Юридичні наслідки кібератаки

Г-та “Бухгалтерія”, № 27-28 (1274-1275), 10 липня, 2017, стор. 6-8.

«Не знаєш як вчинити, вчиняй по закону»

думка одного з мудрих суддів

 

У книзі «Пшениця без куколю» автор Ігор Каганець війну, як суспільне явище, пояснює наступним чином: «це рішучі дії, спрямовані на зміну поведінки супротивника у потрібному напрямку (і, відповідно, захист власної поведінки від зовнішнього втручання)». При цьому величезна різноманітність способів бойових дій він зводить до семи основних видів. Найпримітивнішим видом, на думку вказаного вище автора, є технологічно-силова війна, яка полягає протистоянні як за допомогою кам’яних сокир, мечів, вогнепальної зброї, літаків, ракет, так і комп’ютерних вірусів.

 

Фахівці у сфері кібербезпеки радять не платити за розблокування комп’ютера, враженого вірусом Petiya, бо платити вже нікому, ніяких ключів для розблокування ніхто вже не надішле. Отже, мета хакерів заробити на цьому гроші, виглядає досить примарною. В епоху можливостей тотального контролю сховати гроші, що надійшли хакерам внаслідок кібератак, навряд чи вдасться. Та й якщо вдасться, то ризик виявлення таких грошей є настільки високим, що вдатися до нього може хіба що дуже впевнена у безкарності людина, або, як то кажуть, людина «без гальма».

Отже, версія про те, що кібератака – є видом найпримітивнішого виду війни, може бути цілком логічною. Та як ще можна пояснити той факт, що на Україну випало більше 80% випадків ураження вірусом, та ще й те, що для поширення цього вірусу використано саме українське ПО M.E.Doc (http://gordonua.com/news/localnews/britanskiy-ekspert-o-viruse-petya-delo-ne-v-dengah-kotorye-trebovali-hakery-a-v-atake-na-ukrainu-195303.html)?

Використовуючи цю версію війни, можна прогнозувати й юридичні наслідки для тих, хто постраждав внаслідок таких кібератак.

Технічного питання щодо того, як уберегти інформацію і дані від таких кібератак, так як усунути наслідки таких атак, не торкатимусь, оскільки поради ці мають давати і вже достатньо дають фахівці у відповідній сфері. Я ж таким фахівцем не є. Зосередимось на юридичних наслідках.

 

Господарські відносини.

Сподіваюсь на те, що контрагенти, які постраждали внаслідок останньої кібератаки, знайдуть порозуміння між собою і без того, щоб вдаватися до юридичних засобів врегулювання конфліктів. Та й взагалі обійдуться без таких конфліктів. Адже занадто явним є фактор зовнішнього втручання з боку хакерів в господарську діяльність та у відносини сторін господарського договору. Однак не виключені ситуації, коли якась сторона договору не зможе виконати свої зобов’язання за договором саме через ураження комп’ютерів вірусом, а інша сторона не захоче порозумітися та пред’являтиме якісь претензії до першої. У такому разі слід нагадати про існування такого правового інституту як форс-мажор.

У законодавстві України зустрічаються як терміни «форс-мажорні обставини», «форс-мажор», так і поняття «обставини непереборної сили». І хоча в ЦКУ та ГКУ використовується останнє поняття, у договорах часто використовується саме «форс-мажор», як поняття таких обставин. Як то кажуть фахівці: звичай такий.

Слід мати на увазі що наявність таких обставин підтверджує ТПП відповідно до Регламенту засвідчення Торгово-промисловою палатою України та регіональними торгово-промисловими палатами форс-мажорних обставин (обставин непереборної сили), затвердженого Рішенням Президії ТПП України від 15.07.2014 р. № 40(3). «ТПП України у будь-якому разі засвідчуватиме форс-мажор лише тоді, коли сторони договору домовились про таку її компетенцію та закріпили таку домовленість в договорі» (розділ ІІІ п.2.1 Регламенту). Варто не забувати, що ст.14 Закону «Про торгово-промислові палати в Україні» правом на засвідчення форс-мажорних обставин наділяє лише ТПП України. Регіональні ТПП такого права не мають.

Крім того сторони в договорі мають встановити перелік обставин, які вони вважатимуть форс-мажорними. ТПП ж підтвердить дію вірусу Petya лише в тому випадку, коли в договорі між контрагентами буде прямо зазначено кібератаку як форс-мажорну обставину. Можливий варіант, коли в договорі у якості форс-мажорних обставин буде зазначено протиправні дії третіх осіб, як біль узагальнений вид таких обставин, але гарантованішим є перший варіант.

Детальніше щодо механізму застосування форс-мажору йдеться у Листі Міністерства юстиції України від 30.05.2014 р. № 6602-0-26-14/8.1.

Отже, у відносинах з контрагентами найефективнішим способом врегулювання непорозумінь є домовленість. Якщо її досягнути не вдалося, то можна скористатися форс-мажором і відтермінувати виконання зобов’язань за договором на період усунення наслідків дії шкідливого вірусу.

Про можливість визнання ситуації з кібератакою вже повідомив перший віце-президент ТПП України Михайло Непран (https://www.ucci.org.ua/press-center/ucci-news/mikhailo-nepran-tpp-ukrayini-rekomenduie-kompaniiam-postrazhdalim-vid-kiberataki-zvernutisia-do-kiberpolitsiyi-1).

 

 

Податкові відносини

Як відомо, норма права часто виникає з необхідності врегулювати відносини, які вже виникли та вже існують. Наприклад, спочатку виникла електронна комерція, а потім був прийнятий Закон «Про електронну комерцію».

Аналогічним випадком правотворчості є те, що врегулювати усі правові наслідки кібератаки законодавці зможуть лише в майбутньому. Та наслідки ми маємо вже сьогодні і врегульовувати їх потрібно вже зараз. Часто представники контролюючих органів у процесуальних документах, коли норм права, що підтверджують правомірність їх дій, немає, люблять вказувати: «із загального аналізу норм податкового законодавства випливає, що…». А далі вони, зазвичай, викладають своє бачення того, яким мало би бути законодавство на їх думку.

Тож, щоб зрозуміти, як себе поводити на «руїнах» того, що колись було налагодженим ПО, яке дозволяло спілкуватися з контролюючими органами, слід проаналізувати норми чинного податкового законодавства, а саме – ПКУ.

Пп.191.1.27. до функцій контролюючих органів відносить забезпечення розвитку, впровадження та технічне супроводження інформаційно-телекомунікаційних систем і технологій, автоматизацію процедур, зокрема, контроль за повнотою та правильністю виконання митних формальностей, організацію впровадження електронних сервісів для суб’єктів господарювання. А пп.191.1.41. ПКУ до тих самих функцій відносить організацію інформаційно-аналітичного забезпечення та організацію автоматизації процесів адміністрування контролюючими органами. При цьому ст.21 ПКУ зобов’язує посадових осіб контролюючих органів забезпечувати сумлінне виконання покладених на такі органи функцій.

Отже безперебійна робота ПО M.E.doc є обов’язком контролюючих органів, невиконання якого тягне за собою певні юридичні наслідки.

Ст. 36 ПКУ податковим обов’язком платника податку визнає його обов’язок обчислити, задекларувати та/або сплатити суму податку та збору в порядку і строки, визначені ПКУ, законами з питань митної справи.

І хоча відповідно до п.49.3. ст.49 ПКУ подання податкової декларації засобами електронного зв’язку в електронній формі є одним з трьох альтернативних способів її подання (поруч з особистим поданням чи надсиланням поштою), для деяких видів звітності (наприклад, ПДВ) та для деяких платників (наприклад великі та середні платники податків) звітність в електронній формі є обов’язковою (п.49.4. ПКУ).

Відповідно до п.49.17. ст.49 ПКУ для реалізації права та водночас обов’язку подання звітності в електронному вигляді призначена автоматизована система «Єдине вікно подання електронної звітності». Вона допомагає у наданні послуг з подання за допомогою мережі Інтернет в електронному вигляді звітності, обов’язковість подання якої встановлено законодавством, до міністерств, інших органів державної влади та фондів загальнообов’язкового державного страхування.

Іншим варіантом електронного спілкування з контролюючим органом є так званий електронний кабінет платника податків. Пп.14.1.562 ст.14 ПКУ встановлено, що електронний кабінет – це електронна система взаємовідносин між платниками податків та державними, у тому числі контролюючими, органами з питань реалізації їхніх прав та обов’язків, передбачених ПКУ. Відповідно до п.421.2. ПКУ він (електронний кабінет) забезпечує можливість реалізації платниками податків прав та обов’язків у тому числі, шляхом:

  • заповнення, перевірки та подання податкових декларацій, звітності до контролюючого органу;
  • реєстрації, коригування податкових накладних/розрахунків в ЄРПН та акцизних накладних в ЄРАН;
  • реєстрації РРО, подання звітності, пов’язаної із застосуванням РРО, КОРО та РК, подання електронних копій розрахункових документів і фіскальних звітних чеків, подання інформації про обсяг розрахункових операцій, виконаних у готівковій та/або у безготівковій формі, або про обсяг операцій з купівлі-продажу іноземної валюти тощо;
  • забезпечення взаємодії платників податків з контролюючими органами з інших питань, передбачених ПКУ, яка може бути реалізована в електронній формі засобами електронного зв’язку.

Зрозуміло, що для реалізації вказаних прав платником податків електронний кабінет має працювати 24 години на добу, що й закріплено в пп.421.6. ПКУ. Однак, вірус Petya дещо «відкоригував» таку ідилію і призвів до того, що платники податків не змогли певний час такі свої права реалізувати та виконати свій податковий обов’язок. Таку ситуацію законодавець передбачив двічі:

  • згідно з п.421.10. ПКУ платник податків звільняється від відповідальності у разі, коли у роботі електронного кабінету виявлена технічна та/або методологічна помилка і така помилка визнана технічним адміністратором та/або методологом електронного кабінету або її існування підтверджено рішенням суду. У такому разі штрафні санкції та пеня, передбачені ПКУ, за порушення податкового та іншого законодавства, що спричинені технічною та/або методологічною помилкою у роботі електронного кабінету, не застосовуються, підстави для притягнення платника податків та/або його посадових осіб до адміністративної, кримінальної відповідальності відсутні;
  • згідно з пп.17.1.15. ПКУ платники податків мають право подавати декларацію та інші документи в паперовій формі у разі виникнення технічних проблем у роботі електронного кабінету (наявність помилки має бути підтверджена у порядку, встановленому методологом електронного кабінету або судом).

Не є порушенням податкового обов’язку саме платником податків і вплив кібератаки на обслуговуючий банк, який прийняв платіжне доручення на перерахування податків, але не виконав його. Відповідно до п.129.6 ст.129 ПКУ така відповідальність покладається на банк або орган, що здійснює казначейське обслуговування бюджетних коштів, в якому відкриваються рахунки платників у СЕА ПДВ. При цьому платник податків звільняється від відповідальності за несвоєчасне або перерахування не в повному обсязі таких податків, зборів та інших платежів до бюджетів та державних цільових фондів, включаючи нараховану пеню або штрафні санкції.

Отже щодо податкової звітності, поданої невчасно через наслідки дії кібератаки, можна обрати такі варіанти поведінки:

  1. Повірити пану М. Продану, який на семінарі 29 червня завірив, що ДФС звернулася з ініціативою до МФУ про незастосування відповідальності до платників податків, які через кібератаку затримали електронну звітність ((https://www.buh24.com.ua/blokuvannya-reyestratsiyi-podatkovih-nakladnih-vidpovidi-vid-dfsu/). Тобто вчинити порушення ПКУ та не виконати податковий обов’язок, довірившись ДФС у тому, що відповідальність не настане, залишившись при цьому правопорушником.
  2. Подати звітність через електронний кабінет. А якщо й така можливість відсутня, то подати її в паперовій формі. Зрозуміло, що для ДФС це не найбажаніший варіант поведінки платників, адже їм доведеться усю звітність обробляти в ручному режимі, а це час і помилки. Зрозуміло, що податківці не радітимуть такій поведінці платника податку, але кожен має власний досвід спілкування з ними і сам має визначитися, як йому вчинити.

 

Облікові аспекти.

Цілком логічно, що вражений вірусом Petya комп’ютер навряд чи зможе надати доступ до інформації, що на ньому зберігалася. І якщо ця інформація є бухгалтерською, тобто такою, що формує дані бухгалтерського обліку, то її треба відновити, щоб мати змогу формувати бухгалтерську і податкову звітність.

У юридичній площині слід вказати на існування п.44.5. ст.44 ПКУ, відповідно до якої у разі втрати чи пошкодження документів, пов’язаних з обліком доходів і витрат, платник податків зобов’язаний у п’ятиденний строк з дня такої події письмово повідомити контролюючий орган за місцем обліку, та контролюючий орган, яким було здійснено митне оформлення відповідної митної декларації. У цій нормі йдеться про первинні документи, регістри бухгалтерського обліку, фінансової звітності, інші документи, пов’язані з обчисленням і сплатою податків і зборів, ведення яких передбачено законодавством.

Після надходження такого повідомлення до контролюючого органу ПКУ надає платнику податків 90 календарних днів на відновлення документів. Давати якісь поради, як здійснювати таке відновлення, досить складно, оскільки у цьому разі усе залежить від тієї інформації, яка збереглася, від її обсягу і достовірності. Це можуть бути інвентаризації матеріальних активів, звірки з контрагентами, аналіз банківських виписок, власної звітності…

Слід також зважувати й на те, якою інформацією може володіти податковий орган. Якщо у підприємства напередодні кібератаки закінчилася комплексна перевірка, то цілком логічно виходити з того, що певний обсяг інформації вже є доступним контролюючому органу. Саме ця інформація може бути ним використана для порівняння з відновленою. Зрозуміло що у разі виникнення розбіжностей та можливості їх тлумачення на користь фіскальної точки зору, це буде зроблено. Тож ігнорувати цей фактор не варто.

Ще слід зважити на необхідність офіційної фіксації самого факту втрати інформації, про яку йшлося вище. На цьому наголошують як незалежні фахівці, так і представники ДФС України. І дійсно, факт втрати бухгалтерських документів (в електронному вигляді), який дає право на 90-денний строк на їх відновлення, також бути в центрі уваги контролюючого органу, оскільки не виключено, що хтось може захотіти кібератакою скористатися, аби щось приховати. Для цього слід звертатися слід до поліції із заявою про вчинення злочину, передбаченого ст.361 Кримінального кодексу України, об’єктивна сторона якого полягає в несанкціонованому втручанні в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку.

Насамкінець слід нагадати вислів мудрого судді, що в епіграфі, який радить вчиняти по закону. Тож що б не обіцяли податківці, завжди слід зважувати на чинні норми законодавства і враховувати їх