеляційної інстанції переглядає справу за наявними у ній і додатково поданими доказами та перевіряє законність і обґрунтованість рішення суду першої інстанції в межах доводів та вимог апеляційної скарги.
Спір виник внаслідок того, що відповідач не виконав свій обов'язок щодо збереження грошових коштів, розміщених позивачкою на рахунку, відкритому в банку.
Відповідно до статті 2 ЗУ «Про банки і банківську діяльність» банківський платіжний інструмент - засіб, що містить реквізити, які ідентифікують його емітента, платіжну систему, в якій він використовується, та, як правило, держателя цього банківського платіжного інструмента. За допомогою банківських платіжних інструментів формуються відповідні документи за операціями, що здійснені з використанням банківських платіжних інструментів, на підставі яких проводиться переказ грошей або надаються інші послуги держателям банківських платіжних інструментів; розрахункові банківські операції - рух грошей на банківських рахунках, здійснюваний згідно з розпорядженнями клієнтів або в результаті дій, які в рамках закону призвели до зміни права власності на активи.
Статтею 47 ЗУ «Про банки і банківську діяльність» визначено, що банк має право надавати банківські та інші фінансові послуги (крім послуг у сфері страхування), а також здійснювати іншу діяльність, визначену в цій статті, як у національній, так і в іноземній валюті.
Згідно зі статтею 51 ЗУ «Про банки і банківську діяльність» для здійснення банківської діяльності банки відкривають та ведуть кореспондентські рахунки у Національному банку України та інших банках в Україні і за її межами, банківські рахунки для фізичних та юридичних осіб у гривнях та іноземній валюті. Банківські розрахунки проводяться у готівковій та безготівковій формах згідно із правилами, встановленими нормативно-правовими актами Національного банку України. При виконанні розрахункової операції банк зобов'язаний перевірити достовірність та формальну відповідність документа.
Відповідно до статті 55 ЗУ «Про банки та банківську діяльність» відносини банку з клієнтом регулюються законодавством України, нормативно-правовими актами Національного банку України та угодами (договорами) між клієнтом та банком.
Відповідно до ч. 1 ст. 1066 ЦК України за договором банківського рахунка банк зобов'язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій за рахунком.
Частиною першою статті 1068 ЦК України передбачено, що банк зобов'язаний вчиняти для клієнта операції, які передбачені для рахунків даного виду законом, банківськими правилами та звичаями ділового обороту, якщо інше не встановлено договором банківського рахунка.
Згідно з частиною першою статті 1071 ЦК України банк може списати грошові кошти з рахунка клієнта на підставі його розпорядження.
Відповідно до статті 1073 ЦК України у разі несвоєчасного зарахування на рахунок грошових коштів, що надійшли клієнтові, їх безпідставного списання банком з рахунка клієнта або порушення банком розпорядження клієнта про перерахування грошових коштів з його рахунка банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти та відшкодувати завдані збитки, якщо інше не встановлено законом.
Частиною третьою статті 1092 ЦК України передбачено, якщо порушення банком правил розрахункових операцій спричинило помилковий переказ банком грошових коштів, банк несе відповідальність відповідно до цього Кодексу та Закону.
Судом встановлено, що за умовами анкети-заяви про приєднання до Умов та правил надання банківських послуг АТ «КБ «Приватбанк» від 30.10.2018, укладеної банком з позивачкою, відповідач як надавач платіжних послуг зобов'язувався надавати ряд банківських послуг, в тому числі виконувати платіжну інструкцію клієнта про перерахування, здійснення розрахунково-касового обслуговування та проведення інших операцій за рахунком через систему дистанційного обслуговування.
Згідно з частиною першою статті 1 ЗУ «Про платіжні послуги» безготівкові розрахунки - перерахування коштів з рахунків платників на рахунки отримувачів, а також перерахування надавачами платіжних послуг коштів, внесених платниками готівкою, на рахунки отримувачів; вразливі платіжні дані - дані (їх сукупність), включаючи індивідуальну облікову інформацію, за допомогою яких можуть вчинятися шахрайські дії; надавач платіжних послуг з обслуговування рахунку - надавач платіжних послуг, у якому відкритий рахунок платника для виконання платіжних операцій; неакцептована платіжна операція - платіжна операція, виконана надавачем платіжних послуг платника на підставі наданої ініціатором платіжної інструкції без отримання згоди платника (крім примусового списання (стягнення) або після відкликання такої згоди; неналежний платник - особа, з рахунку якої списано кошти без законних підстав (помилково або неправомірно); помилкова платіжна операція - платіжна операція, внаслідок якої з вини надавача платіжних послуг здійснюється списання коштів з рахунку неналежного платника та/ або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі; суб'єкти платіжних операцій - користувачі (платники, отримувачі) та відповідні надавачі платіжних послуг; схема виконання платіжних операцій - єдиний набір правил, стандартів та/або процедур, що розроблені та використовуються для виконання платіжних операцій (у тому числі в платіжній системі) і визначають порядок ініціювання, виконання та завершення платіжних операцій, платіжні інструменти, що використовуються для виконання платіжних операцій, порядок їх емісії та еквайрингу; технологічний оператор платіжних послуг (далі - технологічний оператор) - юридична особа, що надає послуги процесингу, клірингу або виконує операційні, інформаційні та інші технологічні функції, пов'язані з наданням платіжних послуг, без залучення коштів за платіжними операціями на свій рахунок; унікальний ідентифікатор - комбінація цифр або знаків, що надається користувачу надавачем платіжних послуг та дає змогу однозначно ідентифікувати користувача та/ або його рахунок для цілей виконання платіжної операції.
Відповідно до пунктів 42 - 44 частини першої статті 1 ЗУ «Про платіжні послуги» неналежна платіжна операція - платіжна операція, внаслідок якої з вини особи, яка не є ініціатором або надавачем платіжних послуг, здійснюється списання коштів з рахунку неналежного платника та/або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі; неналежний отримувач-особа, на рахунок якої без законних підстав зарахована сума платіжної операції або яка отримала суму платіжної операції в готівковій формі; неналежний платник-особа, з рахунку якої списано кошти без законних підстав (помилково або неправомірно).
Згідно зі статтею 43 ЗУ «Про платіжні послуги» надавач платіжних послуг зобов'язаний прийняти до виконання надану ініціатором платіжну інструкцію, за умови що платіжна інструкція оформлена належним чином та немає законних підстав для відмови в її прийнятті. Надавач платіжних послуг платника під час виконання платіжної операції з рахунку платника зобов'язаний перевірити в платіжній інструкції ініціатора відповідність:
1) номера рахунку платника та коду платника (коду юридичної особи (відокремленого підрозділу юридичної особи) згідно з Єдиним державним реєстром підприємств та організацій України/податкового номера або серії (за наявності) та номера паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті); або
2) унікального ідентифікатора платника.
Надавач платіжних послуг приймає рішення щодо перевірки в платіжній інструкції інформації, зазначеної в пунктах 1 або 2 цієї частини, самостійно, а якщо він є учасником платіжної системи - згідно з правилами платіжної системи.
Надавач платіжних послуг платника приймає до виконання платіжну інструкцію лише у разі, якщо зазначена у пункті 1 або 2 цієї частини інформація, яку він перевіряє відповідно до вимог цієї частини, відповідає тій інформації про платника, що зберігається у такого надавача платіжних послуг. У разі недотримання вимог, зазначених у цій частині, відповідальність за шкоду, заподіяну платнику, несе надавач платіжних послуг платника. Такі ж дії передбачені даним законом щодо порядку виконання платіжних операцій.
Частиною першою статті 51 ЗУ «Про платіжні послуги» передбачено, що надавачі платіжних послуг зобов'язані здійснювати моніторинг платіжних операцій користувачів відповідно до внутрішнього порядку управління операційними ризиками та ризиками інформаційної безпеки з метою ідентифікації неакцептованих, помилкових та неналежних платіжних операцій, суб'єктів таких операцій та забезпечувати вжиття заходів для запобігання або припинення таких операцій.
Відповідно до статті 52 ЗУ «Про платіжні послуги» платник протягом 60 календарних днів після списання коштів з його рахунку має право подати письмовий запит до надавача платіжних послуг платника з вимогою відшкодування суми платіжної операції згідно з положеннями цієї статті. Форма та порядок подання запиту з вимогою відшкодування суми платіжної операції визначаються договором між платником та надавачем платіжних послуг. Надавач платіжних послуг повинен фіксувати дату і час отримання запиту з вимогою відшкодування суми платіжної операції в операційно-обліковій системі. Надавач платіжних послуг платника зобов'язаний протягом 10 робочих днів з дня отримання запиту платника відшкодувати йому суму платіжної операції або надати обґрунтовану відмову у відшкодуванні. Платіжна операція відшкодовується в повному обсязі. Платник має право оскаржити відмову у відшкодуванні суми платіжної операції в судовому порядку. Надавач платіжних послуг платника має право на отримання від отримувача відшкодування суми сплаченої платнику оскарженої платіжної операції в судовому порядку.
Згідно з частиною четвертою статті 67 ЗУ «Про платіжні послуги» надавачі платіжних послуг зобов'язані запровадити систему захисту інформації, що має забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання.
Крім цього, частинами першою, третьою - п'ятою статті 68 ЗУ «Про платіжні послуги» визначено, що електронна взаємодія надавача платіжних послуг із користувачем здійснюється лише після автентифікації користувача, який є фізичною особою, або уповноваженого представника користувача, який є юридичною особою.
Надавачі платіжних послуг зобов'язані застосовувати посилену ідентифікацію користувача під час:
- отримання користувачем доступу до рахунку за допомогою засобів дистанційної комунікації;
- ініціювання дистанційної платіжної операції;
- будь-яких інших дій у разі підозри вчинення шахрайства (або існування ризику шахрайства) чи інших неправомірних дій (або існування ризику вчинення інших неправомірних дій).
Надавачі платіжних послуг зобов'язані розробити та застосовувати елементи посиленої ідентифікації, які мають бути незалежними, щоб виявлення факту несанкціонованого доступу до одного захищеного елемента або його розголошення не загрожувало надійності інших елементів, а також запровадити заходи із забезпечення захисту конфіденційності даних ідентифікації.
Для проведення дистанційних платіжних операцій надавачі платіжних послуг зобов'язані застосовувати посилену ідентифікацію платника, що включає використання унікальних для кожної окремої операції даних, які дають змогу пов'язувати (в результаті виконання алгоритму співставляти контрольний показник з даними операції) операцію на певну суму і конкретного отримувача.
Статтею 86 ЗУ «Про платіжні послуги» передбачено відповідальність надавачів платіжних послуг під час виконання платіжних операцій, зокрема зазначено, що: надавач платіжних послуг несе відповідальність перед користувачами за невиконання або неналежне виконання платіжних операцій відповідно до цього Закону та умов укладених між ними договорів, якщо не доведе, що платіжні операції виконані цим надавачем платіжних послуг належним чином; надавачі платіжних послуг несуть відповідальність, визначену цим Законом, за виконання помилкової, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків; користувачі мають право на відшкодування в судовому порядку шкоди, заподіяної надавачем платіжних послуг внаслідок помилкової, неналежної, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків; надавач платіжних послуг у разі виконання помилкової, неналежної, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків зобов'язаний на запит користувача, якого він обслуговує, невідкладно вжити заходів для отримання всієї наявної у надавача платіжних послуг інформації про платіжну операцію та надати її користувачу без стягнення плати.
Надавачі платіжних послуг несуть відповідальність перед користувачами за помилкові платіжні операції, у тому числі за виконання:
1) помилкової платіжної операції на рахунок неналежного отримувача;
2) помилкової платіжної операції з рахунку неналежного платника;
3) платіжної операції з рахунку платника без законних підстав або внаслідок інших помилок надавача платіжних послуг.
Надавач послуг з ініціювання платіжної операції у разі невиконання або неналежного виконання платіжної операції з його вини зобов'язаний відшкодувати надавачу платіжних послуг з обслуговування рахунку на вимогу останнього всі понесені збитки та суми, відшкодовані користувачам. Надавач платіжних послуг з обслуговування рахунку несе передбачену цим Законом відповідальність перед користувачами за невиконання або неналежне виконання платіжних операцій, ініційованих через надавача платіжних послуг з ініціювання платіжної операції.
Надавачі платіжних послуг несуть відповідальність перед користувачами за дії або бездіяльність своїх працівників, залучених комерційних агентів та надавачів платіжних послуг - посередників, у тому числі за невиконання або неналежне виконання платіжних операцій та/або за заподіяну шкоду.
Згідно з пунктом 140 Розділу VІІ Постанови Національного банку України від 29.07.2022 № 164 «Про затвердження Положення про порядок емісії та еквайрингу платіжних інструментів» користувач зобов'язаний не повідомляти та іншим чином не розголошувати індивідуальну облікову інформацію та/або іншу інформацію, що дає змогу ініціювати платіжні операції, та негайно після того, як йому стало відомо про факт втрати такої інформації та/або платіжного інструменту, повідомити про це емітента в спосіб та каналами зв'язку, визначеними договором між емітентом та користувачем. До моменту повідомлення емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації ризик збитків від виконання неналежних платіжних операцій та відповідальність за них покладаються на користувача. З моменту повідомлення користувачем емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації ризик збитків від виконання неакцептованих/неналежних платіжних операцій та відповідальність покладаються на емітента. Момент, з якого настає відповідальність емітента, має бути чітко визначений умовами договору, укладеного між користувачем та емітентом.
Відповідно до пунктів 16 - 17 Розділу І Положення про порядок емісії та еквайрингу платіжних інструментів власник рахунку здійснює контроль за рухом і цільовим використанням коштів за операціями з використанням платіжних інструментів. Користувач здійснює контроль за використанням платіжного інструменту для проведення операцій.
Згідно з пунктами 143 - 144 Розділу VІІ Положення про порядок емісії та еквайрингу платіжних інструментів надавач платіжних послуг у разі виконання помилкової платіжної операції з рахунку неналежного платника, якщо власник рахунку/держатель невідкладно повідомив про платіжні операції з використанням платіжного інструменту, які ним не виконувалися, зобов'язаний негайно після виявлення помилки або після отримання повідомлення (залежно від того, що відбулося раніше) переказати за рахунок власних коштів суму платіжної операції на рахунок неналежного платника. Надавач платіжних послуг зобов'язаний також відшкодувати неналежному платнику суму утриманої/сплаченої неналежним платником комісійної винагороди за виконану помилкову платіжну операцію (за наявності такої комісійної винагороди). Надавач платіжних послуг повинен сприяти власнику рахунку/держателю в поверненні коштів за неналежною платіжною операцією з використанням платіжного інструменту шляхом негайного надання доступної йому інформації про таку операцію (без стягнення плати), уключаючи інформацію, отриману на його запит від надавача платіжних послуг, що обслуговує неналежного отримувача.
Пунктом 150 Розділу VІІ Положення про порядок емісії та еквайрингу платіжних інструментів передбачено, що емітент має право прийняти рішення про зупинення здійснення операцій з використанням певного платіжного інструменту, а також про вилучення платіжного інструменту за наявності обставин, що можуть свідчити про незаконне його використання та/або його реквізитів, значно збільшеного ризику неспроможності користувача виконати своє зобов'язання щодо сплати кредиту та процентів за ним, в інших випадках, установлених договором.
Отже, суд першої інстанції дійшов правильних висновків про те, що окрім функцій розрахунково-касового обслуговування клієнта банк також виконує й функцію зберігання його грошових коштів, які перебували на поточному рахунку, і несе відповідальність за безпеку власної платіжної системи, а значить і грошових коштів, що також узгоджується із правовою позицією Верховного Суду, викладеною в постанові від 21.06.2023 у справі № 922/4091/19.
Як встановлено судом, та сторонами не заперечувалося, 13.10.2025 в проміжок часу з 19 год. 46 хв. по 20 год. 36 хв. з банківського рахунку № НОМЕР_1 позивачки списано грошові кошти в загальній сумі 126177,00 гривень, зокрема, проведено 294 окремих операцій, кожна на суму 500 та 900 гривень на банківські рахунки:
1. № НОМЕР_2 відкритого у АТ «Укрсиббанк», одержувач коштів ОСОБА_1, РНОКПП - НОМЕР_3 ;
2. № НОМЕР_4 відкритого у АТ «Сенс Банк», одержувач коштів ФОП Опанасенко Олександра Олегівна, РНОКПП - НОМЕР_5 .
При цьому, позивачка стверджує, що згоду на проведення 294 операції з переказу коштів банк від позивачки не отримував, в момент списання коштів позивачці не надходили повідомлення або телефонні дзвінки для підтвердження трансакцій.
31.10.2025 позивачка звернулася до відповідача з вимогою про переказ на її рахунок суми несанкціонованих підозрілих платіжних операцій в загальному розмірі 126177,00 гривень, проведених 13.10.2025 року в проміжок часу з 19 год 46 хв. по 20 год. 36 хв, з поточного рахунку № НОМЕР_1 , відкритого в АТ КБ «Приватбанк».
В листі від № 20.1.0.0.0/7-251104/97149 від 05.11.2025 відповідач підтвердив факт несанкціонованого зняття коштів з рахунку позиваки. Однак, за твердженням відповідача, несанкціоноване зняття коштів відбулось через порушення нею умов і правил наданих банківських послуг, а саме: використання системи дистанційного банківського обслуговування «Приват24 для Бізнесу» та правил дистанційного управління рахунком. При цьому, відповідач посилався на пункт 3.1.3.7.2 Умов та правил надання банківських послуг, відповідно до якого банк не несе відповідальність за збереження коштів та даних клієнта у разі розголошення/втрати уповноваженими/довіреними особами клієнта відомостей про логін та пароль або токен та інших даних, необхідних для роботи в системі «Приват24 для бізнесу», а також у разі передачі КЕП третім особам. Банк не несе відповідальності за несанкціонований доступ до сховища ключів клієнта під час реєстрації/авторизації в системі «Приват24 для бізнесу» в разі відсутності ліцензійного програмного забезпечення, відсутність антивірусних та анти шпигунських програм, що забезпечують захист від несанкціонованого доступу до інформації клієнта на персональному комп'ютері користувача, з якого здійснюється реєстрація.
Верховний Суд у постанові від 21.04.2021 у справі № 751/6050/18 дійшов висновку, що саме на банк, який є професійним учасником ринку надання банківських послуг, покладено обов'язок доведення того, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. Відповідно, вимоги до рівня та розумності ведення справ банком є вищими, ніж до споживача - фізичної особи, яка зазвичай є слабшою стороною у цивільних відносинах з такою кредитною установою. З врахуванням наведеного, всі сумніви та розумні припущення мають тлумачитися судом саме на користь такої слабшої сторони.
У постановах Верховного Суду від 16.12.2020 у справі № 214/2867/18, від 27.01.2021 у справі № 210/1242/18, від 17.06.2021 у справі№ 759/4025/19; від 16.08.2023 у справі № 176/1445/22, викладено правові висновки, що саме банк має довести, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції. У разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів. Сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. За відсутності належних і допустимих доказів сумніви та припущення мають тлумачитись переважно на користь споживача, який зазвичай є «слабкою» стороною в таких цивільних відносинах, оскільки правові відносини споживача з банком фактично не є рівними.
Колегія суддів погоджується із висновками суду першої інстанції про те, що банк не довів існування обставин умисного або з необережності розголошення позивачкою реквізитів банківського рахунку, інших дій або бездіяльності позивачки, що призвели до несанкціонованого доступу невстановлених осіб до її банківського рахунку, та не підтвердив належними і допустимими доказами обставин, які б безспірно доводили, що саме позивачка, як користувач банківського рахунку, своїми діями чи бездіяльністю сприяла у доступі до відомостей по банківському рахунку, акаунту чи інтернет додатку «Приват-24 для бізнесу», незаконному використанню ПІН-коду або іншої інформації, яка дала змогу ініціювати спірні платіжні операції.
З огляду на це суд першої інстанції дійшов правильного висновку, що всупереч положень статей 67, 68 ЗУ «Про платіжні послуги» банк не запровадив систему захисту інформації, що мала забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання, а також не запровадив посилену ідентифікацію користувача (позивачки), яка мала забезпечити виявлення несанкціонованого доступу до платіжних операцій позивачки.
Тобто відповідачем, як фінансовою установою, допущено порушення положень законодавства та прав позивачки, як споживача фінансової послуги, що полягало в протиправних діях банку, які полягають в незабезпеченні посиленої ідентифікації користувача та захисту конфіденційності даних ідентифікації позивачки.
Також суд враховує правову позицію, викладену у постанові Верховного Суду від 21.06.2023 у справі № 922/4091/19 стосовно того, що ЗУ «Про основні засади забезпечення кібербезпеки України» покладає на банки обов'язок з забезпечення кібербезпеки. Саме банк відповідає за безпеку здійснення електронних платежів. Несанкціоноване списання коштів поза волею клієнта, свідчить про несанкціоноване втручання в систему здійснення банківських платежів, яка належить банку, з боку третіх осіб. Несанкціоноване списання коштів з рахунку позивача є не просто помилковим платежем, а інцидентом кібербезпеки, який мав бути зафіксований та розслідуваний банком відповідно до приписів Закону України «Про основні засади забезпечення кібербезпеки України».
З огляду на викладене колегія суддів погоджується із висновками суду першої інстанції, про те, що банк, надаючи фінансові послуги, зобов'язаний забезпечити такий рівень безпеки фінансових активів клієнта, довірених банку, аби убезпечити їх від безпідставного зменшення, зокрема за допомогою систем дистанційного банківського обслуговування (Інтернет-банкінгу), відповідальним за які є банк. З цією метою банк має постійно впроваджувати у своїй діяльності технологічні процеси (алгоритми), що відповідають актуальним викликам безпеки та спрямовані на запобігання помилковому переказу грошових коштів клієнтів, а також здійснювати контроль за їх дотриманням і виконанням.
Оскільки відповідач, як надавач послуг клієнту, з рахунку якого здійснено несанкціоноване списання, не здійснив належної перевірки ініційованого платіжного документу, не встановив дійсність підпису ініціатора, цілісність, не перевірив згоди клієнта, не забезпечив безпеку рахунку клієнта, не довів вини позивачки у доступі третіх осіб до інформації, яка дозволила ініціювати банківські операції, і не спростував наявність власної вини у несанкціонованому списанні коштів з її рахунку, суд першої інстанції дійшов підставних та обґрунтованих висновків про те, що саме відповідач має нести тягар відшкодування втрачених позивачкою грошових коштів та доводи, що викладено в апеляційній скарзі висновків суду першої інстанції не спростовують.
Таким чином, з огляду на все вищевикладене, колегія суддів вважає, що оскаржуване рішення суду прийнято у відповідності з вимогами матеріального та процесуального права, підстав його скасування не вбачає.
Згідно з ст. 276 ГПК України суд апеляційної інстанції залишає апеляційну скаргу без задоволення, а судове рішення без змін, якщо визнає, що суд першої інстанції ухвалив судове рішення з додержанням норм матеріального і процесуального права.
Судові витрати з оплати судового збору відповідно до ст. 129 ГПК України покладаються на скаржника.
Враховуючи вищевикладене та керуючись ст.ст. 129, 269, 270, 273, 275, 281-284 Господарського процесуального кодексу України, суд, -
1. Апеляційну скаргу Акціонерного товариства Комерційний банк «Приватбанк» залишити без задоволення.
2. Рішення Господарського суду міста Києва від 19.01.2026 у справі № 910/14031/25 залишити без змін.
3. Судовий збір за подання апеляційної скарги покласти на скаржника.
4. Постанова набирає законної сили з дня її ухвалення та може бути оскаржена протягом двадцяти днів з дня складання її повного тексту шляхом подання касаційної скарги до Касаційного господарського суду у складі Верховного Суду.
Повний текст постанови складено і підписано 14.04.2026
Головуючий суддя Р.М. Колесник
Судді О.М. Сковородіна
А.І. Тищенко