вул. Володимира Винниченка 1, м. Дніпро, 49505
E-mail: inbox@dp.arbitr.gov.ua, тел. (056) 377-18-58, fax (056) 377-38-63
21.04.2026 Справа № 904/6517/25
За позовом: Комунального некомерційного підприємства Сумської обласної ради «Обласна дитяча клінічна лікарня», м. Суми
До: Акціонерного товариства «Акцент-Банк», м. Дніпро
Про: стягнення 4 980 000,00грн.
Суддя Васильєв О.Ю.
секретар судового засідання Вязовська К.В.
Від позивача: Четвертак Л.В. ;
Від відповідача: Діденко І.В.
КНП Сумської обласної ради «Обласна дитяча клінічна лікарня» (позивач) звернулося до господарського суду Дніпропетровської області з позовом до АТ «Акцент-Банк» (відповідач) про стягнення безпідставно списаних коштів в розмірі 4 980 000,00грн. Позовні вимоги обґрунтовані тим, що без відома позивача з розрахункового рахунку КНП СОР «ОДКЛ» ( емітованого в AT «Акцент-Банк») було здійснено безпідставне списання грошових коштів в сумі 4 980 000,00 грн. на рахунок НОМЕР_1 ( емітований в АТ «Акцент-Банк» та належний ТОВ «Міланабуд» (ЄРДПОУ 42427891) .
Ухвалою суду від 20.11.25р. відкрито провадження у справі №904/6517/25, справу призначено до розгляду за правилами загального провадження у підготовчому засіданні на 09.12.25р.
АТ «Акцент-Банк» (відповідач) проти задоволення позовних вимог заперечує , стверджуючи про недоведеність вини банку у несанкціонованому списанні коштів з рахунку позивача .
Ухвалою суду від 29.01.26р. продовжено строк підготовчого провадження на 30 днів; відкладено розгляд справи у підготовчому засіданні на 19.02.26р. Ухвалою суду від 05.03.26р. закрите підготовче провадження та призначено справу до судового розгляду по суті на 17.03.26р.
Ухвалою суду від 17.03.26 р. задоволено клопотання відповідача про витребування від Сумського районного управління поліції ГУНП в Сумській області комп'ютерно-технічної експертизи використаного стороннього програмного забезпечення , проведену в рамках кримінального провадження ; для чого суд повернувся до стадії підготовчого провадження. Після отримання висновків судової експертизи суд повернувся до розгляду справи по суті.
Розглянувши матеріали справи, дослідивши подані докази, заслухавши пояснення представників сторін , господарський суд, -
19.02.25р. КНП СОР «Обласна дитяча клінічна лікарня» підписала заяву про приєднання до Умов та Правил надання банківських послуг в АТ «А-Банк» ,в якій вказало ( поміж іншим ) , що планові обсяги щомісячних надходжень на рахунок підприємства - до1млн.грн., типи надходжень - з бюджету ; мета та характер майбутніх ділових відносин з АТ «А-Банк» - депозити, кредити,зарплатний проект, ЗЕД , тощо.
В той же день 19.02.25 р. КНП СОР «ОДКЛ» ( клієнт ) підписало заяву на оформлення послуги «Зарплатний проект» в АТ «А-Банк» ( банк ) , згідно якої клієнт погоджує надання послуги банком щодо зарахування заробітної плати, авансів на відрядження, стипендій, виплат за договорами цивільно-правового характеру та інших виплат з використанням платіжних карток на рахунки співробітників клієнта .Ця заява разом з Умовами та правилами надання банківських послуг ,які розміщені публічно за посиланням www.a-bank.com.ua/terms. становлять договір, умови якого зрозумілі та не потребують додаткового тлумачення . Клієнт надає право та доручає АТ «А-Банк» здійснювати договірне списання коштів з усіх наявних рахунків клієнта , відкритих у АТ «А-Банк» , що випливають з умов договору та/або будь-якого іншого договору , що укладений або буде укладений у майбутньому між клієнтом та банком.
Згідно заяви про оформлення послуги «Зарплатний проект» 19.02.25 р. було відкрито поточний банківський рахунок КНП СОР «ОДКЛ» НОМЕР_2 в АТ «Акцент-Банк» .
Як зазначає позивач , 29.09.25р. о 12 год.59хв. бухгалтер по заробітній платі КНП СОР «ОДКЛ» перетелефонувала головному бухгалтеру підприємства з метою підтвердження входу до персонального банківського кабінету лікарні для нарахування заробітної плати працівникам лікарні . Головним бухгалтером було здійснено підтвердження входу до банківського онлайн кабінету для допуску бухгалтера по заробітній платі для формування відомості лікарні по заробітній платі .
Об 13год.18хв.10сек. програмою було сформовано загальну зарплатну відомість на суму 177 536,54 грн. з призначенням платежу «Заробітна плата за 2 пол.вересня 2025; згідно відомості». В подальшому , 13 год.19хв.35сек. того же дня АТ «А-Банк» було проведено списання з рахунку КНП СОР «ОДКЛ» коштів в сумі 177 536,54 грн. з призначенням платежу «Перерахов.кошти для зарахування заробітна плата , період 01.09.2025-29.09.2025» для перерахування заробітної плати на карткові рахунки працівників.
При виконанні вищезазначених операцій банк не запитував додаткових погоджень або підтверджень з боку лікарні. Тобто банківські операції були проведені автоматично без додаткового підтвердження від головного бухгалтера.
Незважаючи на те, що операція щодо виплати заробітної плати працівникам лікарні вже була проведена, доступ до подальших операцій по рахунку в онлайн кабінеті лікарні АТ «А-Банк» не закрив. Орієнтовно в 13год.54хв. екран компьютера бухгалтера по заробітній платі вимкнувся та курсор миші почав самовільно рухатися по темному екрану компьютера.
В подальшому позивачем було встановлено, що в 13год.56хв.14сек. з рахунку КНП СОР «ОДКЛ» НОМЕР_3 , емітованого в AT «A-Банк», було перераховано грошові кошти в сумі 4 980 000 ,00 грн. на рахунок НОМЕР_1 , емітований в AT «A-Банк» та належний ТОВ «Міланабуд» (ЄРДПОУ 42427891) з призначенням платежу «Оплата за послуги згідно акту № 126 від 29.09.2025, без ПДВ.
Позивач наполягає на тому , що 4 980 000 ,00 грн. були безпідставно списані AT «A-банк» з рахунку КНП СОР «ОДКЛ» НОМЕР_3 на рахунок НОМЕР_1 , емітований в AT «A-Банк» та належний ТОВ «Міланабуд» , оскільки будь-які повноважні на здійснення банківських операцій на цьому рахунку посадові особи КНП СОР «ОДКЛ» не ініціювали цей платіж .Окрім того , звертає увагу суду на ту обставину , що вищезазначений рахунок позивача в AT «A-Банк» відкривався виключно для зарплатного проекту , а 4 980 000 ,00 грн. були перераховані банком з призначенням платежу «Оплата за послуги згідно акту №126 від 29.09.25р. без ПДВ». Але будь-які господарські відносини між КНП СОР «ОДКЛ» та ТОВ «Міланабуд» відсутні.
Про здійснення банком цієї транзакції позивачу стало відомо лише 01.10.25р. ,коли була сформована виписка з карткового рахунку «Зарплатний проект». Відразу після формування виписки по картковому рахунку 01.10.25 р. головний бухгалтер КНП СОР «ОДКЛ» невідкладно повідомив по телефону менеджеру АТ «Акцент - Банк» про несанкціоноване списання грошових коштів. Але відповідач не вчинив жодних дій щодо блокування рахунку , на який було незаконно перераховано кошти в сумі 4 980 000,00 грн. Також позивачем було подано відповідну заяву про вчинення злочину до поліції, на підставі якої відкрито кримінальне провадження за № 12025200480002555, відомості внесені до Єдиного реєстру досудових розслідувань 03.10.25р. року з правовою кваліфікацією за ч. 5 ст. 190 Кримінального кодексу України.
Як зазначає позивач, жодні уповноважені осіби КНП СОР «ОДКЛ» своїми діями чи бездіяльністю не сприяли втраті чи незаконному використанню ключів доступу, паролів або іншої інформації, яка дає змогу ініціювати платіжні операції.
Після виклику поліції було встановлено, що невстановленою особою у невстановлений наразі спосіб 11.08.25р. було інстальовано додаток віддаленого керування «Remote Manipulator System - Host» на комп'ютер бухгалтера по виплатам заробітної плати (адреса м. Суми, вул. Сумської Тероборони, буд. 22).
Після багаторазових безрезультатних телефонних перемовин з представниками АТ «Акцент - Банк» позивач 21.10.25р. письмово звернувся до банку із заявою про проведення службової перевірки та з вимогою повернути безпідставно списані з поточного рахунку кошти. У відповідь листом № 73110/46-25102/140 від 05.11.25р. (отримано на електронну адресу позивача 07.11.25 р.) банк повідомив, що зазначений платіж проведено у штатному режимі, ознак несанкціонованого втручання або порушення безпеки з боку банку не виявлено.
Правовідносини сторін у цій справі виникли з договору банківського рахунку. Відповідно до ч.1 ст.1066 ЦК за договором банківського рахунка банк зобов'язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій. Згідно з ч.1 ст.1071 ЦК банк може списати грошові кошти з рахунку клієнта на підставі його розпорядження.
З абз.1 п.1.8 гл.1 «Інструкції про порядок відкриття, використання і закриття рахунків у національній та іноземних валютах», затвердженої постановою Правління НБУ від 12.11.2003 №492 та зареєстрованої в Міністерстві юстиції України 17.12.2003 за №1172/8493 (далі - Інструкція №492), вбачається, що банки відкривають своїм клієнтам за договором банківського рахунку поточні рахунки, за договором банківського вкладу - вкладні (депозитні) рахунки, за договором рахунку умовного зберігання (ескроу) - рахунки умовного зберігання (ескроу).
Поточний рахунок - рахунок, що відкривається банком клієнту на договірній основі для зберігання грошей і здійснення розрахунково-касових операцій за допомогою платіжних інструментів відповідно до умов договору та вимог законодавства України (абз.1 п.1.8 гл.1 Інструкції №492).
Відповідно до п.32.1 ст.32 Закону України «Про платіжні системи та переказ коштів в Україні» банк, що обслуговує платника, та банк, що обслуговує отримувача, несуть перед платником та отримувачем відповідальність, пов'язану з проведенням переказу, відповідно до цього Закону та умов укладених між ними договорів.
З ч.1 ст.1073 ЦК вбачається, що у разі несвоєчасного зарахування на рахунок грошових коштів, що надійшли клієнтові, їх безпідставного списання банком з рахунка клієнта або порушення банком розпорядження клієнта про перерахування грошових коштів з його рахунка банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти та відшкодувати завдані збитки, якщо інше не встановлено законом.
Згідно з п.32.3.2 ст.32 Закону України «Про платіжні системи та переказ коштів в Україні» у разі помилкового переказу з рахунка неналежного платника, що стався з вини банку, цей банк зобов'язаний переказати відповідну за рахунок власних коштів суму переказу на рахунок неналежного платника, а також сплатити неналежному платнику пеню у розмірі процентної ставки, що встановлена цим банком по короткострокових кредитах, за кожний день починаючи від дня помилкового переказу до дня повернення суми переказу на рахунок неналежного платника, якщо інша відповідальність не передбачена договором.
Пунктами 1.24 та 1.32 ст.1 Закону України «Про платіжні системи та переказ коштів в Україні» визначено, що помилковий переказ - рух певної суми коштів, внаслідок якого з вини банку або іншого суб'єкта переказу відбувається її списання з рахунку неналежного платника та/або зарахування на рахунок неналежного отримувача чи видача йому цієї суми у готівковій формі; неналежний платник - особа, з рахунка якої помилково або неправомірно переказана сума коштів.
У правових висновках, викладених у постанові Верховного Суду України від 13.05.2015 у справі №6-71цс15, постанові Верховного Суду від 16.12.2020 у справі №214/2867/18, постанові Верховного Суду від 25.05.2021 та 22.05.2021 у справі № 922/4091/19 вказано, що у разі встановлення факту неналежного переказу грошових коштів з банківського рахунку банк зобов'язаний повернути клієнту відповідну суму, тоді як виключення із вказаного правила можливе лише за умови встановлення обставин, які підтверджують, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
Верховний Суд у постанові від 21.04.21р. у справі №751/6050/18 дійшов висновку, що саме на банк, який є професійним учасником ринку надання банківських послуг, покладено обов'язок доведення того, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. Відповідно, вимоги до рівня та розумності ведення справ банком є вищими, ніж до споживача - фізичної особи, яка зазвичай є слабшою стороною у цивільних відносинах з такою кредитною установою. З врахуванням наведеного, всі сумніви та розумні припущення мають тлумачитися судом саме на користь такої слабшої сторони.
Верховний Суд у постанові від 20.07.22р. у справі №521/20764/20 виснував, що саме банк має доводити, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції; у разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів; сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
Подібні правові висновки викладено у постанові Верховного Суду України від 13.05.2015 у справі №6-71цс15 та постановах Верховного Суду, зокрема: від 23.01.2018 у справі №202/10128/14-ц, від 14.02.2018 у справі №127/23496/15-ц, від 20.06.2018 у справі №691/699/16-ц, від 03.07.2019 у справі №537/3312/16-ц, від 17.07.2019 у справі №571/841/16-ц, від 24.07.2019 у справі №753/16954/16-ц, від 13.09.2019 у справі №501/4443/14-ц, від 02.10.2019 у справі №182/3171/16, від 20.11.2019 у справі №577/4224/16-ц, від 23.01.2020 у справі №179/1688/17, від 26.08.2020 у справі №766/19614/18, від 02.09.2020 у справі №311/634/18-ц, від 16.12.2020 у справі №214/2867/18, від 27.01.2021 у справі №210/1242/18, від 17.06.2021 у справі №759/4025/19.
Позивач (комунальне некомерційне підприємство - дитяча клінічна лікарня) та АТ «Акцент-Банк», який є одним із найбільших банків України, мають вочевидь різні технічні та фінансові можливості у сфері забезпечення кібербезпеки та захисту від кіберзлочинів. Крім того, саме банк є фінансовою установою, професійним учасником ринку фінансових послуг, на яку покладається організація та забезпечення безпеки платежів.
Стаття 41 Конституції України визначає, що кожен має право володіти, користуватися і розпоряджатися своєю власністю. Отже, гроші, що перебувають на рахунку клієнта, є його власністю, яка охороняється Основним законом.
З приписів ч.1 ст.1066, ч.1 ст.1071 ЦК, абз.1, 2 п.1.8 гл.1 Інструкції №492 вбачається, що у правовідношенні з обслуговування банківського рахунку банк зобов'язаний зберігати грошові кошти клієнта та здійснювати розрахунково-касові операції на підставі розпорядження клієнта.
Судом під час розгляду справи встановлено , що розрахунки між сторонами спору здійснювалися за допомогою систем дистанційного банківського обслуговування (ДБО).
Відповідно до п.2.10 Інструкції №22 клієнт, виходячи з технічних можливостей своїх та обслуговуючого банку, може подавати до банку розрахункові документи як на паперових носіях, так і у вигляді електронних розрахункових документів, використовуючи системи дистанційного обслуговування. Спосіб подання клієнтом документів до банку передбачається в договорі банківського рахунку. Банк, що обслуговує платника із застосуванням систем дистанційного обслуговування, зобов'язаний перевірити відповідність номера рахунку платника і його коду, що зазначені в електронному розрахунковому документі, і приймати цей документ до виконання, лише якщо вони належать цьому платнику.
Відповідно до п.10.5 Інструкції №22 під час здійснення розрахунків за допомогою систем «клієнт - банк», «клієнт - Інтернет - банк» тощо застосовуються електронні розрахункові документи. Абзац 1 п.10.1 гл.10 Інструкції №22 передбачає, що дистанційне обслуговування рахунку клієнт може здійснювати за допомогою систем «клієнт - банк», «клієнт - Інтернет - банк», «телефонний банкінг», «миттєва безконтактна оплата» та інших систем дистанційного обслуговування.
Програмне забезпечення систем дистанційного обслуговування має відповідати вимогам законодавства, в тому числі нормативно-правових актів Національного банку, які пред'являються до технології та захисту електронних банківських розрахунків (п.10.2 Інструкції №22). Згідно з абз.3 п.10.8 Інструкції №22 під час використання систем «клієнт - банк», «клієнт - Інтернет - банк» клієнт має дотримуватися всіх вимог, що встановлює банк, з питань безпеки оброблення електронних розрахункових документів. Якщо це передбачено в договорі, то банк має право виконувати періодичні перевірки виконання клієнтом вимог щодо захисту інформації та зберігання засобів захисту і припиняти обслуговування клієнта за допомогою системи в разі невиконання ним вимог безпеки.
З урахуванням вищенаведеного , господарський суд зауважує, що у подібних правовідносинах клієнт банку є споживачем банківських послуг, а тому не має тих рівня знань і засобів, які можуть забезпечити безпеку (схоронність) грошових коштів на своєму рахунку, що обслуговує банк. Банк зі свого боку, надаючи такі фінансові послуги, зобов'язаний забезпечити такий рівень безпеки фінансових активів клієнта, довірених банку, аби убезпечити їх від безпідставного зменшення, зокрема за допомогою систем дистанційного банківського обслуговування (Інтернет-банкінгу), відповідальним за які є банк. З цією метою банк має постійно впроваджувати у своїй діяльності технологічні процеси (алгоритми), що відповідають актуальним викликам безпеки та спрямовані на запобігання помилковому переказу грошових коштів клієнтів, а також здійснювати контроль за їх дотриманням і виконанням. Отже, із умов укладеного з банком договору клієнт банку має чітко зрозуміти, які вимоги висуваються банком щодо обладнання, за допомогою якого здійснюється дистанційне обслуговування рахунку, програмного забезпечення, зокрема, наявності антивірусних та антишпигунських програм.
Господарський суд вважає , що відповідач помилково застосовує до спірних правовідносин статті 22, 623 ЦК та статті 225, 226 ГК щодо умов притягнення до відповідальності за завдані збитки, адже ст.1073 ЦК є спеціальною нормою, яка встановлює обов'язки банку, що виникають внаслідок помилкового (несанкціонованого клієнтом) списання, а саме: негайно після виявлення порушення (помилкового списання) зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти; відшкодувати завдані збитки, якщо інше не встановлено законом.
Отже, обов'язок банку повернути на рахунок клієнта суму помилково списаних коштів є окремим, спеціальним обов'язком банку, відмінним від обов'язку відшкодувати завдані збитки, відтак позовна вимога щодо стягнення з банку суми несанкціонованого платежу не є вимогою про стягнення збитків. Також суд вважає помилковими й твердження відповідача про те, що оскільки відносини з банком є договірними, а не деліктними, то вина банка не презюмується, а повинна бути доведена позивачем. Такі висновки не ґрунтуються на чинному законодавстві та судовій практиці.
Верховний Суд неодноразово звертав увагу на дію так званої об'єктивної концепції вини у цивільних та господарських відносинах. Так, відповідно до приписів ст.614 ЦК особа, яка порушила зобов'язання, несе відповідальність за наявності її вини (умислу або необережності), якщо інше не встановлено договором або законом. Особа є невинуватою, якщо вона доведе, що вжила всіх залежних від неї заходів щодо належного виконання зобов'язання. Відсутність своєї вини доводить особа, яка порушила зобов'язання.
У цій справі обидві сторони не заперечують, що несанкціоноване, помилкове списання відбулося внаслідок злочинних дій третіх осіб. Втім, позивач вважає, що таке списання відбулося через неправомірні дії банку, який не зупинив підозрілий платіж, натомість банк стверджує, що він не мав можливості не виконати належним чином оформлене та підписане клієнтом платіжне доручення, а втрата клієнтом коштів відбулася через необачливі дії самого позивача, який не захистив свій комп'ютер від шкідливих програм.
Отже, ключовими питаннями цієї справи є те, чи довів банк вину позивача (клієнта) у доступі третіх осіб до інформації, яка дозволила ініціювати банківські операції, і чи спростував банк наявність своєї вини у несанкціонованому списанні коштів з рахунку клієнта.
Чи сприяв позивач втраті, незаконному використанню інформації, яка дала можливість третім особам ініціювати несанкціоновані платіжні операції?
АТ «Акцент - Банк» ( відповідач ) заперечуючи проти задоволення позовних вимог , стверджував про наступне : 01.10.25р. до банку надійшло звернення від КНП СОР «ОДКЛ» про несанкціонований переказ коштів в розмірі 4 980 000,00 грн. За даним повідомленням банком було проведено службове розслідування ,в результаті якого банк прийшов до висновку про те , що платіж виконано відповідно до діючого законодавства, укладених договорів та встановлених процедур і внутрішніх політик безпеки Банку. Врахував при перевірці типовисть пристроїв та підтверджуючих підписів, додатково про списання суми платежу з рахунку повідомив уповноважених осіб, на зазначені у Банку, фінансові номери. При цьому Банк не виключає шахрайських дій сторонніх осіб, але не має беззаперечних доказів, які б дозволили встановити факт вчинення платежу саме сторонньою особою. З огляду на відсутність технічних аномалій, вразливостей у системах Банку та підтверджену автентичність ідентифікаційних даних, операції відповідають умовам чинного договору банківського обслуговування. Рекомендовано звернення у правоохоронні органи та дослідження комп'ютера на предмет наявного шкідливого програмного забезпечення в рамках кримінального провадження.
З огляду на результати цього службового розслідування АТ «Акцент - Банк» вважає , що саме працівником КНП СОР «ОДКЛ» « … було допущено халатне відношення до власної антивірусної безпеки на власному телефоні, і як наслідок на робочому комп'ютері, допущено віддалене керування ним, що дало змогу шахраям здійснити платежі від імені позивача».
Також , відповідач вважає , що працівниками позивача були порушені «Умови і Правила надання банківських послуг в АТ «Акцент - Банк» , які передбачають наступні вимоги : 3.2.5. Для належного отримання послуг за Договором своєчасно встановлювати доступні оновлення операційної системи та додатків на своєму комп'ютері/телефоні/пристрої, що використовується для підключення до віддалених каналів обслуговування. Використовувати на комп'ютері/телефоні/ пристрої, що використовується для підключення до віддалених каналів обслуговування сучасне антивірусне програмне забезпечення та своєчасно встановлювати на них оновлення антивірусних баз.
3.2.6. Не встановлювати на телефоні / персональні комп'ютери, що використовується для підключення до системи дистанційного обслуговування неліцензійні операційні системи, так як це відключає захисні механізми, закладені виробником мобільної платформи або операційної системи.
3.2.7. Щоб виключити несанкціоноване використання послуг віддалені канали обслуговування, зобов'язується не залишати свій комп'ютер/телефон/пристрій, з використанням якого здійснюється отримання клієнтом послуг, без нагляду.
3.2.8. Зобов'язується в разі втрати/крадіжки пристрою, з якого здійснюється авторизація в програмних комплексах Банку та/або картки, негайно повідомити про це Банк шляхом дзвінка у контактний центр (протягом 15 хвилин) через контактний центр.
3.2.9. Клієнт несе відповідальність в повному обсязі за всі операції, що супроводжуються авторизацією, до моменту письмової заяви Клієнта про блокування картки / рахунку / на рух коштів, номера мобільного телефону на надання банківських послуг.
3.2.10. Не передавати Платіжну картку та / або номер мобільного телефону та /або мобільний телефон, що використовується для Мобільного додатку, у користування третім особам, а також:
- не повідомляти ПІН, постійний пароль, одноразові паролі і контрольну інформацію,
- не передавати Картку (її реквізити) для здійснення операцій іншими особами, вживати необхідних заходів для запобігання втрати, пошкодження, розкрадання Картки;
- нести відповідальність за операціями, здійсненими з використанням ПІНа, постійного пароля, одноразових паролів; операціями по зміні ПІНу;
- нести відповідальність за розголошення та розповсюдження будь-яких персональних та інших даних, які містять банківську таємницю та впливають на безпеку користування продуктами банку для клієнта;
- не здійснювати операції з використанням реквізитів Картки після її здачі до Банку або після закінчення терміну її дії, а також Картки, заявленої як втрачена.
3.2.11. Зберігати ПІН-код, Коди доступу, Аутентифікаційні дані в таємниці і ні за яких обставин не повідомляти їх третім особам. У разі одержання Клієнтом інформації щодо несанкціонованих операцій з його карткою або при виникненні підозр щодо шахрайства, він повинен якнайшвидше звернутись до Центру клієнтської підтримки Банку за телефонами 7776 (безкоштовно з мобільних в межах України), +380567220555 (для дзвінків з-за кордону).
3.2.12. У разі втрати Картки / ПІНа / постійного пароля / одноразових паролів або виникнення у Користувача підозр, що Картка / ПІН / постійний пароль /одноразові паролі могли бути загублені, або виникнення ризику несанкціонованого використання Картки / ПІНа / постійного пароля / одноразових паролів Держатель повинен негайно виконати одну з наступних дій:
- звернутися до Банку за телефонами 7776 (Безкоштовно з мобільних в межах України), +380567220555 (Для дзвінків з-за кордону);
- звернутися до Банку і заявити про втрату картки (у випадку втрати картки);
- якщо Клієнт підключений до мобільного додатку ABank24 - виконати дії, необхідні для припинення дії картки відповідно до Керівництва з використання сервісу.
3.2.13. Клієнт відповідає за усі операції з карткою, зроблені:
- по дату отримання Банком повідомлення від Клієнта про втрату картки включно (звернення за телефонами 7776 (Безкоштовно з мобільних в межах України), +380567220555 (Для дзвінків з-за кордону) або через звернення до Банку);
- по дату одержання Банком повідомлення про втрату картки, відправленого дистанційними каналами обслуговування.
3.2.14. Якщо інформація про персональні дані клієнта, PIN-код, реквізити картки стала доступною третім особам, Клієнт повинен негайно сповістити про це Банк за телефонами 7776 (Безкоштовно з мобільних в межах України), +380567220555 (Для дзвінків з-за кордону). Для подальшого використання Клієнту необхідно звернутися до Банку для перевипуску картки (карток) та зміни персональних даних що дають доступ до віддаленого управління рахунками клієнта.
Також , АТ «Акцент-Банк» стверджує , що висновок від 16.12.25 р. № СЕ-19/119-25/18769-КТ судового експерта Сумського науково-дослідного експертно-криміналістичного центру МВС України за результатами проведення судової комп'ютерно - технічної експертизи , призначеної ст. слідчим Сумського РУП ГУНП в Сумській області у кримінальному провадженні , відкритому по факту несанкціонованого списання з банківського рахунку позивача , емітованому в АТ «Акцент-Банк» , також свідчить про наявність вини посадових осіб КНП СОР «ОДКЛ» у несанкціонованому переказі коштів в розмірі 4 980 000,00 грн. на користь третьої особи.
КНП СОР «ОДКЛ» ( позивач ) не погоджуючись з твердженнями відповідача про вину посадових осіб лікарні у несанкціонованому списанні коштів з рахунку , вказує на недоведеність АТ «Акцент-Банк» належними та допустимими доказами такої вини .Також звертає увагу суду на не типовість операції з перерахування коштів в розмірі 4 980 000,00 грн. з рахунку позивача на рахунок третьої особи ( оскільки цей рахунок відкривався та використовувався позивачем виключно для здійснення «Зарплатного проекту » ,а будь які платежі за іншими господарськими операціями по ньому взагалі не проводилися за весь час його функціонування ). Окрім того , позивач наполягає , що ним виконувалися всі вимоги щодо програмного забезпечення ,яке використовувалося ним для взаємодії з АТ «Акцент-Банк» в питаннях здійснення платежів з цього рахунку. Натомість банк не здійснив всіх необхідних дій для перевірки ( автенфікації ) надавача платіжної послуги з переведення 4 980 000,00 грн. з рахунку позивача на рахунок третьої особи , як то вимагають правила НБУ та ст.68 ЗУ «Про платіжні послуги». Саме зазначена бездіяльність посадових осіб банку і посприяла несанкціонованому списанню коштів з рахунку позивача . А відтак, відповідно до вимог ст.ст.86-87 ЗУ «Про платіжні послуги » зобов'язаний повернути за рахунок власних коштів суму неакцептованої платіжної операції на користь ( рахунок ) платника , а також сплатити йому пеню в розмірі подвійної облікової ставки НБУ за кожен день від дня списання з рахунку платника коштів за неакцептованою платіжною операцією до дня повернення коштів на рахунок платника.
Втім, АТ «Акцент-Банк» , зауважуючи, що позивач не своєчасно повідомив банк про компрометацію особистого ключа, не звернув увагу, що так звані програми-шпигуни, тобто шкідливе програмне забезпечення, встановлюється на комп'ютер та збирає інформацію, як правило, непомітно для користувача. Отже, незрозуміло, яким чином позивач міг дізнатися та повідомити банк про компрометацію особистого ключа чи втрату іншої важливої інформації. Відповідач також не вказав та не довів , які саме вимоги щодо захисту інформації порушив позивач або які саме незаконні операції з компонентами платіжних систем (платіжні інструменти, обладнання, програмне забезпечення тощо) здійснював позивач, тобто не навів підстав для застосування ст.33.3 Закону «Про платіжні системи та переказ коштів в Україні» щодо звільнення банку від відповідальності через винні дії платника.
Зокрема, відповідач не провів повноцінного службового розслідування для встановлення, чи було встановлено на комп'ютері позивача ліцензійне програмне забезпечення, коли і які саме шкідливі програми були встановлені на комп'ютері клієнта, які саме приписи законодавства чи вимоги банку щодо забезпечення безпеки платежів не виконував клієнт, чи міг клієнт запобігти завантаженню таких програм, зокрема шляхом перевірки комп'ютера на наявність шкідливого програмного забезпечення (яку саме антивірусну програму мав встановити клієнт, з якою періодичністю потрібно було проводити такі перевірки, чи порушив він ці приписи).
Із змісту «Витягу зі службового розслідування по клієнту КНП СОР «ОДКЛ» , доданого до відзиву на позов , ці матеріали викладені на двох сторінках і місять жодним чином не аргументоване твердження банку про вину клієнта у несанкціонованому списанні коштів з його рахунку. Без проведення повноцінного розслідування твердження банку про допущенні клієнтом порушення кібербезпеки, які призвели до несанкціонованого зняття коштів з його рахунку, не може вважатися доведеним, презумпція вини клієнта банку у несанкціонованому доступі і втручанні третіх осіб в систему дистанційного обслуговування не відповідає вимогам чинного законодавства, яке саме на банк покладає вимоги забезпечення безпеки електронних платежів і дистанційного обслуговування.
Господарський суд у цій справі при встановленні вини позивача у втраті конфіденційної інформації критично оцінює зміст наданих банком результатів службової перевірки як документу, складеного в односторонньому порядку самим відповідачем без участі представників позивача чи незалежних фахівців, експертів. Суд вважає, що перевірка банком цього інциденту була проведена поверхнево та формально, що не відповідає вимогам Закону «Про основні засади забезпечення кібербезпеки України» . Так, Закон «Про основні засади забезпечення кібербезпеки України» покладає на банки обов'язок з забезпечення кібербезпеки; визначає кібербезпеку як захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі (п.5 ч.1 ст.1). Банки в силу ст.5 цього Закону є суб'єктами забезпечення кібербезпеки.
Відповідно до ч.5 ст.5 цього Закону суб'єкти забезпечення кібербезпеки у межах своєї компетенції: 1) здійснюють заходи щодо запобігання використанню кіберпростору у воєнних, розвідувально-підривних, терористичних та інших протиправних і злочинних цілях; 2) здійснюють виявлення і реагування на кіберінциденти та кібератаки, усунення їх наслідків; 3) здійснюють інформаційний обмін щодо реалізованих та потенційних кіберзагроз; 4) розробляють і реалізують запобіжні, організаційні, освітні та інші заходи у сфері кібербезпеки, кібероборони та кіберзахисту; 5) забезпечують проведення аудиту інформаційної безпеки, у тому числі на підпорядкованих об'єктах та об'єктах, що належать до сфери їх управління; 6) здійснюють інші заходи із забезпечення розвитку та безпеки кіберпростору.
Інцидент кібербезпеки (далі - кіберінцидент) - подія або ряд несприятливих подій ненавмисного характеру (природного, технічного, технологічного, помилкового, у тому числі внаслідок дії людського фактора) та/або таких, що мають ознаки можливої (потенційної) кібератаки, які становлять загрозу безпеці систем електронних комунікацій, систем управління технологічними процесами, створюють імовірність порушення штатного режиму функціонування таких систем (у тому числі зриву та/або блокування роботи системи, та/або несанкціонованого управління її ресурсами), ставлять під загрозу безпеку (захищеність) електронних інформаційних ресурсів (п.3 ч.1 ст.1 Закону «Про основні засади забезпечення кібербезпеки України»).
Інформація про інцидент кібербезпеки - відомості про обставини кіберінциденту, зокрема про те, які об'єкти кіберзахисту і за яких умов зазнали кібератаки, які з них успішно виявлені, нейтралізовані, яким запобігли за допомогою яких засобів кіберзахисту, у тому числі з використанням яких індикаторів кіберзагроз (п.2 ч.1 ст.1 Закону «Про основні засади забезпечення кібербезпеки України»).
Кіберзахист - сукупність організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем (п.7 ч.1 ст.1 Закону «Про основні засади забезпечення кібербезпеки України»).
Кіберзлочин (комп'ютерний злочин) - суспільно небезпечне винне діяння у кіберпросторі та/або з його використанням, відповідальність за яке передбачена законом України про кримінальну відповідальність та/або яке визнано злочином міжнародними договорами України (п.8 ч.1 ст.1 Закону «Про основні засади забезпечення кібербезпеки України»).
Отже несанкціоноване списання коштів з рахунку позивача є не просто помилковим платежем, а інцидентом кібербезпеки, який мав бути зафіксований та розслідуваний банком відповідно до приписів Закону України «Про основні засади забезпечення кібербезпеки України».
Отже, господарським судом не встановлено фактів, які б свідчили про те, що саме позивач свідомо або необережно сприяв втраті, незаконному використанню іншими особами інформації, яка надала змогу ініціювати несанкціоновані платіжні операції, тобто не встановили вину позивача.
Чи мав банк можливість зупинити проведення підозрілої операції, яка призвела до несанкціонованого списання коштів з рахунку клієнта?
Оскільки банківські операції із зарахування та списання коштів, вчинені 29.09.25р., підпадали під дію законодавства про фінансовий моніторинг а отже їх підозрілий (сумнівний) характер мав би бути виявлений працівником банку. Банк є суб'єктом первинного фінансового моніторингу відповідно до п.1 ч.2 ст.5 Закону №1702-VII . Відповідно до ч.2 ст.6 цього Закону суб'єкт первинного фінансового моніторингу зобов'язаний: здійснювати ідентифікацію, верифікацію клієнта (представника клієнта), вивчення клієнта та уточнення інформації про клієнта у випадках, встановлених законом; забезпечувати виявлення фінансових операцій, що підлягають фінансовому моніторингу, до початку, в процесі, в день виникнення підозри, після їх проведення або під час спроби їх проведення чи після відмови клієнта від їх проведення, зокрема з використанням засобів автоматизації. Особливості та строки виявлення суб'єктами первинного фінансового моніторингу фінансових операцій залежно від специфіки їх діяльності можуть встановлюватися нормативно-правовими актами суб'єктів державного фінансового моніторингу, які відповідно до цього Закону виконують функції державного регулювання і нагляду за суб'єктами первинного фінансового моніторингу; забезпечувати у своїй діяльності управління ризиками та розробляти критерії ризиків.
Внутрішній фінансовий моніторинг - сукупність заходів з виявлення фінансових операцій, що підлягають внутрішньому фінансовому моніторингу, із застосуванням підходу, що ґрунтується на проведенні оцінки ризиків легалізації (відмивання) доходів, одержаних злочинним шляхом, або фінансування тероризму; ідентифікації, верифікації клієнтів (представників клієнтів), ведення обліку таких операцій та відомостей про їх учасників; обов'язкового звітування до центрального органу виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення про фінансові операції, щодо яких виникає підозра, а також подання додаткової та іншої інформації у випадках, передбачених цим Законом (п.9 ч.1 ст.1 Закону №1702-VII). Управління ризиками - заходи, які здійснюються суб'єктами первинного фінансового моніторингу, із створення та забезпечення функціонування системи управління ризиками, яка передбачає, зокрема, визначення (виявлення), оцінку (вимірювання), моніторинг, контроль ризиків, з метою їх зменшення (п.43 ч.1 ст.1 Закону №1702-VII). Відповідно до ч.3 ст.9 цього Закону залежно від рівня ризику проведення фінансової операції ідентифікація, верифікація клієнта здійснюються також у разі проведення ним фінансової операції на суму, визначену ч.1 ст.15 вказаного Закону (150 000,00 грн), незалежно від того, проводиться така фінансова операція одноразово чи як кілька фінансових операцій, які можуть бути пов'язані між собою. Законом №1702-VII визначаються операції, які підпадають під фінансовий моніторинг (ст.15) та фінансові операції, які підлягають внутрішньому фінансовому моніторингу (ст.16). Зі змісту ст.16 Закону №1702-VII вбачається, що під внутрішній фінансовий моніторинг підпадають операції, якщо у суб'єкта первинного фінансового моніторингу виникають підозри, які ґрунтуються, зокрема, на: критеріях ризиків, визначених самостійно суб'єктом первинного фінансового моніторингу з урахуванням критеріїв ризиків, встановлених центральним органом виконавчої влади з формування та забезпечення реалізації державної політики у сфері запобігання і протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму; встановленні за результатами проведеного аналізу факту (фактів) невідповідності фінансової (фінансових) операції (операцій) фінансовому стану та/або змісту діяльності клієнта; типологічних дослідженнях у сфері протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму чи фінансуванню розповсюдження зброї масового знищення, підготовлених та оприлюднених спеціально уповноваженим органом.
У Типології легалізації (відмивання) доходів, одержаних злочинним шляхом, додаток «Кіберзлочинність та відмивання коштів», затвердженій наказом Дерфінмоніторингу від 25.12.2013 №157 (далі - Типологія), вказано, що банківська система України є однією зі сфер, де найбільш широко та активно використовуються сучасні можливості інформаційних технологій та мережі Інтернет. А враховуючи, що зазначені технології використовуються для грошових переказів, зазначена сфера привертає все більшу увагу злочинців. Несанкціоноване списання коштів з банківських рахунків, шахрайство з платіжними картками, втручання в роботу інтернет-банкінгу, розповсюдження комп'ютерних вірусів, DDoS атаки на інтернет-ресурси, шахрайство в інформаційних мережах - це не вичерпний перелік кіберзлочинів, тобто злочинів у сфері інформаційних та комп'ютерних технологій.
Типологія відносить до шахрайства в системах дистанційного банківського обслуговування створення комп'ютерних вірусів та троянських програм для прихованого перехоплення управління комп'ютером клієнта з встановленим програмним забезпеченням ДБО. У розд.2.1 «Шахрайство в системах дистанційного банківського обслуговування» Типології, вказано, що системи ДБО, як інструмент доступу до грошових переказів, сьогодні все частіше стають мішенню для кіберзлочинців. Втручання в роботу систем ДБО найчастіше відбувається шляхом зараження комп'ютера вірусним програмним забезпеченням через шкідливу спам-розсилку, відвідування заражених сайтів або використання заражених магнітних носіїв. Завантаження вірусу на комп'ютер жертви відбувається практично непомітно. Основне завдання вірусу на початковому етапі - це спостереження, збір інформації і передача його на комп'ютер шахраїв. Вірус може викрадати паролі доступу до систем ДБО, ключі електронного цифрового підпису, зчитувати реквізити платежів. Це також можуть бути програми, що відстежують появу на екрані вікна підключення до ДБО з метою подальшого перехоплення секретної інформації, яка вводиться в це вікно, або копіюють вміст буфера обміну в момент підключення до систем електронних платежів. Мета шахраїв спотворити інформацію, сформувати за допомогою ДБО і провести платіж, який за змістом не буде виділятися в потоці звичайної діяльності жертви, але переведе гроші на рахунки підставної особи або фіктивної фірми, використовуючи звичайне для даного клієнта призначення платежу.
У Типології вказано, що індикаторами підозрілості фінансових операцій зазначеної спрямованості для банківських установ опосередковано можуть бути наступні фактори, зокрема: спроба входу із забороненого/нового IP-адресу; транзакції в нестандартний час або підключення до системи у вечірній час; незвичайні умови або складність операції: висока частота переказів коштів протягом невеликого періоду часу, велика кількість різноманітних джерел походження коштів та платіжних методів (інструментів); спроби зняти кошти в день їх зарахування; операції не відповідають попереднім операціям клієнта.
Відповідно до ч.1 ст.17 Закону №1702-VII суб'єкт первинного фінансового моніторингу має право зупинити здійснення фінансової (фінансових) операції (операцій), яка (які), зокрема містить (містять) ознаки, передбачені статтями 15 та/або 16 цього Закону.
Виходячи із вказаних норм права та встановлених під час розгляду справи обставин справи, господарський суд зазначає, що банк після отримання 29.09.25 р. для виконання платіжного доручення про перерахування грошових коштів в розмірі 4 980 000,00грн. з рахунку позивача мав здійснити фінансовий моніторинг такої операції, адже вона мала очевидні ознаки, що вказують на сумнівність (підозрілість). Враховуючи вимоги вищезазначеного чинного законодавства, відповідно до яких відповідальний працівник банку (відповідача), який обслуговує рахунок позивача і отримав для виконання платіжне доручення позивача, мав звернути увагу на очевидні ознаки сумнівності (підозрілості) фінансової операцій, про яку стверджує позивач, і зупинити таку операцію: 1) очевидна невідповідність суми , яка списана з рахунку (4 980 000,00грн.), профайлу клієнта банку (опису його ділової активності, розміру надходжень протягом першого кварталу обслуговування, розміру разових платіжних операцій в анкеті-заяві, яка заповнюється з метою ідентифікації клієнта банку, тобто з метою здійснення фінансового моніторингу); 2) відсутність у позивача попередніх платежів на цього отримувача з аналогічними підставами перерахування коштів ( господарська діяльність ). Господарський суд звертає увагу на те, що ознаки сумнівності, вказані вище , є очевидними для будь-якої розумної людини, а не тільки для працівника банку, який повинен був бути ознайомлений з вимогами чинного законодавства та внутрішніми положеннями банку, які регулюють здійснення фінансового моніторингу у банку. Також , суд звертає увагу на те, що норми законодавства про фінансовий моніторинг спрямовані на виявлення підозрілих фінансових операцій, і саме через те, банк при вчиненні будь-якої банківської операції має керуватися приписами цього законодавства. Через дотримання процедур фінансового моніторингу банк може виявити підозрілі операції і запобігти відмиванню коштів, отриманих злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення. Суд зауважує, що саме банк є учасником відносин, який отримує платіжні доручення для виконання. Якщо такі платіжні доручення складені третіми особами (шахраями), то позивач при всій своїй обачливості не може дізнатися про це, і не може повідомити банк про компрометацію ЕЦП чи пін-коду. Про такі факти клієнт банку зазвичай дізнається вже після списання коштів зі свого рахунку. Водночас банк за будь-яких обставин не може не знати про надходження розпоряджень про переказ коштів до їх виконання, адже безпосередньо банк здійснює опрацювання і виконання платіжних документів. Тому саме на банк покладений обов'язок оцінювати усі платіжні доручення, що надходять від імені клієнта, насамперед через призму безпеки дистанційних платежів, з урахуванням наявних ризиків та з метою завчасного виявлення підроблених платіжних документів.
Враховуючи вищезазначені фактичні обставини, встановлені господарським судом під час розгляду цієї справи , суд вважає , що банк не довів вину позивача (клієнта) у доступі третіх осіб до інформації, яка дозволила ініціювати банківські операції, і не спростував наявність своєї вини у несанкціонованому списанні коштів з рахунку клієнта. За таких умов суд вважає, що наявні достатні правові підстави для задоволення позову КНП СОР «ОДКЛ» про стягнення з АТ «Акцент-Банк» грошових
Приймаючи це рішення , господарський суд враховує правову позицію Верховного Суду у складі колегії суддів Касаційного господарського суду , викладену у постанові від 21.06.23р. у справі № 922/4091/19.
На підставі вищевикладеного , керуючись вимогами ст.ст.73,74,79,86,232,233,236, 238 ГПК України , господарський суд , -
1.Позовні вимоги задовольнити в повному обсязі.
2. Стягнути з відповідача - Акціонерного товариства «Акцент-Банк» ( 49074,м. Дніпро , вул. Батумська , б.11; код ЄДРПОУ 14360080 ) на користь позивача - Комунального некомерційного підприємства Сумської обласної ради «Обласна дитяча клінічна лікарня», ( 40031, м. Суми, вул. Сумської Тероборони ,буд.22; код ЄДРПОУ 03338126 ) : 4 980 000,00грн. - списаних з рахунку позивача та 74 700,00 грн. - витрат по сплаті судового збору. Видати відповідний наказ після набрання рішенням чинності.
Відповідно до вимог ст.241 ГПК України рішення господарського суду набирає законної сили після закінчення строку подання апеляційної скарги, якщо апеляційну скаргу не було подано. У разі подання апеляційної скарги рішення, якщо його не скасовано, набирає законної сили після повернення апеляційної скарги, відмови у відкритті чи закриття апеляційного провадження або прийняття постанови суду апеляційної інстанції за наслідками апеляційного перегляду.
Згідно до вимог ст. 256 ГПК України апеляційна скарга на рішення суду подається протягом двадцяти днів з дня його проголошення. Якщо в судовому засіданні було оголошено лише вступну та резолютивну частину рішення суду, зазначений строк обчислюється з дня складення повного судового рішення.
Відповідно до вимог ст. 257 ГПК України апеляційна скарга подається безпосередньо до суду апеляційної інстанції.
Повне рішення складено 27.04.26 р.
Суддя Васильєв О.Ю.