Банки упрощают методы идентификации, но в результате растет объем мошенничеств с пластиковыми картами. Хотя закон защищает клиентов в таких случаях, фактически суд с банком может тянуться около года.
В Банки.ру обратился 33-летний москвич, который рассказал, как лишился более 350 тыс. рублей, украденных с кредитной карты и счета Райффайзенбанка в результате нехитрых действий мошенников. Плюс еще 10 тыс. составила комиссия банка, и около 30 тыс. набежало в процессе разбирательства как процент по кредиту. Эта история показалась нам интересной, потому что в связи с модными тенденциями в финансовой сфере она может оказаться массовой.
«Я и не думал, что кому-то может понадобиться кредитка и сим-карта»
21 апреля 2018 года наш герой стал жертвой мошенников. Познакомившись с общительными молодыми людьми, он не ожидал подвоха. Кошелек он держал в кармане, а телефон не выпускал из поля зрения. «Я и не думал, что кому-то могут понадобиться не телефон, не деньги в кошельке, а защищенная ПИН-кодом кредитка и сим-карта», — рассказывает он.
Через несколько часов выяснилось, что из телефона украдена сим-карта, а из кошелька пропала кредитка. Оказывается, мошенники-профессионалы умеют извлекать «симку» из смартфона одним движением. После звонка в банк стало понятно, что буквально за полчаса преступники вывели со всех счетов клиента около 350 тыс. рублей.
Как это у них получилось?
ПИН-код вам больше не потребуется
Оказывается, некоторые банки, и среди них Райффайзенбанк, предельно упростили систему идентификации. Попасть в личный кабинет онлайн-банка теперь можно, не вводя ни логина, ни пароля.
Мошенники вставили в свой телефон украденную сим-карту, потом спокойно установили на нем мобильный банк «Райффайзена», ввели в форму входа не логин и пароль, а цифры с двух сторон карты и получили полный доступ ко всем счетам! У них не было дебетовой карты клиента, тем не менее с нее было переведено на кредитку 10 тыс. рублей накоплений. Также они украли порядка 170 тыс. с депозита. Часть денег сняли наличными в банкомате, а на 153 тыс. преступники купили в круглосуточном магазине «Евросеть» два iPhone X.
Оказывается, в Райффайзенбанке, если ввести в форму мобильного приложения цифры с двух сторон кредитной карты, то можно установить новый ПИН. Для этого не нужен ни старый код, ни пароль от личного кабинета, ни кодовое слово — никаких конфиденциальных данных не требуется.
Скоро сомнительные операции будут блокировать по закону
Уже в этом году должен вступить в силу закон, который обяжет банки блокировать на два дня сомнительные трансакции, если до клиента не удалось дозвониться.
Как пояснили Банки.ру в ЦБ, закон был принят 28 июня 2018 года и вступает в силу через 90 дней после дня его официального опубликования. «Закон обязывает банки приостанавливать трансакцию и блокировать карту в случае, если есть подозрения, что перевод выполняется не клиентом (держателем карты), а посторонним человеком. Срок приостановки и блокировки не может превышать два дня», — поясняют в Банке России.
Пока же банки делают это по своему усмотрению в соответствии с внутренними регламентами.
«Для удобства клиентов»
Райффайзенбанку ночной вывод через банкомат 210 тыс. рублей с кредитной карты подозрительным не показался.
Хотя клиент, по его словам, никогда не выводил наличные с кредитки, не считая одного раза, когда по ошибке снял 3 тыс. рублей не с той карты, банк не счел перевод гораздо более крупной суммы денег с кредитки мошенниками нетипичной сделкой. Только после ночной покупки айфонов, когда почти все деньги были потрачены, банк заблокировал карту. Преступники попытались перевести остаток на две банковские карты, но эти трансакции уже не прошли.
Сотрудник банка при личном разговоре объяснил пострадавшему, что идентификация упрощена для удобства клиентов, а ввод личных данных — пароля и логина или других дополнительных подтверждений — при наличии карты и телефона не требуется.
Официальный ответ Райффайзенбанка также был неутешительным для клиента: «Согласно п. 6.8.6 Общих условий обслуживания счетов, вкладов и потребительских кредитов граждан АО «Райффайзенбанк» в редакции, действовавшей на дату совершения операции (далее «Общие условия»), которые являются неотъемлемой частью договора, между Вами и банком, клиент несет ответственность за все операции, совершенные с использованием карты, до момента уведомления банка об утрате карты».
«В соответствии с п. 7 Тарифов по обслуживанию кредитных карт (далее «Тарифы»), являющихся неотъемлемой частью договора о предоставлении и обслуживании карты, комиссия за выдачу наличных с кредитной карты MasterCard Gold Package Credit в кассах и банкоматах банка, а также в банкоматах банков-партнеров составляет 3% от суммы перевода + 300 рублей... На основании вышеизложенного банк считает списание комиссии правомерным и не может удовлетворить Вашу просьбу о ее возмещении».
Полиция в помощь
После того как выяснилось, что наш герой потерял не только свои накопления, но и кредитные средства, он уведомил банк и отправился в ОВД Пресненского района писать заявление. Но уголовное дело возбудили только через месяц.
«Весь процесс необходимо контролировать. После того как я написал заявление, стал заниматься получением записей с видеокамер. Нужно было получить изображения с видеокамер в «Евросети» и офисе банка, где мошенники обналичили средства через банкомат», — рассказывает пострадавший.
Сотрудники «Евросети» охотно пошли навстречу. Они признали, что ночной покупатель показался им подозрительным. Записи с камер сохранили и, после того как следователь направил запрос, предоставили почти сразу.
Взаимодействовать с банком оказалось намного сложнее. За месяц он так и не предоставил полиции ни видеозаписи, ни номера карт, на которые пытались перевести деньги преступники. Только последние четыре цифры номеров этих карт. В кредитной организации сослались на банковскую тайну. По мнению пострадавшего, такая позиция нелогична: ведь если деньги переводили из его личного кабинета, как это может быть тайной от него самого?
В полиции рассказали, что количество аналогичных случаев растет, как грибы после дождя. Если раньше преступников интересовали телефоны, то теперь многие переориентировались именно на сим-карты. «Мошенники специально охотятся за клиентами банков, у которых есть такие же лазейки в системе безопасности» — так мне сказали в полиции», — говорит наш герой.
Безопасность или удобство?
Как показал мини-опрос Банки.ру, большинство крупнейших кредитных организаций между удобством и безопасностью сделали выбор в пользу последнего — смена ПИН-кода без ввода пароля и старого «пина» у них невозможна ни при каких обстоятельствах. Уточнять о такой возможности нужно заранее, выбирая банк, в котором собираетесь открыть счет или завести кредитную карту.
«Мобильное приложение и веб-версия «Сбербанк Онлайн» не допускают смену ПИН-кода карты. Его можно поменять только в отделении банка при помощи сотрудника или в банкомате, зная текущий ПИН-код», — заявили в пресс-службе Сбербанка.
«В мобильном банке ВТБ клиент может получить ПИН-код только для своей новой карты. Для этого он должен полностью авторизоваться в мобильном приложении (пароль, Touch ID, Face ID). ПИН-код генерируется автоматически. Сменить его клиент может только в специальном разделе в банкомате ВТБ, проведя стандартную процедуру входа по своему паролю. Других способов сменить ПИН-код на карте нет», — сообщили в пресс-службе кредитной организации.
Нельзя войти без пароля и ПИН-кода в мобильную и онлайн-версию Росбанка. «Речь идет о безопасности и сохранности средств клиентов — одном из основных приоритетов Росбанка», — пояснили ситуацию в Росбанке.
В Ситибанке подобная ситуация также невозможна. «Для смены ПИН-кода недостаточно иметь при себе карту и телефон. В любом случае клиенту нужно будет войти в Citibank Online, где у него также запросят ID пользователя, статический пароль и одноразовый пароль. Практика показывает, что одномоментно получить доступ к этому перечню информации практически невозможно», — заявили в пресс-службе Ситибанка.
Закон защищает, но… не работает
В теории закон в случае такой кражи защищает клиента банка. Однако на практике он почти не работает.
«Согласно ч. 11 ст. 9 закона № 161-ФЗ, в случае утраты электронного средства платежа (ЭСП) и (или) его использования без согласия клиента, он обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты ЭСП и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции», — сообщили порталу Банки.ру в Банке России.
Предположим, клиент все это сделал. В таком случае, говорится в комментарии ЦБ, «согласно п. 15 ст. 9, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента о совершенной операции и клиент направил ему уведомление в соответствии с ч. 11 ст. 9, то оператор по переводу денежных средств должен возместить клиенту сумму операции, совершенной до момента направления уведомления, — если не докажет, что клиент нарушил порядок использования ЭСП, что повлекло совершение операций без его согласия».
То есть у клиента есть целые сутки, чтобы сообщить о мошенничестве и вернуть деньги. Наш герой написал первое заявление в Райффайзенбанк прямо в день кражи. Но навстречу ему никто не пошел.
«Я обратился к менеджеру банка, которая вела зарплатный проект в компании. Она пообещала помочь. Но через три недели ответила, что ничем помочь не может, — говорит пострадавший. — Она позвонила и сообщила, что банк намерен требовать, чтобы я уплатил все долги по кредитной карте в полном объеме, а также оплатил банку комиссию на снятие наличных».
Комиссия составила около 10 тыс. рублей, плюс около 30 тыс. набежало в виде процентов, пока в банке разбирались с претензиями клиента. Он написал отдельное заявление в отделение Райффайзенбанка на отмену комиссии.
«24 мая мне позвонили и сказали, что готовы отменить комиссию. Но 25-го позвонили снова и ответили, что передумали. Они рекомендовали мне искать преступников и просить, чтобы комиссию за снятие возместили они», — жалуется клиент банка. Аудиозапись обоих разговоров он сохранил.
К сожалению, большинство пострадавших предпочитают не связываться с банками в таких спорных вопросах, чтобы не тратиться еще и на адвокатов.
«Как показывает судебная практика по гражданским делам, клиентам банков обычно отказывают в удовлетворении требований о взыскании убытков с кредитной организации в результате хищения денежных средств с банковских карт. У судов сформировалась позиция, что банки могут законно и обоснованно проводить операции по счету клиента до момента написания соответствующего заявления в банк. Формальным основанием отказа возместить похищенные деньги является нарушение владельцем карты так называемых «рекомендаций» или «порядка использования электронного средства», указанного в договоре на пользование банковским счетом, — поясняет управляющий МАБ «Адвокаты и бизнес» Дмитрий Штукатуров. — Имеет смысл рассмотреть альтернативный вариант решения данного вопроса в суде: не торопиться подавать иск о взыскании убытков с банка, а дождаться соответствующего иска от кредитной организации о взыскании задолженности и процентов и предоставить в суд документы по возбужденному уголовному делу с изложением фактов. В таком случае суд может отказать банку в его требовании».
Однако наш герой решил пойти до конца. Он готовится судиться и собирает пакет документов для подачи иска. Тем временем сотрудники Райффайзенбанка без предупреждения списали все остатки средств со счетов клиента. Звонят из банка по утрам и требуют перевести деньги. А юристы предупреждают, что судебный процесс может затянуться на много месяцев и даже на год.
Елена ЯКОВЛЕВА, для Banki.ru