logo-image
Форс-мажор і податкові тонкощі
Автор: Олексій Хомяков
Джерело: Юрист&Закон. №32. – Серпень 2017
Завантажити

Як відомо, Україна нещодавно зазнала масової кібератаки, що вплинула на різні аспекти функціонування бізнесу, починаючи від операційного контролю над бізнес-процесами, закінчуючи найбільш чуттєвою для бізнесу  зоною – можливістю вільно управляти банківськими рахунками та розпоряджатись грошовими коштами.

За загальнодоступною інформацією, 1508 юридичних і фізичних осіб подали скарги до кіберполіції з приводу атаки вірусом Petya.A. Про це 29 червня 2017 року заявив директор департаменту комунікації Нацполіції Ярослав Тракало. Проте кількість постраждалих компаній може бути значно більша, оскільки за офіційними даними компанії Майкрософт було заражено 12500 комп'ютерів.

Форс-мажор?

Все це разом поставило цілу низку практичних питань для бізнесу, які стосуються як функціонування та безпеки IT-систем, так і електронних відносин з різними контролюючими органами державної влади, включаючи фіскальні та правоохоронні органи.

Для відповіді на зазначені питання треба зрозуміти, чи належить у розумінні українського законодавства кібератака комп'ютерним вірусом Petya.A до подій, що можуть кваліфікуватись як форс-мажорні обставини. Ключовим законодавчим актом, що регулює питання настання та підтвердження форс-мажорних подій, є Закон "Про торгово-промислові палати в Україні" від 02.12.97 р. № 671/97-ВР (далі – Закон).

Згідно з визначенням, наведеним у Законі, форс-мажорними обставинами (обставинами непереборної сили) є надзвичайні та невідворотні обставини, що об'єктивно унеможливлюють виконання зобов'язань, передбачених умовами договору (контракту, угоди тощо), обов'язків згідно із законодавчими та іншими нормативними актами, а саме: загроза війни, збройний конфлікт або серйозна погроза такого конфлікту, включаючи, але не обмежуючись ворожими атаками, блокадами, військовим ембарго, дії іноземного ворога, загальна військова мобілізація, військові дії, оголошена та неоголошена війна, дії суспільного ворога, збурення, акти тероризму, диверсії, піратства, безлади, вторгнення, блокада, революція, заколот, повстання, масові заворушення, введення комендантської години, експропріація, примусове вилучення, захоплення підприємств, реквізиція, громадська демонстрація, блокада, страйк, аварія, протиправні дії третіх осіб, пожежа, вибух, тривалі перерви в роботі транспорту, регламентовані умовами відповідних рішень та актами державних органів влади, закриття морських проток, ембарго, заборона (обмеження) експорту/імпорту тощо, а також викликані винятковими погодними умовами і стихійним лихом, а саме: епідемія, сильний шторм, циклон, ураган, торнадо, буревій, повінь, нагромадження снігу, ожеледь, град, заморозки, замерзання моря, проток, портів, перевалів, землетрус, блискавка, пожежа, посуха, просідання і зсув ґрунту, інші стихійні лиха тощо (стаття 141 вказаного Закону).

Як вбачається з наведеного вище, кібератаки й інші подібні події прямо як форс-мажор законодавством не визначені, що значно ускладнює життя платникам податків при доведенні тих чи інших обставин перед контролюючими органами. За допустимого тлумачення законодавства кібератаку вірусом Petya.A можна кваліфікувати як злочин, оскільки вона була направлена на злочинне вимагання грошових коштів від суб'єктів господарювання та мала наслідком пошкодження роботи електронно-обчислювальних машин (комп'ютерів) і програмних засобів, втрату інформації й інші подібні наслідки. Аналогічної думки дотримується і Торгово-промислова палата України, яка також вважає, що кібератака на корпоративні мережі – це форс-мажорні обставини.

Порядок засвідчення форс-мажорних обставин (обставин непереборної сили) встановлено Регламентом засвідчення Торгово-промисловою палатою України та регіональними торгово-промисловими палатами форс-мажорних обставин (обставин непереборної сили), затвердженим рішенням Президії ТПП України від 18.12.2014 р. № 44(5).

Згідно з пп. 6.4.3 Регламенту суб'єкти господарювання для отримання сертифіката про настання форс-мажорних обставин за податковими зобов'язаннями надають разом із заповненою заявою встановленої форми документи, передбачені в цій формі заяви (Додатки № 2, 3 до Регламенту).  Проте ТПП України, окрім стандартного пакета документів, вимагала від суб'єктів господарювання також документи, отримані ними від кіберполіції на засвідчення факту кібератаки на їх комп'ютери (наприклад, довідку або виписку про відкриття кримінального провадження).

Фіскальні питання

У податкових же відносинах існують певні особливості, та пряме використання зазначеного вище алгоритму підтвердження факту настання форс-мажорних обставин може бути недостатнім для можливих негативних наслідків кібератаки для податкових цілей.

Як відомо, кібератака вірусом Petya.A припала на 27 червня 2017 року. Зокрема, враховуючи наслідки ураження комп'ютерним вірусом Petya.A, найбільш поширеними питаннями, що виникли у суб'єктів господарювання в податкових відносинах, були такі:

• своєчасне подання податкової звітності;

• реєстрація податкових накладних в Єдиному реєстрі податкових накладних;

• своєчасна сплата податкових зобов'язань. 

Отже, наслідком пошкодження інформаційних систем платників податків могли бути несвоєчасна реєстрація податкових накладних в Єдиному реєстрі податкових накладних за червень 2017 року та несвоєчасна сплата платниками податків певних видів податкових зобов'язань, граничний строк яких наставав у зазначений період (наприклад, ПДВ, плата за землю,  податок з доходів фізичних осіб та військовий збір за травень 2017 року). 

Відповідно до пункту 1201.1 статті 1201 Податкового кодексу України у разі порушення строків реєстрації податкових накладних в Єдиному реєстрі податкових накладних застосовуються штрафні санкції (від 10 до 40 відсотків ПДВ).

Слід зазначити, що на дату здійснення кібератаки Податковий кодекс України не містив жодних норм, які б чітко визначали настання форс-мажорних обставин, а також положень, які б звільняли платників податків від відповідальності чи виконання покладених на них обов'язків, таких як подання податкової звітності чи сплата узгоджених податкових зобов'язань. Останнє було фактично підтверджено розпливчатими заявами офіційних осіб ДФС, які заявили, що податкове законодавство України дійсно не містить винятків щодо притягнення до відповідальності за невиконання вимог податкового законодавства внаслідок дії обставин непереборної сили (форс-мажор). Єдине згадування щодо настання форс-мажорних обставин містить підпункт 101.2.4 пункту 101.2 ст. 101 Податкового кодексу України, який передбачає можливість списання безнадійного податкового боргу через обставин непереборної сили (форс-мажорних обставин). Проте навряд чи можна вважати доцільним доведення платником податків до ситуації, внаслідок якої згадані штрафні санкції призведуть до виникнення податкового боргу, оскільки внаслідок таких дій можливе не лише застосування адміністративного арешту активів платника податків, а й кримінальна відповідальність за ухилення від сплати податків (ст. 212 Кримінального кодексу України). Саме тому згідно з офіційними заявами посадових осіб ДФС висловлювалась занепокоєність можливими наслідками кібератаки від дії вірусу Petya.A та стверджувалась необхідність вирішення питання на законодавчому рівні.

Враховуючи системність і масштабність кібератаки вірусом Petya.A, Мінфін України повідомив про оперативну роботу над законопроектом щодо внесення змін до Податкового кодексу України.

Результатом останньої стало внесення на розгляд Верховної Ради України (ВРУ) законопроекту № 6684 від 12.07.2017 та його прийняття ВРУ у скорочені строки. Так, вже наступного дня Закон України "Про внесення змін до підрозділу 10 розділу XX Податкового кодексу України (щодо незастосування штрафних санкцій за несвоєчасну реєстрацію податкових та акцизних накладних унаслідок несанкціонованого втручання у роботу комп'ютерних мереж платників податків)" від 13.07.2017 № 2143-VIII було підписано Президентом України. Закон передбачає незастосування штрафних санкцій, передбачених пунктом 1201.1 статті 1201 Податкового кодексу України за порушення граничних строків реєстрації податкових накладних, що були складені у період з 01 червня 2017 року по 30 червня 2017 року, за умови реєстрації таких податкових накладних не пізніше 31 липня 2017 року. Аналогічні норми незастосування штрафних санкцій містяться і щодо акцизних накладних. Окрім цього, було зобов'язано платників податків письмово повідомити контролюючий орган щодо втрати та/або пошкодження інформації (у тому числі інформації, що  міститься в базах даних обліку платника податків) унаслідок несанкціонованого втручання  в роботу комп'ютерних мереж платника податків і надати документи, що  підтверджують зазначені події. Більше того, платники податків мають відновити втрачену внаслідок кібератаки інформацію до 31 грудня 2017 р. Як вбачається зі змісту цього Закону, незастосування санкцій можливе лише за умови повідомлення контролюючих органів і наявності підтвердних документів щодо настання форс-мажорних подій.

Для документального підтвердження настання форс-мажорних обставин платник податків при пошкодженні власних інформаційних баз даних, що унеможливило надання податкової звітності, своєчасне складення податкових накладних тощо, мав подати заяву про вчинення кримінального правопорушення до Національної поліції (Департамент кіберполіції) за відповідною кваліфікацією статті згідно з розділом XVI Кримінального кодексу України. Зазначена заява, серед іншого, є доказом несанкціонованого втручання в роботу його електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку. Крім того, як свідчить практика, не зайвим було й отримання доказів відкриття кримінального провадження Національною поліцією за поданою заявою платника податку й відповідного витягу з Єдиного реєстру досудових розслідувань у кримінальних справах. Зрештою, останнім кроком у підтвердженні настання форс-мажорних обставин є отримання сертифікатів щодо форс-мажорних обставин від Торгово-промислової палати України (чи її уповноважених регіональних органів).

Висновок:

Саме резонанс та наслідки кібератаки вірусом Petya.А зумовили швидкість, з якою зазначений законопроект було прийнято Верховною Радою та підписано Президентом України. Однак ця спроба законодавчо врегулювати прогалини в податковому законодавстві не створює передумов для системного звільнення платників від відповідальності через подібні кібератаки в майбутньому, а також не відповідає на питання, що робити у разі пошкодження даних банківсько-фінансових установ, у зв'язку з чим виконання податкових платежів буде неможливим.

Тому залишається лише сподіватись, що алгоритм підтвердження настання форс-мажорних обставин у податкових відносинах за подібних подій (кібератак, комп'ютерних вірусів тощо) прийматиметься до уваги контролюючими фіскальними органами не лише крізь призму виключно норм податкового законодавства, а й у комплексній взаємодії з іншими нормами законодавства (кримінального права зокрема) та їх системному розумінні.