Рейтинг@Mail.ru
home

16.08.2021

Платежный гамбит

Банк России призвал кредитные организации внедрить простые меры по предупреждению мошенничества. Но на практике они не реализуются, а вина чаще всего возлагается на самих клиентов. Не всегда удается привлечь к ответственности и по существу потворствующих злоумышленникам операторов сотовой связи. Тогда как федеральный закон гарантирует потребителям возмещение причиненного таким хищением ущерба.

16.08.2021. АПИ — По оценке регулятора, только 56 процентов несанкционированных списаний связано с так называемой социальной инженерией – получением необходимых для совершения операций путем обмана клиента. Жертвой такого мошенничества чаще всего становятся пенсионеры и другие уязвимые категории граждан. Во всех остальных случаях кредитные организации обязаны вернуть похищенные без участия владельца счета средства.

Клиент всегда неправ

Действующий уже больше восьми лет федеральный закон предусматривает специальный механизм защиты клиентов кредитных организаций, использующих пластиковые карточки, интернет-банкинг и иные удаленные средства управления счетами (так называемые электронные средства платежа). Прежде всего на банки возлагается обязанность информировать владельцев таких счетов о совершенных операциях (путем отправки SMS-сообщений, по электронной почте и иными способами). В случае выявления несанкционированного списания клиент должен сообщить об этом в течение следующего за днем получения сообщения дня. В этом случае банк обязан возместить причиненный ущерб, если только не докажет вину самого потребителя и нарушение им порядка использования электронного средства платежа.

Однако практика свидетельствует, что в подавляющем большинстве случаев такая вина клиента по существу презюмируется. По существу банки и служители Фемиды априори исключают мошенничество. Предполагается, что любое списание происходит, как минимум, при неумышленном соучастии владельца счета, который не обеспечил конфиденциальность необходимых для проведения операции сведений или допустил иную халатность. Тогда как Конституционный суд России неоднократно подчеркивал, что бремя предоставления доказательств нарушений со стороны потребителя закон возлагает на банки и иных операторов по переводу денежных средств.

В такой ситуации оказался, в частности, клиент «Бинбанка» (ныне – банк «Открытие») белгородец Юрий Погорелов. В десятом часу вечера на его мобильный телефон стали поступать SMS-сообщения о списании. В 21 час 31 минуту гражданин позвонил в кредитную организацию, а на следующий день – подал письменное заявление. Проверка показала, что за полчаса было проведено 32 операции по оплате товаров, подтвержденные одноразовыми паролями. «Истцом не представлено доказательств, что оспариваемые им операции совершены без его ведома и соответствующего полномочия. На протяжении около 30 минут истец не предпринимал никаких действий, чтобы заблокировать карту», – заключили служители Фемиды, подтверждая вину потребителя в хищении у него 95 тысяч рублей.

Аналогичное решение было принято и по иску пользователя пенсионной карты Maestro ПАО «Сбербанк России» москвички Елены Митеничевой. Она немедленно уведомила банк о краже смартфона с приложением «Сбербанк ОнЛ@йн» и просила заблокировать онлайн-доступ к счетам. Но на блокировку кредитной организации понадобилось почти четыре часа, за которые со счета Елены Митеничевой через мобильное приложение было списано 625 тысяч рублей. Отклоняя ее требования о возмещении причиненного ущерба, суд пришел к выводу, что согласно условиям договора клиент несет ответственность за все операции, проводимые через систему «Сбербанк ОнЛ@йн» с использованием предусмотренных условиями банковского обслуживания средств его идентификации и аутентификации. «Операции по списанию денег со счетов истца совершались банком при идентификации клиента как Митеничевой Е.Б. До проведения операций сообщений об утрате карты от истца в банк не поступало, также не было обращений и об ее блокировке», – отмечается в решении суда. Кассационная коллегия поддержала эти выводы.

Не усмотрели служители Фемиды и оснований для возврата переведенных со счета Андрея Мельшияна 66,6 тысячи рублей. «Спорные операции были подтверждены с помощью одноразовых паролей, направленных банком на телефон истца и доступных только ему. При заключении договоров с банком истец принял на себя обязательство хранить информацию в недоступном для третьих лиц месте», – заключил суд.

Через платежный терминал «Сбера» с карты петербуржца Валерия Данильченко было похищено 380 тысяч рублей. Банк добровольно вернул почти треть спорной суммы, списанной уже после обращения о блокировке. Во взыскании остальной части было отказано: суд пришел к выводу, что клиент нарушил условие договора не передавать никому карту и ПИН-код, которые были использованы при проведении операции. Вместе с тем кредитная организация рассматривала заявление о возврате больше полугода, нарушив тем самым право потребителя. В качестве компенсации причиненного морального вреда суд взыскал в пользу Валерия Данильченко 45 тысяч рублей (в том числе штраф).

Банковский риск

Победить АО «Альфа-Банк» удалось жительнице Владивостока Екатерине Белоусовой. Отказывая в возврате списанных с ее счета 54 тысяч рублей, кредитная организация утверждала о невозможности отмены операции, которая была проведена по карте с применением метода 3D-Secure – полученного на мобильный телефон пользователя одноразового пароля. Но суд пришел к выводу об отсутствии доказательств нарушения условия договора со стороны клиента, которая в установленные сроки – на следующий день после совершения операции, сообщила о факте хищения. «Банк как субъект профессиональной предпринимательской деятельности в области проведения операций по счетам клиентов, осуществляющий их с определенной степенью риска, должен нести ответственность в виде возмещения убытков, причиненных неправомерным списанием принадлежащих клиенту денежных средств, как за ненадлежащим образом оказанную услугу», – заключил кассационный суд. В пользу Екатерины Белоусовой были взысканы вся спорная сумма и 50-процентный штраф за неисполнение законных требований потребителя.

В споре с жителем Волгоградской области Максимом Перминовым банк «Открытие» не смог доказать, что отправлял клиенту одноразовые пароли, – в представленной оператором сотовой связи детализации эти SMS-сообщения отсутствовали. А проведенная в рамках уголовного дела компьютерная экспертиза смартфона пользователя с мобильным приложением подтвердила отсутствие на нем вредоносных программ (вирусов). «Бремя доказывания обстоятельств, освобождающих от ответственности за неисполнение либо ненадлежащее исполнение обязательства, лежит на исполнителе (банке)», – констатировали служители Фемиды, удовлетворяя иск потребителя (читайте – Банк «Открытие» обязали заплатить за мошенников).

Новгородец Владимир Болотских потерял свою карту в Стамбуле, почти сразу неизвестные похитили с нее 226,7 тысячи рублей. «Оспоренные истцом операции были проведены путем считывания чипа карты без введения ПИН-кода. Сведения о направлении истцу SMS-сообщений с кодами подтверждения в материалах дела также отсутствуют», – отмечается в решении. Суд обязал банк вернуть списанную сумму, а также выплатить клиенту и защищавшему его интересы обществу потребителей штраф.

Вторая рука в помощь

По оценкам Банка России, количество хищений средств со счетов граждан с использованием социальной инженерии продолжает расти опережающими темпами. «Теряет свою актуальность мошенническая легенда «звонок из банка / Центрального Банка» – злоумышленники переориентируются на новые сценарии, в частности, наиболее часто фиксируются звонки из «правоохранительных органов / органов государственной власти».

На самом деле для защиты от мошенничества с применением методов социальной инженерии клиенту достаточно установить лимиты на проведение дистанционных платежей. На основании предварительного письменного заявления многие кредитные организации по существу блокируют возможность перевода денег через мобильные приложения или интернет-банк, либо ограничивают размер такого платежа указанной клиентом суммой. 

Однако рассмотрение таких требований потребителей, в том числе относящихся к уязвимой категории (преклонный возраст, инвалидность и др.), не является обязательным – только в середине августа регулятор рекомендовал кредитным организациям реализовать такие меры и даже самим инициировать ограничение операций. В качестве дополнительной меры защиты от мошенничества заместитель председателя Банка России Сергей Швецов предлагает ввести сервис «вторых рук», когда клиент сможет назначить своего родственника или иное доверенное лицо своим помощником. Он будет получать уведомления о планируемых операциях с использованием цифровых каналов и сможет подтверждать или отклонять их. «Если он заметит какую-то необычную активность, то сможет уточнить у сопровождаемого, что происходит, и при выявлении мошенничества отговорить от совершения операции. Инициировать подключение сервиса может только сам клиент, а при получении запроса на отключение такой услуги банкам рекомендуется проверять просьбу на предмет потенциального мошенничества», – пояснили в пресс-службе регулятора.

Крупнейшие участники финансового рынка – «Сбербанк» и ВТБ, пока не смогли подтвердить АПИ намерение реализовать такие меры в ближайшей перспективе. При этом большинство кредитных организаций позволяют пользователям устанавливать суточные лимиты через мобильные приложения или интернет-банк. Таким образом, получивший к ним доступ злоумышленник может увеличить лимит и вывести практически любую сумму.

Обманутые души

Пока же в спорах с банками вина за несанкционированные списания практически всегда возлагается на самих потерпевших. Так, жительница столицы Ирина Завадовская оспаривала списание с ее счета в банке «Хоум Кредит» 895 тысяч рублей. «До совершения указанных операций истец в течение 20-30 минут вела телефонные переговоры с неустановленными лицами, которым сообщила все реквизиты своих банковских карты, а также все цифровые SMS-коды, которые приходили на ее мобильный телефон от банка. Со стороны ответчика не было допущено каких-либо виновных неправомерных действий (бездействия) при предоставлении истцу услуг по обслуживанию ее банковских карт с использованием системы электронных платежей», – констатировал суд.

Не удалось вернуть 95 тысяч рублей и пермяку Дмитрию Дубровину. Он не отрицал, что сам перевел их некой Арине Середенко по указанию позвонившего ему «Сергея Мельника», представившегося сотрудником службы безопасности Центрального банка РФ. При этом клиент был убежден, что средства поступают на резервный счет на страховую ячейку банка. «Введение истца в заблуждение третьими лицами не является основанием для возложения на ответчика обязанности возместить причиненный ущерб», – заключил суд, отклоняя требования потребителя. Такое же решение было принято и по иску красноярки Елены Чепрасовой, со счета которой в банке «Тинькофф» исчезло 23 тысячи рублей. «Доказательств, что снятие денежных средств произведено в результате неправомерных действий банка, не представлено», – отмечается в определении кассационной коллегии (АПИ писало об этих спорах – Банки не отвечают за поддавшихся на уговоры мошенников клиентов).

Мобильный двойник

Также в середине августа эксперты сообщили о активизации мошенников, использующих для хищения средств со счетов дубликаты SIM-карт. Чаще всего они выдаются в офисах операторов связи по подложным доверенностям. «С точки зрения банков – это даже не мошенничество. Потому что двухфакторные авторизации на SIM-картах являются подтверждением личности. Если перевели деньги с помощью вашей SIM-карты, значит, это сделали вы. Выходит, что современная сим-карта оказывается важнее и весомее паспорта, а ее кража – опаснее утери основного документа гражданина страны», – убежден эксперт компании Eset Станислав Жураковский.

На самом деле этот способ хищения используется уже много лет. При этом сотовые компании отрицают свою вину. «При получении контроля над SIM-картой сам по себе текст SMS-сообщений не является достаточным для получения дистанционного доступа к банковскому счету, так как для осуществления операций необходимо знать и другую идентифицирующую клиента информацию – логин и пароль, данные банковской карты и прочие», – пояснили АПИ в пресс-службе «МТС». В ПАО «Мегафон» убеждены, что «ответственность за замену SIM-карты по поддельным документам несут злоумышленники».

Практика свидетельствует, что при рассмотрении таких споров служители Фемиды возлагают ответственность в первую очередь на операторов. Такое решение, в частности, было принято по иску москвички Ксении Шотиной. «В результате неправомерных действий неустановленного лица, которые стали возможны вследствие нарушения ОАО «МТС» правил оказания услуг связи, истцу были причинены убытки, списанные со счета без ее волеизъявления», – заключили служители Фемиды. Вину оператора подтвердил и Верховный суд России, включивший выводы по этому делу в де-факто обязательный для всех служителей Фемиды обзор практики (читайте – Ответственность за мошенничества с интернет-банкингом возложили на сотовые компании).

Аналогичное решение было принято и в отношении ПАО «ВымпелКом» (торговая марка – «Билайн»). Благодаря выданному аферистам дубликату SIM-карты Олега Крутько с его счета в «Промсвязьбанке» было списано 158 тысяч рублей. «Третьему лицу стали доступны сообщения, передаваемые телефонной связью для истца как для абонента, в частности, запросы банка на введение одноразовых паролей, передаваемых SMS-сообщением», – заключили служители Фемиды. При пересмотре дела суд взыскал спорную сумму и 50-процентный штраф с оператора.

Героем детективной истории оказался уфимец Павел Новицкий, полгода проведший в дрезденском следственном изоляторе. Когда немецкие власти сняли с него обвинения и он смог вернуться домой, выяснилось, что мобильный телефон не работает, а со счетов в пяти банках исчезло 10 млн рублей. Причем в офисе «ВымпелКома» ему отказались даже объяснять ситуацию, так как в анкете были указаны чужие паспортные данные. Суд не усмотрел вины в действиях кредитных организаций, так как все проведенные операции были подтверждены с использованием двойной аутентификации – отправленными одноразовыми паролями. Тогда как оператор выдал дубликат «симки» неустановленному лицу и по его заявлению поменял персональные данные абонента. «На оператора связи возложена обязанность по проверке достоверности сведений об абоненте, что предполагает недопустимость выдачи дубликата SIM-карты третьим лицам и предоставления им доступа к абонентскому номеру клиента без его распоряжения об этом и без передачи им своих полномочий другому лицу», – констатировал суд, возлагая на ПАО «ВымпелКом» ответственность за причиненный пользователю услуг связи ущерб.

Отметим, что для предупреждения таких инцидентов сотовые компании в случае смены SIM-карты, в том числе самим абонентом, на 24 часа блокируют поступление на них SMS-сообщений от банков. Некоторые операторы (например, «Билайн» и Tele2) предоставляют абоненту возможность предварительно запретить совершение каких-либо действий представителю. Кроме того, большинство кредитных организаций выявляют факты смены «симки» и предпринимают дополнительные меры по идентификации пользователя номера.

Справка

По данным Банка России, в первом квартале этого года общий объем проведенных без согласия клиента операций вырос на 57 процентов – до почти 2,9 млрд рублей. Средняя сумма списания – 12 тысяч рублей. Банки вернули клиентам только 7,3 процента похищенных средств.

В российских кредитных организациях гражданами открыто 228,2 млн счетов с дистанционным доступом, в том числе 167,6 млн можно управлять с использованием средств мобильной связи.

Мнения

 

Алексей Новоселов, юрист адвокатского бюро «НБ»

В случае кражи или получения дубликата SIM-карт клиент фактически теряет связь с банком. На зарегистрированный в банкӗ номер телефона ему отправляются сообщения о смене пароля и о проведенных операциях, но их получает мошенник. В такой̆ ситуации кредитная организация добросовестно исполнила свои обязательства – выслала информацию на согласованный с клиентом номер. И она не виновата в утере клиентом контроля над своим мобильным номером. Поэтому в такой̆ ситуации истребовать с банка денежные средства вряд ли получится.

При этом в отдельных случаях ответственность все-таки ложится на банк. Так, Верховный суд рассматривал дело, в котором мошенники получили дубликат SIM-карты клиента по поддельной доверенности, а затем вывели деньги с киви-кошелька клиента. Суд пришел к выводу, что отвечать должны как банк, так и оператор связи, так как банк и оператор связи ненадлежащим образом исполняли свои обязанности по сохранению безопасности и недопущению несанкционированных списаний. У банка логин для входа в приложение представлял собой номер телефона, а оператор связи выдал дубликат неуполномоченному лицу и не представил в последующем ни копию доверенности, ни копию паспорта обратившегося лица.

В настоящее время банки и операторы стремятся к упрощению процедур и облегчению для клиентов доступа к их услугам. Но, делая это, они, к сожалению, создают дополнительные возможности для мошенников. Учитывая, что номер телефона в настоящее время повсеместно используется для аутентификации граждан, его кража вполне сопоставима с кражей паспорта. Или даже хуже – зачастую SIM-карта позволяет злоумышленникам немедленно извлекать экономическую выгоду, не «светясь» при этом лично.

Поэтому представляется целесообразным ужесточить ответственность лиц, осуществляющих хранение и переоформление мобильных телефонных номеров, а также установить минимальные требования к проверочным мероприятиям при выдаче SIM-карт.

Александр Дарданов, управляющий директор центра развития сотрудничества с клиентами Уральского банка реконструкции и развития

Зачастую причиной мошеннических операций через интернет-банк является именно несоблюдение правил безопасности самими клиентами. Если пользователь передал информацию о данных банковской карты третьему лицу и денежные средства уже были направлены получателю – банк может лишь оказать содействие в поиске злоумышленников и информационную поддержку правоохранительным органам.

У клиента всегда есть возможность установить лимит на операции в дистанционных каналах взаимодействия. Кроме того, потребитель может выпустить отдельную карту для покупок в Интернете (как правило, цифровую), тем самым обезопасив свой основной счет.

Действительно, еще недавно мошенники не имели доступа к SIM-картам клиента. Однако за последний год, в период пандемии, все чаще стали появляться обращения, связанные с утерей контроля над мобильными номерами. В данном случае банк опять же может выступать лишь в качестве «помощника» в поиске мошенников.

С другой стороны, все больше клиентов, имеющих гаджет с поддержкой двух SIM-карт, стали подключать отдельный номер для финансовых платежей, который не используется в «обычной жизни». В этом случае мошенникам довольно сложно получить информацию о том, какую SIM-карту необходимо клонировать. Получая же доступ к обычному номеру, преступник не сможет «пробить» защиту банковских приложений, а клиент тем самым видит попытки несанкционированного входа.

Анастасия Зибинина, юрист Адвокатского бюро «Прайм Эдвайс»

Закон возлагает на клиента обязанность соблюдать меры безопасности при использовании интернет-банка и мобильного приложения, а также вовремя реагировать на подозрительную активность и оперативно информировать о ней банк. При этом не совсем понятно, что именно будет являться доказательством нарушения клиентом правил использования электронного средства платежа, которое обернулось несанкционированным списанием.

Желая себя обезопасить, банки нередко пытаются переложить риски на клиента. Хотя именно кредитная организация должна обеспечить достаточную безопасность систем дистанционного банковского обслуживания, а операторы сотовой связи – безопасное использование SIM-карт. Однако границы ответственности довольно размыты и подлежат оценке в каждом конкретном случае. 

Как правило, типовыми договорами на банковское обслуживание предусмотрена обязанность клиента незамедлительно уведомлять кредитную организацию в случае утраты или смены номера телефона, а также о необходимости обращения к оператору сотовой связи при внезапном прекращении работы SIM-карты. Все эти действия не только предотвращают риск несанкционированного доступа к личной информации, но и оставляют возможность клиенту на возмещение банком похищенных средств.

Сергей Васильев, частнопрактикующий юрист, Пермь

Практика рассмотрения споров о несанкционированных операциях по банковским счетам свидетельствует о проблеме совершения любых дистанционных сделок. Да, мошенники могут подделать собственноручную подпись, предъявить поддельный паспорт или использовать дубликат банковской карты и похищенный PIN-код. Но у легального клиента чаще всего есть возможность доказать, что в момент проведения операции в офисе кредитной организации или в банкомате он находился в другом месте и, следовательно, не мог ее совершать. Также можно рассчитывать на почерковедческую экспертизу, записи с камер наблюдения, свидетелей и другие доказательства.

При проведении онлайн-платежей банк не видит клиента, а лишь получает от него электронные поручения. Поэтому, по логике, кредитная организация не может отвечать за действия использующих реквизиты легального пользователя мошенников – вводящих настоящие логин и пароль, одноразовый код из SMS-сообщения и так далее.

С другой стороны, федеральный закон предусматривает распределение рисков и обязывает банк возместить списанную сумму, если клиент в определенное время уведомит о несанкционированной операции. Но на практике эта норма не работает, так как сам факт использования мошенником настоящего логина, пароля и иных данных расценивается как нарушение со стороны потребителя. Хотя это далеко не всегда так.

В настоящее время законодательство активно расширяет использование электронной подписи и других средств удаленного управления. С их помощью можно совершать сделки даже с недвижимостью. Тогда как вопрос ответственности за фальсификацию и хакеров пока не урегулирован.