Аннотация. В статье анализируется возможность применения института форс-мажора в контексте сбоя программного обеспечения, вызванного обновлением системы безопасности CrowdStrike. Рассматривается влияние этого сбоя на исполнение гражданских обязательств, особенно в сфере транспортных услуг. Исследуются критерии непредвиденности и непредотвратимости, а также правоприменительная практика в системе общего права и континентального права, что позволяет определить условия, при которых организации могут быть освобождены от исполнения договора или от гражданско-правовой ответственности, вызванные сбоями в работе программного обеспечения. 

Ключевые слова: форс-мажор, обстоятельства непреодолимой силы, цифровизация гражданского оборота, программное обеспечение, кибербезопасность. 

В настоящий момент в мире самой распространенной операционной системой (далее - ОС) является Windows от корпорации Microsoft. В сравнении с другими ОС, такими как MacOS или Linux, Windows является основной системой для большинства компьютеров. По последним данным распространенность Windows составляет от 73.31%^[1] до 85.6%^[2]. Такие данные говорят о беспрецедентной популярности ОС от Microsoft, которую можем подтвердить и мы, стоит лишь заострить внимание на мониторах  компьютеров в школах, университетах, в государственных учреждениях, аэропортах и т.д. 

Вместе с тем, такое проникновение во все сферы жизни имеет свои издержки. Информационные технологии все чаще становятся причиной нарушения обязательств, невозможности их исполнения. Связано это с внедрением автоматизированных систем или специализированных ПО для ускорения процессов при исполнении обязательств, а также применением смарт-контрактов. Сочетание двух фактов - доминирование одной ОС и повсеместная компьютеризация приводят к тому, что сбой (хакерская атака, вирусы, конфликт сервисов и ОС) может нарушать работу ПО по всему миру, в разы увеличивая объемы имущественных потерь. Так, это может повлиять на возможность исполнения определенных гражданско-правовых обязательств, например, в случае с перевозками на транспорте, которые требуют использования определенного ПО для регистрации пассажиров, выдачи или регистрации багажа, распределении рейсов и т.д. В случае сбоев, многие корпорации могут быть привлечены к гражданско-правовой ответственности, поэтому крайне важно тщательно исследовать, когда возникают веские основания для ссылки на форс-мажор, чтобы обеспечить справедливость и защиту прав каждого в условиях информационной революции. 

Мы предлагаем рассмотреть данную проблему через призму одного из последних масштабных сбоев, вызванных обновлением американской компанией CrowdStrike программы Falcon Sensor, обеспечивающей информационную безопасность. Данная программа при нормальном функционировании должна защищать компьютеры от кибератак и других информационных угроз. Сбой произошел в середине июля 2024 г. из-за дефектного файла в обновлении, который содержал инструкции для Falcon Sensor. В результате компьютеры по всему миру уходили в бесконечный цикл перезагрузки или выдавали «синий экран смерти» (BSOD), то есть их использование по назначению было невозможно. 

По последним данным сбой затронул 8.5 миллионов компьютеров, а масштаб сбоев связан с тем, что Falcon Sensor обеспечивал безопасность именно корпоративных компьютерных систем, взаимосвязанных между собой и установленных у наиболее важных служб, например, в аэропортах и банках^[3]. 

В связи с этим, было ожидаемо, что к CrowdStrike в скором времени будут предъявлены соответствующие исковые требования. Так, американская авиакомпания Delta уже в конце июля начала нанимать юристов для подачи искового заявления к CrowdStrike и Microsoft о взыскании убытков, вызванных отменой 7000 рейсов из-за сбоя^[4]. Впоследствии, 25 октября 2024 г.  Delta подала иск к CrowdStrike в Высший суд округа Фултон, где содержались следующие требования:

а) CrowdStrike несет ответственность за убытки из собственных средств в размере более 500 миллионов долларов, 

б) а также за неуказанную сумму упущенной выгоды, расходов, включая гонорары адвокатов и «ущерб репутации и потерю будущих доходов»^[5].

В отношение данного иска вопрос применения форс-мажора не стоит, но есть основания полагать, что аналогичный иск может быть подан также к Microsoft, о чем заявляла сама авиакомпания Delta.

Возникает следующий вопрос: может ли в ситуации спора Delta v. Microsoft или пассажиры (поставщики) v. Delta быть применим институт форс-мажора? 

Прежде всего, для ответа на данный вопрос, необходимо проанализировать доктрину и практику применения института форс-мажор в системе общего права. Однако, для более глубокого анализа, также стоит обратиться к континентальной правовой системе и российской практике применения института обстоятельств непреодолимой силы. 

Начнем с подхода, устоявшегося в общем праве, где долгое время строго соблюдали принцип pacta sunt servanda, не допуская хоть какое-то изменение договора и накладывая на стороны абсолютное обязательство по исполнению контракта. Это видение договорных отношений было сформировано в прецеденте Paradine v. Jane (1647)^[6], где захват арендованного имущества немецким князем не освобождал арендатора от оплаты арендодателю суммы арендной платы. Это объяснялось тем, что арендатор взял на себя обязательство при заключении соглашения и должен его исполнять, несмотря на невозможность использовать арендованное имущество. 

Английские суды, осознавая чрезмерную жесткость позиции, сформированной в прецеденте Paradine v. Jane [1, с. 16], впоследствии начали развивать иной подход, называемый «frustration of contract» или тщетность договора. То есть на смену пришел прецедент Taylor v. Caldwell (1863)^[7], суть которого заключается в том, что если при заключении договора стороны имели определенную цель и ее достижению препятствуют объективные обстоятельства, то стороны могут быть освобождены от ответственности. С этого момента английское право признает наличие таких событий, которые делают исполнение договора невозможным, а его дальнейшее сохранение несправедливым [2, c. 61]. Наряду с делом Taylor v. Caldwell судами были сформированы еще несколько прецедентов с применением доктрины тщетности договора: 1) смерть человека (incapacity) и невозможность исполнения обязательства, которое тесно связано с личностью [3, c. 1265], 2) тщетность цели договора (frustration of purpose)^[8], 3) незаконность (illegality)^[9]. Таким образом, английский институт тщетности договора имеет иную природу, чем форс-мажор и фактически объединяет в себе три института: фактическую невозможность исполнения обязательства, юридическую невозможность исполнения обязательства, существенное изменение обстоятельств [4, c. 58].

В США также воспринята доктрина фрустрации и суды применяют ее аналогичным образом, но с определенными особенностями, характерными для права отдельных штатов. 

Понятие «форс-мажор» в англо-американском праве относится к оговорке в контрактах, где прямо установлен конкретный перечень событий, которые освобождают стороны от исполнения обязательства, то есть не является подразумеваемым условием. Например, нью-йоркские суды признают то или иное обстоятельство в качестве форс-мажора только в том случае, если они прямо прописаны в оговорке, то есть суды толкуют контракт буквально^[10]. Узкое толкование оговорки судом, даже при широкой формулировке обстоятельств, которые отнесены к форс-мажорам, не освобождает сторону от доказывания следующих обстоятельств: (1) непредвиденность и (2) фактическое исполнение договора невозможно или сильно затруднено [5]. Таким образом, в отличии от доктрины тщетности договора, применение института форс-мажора возможно только при наличии договорного условия. 

В ситуации с выходом из строя ОС Microsoft в связи с обновлением защитного ПО от CrowdStrike имеется возможность применения обоих институтов. Так, если говорить о тщетности договора, то мы имеем возможность применить условие о невозможности исполнения обязательства в случае недоступности источника получения предмета исполнения (failure of a particular source).  Таким источником мы можем признать корпоративную компьютерную систему, которая не может быть запущена из-за появления «синего экрана смерти». 

Теперь рассмотрим обязательство авиакомпании или аэропорта по отношению к пассажирам рейсов. В данном случае выдача билетов невозможна без использования компьютера, то есть аэропорт фактически лишились возможности для исполнения обязанности по выдаче билета - базы данных и системы, которая осуществляет поиск пассажира и сверку его документов с имеющимися данными. Условие о недоступности источника чаще иллюстрируется следующим примером: гибель урожая из-за засухи [5, c.131]. В нашем случае происходит сходная ситуация, где гибель урожая - это задержка авиарейсов, а засуха - сбой ОС, что позволяет освободить авиакомпанию или аэропорт от ответственности. 

В случае наличия форс-мажорных оговорок также существует возможность признания сбоя ОС в качестве форс-мажора. Например, непредвиденность в данном случае объясняется тем, что сбой вызван не вирусом или каким-то иным инструментом, целью которого определенно является нанесение ущерба корпоративной компьютерной системе. ПО CrowdStrike является программой, которая обеспечивает кибербезопасность, поэтому не ожидается участниками гражданских правоотношений, что она станет причиной массового сбоя компьютеров. Стоит также учитывать, что перед распространением обновления проводились тесты ПО CrowdStrike, которые не привели к сбою компьютеров на ОС Windows.  Таким образом, предвидеть данную ситуацию разумному субъекту гражданского оборота не представлялось возможным. 

В англо-американском праве существует возможность применения к рассматриваемой ситуации как института тщетности договора, так и форс-мажора. 

В континентальной правовой системе существуют привычные для российского юриста институты. Например, во Франции это «форс-мажор» (force majeure), а в Германии «непреодолимая сила» (Hohere Gewalt). Каждый из них имеет свои особенности, но вместе с тем, их объединяет одна самая важная и общая черта - открытый перечень обстоятельств, которые исключают ответственность [6, c. 5]. Это порождает и другое свойство форс-мажора в континентальном праве, а именно то, что отсутствуют какие-либо критерии определения того, относятся те или иные обстоятельства к форс-мажору или нет. 

Канашевский В.А. пишет, что между странами континентальной правовой системы имеются свои различия в области выделения критериев форс-мажора, которые сформированы доктриной и судебной практикой [7. c. 92].  Так, Высший Суд Германии дал следующее определение: «Непреодолимая сила - это обстоятельство, являющееся посторонним по отношению к деятельности должника, порожденное элементарными силами природы или действиями третьих лиц, непредвидимое при всем человеческом опыте и благоразумии, которое не может быть предотвращено при крайней степени заботливости и применении экономически допустимых средств, учета наступления которого невозможно требовать от должника в соответствии с частотой наступления этого обстоятельства» [8, c. 89]. Исходя из этого определения, мы можем выделить следующие критерии форса-мажора: 1) наличие посторонних обстоятельств (природы или действий третьих лиц) 2) непредвиденное обстоятельство и 3) невозможность его предотвращения. 

Французское право выделяет схожие критерии, например, внешний характер обстоятельств (cause etrangere), но он не имеет решающего значения, как в Германии, поэтому форс-мажор может быть признан и на основании соответствия двум критериям - непредвиденность и непредотвратимость. 

Российское право выделяет практически идентичные формулировки относительно критериев признания обстоятельств непреодолимой силы: чрезвычайность, то есть обстоятельства не являются обычными в данных условиях, и непредотвратимость, то есть любой иной участник не мог избежать наступления обстоятельства^[11]. В некоторых случаях российская судебная практика также приводит дополнительный критерий - непредвиденность его возникновения (стороны не предвидели и не могли предвидеть наступление такого обстоятельства)^[12].

Таким образом, французское, немецкое и российское право сходится в определении двух критериев - непредвиденность и непредотвратимость. Критерий чрезвычайности, сформированный в российском праве, не имеется во французском и немецком, где сформулирован иной критерий - внешний характер обстоятельств. 

Непредвиденность в ситуации с ПО CrowdStrike характеризуется тем же, что и в англо-американском праве, так как данное ПО не является вредоносной программой, она была создана для противоположной цели - защиты компьютеров от несанкционированного вмешательства вирусов или атак хакерских групп. Однако, обновление ПО в итоге привело к совершенно иному результату - сбою компьютеров по всему миру и массовой задержке рейсов в аэропортах, которые исчислялись тысячами. Непредотвратимость также проистекает из непредвиденности, так как ПО разрабатывается с помощью привлечения специалистов, которые имеются только у CrowdStrike, то, например, авиакомпания или аэропорт никак не могли предотвратить данный сбой. Во-первых, сотрудники этих организаций не владеют теми знаниями, которые имеются у разработчиков ПО, во-вторых, загрузка обновления ПО происходила автоматически, поэтому отсутствовала возможность для предотвращения массового сбоя. Исходя из этого, мы можем говорить о соблюдении двух общих критериев - непредвиденности и непредотвратимости. 

Внешний характер обстоятельств по французскому и немецкому праву проявляется в том, что фактически сбой произошел не по вине авиакомпаний или аэропорта, а из-за ненадлежащих действий разработчика ПО. В данном случае мы можем сравнить эту ситуацию с погодными условиями, потому что сбой схож со стихией, так как не может контролироваться и вместе с тем, разрушает все связи в корпоративной компьютерной среде. Схожее объяснение возможно применить и для критерия чрезвычайности по российскому праву. 

Стоит отметить, что необходимо также учитывать еще два элемента: 1) предпринимательский риск и 2) степень осмотрительности к выбору контрагентов, которые предоставляют ПО. 

Начнем с предпринимательского риска, который, как правило, часто выступает основанием для отказа в признании того или иного обстоятельства в качестве форс-мажора. Например, часто суды отказывают в признании односторонних ограничений ЕС форс-мажором, так как такие ограничения уже вводились в отношении России в 2014 году^[13]. Однако, важно заметить, что односторонние ограничения, которые были приняты в 2014 и в 2022 году, значительно отличаются по масштабу. Об этом же можно говорить и в случае со сбоем в работе ПО, так как предприниматель, действительно, может предвидеть то, что в работе ПО могут случиться некие проблемы, однако не может предвидеть такие масштабы, которые затрагивают всю систему и приводят к тому, к чему привел сбой из-за CrowdStrike. Если относить данную ситуацию к предпринимательскому риску, то предприниматели совершенно не смогут защитить свои права, так как в зоне их ответственности в таком случае будут любые разумные и неразумные, мировые и локальные ситуации.

В этом случае предлагаем обратить внимание на масштаб обстоятельств, что также практикуется в смежных с форс-мажором институтах. Так, в Проекте общей системы координат европейского частного права (DCFR ст.III-1:110) указано: «…должник в тот момент не принял во внимание, и нельзя было разумно ожидать, что он примет во внимание возможность или масштаб такого изменения обстоятельств…» [10] . 

Должная степень осмотрительности также влияет на возможность ссылки на форс-мажор. Например, необходимо учитывать выбор контрагента, который предоставляет соответствующее ПО. В нашем случае, ПО предоставляла CrowdStrike - американская компания, которая специализируется на информационной безопасности, и ранее она не становилась виновником масштабных нарушений работы компьютеров из-за собственного ПО. С этим связано то, что их ПО было установлено на многие компьютеры, то есть они выступали надежным контрагентом. Более того, Delta обращалась к CrowdStrike с просьбой отказаться от автоматического обновления ПО, но CrowdStrike отказалась это делать. Таким образом, можно говорить о том, что критерий должной осмотрительности выполнен. 

Вместе с тем, необходимо отметить, что есть основания для того, чтобы считать, что такие обстоятельства, как сбой ПО или ОС, не являются непредвиденными. Действительно, если имеется такая компьютерная программа, то можно предположить, что вероятность сбоя не стремится к нулю, какой бы совершенной она не была. Необходимо также учитывать, насколько часто в современном мире встречаются ошибки в программах и происходят хакерские атаки на критически важные инфраструктуры, например, аэропорты. Исходя из этого, нельзя однозначно говорить о том, что ситуация с CrowdStrike является основанием для освобождения от ответственности за нарушение договорных обязательств, например, при перевозке пассажиров. 

Изучив институт форс-мажора в различных правовых системах и проанализировав их применение через призму самого масштабного сбоя в 2024 году, мы можем сделать следующие выводы: 

1) В системе общего права сформировалась собственная доктрина “frustration of contract”, которая позволяет суду освободить стороны от исполнения контракта. По отношению к сбою ПО, существует возможность использовать такое основание, как недоступность источника получения предмета исполнения. Однако, ее применение возможно в единственном случае - невозможность выдачи посадочного билета из-за сбоя ПО. 

Возможность ссылки на форс-мажор в общем праве зависит от того, есть ли в соответствующем контракте оговорка, закрепляющая список событий, которые признаются сторонами форс-мажором. Но наличие, например, сбоя ПО не делает автоматически такое обстоятельство форс-мажором, необходимо соблюсти критерий непредвиденности и невозможность или затруднительность исполнения. 

2) В континентальной правовой системе, а именно в Германии и во Франции, сформировался общий подход к определению критериев, когда сторона может ссылаться на форс-мажор: непредвиденность и непредотвратимость. Сбой ПО CrowdStrike соответствует критерию непредвиденности. ПО предназначено для защиты от информационных угроз. То есть то, что должно было обеспечить защиту от вирусов и сбоев, привело к сбою, что не могли предвидеть, например, пользователи этого ПО - аэропорты, банки, авиакомпании. Эти же пользователи в сущности и не могли предвидеть возможность такого сбоя, так как не имели возможности участвовать в разработке и тестировании ПО. 

3) В российском праве существует схожий с Францией и Германией, но расширенный список критериев форс-мажора: чрезвычайность, непредотвратимость, непредвиденность. Сбой, который был спровоцирован CrowdStrike, также формально соответствует всем критериям. 

4) Важно учитывать, что ссылка на форс-мажор возможна, если событие вышло за пределы предпринимательского риска. Необходимо учитывать масштаб события, так как предприниматель также ограничен в своих возможностях прогнозировать собственные риски. 

Библиографический список:

1.    Петрова Д. С. Отпадение цели договора в российском праве. Сравнительно-правовое исследование : монография [Электронное издание] – Москва : М-Логос, 2023. – 232 с.

2.    Пензин М.И. Тщетность договора, наступающая вследствие существенного изменения обстоятельств // Закон. 2024. №4. С. 171 - 184.

3.    Treitel G.H. The Law of Contract. London, 2015. P. 1652.

4.    Архипов Д.А. Модификация обязательств при наступлении форс-мажора: теория и практика // Судья. 2020. N 7. С. 59 - 64.

5.    Петрова Д.С. Доктрина frustration of contract: ее сфера действия, признаки и последствия тщетности договора по английскому праву // Вестник экономического правосудия Российской Федерации. 2017. №10. С. 115 - 144.

6.    Брисов Ю.В. Форс-мажор в решениях английских и американских судов. [Электронный ресурс].URL:https://zakon.ru/blog/2020/4/5/fors-mazhor\_v\_resheniyah\_anglijskih\_i\_amerikanskih\_sudov (дата обращения: 06.11.2024).

7.    Смирнова М.Г. Классификация обстоятельств непреодолимой силы в цивилистической науке периода цифрового общества // Журнал российского права. 2024. №2. ЭПС «Система ГАРАНТ». 

8.    Канашевский В.А. Условия о форс-мажоре во внешнеэкономических контрактах // Журнал российского права. 2009. №2 (146). с. 91-99. 

9.    Коршунова Н.П. Непреодолимая сила: новый взгляд на старую проблему // Журнал российского права. 2008. N 3 (135). С. 89.

10.Principles, Definitions and Model Rules of European Private Law: Draft Common Frame of Reference (DCFR ) // [Электронный ресурс] URL: https://www.ccbe.eu/ (дата обращения: 09.11.2024).

^[1] Статистические данные о доле рынка операционных систем в мире за сентябрь 2024 года. StatCounter. URL: https://gs.statcounter.com (дата обращения: 05.11.2024).

^[2] NetMarketShare. Статистика доли рынка интернет-технологий на 2023 год. URL: https://www.netmarketshare.com/ (дата обращения: 05.11.2024).

^[3] Weston, D. Helping our customers through the CrowdStrike outage. Microsoft URL: https://blogs.microsoft.com/blog/2024/07/20/helping-our-customers-through-the-crowdstrike-outage/ (дата обращения: 05.11.2024).

^[4] Delta hires David Boies to seek damages from CrowdStrike, Microsoft after outage // CNBC URL:https://www.cnbc.com/2024/07/29/delta-hires-david-boies-to-seek-damages-from-crowdstrike-microsoft-.html. (дата обращения: 05.11.2024).

^[5] Delta sues CrowdStrike over software update that prompted mass flight cancellations // Reuters. URL:https://www.reuters.com/legal/delta-sues-crowdstrike-over-software-update-that-prompted-mass-flight-2024-10-25/ (дата обращения: 05.11.2024).

^[6] Paradine v. Jane [1647] EWHC KB J5.

^[7] Taylor & Anor v. Caldwell & Anor [1863] EWHC QB J1, 3 B & S 826, 122 ER 309.

^[8] Krell v. Henry [1903] 2 KB 740.

^[9] Cricklewood Property Investment Trust Ltd v. Leighton's Investment Trust Ltd [1945] AC 221.

^[10] Constellation Energy Servs. of New York, Inc. v. New Water St. Corp., 146 A.D.3d 557, 558 (N.Y. App. Div. 2017)

^[11] Пункт 8 Постановления Пленума ВС РФ от 24.03.2016 №7 «О применении судами некоторых положений Гражданского кодекса Российской Федерации об ответственности за нарушение обязательств».

^[12] Постановление АС Уральского округа от 17.03.2020 №Ф09-794/20 по делу №А76-13956/2019.

^[13] Постановление Третьего арбитражного апелляционного суда от 28.12.2022 по делу №А33-19507/2022; Постановление Первого арбитражного апелляционного суда от 26.06.2023 по делу №А39-7374/2022; Решение Арбитражного суда Республики Мордовия от 08.02.2023 по делу №А39-7372/2022, Постановление Арбитражного суда Восточно-Сибирского округа от 09.02.2023 по делу №А33-9477/2022, Постановление Одиннадцатого арбитражного апелляционного суда от 26.12.2022 по делу №А55-20412/2022