Может ли кибератака стать новым типом форс-мажора?

История с нефтяной компанией окончилась небольшой выплатой (19 коп. и 10 тыс. руб. пошлины), однако причинённый атакой ущерб может быть значительно больше. Так, например, в другом деле из-за действий хакеров пострадавший не смог вовремя перечислить своему контрагенту средства, принятые от клиентов по агентскому договору. Компания пыталась доказать, что возникшая ситуация — форс-мажор: нарушение работы информационных баз помешало определить точную сумму долга. Но суды эту позицию не поддержали. Они пришли к выводу, что агент не сумел доказать причинно-следственную связь между кибератакой и появлением задолженности, а также подтвердить свои доводы документально. В итоге с него было взыскано более 100 млн руб. основного долга, более 2 млн руб. неустойки и 200 тыс. руб. расходов на оплату пошлины.

Разберёмся, может ли концепция форс-мажора быть применена к кибератаке.

Что считается форс-мажором

Согласно ст. 401 Гражданского кодекса РФ, обстоятельства непреодолимой силы (форс-мажор в обыденной речи) — чрезвычайные и непредотвратимые при конкретных условиях обстоятельства. Для ответа на вопрос о том, может ли кибератака быть признана форс-мажором, необходимо проверить её на соответствие критериям чрезвычайности и непреодолимости.

Чрезвычайность. Верховный суд (ВС) РФ поясняет, что требование чрезвычайности подразумевает исключительность обстоятельства, то есть событие не должно являться обычным в конкретных условиях. Также Высший арбитражный суд (ВАС) РФ отмечает, что под чрезвычайностью понимается исключительность, необычайность для тех или иных жизненных условий, что нельзя предусмотреть ни при каких обстоятельствах.

При этом важно учитывать объективную исключительность: событие должно быть неожиданным для любого, а не только для того, кто столкнулся с ним. Чем реже и менее вероятно препятствие, тем больше оснований считать, что оно соответствует критерию непредвиденности, и наоборот.

Так, например, в одном из дел суд рассматривал, может ли ответчик оправдать приостановку работ геополитической ситуацией и связанным с ней риском целевых атак. Суд отметил: ситуация довольно долго существовала до подписания договора с истцом. То есть в ней не было чрезвычайности, а значит, стороны должны были учесть этот риск в контракте.

Непреодолимость — это когда любой среднестатистический предприниматель в аналогичных условиях не смог бы избежать такого события или его последствий, даже при разумной осторожности и надлежащем управлении рисками. В некоторых случаях, в контексте компьютерных атак, суды посчитали достаточными и разумными мерами установку антивирусной программы на компьютер и обращение к специалистам для устранения неисправностей. Однако так бывает не всегда. Например, суды отмечали, что работа информационной системы — это критичная часть бизнеса компании, поэтому её защита — не факультативная опция, а обязательная часть деятельности.

Дополнительно суды отмечают: если предприниматель причастен к возникновению проблемы, или она находилась в сфере его контроля, такое обстоятельство также не может быть признано форс-мажором. Так, в одном из дел суд отметил: организация внутренних компьютерных сетей, выбор используемых программ и ИБ зависят от воли пострадавшего и не могут быть отнесены к обстоятельствам непреодолимой силы.

Что понимается под кибератакой

Единого определения пока не существует. Согласно ГОСТ Р 59709–2022, кибератака — это целенаправленное воздействие программных и/или программно-аппаратных средств на информационный ресурс для нарушения, прекращения его функционирования, создания угрозы безопасности информации. Аналогичное определение содержится и в 187-ФЗ.

Приказ № 117 ФСБ России даёт следующее определение атаки: угроза безопасности информации с использованием аппаратных, программно-аппаратных и/или программных средств, направленная на нарушение безопасности защищаемой средствами криптографической защиты информации либо на создание условий для этого.

Исходя из этого, общее определение атаки может выглядеть так: целенаправленное воздействие на систему в целях нарушения её работы или безопасности информации. Может ли такое обстоятельство быть признано непреодолимой силой? Глобально — нет, считают юристы.

Можно ли признать кибератаку форс-мажором

Для ответа на этот вопрос надо «примерить» критерии непреодолимой силы к кибератаке.

Говорить о том, что кибератака — чрезвычайное событие для среднестатистического предпринимателя, уже не приходится. Только за третий квартал 2025 года было выявлено свыше 42 тыс. атак. Всего в прошлом году 70% критических инцидентов были связаны с попытками полного уничтожения ИТ-инфраструктуры.

Хотя существуют вполне конкретные стандарты защиты, многочисленные нюансы не позволяют однозначно сказать, мог ли бизнес противостоять атаке. Например, большинство нормативных требований уже неактуальны из-за давности их принятия, а сложившиеся бизнес-стандарты защиты фактически гораздо выше. Впрочем, утверждать, что кибератака — это непреодолимое событие, также не выйдет. Сотни и тысячи нападений хакеров происходят каждый день, и далеко не каждое из них успешно.

То есть доказать, что кибератака — это форс-мажор, очень сложно: для судов она стала обычным событием, которое заранее должно включаться в предпринимательские риски. При этом попытка доказать обратное (например, что атака была крайне нестандартной и новой по своей механике, что её невозможно было предусмотреть или подготовиться к ней) может обернуться ещё большими расходами на сбор доказательств и услуги экспертов, не говоря уже о репутационных издержках.

Правда, есть и успешные примеры, когда предпринимателю удалось убедить суд, что киберинцидент — обстоятельство непреодолимой силы. Несколько лет назад в Дагестане DDoS-атака привела к тому, что АЗС не работала 14 дней. Контрагент потребовал от предпринимателя уплатить штраф за нарушение контрактных обязательств. Но суд посчитал, что проблемы с поставкой топлива вызваны не бездействием ответчика, а сбоем в работе системы. Одним из доказательств стало письмо облачного провайдера, который подтвердил проблемы с интернет-трафиком, вызванные DDoS-атаками. Результат: предприниматель избежал штрафных санкций. Однако эта история произошла в начале 2022 года, ещё до кратного увеличения количества кибератак на российский сектор. Не исключено, что сегодня суд решил бы иначе.

В другом деле пострадавший смог переложить свои убытки на провайдера ИТ-услуг после того, как инфраструктура компании подверглась атаке шифровальщика. Виновниками истец назвал поставщика компьютерного оборудования и подрядчика, обслуживающего это оборудование. Они, посчитал истец, не обеспечили высокое качество работ и допустили хакерскую атаку, в результате которой была заблокирована и потеряна вся рабочая информация о поставщиках, покупателях и т. д. В ходе спора он потребовал взыскать с ответчиков затраты на восстановление инфраструктуры, разработку дешифратора, проведение аудита информационной безопасности, а также возместить его упущенную прибыль. Ответчики заявили, что все действия с их стороны были выполнены надлежащим образом, инцидент произошёл из-за действий хакеров и нарушений безопасности со стороны самого истца.

Суд посчитал, что за инцидент отвечает только та сторона, которая осуществляла установку и эксплуатацию оборудования. Именно технический подрядчик являлся «профессионалом в сфере системного администрирования вычислительной сети и техобслуживания компьютерной техники». При этом он заменил пароли у пользователей на упрощённые (от 1 до 6) на всех учётных записях, назначил права администратора для всех учётных записей и, не закончив восстановительные работы, ушёл «отдыхать». Компьютерная атака стала не просто форс-мажором, а результатом виновных действий конкретного подрядчика, поэтому суд определил ему отвечать за возникшие убытки истца (за исключением упущенной выгоды — её истец обосновать не смог).

Как мы видим, кибератака теоретически может быть признана обстоятельством непреодолимой силы (форс-мажором), но на практике суды в большинстве случаев занимают противоположную позицию.

Что можно предпринять для повышения шансов на успех

1. Отчётливо разграничивать в договорной документации зоны ответственности между вами и контрагентами.
2. Подробно прописывать возможные ограничения ответственности, в том числе чётко определить случаи, за которые вы не отвечаете, и как эти случаи подтверждаются.
3. При возникновении кибератаки необходимо оперативно обеспечить сбор доказательственной базы — подтверждение факта инцидента, его причинно-следственной связи с нарушением.