ПОСТАНОВА
ІМЕНЕМ УКРАЇНИ
26 листопада 2019 року
м. Київ
Справа № 910/15953/18
Верховний Суд у складі колегії суддів Касаційного господарського суду:
головуючого - Пількова К. М., суддів: Багай Н. О., Чумака Ю. Я.,
за участю секретаря судового засідання - Жураховської Т. О.,
учасники справи:
позивач - Товариство з обмеженою відповідальністю "Сіріон"
представник позивача - Конюшко Д. Б., адвокат
відповідач - Публічне акціонерне товариство "ОТП Банк"
представник відповідача - Чорний А. М., адвокат
третя особа-1 - Публічне акціонерне товариство "Сбербанк"
представник третьої особи-1 - не з`явився
третя особа-2 - ОСОБА_1
представник третьої особи-2 - не з`явився
розглянув у судовому засіданні касаційну скаргу Акціонерного товариства "ОТП Банк" на постанову Північного апеляційного господарського суду від 26.09.2019 (головуючий суддя Коробенко Г. П., судді Кравчук Г. А., Козир Т. П.) у справі Господарського суду міста Києва за позовом Товариства з обмеженою відповідальністю "Сіріон" до Публічного акціонерного товариства "ОТП Банк" за участю третіх осіб - Публічного акціонерного товариства "Сбербанк", ОСОБА_1 про зобов`язання зарахувати на рахунок суму помилкового переказу,
1. Короткий зміст позовних вимог
1.1. 24.11.2018 Товариство з обмеженою відповідальністю "Сіріон" (далі - Позивач, Товариство) звернулось до Публічного акціонерного товариства "ОТП Банк" (далі - Відповідач, Банк) третя особа - Публічне акціонерне товариство "Сбербанк" (далі - Третя особа-1, Сбербанк) з позовом про зобов`язання зарахувати на рахунок Позивача суму в розмірі 151 722,41 грн, з яких: 140 000,00 грн сума помилкового переказу, 1 357,81 грн 3 % річних, 10 364, 60 грн. пені.
1.2. Позовні вимоги мотивовані тим, що Позивач належним чином повідомив Банк про платіжну операцію, яка ним як клієнтом Банку не ініціювалася та не виконувалася, списання грошових коштів з рахунку Позивача відбулось після повідомлення Банку в той час як Позивачу було заблоковано доступ до системи клієнт-банк. Вказані протиправні дії та бездіяльність Відповідача завдали значної шкоди, а ігнорування законних вимог про повернення суми списаних коштів є порушенням законних прав та інтересів Позивача.
2. Короткий зміст рішення суду першої інстанції
2.1. 28.05.2019 Господарський суд міста Києва (суддя Паламар П. І.) у позові відмовив.
2.2. Судове рішення мотивоване тим, що Відповідач вжив усіх необхідні та можливі заходи з мінімізації понесення Позивачем збитків шляхом блокування грошових коштів на банківському рахунку ОСОБА_1, відкритому у Сбербанку. При цьому, як свідчить висновок експертизи № 31/10.9/248 від 09.11.2018, проведеної у межах кримінального провадження експертизи, на накопичувачі та жорстких магнітних дисках системного блоку персонального комп`ютера Позивача виявлено програмні засоби з назвою "Team Viewer", призначені для віддаленого контролю комп`ютерів спільного використання, обміну файлами між керуючою і керованою машинами, відеозв`язку та веб-конференцій та "Удаленный рабочий стол", призначений для забезпечення віддаленої роботи користувача з сервером, на якому запущений сервіс термінальних підключень. Отже, Позивач через встановлені у нього персональні комп`ютери допустив отримання сторонніми особами несанкціонованого доступу до електронної банківської системи, а доказів невиконання Банком умов Договорів щодо захисту інформації під час функціонування електронної платіжної системи не надано. Таким чином, враховуючи положення статті 33 Закону України "Про платіжні системи та переказ коштів в Україні", а також те, що неналежний платіж став наслідком невиконання платником вимог щодо захисту інформації і проведення операцій з компонентами платіжних систем (платіжні інструменти, обладнання, програмне забезпечення тощо), підстави для покладення на Відповідача відповідальності за такий переказ відсутні.
3. Короткий зміст рішення суду апеляційної інстанції
3.1. 26.09.2019 Північний апеляційний господарський суд апеляційне провадження стосовно вимог апеляційної скарги Позивача щодо перевірки законності та обґрунтованості рішення суду першої інстанції в частині відмови у задоволенні позовних вимог про зобов`язання Відповідача зарахувати на його рахунок 1 357,81 грн 3 % річних та 10 364,00 грн пені закрив; апеляційну скаргу Позивача (з урахуванням клопотання про відмову від частини вимог апеляційної скарги) задовольнив; рішення Господарського суду міста Києва від 28.05.2019 скасував в частині відмови у задоволенні позовних вимог щодо зобов`язання Відповідача зарахувати на рахунок Позивача суму помилкового переказу у розмірі 140 000,00 грн; прийняв в цій частині нове рішення, яким вказані позовні вимоги задовольнив; в іншій частині рішення Господарського суду міста Києва від 28.05.2019 у цій справі залишив без змін; резолютивну частину рішення ухвалив викласти в такій редакції: "Позов задовольнити частково. Зобов`язати Публічне акціонерне товариство "ОТП Банк" зарахувати на рахунок Товариства з обмеженою відповідальністю "Сіріон" суму помилкового переказу у розмірі 140 000, 00 грн. В задоволенні інших позовних вимог відмовити. Стягнути з Публічного акціонерного товариства "ОТП Банк" на користь Товариства з обмеженою відповідальністю "Сіріон" 2 100, 00 грн витрат по сплаті судового збору за подання позовної заяви".
3.2. Постанова апеляційного господарського суду мотивована тим, що, враховуючи положення статей 1066, 1071, 1073 ЦК України, статті 32 Закону України "Про платіжні системи та переказ коштів в Україні", за недоведеності вчинення клієнтом банку дій чи бездіяльності, які сприяли несанкціонованому доступу невідомих осіб до системи клієнт-банк, що призвело до незаконного списання коштів з рахунку Позивача, враховуючи невідкладне повідомлення Банку про неналежне функціонування системи клієнт-банк, а також наявність кримінального провадження, в межах якого встановлюються факти несанкціонованого втручання до системи клієнт-банк та списання коштів з рахунку Позивача, позовна вимога про зобов`язання Банку зарахувати на рахунок Товариства суму помилкового переказу у розмірі 140 000 грн є обґрунтованою та такою, що підлягає задоволенню.
Враховуючи, що Позивач подав клопотання про відмову від частини вимог апеляційної скарги, яке задоволено судом апеляційної інстанції, не здійснювалася перевірка законності та обґрунтованості рішення суду першої інстанції в частині відмови у задоволенні позовних вимог про зобов`язання Відповідача зарахувати на рахунок Позивача 1 357,81 грн 3 % річних та 10 364, 60 грн пені.
4. Короткий зміст вимог касаційної скарги
4.1. Відповідач (Скаржник) подав касаційну скаргу, в якій просить скасувати постанову Північного апеляційного господарського суду від 26.09.2019 повністю і залишити в силі рішення Господарського суду міста Києва від 28.05.2019.
5. Доводи Скаржника, викладені у касаційній скарзі
5.1. Суд апеляційної інстанції неправильно застосував норми матеріального права статті 11 ЦК України та статті 33 Закону України "Про платіжні системи та переказ коштів в Україні, а також порушив статтю 86 Господарського процесуального кодексу України (далі - ГПК України), з огляду на таке.
5.1.1. Висновок суду про те, що несанкціонований переказ стався саме з вини Банку, який не забезпечив належного функціонування системи клієнт-банк помилковий, оскільки судами встановлено, що платіжне доручення було підписано ключами ЕЦП клієнта, отже Банк мав виконати таке платіжне доручення.
5.1.2. Суд апеляційної інстанції залишив поза увагою, що Банк діяв у спосіб та в межах, визначених договірними відносинами сторін та законодавством України, а недбалість Позивача до забезпечення інформаційної безпеки своєї робочої станції, що взаємодіє з системами клієнт-банк, стала причиною проведення несанкціонованого платежу.
5.1.3. Суд не дослідив належним чином умови Договору обслуговування, враховуючи, що Позивач у зв`язку з укладенням Договорів був належним чином проінформований про необхідні дії для захисту інформації.
5.1.4. Звернення до Служби підтримки системи про компроментацію таємного ключа надійшло вже безпосередньо від менеджера Банку ОСОБА_2., а не від самого клієнта, коли фактично в цей час вже була проведена спірна транзакція.
5.1.5. Враховуючи, що неналежний платіж став наслідком невиконання платником вимог щодо захисту інформації і проведення операцій з компонентами платіжних систем (платіжні інструменти, обладнання, програмне забезпечення тощо), підстави покладення на Відповідача відповідальності за такий переказ відсутні, на що суд апеляційної інстанції уваги не звернув.
6. Узагальнений виклад позиції інших учасників справи
6.1. 12.11.2019 Третя особа-1 подала відзив на касаційну скаргу, в якому не погодилася з висновками суду апеляційної інстанції про підставність позовних вимог з посиланням на необґрунтування судом висновку про скасування рішення суду першої інстанції, в тому числі щодо ненаведення доводів, за якими суд погодився чи не погодився з висновком суду першої інстанції; мотивів прийняття чи відхилення кожного аргументу, викладеного учасниками справи в апеляційній скарзі та відзиві на апеляційну скаргу; суперечливості висновків суду щодо дій/бездіяльності Банку у несанкціонованому доступі до системи клієнт-бан; неврахування висновку експерта, на який послався Банк; саме Позивач допустив "компроментацію таємного ключа" до ЕЦП системи клієнт-банк, однак суд апеляційної інстанції належної оцінки наведеному не надав.
6.2. На час отримання повідомлень щодо несанкціонованості платежу спірні грошові кошти вже було зараховано на рахунок ОСОБА_1 (далі - Третя особа-2), і з моменту зарахування цих коштів на рахунок отримувача будь-яке подальше розпорядження ними здійснюється лише на підставі відповідного доручення отримувача або в порядку примусового стягнення, отже Сбербанк не мав та не має правових підстав для самостійного списання/перерахування коштів з рахунку клієнта.
7. Встановлені судами обставини
7.1. 19.02.2018 між сторонами у справі укладено Договір №305/000090/18 про відкриття рахунку, здійснення розрахунково-касового обслуговування та надання інших банківських послуг (далі - Договір рахунку), а також стандартний Договір про обслуговування поточного рахунку (далі - Договір обслуговування) за допомогою електронної банківської системи клієнт-інтернет-банкінг "ОТР online".
7.2. За умовами вказаних Договорів Банк відкрив Товариству (клієнт, користувач) поточний рахунок для зберігання коштів та здійснення розрахунково-касового обслуговування відповідно до умов договору та законодавства України, зобов`язався приймати та зараховувати на рахунок грошові кошти, що йому надходять, здійснювати розрахункові операції, підключити клієнта до електронної банківської системи для користування банківськими послугами, а клієнт - оплачувати надані послуги на умовах договору.
7.3. Відповідно до умов пунктів 2.1, 2.2 Договору обслуговування користувача в електронній банківській системі здійснюється в порядку, встановленому договором та Інструкцією користувача системи, що затверджується банком, та текст якої розміщено на веб-сайті в мережі Інтернет www.otpbank.com.ua. Користувач самостійно генерує запити сертифікатів за допомогою програмних запитів, наданих банком відповідно до Інструкції, та несе передбачену цим договором відповідальність за збереження сертифікатів таємних ключів.
7.4. 20.07.2018 Позивачу стало відомо, що доступ до системи клієнт-банк заблокований і його відповідальна особа не мала змоги користуватися банківськими послугами, у зв`язку з чим засобами телефонного зв`язку Позивач повідомив працівника Банку ОСОБА_2 про неналежне функціонування системи клієнт-банк.
7.5. Цього ж дня на адресу Позивача надійшло повідомлення про списання з його поточного рахунку 140 000 грн на підставі платіжного доручення №69 з призначенням платежу "Поповнення рахунку ОСОБА_1 ІПННОМЕР_1, поворотна фінансова допомога згідно договору № ВК-79 від 19.06.2018".
7.6. Вказані грошові кошти внаслідок несанкціонованого доступу невідомих осіб до системи клієнт-банк були переказані на рахунок ОСОБА_1, відкритий у Сбербанку, що підтверджується банківською випискою з рахунку Позивача від 20.07.2018, платіжним дорученням № 69 від 20.07.2018, постановою Індустріального відділення поліції Дніпровського відділу поліції ГУНП в Дніпропетровській області про проведення процесуальних дій на іншій території від 20.03.2019, ухвалою Індустріального районного суду міста Дніпропетровська від 23.01.2019 у справі № 202/372/19.
7.7. Відносини сторін у разі виявлення факту неналежного функціонування електронної банківської системи врегульовано умовами розділу 4.2 Договору обслуговування та додатком № 4 до цього Договору. Відповідно до умов пункту 4.2.9 зазначеного Договору користувач зобов`язався забезпечити надійне зберігання сертифікатів, таємних ключів та паролів доступу до них, необхідних для користування електронною банківською системою, не допускати їх несанкціонованого використання не уповноваженими особами.
7.8. Згідно з пунктом 4.2.12 Договору обслуговування у разі компрометації таємного ключа (будь-яка подія та/або дія (втрата, несанкціоноване копіювання або підозра на несанкціоноване копіювання), що призвела або може призвести до несанкціонованого використання таємного ключа) користувач зобов`язаний негайно усно повідомити службу підтримки системи по телефону. При зверненні по телефону користувач зобов`язаний при необхідності повідомити співробітнику банку додаткові відомості про себе. Співробітник служби підтримки системи блокує таємний ключ та повідомляє користувача про необхідність випуску нового сертифікату.
7.9. Відповідно до пункту 27 додатку № 4 до Договору обслуговування, якщо виникла підозра, що комп`ютер заражений вірусами або іншими шкідливими програмами (неадекватна реакція на дії, "зависання", незрозуміле уповільнення дії, самостійна активність, поява незрозумілих вікон і т. п.), Позивач зобов`язаний негайно повідомити Банк для блокування облікового запису в системі ДБО, звернутися до адміністратора для видалення комп`ютерного вірусу, з подальшим обов`язковим перевипуском секретних ключів/зміною паролів.
Реквізити (адреса електронної пошти, номери телефонів) служби підтримки системи клієнт-банк зазначені у примітці до додатку №4 до Договору обслуговування.
7.10. 20.07.2018 о 14 год 32 хв Позивач за допомогою мессенджера Viber направив старшому експерту відділу обслуговування клієнтів регіональної дирекції Банку ОСОБА_2. повідомлення з проханням перевірити роботу системи клієнт-банк через неможливість доступу, що підтверджується наявною в матеріалах справи роздруківкою з програми "Viber".