You can read the article below in the language of the original.
Доказывание обстоятельств непреодолимой силы: инструкция для пострадавших от вируса
Кто ты, Петя?
27 июня Украина стала жертвой масштабной кибератаки, проведенной с помощью вируса-шифровальщика Petya.A. По официальной версии, Petya.A - это программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. На сегодняшний день от массового распространения программы пострадало уже более 12 тысяч пользователей, в том числе: правительство, банки, государственные энергетические компании, медиа-ресурсы, киевский аэропорт и метро.
Однако специалисты не рекомендуют жертвам идти на поводу у вымогателей, поскольку это все равно не поможет им восстановить доступ к данным, так как электронные адреса злоумышленников уже заблокированы провайдером.
Следует отметить, что вирус Petya.A - это не первый случай нападения на компьютерные сети в Украине. Не так давно (в мае этого года) в стране были зафиксированы вспышки вируса WannaCry, от которого пострадали сайты "Укрпочты", "Укртелекома" и "Киевэнерго". А в декабре 2016 жертвами хакеров стали Минфин, Госказначейство и Пенсионный фонд.
Кто стоит за началом киберэпидемии, пока непонятно, но, по мнению части аналитиков, компьютерные атаки в Украине лишь маскируются под вымогателей, в то время как их истинная цель - не материальная выгода, а нанесение вреда. Вследствие этого существует гипотеза о том, что хакерские атаки носят политический характер.
Форс-мажор или халатность?
Согласно сообщениям киберполиции Украины источником вируса Petya.A стало бухгалтерское программное обеспечение "M.E.Doc", которое используется для подготовки и отправки налоговой отчетности. Такую же версию озвучивают и специалисты компании Microsoft. Так, на официальном сайте компании опубликована информация о том, что вирус впервые был обнаружен и зафиксирован в процессе обновления программного обеспечения "M.E.Doc".
Такие заявления породили версию о том, что вирус Petya вовсе не форс-мажорное явление, а прямое последствие халатности разработчиков бухгалтерской программы. Так, глава киберполиции Украины
Сергей Данилюк заявляет, что против создателей "M.E.Doc" будут выдвинуты официальные обвинения в халатности, поскольку они знали об уязвимости своего программного обеспечения задолго до атаки, но ничего не сделали для предотвращения нападения.
Так это или нет - покажет время, а пока первоочередной задачей для пострадавших является устранение последствий вируса.
Дело в том, что в связи с несанкционированным вмешательством в работу компьютерных сетей предприятия и организации Украины столкнулись сразу с двумя проблемами: первая - невозможность выполнения договорных обязательств; вторая - осложнения с подачей налоговой отчетности.
Для борьбы с такими последствиями правительство Украины уже предпринимает активные шаги.
Так, Министерство финансов Украины разрабатывает проект изменений в Налоговый кодекс, которые разрешили бы освободить налогоплательщиков от штрафных санкций за несвоевременную регистрацию налоговых накладных, выписанных в июне 2017 года.
До принятия указанного законопроекта налогоплательщикам следует использовать ст. 101 Налогового кодекса, содержащую механизм списания безнадежного налогового долга по решению руководителя или заместителя (уполномоченного лица) налогового органа.
Однако чтобы воспользоваться этим механизмом, компаниям следует подтвердить существование форс-мажорных обстоятельств, получив соответствующий сертификат в Торгово-промышленной палате Украины (далее - ТПП).
Обстоятельства непреодолимой силы
Определение форс-мажорных обстоятельств (или обстоятельств непреодолимой силы) описано в Хозяйственном кодексе Украины, п. 3.1 Регламента Т1Ш № 44 (5), а также в ст. 79 Конвенции ООН о договорах международной купли-продажи товаров от 11 апреля 1980 года.
В частности, Регламент ТШ1 устанавливает, что форс-мажорные обстоятельства (обстоятельства непреодолимой силы) - это чрезвычайные и неотвратимые обстоятельства, объективно влияющие на выполнение обязательств, предусмотренных условиями договора (контракта, соглашения и т. п.), обязательств по законодательным и другим нормативным актам, действие которых невозможно было предвидеть и действие которых делает невозможным их выполнение в течение определенного периода времени (п. 3.1 главы 3 Регламента № 44).
То есть критериями форс-мажорных обстоятельств являются:
- чрезвычайность (имеют исключительный характер и находятся вне границ влияния сторон);
- непредвиденность (их наступление или последствия невозможно было предвидеть на момент заключения договора);
- неотвратимость (неизбежность события и его последствий);
- причинно-следственная связь между событием и невозможностью выполнения обязательств.
В зависимости от вида форс-мажорных обстоятельств их удостоверение осуществляет либо ТПП Украины, либо региональные ТПП. Первый из указанных органов удостоверяет такие обстоятельства относительно внешнеэкономических и международных договоров, норм законодательства, другие -договоров между резидентами, норм законодательства, ведомственных нормативных актов, органов местного самоуправления и др. (п. 4.2 главы 4 Регламента № 44).
Как подтвердить форс-мажор
Согласно официальному заявлению, опубликованному на сайте ТПП Украины, заражение компьютерных систем вирусом Petya.A может быть признано форс-мажорными обстоятельствами.
В то же время удостоверить факты таких форс-мажоров ТПП сможет только на основании документов, полученных от киберполиции. Ими могут быть справка или выписка об открытии уголовного производства.
Именно официальный ответ киберполиции будет для ТПП основанием для рассмотрения заявлений от предпринимателей о признании кибератаки обстоятельствами непреодолимой силы.
Таким образом, алгоритм подтверждения форс-мажорных обстоятельств для потерпевших от вируса включает следующие шаги:
1. Создание комиссии на предприятии с целью установления последствий кибератаки. Целью работы такой комиссии является установление перечня отсутствующих документов и причин их уничтожения.
2. Составление акта комиссии с детальным описанием периода кибератаки и ее последствий для предприятия.
3. Обращение в правоохранительные органы с заявлением о преступлении. К такому заявлению следует приложить акт комиссии, в котором необходимо отразить результаты внутреннего расследования и зафиксировать факт кибератаки на компьютерную сеть.
4. Получение справки от правоохранительных органов о возбуждении уголовного производства
по ст. 361 Уголовного кодекса Украины (несанкционированное вмешательство в работу электронно-вычислительных машин). Такая справка может быть заменена извлечением из Единого государственного реестра расследований.
5. Уведомление контролирующих органов (Государственная фискальная служба, Национальная комиссия по ценным бумагам и фондовому рынку и проч.) и (или) контрагентов о временной невозможности подачи отчетности и (или) выполнения обязательств.
6. Обращение в ТПП для получения сертификата о форс-мажорных обстоятельствах. Для
подтверждения форс-мажорных обстоятельств заинтересованное юридическое лицо или физическое лицо - предприниматель подает в соответствующий орган ТПП заявление по каждому отдельному договору (контракту), а также по налоговым и другим обязательствам, которые не могут быть выполнены из-за наличия таких обстоятельств (п. 6.2 главы 6 Регламента № 44).
ТПП удостоверяет форс-мажорные обстоятельства и выдает сертификат о таких обстоятельствах в течение 7 дней со дня обращения субъекта хозяйственной деятельности по себестоимости. Сертификат о форс-мажорных обстоятельствах для субъектов малого предпринимательства выдается бесплатно.
7. Обращение к контролирующим органам и (или) к контрагентам с заявлением об освобождении
от ответственности за несвоевременное представление отчетности и (или) выполнение договорных обязательств в связи с получением сертификата о форс-мажорных обстоятельствах.
Действуя согласно такому алгоритму, предприятия, пострадавшие от вируса, смогут подтвердить форс-мажор и предотвратить применение к себе финансовых санкций. Если же такие меры не принесут результат и на предприятие будет наложен штраф, то такой штраф может быть с успехом оспорен и отменен в судебном порядке.
Судебная практика
На практике наличие сертификата ТПП в большинстве случаев гарантирует снятие ответственности за неисполнение обязательств. Однако бывают и исключения, когда одного наличия сертификата недостаточно.
Так, в некоторых случаях суды обращают внимание не только на существование сертификата о форс-мажорных обстоятельствах, но и на его форму и содержание. Так, например, в споре № 913/915/15 Высший хозяйственный суд Украины (ВХСУ) усомнился в качестве сертификата ТПП и направил дело на новое рассмотрение. Обосновывая такое решение, ВХСУ указал, что "суды не изучили и не оценили сертификат ТПП на предмет его соответствия требованиям Регламента ТШ1 относительно порядка оформления и подписания, не проверили статус лица, которое его подписало, а также факт внесения сертификата в соответствующий Реестр сертификатов форс-мажорных обстоятельств".
Таким образом, при получении сертификата ТПП нужно быть предельно внимательным и проконтролировать, чтобы этот документ был составлен надлежащим образом и соответствовал всем требованиям Регламента ТШ1. Иначе он не сможет послужить надлежащим доказательством в суде.
В то же время далеко не все суды придерживаются такого формального подхода. В судебной практике бывали прецеденты, когда суды брали на себя смелость устанавливать форс-мажор и без наличия сертификата ТПП.
Например, рассматривая дело № 901/2091/13, ВХСУ установил: "просрочка оплаты по договору была допущена не по вине предприятия, а в силу форс-мажорных обстоятельств - вирусной атаки. Отсутствие же у ТПП правовой возможности подтвердить наличие форс-мажора не означает отсутствие такого факта вообще".
ВЫВОД:
Как видим, оснований для признания вирусной атаки форс-мажором более чем достаточно. Процедура получения соответствующего сертификата ТПП предельно проста. Таким образом, предприятия, пострадавшие от кибератаки, могут не паниковать: у них есть достаточно доводов, чтобы избежать ответственности за несвоевременное выполнение своих обязательств перед государством и контрагентами.
