Юридические последствия кибератаки

Опубликовано в БУХГАЛТЕРИИ № 27-28 (1275) от 10 ИЮЛЯ 2017 года


Александр ЕФИМОВ, доцент кафедры гражданского и трудового права Киевского национального экономического университета им. В. Гетьмана, к.ю.н., адвокат, аудитор


Если не знаешь, как поступить, поступай по закону.
Народная мудрость

В книге «Пшеница без куколя» автор Игорь Каганец войну как общественное явление объясняет следующим образом: «это решительные действия, направленные на изменение поведения противника в нужном направлении (и, соответственно, защиту собственного поведения от внешнего вмешательства)». При этом огромное количество способов боевых действий он сводит до семи основных видов. Самым примитивным видом, по мнению вышеупомянутого автора, является технологически-силовая война, которая заключается в противостоянии с помощью как каменных топоров, мечей, огнестрельного оружия, самолетов, ракет, так и компьютерных вирусов.

Специалисты в сфере кибербезопасности советуют не платить за разблокировку компьютера, пораженного вирусом Petiya.А, так как платить некому, ведь ключей для разблокировки никто не вышлет. Следовательно, цель хакеров заработать на этом деньги довольно призрачна — спрятать деньги, поступившие хакерам в результате кибер­атак, в эпоху возможностей тотального контроля денежных потоков вряд ли удастся.

Значит, версия о том, что кибератака является видом войны, может быть вполне логична. А как еще можно объяснить тот факт, что на Украину пришлось более 80% случаев поражения вирусом, а для распространения этого вируса использовано именно украинское ПО M.E.Doc(1)?

Используя эту версию, можно прогнозировать и юридические последствия для тех, кто пострадал в результате кибератаки.

Хозяйственные отношения

Надеюсь, что контрагенты, пострадавшие вследствие кибератаки, найдут общий язык и без применения юридических средств урегулирования конфликтов. Ведь слишком явным является фактор внешнего вмешательства со стороны хакеров в хозяйственную деятельность и отношения сторон хозяйственного договора. Однако не исключены ситуации, когда какая-либо сторона договора не сможет исполнить свои обязательства по договору, а другая сторона не захочет прийти к взаимопониманию и будет предъявлять определенные претензии к первой. В таком случае следует напомнить о существовании такого правового института, как форс-мажорные обстоятельства (или обстоятельства непреодолимой силы).

Следует учитывать, что наличие таких обстоятельств подтверждает ТПП в соответствии с Регламентом свидетельствования Торгово-промышленной палатой Украины и региональными торгово-промышленными палатами форс-мажорных обстоятельств (обстоятельств непреодолимой силы), утвержденным решением Президиума Торгово-промышленной палаты Украины от 18.12.2014 г.
№ 44(5). Согласно п.4.1 раздела 4 этого Регламента ТПП в соответствии со ст.14 Закона Украины от 02.12.97 г. № 671/97-ВР «О торгово-промышленных палатах в Украине» осуществляет свидетельствование форс-мажорных обстоятельств (обстоятельств непреодолимой силы) по всем вопросам договорных отношений, другим вопросам, а также обязательствам/обязанностям, предусмотренным законодательными, ведомственными нормативными актами и актами органов местного самоуправления, кроме договорных отношений, в которых сторонами уполномоченным органом по свидетельствованию форс-мажорных обстоятельств (обстоятельств непреодолимой силы) определена непосредственно региональная ТПП.

Стороны в договоре должны установить перечень обстоятельств, которые они будут считать форс-мажорными. А ТПП подтвердит действие вируса Petya.А лишь в том случае, если в договоре между контрагентами будет прямо указана кибератака в качестве форс-мажорного обстоятельства. Возможен вариант, когда в договоре в качестве форс-мажорных обстоятельств будут указаны противоправные действия третьих лиц, как более обобщенный вид таких обстоятельств, но этот вариант не слишком действенный(2).

О возможности признания ситуации с вирусной атакой форс-мажором уже сообщил первый вице-президент ТПП Украины Михаил Непран на официальном сайте ТПП(3). Он отметил: «Конечно, это форс-мажорные обстоятельства. Именно поэтому мы рекомендуем предпринимателям, постра­давшим от кибератаки, обратиться в Департамент Киберполиции Национальной полиции Украи­ны.
Со своей стороны Торгово-промышленная палата Украины сможет удостоверять такие факты форс-мажорных обстоятельств только на основании документов, полученных от Киберполиции. На наш взгляд, это должна быть справка или извлечение об открытии уголовного производства»
.

Налоговые отношения

Как известно, норма права зачастую возникает по необходимости урегулирования отношений, которые уже возникли и уже существуют. Поэтому урегулировать все правовые последствия кибератаки законодатели смогут только в будущем. Например, пресс-секретарь и.о. председателя ГФС Мирослава Продана Наталия Непряхина в комментарии УНИАН сообщила, что ГФС пока не имеет законодательных оснований для продления сроков приема отчетности и налоговых накладных для бизнеса из-за блокировки работы компьютеров, пораженных вследствие хакерской атаки, распространяющей вирус Petya.A, однако ГФС настойчиво рекомендует обращаться в киберполицию, что позволит власти в дальнейшем принять системное решение(4).

Однако последствия мы имеем уже сегодня и регулировать их нужно уже сейчас. Например, представители контролирующих органов в процессуальных документах в отсутствии норм права, подтверждающих правомерность их действий, любят отмечать: «из общего анализа норм налогового законодательства следует, что…». А далее они, обычно, излагают свое видение того, каким, по их мнению, должно быть законодательство.

Поэтому чтобы понять, как себя вести на «руинах» того, что когда-то было отлаженным ПО, которое позволяло общаться с контролирующими органами, следует проанализировать нормы действующего налогового законодательства, а именно НКУ.

Подпункт 191.1.27 ст.191 этого документа к функ­циям контролирующих органов относит обеспечение развития, внедрения и техническое сопровождение информационно-телекоммуникационных систем и технологий, автоматизацию процедур, в частности, контроль за полнотой и правильностью выполнения таможенных формальностей, организацию внедрения электронных сервисов для субъектов хозяйствования. А пп.191.1.41 этой же статьи к тем же функциям относит организацию информационно-аналитического обеспечения и организацию автоматизации процессов администрирования конт­ролирующими органами. При этом ст.21 НКУ обязует должностные лица контролирующих органов обеспечивать добросовестное выполнение возложенных на такие органы функций.

Статья 36 НКУ налоговой обязанностью налогоплательщика признает его обязанность исчислить, задекларировать и/или уплатить сумму налога и сбора в порядке и сроки, определенные НКУ, законами по вопросам таможенного дела. И хотя в соответствии с п.49.3 ст.49 НКУ представление налоговой декларации средствами электронной связи в электронной форме является одним из трех альтернативных способов ее представления (наряду с личным представлением или направлением по почте), для некоторых видов отчетности (например, НДС) и некоторых плательщиков (например, крупных и средних) отчетность в электронной форме обязательна (п.49.4 ст.49 НКУ).

В соответствии с п.49.17 ст.49 НКУ для реализации права и обязанности представления отчетности в электронном виде предназначена автоматизированная система «Единое окно представления электронной отчетности». Она помогает в предо­ставлении услуг по представлению с помощью сети Интернет в электронном виде отчетнос­ти, обязательность представления которой установлена законодательством, в министерства, другие органы государственной власти и фонды общеобязательного государственного страхования.

Другим вариантом электронного общения с конт­ролирующим органом является так называемый электронный кабинет налогоплательщика. В соответствии с п.421.2 ст.421 НКУ электронный кабинет обеспечивает возможность реализации плательщиками налогов прав и обязанностей путем: заполнения, проверки и представления налоговых деклараций, отчетности в контролирующий орган, регистрации, корректировки налоговых накладных/расчетов в ЕРНН и акцизных накладных в ЕРАН и т.п.

Однако вирус Petya.А несколько «откорректировал» «электронную» идиллию и привел к тому, что налогоплательщики не могли определенное время реализовывать свои права и исполнять свою налоговую обязанность. Такую ситуацию законодатель предусмотрел дважды:

■      согласно п.421.10 ст.421 НКУ налогоплательщик освобождается от ответственности в случае, если в работе электронного кабинета выявлена техническая и/или методологическая ошибка и такая ошибка признана техническим администратором и/или методологом электронного кабинета либо ее существование подтверждено решением суда. В таком случае штрафные санкции и пеня, предусмотренные НКУ, за нарушения налогового и другого законодательства, вызванные технической и/или методологической ошибкой в работе электронного кабинета, не применяются, основания для привлечения налогоплательщика и/или его должностных лиц к административной, уголовной ответственности отсутствуют;

■      согласно пп.17.1.15 ст.17 НКУ налогоплательщики вправе представлять декларацию и прочие документы в бумажной форме при возникновении технических проблем в работе электронного кабинета (наличие ошибки должно быть подтверждено в порядке, установленном методологом элек­тронного кабинета или судом).

Не является нарушением налоговой обязанности именно налогоплательщиком и влияние кибер­атаки на обслуживающий банк, который принял платежное поручение на перечисление налогов (сборов), но не выполнил его. В соответствии с п.129.6 ст.129 НКУ такая ответственность возлагается на банк или орган, осуществляющий казначейское обслуживание бюджетных средств. При этом налогоплательщик освобождается от ответственности за несвоевременное перечисление или перечисление не в полном объеме таких налогов, сборов и других платежей в бюджеты и государственные целевые фонды, включая начисленную пеню или штрафные санкции.

Таким образом, в отношении налоговой отчетности, представленной несвоевременно вследствие действия кибератаки, можно избрать следующие варианты поведения:

■      поверить господину М.Продану, который на семинаре 29 июня 2017 года заверил, что ГФС обратилась с инициативой в МФУ о неприменении ответственности к налогоплательщикам, которые вследствие кибератаки задержали электронную отчетность(5). То есть нарушить НКУ и не исполнить налоговую обязанность, поверив ГФС, что ответственность не наступит, оставшись при этом правонарушителем;

■      представить отчетность еще раз в электронном виде. А если и такая возможность отсутствует, то представить ее в бумажной форме. Разумеется, для ГФС это не самый желательный вариант поведения налогоплательщиков, ведь им придется всю отчетность обрабатывать в ручном режиме, а это время и ошибки. Понятно, что налоговики не будут рады такому поведению налогоплательщиков, но каждый имеет свой опыт общения с ними и сам должен определиться, как ему поступить.

Учетные аспекты

Вполне логично, что пораженный вирусом Petya.А компьютер вряд ли сможет предоставить доступ к хранившейся в нем информации. И если эта информация бухгалтерская, то есть формирующая данные бухгалтерского учета, то ее нужно восстановить, чтобы иметь возможность формировать бухгалтерскую и налоговую отчетность.

В юридической плоскости следует отметить существование п.44.5 ст.44 НКУ, в соответствии с которым в случае утери или повреждения документов, связанных с учетом доходов и расходов, налогоплательщик обязан в пятидневный срок со дня такого события в письменном виде уведомить контролирующий орган по месту учета и контролирующий орган, которым было осуществлено таможенное оформление соответствующей таможенной декларации. В этой норме речь идет о первичных документах, регистрах бухгалтерского учета, финансовой отчетности, других документах, связанных с исчислением и уплатой налогов и сборов, ведение которых предусмотрено законодательством.

После поступления такого уведомления в контролирующий орган НКУ предоставляет налогоплательщику 90 календарных дней на восстановление документов. Давать какие-либо советы по осуществлению такого восстановления довольно сложно, поскольку в этом случае все зависит от хранящейся информации, от ее объема и достоверности. Это могут быть инвентаризация, сверки с контрагентами, анализ банковских выписок, собственной отчетности...

Следует также учитывать то, какой информацией может владеть налоговый орган. Если у предприя­тия накануне кибератаки закончилась комплекс­ная проверка, то вполне логично исходить из того, что определенный объем информации уже доступен контролирующему органу. Именно эта информация может быть использована им для сравнения с восстановленной. Понятно, что при возникновении расхождений и возможности их толкования в пользу фискальной точки зрения, это будет сделано. Поэтому игнорировать этот фактор не стоит.

Также следует считаться с необходимостью официальной фиксации самого факта утраты вышеупомянутой информации. Это отмечают как независимые специалисты, так и представители ГФС Украины. Поэтому следует обратиться в кибер­полицию с заявлением о совершении преступления, предусмотренного ст.361 Уголовного кодекса Украины, объективная сторона которого заключается в несанкционированном вмешательстве в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи.

В заключение напомним народную мудрость, которая советует поступать по закону (см. эпи­граф). Следовательно, что бы не обещали представители официальных органов, всегда следует учитывать действующие нормы законодательства.


(2)Подробнее о механизме применения форс-мажора говорится в письме Министерства юстиции Украины от 30.05.2014 г. № 6602-0-26-14/8.1 (прим. авт.).

(3)См.: https://www.ucci.org.ua/press-center/ucci-news/mikhailo-nepran-tpp-ukrayini-rekomenduie-kompaniiam-postrazhdalim-vid-kiberataki-zvernutisia-do-kiberpolitsiyi-1 (прим. авт.).

(4)См.: https://www.unian.ua/business/2001911-dfs-ne-bachit-pidstav-dlya-prodovjennya-terminiv-priyomu-zvitnosti-dlya-biznesu-cherez-virus-petyaa.html (прим. авт.).

(5)См.: https://www.buh24.com.ua/blokuvannya-reyestratsiyi-podatkovih-nakladnih-vidpovidi-vid-dfsu/ (прим. авт.).