Записи

Киберправо

Кібератака як форс-мажор

5718eea5be026cb11549b0df6d5f2c1b

Нещодавня кібератака, яка вразила велику кількість комп’ютерів на території України, призвела до втрати значної кількості даних. Найбільшої шкоди зазнали компанії, які вели документообіг виключно в електронному вигляді, фактично відмовившись від паперового документообігу. Як наслідок – втрата первинної документації. Неможливість відновити втрачені дані протягом короткого строку може призвести до невиконання (неналежного виконання) зобов’язань, зокрема перед контрагентами. Нижче буде розглянуто, чи може зараження комп’ютерів вірусом вважатися форс-мажором у таких випадках.

Вірус як підстава звільнення від цивільно-правової відповідальності 

Для того щоб відповісти на питання, чи може зараження комп’ютерів вірусом вважатися обставиною, яка звільняє від цивільно-правової відповідальності, необхідно відповісти на такі запитання.

Чи може вважатися кібератака на комп’ютери компанії форс-мажором?

Перелік обставин, які можна віднести до форс-мажорних обставин (обставин непереборної сили), міститься у статті 14-1 Закону України «Про торгово-промислові палати в Україні». Але в цьому переліку форс-мажорів відсутні відомості про кібератаки. Щоправда, такий перелік є відкритим (орієнтовним), тому форс-мажором може бути і інша обставина (але з одним «але»), яка відповідає таким ознакам:

-  надзвичайність (тобто такі обставини носять винятковий характер і знаходяться за межами впливу сторін);

-  непередбачуваність (настання або наслідки таких обставин неможливо було передбачити, зокрема на момент укладення відповідного договору, перед терміном настанням зобов’язання або до настання відповідного обов’язку);

-  невідворотність (непереборність) обставин (неминучість таких події/подій та/або її/їх наслідків);

-  причинно-наслідковий зв’язок між обставиною/подією і неможливістю виконання своїх конкретних зобов’язань (за договором, контрактом, угодою, законом, нормативним актом, актом органів місцевого самоврядування тощо).

Минулотижнева кібератака характеризується її надзвичайністю, непередбачуваністю та невідворотністю (тобто це обставина, яка має винятковий характер, компанії не могли передбачити, що їхні комп’ютери будуть заражені вірусом-шифрувальником, а враховуючи масштаби кібератаки – і відвернути її теж було неможливо), тому, так, кібератака може вважатися форс-мажорною обставиною.

А тепер про одне «але». Відповідно до Регламенту Торгово-промислової палати України (організація, уповноважена на засвідчення форс-мажору та видачі відповідних свідоцтв) підставою для засвідчення форс-мажорних обставин є наявність однієї або більше форс-мажорних обставин (обставин непереборної сили), перелічених у ст. 14-1 Закону України «Про торгово-промислові палати в Україні» в редакції від 02.09.2014 року, а також визначених сторонами за договором, контрактом, угодою, типовим договором, законодавчими, відомчими та/чи іншими нормативними актами, які вплинули на зобов’язання таким чином, що унеможливили його виконання у термін, передбачений відповідно договором, контрактом, угодою, типовим договором, законодавчими та/чи іншими нормативними актами. З цього слідує, що форс-мажором може бути будь-яка обставина (яка характеризується ознаками, притаманними цьому інституту), однак вона має бути визначена, принаймні у договорі. Маю сумніви, що багато договорів містять застереження про зараження комп’ютерів вірусом як про обставину, яка звільняє від відповідальності (ситуація краща, якщо в договорі серед переліку форс-мажорів є «тощо»).

ТПП України, враховуючи можливі масштаби проблеми, фактично відступила від зазначеного вище та висловила позицію, що кібератака може розглядатися як форс-мажор.

Чи у всіх випадках зараження комп’ютерів вірусом є форс-мажором?

Звісно, що ні. Навіть якщо наявні усі ознаки форс-мажору, це не робить кібератаку універсальною обставиною, яка звільняє від відповідальності.

У такому випадку важливим є причинно-наслідковий зв’язок між кібератакою на комп’ютери компанії і неможливістю виконання своїх конкретних зобов’язань перед контрагентами.

Також важливим є той факт, що особа може бути звільнена від відповідальності, якщо така обставина мала прямий вплив на неможливість виконання зобов’язання і носила об’єктивний характер. Це означає, що правовідносини при обставинах, які виникли, не могли бути реалізовані в цей момент незалежно від суб’єктного складу сторін.

Наприклад, якщо компанія внаслідок кібератаки не має можливості здійснити розрахунки з контрагентом через відсутність доступу до клієнта-банку (інтернет-банкінгу), натомість має касу, а розрахунки відповідно до законодавства можуть бути проведені у такий спосіб, то сумнівно, що в цьому конкретному випадку кібератаку можна вважати форс-мажором.

Важливо пам’ятати, що обов’язок доказування дії обставини непереборної сили (форс-мажорних обставин) та причинно-наслідкового зв’язку покладається на сторону, яка порушила зобов’язання.

Тому підставою для засвідчення дії форс-мажорної обставини та надалі звільнення від відповідальності є:

- наявність обставини, потрапивши під дію якої сторона не має об’єктивної можливості виконати взяті на себе зобов’язання за договором, обов’язки згідно із законодавчими та іншими нормативними актами;

- такі обставини повинні носити характер надзвичайності, непередбачуваності і невідворотності;

- наявність причинно-наслідкового зв’язку між дією обставини непереборної сили та неможливістю виконання зобов’язань за договором, обов’язків згідно із законодавчими та іншими нормативними актами.

Порядок засвідчення форс-мажору

  1. Фіксація факту кібератаки на комп’ютери

Зафіксувати факт кібератаки на комп’ютери компанії можна декількома шляхами:

- викликати слідчо-оперативну групу, зателефонувавши за телефоном 102, які у протоколі огляду місця події зафіксують факт незаконного втручання в роботу комп’ютерної системи;

- подати заяву про злочин до правоохоронних органів, в якій зафіксувати факт  кібератаки на комп’ютерну мережу;

- заповнити повідомлення про злочин на сайті Департаменту Кіберполіції НП України.

ТПП зазначає, що матиме змогу засвідчувати форс-мажорні обставини (мова йде саме про кібератаку) тільки на підставі документів, отриманих від Кіберполіції, це має бути довідка або витяг про відкриття кримінального провадження.

 2. Засвідчення форс-мажору

Відповідно до статті 14 Закону України «Про торгово-промислові палати України» Торгово-промислова палата України (далі – ТПП) засвідчує форс-мажорні обставини (обставини непереборної сили). Також органами, які мають право засвідчити дію форс-мажорної обставини (обставини непереборної сили), є регіональні торгово-промислові палати (далі – РТПП). РТПП мають право засвідчувати такі обставини за умови, що сторони безпосередньо погодили це в договорі. В іншому випадку суд може не взяти до уваги сертифікат, виданий РТПП (про що свідчить судова практика).

Слід зазначити, що інші органи не уповноважені засвідчувати дію форс-мажорних обставин (обставин непереборної сили) та видавати сертифікати про такі обставини, а можуть виключно зафіксувати наявність або відсутність певного факту (у цьому випадку мова йде про Кіберполіцію). Тому помилковою є думка, що довідки або листи будь-яких державних органів можуть слугувати підставою для звільнення від відповідальності у зв’язку з дією обставин непереборної сили (форс-мажорних обставин).

Для засвідчення форс-мажору та отримання свідоцтва до ТПП (РТПП) подається заява встановленої форми з додатками. При цьому справляється плата, розміри якої вираховуються відповідно до затверджених ТПП тарифів.

Отже, для засвідчення форс-мажору необхідно:

- звернутися до уповноважених державних органів для фіксації факту кібератаки на комп’ютери;

- звернутися до ТПП (РТПП, якщо це передбачено договором) із заявою про видачу сертифіката та надати докази дії форс-мажорної обставини та причинно-наслідкового зв’язку між дією такої обставини та неможливістю виконання зобов’язання;

- оплатити послуги ТПП (РТПП) у розмірах, визначених відповідно до затверджених ТПП тарифів.

І наостанок слід зазначити, що сам по собі сертифікат про форс-мажорні обставини (обставини непереборної сили), виданий ТПП (РТПП), не звільняє сторону, яка порушила зобов’язання, від відповідальності автоматично. Особа, яка потрапила під дію форс-мажору, повинна повідомити про це та неможливість виконання зобов’язань свого контрагента в найкоротші строки. Такі дії допоможуть звести до мінімуму ризики застосування штрафних санкцій за невиконання (неналежне виконання) обов’язків перед контрагентом.

Найман Наталия
оставить комментарий
Имя *
Электронная почта *
Вебсайт *
Комментарий