18 ноября 2025 года

Хакерская атака как форс-мажор: что говорят суды и как я выиграл дело клиента

За последние годы кибератаки из разряда «редких ЧП» превратились в повседневный риск для любого бизнеса — от небольшого интернет-магазина до крупного банка или аэропорта. С ростом числа атак закономерно растёт и количество споров: сервис «упал», сайт недоступен, данные зашифрованы, обязательства по договору не исполнены, контрагент требует неустойку — а компания пытается прикрыться форс-мажором и ссылкой на хакерскую атаку.

Проблема в том, что суды крайне неохотно признают такие инциденты обстоятельствами непреодолимой силы. Анализ недавних дел показывает: в большинстве случаев компаниям не удаётся доказать, что они сделали всё возможное для защиты информационной инфраструктуры и что именно атака, а не организационные просчёты, стала причиной нарушения обязательств.

В этой статье я, как адвокат по ИТ-и цифровым спорам, разберу ключевые подходы судов к хакерским атакам и расскажу о собственном деле из практики, где мне удалось защитить клиента и добиться отказа во взыскании многомиллионной неустойки, заявленной «под соусом» кибератаки.

Почему хакерская атака почти никогда не спасает от ответственности

Юридическая отправная точка проста: для бизнеса действует повышенный стандарт ответственности. По общему правилу предприниматель платит за нарушение обязательств, если не докажет, что нарушение вызвано чрезвычайными и непредотвратимыми при данных условиях обстоятельствами (форс-мажором). Хакерская атака теоретически может подпасть под это понятие, но на практике суды исходят из трёх ключевых вопросов:

  1. Что вы сделали для киберзащиты до инцидента?
    Наличие базовых мер информационной безопасности — не «опция», а нормальный предпринимательский риск. Если компания экономила на ИБ, не сегментировала сеть, не имела резервных копий и регламента реагирования, говорить о форс-мажоре сложно.
  2. Можно ли чётко связать атаку и нарушение договора?
    Недостаточно заявить, что «нас взломали». Нужно показать, что атака пришлась на период исполнения конкретного обязательства, парализовала систему, необходимую для его исполнения, и не оставила разумных альтернатив (например, резервная площадка, ручной режим, резервный канал).
  3. Была ли атака «выше разумного контроля» именно для вашей компании?
    Для ритейлера, АЗС или транспортной компании суды готовы признать хакерскую атаку объективно непреодолимой, если та была необычной по способу и масштабной по последствиям. Для ИТ-провайдера, хостинг-компании или оператора сервиса подход другой: обеспечение устойчивости и защиты инфраструктуры считается прямой зоной ответственности.

Практика показывает: даже наличие актов, писем от провайдера или публикаций в СМИ само по себе не спасает от неустоек. Суды ждут комплексной доказательной базы, а не формальных справок.

Типичные ошибки компаний в спорах о кибератаках

В делах, которые уже дошли до арбитражных судов и судов округов, проявляются одни и те же ошибки:

  • Нет чёткой договорной конструкции.
    В договоре либо вообще не упомянуты киберинциденты, либо «форс-мажор» сформулирован настолько расплывчато, что суд трактует его узко и не относит к нему хакерскую атаку.
  • Не определены пределы ответственности исполнителя.
    Если из текста договора следует, что исполнитель отвечает лишь за разработку и размещение сайта, но не за защиту инфраструктуры от полного уничтожения — суд не станет «дописываться за стороны» и расширять его обязанности задним числом.
  • Отсутствует понятный лог событий.
    Нет актов о простое, нет технических отчётов, лога с метками времени, переписки с провайдером. В результате контрагент легко заявляет: «Атака была, но ваша просрочка с ней не связана».
  • Неверный расчёт убытков и упущенной выгоды.
    Компании заявляют суммы «от потолка» без сопоставления периода сбоя с динамикой выручки, без документов по восстановительным работам, без привязки к конкретным договорным объёмам.

Итог предсказуем: хакерская атака не признаётся форс-мажором, неустойка либо убытки взыскиваются, а ссылка на киберинцидент остаётся просто доводом «для красоты».

Когда суд готов признать кибератаку форс-мажором

При этом говорить, что хакерские атаки никогда не признаются форс-мажором, было бы неверно. В практике уже есть уникальные дела, где суд всё-таки встал на сторону исполнителя и признал кибератаку обстоятельством непреодолимой силы.

Хакерская атака — форс‑мажор.

Общая логика таких решений:

  • Сбой носил кратковременный, но объективный характер и был подтверждён провайдером или иным техническим исполнителем.
  • Нарушение не было систематическим, а единичная задержка никак не повлияла на общий экономический результат контракта.
  • Заказчик по факту получил услуги, а штраф, заявленный им, выглядит несоразмерным по отношению к кратковременному инциденту.
  • Исполнитель своевременно уведомил контрагента, раскрыл техническую подоплёку инцидента и предоставил документы, подтверждающие масштаб и продолжительность атаки.

В одном из дел, например, сбой в системе отпуска топлива по картам был вызван именно кибератакой. Исполнитель доказал, что атака была нестандартной, возникла внезапно, была устранена за разумное время, заказчик реальных убытков не понёс, а штраф в многомиллионном размере противоречит принципу соразмерности. Суд согласился и отказал во взыскании неустойки.

Мой реальный кейс: как мы отбили многомиллионную неустойку за «падение» сервиса

Один из моих клиентов — компания, которая оказывает услугу по управлению клиентским трафиком для сети региональных офлайн-магазинов и онлайн-продаж. Фактически это высоконагруженный ИТ-сервис, через который проходят заказы, скидочные акции, интеграция с кассами и платёжными шлюзами.

Ситуация.
В один из пиковых периодов на инфраструктуру клиента была совершена сложная комбинированная атака: одновременно DDoS и попытки внедрения вредоносного кода через уязвимость стороннего модуля. Часть систем оказалась временно недоступна, корзина и личный кабинет покупателей перестали работать, во внешних отчётах это выглядело как «простой сервиса».

Заказчик, крупная торговая сеть, потребовал:

  • неустойку за каждый день простоя по договору,
  • возмещения «упущенной выгоды» в размере нескольких миллионов рублей,
  • компенсации якобы репутационного ущерба.

При этом торговая сеть категорически отказалась признавать кибератаку форс-мажором, утверждая, что «любая ИТ-компания обязана быть готовой к таким рискам».

Наша задача как стороны защиты заключалась в том, чтобы:

убедить суд, что в этой конкретной конфигурации обстоятельств речь идёт именно о форс-мажоре.

доказать факт кибератаки и её нестандартный характер;

показать, что клиент предпринимал достаточные меры для информационной безопасности;

установить дисбаланс между размером заявленной неустойки и реальными последствиями инцидента;

Как мы строили защиту клиента по кибератаке

Я выстроил стратегию защиты в несколько шагов.

  1. Техническая фиксация атаки.
    Совместно с ИТ-службой клиента и внешним провайдером были собраны:
    • отчёты о нагрузке на каналы связи и серверы в период атаки; логи межсетевых экранов и систем предотвращения вторжений; заключение независимого ИБ-эксперта о характере и сложности атаки; письма от провайдера хостинга о недоступности части ресурсов.
    Важно: мы показали суду не просто «падение сервиса», а конкретный механизм атаки и её временные рамки;
  2. Доказательство должной осмотрительности клиента.
    В материалах дела мы представили:
    • внутренние регламенты по ИБ, планы по резервному копированию и тестированию; договоры на аутсорсинг ИБ-функций;результаты последнего аудита безопасности; подтверждение наличия резервной инфраструктуры и действий по её оперативному задействованию.
    Это позволило показать, что клиент не экономил на безопасности и не допускал грубой халатности.
  3. Анализ договора и пределов ответственности.
    В договоре уже были закреплены:
    • перечень обстоятельств непреодолимой силы, включая кибератаки и техногенные инциденты вне разумного контроля исполнителя; обязанность сторон оперативно уведомлять друг друга о форс-мажоре; ограничение ответственности по неустойке и прямое указание на необходимость доказать реальный ущерб.
    Это стало нашим серьёзным аргументом: ещё на стадии заключения договора стороны договорились, что кибератаки — отдельный, осознанно обозначенный риск.
  4. Разбор «убытков» заказчика.
    Мы последовательно оспорили:
    • расчёт упущенной выгоды (он не учитывал сезонность, динамику продаж, альтернативные каналы); наличие реального ущерба (часть заказов была успешно оформлена позже, часть ушла через другие каналы, запас товара не был «заморожен»); причинную связь между падением сервиса и экономическими результатами.
    Фактически мы показали, что значительная часть заявленных сумм — это не прямой ущерб, а попытка переложить на ИТ-партнёра все бизнес-риски.
  5. Акцент на соразмерность и добросовестность.
    Мы обратили внимание суда на то, что:
    • сбой был кратковременным и разовым;
    • в остальной период контракт исполнялся без нареканий;
    • заявленный объём санкций многократно превышает объективные последствия инцидента.

Результат: суд отказал в основной части требований

В итоге суд:

  • признал, что имела место сложная хакерская атака с признаком непреодолимости при данных условиях;
  • учёл наличие у компании развитой системы ИБ и регламентов реагирования;
  • указал на отсутствие надлежащего доказательства реального ущерба и экономической диспропорции неустойки.

Основные требования заказчика о взыскании неустойки и «упущенной выгоды» были отклонены, объём потенциальных потерь клиента сократился с многомиллионной суммы до символического уровня.

Этот кейс ещё раз показал: исход спора о кибератаке зависит не от ссылки на форс-мажор, а от того, насколько грамотно вы заранее оформляете договоры и системно подходите к кибербезопасности.

Что важно предусмотреть бизнесу: практические рекомендации

Чтобы не оказаться в ситуации, когда слово «кибератака» в суде не производит никакого впечатления, рекомендую:

  1. Прописать кибератаки в разделе о форс-мажоре.
    В договоре можно закрепить, что к обстоятельствам непреодолимой силы относятся в том числе крупные киберинциденты, выходящие за пределы разумного контроля сторон, при условии документального подтверждения их факта, масштаба и продолжительности.
  2. Чётко определить пределы ответственности.
    Для исполнителя-ИТ-компании важно:
    • разграничить ответственность за доступность сервиса и за «полное уничтожение инфраструктуры» из вне;
    • описать перечень мер ИБ, которые гарантированно обеспечиваются исполнителем;
    • указать, за что исполнитель не отвечает (например, за уязвимости сторонних модулей при отсутствии обновлений со стороны заказчика).
  3. Установить понятный порядок уведомления о киберинцидентах.
    Сроки, формат уведомления, список сведений (время, география, масштаб, предварительная оценка последствий). Это пригодится в суде для обоснования доказательной цепочки.
  4. Регулярно поддерживать в актуальном виде перечень ИБ документов.
    Регламенты, отчёты, аудиты, документы о резервном копировании, журналы событий — всё это превращается в аргументы в вашу пользу, когда контрагент заявляет: «Вы ничего не делали для защиты».
  5. Корректно считать убытки и неустойку.
    Если вы выступаете в роли заказчика и страдаете от кибератаки на стороне контрагента, заранее продумывайте, как будете подтверждать реальный ущерб и упущенную выгоду: сопоставимые периоды выручки, аналитика трафика, невозможность использовать альтернативные каналы продаж.

Когда стоит подключать адвоката по цифровому праву

Споры, связанные с кибератаками, всегда многоуровневые: они требуют понимания и техники, и договорного права, и процессуальной стратегии. На практике именно связка «адвокат + технари» позволяет:

  • вовремя собрать нужные доказательства,
  • выстроить юридически устойчивую позицию,
  • грамотно увязать технические детали с правовой логикой суда.

Если ваш бизнес столкнулся с кибератакой, из-за которой:

  • контрагент требует неустойку или убытки,
  • вы хотите взыскать ущерб с исполнителя,
  • нужно переписать договоры, чтобы они учитывали цифровые риски,

— имеет смысл подключить адвоката уже на этапе реагирования, а не в тот момент, когда спор дошёл до суда и часть доказательств уже утрачена.

В своей практике я помогаю компаниям выстраивать защиту по спорам, связанным с хакерскими атаками, сопровождать судебные процессы и одновременно «перепрошивать» договорную базу так, чтобы следующие киберинциденты не превращались в катастрофу.

Если вы понимаете, что ваш договор «не держит удар» цифровой реальности, или уже столкнулись с претензией из-за кибератаки — можно разобрать вашу ситуацию точечно: проанализировать договор, оценить перспективы в суде и выстроить понятный план действий.

Изображение от Freepik.

Репост:

Интересные статьи

6 декабря 2019 Во Франции умерла гражданка РФ… Наследственное дело с иностранным элементом: как решить правовой конфликт ... Читать далее
30 апреля 2020 Водный курьер Едва достигший совершеннолетия Р. обвинялся следственными органами в перевозке ... Читать далее
bribe 30 апреля 2020 Дело о даче взятке Уголовное дело по обвинению в даче взятке должностному лицу по ч.4 ст.291 УК ... Читать далее
Заказать звонок
Оставьте контакты, менеджер
перезвонит в ближайшее время

    Нажимая на кнопку, Вы соглашаетесь на обработку
    персональных данных