Artikkel ilmus 1. mai 2026 Delfi Ärilehes.

Delfi Ärileht avaldas hiljuti artikli, milles kirjeldati, kuidas Eesti ettevõte kaotas kelmuse tõttu 1,6 miljonit eurot. Artikli kohaselt saatsid kelmid ettevõttele näiliselt koostööpartnerilt pärineva e-kirja palvega tasuda arved varasemast erinevale pangakontole, mis osutus libakontoks. Eksperdid selgitavad, mida sellises olukorras ette võtta.

Äriühingu ja selle omanike seisukohast tekib küsimus, kellelt ja kuidas selliste pettuste tagajärjel kaotatud raha tagasi saada. Praktika on näidanud, et enamasti püütakse raha tagasi saada kolmest allikast, kirjutavad advokaadibüroo COBALT partner Rauno Ligi ja vandeadvokaat Henri Hansson.

Üldjuhul vaadatakse esmalt, kas raha on võimalik tagasi saada kurjategijalt, kes pettuse toime pani. Pettusest teadasaamisel tuleb teavitada koheselt panka, et proovida tehtud maksed külmutada või tagasi pöörata. Samuti on oluline kiirelt teavitada politseid, kes võib rahale jälile saada ning parema õnne korral selle tagastada.

Juba selles protsessis on soovituslik kaasata õigusnõustaja, et toimingud saaks tehtud korrektselt ja efektiivselt. Paraku ei õnnestu praktikas sageli kurjategijat tabada ega väljapetetud raha tagasi saada. Nii tekib olukord, kus kahju on küll tekkinud, kuid puudub isik, kellelt seda tagasi nõuda.

Abi võib olla ka kindlustusest

Teine allikas, kust ettevõttel võib õnnestuda tekkinud kahjule hüvitist saada, on kindlustus. See eeldab aga, et ettevõte on sõlminud kindlustuslepingu, mis katab pettusest tekkinud kahju. Isegi kui selline leping on sõlmitud, on oluline järgida lepingus sätestatud nõudeid kahjuteate esitamisel ning veenduda, et leping ei sisalda välistusi, mis kahju hüvitamist piiravad või välistavad.

Kindlustuslepingu tingimused on soovitatav põhjalikult läbi töötada juba enne lepingu sõlmimist ning vajadusel käia need läbi õigusnõustajaga. Samuti tuleks lepingu kehtivuse ajal tagada, et leping on endiselt ajakohane (näiteks vaadata üle hüvitiste piirid). Kindlustuskaitse puhul tasub silmas pidada, et kindlustusandja võib, sõltuvalt lepingus sisalduvatest tingimustest, hüvitise maksmise otsustamisel näiteks hinnata, kas ettevõte on rakendanud mõistlikke ennetavaid meetmeid pettuste tõkestamiseks.

Praktikas tuleb ette olukordi, kus ei õnnestu kurjategijat tabada ning ettevõte ei ole sõlminud kindlustuslepingut. Sellisel juhul võidakse kaaluda kolmandat varianti – esitada nõue pettusliku kande teinud töötaja vastu ja/või juhatuse liikme(te) vastu.

Näiteks ühes hiljutises kohtuasjas esitas MTÜ nõude oma töötaja vastu. Selles kaasuses tegi MTÜ-s raamatupidajana töötanud isik pettuslike e-kirjade alusel kolm ülekannet. Ülekannete tagajärjel tekkis MTÜ-l kümnetesse tuhandetesse eurodesse ulatuv kahju, millest osa õnnestus hiljem tagasi saada. MTÜ pöördus raamatupidaja vastu kohtusse. Kohus leidis, et raamatupidaja rikkus oma kohustusi, kuid vastutus jagunes lõpuks MTÜ-ga pooleks. Kohus võttis väljamõistetava hüvitise vähendamisel muu hulgas arvesse, et MTÜ ei olnud rakendanud sobilikke IT-alaseid turvameetmeid, töötajat küberturvalisuse küsimustes koolitanud ega tema tähelepanu õngitsuskirjade riskile juhtinud.

Seega ei pruugi ettevõte kogu kahju kohustusi rikkunud töötajalt kätte saada. Kui aga on tekkinud olukord, kus ettevõttes ei ole näiteks rakendatud IT-alaseid turvameetmeid ega töötajaid küberturvalisuse küsimustes koolitatud, võib omakorda tekkida küsimus juhatuse liikme vastutusest. Töötajate ja juhatuse liikmete seisukohalt on seega soovitatav, et nad mõtleksid läbi, kuidas pettuste ohu valguses korrektselt käituda ning millised on nende rolli ja vastutusega seotud riskid.

Eelnev on vaid näitlik ülevaade võimalikest tegutsemisalternatiividest. Sobiv tegutsemiskava selgub alles kaasuse asjaolude põhjal ning võib hõlmata ka laiemat tegevusplaani, sealhulgas võib ettevõttel olla kohustus teavitada intsidendist riiklikke asutusi. Kui ettevõttes on küll rakendatud IT-alaseid turvameetmeid, kuid need ei toiminud antud juhul korrektselt, võib esineda alus esitada nõue ka turvameetmeid või IT-alaseid lahendusi pakkunud kolmanda isiku vastu.

Praktikas kulutõhusaim meede rünnakutega tegelemiseks on nende ennetamine. Selleks on soovitatav muu hulgas:

  1. kehtestada kirjalikud sisekorraeeskirjad ja maksete tegemise kord ning tutvustada neid töötajatele – dokumentides panna paika, kuidas on kohane ettevõttesiseselt arveid kooskõlastada ja tasuda. Ülekannete (vähemalt suuremate) puhul kehtestada nelja silma printsiip;
  2. koolitada töötajaid regulaarselt küberriskide alal ja koolitustel osalemine dokumenteerida;
  3. lisaks reeglite kehtestamisele on soovitatav perioodiliselt testida, kas töötajad neid tegelikkuses järgivad. Selleks võib ettevõte korraldada simuleeritud pettusekatseid, saata näiteks testkirju, mis imiteerivad maksepalveid või muudetud arveldusrekvisiitidega arveid. Testimine aitab tuvastada nõrgad kohad ning annab väärtusliku sisendi koolituste ja protsesside täiendamiseks;
  4. rakendada IT-alaseid turvameetmeid vähemalt mõistlikus ulatuses, arvestades turupraktikat ja nõudeid. Vajalike ja mõistlike meetmete tuvastamine eeldab üldjuhul ettevõtte tegevuse riskihinnangut. Samuti tuleks nii riskihinnangut kui ka IT-alaseid turvameetmeid perioodiliselt uuendada. Artiklis viidatud kohtulahendis ringkonnakohus rõhutas, et pettuste ohvriks langemine on mitte üksnes töötaja, vaid ka tööandja turvarisk, millega tuleb äritegevuses arvestada; uurida ja kaaluda kindlustuskaitse võimalusi. Kindlustuskaitse olemasolu korral kontrollige, et see on ajakohane.
  5. Uurida näiteks kindlustust küberintsidentide jaoks ning D&O (directors & officers) kindlustust;
  6. töötaja tööle asumise perioodil veenduda, et uued töötajad saaksid piisava juhendamise ja toe ning et erilist tähelepanu pöörataks nende tutvustamisele sisekorra, protseduuride ja riskidega kohe töösuhte alguses;
  7. töötada välja plaan olukorraks, kui rünnak toimub. Sealhulgas määrata, kes on ettevõttesiseselt vastutav isik, kes: võtab ühendust pangaga; võtab ühendust õigusnõustajatega; teeb teavituse politseile; teavitab kindlustusandjat jne. Samuti tuleb tagada, et toimuks protsessi dokumenteerimine ja koostataks intsidendi kohta vajalikud raportid ja/või auditid, et vajaminev info oleks talletatud. Samuti aitab see eelduslikult kaardistada riskid ja puudujäägid ning välistada sarnased intsidendid tulevikus.