Текст книги "Мошенничество в платежной сфере. Бизнес-энциклопедия"
Автор книги: авторов Коллектив
Жанры:
Личные финансы
,сообщить о нарушении
Текущая страница: 14 (всего у книги 22 страниц)
Согласно Закону № 161-ФЗ способ уведомления о несанкционированной операции опять выбирает не клиент, а банк. Очень распространенным способом является письменное заявление. Что делать клиенту, если он находится вне доступности офисов, отделений банка, в командировке, отпуске, за границей? Хорошо, если со стороны банка предусмотрены другие (юридически значимые) способы (формы) уведомления, а если нет?
В пункте 15 статьи 9 Закона № 161-ФЗ содержится требование о возмещении средств по несанкционированным клиентом операциям, но срок возмещения не указан. Пункт 8 статьи 9 Закона № 161-ФЗ обязывает банк рассмотреть заявление клиента и предоставить ему письменный ответ о результатах рассмотрения в срок 30/60 дней. О возмещении денежных средств не упоминается. В случае принятия банком решения о возврате денежных средств срок возврата не обязательно должен укладываться в срок ответа на претензию. Закон не связывает дату принятия решения (возникновения обязательства) с датой исполнения данного обязательства.
8. В целях рассмотрения заявления клиента, касающегося совершения операций с использованием ЭСП без согласия клиента, кредитная организация может определять в договоре с клиентом:
указываемые клиентом в заявлении сведения и примерный перечень предоставляемых клиентом документов, соответствующих характеру использования ЭСП и операций, которых касается заявление клиента;
примерный перечень документов, предоставляемых кредитной организацией по результатам рассмотрения заявления клиента в случае принятия решения об отказе в возмещении денежных средств по операциям, совершенным без согласия клиента;
срок возмещения денежных средств по результатам рассмотрения заявления клиента по операциям, совершенным без согласия клиента, являющийся разумным[110]110
Там же.
[Закрыть].
То есть перечень необходимых документов и срок возврата денежных средств опять определяет банк.
Пункт 15 статьи 9 Закона № 161-ФЗ определяет, что банк обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования платежной карты, что повлекло совершение операции без согласия клиента – физического лица.
Порядок использования карты определяет банк. Минимально – это могут быть требования о соблюдении мер по безопасному использованию карты: установка лимитов, гео– (страновых) фильтров, подписка на 3D Secure, требования хранить карту, не разглашать ПИН и др. Здесь достаточно широкое поле действия для банков и возможность в отказе по возврату средств по данному основанию.
Имеющаяся судебная практика говорит о хороших перспективах со стороны банков по выигрышу дел у клиентов. Посмотрим, что же суды считают в настоящий момент нарушением со стороны клиентов порядка использования карт:
…Обязанность сохранять в тайне ПИН-код, не передавать карту и ее данные иным, третьим лицам, возложена на истца
Дело № 33-41578
При проведении операций, осуществленных корректно, с соблюдением правил, предполагалось, что распоряжение на снятие денежных средств дано уполномоченным лицом, при этом обязанность сохранять в тайне ПИН-код и номер карты, не передавать карту или ее номер третьему лицу, возложена на истца.
Дело № 33-2824
Согласно пункту 6.3.2 Общих условий клиент обязан хранить в секрете ПИН-код и номер карты. Не передавать карту или ее номер третьему лицу. Использование карты третьим лицом будет рассматриваться банком как грубое нарушение договора и может повлечь за собой его расторжение банком в одностороннем порядке.
Дело № 33-5696
…Суд первой инстанции пришел к правильному выводу, что у банка имелись основания полагать, что распоряжение на снятие денежных средств дано уполномоченным лицом, установленные банковскими правилами и договором процедуры позволяли банку идентифицировать выдачу распоряжения уполномоченными лицами, при этом договором обязанность сохранять в тайне ПИН-код и номер карты, не передавать карту или ее номер третьему лицу возложена на истца.
Дело № 33-19210
Московский городской суд считает, что в случае несанкционированной операции с использованием ПИН-кода ответственность лежит на держателе, так как он не сохранил в тайне свой ПИН-код, то есть нарушил правила безопасного использования карты.
Мировой судья второго судебного участка Ленинградского района г. Калининграда, дело № 2-1869/2012, посчитал, что вина клиента состоит в том, что тот ранее пользовался своей картой в Интернете, что и привело к ее компрометации: «держатель международной банковской карты ранее пользовался услугами Интернета, сам вводил данные своей банковской карты в систему Интернет, следовательно, по его собственной инициативе данные международной банковской карты, держателем которой он является, стали известны неограниченному кругу лиц, что, видимо, позволило третьим лицам воспользоваться данными карты истца в системе Интернет и произвести списание денежных средств по банковской карте».
Один из недостатков Закона видится в том, что на банки возлагается ответственность по утраченным (украденным, утерянным) платежным картам клиентов физических лиц до момента получения ими уведомления об утрате карты. Таким образом, с одной стороны, держатель лишен мотивации безопасного, бережного хранения карты, а банки будут вынуждены нести дополнительные расходы в связи с данным видом потерь. Потери могут возникнуть как в связи с халатным, небрежным отношением держателей к картам (зачем держателю заботиться о безопасности карты – если что-то случится, банк обязан компенсировать ущерб, тем более что закон позволяет клиенту сообщить об утрате карты не сразу, а только на следующий день после того, как по ней пройдут операции), так и вследствие преднамеренных противоправных действий с их стороны (мошенничества). При этом обязанность доказывания, что клиент нарушил порядок использования карты, возложена на банки. Каким образом банки могут доказать, что клиент что-то нарушил? Федеральный закон от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности» запрещает неуполномоченным лицам заниматься оперативно-розыскными мероприятиями.
Статья 6. Оперативно-розыскные мероприятия
Запрещается проведение оперативно-розыскных мероприятий и использование специальных и иных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, не уполномоченными на то настоящим Федеральным законом физическими и юридическими лицами.
Список органов, имеющих такое право, определен, и банки в него не входят.
Статья 13. Органы, осуществляющие оперативно-розыскную деятельность
На территории Российской Федерации право осуществлять оперативно-розыскную деятельность предоставляется оперативным подразделениям:
1. Органов внутренних дел Российской Федерации.
2. Органов Федеральной службы безопасности.
4. Федерального органа исполнительной власти в области государственной охраны.
6. Таможенных органов Российской Федерации.
7. Службы внешней разведки Российской Федерации.
8. Федеральной службы исполнения наказаний.
9. Органов по контролю за оборотом наркотических средств и психотропных веществ.
Закон РФ от 11.03.1992 № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации» также не предоставляет для банков такой возможности.
Статья 3. Виды охранных и сыскных услуг
Частная детективная и охранная деятельность осуществляется для сыска и охраны.
В целях сыска разрешается предоставление следующих видов услуг:
1) сбор сведений по гражданским делам на договорной основе с участниками процесса;
2) изучение рынка, сбор информации для деловых переговоров, выявление некредитоспособных или ненадежных деловых партнеров;
3) установление обстоятельств неправомерного использования в предпринимательской деятельности фирменных знаков и наименований, недобросовестной конкуренции, а также разглашения сведений, составляющих коммерческую тайну;
4) выяснение биографических и других характеризующих личность данных об отдельных гражданах (с их письменного согласия) при заключении ими трудовых и иных контрактов;
5) поиск без вести пропавших граждан;
6) поиск утраченного гражданами или предприятиями, учреждениями, организациями имущества;
7) сбор сведений по уголовным делам на договорной основе с участниками процесса. В течение суток с момента заключения контракта с клиентом на сбор таких сведений частный детектив обязан письменно уведомить об этом лицо, производящее дознание, следователя или суд, в чьем производстве находится уголовное дело;
8) поиск лица, являющегося должником в соответствии с исполнительным документом, его имущества, а также поиск ребенка по исполнительному документу, содержащему требование об отобрании ребенка, на договорной основе с взыскателем.
Получается, что реальная (не формальное нарушение – например, если операция ПИНовая, то клиент разгласил ПИН-код) возможность выяснить, действительно ли клиент нарушил правило использования карты, для банков существует только в рамках расследования уголовных дел. Самые распространенные на сегодняшний день уголовные дела, связанные с платежными картами, – это хищение денежных средств с похищенных карт с использованием ПИН. Такие дела раскрываются при активной помощи потерпевшего (держателя карты), так как именно он заявляет в полицию о хищении карты, ПИН-кода и обстоятельствах, при которых это произошло. При этом держатель карты не скрывает фактов нарушения с его стороны мер по безопасному использованию карты:
…Находясь в доме… у своей знакомой К., О., имея умысел на тайное хищение чужого имущества и преследуя корыстную цель, со шкафа похитила пластиковую кредитную карту Банка «ВТБ24», принадлежащую К., и лист бумаги с записью ПИН-кода данной карточки.
Дело № 1-13-2010
…Взял с батареи отопления пластиковую банковскую карту «Виза электрон», принадлежащую Л. После чего в период времени <обезличено> этого же дня из банкомата «Севергазбанк», расположенного в помещении магазина «<обезличено>» по адресу: <обезличено> Б.Д. В. снял деньги, введя ПИН-код, который был записан на пластиковой карте.
Дело № 1-54/2012
…Путем свободного доступа зашел в спальную комнату своей матери Б.С. И., откуда со шкафа серванта, расположенного у правой стены комнаты, похитил кредитную карту ОАО «ОТП-Банк», принадлежащую Б.С.И., и, запомнив секретный ПИН-код карты – __№__, указанный на отдельном конверте кредитной карты, в этот же день передал ее своему другу С.О.И. для дальнейшего хищения со счета данной карты денежных средств.
Дело № 1-55/2011
…Из сумки ФИО7, висевшей на вешалке, похитила принадлежащие ФИО7 кошелек с находящейся в нем кредитной картой ЕС/МС CR MASS № ОАО «Сбербанк России» на ее имя и фрагментом листа бумаги с ПИН-кодом.
Дело № 1-41/2011
…Подсмотрел комбинацию цифр ПИН-кода банковской карты потерпевшего. Приобретя спиртное и продукты питания, В. В. А. и ФИО5 прошли к потерпевшему. Находясь в данной квартире, потерпевший, в силу значительного употребления спиртного, уснул. В. В. А., воспользовавшись этим, и осознавая, что ФИО5 не контролирует ее действия, тайно из кошелька потерпевшего похитила не представляющую материальной ценности банковскую карту на имя ФИО5.
Дело № 1-142/2011
…Похитила из женской сумочки банковскую карту банка ОАО «… Банк» и отрезок бумаги, на котором был записан ПИН-код.
Дело № 1-523-2011
Платежные системы и ЦБ РФ активно подвигают банки использовать защищенную технологию микропроцессорных платежных карт, операция по чиповой карте в чиповом терминале (банкомате) с использованием ПИН-кода считается наиболее безопасной. Но Федеральный закон № 161-ФЗ говорит, что клиент имеет право отказаться от такой операции. Включение в договор (условия использования карты) требования и ответственности держателя по сохранности карты и ПИН-кода представляется не совсем законным. Так как часть 11 статьи 9 прямо указывает на возможность со стороны клиента утраты электронного средства платежа (карты и ПИН-кода) и его использования без согласия клиента. А часть 1 статьи 16 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» говорит о недействительности условий договора, ущемляющих права потребителя по сравнению с правилами, установленными законам.
1. Условия договора, ущемляющие права потребителя по сравнению с правилами, установленными законами или иными правовыми актами Российской Федерации в области защиты прав потребителей, признаются недействительными.
Более того, за это предусмотрена административная ответственность.
Статья 14.8 Кодекса Российской Федерации об административных правонарушениях. Нарушение иных прав потребителей
2. Включение в договор условий, ущемляющих установленные законом права потребителя, —
влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до двух тысяч рублей; на юридических лиц – от десяти тысяч до двадцати тысяч рублей.
Ответственность клиента в случае утраты карты может быть предусмотрена только в случае его вины, например нарушения правил безопасного использования карты, халатного хранения (забыл, оставил, потерял) и т. п. В случае противоправных действий третьих лиц в отношении клиента, например карта была похищена или осуществлен скимминг, вины клиента в утрате карты (ПИН-кода) нет, следовательно, он не должен нести за это ответственность. Чтобы установить вину клиента, банку необходимо требовать указания в заявлении факта, что карта украдена или потеряна (халатность – наличие вины). В случае несанкционированных операций в результате заражения компьютера, мобильного телефона и т. п. клиента вредоносным программным обеспечением (вирусом) банку необходимо выполнить рекомендации Центрального Банка России.
Письмо от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»
4.2.5. Предусматривать в договорах положения, в соответствии с которыми кредитная организация не несет ответственность в случаях финансовых потерь, понесенных клиентами в связи с нарушением и (или) ненадлежащим исполнением ими требований по защите от ВК клиентских АРМ систем ДБО, а также включать в договоры описание процедур разрешения споров, возникающих в связи с компрометацией аутентификационной и идентификационной информации, используемой клиентами для доступа к системам ДБО (логины, пароли, биометрическая информация и тому подобное) и (или) с нарушениями в работе клиентских АРМ систем ДБО, в том числе являющимися следствием воздействия на клиентские АРМ ВК (вредоносный код).
После вступления в силу статьи 9 Закона № 161-ФЗ держателю заявление в полицию писать не нужно: если он вовремя уведомил банк о несанкционированной операции по утраченной карте, то ответственность за такие операции возлагается на банк. При этом уже банк будет направлять заявление в полицию о совершенном преступлении. Но если в рамках расследования уголовного дела или доследственной проверки держатель карты правдиво сообщит все обстоятельства утраты карты/ПИН-кода, то существует вероятность, что будет установлено нарушение со стороны клиента мер безопасности и держатель потеряет право на возмещение Банком денежных средств. Получается, что держатель не заинтересован сотрудничать с правоохранительными органами с целью установления преступника, а Закон № 161-ФЗ способствует латентности преступлений в сфере платежных карт.
На сегодняшний момент латентность (скрытность) преступлений в сфере банковских платежных карт достигает 95–99 %. То есть правоохранительными органами возбуждаются уголовные дела только по 1–5 % от общего количества преступлений. Поскольку затраты банков на компенсацию потерь по утраченным картам возрастут, банки будут вынуждены увеличить стоимость самого продукта (банковской карты). Потери по утраченным картам нерадивых, халатных клиентов и даже просто мошенников будут оплачивать добросовестные держатели карт, которые свои карты не теряют (аналогия с кредитами: невозвращенные средства оплачивают добросовестные заемщики; чем больше невозвратов, тем дороже процентная ставка по кредиту). При этом мошенник выполнит все условия, пострадает добросовестный клиент. Для держателей стоимость банковской карты увеличится, возрастут ограничения, лимиты.
Представляется, что в связи с этим более правильно было бы законодательно определить следующее. Риск убытков в случае причинения ущерба при отсутствии вины клиента несет эмитент (банк) инструмента безналичных расчетов (электронного средства платежа). Наличие вины клиента – физического лица доказывается эмитентом (банком). В случае утраты клиентом инструмента безналичных расчетов (электронного средства платежа) риск убытков несет клиент до момента соответствующего уведомления эмитента (банка), после момента уведомления – риск убытков несет эмитент (банк).
4.3. Методы и инструменты оценки рисков на базе мониторинга карточных транзакций
Под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (Федеральный закон «О техническом регулировании» № 184-ФЗ). Оценка рисков – это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат (ГОСТ Р 51897 «Менеджмент риска. Термины и определения» и ГОСТ Р ИСО/МЭК17799 «Информационная технология. Практические правила управления информационной безопасностью»).
Начальным этапом является идентификация риска, то есть процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен, оценка представляет собой общий процесс анализа риска и его оценивания. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска – это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.
В результате обмена информацией о риске и его осознании может быть принято решение о его обработке, то есть о выборе и осуществлении мер по модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).
Система управления рисками в платежной системе (Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе») есть комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы с учетом размера причиняемого ущерба. Оператор платежной системы (организация, определяющая правила платежной системы, а также выполняющая иные обязанности в соответствии с упомянутым законом) обязан определить одну из следующих используемых в платежной системе организационных моделей управления рисками в платежной системе:
– самостоятельное управление рисками в платежной системе оператором платежной системы;
– распределение функций по оценке и управлению рисками между оператором платежной системы, операторами услуг платежной инфраструктуры и участниками платежной системы;
– передача функций по оценке и управлению рисками оператором платежной системы, не являющимся кредитной организацией, расчетному центру.
Система управления рисками должна предусматривать следующие мероприятия:
1) определение организационной структуры управления рисками, обеспечивающей контроль за выполнением участниками платежной системы требований к управлению рисками, установленных правилами платежной системы;
2) определение функциональных обязанностей лиц, ответственных за управление рисками, либо соответствующих структурных подразделений;
3) доведение до органов управления оператора платежной системы соответствующей информации о рисках;
4) определение показателей бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;
5) определение порядка обеспечения бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;
6) определение методик анализа рисков в платежной системе, включая профили рисков, в соответствии с требованиями нормативных актов Банка России;
7) определение порядка обмена информацией, необходимой для управления рисками;
8) определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев;
9) определение порядка изменения операционных и технологических средств и процедур;
10) определение порядка оценки качества функционирования операционных и технологических средств, информационных систем независимой организацией;
11) определение порядка обеспечения защиты информации в платежной системе.
Банковская карта как инструмент для совершения безналичных операций по счету клиента в банке-эмитенте относительно обеспечения безопасности:
– может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к счету владельца инструмента;
– может быть ненадлежащим образом использована самим клиентом.
С введением в действие упомянутого закона № 161-ФЗ существовавшие с момента появления банковских карт риски должны обрабатываться следующим образом (в терминах закона банковская карта – это электронное средство платежа, клиентом является физическое лицо) согласно статье 9:
• в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции (часть 11);
• после получения оператором по переводу денежных средств уведомления клиента оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления (часть 12);
• в случае если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции, то он обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента (часть 13);
• в случае если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции и клиент не направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента (часть 14);
• в случае если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента и клиент направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента – физического лица (часть 15).
Таким образом, нормативные документы устанавливают требования к оценке рисков в платежной сфере, что, с одной стороны, приводит к необходимости их измерения, а с другой – к выбору адекватных средств и инструментов для их предотвращения или снижения до приемлемого уровня.
