ГОСПОДАРСЬКИЙ СУД міста КИЄВА 01054, м.Київ, вул.Б.Хмельницького,44-В, тел. (044) 334-68-95, E-mail: inbox@ki.arbitr.gov.ua
м. Київ
21.05.2026Справа № 910/14744/25
Господарський суд міста Києва у складі:
судді - Бондаренко - Легких Г. П.,
за участю секретаря (помічника судді) - Конона В. В.
розглянувши у відкритому судовому засіданні в залі суду в місті Києві матеріали господарської справи №910/14744/25
За позовом Товариства з обмеженою відповідальністю «Монтажно-будівельна компанія СІНЕРГІЯ» (49069, м. Дніпро, вул. Михайла Грушевського, буд. 59-А, офіс 314)
До Акціонерного товариства «ОТП БАНК» (01033, м. Київ, вул. Жилянська, буд. 43)
про стягнення 3 297 642, 00 грн
За участі представників сторін: згідно протоколу судового засідання;
Товариство з обмеженою відповідальністю «Монтажно-будівельна компанія СІНЕРГІЯ» звернулось до Господарського суду міста Києва з позовом до Акціонерного товариства «ОТП БАНК» про стягнення 3 297 642, 00 грн.
Позовні вимоги обґрунтовані тим, що позивач має відкритий поточний рахунок у АТ «ОТП БАНК». 31.10.2025 з рахунку позивача з 13:16 до 14:24 було здійснено 44 транзакції, у зв'язку з чим було протиправно списано на користь третьої особи грошові кошти, які належали позивачу.
01.12.2025 суд відкрив провадження у справі, розгляд справи ухвалив здійснювати у порядку загального позовного провадження, підготовче засідання призначив на 13.01.2026. Також даною ухвалою зобов'язано представника позивача надати суду належним чином засвідчений договір про надання правової допомоги.
02.12.2025 до суду від позивача надійшло клопотання на виконання вимог ухвали суду від 01.12.2025.
15.12.2025 до суду від відповідача надійшов відзив.
16.12.2025 до суду від позивача надійшла заява про участь у судовому засіданні в режимі відеоконференції.
30.12.2025 до суду від позивача надійшла відповідь на відзив.
У судовому засіданні 13.01.2026 суд на місці ухвалив відкласти підготовче судове засідання на 17.02.2026.
02.02.2026 до суду від позивача надійшла заява про участь у судовому засіданні в режимі відеоконференції.
03.02.2026 до суду від відповідача надійшло клопотання про відкладення підготовчого судового засідання.
У судовому засіданні 17.02.2026 суд на місці ухвалив: (1) задовольнити заяву позивача про участь у судовому засіданні в режимі відеоконференції, (2) відмовити у задоволенні клопотання відповідача про відкладенню підготовчого судового засідання, (3) закрити підготовче провадження та призначити розгляд справи по суті на 17.03.2026.
У судовому засіданні 17.03.2026 суд на місці ухвалив оголосити перерву у судовому засіданні по суті до 05.05.2026.
У судовому засіданні 05.05.2026 суд на місці ухвалив оголосити перерву у судовому засіданні по суті до 21.05.2026 для оголошення повного тексту рішення та оголосив такий текст в судовому засіданні 21.05.2026 року.
Розглянувши надані документи і матеріали, заслухавши пояснення представників позивача та відповідача, всебічно та повно з'ясувавши обставини, на яких ґрунтуються позовні вимоги та заперечення проти позову, об'єктивно оцінивши в сукупності докази, які мають значення для розгляду справи і вирішення спору по суті, суд
1. Фактичні обставини, що встановлені судом.
05.11.2020 між ТОВ «МБК Сінергія» (надалі також - позивач, клієнт) та АТ «ОТП Банк» (надалі також - відповідач, Банк) було укладено Договір про відкриття рахунків, здійснення розрахунково-касового обслуговування та надання інших банківських послуг (надалі - Договір), шляхом підписання клієнтом Заяви про надання банківських послуг №001/18498/20 від 05.11.2020.
06.11.2020 ТОВ «МБК Сінергія» було відкрито поточний рахунок № НОМЕР_1 в АТ «ОТП БАНК», що підтверджується довідкою від 03.04.2025 №300-3-300-3-300-3/318/1.
31.10.2025, відповідно до виписок з особового рахунку № НОМЕР_1 , що належить ТОВ «МБК Сінергія», були здійснені 44 транзакція на списання коштів на користь ФГ «Леран» (ідентифікаційний номер 38761884) на загальну суму 4 739 142, 00 грн, а саме:
1. 31.10.2025, 14:24 - 18 700,00 грн. Оплата за зерно, згідно договору №228 від 31.10.2025, без ПДВ.
2. 31.10.2025, 14:15 - 43 800,00 грн. Оплата за зерно, згідно договору №217 від 31.10.2025, без ПДВ.
3. 31.10.2025, 14:14 - 43 700,00 грн. Оплата за зерно, згідно договору №216 від 31.10.2025, без ПДВ.
4. 31.10.2025, 14:14 - 44 555,00 грн. Оплата за зерно, згідно договору №215 від 31.10.2025, без ПДВ.
5. 31.10.2025, 14:14 - 45 678,00 грн. Оплата за зерно, згідно договору №214 від 31.10.2025, без ПДВ.
6. 31.10.2025, 14:13 - 44 300,00 грн. Оплата за зерно, згідно договору №213 від 31.10.2025, без ПДВ.
7. 31.10.2025, 14:13 - 44 300,00 грн. Оплата за товар, згідно договору №213 від 31.10.2025, без ПДВ.
8. 31.10.2025, 14:13 - 49 888,00 грн. Оплата за товар, згідно договору №212 від 31.10.2025, без ПДВ.
9. 31.10.2025, 14:13 - 48 799,00 грн. Оплата за товар, згідно договору №211 від 31.10.2025, без ПДВ.
10. 31.10.2025, 14:13 - 88 757,00 грн. Оплата за товар, згідно договору №210 від 31.10.2025, без ПДВ.
11. 31.10.2025, 14:12 - 49 980,00 грн. Оплата за товар, згідно договору №207 від 31.10.2025, без ПДВ.
12. 31.10.2025, 14:12 - 47 888,00 грн. Оплата за товар, згідно договору №206 від 31.10.2025, без ПДВ.
13. 31.10.2025, 14:12 - 88 733,00 грн. Оплата за товар, згідно договору №205 від 31.10.2025, без ПДВ.
14. 31.10.2025, 14:12 - 77 600,00 грн. Оплата за товар, згідно договору №204 від 31.10.2025, без ПДВ.
15. 31.10.2025, 14:12 - 48 700,00 грн. Оплата за товар, згідно договору №201 від 31.10.2025, без ПДВ.
16. 31.10.2025, 14:12 - 48 700,00 грн. Оплата за товар, згідно договору №201 від 31.10.2025, без ПДВ.
17. 31.10.2025, 14:11 - 28 900,00 грн. Оплата за товар, згідно договору №136 від 30.10.2025, без ПДВ.
18. 31.10.2025, 14:10 - 48 900,00 грн. Оплата за товар, згідно договору №135 від 30.10.2025, без ПДВ.
19. 31.10.2025, 14:09 - 44 870,00 грн. Оплата за товар, згідно договору №134 від 30.10.2025, без ПДВ.
20. 31.10.2025, 14:07 - 99 803,00 грн. Оплата за товар, згідно договору №133 від 30.10.2025, без ПДВ.
21. 31.10.2025, 14:07 - 49 800,00 грн. Оплата за товар, згідно договору №132 від 30.10.2025, без ПДВ.
22. 31.10.2025, 14:05 - 48 700,00 грн. Оплата за товар, згідно договору №131 від 30.10.2025, без ПДВ.
23. 31.10.2025, 14:05 - 87 309,00 грн. Оплата за товар, згідно договору №129 від 30.10.2025, без ПДВ.
24. 31.10.2025, 14:03 - 87 309,00 грн. Оплата за товар, згідно договору №128 від 30.10.2025, без ПДВ.
25. 31.10.2025, 14:03 - 60 943,00 грн. Оплата за товар, згідно договору №127 від 30.10.2025, без ПДВ.
26. 31.10.2025, 14:03 - 71 293,00 грн. Оплата за товар, згідно договору №126 від 30.10.2025, без ПДВ.
27. 31.10.2025, 14:02 - 85 409,00 грн. Оплата за товар, згідно договору №125 від 30.10.2025, без ПДВ.
28. 31.10.2025, 14:02 - 85 409,00 грн. Оплата за товар, згідно договору №124 від 30.10.2025, без ПДВ.
29. 31.10.2025, 14:01 - 87 400,00 грн. Оплата за товар, згідно договору №123 від 30.10.2025, без ПДВ.
30. 31.10.2025, 14:01 - 98 090,00 грн. Оплата за товар, згідно договору №122 від 30.10.2025, без ПДВ.
31. 31.10.2025, 14:00 - 98 090,00 грн. Оплата за товар, згідно договору №121 від 30.10.2025, без ПДВ.
32. 31.10.2025, 14:00 - 49 800,00 грн. Повернення помилково сплачених коштів згідно листа від 31.10.2025.
33. 31.10.2025, 13:55 - 99 800,00 грн. Оплата за товар, згідно договору №111 від 30.10.2025, без ПДВ.
34. 31.10.2025, 13:50 - 75 903,00 грн. Оплата за товар, згідно договору №139 від 30.10.2025, без ПДВ.
35. 31.10.2025, 13:49 - 112 803,00 грн. Оплата за товар, згідно договору №136 від 30.10.2025, без ПДВ.
36. 31.10.2025, 13:40 - 287 090,00 грн. Оплата за товар, згідно договору №169 від 30.10.2025, без ПДВ.
37. 31.10.2025, 13:38 - 488 745,00 грн. Оплата за товар, згідно договору №161 від 30.10.2025, без ПДВ.
38. 31.10.2025, 13:37 - 398 700,00 грн. Оплата за товар, згідно договору №159 від 30.10.2025, без ПДВ.
39. 31.10.2025, 13:37 - 478 090,00 грн. Оплата за товар, згідно договору №158 від 30.10.2025, без ПДВ.
40. 31.10.2025, 13:37 - 415 909,00 грн. Оплата за товар, згідно договору №156 від 30.10.2025, без ПДВ.
41. 31.10.2025, 13:36 - 238 909,00 грн. Оплата за товар, згідно договору №154 від 30.10.2025, без ПДВ.
42. 31.10.2025, 13:35 - 98 090,00 грн. Оплата за товар, згідно договору №153 від 30.10.2025, без ПДВ.
43. 31.10.2025, 13:35 - 39 500,00 грн. Повернення помилково сплачених коштів згідно листа від 31.10.2025.
44. 31.10.2025, 13:17 - 39 500,00 грн. Повернення помилково сплачених коштів згідно листа від 31.10.2025.
Всього, було списано коштів по 44 транзакціям на загальну суму 4739142,00 грн.
При цьому, впродовж дня - 31.10.2025 від ФГ «Леран» (ідентифікаційний номер 38761884) на рахунок ТОВ «МБК Сінергія» було здійснено зарахування грошових коштів у загальному розмірі 1 441 500, 00 грн наступними транзакціями:
- Сума в розмірі 39 500 грн., призначення платежу: сплата за насіння згідно договору 356 від 29.10.2025;
- Сума в розмірі 215 500 грн., призначення платежу: сплата за насіння згідно договору 356 від 29.10.2025;
- Сума в розмірі 395 500 грн., призначення платежу: сплата за насіння згідно договору 356 від 29.10.2025;
- Сума в розмірі 395 500 грн., призначення платежу: сплата за насіння згідно договору 356 від 29.10.2025;
- Сума в розмірі 395 500 грн., призначення платежу: сплата за насіння згідно договору 356 від 29.10.2025;
З огляду на те, що кошти як списувались, так і зараховувались на рахунок позивача з/на рахунок ФГ «Леран», то загальний розмір безпідставно списаних коштів, що зберігались на рахунку в АТ «ОТП Банк» та належали позивачеві, становить 3 297 642,00 грн. (4739142,00 грн. - 1 441 500, 00).
Після виявлення протиправних списань, ТОВ «МБК Сінергія» в особі директора в той же день - 31.10.2025 звернулось до відповідача (Банку) з повідомленням про несанкціоноване списання коштів, а також до правоохоронних органів із заявою про вчинення кримінального правопорушення, за фактом розгляду якої відкрито кримінальне провадження №12025042150001367 за правовою кваліфікацією ч. 5 ст. 190 КК України, що підтверджується Витягом з ЄРДР (Реєстру досудових розслідувань).
У відповідь на повідомлення ТОВ «МБК Сінергія» про несанкціоноване списання коштів, Регіональне відділення АТ «ОТП Банк» в м. Дніпро надіслало лист №300-3-300-3-300-3/403БТ від 31.10.2025, в якому повідомило про вжиття заходів для мінімізації збитків та повернення коштів, а також повідомлено про результати внутрішнього розслідування, згідно якого з боку Банку порушень умов Договору не виявлено, а тому підстав для компенсації збитків позивачеві, Банк не вбачає.
Не погоджуючись з даним твердженням, ТОВ «МБК Сінергія» з посиланням на частину 1 статті 1073 ЦК України надіслало до АТ «ОТП Банк» та Регіонального відділення АТ «ОТП Банк» в м. Дніпро вимоги №05/112025-1 та №05/11/2025-2 від 05.11.2025 про повернення протиправно списаних коштів у розмірі 3 297 642, 00 грн, оскільки, на думку позивача, саме Банк як надавач послуг мав забезпечити безпеку платіжних операцій та інформації, а також здійснювати посилену автентифікацію, бо платіжні операції перевищували 10 000 гривень, проте таких перевірок Банком зроблено не було.
Оскільки вимоги ТОВ «МБК Сінергія» №05/112025-1 та №05/11/2025-2 від 05.11.2025 залишені Банком без задоволення, позивач звертається до суду з даним позовом у порядку частини 1 статті 1073 ЦК України.
2. Предмет та підстави позову.
Предметом позову є матеріально-правові вимоги позивача до відповідача про стягнення протиправно списаних грошових коштів у розмірі 3 297 642, 00 грн.
Фактичними підставами позову є несанкціоноване (безпідставне) списання грошових коштів з рахунку позивача внаслідок шахрайських дій третіх осіб, що стало можливим через неправомірні (за твердженням позивача) дії Банку як надавача платіжних послуг, який не зупинив підозрілі платежі, а отже, Банк порушив обов'язок негайно після виявлення порушення (несанкціонованого списання) зарахувати відповідну суму на рахунок Клієнта.
Юридичними підставами позову є частина 3 статті 1073 ЦК України, стаття 86 Закону України «Про платіжні послуги».
3. Доводи позивача щодо суті позовних вимог.
(1) жодні транзакції, перекази коштів з рахунку ТОВ «МБК Сінергія» на рахунок ФГ «Леран» ні директор позивача, ні бухгалтер, ні інші співробітники не ініціювали, що свідчить про те, що такі операції не є санкціонованими та були здійснені шахрайським шляхом сторонніми особами за відсутності волі позивача як клієнта Банку;
(2) відповідач мав звернути увагу на очевидні ознаки сумнівності (підозрілості) фінансових операцій, і зупинити такі операції, з огляду на наступне: -розбивка платежів на 44 різні операції з повторюваними призначенням платежу на загальну суму 3 297 642,00 грн протягом короткого часу, а саме менше двох годин (з 13:17 до 14:24); - очевидна невідповідність призначення платежу (за сільськогосподарську продукцію - насіння, зерно) інформації з профайлу клієнта банку (опису його ділової діяльності, видів діяльності відповідно до КВЕДів підприємства, активності, з метою здійснення фінансового моніторингу); -відсутність у ТОВ «МБК Сінергія» попередніх платежів на цього отримувача ФГ «Леран»;
(3) відсутність реакції Банку у вигляді зупинення (блокування) відповідних переказів свідчить про те, що всупереч положень статей 67, 68 Закону України «Про платіжні послуги» Банк не запровадив систему захисту інформації, що мала забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання, а також не запровадив посилену ідентифікацію користувача (позивача), яка мала виявляти несанкціонований доступ до рахунку (платіжних операцій) позивача.
У відповіді на відзив позивач додатково зазначає, що наявність електронного підпису посадової особи позивача при здійсненні платежів не виключає обов'язку Банку перевірити незвичність операції, ознаки якої наведені вище.
ІР-адреса не є персоніфікованим доказом - вона могла бути підмінена або відділено використана, що також нерідко відбувається в шахрайських діях. Так само, отримання клієнтом SMS-повідомлення про здійснені транзакції не свідчить про належне інформування щодо ризиків та не звільняє Банк від обов'язку контролю нетипових операцій.
Натомість, позивач в особі директора, в той же день, одразу після виявлення протиправних списань грошових коштів, самостійно вжив заходи щодо блокування рахунку через гарячу лінію допомоги АТ «ОТП Банк» та шляхом звернення до регіонального відділення Банку.
4. Заперечення відповідача щодо суті позовних вимог.
(1) після отримання звернення від позивача про проведені транзакції, відповідальними співробітниками Банку було проведено внутрішню перевірку зазначеної ситуації;
(2) з метою покращення сервісу та забезпечення захисту користування рахунком, позивачеві в особі Директора ОСОБА_1, було підключено СМС-інформування вхідних та вихідних переказів по рахунку № НОМЕР_2 за номером телефону НОМЕР_3 , що підтверджується заявою від 06.01.2025;
(3) дійсно, впродовж 31.10.2025 на рахунок позивача здійснювались транзакції щодо зарахування та списання грошових коштів на/з рахунку ФГ «Леран». Втім, усі транзакції щодо списання коштів були виконані з IP-адреси 185.222.66.114 та технічними параметрами ПК, що зазвичай використовувалось ТОВ "МБК Сінергія". Також, платежі були підписані ключами ЕЦП директора товариства - ОСОБА_1 ;
(4) окрім цього, відповідно до логів підключення сесії 200194831 від 31.10.2025 о 12:09:51 EET вбачається, що до Банку надійшло від Клієнта 8 платіжних документів для проведення операцій з ручним методом їх створення (не автоматичним), що адресовані різним його контрагентам, у тому числі і платіж для ФГ "Леран" на суму 39500,00грн. Тобто, якщо Клієнт не заперечує щодо проведення платежів адресованих іншим його контрагентам, то це його свідомі дії в межах вказаної сесії.
(5) всі інші платежі на ФГ "Леран" були проведені у іншій сесії 200204067. Однак, це жодним чином не змінює того, що у всіх випадках операції підтверджувалися чинними на момент транзакції факторами автентифікації, тому вони вважаються авторизованими Клієнтом особисто;
(6) тобто 31.10.2025р. о 11:24 Клієнт отримує кошти від ФГ «Леран» у сумі 39 500 грн. з призначенням платежу: сплата за насіння згідно договору №356 від 29.10.2025. Після чого, 31.10.2025р. о 13:18 Клієнт самостійно повертає ці кошти ФГ «Леран», з призначенням платежу: повернення помилково сплачених коштів, згідно листа від 31.10.2025. Дана поведінка в проведених операцій є нетиповою для отримання коштів шахрайським способом, а Банком було зроблено висновок, що Клієнт свідомо встановив певну взаємодію з новим контрагентом;
(7) 31.10.2025р. у проміжку часу з 11:24 до 14:25 уповноваженій особі Клієнта постійно надходили смс - інформування, проте, перше звернення клієнта до Банку було лише 31.10.2025р. о 15:08 з допомогою телефонного дзвінка від головного бухгалтера ТОВ "МБК Сінергія" на особистий телефон менеджера Банку (скрін дзвінка з особистого телефону додається ), яка в подальшому звернулась до відповідних підрозділів банку щодо блокування рахунків. При тому, що згідно Пам'ятки щодо дотримання вимог інформаційної безпеки при використанні Системи Клієнт-Банк «Click OTPay» (додаток №3 до Договору) у випадку виникненні будь-яких підозр щодо безпеки, клієнту необхідно було звертатися до підрозділів Банку: •Управління Інформаційної Безпеки на електронну пошту: monitoring.it.security@otpbank.com.ua; • Служба підтримки Системи Клієнт-Банк «Click OTPay», контактний телефон: + 38 044 495 06 91 ; + 38 067 377 13 31 ; + 38 073 377 13 31 ; + 38 050 377 13 31 , або на електронну пошту clb@otpbank.com.ua;
(8) про результати внутрішнього розслідування щодо проведення несанкціонованих операцій, а також про вжиті заходи для повернення коштів, листом від 31.10.2025р. №300-3-300-3-300-3/403-БТ АТ «ОТП Банк» було повідомлено ТОВ «МБК Сінергія» та надано відповідні рекомендації щодо повернення коштів та забезпечення належного захисту компанії в майбутньому;
(9) Банк не несе відповідальності за втрати клієнта, спричинені його порушеннями (взлом, вірус, крадіжка ключів), оскільки, для Банку всі платежі проведені протягом 31.01.2025 шахраями мали ознаки типовості);
(10) Відтак, згідно п. 5.2.6.5.1., п. 5.2.6.5.3. та п. 5.2.6.5.4. Договору, Банк не несе ніякої відповідальності за шкоду, яку зазнав Клієнт внаслідок несанкціонованого використання Секретних Ключів/OTP-Кодів/Системи Клієнт-Банк.
5. Оцінка доказів судом та висновки суду.
Причиною виникнення спору стало питання щодо наявності/відсутності підстав стягнення з Банку на користь Клієнта у порядку передбаченому статтею 1073 ЦК України грошових коштів безпідставно списаних з рахунку Клієнта.
Отже, для вирішення спору по суті, суду належить надати відповіді на наступні питання:
- за яких умов у Банку виникає обов'язок повернути кошти на рахунок Клієнта відповідно до приписів ч.1 ст.1073 ЦК України, якщо їх помилкове (несанкціоноване) списання відбулося внаслідок злочинних дій третіх осіб (не Банку та не його Клієнта);
- чи є юридична особа - суб'єкт господарювання, слабкою стороною у відносинах з Банком;
- чи сприяв позивач втраті, незаконному використанню інформації, що дало можливість третім особам ініціювати несанкціоновані платіжні операції;
- які межі відповідальності Банку перед платником (ініціатором грошового переказу) у т.ч. і межі та порядок дій Банку (надавача платіжних послуг отримувача) у випадку несанкціонованих платіжних операцій;
Оцінивши наявні в справі докази за своїм внутрішнім переконанням, що ґрунтується на всебічному, повному і об'єктивному розгляді в судовому процесі всіх обставин справи та доказів в їх сукупності, суд дійшов висновку про задоволення позовних вимог, з огляду на наступне.
За договором банківського рахунка банк зобов'язується приймати і зараховувати на рахунок, відкритий клієнтові (володільцеві рахунка), грошові кошти, що йому надходять, виконувати розпорядження клієнта про перерахування і видачу відповідних сум з рахунка та проведення інших операцій за рахунком (частина 1 статті 1066 ЦК України).
Договір банківського рахунку укладається в письмовій формі для відкриття клієнтові або визначеній ним особі рахунку в банку на умовах, погоджених сторонами (частина 1 статті 1067 ЦК України).
Банк зобов'язаний вчиняти для клієнта операції, які передбачені для рахунків даного виду законом, банківськими правилами та звичаями ділового обороту, якщо інше не встановлено договором банківського рахунка (частина 1 статті 1068 ЦК України).
Банк зобов'язаний за розпорядженням клієнта видати або перерахувати з його рахунку грошові кошти в день надходження до банку відповідної платіжної інструкції, якщо інший строк не передбачений договором банківського рахунку або законом (частина 3 статті 1068 ЦК України).
Банк може списати грошові кошти з рахунка клієнта на підставі його розпорядження (частина 1 статті 1071 ЦК України).
Грошові кошти можуть бути списані з рахунка клієнта без його розпорядження на підставі рішення суду, а також у випадках, встановлених законом, договором між банком і клієнтом або умовами обтяження, предметом якого є майнові права на грошові кошти, що знаходяться на банківському рахунку (частина 2 статті 1071 ЦК України).
У разі несвоєчасного зарахування на рахунок грошових коштів, що надійшли клієнтові, їх безпідставного списання банком з рахунка клієнта або порушення банком розпорядження клієнта про перерахування грошових коштів з його рахунка банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта або належного отримувача, сплатити проценти та відшкодувати завдані збитки, якщо інше не встановлено законом (частина 1 статті 1073 ЦК України).
Матеріалами справи встановлено, що 05.11.2020 між ТОВ «МБК Сінергія» було укладено Договір про відкриття рахунків, здійснення розрахунково-касового обслуговування та надання інших банківських послуг (надалі - Договір), шляхом підписання клієнтом (позивачем) Заяви про надання банківських послуг №001/18498/20 від 05.11.2020.
Суд враховує, що як Клієнт, так і Банк, визнають факт несанкціонованого втручання в систему здійснення банківських платежів третіми особами.
Натомість, Банк стверджує, що проведення несанкціонованих платежів стало можливе через недбалість самого Клієнта щодо забезпечення інформаційної безпеки своєї робочої станції, що взаємодіє з системами Клієнт-Банк, а відтак, порушення умов Договору саме клієнтом.
Оцінюючи дані заперечення відповідача, суд встановив, що підписуючи Заяву про надання банківських послуг №001/184198/20 від 05.11.2020, ТОВ «МБК Сінергія» приєднався до Договору про відкриття рахунків, здійснення розрахунково-касового обслуговування та надання інших банківських послуг юридичним особам-резидентам (включаючи їх відокремлені підрозділи, які не є самостійними юридичними особами), юридичним особам - нерезидентам (резидентам-інвесторам), іноземним представництвам, фізичним особам - підприємцям, а також для забезпечення таких видів діяльності як виробнича кооперація, спільне виробництво та інші види спільної діяльності, що здійснюються на підставі договорів (контрактів) без утворення юридичної особи (публічний) (надалі - «Договір»), розміщеного на офіційному сайті Банку за адресою: www.otpbank.com.ua (пункт 1 Заяви №001/184198/20 від 05.11.2020).
Так, перелік заходів щодо забезпечення інформаційної безпеки робочих станцій підключених до системи «Клієнт-Банк» відповідно до рекомендацій Банку, викладений в Додатку №3 до Договору про надання платіжних та інших послуг корпоративним клієнтам - «Пам'ятка щодо дотримання вимог ІНФОРМАЦІЙНОЇ БЕЗПЕКИ при використанні системи Клієнт-Банк (сторінка 53) (Публічний договір для корпоративних клієнтів редакція від 11.08.2025 за посиланням https://www.otpbank.com.ua/big-corporate/rko/public-contract ).
Згідно зазначеної Пам'ятки (Додаток №3 до Договору в редакції що була чинна станом на момент виникнення спірних правовідносин - 31.10.2025) Банк вживає усіх заходів для попереджуючого реагування на ймовірні загрози інформаційної безпеки та рекомендує дотримуватись Основних та Додаткових правил безпечної роботи в Системі Клієнт-Банк. Зокрема, Основні правила передбачають наступне:
1. Обмежте доступ сторонніх осіб до комп'ютера, що використовується Вами для роботи з Системою Клієнт-Банк. Забезпечте безпеку приміщення, в якому вона встановлена.
2. Обмежте доступ сторонніх осіб до мобільного телефонного пристрою, який використовується для отримання одноразових авторизаційних OTP-Кодів. Нікому не повідомляйте значення одноразового коду. Пам'ятайте, що співробітники Банку не мають права спонукати клієнта повідомляти будь-яким способом значення паролів, кодів, реквізити платежів тощо, а також вимагати проведення будь-яких платежів на користь третіх осіб Примітка! Не рекомендується використовувати для отримання одноразових авторизаційних OTP-Кодів номери мобільних телефонів без укладання контракту з операторами мобільного зв'язку.
3. Забезпечте надійне зберігання Секретних Ключів на зовнішньому носії (токені тощо). Не зберігайте файли Секретних Ключів на жорсткому диску комп'ютера. Одразу після проведення операцій з використанням Секретних Ключів, відключайте їхні носії від комп'ютера, не залишайте їх постійно підключеними до комп'ютеру.
4. Використовуйте схему підпису платіжних інструкцій двома підписами (двома ключами) з двох окремих комп'ютерів.
5. Періодично контролюйте стан Ваших поточних рахунків (як мінімум 1 раз на день), навіть якщо Ви особисто не здійснюєте платіжні операції в Системі Клієнт-Банк.
6. Використовуйте тільки ліцензійне програмне забезпечення, отримане з довірених джерел.
7. Використовуйте антивірусне програмне забезпечення та виконуйте своєчасне встановлення оновлень антивірусних баз.
8. Забезпечте своєчасне встановлення оновлень безпеки операційної системи (не рекомендується використовувати операційні системи, підтримка яких розробниками не здійснюється (наприклад, Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows XP тощо)).
9. Активуйте режим фільтрації доступу до Системи Клієнт-Банк за IP-адресою - штатна функція Системи Клієнт-Банк. Для отримання детальної інформації щодо підключення можливості фільтрації доступу за IP-адресою та здійснення відповідних налаштувань Ваш IT-адміністратор має звернутися до Служби Підтримки Системи.
10. Не використовуйте комп'ютер з встановленою Системою Клієнт-Банк для перегляду інтернет-ресурсів, не пов'язаних з роботою, не відвідуйте сайти зі сумнівним змістом, які найчастіше є джерелом поширення шкідливих програм (ураження відбувається непомітно для користувача).
11. Не встановлюйте і не зберігайте підозрілі файли, отримані з ненадійних джерел, завантажені з невідомих Web-сайтів, надіслані електронною поштою і т.п. Такі файли необхідно негайно видаляти. У разі необхідності завантаження файлу, обов'язково перевіряти його антивірусною програмою перед використанням.
При цьому, згідно зазначеного Договору в редакції, що діє з 11.08.2025 (чинна станом на момент виникнення спірних правовідносин - 31.10.2025):
п. 5.2.6.2.8. - Клієнт зобов'язується забезпечити надійне зберігання Сертифікатів, Секретних Ключів та паролів доступу до них, необхідних для користування Системою Клієнт-Банк, не допускати їх несанкціонованого використання неуповноваженими особами.
п. 5.2.6.5.3. - Банк не несе відповідальності за шкоду, яку зазнав Клієнт внаслідок несанкціонованого використання Секретних Ключів/ОТР-Кодів/Системи Клієнт-Банк.
п. 5.2.6.5.4. - Банк звільняється від відповідальності за повне або часткове невиконання умов п. 5.2. Договору у разі:
- використання Клієнтом Системи Клієнт-Банк з порушенням правил, встановлених Договором та/чи Інструкцією Користувача;
- порушення Договору та/чи Інструкції Користувача з боку Клієнта шляхом навмисних дій, недбалості чи бездіяльності;
- неналежного функціонування обладнання чи програмного забезпечення крім обладнання, наданого Банком, що застосовується для роботи з Системи Клієнт-Банк;
- використання Клієнтом пристроїв під спеціальними сервісними аккаунтами (обліковими записами), які надають право на виконання усіх без винятку операцій (т.з. пристроїв з відкритим root-доступом, «рутованих» пристроїв, в т.ч. Jailbreak);
- неналежного антивірусного захисту комп'ютера чи іншого обладнання Клієнта, що використовується для роботи з Системою Клієнт-Банк;
- відсутності електропостачання, припинення надання послуг за Договором внаслідок стихійного лиха чи дій державних органів, що унеможливлюють подальше надання послуг за Договором;
- збитків Клієнта, пов'язаних із неналежним використанням Системи Клієнт-Банк;
- недостовірності інформації в документах, наданих Клієнтом;
- зміни Законодавства чи прийняття нових законів, інших нормативно-правових актів, які змінюють чи припиняють правовідносини, що регулюються Договором.
При вирішенні спору, суд керується, зокрема, положеннями Закону України «Про платіжні послуги», що визначає обов'язки та відповідальність учасників платіжного ринку України.
Статтею 1 Закону України «Про платіжні послуги» визначено наступні терміни:
автентифікація - процедура, що дає змогу надавачу платіжних послуг установити та підтвердити особу користувача платіжних послуг та/або належність користувачу платіжних послуг певного платіжного інструменту, наявність у нього підстав для використання конкретного платіжного інструменту, у тому числі шляхом перевірки індивідуальної облікової інформації користувача платіжних послуг;
дистанційна платіжна операція - платіжна операція, що здійснюється із застосуванням засобів дистанційної комунікації;
засіб дистанційної комунікації - засіб комунікації, що використовується у процесі укладання правочинів щодо надання платіжних послуг (у тому числі для надсилання та отримання всіх необхідних для цього документів та відомостей) та/або ініціювання платіжних операцій без фізичної присутності надавача платіжних послуг та користувача;
неакцептована платіжна операція - платіжна операція, виконана надавачем платіжних послуг платника на підставі наданої ініціатором платіжної інструкції без отримання згоди платника (крім примусового списання (стягнення) або після відкликання такої згоди;
негайно - найкоротший можливий строк, але не пізніше наступного операційного дня, визначений внутрішніми документами надавача платіжних послуг та передбачений договором з користувачем платіжних послуг, у який мають виконуватися (відбуватися) відповідні дії з моменту настання підстави для їх виконання;
неналежна платіжна операція - платіжна операція, внаслідок якої з вини особи, яка не є ініціатором або надавачем платіжних послуг, здійснюється списання коштів з рахунку неналежного платника та/або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі;
неналежний отримувач - особа, на рахунок якої без законних підстав зарахована сума платіжної операції або яка отримала суму платіжної операції в готівковій формі;
неналежний платник - особа, з рахунку якої списано кошти без законних підстав (помилково або неправомірно);
неналежний стягувач - особа, яка не має визначених законом підстав на ініціювання платіжної операції з рахунку платника;
помилкова платіжна операція - платіжна операція, внаслідок якої з вини надавача платіжних послуг здійснюється списання коштів з рахунку неналежного платника та/або зарахування коштів на рахунок неналежного отримувача чи видача йому коштів у готівковій формі;
посилена автентифікація - процедура автентифікації, яка передбачає використання двох чи більше сукупностей даних, що належать до таких різних категорій: а) знань (володіння інформацією (даними), що відома лише користувачу); б) володінь (застосування матеріального предмета, яким володіє лише користувач); в) притаманність (перевірка біометричних даних або інших властивостей (рис, характеристик), притаманних лише користувачу, що відрізняють його від інших користувачів);
Пунктами 2 - 5 частини 20 статті 38 Закону України "Про платіжні послуги" встановлено, що користувач, якому наданий електронний платіжний засіб, зобов'язаний:
- зберігати та використовувати електронний платіжний засіб відповідно до вимог законодавства та умов договору, укладеного з емітентом;
- не допускати використання електронного платіжного засобу особами, які не мають на це права;
- не повідомляти та іншим чином не розголошувати індивідуальну облікову інформацію та/або іншу інформацію, що дає змогу ініціювати платіжні операції;
- негайно після того, як така інформація стала йому відома, повідомити емітента у спосіб та каналами зв'язку, передбаченими договором між емітентом та платником, про факт втрати електронного платіжного засобу та/або факт втрати індивідуальної облікової інформації.
Як вбачається з матеріалів справи, з рахунку ТОВ «МБК Сінергія» за 31.10.2025 на користь ФГ «Леран» протягом короткого часу, менше півтори години (з 13:17 до 14:24) було здійснено 44 транзакції на різні суми (від 18 700, 00 грн до 488 745,00 грн) в сукупності 4 739 142,00 грн, з яких 3 297 642, 00 грн належали Клієнту, оскільки, попередньо на рахунок Клієнта надійшли кошти від ФГ «Леран» без наявності жодних правових підстав для цього у розмірі 1 441 500, 00 грн), які ані директор товариства позивача, ані бухгалтер не ініціювали та не підтверджували.
Тобто, 31.10.2025 мало місце несанкціоноване списання грошових коштів з рахунку ТОВ «МБК Сінергія».
З листа Регіонального відділення ТОВ «ОТП Банк» №300-3-300-3-300-3/403БТ від 31.10.2025 вбачається, що 31.10.2025 Банк отримав повідомлення від Клієнта щодо несанкціонованого списання коштів з рахунку Клієнта на рахунок ФГ «Леран» (код ЄДРПОУ 38761884) НОМЕР_4 з призначенням платежу «оплата за зерно, згідно договору…».
За результатами проведеного внутрішнього розслідування Регіональне відділення Банку у листі повідомило, що відповідальність за ініціювання платежів, які Клієнтом позначено як несанкціоновані, повністю покладена на посадових осіб, яким було надано право підпису платежів, а також на осіб, відповідальних за дотримання вимог інформаційної та кібербезпеки на робочих місцях, з яких здійснювався доступ до дистанційного банківського обслуговування.
Таким чином, Банк не виявив з свого боку порушень умов Договору, у зв'язку з чим, повідомив Клієнта про відсутність підстав для компенсації, посилаючись на те, що саме Клієнт не дотримався умов договору щодо забезпечення правил, встановлених Договором та/чи Інструкцією Користувача та правил безпечного користування дистанційною системою клієнт-Банк.
Банк у відзиві також стверджує, що усі платежі були виконані з IP-адреси 185.222.66.114 та технічними параметрами ПК, що зазвичай використовувалось ТОВ "МБК Сінергія". Також, платежі були підписані ключами ЕЦП: 31/10/2025 - 3002725_VEU - ОСОБА_1 ; 31/10/2025 - 3002725_VEU - ОСОБА_1 , тобто директором Клієнта.
Згідно зі статтею 43 Закону України "Про платіжні послуги" надавач платіжних послуг зобов'язаний прийняти до виконання надану ініціатором платіжну інструкцію, за умови що платіжна інструкція оформлена належним чином та немає законних підстав для відмови в її прийнятті. Надавач платіжних послуг платника під час виконання платіжної операції з рахунку платника зобов'язаний перевірити в платіжній інструкції ініціатора відповідність:
1) номера рахунку платника та коду платника (коду юридичної особи (відокремленого підрозділу юридичної особи) згідно з Єдиним державним реєстром підприємств та організацій України/податкового номера або серії (за наявності) та номера паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті); або
2) унікального ідентифікатора платника.
Надавач платіжних послуг приймає рішення щодо перевірки в платіжній інструкції інформації, зазначеної в пунктах 1 або 2 цієї частини, самостійно, а якщо він є учасником платіжної системи - згідно з правилами платіжної системи.
Надавач платіжних послуг платника приймає до виконання платіжну інструкцію лише у разі, якщо зазначена у пункті 1 або 2 цієї частини інформація, яку він перевіряє відповідно до вимог цієї частини, відповідає тій інформації про платника, що зберігається у такого надавача платіжних послуг. У разі недотримання вимог, зазначених у цій частині, відповідальність за шкоду, заподіяну платнику, несе надавач платіжних послуг платника. Такі ж дії передбачені даним законом щодо порядку виконання платіжних операцій.
Суд враховує положення статті 43 Закону України «Про платіжні послуги», проте зазначає, що частиною 1 статті 51 Закону України «Про платіжні послуги» також передбачено, що надавачі платіжних послуг зобов'язані здійснювати моніторинг платіжних операцій користувачів відповідно до внутрішнього порядку управління операційними ризиками та ризиками інформаційної безпеки з метою ідентифікації неакцептованих, помилкових та неналежних платіжних операцій, суб'єктів таких операцій та забезпечувати вжиття заходів для запобігання або припинення таких операцій.
Згідно з частиною 1 статті 67 Закону України «Про платіжні послуги» надавачі платіжних послуг зобов'язані запровадити систему захисту інформації, що має забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання.
Згідно з пунктом 140 Розділу VІІ Положення про порядок емісії та еквайрингу платіжних інструментів, що затверджено постановою НБУ від 29.07.2022 №164 (надалі - Положення №164) користувач зобов'язаний не повідомляти та іншим чином не розголошувати індивідуальну облікову інформацію та/або іншу інформацію, що дає змогу ініціювати платіжні операції, та негайно після того, як йому стало відомо про факт втрати такої інформації та/або платіжного інструменту, повідомити про це емітента в спосіб та каналами зв'язку, визначеними договором між емітентом та користувачем. До моменту повідомлення емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації ризик збитків від виконання неналежних платіжних операцій та відповідальність за них покладаються на користувача. З моменту повідомлення користувачем емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації ризик збитків від виконання неакцептованих/неналежних платіжних операцій та відповідальність покладаються на емітента. Момент, з якого настає відповідальність емітента, має бути чітко визначений умовами договору, укладеного між користувачем та емітентом.
Згідно з пунктами 143-144 Розділу VІІ Положення №164 надавач платіжних послуг у разі виконання помилкової платіжної операції з рахунку неналежного платника, якщо власник рахунку/держатель невідкладно повідомив про платіжні операції з використанням платіжного інструменту, які ним не виконувалися, зобов'язаний негайно після виявлення помилки або після отримання повідомлення (залежно від того, що відбулося раніше) переказати за рахунок власних коштів суму платіжної операції на рахунок неналежного платника. Надавач платіжних послуг зобов'язаний також відшкодувати неналежному платнику суму утриманої/сплаченої неналежним платником комісійної винагороди за виконану помилкову платіжну операцію (за наявності такої комісійної винагороди). Надавач платіжних послуг повинен сприяти власнику рахунку/держателю в поверненні коштів за неналежною платіжною операцією з використанням платіжного інструменту шляхом негайного надання доступної йому інформації про таку операцію (без стягнення плати), уключаючи інформацію, отриману на його запит від надавача платіжних послуг, що обслуговує неналежного отримувача.
Пунктом 146 Розділу VІІ Положення №164 визначено, що власник рахунку не несе відповідальності за платіжні операції, здійснені без автентифікації платіжного інструменту і його держателя, крім випадків, якщо доведено, що дії чи бездіяльність власника рахунку/держателя призвели до втрати, незаконного використання ПІНу або іншої інформації, яка дає змогу ініціювати платіжні операції.
Пунктом 150 Розділу VІІ Положення №164 передбачено, що емітент має право прийняти рішення про зупинення здійснення операцій з використанням певного платіжного інструменту, а також про вилучення платіжного інструменту за наявності обставин, що можуть свідчити про незаконне його використання та/або його реквізитів, значно збільшеного ризику неспроможності користувача виконати своє зобов'язання щодо сплати кредиту та процентів за ним, в інших випадках, установлених договором.
Таким чином, крім функцій розрахунково-касового обслуговування клієнта банк також виконує й функцію зберігання його грошових коштів, які перебували на поточному рахунку, і несе відповідальність за безпеку власної платіжної системи, а значить і грошових коштів (зазначений висновок узгоджується із правовою позицією Верховного Суду, викладеною в постанові від 21.06.2023 у справі №922/4091/19).
У постановах від 16.12.2020 у справі № 214/2867/18, від 25.05.2021, 22.05.2021 та від 21.06.2023 у справі № 922/4091/19 Верховний Суд наголошував, що у разі встановлення факту неналежного переказу грошових коштів з банківського рахунку банк зобов'язаний повернути клієнту відповідну суму, тоді як виключення із вказаного правила можливе лише за умови встановлення обставин, які підтверджують, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
Верховний Суд у постанові від 21.04.2021 у справі №751/6050/18, дійшов висновку, що саме на банк, який є професійним учасником ринку надання банківських послуг, покладено обов'язок доведення того, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції. Відповідно, вимоги до рівня та розумності ведення справ банком є вищими, ніж до споживача - фізичної особи, яка зазвичай є слабшою стороною у цивільних відносинах з такою кредитною установою. З врахуванням наведеного, всі сумніви та розумні припущення мають тлумачитися судом саме на користь такої слабшої сторони.
Крім того, у постанові від 21.06.2023 у справі № 922/4091/19 Верховний Суд висловив правову позицію, зокрема, що навіть за обставин коли клієнтом банку є не фізична, а юридична особа-суб'єкт господарської діяльності, наведене не впливає на визначення її як більш слабкої сторони у відносинах із банком, особливо у сфері кібербезпеки (інформаційної безпеки) щодо захисту клієнтів банку та коштів, які зберігаються на рахунках клієнтів у банку, від кіберзлочинів. Саме Банк є фінансовою установою, професійним учасником ринку фінансових послуг, на яку покладається організація та забезпечення безпеки платежів. Несанкціоноване списання коштів поза волею клієнта, свідчить про несанкціоноване втручання в систему здійснення банківських платежів, яка належить Банку, з боку третіх осіб. Несанкціоноване списання коштів з рахунку позивача є не просто помилковим платежем, а інцидентом кібербезпеки, який мав бути зафіксований та розслідуваний Банком відповідно до приписів Закону "Про основні засади забезпечення кібербезпеки України".
У постанові від 20.07.2022 у справі №521/20764/20 Верховний Суд виснував, що саме банк має доводити, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції; у разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, необхідно виходити з відсутності вини користувача у перерахуванні чи отриманні спірних грошових коштів; сам по собі факт коректного вводу вихідних даних для ініціювання такої банківської операції, як списання коштів з рахунку користувача, не може достовірно підтверджувати ту обставину, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції.
Вищенаведені правові позиції також були підтримані Верховним Судом у постановах від 21.06.2023 у справі №922/4091/19, від 23.04.2025 у справі №910/3176/24, від 20.01.2026 у справі №917/568/25 та від 24.02.2026 у справі №910/6854/25. Зокрема, враховуючи наведені вище висновки, Верховний Суду у постанові від 20.01.2026 у справі №917/568/25 зазначив, що у разі встановлення факту неналежного переказу грошових коштів з банківського рахунку банк зобов'язаний повернути клієнту відповідну суму.
Водночас, Верховний Суд стало та послідовного наголошував на тому, що у такій категорії справ встановленню підлягають обставини, що беззаперечно свідчитимуть, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції від його імені. В разі недоведеності обставин, які безспірно свідчать про те, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, банк зобов'язаний повернути клієнту відповідну суму.
Отже, Верховний Суд дотримується правової позиції стосовно того, що тягар доведення обставин, які свідчать про вчинення клієнтом дій чи бездіяльності, що сприяли доступу третіх осіб до його рахунку, покладається на банк (пункт 48 постанови Верховного Суду у справі №910/6854/25 від 24.02.2026).
Матеріали справи не містять доказів, що з більшою вірогідністю підтверджують, що саме користувач (Клієнт) своїми діями чи бездіяльністю сприяв втраті, незаконному використанню ПІН-коду або іншої інформації, яка дає змогу ініціювати платіжні операції (компрометацію ЕЦП).
Відтак, заперечення відповідача є бездоказовими та зводяться до припущень, у зв'язку з чим, суд позбавлений можливості встановити факт наявності умисних дій або бездіяльності позивача, що призвели до зменшення його власного капіталу.
Крім того, суд враховує, що позивач як Клієнт Банку в той же день звернувся до Банку та заблокував доступ до рахунку і вчинив такі дії менше, ніж через півтори години після несанкціонованого втручання третіх осіб та списання коштів з рахунку позивача.
Банк є учасником відносин, який отримує платіжні доручення для виконання, а тому, у разі якщо такі платіжні інструкції складені третіми особами (шахраями), то позивач при всій своїй обачливості не може дізнатися про це, і не може повідомити Банк про компрометацію ЕЦП чи пін-коду до проведення такої операції Банком. Водночас Банк, як безпосередній виконавець таких платіжних інструкцій та банківських операцій, за будь-яких обставин не може не знати про надходження розпоряджень про переказ коштів до їх виконання.
Тому саме на Банк покладений обов'язок оцінювати усі платіжні доручення, що надходять від імені клієнта, насамперед через призму безпеки дистанційних платежів, з урахуванням наявних ризиків та з метою завчасного виявлення підроблених платіжних документів (п. 7.65. постанови Верховного Суду від 20.01.2026 у справі №917/568/25).
У даному випадку, суд констатує, що 44 транзакції з рахунку ТОВ «МБК Сінергія» здійснено за допомогою систем дистанційного банківського обслуговування - у системі "КЛІЄНТ-БАНК".
Частинами 1, 2-5 статті 68 Закону України "Про платіжні послуги" визначено, що електронна взаємодія надавача платіжних послуг із користувачем здійснюється лише після автентифікації користувача, який є фізичною особою, або уповноваженого представника користувача, який є юридичною особою.
Надавачі платіжних послуг зобов'язані застосовувати посилену ідентифікацію користувача під час:
- отримання користувачем доступу до рахунку за допомогою засобів дистанційної комунікації;
- ініціювання дистанційної платіжної операції;
- будь-яких інших дій у разі підозри вчинення шахрайства (або існування ризику шахрайства) чи інших неправомірних дій (або існування ризику вчинення інших неправомірних дій).
Надавачі платіжних послуг зобов'язані розробити та застосовувати елементи посиленої ідентифікації, які мають бути незалежними, щоб виявлення факту несанкціонованого доступу до одного захищеного елемента або його розголошення не загрожувало надійності інших елементів, а також запровадити заходи із забезпечення захисту конфіденційності даних ідентифікації.
Для проведення дистанційних платіжних операцій надавачі платіжних послуг зобов'язані застосовувати посилену ідентифікацію платника, що включає використання унікальних для кожної окремої операції даних, які дають змогу пов'язувати (в результаті виконання алгоритму співставляти контрольний показник з даними операції) операцію на певну суму і конкретного отримувача.
Згідно пунктів 7, 71, 8, 9, 91 глави 2 розділу І Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку, що затверджене постановою правління НБУ від 03.05.2023 №58 (надалі - Положення №58):
Електронна взаємодія надавача платіжних послуг із користувачем здійснюється лише після автентифікації користувача платіжних послуг, який є фізичною особою, або уповноваженого представника користувача, який є юридичною особою. Надавач платіжних послуг зобов'язаний застосовувати посилену автентифікацію користувачів платіжних послуг у випадках, визначених у статті 68 Закону про платіжні послуги.
Надавач платіжних послуг має право не застосовувати посилену автентифікацію користувачів платіжної послуги в таких випадках:
1) виконання транскордонної платіжної операції з використанням реквізитів платіжної картки;
2) ініціювання та/або виконання платіжної операції з використанням системи S.W.I.F.T.
Надавач платіжних послуг використовує механізми і процедури моніторингу операцій для виявлення несанкціонованих або шахрайських дій. Ці механізми і процедури ґрунтуються на аналізі операцій з урахуванням тих складових, що є типовими для користувача платіжних послуг, за умов належного використання індивідуальної облікової інформації.
Процедура автентифікації повинна включати механізми моніторингу спроб несанкціонованих або шахрайських дій з використанням індивідуальної облікової інформації. Також ця процедура повинна передбачати перевірку, чи має користувач платіжних послуг право доступу до рахунку.
Механізми і процедури моніторингу операцій з переказу коштів повинні враховувати кожний із таких факторів ризику:
1) списки пошкоджених, скомпрометованих або викрадених елементів автентифікації;
2) суму кожної платіжної операції;
3) сценарії шахрайства під час надання платіжних послуг;
4) ознаки зараження зловмисним програмним забезпеченням під час будь-яких сеансів процедури автентифікації;
5) нетипове (аномальне) використання багатоцільового пристрою або програмного забезпечення для здійснення автентифікації.
Обсяг та характеристики механізмів і процедур моніторингу операцій з переказу коштів можуть включатися надавачем платіжних послуг з обслуговування рахунку в договори щодо надання платіжних послуг.
Надавач платіжних послуг, який забезпечує ініціювання дистанційної платіжної операції з використанням платіжної картки користувача платіжних послуг, зобов'язаний сформувати надавачеві платіжних послуг з обслуговування рахунку запит на проведення процедури посиленої автентифікації користувача або на застосування винятків, визначених у главах 9-12 розділу III цього Положення.
Крім того, згідно пункту 40 глави 10 розділу ІІІ Положення №58 надавач платіжних послуг зобов'язаний застосовувати посилену автентифікацію, якщо платник вперше створює, ініціює або вносить зміни до списку (шаблону) платіжних операцій, що періодично повторюються.
Суд враховує, що ТОВ «МБК Сінергія» наполягає, а Банк не заперечує, що 31.10.2025 між позивачем та ФГ «Леран» (код ЄДРПОУ 38761884) вперше відбулись платіжні операції за допомогою систем дистанційного банківського обслуговування - у системі "КЛІЄНТ-БАНК".
Жодних правовідносин між Клієнтом та ФГ «Леран» до 31.10.2025 встановлено не було. Більше того, призначенням всіх 44 транзакцій було «оплата за зерно згідно договору…». Втім, сільськогосподарська продукція та інша пов'язана із придбанням насіння/зерна діяльність жодним чином не стосується діяльності позивача, оскільки, основним видом діяльності ТОВ «МБК Сінергія» є КВЕД 43.21 «Електромонтажні роботи». Банк в тому числі повинен був звернути увагу на те, що всі 44 транзакцій були проведені в один день з невеликим проміжком часу (менше однієї години).
На переконання суду, наведені вище обставини є достатніми для висновку про те, що Банк повинен був застосувати у даному випадку, процедуру посиленої автентифікації згідно положень статті 68 Закону України «Про платіжні послуги» в сукупності із Положенням №58.
Матеріали справи не містять жодних доказів здійснення Банком посиленої автентифікації користувача, тобто позивача у справі (відсутні докази наявності повідомлень або телефонних дзвінків Банку для підтвердження транзакцій, або інших механізмів посиленої автентифікації користувача платіжних послуг).
Також матеріали справи не містять жодних пояснень Банку щодо незастосування посиленої автентифікації користувача або про застосування винятків, визначених у главах 9-12 розділу III Положення №58.
Статтею 86 Закону України "Про платіжні послуги" передбачено відповідальність надавачів платіжних послуг під час виконання платіжних операцій, зокрема зазначено, що: надавач платіжних послуг несе відповідальність перед користувачами за невиконання або неналежне виконання платіжних операцій відповідно до цього Закону та умов укладених між ними договорів, якщо не доведе, що платіжні операції виконані цим надавачем платіжних послуг належним чином; надавачі платіжних послуг несуть відповідальність, визначену цим Законом, за виконання помилкової, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків; користувачі мають право на відшкодування в судовому порядку шкоди, заподіяної надавачем платіжних послуг внаслідок помилкової, неналежної, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків; надавач платіжних послуг у разі виконання помилкової, неналежної, неакцептованої платіжної операції або виконання платіжної операції з порушенням установлених цим Законом строків зобов'язаний на запит користувача, якого він обслуговує, невідкладно вжити заходів для отримання всієї наявної у надавача платіжних послуг інформації про платіжну операцію та надати її користувачу без стягнення плати.
Надавачі платіжних послуг несуть відповідальність перед користувачами за помилкові платіжні операції, у тому числі за виконання:
1) помилкової платіжної операції на рахунок неналежного отримувача;
2) помилкової платіжної операції з рахунку неналежного платника;
3) платіжної операції з рахунку платника без законних підстав або внаслідок інших помилок надавача платіжних послуг.
Надавач послуг з ініціювання платіжної операції у разі невиконання або неналежного виконання платіжної операції з його вини зобов'язаний відшкодувати надавачу платіжних послуг з обслуговування рахунку на вимогу останнього всі понесені збитки та суми, відшкодовані користувачам. Надавач платіжних послуг з обслуговування рахунку несе передбачену цим Законом відповідальність перед користувачами за невиконання або неналежне виконання платіжних операцій, ініційованих через надавача платіжних послуг з ініціювання платіжної операції.
Надавачі платіжних послуг несуть відповідальність перед користувачами за дії або бездіяльність своїх працівників, залучених комерційних агентів та надавачів платіжних послуг - посередників, у тому числі за невиконання або неналежне виконання платіжних операцій та/або за заподіяну шкоду.
З огляду на наведене у сукупності, всупереч положень статей 67, 68 Закону України «Про платіжні послуги» саме відповідач не запровадив систему захисту інформації, що мала забезпечувати безперервний захист інформації про виконання платіжних операцій та індивідуальної облікової інформації на всіх етапах її формування, обробки, передавання та зберігання, а також не запровадив посилену ідентифікацію користувача (позивача), яка мала забезпечити виявлення несанкціонованого доступу до платіжних операцій позивача.
Тобто відповідачем, як фінансовою установою, допущено порушення положень законодавства та прав позивача, як споживача фінансової послуги, що полягало в протиправних діях Банку з незабезпечення посиленої ідентифікації користувача та захисту конфіденційності даних ідентифікації позивача.
Суд вважає, що у даному випадку АТ «ОТП Банк» не доведено вину позивача у доступі третіх осіб до інформації, яка дозволила ініціювати банківські операції, і не спростовано наявність своєї вини у несанкціонованому списанні коштів з рахунку позивача, у зв'язку з чим, суд задовольняє позовні вимоги у повному обсязі.
6. Розподіл судових витрат.
Судовий збір покладається, у спорах, що виникають при виконанні договорів та з інших підстав, - на сторони пропорційно розміру задоволених позовних вимог (пункт 2 частини 1 статті 129 ГПК України).
За таких обставин, у зв'язку з повним задоволенням позовних вимог, суд покладає судовий збір за подання позовної заяви на відповідача.
Щодо витрат позивача на професійну правничу допомогу у розмірі 63 000, 00 грн, суд зазначає, що розмір судових витрат, які сторона сплатила або має сплатити у зв'язку з розглядом справи, встановлюється судом на підставі поданих сторонами доказів (договорів, рахунків тощо). Такі докази подаються до закінчення судових дебатів у справі або протягом п'яти днів після ухвалення рішення суду, за умови, що до закінчення судових дебатів у справі сторона зробила про це відповідну заяву (частина 8 статті 129 ГПК України).
Позивачем не надано будь - яких доказів щодо понесених витрат на професійну правничу допомогу, а також не подано суду заяву про понесення витрат на професійну правничу допомогу після ухвалення рішення суду. Отже, суд дійшов висновку, що позивачем не доведено належними та допустимими доказами витрати на професійну правничу у розмірі 63 000, 00 грн, а відтак такі покладаються на позивача.
На підставі викладеного, керуючись статтями 13, 73-77, 86, 129, 236-238 Господарського процесуального кодексу України, суд
1. Позов Товариства з обмеженою відповідальністю «Монтажно-будівельна компанія СІНЕРГІЯ» - задовольнити.
2. Стягнути з Акціонерного товариства «ОТП БАНК» ((01033, м. Київ, вул. Жилянська, буд. 43; ідентифікаційний код 21685166) на користь Товариства з обмеженою відповідальністю «Монтажно-будівельна компанія СІНЕРГІЯ» (49069, м. Дніпро, вул. Михайла Грушевського, буд. 59-А, офіс 314; ідентифікаційний код 38897076) грошові кошти в сумі 3 297 642,00 грн. (три мільйони двісті дев'яносто сім тисяч шістсот сорок дві гривні нуль копійок), а також 39 571, 70 грн. (тридцять дев'ять тисяч п'ятсот сімдесят одну гривню сімдесят копійок) судового збору.
3. Видати наказ після набрання рішенням законної сили.
Рішення господарського суду набирає законної сили після закінчення строку подання апеляційної скарги, якщо апеляційну скаргу не було подано. У разі подання апеляційної скарги рішення, якщо його не скасовано, набирає законної сили після повернення апеляційної скарги, відмови у відкритті чи закриття апеляційного провадження або прийняття постанови суду апеляційної інстанції за наслідками апеляційного перегляду.
Апеляційна скарга на рішення суду подається протягом двадцяти днів з дня його проголошення безпосередньо до суду апеляційної інстанції. Якщо в судовому засіданні було оголошено лише вступну та резолютивну частини рішення суду, або у разі розгляду справи (вирішення питання) без повідомлення (виклику) учасників справи, зазначений строк обчислюється з дня складення повного судового рішення.
Суддя Г.П. Бондаренко - Легких