in

Карты, деньги, два звонка: как вернуть деньги, которые украли с вашего банковского счёта?

Хреновая валидация + Человеческий фактор = Большие проблемы

Тайм ту маркет современных банковских продуктов поражает своей скоростью. Маховик технического прогресса уже не остановить, да и незачем — финтех существенно упрощает нашу повседневную жизнь.

Впрочем, упрощает она жизнь не только добропослушным гражданам, но и разного рода мошенникам, благодаря огромным дырам в процедурах безопасности и работе антифрод-систем у банков. Слава богу, что тебя не запутать всяким «колл-центрам» и вымогателям кода из SMS. Твои финансы под контролем. Или…нет?

Данный материал не носит цели дискредитировать какой-либо из банков. Возможно, некоторые дыры безопасности уже прикрыты.

Могут ли украсть деньги с карты?

Давайте рассмотрим один возможных из сценариев по шагам:

1. Блокировка номера или перевыпуск SIM-карты. У операторов связи делается запрос на блокировку номера (как обычно, достаточно паспортных данных). С перевыпуском SIM-карты сложнее — после крайних инцидентов, операторы связи стали более пристально следить за данным процессом, но это не отменяет халатности сотрудников салона.

2. Смена телефонного номера и кодового слова в банке. Можно сделать по звонку, если у злоумышленников есть ваши паспортные данные и ФИО. При этом воры сообщают, что старую SIM-карту, якобы, потеряли, поэтому просят заблокировать старый номер.

Здесь есть нюанс: Банк посылает уведомление на текущий номер о смене номера или кодового слова. Если у преступников не получилось заблокировать номер у оператора связи или перевыпустить SIM-карту, то вы сразу поймете, что происходит взлом — полетят уведомления. Поэтому они используют такой приём: звонят жертве (представляясь как раз сотрудником банка) и удерживают его на линии, как можно дольше. Цель — отвлечь внимание от СМС-уведомлений, ведь мало кто читает сообщения, будучи разговаривая по телефону.

3. Восстановление «забытого» пароля личного кабинета. Имея кодовое слово и доступ к новому номеру телефона (см. пункт 2) это не составит труда.

4. Снятие наличных/перевод средств на другие карты.

Почему не приходили уведомления о смене номера или кодового слова?

Самое интересное, что при подобных схемах вам не приходят уведомления об операциях. Как такое возможно? Обратите внимание на первый пункт сценария взлома — блокировка номера. Это автоматически лишает вас каких-либо уведомлений на телефон о смене номера или пароля в личный кабинет

Проверяется это просто — до вас не могут дозвониться, либо вы, при попытке набора номера, натыкаетесь на автоответчик, что ваш номер заблокирован (если у вас не отрицательный баланс, конечно). А вот после разблокировки вас может ждать неприятный сюрприз

Как разблокировать номер?

  • Билайн. Нужно набрать команду *213#. Набирать команду необходимо с номера, который хотите разблокировать. Если на вашем договоре установлен специальный пароль на блокирование, то блокировать/разблокировать номер вы сможете по телефону 8 800 700 0611, сообщив пароль.
  • Теле2. Разблокировка номера по телефону 611 или через мобильное приложение
  • Мегафон. Звонок в абонентскую службу 0500 или через личный кабинет
  • МТС. По номеру 0890 или через личный кабинет

Банк советует идти в полицию? Не торопитесь!

Давайте разбираться — деньги на счёте лишь формально считаются клиентскими. Юридически — они принадлежат банку, а это значит, что у вас ничего не крали — деньги украли не у вас, а у банка!

Поэтому не торопитесь бежать с заявлением в полицию, хотя банк вас туда упорно будет отправлять. Обращение в полицию будет в дальнейшем являться косвенным свидетельством в пользу того, что вы — одна из пострадавших по данному делу сторон. Но вы не пострадавший, пострадавший в этой ситуации — банк.

Если вы напишете заявление, то вы тоже признаетесь этой самой пострадавшей стороной, наряду с банком. Это значит, что банк может отказать в компенсации (как морального вреда, так и за пользование чужими денежными средствами) и неустоек по договору банковского обслуживания. Как минимум до момента окончания следствия и задержания конкретного лица, совершившего противоправные действия. А это случится примерно никогда — такие уголовные дела очень редко доходят до своего логического завершения.

Юридическая сторона

Сначала посмотрим на вопрос с юридической стороны. Почему в первую очередь банк должен нести ответственность? Можно апеллировать к статьям Федерального закона от 27.06.2011 N 161-ФЗ «О национальной платежной системе» по которому банк обязан проверять операции с признаками перевода без согласия клиента (ст. 9 ч.9.1), а в случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции, оператор по переводу денежных средств обязан возместить клиенту сумму операции (ст. 9 ч.12,13,15)

Так же можно опираться на Федеральный закон от 02.12.1990 N 395-1 «О банках и банковской деятельности», ст. 24, где указано, что кредитная организация обязана организовать внутренний контроль, обеспечивающий надлежащий уровень надежности, соответствующий характеру и масштабам проводимых операций.

Другая сторона медали

Банки в этом вопросе часто не идут на встречу, не горя желанием выплачивать деньги по каждой поступившей претензии. Тамошним юристам тоже есть, чем защищаться в суде. Чем будут крыть?

  • Если мошенники получили доступ к мобильному приложению, то банк может заявить, что операции проводились в мобильном банке с использованием электронной подписи, которая является аналогом собственноручной подписи клиента и имеет равную юридическую силу, а кто это был на самом деле и как получил доступ — это проблемы клиента.
  • Тут нужно упомянуть, что ограничений на использование мобильного приложения, как канала дистанционного доступа, в договоре о комплексном банковском обслуживании не предусмотрено, к тому же банк не в контролирует смену IP-адреса, мало ли вы переключились с домашней сети Wi-Fi на уличную, в кафе.
  • Для входа требуется логин и пароль, который знает (должен знать) только клиент. При этом банк отправляет уведомление на текущий зарегистрированный(!) номер телефона и если оно, согласно отчёту сотового оператора, всё-таки было доставлено, то банк выполнил условия по ст. 9 161-ФЗ, касаемо уведомления клиента.
  • После того, как деньги переведены наступает т.н. безотзывность перевода (с момента списания денежных средств с банковского счета плательщика). А так как перевод был выполнен успешно, банк, руководствуясь ч. 7 ст. 5, ч. 9 ст. 8 161-ФЗ считает, что услуги по переводу средств были оказаны корректно — это серьезный аргумент для суда. Как личные данные вообще оказались у злоумышленников суд вряд ли будет волновать — клиент сам кому-то передал данные или на его ПК/телефоне установлено зловредное ПО, тем самым допустив утечку данных.

Конкретные шаги

Нужно подавать претензию банку (здесь можно посмотреть инструкцию и примеры составления) в соответствии со статьями 8 и 9 161-ФЗ и следующими требованиями:

  1. Вернуть все платежи, совершенные банком по данному договору, включая те, что исполнены без вашего акцепта (согласия)
  2. Заплатить компенсацию морального вреда (можно указать любую сумму, но итоговая сумма выплаты, если дойдет до этого, будет на усмотрение суда
  3. Заплатить компенсации понесенных вынужденно расходов: поездки в офисы, почтовые расходы, расходы на консультации, расходы на нотариусов и прочие (чеки приложить к претензии)
  4. Заплатить компенсацию за незаконное пользование чужими денежными средствами, предусмотренную соответствующим законодательством (если ФЗ «О банковской деятельности» не предусматривает особого порядка исчисления, то см. ГК РФ) за каждый день с момента совершения расходной операции по твоим счетам до дня (включительно) совершения возвратной приходной операции

Можно указать, операции списания совершенны не вами, коды с уведомлений вы никому не передавали и в соответствии с п.11 ст. 9 161-фз обратились к ним сразу же после обнаружения факта использования средств без вашего согласия

Ожидаем ответа банка 15 дней, если заявление заполнялось по им установленной форме. Если подавалось в свободной — ждём 30 дней. Дополнительно можно отправить кляузу на банк финансовому уполномоченному, в Центробанк и Роспотребнадзор (но не в полицию, мы помним). При отсутствии решения в установленном законом сроки с банка и данных ведомств — остаётся мировой суд (найдите судебный участок по вашему месту жительства).

Судебная практика в пользу клиентов

Решения в пользу клиентов по таким процессам — совсем не редкость. Мы собрали небольшую подборку, подробнее можно ознакомиться по ссылкам:

Как защищаться от подобных взломов?

На Хабре есть подробная инструкция о том, как защищаться от подобного рода взлома. Внушительный чек-лист содержит 118 пунктов как превентивных мер, так и действий, когда вы уже заметили какую-то подозрительную активность с почтой, мобильным банком или номером телефона.

Что можно (нужно!) предпринять банкам?

Сотрудники первой линии банков, к сожалению, не всегда самые компетентные специалисты в организации. И хотя человеческий фактор тут тоже играет большую роль, вряд ли тут полная вина операторов — они не должны (или не умеют) отходить от стандартного скрипта обслуживания ни на шаг. Но усложнить задачу мошенникам всё-таки можно:

  • Активность клиента на совершенно другой локации (речь напомним, не про снятие наличных, а про смену номера и кодового слова).
  • Нехарактерные суммы, частота переводов, количество получателей
  • Блокировка всех операций при смене не только номера, но и устройства с которого пытаются авторизоваться. При использовании нового устройства, с которого произведен вход, дополнительно высылать SMS-код для авторизации (сейчас нужен только логин и пароль)
  • Блокировка всех операций на 24 часа при смене номера (вроде уже есть у ВТБ)
  • Возможно, полный запрет на дистанционную смену номера (вряд ли прокатит с клиентами Тинькофф)

Добавить комментарий

Ваш адрес email не будет опубликован.