Г-та “Бухгалтерія”, № 35 (1282), 28 серпня, 2017, стор. 29-33.

Вірус Petya.A, як непрошений гість, брутально втрутився в наше життя, вимагаючи уваги, яку б ми із задоволенням витратили на більш приємні речі. Та найнеочікуванішим виявилося не те, що кібератака вимагає від нас часових витрат і певних зусиль. На жаль, стало очевидним, що ані чиновники, ані суб’єкти господарювання не мають чіткої уяви про порядок першочергових дій. Тобто, які юридичні кроки потрібно вчинити, щоб не те що, зменшити, а хоча б не збільшити негативні наслідки кібератаки. Залишаються без відповіді запити до державних органів від підприємств і підприємців, які раптово опинились винні без вини: хтось не встиг зареєструвати податкову накладну, хтось – акцизну, а хтось – вчасно сплатити податки. Чиновники або відмовчуються, або ж говорять таке, що не вкладається в логіку правової поведінки. Та й з контрагентами треба себе правильно повести, щоб не постраждати самому та не нашкодити партнерові. Тому будемо з цим усім поступово розбиратись.

 

Метушня навколо кібератаки

Як відомо, право частіше плентається позаду життя, аніж випереджає його. Тобто воно, зазвичай, врегульовує ті відносини, які ВЖЕ виникли. Та це й не дивно, бо інакше законотворцю довелося б «гадати на кавовій гущі»: а які ж правовідносини можуть виникнути в майбутньому, щоб заздалегідь їх врегулювати? У цьому разі ми би мали певну кількість законів, які лежали б під сукном і чекали свого часу. Тож, треба спочатку зайнятися тими відносинами, які вже існують і потребують врегулювання, і лише потім займатися тими, що виникнуть в майбутньому.

Оскільки законодавець ніяк не впорається з першим, то до другого він навряд чи скоро наблизиться. Тому не дивно, що коли напередодні Дня Конституції в України сталася масована кібератака за допомогою вірусу Petya.A, основна маса чиновників та фахівців не змогла чітко і зрозуміло сказати, які ж юридичні дії та кроки у такому випадку мають вчинити господарюючі суб’єкти, аби мінімізувати цілу низку негативних наслідків, в тому числі, прямих матеріальних та фінансових втрат.

Хтось спробував на тому створити собі певний імідж, запропонувавши приєднатися до колективного позову до розробників програмного забезпечення M.E.Doc[1] про відшкодування збитків. Хоча, на думку автора, перспектив у такого позову не так вже й багато. У деліктному праві, тобто у тій галузі права, яка регулює відносини, пов’язані з нанесенням шкоди та її відшкодуванням, існує чіткий алгоритм такого відшкодування. Для цього позивач у суді має довести сам факт неправомірної дії відповідача, шкоду та її розмір, і найголовніше – причинно-наслідковий зв’язок між вказаними неправомірними діями відповідача та шкодою.

Уявіть собі, що ви в суді і суддя запитує про те, у чому ж ви вбачаєте неправомірні дії відповідача – розробника програмного забезпечення? У тому, що саме воно було використано злочинцями, які поширили вірус? Чи у тому, що програмне забезпечення виявилося незахищеним  перед вірусом, якого ще й не існувало на момент розробки цього забезпечення? Чи у тому, що сервер (сервери), через який (які) відбулося поширення вірусу не був захищений антивірусом, якого також ще не існувало на момент розробки програмного забезпечення?

Адже логічно, що будь-який розробник не може дати гарантії, що створене ним програмне забезпечення є ідеально захищеним від будь-яких існуючих вірусів та у їх «нащадків» в майбутньому. І той факт, що сервер розробників (розповсюджувачів) програмного забезпечення M.E.Doc та його оновлень виявився не захищеним від вірусу Petya.A не може вважатися неправомірною дією. Бо аналогічно і позивачам можна пред’явити претензію: вони самі свій комп’ютер від вірусу не захистили.

Тож якщо хтось з читачів вбачає перспективу позитивного судового рішення про стягнення з M.E.Doc шкоди на свою користь, може приєднатись до колективного позову.

Окрім створення собі певного іміджу на темі «Спопелимо M.E.Doc нашим праведним гнівом», є й інші приклади сумнівного використання факту кібератаки. Наприклад, Мінфін. Спочатку він «пропіарив» себе заявою про розробку законопроекту, який звільняв би постраждалих в результаті кібератаки, від відповідальності щодо податкових правопорушень. Потім дійсно подав цей законопроект, а Верховна Рада його успішно прийняла. Йдеться про Закон № 2143[2], який нібито й надав певну гарантію платникам податків щодо незастосування штрафних санкцій за порушення граничних строків, встановлених для реєстрації податкових та акцизних накладних та/або розрахунків коригування, за порушення сплати узгоджених сум грошових зобов’язань, та щодо перевірок. Однак механізми реалізації цього Закону виявилися не такими вже й простими[3]. Крім того, Закон № 2143, який нібито спрямований на захист платників податків, насправді «услужив» їм, як то кажуть, по-ведмежому. Суть «ведмежості» полягає у наступному:

• по-перше, відповідно до норм податкового законодавства застосовування вказаних штрафних санкцій є правом, а не обов’язком контролюючих органів. Тож у законі, який би звільняв платників від такої відповідальності, просто немає потреби! Достатньо, щоб податківці просто не застосовували штрафи там, де вони мають право їх не застосовувати;
• по-друге, просуванням та лобіюванням Закону № 2143 Мінфін підтвердив, що вказане право штрафувати платників він сприймає не як право, а як обов’язок це робити. І лише пряма заборона контролюючим органам застосовувати штрафні санкції усуває можливість їх застосування. Нібито усуває. Отже, на думку Мінфіну і Верховної Ради відсутність прямої заборони таку можливість не усуває. А це означає, що в майбутньому без спеціального Закону контролюючий орган не зможе не притягати до відповідальності платників податків. Тобто Закон № 2143 створив таку собі преюдицію обов’язковості застосування штрафів до платників, які постраждали від кібератаки;
• по-третє, щодо вищевказаної преюдиції. Якщо завтра чи через місяць відбудеться нова кібератака, то відповідальності платники податків уникнути ніяк не зможуть, адже Закон № 2143 стосується лише кібератаки, що відбулася у червні 2017 року, а не усіх випадків кібератак у майбутньому. Іншими словами, посилаючись на Закон № 2143, контролюючий орган при бажанні зможе легко обґрунтувати в майбутньому, чому він не може скористатися своїм правом та «зобов’язаний» штрафувати платників податків. Як вам такий сюжет? І це усе при тому, що юристи і суди усе частіше згадують про вину, як про обов’язковий критерій для настання відповідальності навіть у сфері податкових правопорушень[4].

То чи потрібна була така преюдиція платникам податків? Може з боку Мінфіну чесніше було б у «ручному» режимі дати своїм листом (розпорядженням) команду органам ДФС не застосовувати санкції до постраждалих від кібератаки у червні 2017 року підприємств і підприємців?

Враховуючи відсутність прямих норм законодавства, що вказували б на те, які юридичні кроки має вчиняти той чи інший суб’єкт правовідносин у разі кібератаки, розглянемо далі концепцію поведінки таких суб’єктів. Для спрощення сприйняття (адже концепція – це не правило, а напрямок поведінки), не перевантажуватиму читача посиланням на норми законодавства. Сучасні інтернет-технології уможливлять це набагато ефективніше. Крім того, читач має усвідомлювати і розуміти свою поведінку, а не мати чіткий алгоритм дій, оскільки його, за відсутності відповідних норм законодавства і усталеної практики й не існує.

 

«Полюбовна» домовленість з контрагентом

Наслідки кібератаки мають так звану технічну і юридичну сторони. Технічної сторони, а саме відновлення даних будь-якого обліку[5], оновлення комп’ютерної техніки, облікового та іншого програмного забезпечення, у даній статті торкатися не будемо, оскільки ці питання не юридичні. Що ж до юридичної сторони справи, то вона може йти двома шляхами: безконфліктним та конфліктним, або таким, що може створити конфлікти.

Спочатку про безконфліктний шлях. Він лежить у площині домовленостей. Тут усе просто: поки є розуміння, що усі (або майже усі) в тій чи іншій мірі постраждали від кібератаки, необхідно якнайшвидше домовитися з контрагентами у господарських відносинах про відстрочення виконання зобов’язань. На певний строк, необхідний для усунення перешкод. Така домовленість має бути оформлена письмово. Цей спосіб оформлення найнадійніший, оскільки усуває можливість взагалі говорити про порушення зобов’язань стороною договору.

Зафіксувати домовленість можна шляхом складання додаткової угоди до того чи іншого договору, в якій слід вказати, що сторони уклали її внаслідок ураження електронних баз даних, документообороту та обліку однієї з сторін (чи обох) комп’ютерним вірусом. Шляхом укладення додаткової угоди сторони можуть домовитися про подовження строків чи перенесення термінів виконання своїх зобов’язань, або навіть про звільнення сторони (сторін) від деяких зобов’язань.

Додаткова угода до договору – не єдиний вид письмової її форми. Письмовою формою додаткової угоди також вважається обмін листами, телеграмами тощо. Щодо листів і телеграм слід зазначити, що вони мають містити усі ті нові умови, які містилися б у додатковій угоді. Наприклад, постачальник своїм листом пропонує подовжити строк чи перенести термін поставки, вказуючи новий строк чи термін, а покупець своїм зустрічним листом погоджує саме цей строк чи термін.

Уклавши додаткову угоду у тій чи іншій письмовій формі, сторони усувають основу для конфлікту стосовно «старих» зобов’язань. І конфлікт можливий у майбутньому лише стосовно нових умов договору, закріплених в додатковій угоді. Але це вже інший конфлікт, і інший розвиток подій. Важливим же залишається той факт, що укладення додаткової угоди позбавляє сторони можливості пред’являти претензії одна одній через невиконання первісних зобов’язань, а також усуває необхідність займатися збиранням доказів для доведення своїх аргументів і обставин на випадок конфлікту.

Простіше кажучи, укласти додаткову угоду до договору поставки про перенесення терміну виконання зобов’язання простіше, аніж збирати велику кількість документів для торгово-промислової палати (ТПП), щоб та підтвердила форс-мажорні обставини та право заявника затримати виконання свого зобов’язання.

 

Підтвердження форс-мажору: цікаві нюанси

 

Одразу зауважимо, що сертифікат про форс-мажор (далі – сертифікат), який видають ТПП України, чи регіональні ТПП, не є панацеєю від конфлікту. За своєю суттю він нагадує індульгенцію – документ, який підтверджує форс-мажор, але не усуває саме по собі порушення зобов’язання за договором. Як і справжні індульгенції, які в церквах середньовічної Європи видавали (за плату) в якості документального підтвердження прощення гріха, фіксуючи таким чином його вчинення, так і сертифікат підтверджує факт порушення зобов’язання, одночасно підтверджуючи й існування об’єктивних перешкод для його виконання. У цьому й прихована його небезпека.

Також прихована небезпека підтвердження форс-мажору полягає ще й у тому, що законодавець не надає сертифікату якоїсь універсальної чи абсолютної юридичної сили. Тобто, якщо сторони договору не домовившись між собою, зустрінуться у суді, і одна з них заявить про неможливість виконання своїх зобов’язань, розмахуючи при цьому сертифікатом, а інша заперечуватиме, надавши відповідні докази суду, той не зможе вважати існування форс-мажору підтвердженим автоматично. Хоча би тому, що суд повинен відповідно до процесуального законодавства досліджувати усі докази та оцінювати їх неупереджено у сукупності. Процесуальний закон встановлює, що жоден доказ для суду не має наперед встановленої сили. Тобто суддя, який отримає від відповідача сертифікат як доказ існування форс-мажору, а від позивача – певну сукупність доказів, що спростовують цей факт, вимушений буде оцінювати усі ці докази неупереджено, без надання переваги одним у порівнянні з іншими.

Процесуальні кодекси містять переліки обставин, які не підлягають доказуванню у суді. І в жодному з цих переліків сертифікат про форс-мажор відсутній. Тому отримавши його, сторона, що не виконала свої зобов’язання за договором, або затримала їх, має попіклуватися й про інші докази відсутності своєї вини. І ні в якому разі не розслаблятися, адже сертифікат вона отримала в ТПП вже тому, що сама передбачала настання конфлікту з контрагентом.

А от обставину, визнану обома сторонами спору, процесуальне законодавство відносить до таких, які можна не доказувати. Та і як доказуватиме контрагент в суді відсутність форс-мажору, якщо він сам визнав його існування?

Розглянемо наступну ситуацію. Контрагент «А» по договору поставки, який постраждав від кібератаки, надсилає листа контрагенту «Б» за цим договором про те, що через кібератаку у нього втрачені усі бази даних, і він не може швидко усунути цю проблему, щоб своєчасно поставити той чи інший товар (якщо він – постачальник), або ж здійснити оплату за товар (якщо він – покупець). При цьому контрагент «А» просить 2 тижні відстрочки. Контрагент «Б» у відповідь надсилає свій лист про те, що факт кібератаки йому відомий, що він постраждав не менше, тому згоден зрозуміти, що затримка виконання зобов’язання контрагентом «А» викликана негативною дією комп’ютерного вірусу. Таке листування підтверджуватиме визнання обома сторонами договору факту форс-мажору у вигляді незаконних дій третіх осіб (назвемо їх хакерами). Головна цінність листування між контрагентами у тому, що контрагент «Б» письмово визнає факт існування форс-мажору через кібератаку.

А тепер готуйтеся здивуватися. З точки зору процесуального законодавства вказане листування у суді буде більш вагомим аніж сертифікат, якщо зважувати на їх доказову силу. Тому, що листом контрагента «Б» можна підтвердити форс-мажор, як обставину, яку не треба доказувати, а сертифікат у суді буде сприйнятий просто як один із доказів, що підтверджує форс-мажор, який ще треба доказати.

Наразі запитання: знаючи доказову силу листа від контрагента про визнання ним форс-мажору та сертифіката, з чим би ви хотіли опинитися у суді у статусі відповідача, якому пред’явили позов про сплату штрафу за прострочення виконання зобов’язання? З простим листом, чи з гарним документом з печаткою ТПП?

 

Крім того, на думку автора, отримання сертифікату – процедура не з простих, адже ТПП має підтвердити, що зобов’язання з поставки товару чи сплати коштів не було виконано саме через кібератаку. Як вона оцінюватиме таке невиконання поки що сказати важко, але простір для фантазії є. Можливо, вона допоможе уявити, яким чином комп’ютерний вірус може завадити виконанню обов’язку з поставки товару чи з оплати певної суми коштів. Якщо вам хтось скаже, що він не заплатив за світло через те, що вірус пошкодив його комп’ютер, і Обленерго таке пояснення прийняло, то буде досить дивним, правда ж?

Для поставки товару покупцеві потрібен товар і транспортний засіб, а не комп’ютер. Для оплати отриманого товару треба звернутися в банк шляхом підключення в онлайн-режимі з невраженого вірусом комп’ютера чи шляхом фізичної доставки платіжного доручення.

Не будемо зменшувати негативний вплив кібератаки на виконання зобов’язань. Проте очевидно, що віруси перешкоджають їх виконанню не завжди: досить часто існує можливість виконання зобов’язання із застосуванням іншого комп’ютера чи навіть без нього. І ТПП зможе підтвердити існування форс-мажору лише в тих випадках, коли кібератака «поховає» усі спроби виконати зобов’язання. Та й у суді доведеться доводити, що зобов’язання аж ніяк не могло бути виконано через враження комп’ютера вірусом. Якщо чесно, то наскільки це можливо на вашу думку? Може саме цим і можна пояснити відсутність офіційної інформації про видані ТПП сертифікати щодо останньої кібератаки?

Слід мати на увазі також наступне: визначення форс-мажору, наведене у Законі про ТПП[6] вказує на те, що він унеможливлює виконання як зобов’язань, передбачених умовами договору, так і обов’язків згідно із законодавством. Проте Регламент ТПП[7] побудований таким чином, що сертифікат щодо податкових зобов’язань отримати буде досить важко (якщо не неможливо, зважаючи на існування Закону № 2143). Зазначимо: документи на підтвердження форс-мажору до ТПП слід подавати щодо кожного окремого договору, кожного окремого податкового обов’язку[8].

Враховуючи викладене, не варто покладати багато надій на сертифікат тому, що, по-перше, його ще треба отримати, а по-друге, він не врятує від необхідності підтвердження факту форс-мажору іншими доказами. Та, до того ж, сертифікат не звільняє від самого обов’язку, він звільняє від відповідальності за його несвоєчасне виконання та дозволяє перенести термін виконання зобов’язання на майбутнє.

 

Заява про кіберзлочин

Деякі фахівці і чиновники радять звертатися до Кіберполіції із заявою про вчинення злочину, а саме несанкціонованого втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації.

Звертатися дійсно варто, проте розраховувати на те, що таке звернення врятує від негативних наслідків – ні. Саме звернення з метою фіксації факту несанкціонованого втручання в комп’ютерні системи є логічним, проте воно не вичерпує і не усуває негативні наслідки такого втручання і не надає правовий захист від претензій з боку кредиторів та державних органів.

Звернення із заявою про злочин не підтверджує факт його вчинення. За загальним правилом презумпції невинуватості цей факт встановлюється вироком суду. Як бувший слідчий, автор впевнений, що судова «перспектива» такої кримінальної справи невисока і, говорячи мовою слідчих 90-х років, ця справа більше схожа на «глухаря».

А без вироку і заява, і статус суб’єкта підприємництва, як потерпілого у цій справі, залишатимуться лише ймовірністю підтвердження такого факту, а не його справжнім підтвердженням. Тож і посилання на цей факт у процедурі отримання сертифікату, або ж в судових справах вирішального значення не матиме.

Не матиме воно особливого значення ще й тому, що слідчі, які прибудуть на місце злочину, зафіксують факт враження конкретного комп’ютера (комп’ютерів) вірусом Petya.A або Vasya.B. Проте навряд чи вони зможуть зафіксувати факт, що усі бази даних, уся інформація, необхідна для виконання зобов’язань за тим чи іншим договором, стала недоступною, оскільки вона саме на цих комп’ютерах містилася. Тим більше не зможуть слідчі підтвердити й неможливість вчинення певних дій з використанням інших комп’ютерів цього ж підприємства (підприємця), чи з використанням нових комп’ютерів.

Тепер, шановні читачі, самі зважте на процесуальну доказову силу копії заяви про вчинення злочину. Можемо припустити, що ваш висновок також невтішний. Тож слідчого можна попросити зафіксувати якомога більше фактів щодо кількості вражених комп’ютерів, підтвердити дії працівників підприємства чи запрошених фахівців на підтвердження факту враження комп’ютерів, можливості відновлення самих комп’ютерів та інформації, що на них зберігалася[9]. Такі слідчі дії, зафіксовані у відповідних процесуальних документах слідчого,  додадуть більшої переконливості доказам суб’єкта господарювання.

 

Резюме

Єдиним надійним способом уникнення проблем між контрагентами є належне виконання своїх зобов’язань за договором. Для того, щоб це стало можливим у випадку з кібератакою, необхідно домовитися з ними про зміну таких зобов’язань (відстрочення їх виконання), а саму домовленість варто закріпити у письмовій формі.

Якщо укласти додаткову угоду не вдалося, то перш ніж звертатися до ТПП за сертифікатом, варто спрямувати зусилля на те, щоб отримати від контрагента визнання цього факту (мається на увазі листування, яке було розглянуто вище).

Якщо ж досягти домовленості чи принаймні отримати листа від контрагента про визнання ним форс-мажору не вдалося, то треба збирати інші докази неможливості виконання зобов’язання. Тут стануть у нагоді і сертифікат, і процесуальні документи слідчого на підтвердження факту враження комп’ютерів вірусом, і документи від інших осіб (висновки фахівців у сфері IT-технологій, акти робочих комісій щодо фіксації враження комп’ютерів тощо).

 

[1] Саме через нього поширився вірус Petya.A (прим. ред.).

[2] Закон України від 13.07.2017 № 2143-VIII «Про внесення змін до підрозділу 10 розділу XX Податкового кодексу України (щодо незастосування штрафних санкцій за несвоєчасну реєстрацію податкових та акцизних накладних внаслідок несанкціонованого втручання у роботу комп’ютерних мереж платників податків)» (прим. ред.).

[3] Див.: Тамошюнас А. Сага про «вірусні» штрафи або Чи завжди лаконічність – сестра таланту? // Бухгалтерія. – 2017. – № 30. – С. 6 – 9 (прим. ред.).

[4] Див. виноску 3 (прим. ред.).

[5] Див.: Волочай А…. на с.… цього номеру; Лістрова С. … на с. … цього номеру (прим. ред.).

[6] Закон України від 02.12.97 р. № 671/97-ВР «Про торгово-промислові палати в Україні» (прим. ред.).

[7] Регламент засвідчення Торгово-промисловою палатою України та регіональними торгово-промисловими палатами форс-мажорних обставин (обставин непереборної сили), затверджений Рішенням Президії ТПП України від 18.12.2014 № 44(5) (прим. ред.).

[8] Див. докладніше: Висицька І. Кібератака як форс-мажор: особливості визнання на с… цього номеру (прим. ред.).

 

[9] Див. виноску 3 (прим. ред.).