Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Спробувати Оформити передплату
Спробувати Оформити передплату
Доведення обставин непереборної сили: інструкція для постраждалих від вірусу
Наталія Мисник, юрист, ЮФ Asters

 

Хто ти, Петя?

27 червня Україна стала жертвою масштабної кібератаки, проведеної за допомогою вірусу-шифрувальника Petya.A. За офіційною версією, Petya.А – це програма-вимагач, що вражає комп'ютери під управлінням Microsoft Windows. На сьогодні від масового розповсюдження програми постраждало вже понад 12 тисяч користувачів, у тому числі: уряд, банки, державні енергетичні компанії, медіа-ресурси, київський аеропорт і метро.

Однак фахівці не рекомендують жертвам іти на повідку у вимагачів, оскільки це все одно не допоможе їм відновити доступ до даних, тому що електронні адреси зловмисників уже заблоковано провайдером.

Слід зазначити, що вірус Petya.A – це не перший випадок нападу на комп'ютерні мережі в Україні. Нещодавно (у травні цього року) у країні було зафіксовано спалахи вірусу WannaCry, від якого постраждали сайти "Укрпошти", "Укртелекому" та "Київенерго". А в грудні 2016 жертвами хакерів стали Мінфін, Держказначейство та Пенсійний фонд.

Хто стоїть за початком кіберепідемії, поки незрозуміло, але, на думку частини аналітиків, комп'ютерні атаки в Україні лише маскуються під вимагачів, у той час як їхня справжня мета – не матеріальна вигода, а завдання шкоди. Внаслідок цього існує гіпотеза про те, що хакерські атаки носять політичний характер.

Форс-мажор чи недбалість?

Згідно з повідомленнями кіберполіції України джерелом вірусу Petya.A стало бухгалтерське програмне забезпечення "M.E.Doc", яке використовується для підготовки та відправлення податкової звітності. Таку саму версію озвучують і фахівці компанії Microsoft. Так, на офіційному сайті компанії опубліковано інформацію про те, що вірус уперше було виявлено та зафіксовано в процесі оновлення програмного забезпечення "M.E.Doc".

Такі заяви породили версію про те, що вірус Petya зовсім не форс-мажорне явище, а прямий наслідок недбалості розробників бухгалтерської програми. Так, голова кіберполіції України Сергій Данилюк заявляє, що проти творців "M.E.Doc" буде висунуто офіційні звинувачення в недбалості, оскільки вони знали про вразливість свого програмного забезпечення задовго до атаки, проте нічого не зробили для запобігання нападу.

Так це чи ні – покаже час, а поки першочерговим завданням для постраждалих є усунення наслідків вірусу.

Справа в тому, що у зв'язку з несанкціонованим втручанням у роботу комп'ютерних мереж підприємства й організації України стикнулися відразу з двома проблемами: перша – неможливість виконання договірних зобов'язань; друга – ускладнення з поданням податкової звітності.

Для боротьби з такими наслідками уряд України вже вживає активних заходів.

Так, Міністерство фінансів України розробляє проект змін до Податкового кодексу, які дали б змогу звільнити платників податків від штрафних санкцій за несвоєчасну реєстрацію податкових накладних, виписаних у червні 2017 року.

До прийняття зазначеного законопроекту платникам податків слід використовувати ст. 101 Податкового кодексу, що містить механізм списання безнадійного податкового боргу за рішенням керівника або заступника (уповноваженої особи) податкового органу.

Однак аби скористатися цим механізмом, компаніям слід підтвердити існування форс-мажорних обставин, отримавши відповідний сертифікат у Торгово-промисловій палаті України (далі – ТПП).

Обставини непереборної сили

Визначення форс-мажорних обставин (або обставин непереборної сили) описано в Господарському кодексі України, п. 3.1 Регламенту ТПП № 44 (5), а також у ст. 79 Конвенції ООН про договори міжнародної купівлі-продажу товарів від 11 квітня 1980 року.

Зокрема, Регламент ТПП установлює, що форс-мажорні обставини (обставини непереборної сили) – це надзвичайні та невідворотні обставини, що об'єктивно впливають на виконання зобов'язань, передбачених умовами договору (контракту, угоди тощо), обов'язків за законодавчими та іншими нормативними актами, дію яких неможливо було передбачити та дія яких унеможливлює їх виконання протягом певного періоду часу (п. 3.1 глави 3 Регламенту № 44).

Тобто критеріями форс-мажорних обставин є:

• надзвичайність (мають виключний характер і перебувають поза межами впливу сторін);

• непередбаченість (їхнє настання або наслідки неможливо було передбачити на момент укладання договору);

• невідворотність (неминучість події та її наслідків);

• причинно-наслідковий зв'язок між подією та неможливістю виконання зобов'язань.

Залежно від виду форс-мажорних обставин їх засвідчення здійснює або ТПП України, або регіональні ТПП. Перший із зазначених органів засвідчує такі обставини щодо зовнішньоекономічних і міжнародних договорів, норм законодавства, інші – договорів між резидентами, норм законодавства, відомчих нормативних актів, органів місцевого самоврядування тощо (п. 4.2 глави 4 Регламенту № 44).

Як підтвердити форс-мажор

Згідно з офіційною заявою, опублікованою на сайті ТПП України, зараження комп'ютерних систем вірусом Petya.А може бути визнане форс-мажорними обставинами.

Водночас засвідчити факти таких форс-мажорів ТПП зможе тільки на підставі документів, отриманих від кіберполіції. Ними можуть бути довідка або виписка про відкриття кримінального провадження.

Саме офіційна відповідь кіберполіції буде для ТПП підставою для розгляду заяв від підприємців про визнання кібератаки обставинами непереборної сили.

Таким чином, алгоритм підтвердження форс-мажорних обставин для постраждалих від вірусу включає такі кроки:

1. Створення комісії на підприємстві з метою встановлення наслідків кібератаки. Метою роботи такої комісії є встановлення переліку відсутніх документів і причин їх знищення.

2. Складення акта комісії з детальним описом періоду кібератаки та її наслідків для підприємства.

3. Звернення до правоохоронних органів із заявою про злочин. До такої заяви слід додати акт комісії, у якому необхідно відобразити результати внутрішнього розслідування та зафіксувати факт кібератаки на комп'ютерну мережу.

4. Одержання довідки від правоохоронних органів про порушення кримінального провадження за ст. 361 Кримінального кодексу України (несанкціоноване втручання в роботу електронно-обчислювальних машин). Така довідка може бути замінена витягом з Єдиного державного реєстру розслідувань.

5. Повідомлення контролюючих органів (Державна фіскальна служба, Національна комісія з цінних паперів та фондового ринку тощо) та (або) контрагентів про тимчасову неможливість подання звітності та (або) виконання зобов'язань.

6. Звернення до ТПП для одержання сертифіката про форс-мажорні обставини. Для підтвердження форс-мажорних обставин зацікавлена юридична особа чи фізична особа – підприємець подає до відповідного органу ТПП заяву щодо кожного окремого договору (контракту), а також щодо податкових та інших зобов'язань, які не можуть бути виконані через наявність таких обставин (п. 6.2 глави 6 Регламенту № 44).

ТПП засвідчує форс-мажорні обставини та видає сертифікат про такі обставини протягом 7 днів з дня звернення суб'єкта господарської діяльності за собівартістю. Сертифікат про форс-мажорні обставини для суб'єктів малого підприємництва видається безкоштовно.

7. Звернення до контролюючих органів та (або) до контрагентів із заявою про звільнення від відповідальності за несвоєчасне подання звітності та (або) виконання договірних зобов'язань у зв'язку з одержанням сертифіката про форс-мажорні обставини.

Діючи згідно з таким алгоритмом, підприємства, що постраждали від вірусу, зможуть підтвердити форс-мажор і запобігти застосуванню до себе фінансових санкцій. Якщо ж такі заходи не принесуть результату і на підприємство буде накладено штраф, то такий штраф може бути з успіхом оскаржено і скасовано в судовому порядку.

Судова практика

На практиці наявність сертифіката ТПП у більшості випадків гарантує зняття відповідальності за невиконання зобов'язань. Однак бувають і винятки, коли однієї наявності сертифіката недостатньо.

Так, у деяких випадках суди звертають увагу не лише на існування сертифіката про форс-мажорні обставини, а й на його форму та зміст. Так, наприклад, у спорі № 913/915/15 Вищий господарський суд України (ВГСУ) узяв під сумнів якість сертифіката ТПП і направив справу на новий розгляд. Обґрунтовуючи таке рішення, ВГСУ вказав, що "суди не дослідили й не надали оцінки сертифікату ТПП на предмет його відповідності вимогам Регламенту ТПП щодо порядку оформлення та підписання, не перевірили статус особи, що його підписала, а також факт внесення сертифіката до відповідного Реєстру сертифікатів форс-мажорних обставин".

Таким чином, під час одержання сертифіката ТПП потрібно бути максимально уважним і проконтролювати, щоб цей документ був складений належним чином та відповідав усім вимогам Регламенту ТПП. Інакше він не зможе стати належним доказом у суді.

Водночас аж ніяк не всі суди дотримуються такого формального підходу. У судовій практиці бували прецеденти, коли суди брали на себе сміливість установлювати форс-мажор і без наявності сертифіката ТПП.

Наприклад, розглядаючи справу № 901/2091/13, ВГСУ встановив: "прострочення оплати за договором відбулося не з вини підприємства, а у зв'язку з форс-мажорними обставинами – вірусною атакою. Відсутність же в ТПП правової можливості посвідчити наявність форс-мажору не означає відсутність такого факту взагалі".

ВИСНОВОК:

Як бачимо, підстав для визнання вірусної атаки форс-мажором цілком достатньо. Процедура одержання відповідного сертифіката ТПП гранично проста. Таким чином, підприємства, що постраждали від кібератаки, можуть не панікувати: у них є достатньо доводів, щоб уникнути відповідальності за несвоєчасне виконання своїх зобов'язань перед державою та контрагентами.

Мати доступ до номерів і всіх статей видання Ви зможете за умови передплати на електронне видання ЮРИСТ&ЗАКОН
Контакти редакції:
uz@ligazakon.ua