Riigi Infosüsteemi Ameti mullusest küberturvalisuse ülevaatest selgub, et 2018. aastal kirjutasid kümned Eesti ettevõtjad arvepettuste tõttu korstnasse kokku sadu tuhandeid eurosid. Kuna küberkaakide ind pole tänaseni raugenud, tuleb kõigil ettevõtjail sääraste rünnete ohuga arvestada ning end nende vastu kaitsta.
Arvepettus – mis ja kuidas?
Arvepettus on kuritegu, mille puhul saadab kauba müüjana või teenusepakkujana esinev kurjategija ostjale võltsitud arve või maksejuhised, mille alusel makstav raha jõuab mitte ostja tegeliku äripartneri, vaid hoopis kurjategija kontole.
Selleks hangib kurjategija esmalt ebaseadusliku juurdepääsu müüja ja/või ostja e-postkastile ning jälgib vaikselt nendevahelist kirjavahetust. Kui nüüd müüja saadab ostjale arve, kurjategija aktiveerub ja tegutseb vastavalt sellele, kelle postkasti ta sisse pääses.
- Kui kurjategijal on juurdepääs ostja postkastile, võtab ta sealt saadud arve, muudab selles ära müüja pangarekvisiidid, kustutab ära originaalarvet sisaldanud kirja ja saadab ostjale selleks loodud libakontolt (nt myygi.esindaja@eestifirma-ee.com) uue kirja koos muudetud arve ja väljamõeldud selgitusega, selle kohta, miks tuleb makse teha teisele kontole (ja mõnikord ka teisele saajale). Kuna SEPA maksete puhul kontrollivad pangad ainult kontonumbri (IBAN) korrektsust, ei ole saaja nime muutmine alati isegi vajalik. Libakiri ja arve näevad sõltuvalt kurjategija hoolikusest välja üsna õigete sarnased ning ainus nähtav erinevus on saatja meiliaadress.
- Kui kurjategijal on juurdepääs müüja postkastile, võtab ta sealt saadetud arve, muudab ära müüja pangarekvisiidid ja saadab selle ostjale koos selgitusega, mis võib sisaldada ka palvet eelmist arvet ignoreerida, kuna see oli “ekslikult” tehtud vanade rekvisiitidega. Pärast võltsarve ärasaatmist kustutab kurjategija seda sisaldanud libakirja müüja saadetud kirjade kaustast. Sellisel libakirjal on lisaks õigele väljanägemisele ka õige saatja aadress, mistõttu polegi ostjal võimalik pelgalt kirja uurides võltsingut tuvastada.
Kui ostja läheb õnge, kannab ta raha kurjategija määratud kontole, mis võib sageli olla avatud pangas, mis ei asu ei ostja ega müüja koduriigis — ikka selleks, et kurjategijal oleks lihtsam koos rahaga kaduda ja jäljed kustutada.
Jättes kõrvale kriminaalõiguslikud aspektid, on õnnestunud arvepettuse tagajärjed pehmelt öeldes ebamugavad nii võlgnikule kui ka võlausaldajale. Vaatame neid allpool lihtsuse mõttes nii müüja (võlausaldaja) kui ostja (võlgnik) vaatevinklist ja eeldame tüüpolukorda, kus ostja kohustus tasuda tehingujärgne makse on muutunud sissenõutavaks ja tuleb tasuda “vastavalt müüja poolt esitatud arvetele.”
Müüja olukord
Kui ostja teeb võltsitud arve alusel makse kellegi kolmanda kontole, pole müüja võlausaldajana oma raha saanud. Tema vaatevinklist on ostja ikka veel võlgu, rikkudes sellega oma lepingujärgset maksekohustust. Seega on müüja sundsituatsioonis, kus ta peab tegema pingutusi võla sissenõudmiseks ning maksekohustuse rikkumisega tekkinud kahju hüvitamiseks. Esmalt nõuab ta seda muidugi ostjalt, kuid ostja vastuväidete korral tuleb selleks võibolla pöörduda ostja asukohariigi kohtusse või kokkulepitud vahekohtusse.
Kui põhikohustuse ehk võlgnetava rahasumma nõude sissenõutavuse osas pigem õiguslikke probleeme ei tõusetu, siis müüja kõrvalnõuete (viivis, leppetrahv, kahju) osas tuleb silmas pidada, et need on sissenõutavad üksnes ulatuses, milles ostja põhikohustuse rikkumise eest lepingu või seaduse kohaselt vastutab, eelkõige kui tegemist on ostja süüga. Lisaks viivistele, leppetrahvile ja kahjunõudele on seega vaieldav ka muude õiguskaitsevahendite rakendamise lubatavus. Näiteks juhul, kui lepingus nähakse ette ostja süüline vastutus oma kohustuste rikkumise eest, on vaieldav, kas müüjal on arvepettuse korral õigus rakendada lepingus maksekohustuse rikkumisega seotud tagajärgi (intressimuudatus, oma kohustuste täitmisest keeldumine, tagatise realiseerimine vm).
Võlgniku vastutuse ulatuse puhul mängib rolli ka asjaolu, kas arvepettus sai võimalikuks võlausaldaja enda hoolsuskohustuse rikkumise tõttu (nt eirab müüja elementaarseid IT-turvanõudeid, mistõttu arve võltsiti juba müüja postkastis). Esimene kontrollküsimus võiks seega olla, kas ostja on müüjalt üldse arve saanudki? Kui müüja polegi ostjale arvet esitanud (seda tegi keegi teine) või ostja seda kätte saanud (ostja sai kätte libaarve), siis kas küsimust ostja vastutusest saabki tekkida?
Ostja olukord
Ostja on arvepettuse tagajärjel olukorras, kus ta rikub oma maksekohustust müüja ees.
Võlaõigusseaduse § 76–77 ja 79 kohaselt tuleb kohustus täita vastavalt lepingule või seadusele, lähtudes hea usu ja mõistlikkuse põhimõttest, arvestades tava ja praktikat ning õigele isikule, õigel ajal, õiges kohas, õigel viisil ja õige kvaliteediga. Rahasumma maksmisel libaarvel märgitud (petturi)kontole ei ole neist nõuetest ükski täidetud, sest võlausaldajast müüja pole makset ju saanud. Järelikult on ostja oma maksekohustust rikkunud ja müüja võib asuda võlga sisse nõudma (VÕS § 108) ning kasutama muid kohustuse rikkumise puhuks kokkulepitud või seadusest tulenevaid õiguskaitsevahendeid (nt viivis, leppetrahv, lepingust taganemine või selle ülesütlemine, kahju hüvitamine, tagatiste realiseerimine).
Ostja vaatevinklist omab tähtsust see, kas rikkumine (rahasumma maksmisega hilinemine) on vabandatav, kas ta vastutab rikkumise eest süüliselt või süüst sõltumata ning milliseid seadusest või lepingust tulenevaid õiguskaitsevahendeid on müüjal õigus rakendada.
Rikkumine on üldjuhul vabandatav üksnes vääramatu jõu esinemise korral. Kas arvepettus peaks olema selline asjaolu, mida võlgnik ei saanud mõjutada ega mõistlikult tekkimise (lepingu sõlmimise) ajal arvestada (ette näha)?
Ostja süü võib seisneda tahtluses (so osalemine pettuses), hooletuses (ei järgi käibes vajalikku hoolt) või raskes hooletuses (käibes vajaliku hoole olulisel määral järgimata jätmine).
Arvepettuse korral on mõlemad küsimused hinnangulised. Vastused neile sõltuvad pettuse täpsematest asjaoludest (kus toimus arve võltsimine, kas turvanõuded olid kehtestatud ja kas neid täideti, kas järgiti mingit kontrollisüsteemi, kas võltsimise põhjustas müüja-poolne hooletus, milline oli poolte vaheline tavaline arveldus- ja suhtluspraktika jm) ning mõjutavad eelkõige ostja vastutust kõrvalnõuete eest. Vastavate asjaolude tõendamiskoormis lasub ostjal. Ennekõike peab ostja tõendama, et ta ei teadnud ega pidanudki teadma, et arve pole müüjalt või et sellel on vale konto.
Kuidas ennetada?
Kelmid on üldiselt korralikest inimestest alati sammu võrra ees ja seetõttu pole nende ohvriks langemist võimalik täielikult välistada. Küll aga tasub tunnistada, et arvepettused on reaalsed ja levinud ning rakendada ennetavaid meetmeid, et nende tagajärgi leevendada:
- IT-turvameetmed – ennekõike tuleks rakendada oma e-posti serveris elementaarsed turvameetmed (nt kaheastmeline autentimine), et kelmid ei pääseks väljuvaid või saabuvaid sõnumeid võltsima;
- maksete eelkontroll – ilmselt lihtsaim viis arvepettust vältida on võlausaldajalt arve andmed üle kontrollida. Maksete suure hulga korral on see muidugi koormav, seetõttu sõltub jooksva kontrolli tihedus ja korraldus ettevõtja riskiisust ja organisatsioonilisest võimekusest;
- kokkulepe maksetingimuste ja -protseduuride kohta – pooltel on võimalik lepingu tingimustes arvepettuse võimalusega arvestada ja leppida vastastikku kokku mõistlik ja mõlema poole huve arvestav viis selliste situatsioonide lahendamiseks – ennekõike on maksja huvides välistada olukord, kus valearve kohaselt makse tegemisele järgneks ka vastutus kõigi teiste lepingu rikkumisest tulenevate kohustuste eest. Sel viisil on võimalik vähendada muutliku kohtupraktika võimalikku mõju vaidlussituatsioonis – nägime ülal, et arvepettuse olukorras on poole olukord suuresti sõltuv tõenditest ja kohtu hinnangust. Seejuures tuleb mõelda ka lepingule kohalduvale õigusele – kui poolte kokkulepe on vastuolus kohalduva õiguse imperatiivse normiga, kohaldab kohus kokkuleppe asemel seda normi;
- kindlustus – kuivõrd kurjategija võib jääda tabamatuks või osutuda võimetuks hüvitama pooltele tekkinud kahju, peaks nii müüja kui ostja peaks mõtlema võimaliku pettuseriski kindlustamisele.
Karistusõiguslikult on arvepettuse puhul tegemist arvutikelmusega, st teisele isikule varalise kahju tekitamisega arvutiprogrammi või andmete ebaseadusliku sisestamise, muutmise, kustutamise, rikkumise, sulustamise või muul viisil andmetöötlusprotsessi ebaseadusliku sekkumisega varalise kasu saamise eesmärgil, mille eest karistusseadustiku § 213 näeb ette rahalise karistuse või raskendavatel asjaoludel kuni viieaastase vangistuse. Karistamiseks on aga vaja kuriteo toimepanija või toimepanijad esmalt tuvastada ning seejärel nende süü tõendada.
Nagu eelpool märgitud, kasutavad arvepetturid sageli kolmandates riikides asuvaid pangakontosid, samuti võivad nad välisriikides registreerida ka oma libadomeenid ning kasutada oma jälgede täiendavaks segamiseks ka välismaiseid interneti ühendusteenuse pakkujaid. Seega on vähegi hoolikamate arvepetturite tabamiseks suure tõenäosusega vajalik rahvusvahelise politseioperatsiooni korraldamine.
Kuidas reageerida?
Kuigi kaakide kättesaamise tõenäosus on väike, tasub siiski nii müüjal kui ostjal esitada kuriteoteade oma riigi politseile ja küberintsidentide uurimiskeskusele, kui selline on vastavas riigis olemas. Eestis on õigeim kontaktikanal Politsei- ja piirivalveameti küberkuritegude büroo, mille kaudu on võimalik teavitada ka Riigi Infosüsteemi Ameti juures tegutsevat küberintsidentide käsitlemise osakonda CERT-EE. Kiirest teavitamisest on kasu — RIA andmetel õnnestus ühel Eesti ettevõtjal mullu detsembris tagasi saada mitukümmend tuhat eurot, mille nende klient oli kurjategijate poolt ühes Saksamaa pangas avatud kontole kandnud.
Kindlasti tasub säilitada, ja paluda ka oma äripartneril säilitada kogu kavandatud tehinguga seotud e-kirjavahetus, sealhulgas mõistagi ka libaarveid sisaldanud võltskirjad, ning võimalusel ka oma e-posti serveri logifailid. Kui politsei ja/või CERT asja uurima hakkavad, võib neil sellest teabest abi olla.
Kokkuvõte
Arvepettustega seotud riskide vähendamiseks tasub üheskoos rakendada nii infotehnoloogilisi, organisatsioonilisi kui õiguslikke meetmeid. Kui aga olete juba kurjategijate ohvriks langenud, tuleb tagada tõendite säilimine ning teavitada juhtunust võimalikult kiiresti pädevaid võimuorganeid. Ning kõige halvemal juhul — kui raha on “vasakule” läinud ja kurjategijate jäljed vette kadunud — võib tekkida vajadus hakata oma suhteid äripartneriga kohtus klaarima.