• Адвокат
  • Когда хакерскую атаку признают форс-мажором
24 ноября 2025 года

Когда хакерскую атаку признают форс-мажором

В последние годы кибератаки, ранее считавшиеся редкими инцидентами, стали повседневным риском для всех видов бизнеса, начиная от небольших интернет-магазинов и заканчивая крупными банками и аэропортами. С увеличением числа атак, естественно, возросло и количество споров: сервисы перестают работать, сайты становятся недоступными, данные шифруются, обязательства по договорам не выполняются, а контрагенты требуют неустойки. В таких ситуациях компании часто пытаются оправдать свои действия форс-мажорными обстоятельствами и ссылаются на хакерские атаки.

Суды с большим недоверием относятся к признанию инцидентов обстоятельствами непреодолимой силы. Анализ судебной практики показывает, что в большинстве случаев компаниям не удаётся доказать, что они предприняли все необходимые меры для защиты своих информационных систем, и что именно кибератака, а не внутренние ошибки, стала причиной невыполнения обязательств.

Как специалист по правовым вопросам в области информационных технологий и цифрового права, я поделюсь с вами анализом некоторых ключевых подходов судов к делам о хакерских атаках. Также расскажу о конкретном случае из моей практики, где мне удалось защитить клиента и добиться отклонения многомиллионного иска о неустойке, который был предъявлен под предлогом кибератаки.

Почему хакерские атаки редко помогают избежать ответственности

Юридический принцип ясен: бизнес несёт повышенную ответственность. Обычно предприниматель обязан возместить убытки за нарушение обязательств, если не докажет, что это произошло из-за обстоятельств непреодолимой силы (форс-мажора). Хакерская атака может подпадать под это понятие, но суды рассматривают три ключевых вопроса:

  1. Какие меры по киберзащите были приняты до инцидента?
    Базовые меры информационной безопасности — это не просто опция, а необходимый элемент предпринимательской деятельности. Если компания не уделяла должного внимания вопросам ИБ, не разделяла сеть на сегменты, не создавала резервные копии и не разработала регламент реагирования на инциденты, то сложно говорить о форс-мажоре.
  2. Можно ли однозначно связать атаку с нарушением договора?
    Просто заявить о взломе недостаточно. Нужно доказать, что атака произошла в период исполнения конкретного обязательства, нарушила систему, необходимую для выполнения этого обязательства, и не оставила разумных альтернатив (например, использование резервной площадки, переход на ручной режим работы или резервный канал связи).
  3. Была ли атака действительно вне контроля компании?
    Для розничных сетей, АЗС или транспортных компаний суды могут признать хакерскую атаку как объективно непреодолимую, если она была необычной по своему способу и имела масштабные последствия. Однако для ИТ-провайдеров, хостинг-компаний или операторов сервисов такой подход не применим: обеспечение устойчивости и защиты инфраструктуры является их прямой обязанностью.

Практика показывает, что даже наличие соответствующих актов и документов не всегда спасает ситуацию.

Распространённые ошибки компаний при разрешении споров о кибератаках

В делах, дошедших до арбитражных судов и судов округов, можно выделить следующие типичные ошибки:

  1. Отсутствие чёткой договорной конструкции.
    В договоре либо не рассматриваются вопросы киберинцидентов, либо понятие «форс-мажор» сформулировано настолько расплывчато, что суды не признают хакерскую атаку как его часть.
  2. Неопределённость пределов ответственности исполнителя.
    Если из текста договора следует, что исполнитель несёт ответственность только за разработку и размещение сайта, но не за защиту инфраструктуры от полного уничтожения, суды не станут расширять его обязанности задним числом.
  3. Отсутствие понятного лога событий.
    Нет актов о простое, технических отчётов, логов с метками времени и переписки с провайдером. В результате контрагент может заявить: «Атака была, но ваша просрочка с этим не связана».
  4. Неправильный расчёт убытков и упущенной выгоды.
    Компании указывают суммы без сопоставления периода сбоя и динамики выручки, без документов о восстановительных работах и привязки к конкретным договорным обязательствам.

В результате хакерская атака не признаётся форс-мажором, неустойка или убытки взыскиваются, а ссылка на киберинцидент становится бесполезной.

Когда суд признает кибератаку форс-мажорным обстоятельством

Неверно утверждать, что кибератаки никогда не признаются форс-мажором. В судебной практике есть примеры, когда суд вставал на сторону исполнителя и признавал кибератаку как обстоятельство непреодолимой силы.

Основные критерии для признания кибератаки форс-мажором:

  1. Сбой был кратковременным, но объективным, что подтверждается провайдером или техническим исполнителем.
  2. Нарушение не было систематическим, и единичная задержка не повлияла на экономический результат контракта.
  3. Заказчик фактически получил услуги, а запрошенный штраф несоразмерен краткосрочному инциденту.
  4. Исполнитель своевременно уведомил контрагента, предоставил техническую информацию об инциденте и документы, подтверждающие масштаб и продолжительность атаки.

Например, в одном из дел сбой в системе отпуска топлива по картам произошёл из-за кибератаки. Исполнитель доказал, что атака была неожиданной, нестандартной и была устранена в разумные сроки. Заказчик не понёс реальных убытков, а штраф в многомиллионном размере противоречил принципу соразмерности.

Пример успешного решения проблемы: как мы предотвратили выплату многомиллионной неустойки из-за сбоя в работе сервиса.

Один из моих клиентов, предоставляющий услуги по управлению клиентским трафиком для сети региональных офлайн-магазинов и онлайн-продаж, столкнулся с серьёзной проблемой. Их высоконагруженный ИТ-сервис, через который проходят заказы, скидочные акции, интеграция с кассовыми системами и платёжными шлюзами, подвергся сложной комбинированной атаке. В один из пиковых периодов одновременно были зафиксированы DDoS-атаки и попытки внедрения вредоносного кода через уязвимости в сторонних модулях. В результате часть систем оказалась временно недоступной, включая корзину и личный кабинет покупателей, что отразилось как «простой сервиса» в внешних отчётах.

Заказчик, представляющий собой крупную торговую сеть, выдвинул следующие требования:

  • неустойка за каждый день простоя по условиям договора;
  • возмещение «упущенной выгоды», оценённой в несколько миллионов рублей;
  • компенсация репутационного ущерба.

Однако торговая сеть категорически отказалась признать кибератаку форс-мажором, утверждая, что любая ИТ-компания должна быть готова к таким рискам.

Нашей задачей в рамках защиты клиента стало:

  • доказать, что в данных обстоятельствах речь идёт о форс-мажоре;
  • подтвердить факт кибератаки и её нестандартный характер;
  • показать, что клиент принял достаточные меры для обеспечения информационной безопасности;
  • установить дисбаланс между размером заявленной неустойки и реальными последствиями инцидента.

Как мы защищали клиента от кибератаки

Я разработал стратегию защиты, состоящую из нескольких ключевых этапов.

  1. Техническая фиксация атаки.
    Вместе с ИТ-службой клиента и внешним провайдером мы собрали:
    • отчеты о нагрузке на каналы связи и серверы во время атаки; логи межсетевых экранов и систем предотвращения вторжений; заключение независимого эксперта по ИБ о характере и сложности атаки; письма от хостинг-провайдера о недоступности части ресурсов.
    Главное: мы представили суду не просто «падение сервиса», а конкретный механизм атаки и её временные рамки.
  2. Доказательство должной осмотрительности клиента.
    В материалах дела были представлены:
    • внутренние регламенты по ИБ, планы резервного копирования и тестирования; договоры на аутсорсинг ИБ-функций; результаты последнего аудита безопасности; подтверждение наличия резервной инфраструктуры и действия по её оперативному использованию.
    Это показало, что клиент не экономил на безопасности и не проявлял халатности.
  3. Анализ договора и пределов ответственности.
    В договоре были закреплены:
    • перечень обстоятельств непреодолимой силы, включая кибератаки и техногенные инциденты вне разумного контроля исполнителя; обязанность сторон оперативно уведомлять друг друга о форс-мажоре; ограничение ответственности по неустойке и указание на необходимость доказать реальный ущерб.
    Это стало весомым аргументом: ещё на стадии заключения договора стороны признали кибератаки отдельным, осознанно обозначенным риском.
  4. Разбор «убытков» заказчика.
    Мы последовательно оспорили:
    • расчёт упущенной выгоды (он не учитывал сезонность, динамику продаж, альтернативные каналы); наличие реального ущерба (часть заказов была успешно оформлена позже, часть ушла через другие каналы, запас товара не был «заморожен»); причинную связь между падением сервиса и экономическими результатами.
    По сути, мы показали, что значительная часть заявленных сумм — это не прямой ущерб, а попытка переложить все бизнес-риски на ИТ-партнёра.
  5. Акцент на соразмерности и добросовестности.
    Мы привлекли внимание суда к тому, что:
    • сбой был кратковременным и единичным;
    • в остальное время контракт исполнялся без претензий;
    • заявленный размер санкций многократно превышал реальные последствия инцидента.

Суд вынес решение, отклонив основную часть заявленных требований

  • признал наличие сложной хакерской атаки с признаками непреодолимости в данных условиях;
  • отметил наличие у компании развитой системы ИБ и регламентов по реагированию;
  • указал на отсутствие доказательств реального ущерба и экономической несоразмерности неустойки.

Основные требования заказчика о взыскании неустойки и «упущенной выгоды» были отклонены, а объём потенциальных потерь клиента сократился с многомиллионной до символической суммы.

Этот кейс вновь подтвердил: исход спора о кибератаке зависит не столько от ссылки на форс-мажор, сколько от грамотной подготовки договоров и системного подхода к кибербезопасности.

Что важно предусмотреть бизнесу: практические рекомендации

Чтобы не оказаться в ситуации, когда слово «кибератака» в суде не производит никакого впечатления, рекомендую:

  1. Прописать кибератаки в разделе о форс-мажоре.
    В договоре можно закрепить, что к обстоятельствам непреодолимой силы относятся в том числе крупные киберинциденты, выходящие за пределы разумного контроля сторон, при условии документального подтверждения их факта, масштаба и продолжительности.
  2. Чётко определить пределы ответственности.
    Для исполнителя-ИТ-компании важно:
    • разграничить ответственность за доступность сервиса и за «полное уничтожение инфраструктуры» из вне;
    • описать перечень мер ИБ, которые гарантированно обеспечиваются исполнителем;
    • указать, за что исполнитель не отвечает (например, за уязвимости сторонних модулей при отсутствии обновлений со стороны заказчика).
  3. Установить понятный порядок уведомления о киберинцидентах.
    Сроки, формат уведомления, список сведений (время, география, масштаб, предварительная оценка последствий). Это пригодится в суде для обоснования доказательной цепочки.
  4. Регулярно поддерживать в актуальном виде перечень ИБ документов.
    Регламенты, отчёты, аудиты, документы о резервном копировании, журналы событий — всё это превращается в аргументы в вашу пользу, когда контрагент заявляет: «Вы ничего не делали для защиты».
  5. Корректно считать убытки и неустойку.
    Если вы выступаете в роли заказчика и страдаете от кибератаки на стороне контрагента, заранее продумывайте, как будете подтверждать реальный ущерб и упущенную выгоду: сопоставимые периоды выручки, аналитика трафика, невозможность использовать альтернативные каналы продаж.

Когда стоит подключать адвоката по цифровому праву

Споры, связанные с кибератаками, всегда многоуровневые: они требуют понимания и техники, и договорного права, и процессуальной стратегии. На практике именно связка «адвокат + технари» позволяет:

  • вовремя собрать нужные доказательства,
  • выстроить юридически устойчивую позицию,
  • грамотно увязать технические детали с правовой логикой суда.

Если ваш бизнес столкнулся с кибератакой, из-за которой:

  • контрагент требует неустойку или убытки,
  • вы хотите взыскать ущерб с исполнителя,
  • нужно переписать договоры, чтобы они учитывали цифровые риски,

— имеет смысл подключить адвоката уже на этапе реагирования, а не в тот момент, когда спор дошёл до суда и часть доказательств уже утрачена.

В своей практике я помогаю компаниям выстраивать защиту по спорам, связанным с хакерскими атаками, сопровождать судебные процессы и одновременно «перепрошивать» договорную базу так, чтобы следующие киберинциденты не превращались в катастрофу.

Если вы понимаете, что ваш договор «не держит удар» цифровой реальности, или уже столкнулись с претензией из-за кибератаки — можно разобрать вашу ситуацию точечно: проанализировать договор, оценить перспективы в суде и выстроить понятный план действий.

Изображение от Freepik.

Репост:

Интересные статьи

6 декабря 2019 Во Франции умерла гражданка РФ… Наследственное дело с иностранным элементом: как решить правовой конфликт ... Читать далее
30 апреля 2020 Водный курьер Едва достигший совершеннолетия Р. обвинялся следственными органами в перевозке ... Читать далее
bribe 30 апреля 2020 Дело о даче взятке Уголовное дело по обвинению в даче взятке должностному лицу по ч.4 ст.291 УК ... Читать далее
Заказать звонок
Оставьте контакты, менеджер
перезвонит в ближайшее время

    Нажимая на кнопку, Вы соглашаетесь на обработку
    персональных данных