Юридичні наслідки кібератаки

Опубліковано в БУХГАЛТЕРІЇ № 27-28 (1275) від 10 ЛИПНЯ 2017 року



Олександр ЄФІМОВ, доцент кафедри цивільного та трудового права Київського національного економічного університету ім. В. Гетьмана, к.ю.н., адвокат, аудитор


Якщо не знаєш, як вчинити, вчиняй за законом.

Народная мудрість

В книзі «Пшениця без куколю» автор Ігор Каганець війну як суспільне явище пояснює так: «це рішучі дії, спрямовані на зміну поведінки супротивника у потрібному напрямку (і, відповідно, захист власної поведінки від зовнішнього втручання)». При цьому величезну кількість способів бойо­вих дій він зводить до семи основних видів. Найпримітивнішим видом, на думку зазначеного вище автора, є технологічно-силова війна, яка полягає у протистоянні за допомогою як кам’яних сокир, мечів, вогнепальної зброї, літаків, ракет, так і комп’ютерних вірусів.

Фахівці у сфері кібербезпеки радять не платити за розблокування комп’ютера, враженого вірусом Petiya.А, бо платити немає кому, адже ключів для розблокування ніхто не надішле. Отже, мета хакерів заробити на цьому гроші є досить примарною — сховати гроші, що надійшли хакерам внаслідок кібератак, в епоху можливостей тотального контролю грошових потоків навряд чи вдасться.

Тож версія про те, що кібератака є видом війни, може бути цілком логічною. А як ще можна пояснити той факт, що на Україну припало більш ніж 80% випадків ураження вірусом, а для поширення цього вірусу використано саме українське ПЗ M.E.Doc(1)?

Використовуючи цю версію, можна прогнозувати й юридичні наслідки для тих, хто постраждав внаслідок кібератаки.

Господарські відносини

Маю надію, що контрагенти, які постраждали внаслідок кібератаки, порозуміються між собою і без застосування юридичних засобів врегулювання конфліктів. Адже надто явним є фактор зовнішнього втручання з боку хакерів у господарську діяльність та відносини сторін господарського договору. Однак цілком ймовірні ситуації, коли якась сторона договору не зможе виконати свої зобов’я­зання за договором, а інша сторона не захоче порозумітися та пред’являтиме певні претензії до першої. У такому разі слід нагадати про існування такого правового інституту, як форс-мажорні обставини (або обставини непереборної сили).

Слід мати на увазі, що наявність таких обставин підтверджує ТПП відповідно до Регламенту засвідчення Торгово-промисловою палатою України та регіональними торгово-промисловими палатами форс-мажорних обставин (обставин непереборної сили), затвердженого рішенням Президії Торгово-промислової палати України від 18.12.2014 р.
№ 44(5). Згідно із п.4.1 розділу 4 цього Регламенту ТПП відповідно до ст.14 Закону України від 02.12.97 р. № 671/97-ВР «Про торгово-промислові палати в Україні» здійснює засвідчення форс-мажорних обставин (обставин непереборної сили) з усіх питань договірних відносин, інших питань, а також зобов’язань/обов’язків, передбачених законодавчими, відомчими нормативними актами та актами органів місцевого самоврядування, крім договірних відносин, в яких сторонами уповноваженим органом із засвідчення форс-мажорних обставин (обставин непереборної сили) визначено безпосередньо регіональну ТПП.

Сторони у договорі мають встановити перелік обставин, які вони вважатимуть форс-мажорними. А ТПП підтвердить дію вірусу Petya.А лише в тому випадку, коли в договорі між контрагентами буде прямо зазначено кібератаку як форс-мажорну обставину. Можливий варіант, коли у договорі як форс-мажорні обставини буде зазначено протиправні дії третіх осіб як більш узагальнений вид таких обставин, але цей варіант не надто дієвий(2).

Про можливість визнання ситуації з вірусною атакою форс-мажором вже повідомив перший віце-президент ТПП України Михайло Непран на офіційному сайті ТПП(3). Він зазначив: «Звичайно, це форс-мажорні обставини. Саме тому ми рекомендуємо підприємцям, постраждалим від кібер­атаки, звернутися до Департаменту Кіберполіції Національної поліції України. Зі свого боку Торгово-промислова палата України зможе засвідчувати такі факти форс-мажорних обставин тільки на підставі документів, отриманих від Кіберполіції. На наш погляд, це має бути довідка або витяг про відкриття кримінального провадження».

Податкові відносини

Як відомо, норма права часто-густо виникає з потреби врегулювання відносин, які вже виникли і вже існують. Тому врегулювати усі правові наслідки кібератаки законодавці зможуть лише в майбутньому. Приміром, прес-секретар в.о. голови ДФС Мирослава Продана Наталія Непряхіна у коментарі УНІАН повідомила, що ДФС поки не має законодавчих підстав для продовження строків приймання звітності та податкових накладних для бізнесу через блокування роботи комп’ютерів, які були уражені в результаті хакерської атаки, яка розповсюджує вірус Petya.A, однак ДФС наполегливо рекомендує звертатися в кіберполіцію, що дозволить владі в подальшому прийняти системне рішення(4).

Але наслідки ми маємо вже сьогодні та врегульовувати їх потрібно вже зараз. Приміром, представники контролюючих органів у процесуальних документах за відсутності норм права, що підтверджують правомірність їх дій, полюбляють зазначати: «із загального аналізу норм податкового законодавства випливає, що…». А далі вони, зазвичай, викладають своє бачення того, яким, на їх думку, має бути законодавство.

Тож аби зрозуміти, як себе поводити на «руїнах» того, що колись було налагодженим ПЗ, яке дозволяло спілкуватися з контролюючими органами, слід проаналізувати норми чинного податкового законодавства, а саме ПКУ.

Підпункт 191.1.27 ст.191 цього документа до функцій контролюючих органів відносить забезпечення розвитку, впровадження та технічне супроводження інформаційно-телекомунікаційних систем і технологій, автоматизацію процедур, зокрема, контроль за повнотою та правильністю виконання митних формальностей, організацію впровадження електронних сервісів для суб’єктів господарювання. А пп.191.1.41 цієї самої статті до тих самих функцій відносить організацію інформаційно-аналітичного забезпечення та організацію автоматизації процесів адміністрування контролюючими органами. При цьому ст.21 ПКУ зобов’язує посадових осіб контролюючих органів забезпечувати сумлінне виконання покладених на такі органи функцій.

Стаття 36 ПКУ податковим обов’язком платника податків визнає його обов’язок обчислити, задекларувати та/або сплатити суму податку та збору в порядку і строки, визначені ПКУ, законами з питань митної справи. І хоча відповідно до п.49.3 ст.49 ПКУ подання податкової декларації засобами електронного зв’язку в електронній формі є одним із трьох альтернативних способів її подання (поряд з особистим поданням чи надсиланням поштою), для деяких видів звітності (наприклад, ПДВ) та деяких платників (наприклад, великих та середніх) звітність в електронній формі є обов’язковою (п.49.4 ст.49 ПКУ).

Відповідно до п.49.17 ст.49 ПКУ для реалізації права та обов’язку подання звітності в електронному вигляді призначено автоматизовану систему «Єдине вікно подання електронної звітності». Вона допомагає у наданні послуг з подання за допомогою мережі Інтернет в електронному вигляді звітності, обов’язковість подання якої встановлено законодавством, до міністерств, інших органів державної влади та фондів загальнообов’язкового державного страхування.

Іншим варіантом електронного спілкування із контролюючим органом є так званий електронний кабінет платника податків. Відповідно до п.421.2 ст.421 ПКУ електронний кабінет забезпечує можливість реалізації платниками податків прав та обов’язків шляхом: заповнення, перевірки та подання податкових декларацій, звітності до контролюючого органу, реєстрації, коригування податкових накладних/розрахунків в ЄРПН та акцизних накладних в ЄРАН тощо.

Однак вірус Petya.А дещо «відкоригував» таку ідилію і призвів до того, що платники податків не могли певний час реалізовувати свої права та виконувати свій податковий обов’язок. Таку ситуацію законодавець передбачив двічі:

■      згідно з п.421.10 ст.421 ПКУ платник податків звільняється від відповідальності у разі, коли у роботі електронного кабінету виявлена технічна
та/або методологічна помилка і така помилка визнана технічним адміністратором та/або методологом електронного кабінету або її існування під­тверджено рішенням суду. У такому разі штрафні санкції та пеня, передбачені ПКУ, за порушення податкового та іншого законодавства, що спричинені технічною та/або методологічною помилкою у роботі електронного кабінету, не застосовуються, підстави для притягнення платника податків
та/або його посадових осіб до адміністративної, кримінальної відповідальності відсутні;

■       згідно з пп.17.1.15 ст.17 ПКУ платники податків мають право подавати декларацію та інші документи в паперовій формі у разі виникнення технічних проблем у роботі електронного кабінету (наявність помилки має бути підтверджена у порядку, встановленому методологом електронного кабінету або судом).

Не є порушенням податкового обов’язку саме платником податків і вплив кібератаки на обслуговуючий банк, який прийняв платіжне доручення на перерахування податків (зборів), але не виконав його. Відповідно до п.129.6 ст.129 ПКУ така відпо­відальність покладається на банк або орган, що здійснює казначейське обслуговування бюджетних коштів. При цьому платник податків звільняється від відповідальності за несвоєчасне перерахування або перерахування не в повному обсязі таких податків, зборів та інших платежів до бюджетів та державних цільових фондів, включаючи нараховану пеню або штрафні санкції.

Отже, щодо податкової звітності, поданої несвоєчасно через наслідки дії кібератаки, можна обрати такі варіанти поведінки:

■       повірити пану М.Продану, який на семінарі 29 червня 2017 року завірив, що ДФС звернулася з ініціативою до МФУ про незастосування відпові­дальності до платників податків, які через кібер­атаку затримали електронну звітність(5). Тобто порушити ПКУ та не виконати податковий обов’язок, повіривши ДФС, що відповідальність не настане, залишившись при цьому правопорушником;

■       подати звітність ще раз в електронному ви­гляді. А якщо й така можливість відсутня, то подати її у паперовій формі. Звісно, для ДФС це не найбажаніший варіант поведінки платників податків, адже їм доведеться усю звітність обробляти в ручному режимі, а це час і помилки. Зрозуміло, що податківці не радітимуть такій поведінці платника податків, але кожен має власний досвід спілкування з ними і сам має визначитися, як йому вчинити.

Облікові аспекти

Цілком логічно, що вражений вірусом Petya.А комп’ютер навряд чи зможе надати доступ до інформації, яка у ньому зберігалася. І якщо ця інформація є бухгалтерською, тобто такою, що формує дані бухгалтерського обліку, то її треба відновити, аби мати змогу формувати бухгалтерську і податкову звітність.

У юридичній площині слід вказати на існування п.44.5 ст.44 ПКУ, відповідно до якого у разі втрати чи пошкодження документів, пов’язаних з обліком доходів і витрат, платник податків зобо­в’язаний у п’ятиденний строк з дня такої події письмово повідомити контролюючий орган за місцем обліку та контролюючий орган, яким було здійснено митне оформлення відповідної митної декларації. У цій нормі йдеться про первинні документи, регістри бухгалтерського обліку, фінансової звітності, інші документи, пов’язані з обчисленням і сплатою податків і зборів, ведення яких передбачено законодавством.

Після надходження такого повідомлення до контролюючого органу ПКУ надає платнику податків 90 календарних днів на відновлення документів. Давати якісь поради стосовно здійснення такого відновлення досить складно, оскільки у цьому разі усе залежить від інформації, яка збереглася, від її обсягу і достовірності. Це можуть бути інвентаризація, звірки з контрагентами, аналіз банків­ських виписок, власної звітності…

Слід також зважати на те, якою інформацією може володіти податковий орган. Якщо у під­приєм­ства напередодні кібератаки закінчилася комплексна перевірка, то цілком логічно виходити з того, що певний обсяг інформації вже є доступним контролюючому органу. Саме ця інформація може бути ним використана для порівняння з відновленою. Зрозуміло, що у разі виникнення розбіжностей та можливості їх тлумачення на користь фіскальної точки зору, це буде зроблено. Тож ігнорувати цей фактор не варто.

Ще слід зважати на необхідність офіційної фіксації самого факту втрати інформації, про яку йшлося вище. На цьому наголошують як незалежні фахівці, так і представники ДФС України. Тож слід звенутися до кіберполіції із заявою про вчинення злочину, передбаченого ст.361 Кримінального кодексу України, об’єктивна сторона якого полягає у несанкціонованому втручанні в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку.

Насамкінець нагадаємо народну мудрість, яка радить вчиняти за законом (див. епіграф). Отже, що б не обіцяли представники офіційних органів, зав­жди слід зважати на чинні норми законодавства.


(2)Докладніше про механізм застосування форс-мажору йдеться у листі Міністерства юстиції України від 30.05.2014 р. № 6602-0-26-14/8.1 (прим. авт.).

(3)Див.: https://www.ucci.org.ua/press-center/ucci-news/mikhailo-nepran-tpp-ukrayini-rekomenduie-kompaniiam-postrazhdalim-vid-kiberataki-zvernutisia-do-kiberpolitsiyi-1 (прим. авт.).

(4)Див.: https://www.unian.ua/business/2001911-dfs-ne-bachit-pidstav-dlya-prodovjennya-terminiv-priyomu-zvitnosti-dlya-biznesu-cherez-virus-petyaa.html (прим. авт.).