27 июня 2017 года Украина пережила массовую кибератаку, в результате которой из строя были выведены тысячи компьютеров частных и государственных предприятий, банков, государственных органов, отечественной экономике причинены многомилионные убытки. Учитывая, что в результате заражения компьютеров вирусом Petya.
A многие предприятия не смогли выполнить свои обязательства перед контрагентами по договорам и перед государством по регистрации налоговых накладных, особо актуален вопрос признания кибератаки обстоятельствами непреодолимой силы как основания для освобождения от ответственности.
Подтверждение форс-мажора
Следует сказать, что действующее законодательство Украины не называет прямо последствия кибератаки форс-мажором, а Торгово-промышленная палата Украины (далее – ТПП Украины) как структура, уполномоченная выдавать сертификаты, подтверждающие наступление обстоятельств непреодолимой силы, до сих пор не выработала единых критериев отнесения кибератаки к обстоятельствам форс-мажор, минимального пакета документов для подтверждения таких обстоятельств, а также не выдала пока ни одного сертификата по вирусу Petya.A.
По существу кибератака представляет собой несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи и квалифицируется как преступление, уголовная ответственность за совершение которого предусмотрена положениями ст. 361 Уголовного кодекса Украины (далее – УК Украины).
Исходя из этого, ТПП Украины для подтверждения причинения ущерба предприятию кибератакой просит предоставить документ из киберполиции, указывающий, что компьютеры конкретного предприятия были заражены вирусом. Согласно Уголовному процессуальному кодексу Украины (далее – УПК Украины) таким документом может быть извлечение из реестра досудебных расследований или уведомление о начале досудебного расследования по факту кибератаки.
Для получения соответствующего документа предприятию следует либо вызвать по 102 сотрудников полиции, которые смогут зафиксировать факт кибератаки, либо заполнить заявку на сайте киберполиции, либо написать заявление в полицию.
При этом, действительно, полиции необходимо будет осмотреть компьютер и, возможно, провести экспертизу зараженного вирусом жесткого диска, однако осмотр компьютера не должен препятствовать нормальной деятельности предприятия.
Требования со стороны ТПП Украины о предоставлении каких-либо других доказательств того, что предприятие пострадало от кибератаки, не коррелируются с положениями УПК Украины.
Более того, ТПП Украины требует от предприятий предоставить доказательства завершения действия обстоятельств непреодолимой силы. Однако действующее законодательство Украины не содержит конкретных указаний, что может быть доказательством завершения действия форс-мажора при кибератаке. Теоретически, таким доказательством может быть акт, составленный предприятием в произвольной форме о том, что работа предприятия возобновлена, а последствия заражения вирусом устранены.
Таким образом, усматривается, что ТПП Украины необходимо в кратчайшие сроки выработать единые требования и стандартный пакет документов, подтверждающий невозможность выполнения обязательств вследствие кибератаки.
Ответственность предприятия: быть или не быть?
Предприятиям, в свою очередь, следует пересмотреть договоры, по которым осуществляется хозяйственная деятельность в части оговорки, регламентирующей ответственность за обстоятельства непреодолимой силы, включив в них ссылку на кибератаку как один из случаев форс-мажора.
Исходя из положений Венской Конвенции о праве международных договоров, Гражданского кодекса Украины, Хозяйственного кодекса Украины и иных нормативно-правовых актов действующего законодательства Украины, те или иные обстоятельства являются форс-мажором, если об их наступлении не было известно, а предотвратить их не представлялось возможным.
При этом существует позиция, что о возможности кибератаки предприятия могли знать, а благодаря антивирусному программному обеспечению такие последствия возможно предотвратить.
В любом случае, окончательную практику по признанию последствий кибератаки обстоятельствами непреодолимой силы и освобождению от ответственности за ненадлежащее выполнение обязательств сформируют суды.
Тем не менее, полагаю, что по договорным отношениям практика признания последствий кибератаки обстоятельствами непреодолимой силы будет положительной.
Сложнее обстоит дело с освобождением от ответственности за нарушение налоговых обязательств, неисполненных из-за заражения компьютерным вирусом.
Налоговый кодекс Украины, хотя и декларирует определение сроков выполнения налоговых обязательств исходя из принципа удобства для налогоплательщика, не позволяет избежать ответственности за несвоевременное выполнение обязательств, в частности, по регистрации налоговых накладных.
Позиция Государственной фискальной службы Украины непреклонна – кибератака не освобождает от ответственности.
Однако, учитывая практику Европейского суда по правам человека (далее – ЕСПЧ), считаю, что возможность избежать ответственности по налоговым обязательствам все же есть. Так, согласно практике ЕСПЧ для определения меры и размера ответственности необходимо исследовать наличие вины в действиях правонарушителя. Учитывая же, что в нарушении налогоплательщиком сроков регистрации налоговых накладных вследствие кибератаки отсутствует его вина, считаю, что для применения ответственности оснований нет.
При этом инициатива Министерства финансов Украины, предусматривающая возможность через принятие Верховной Радой Украины закона, позволяющего продление сроков выполнения налоговых обязательств до конкретной даты, является сомнительной в силу одноразовости и необходимости каждый раз при проявлениях кибератак регистрировать подобные законопроекты и осуществлять процедуры превращения их в законы.
Тем не менее, опять же последнее слово в этом вопросе также будет за судами.
ВЫВОД:
Таким образом, хоть кибератака и может причинить существенный ущерб и повлечь значительные материальные потери, а действующее законодательство не квалифицирует ее последствия как форс-мажор, считаю, что последствия кибератаки могут быть признаны обстоятельствами непреодолимой силы при надлежащем обосновании такой позиции.