«Альфа-банк»: после одной кражи с перевыпущенной карты сняли более ста тысяч

К УД можно подходить с двух сторон. В первом случае требуется вступившее в силу решение суда, которым установлено, что поручение банку дано не держателем счета или уполномоченным лицом. В этом случае клиенту банка вообще не надо париться по поводу полиции. Пострадавшая сторона здесь - банк, им и трахаться с этим вот всем. А можно, как уговаривает Альфа - самому ходить по всем кругам ада в полиции и потом, может быть, если повезет вообще с возбуждением, надеяться на установление личности бомжа-дропера, с которого всё равно нечего взыскать.

Да, моя позиция как человека, связанного с ИБ, именно такова, что это головная боль банка, который сам себя загнал в такую жопу, уронив ИБ своих систем ниже всяких разумных пределов. Им и разгребать. Не посчитали нужным удостоверить личность подателя поручения на перевод ДС? Ну кто вам виноват теперь. Вэлком в полицию. Может быть, если им повезет, полиция как-нибудь раком-боком установит, что поручение было подано тобой (сразу нет, не установит) и возбудит уже в отношении тебя УД по признакам статьи "мошенничество" или еще какой.

Вот, между прочим, я, когда с Альфы расчитывался за автомобиль, а транш там был немалый, альфа стопнула платёж. Позвонили мне (и отказались принять входящий, потому как мне было ппц невыгодно принимать входящий в роуминге, а исходящий я умею делать с обходом роуминговой составляющей). Убедились (я уже не помню, какие данные спрашивали, но что-то спрашивали по персональным данным держателя счёта). И только потом разблочили перевод и выпустили его в операционку.

Ну, кстати, при физической явке в офис и подаче бумажного поручения представитель банка же удостоверяет личность подателя поручения? Почему вдруг дистанционно стало не надо?

Если приговором суда будет осуждён сотрудник банка за это деяние, то все деньги с банка взыскать можно будет в таком случае, вышка об этом говорила уже. Поэтому если в уголовном процессе хоть какую то вину сотрудника найдут. то уже будет большой помощью с взысканием с банка.
Так в чём тогда проблема раз всё так просто? Пусть автор подаёт исковое заявление с 1 предложением содержанием "Банк, докажите что вашей вины тут нет".

С банка аналогичным образом можно взыскать деньги, которые банк "потерял" или "перевёл" в нарушение законодательства и/или договора с клиентом. Само собой, не в рамках УПК, а в рамках ГПК.

Не понимаю что значит потерял.. Ну когда вина банка есть и доказана то конечно с банка взыскивается.

С какой это радости пострадавшая сторона банк ? Когда личные средства украдены, то нет. Уверен что автор в рамках уголовного дела признан потерпевшим, а не банк.   

Статья 42 УПК РФ - Потерпевшим является физическое лицо, которому преступлением причинен физический, имущественный, моральный вред, а также юридическое лицо в случае причинения преступлением вреда его имуществу. В данном случае причинен имущественный вред физическому лицу.

Когда кредитные средства воруют, да, банк. Или я опять плохо прочитал текст и угнали кредитные деньги? 

Ну я же говорю, автор изначально действовал неправильно, теперь будет трудно провернуть фарш назад. Если бы он сначала засудил банк и добился бы решения, которым устанавливалось бы, что держатель счета и лицо, давшее поручение банку - не одно и то же лицо, то дальше всё просто: поскольку банк исполнил поручение, данное не уполномоченным на то лицом, банк обязан возместить. Но ведь денег нет? Значит, кто-то понёс убытки. Очевидно, это банк. Пострадавшая сторона банк - им и ходить по кругам ада с УД.

Уверен, есть и другая статья в УПК РФ, которая позволяет признавать потерпевшим (или лицом с равным статусом) юриков.

У банка есть сильная позиция что было подтверждение пушом или смс по телефону указанному в анкете. И давайте признаем что потерпевшая сторона автор, а не банк. Украли деньги у автора и можете почитать приговоры по мошенничеству/ краже со счетов где потерпевший физическое лицо. Потому что украли деньги у физического лица. А кредитные если деньги то не спорю банк. 

Даже если была СМС (или пуш), автор обратился в банк и сообщил, что устройство, привязанное с помощью кода из этого сообщения ему не принадлежит и лицо, им пользующееся, ему не знакомо. Все операции, совершенные, пусть и авторизованным приложением, совершены лицом, не уполномоченным. И банк об этом знал. Следовательно, банк обязан вернуть клиенту на счет ДС, списанные после сообщения о том, что клиент стал жертвой мошенников (и даже по совету банка перевыпустил карты). Но тогда клиент вообще не пострадавшая сторона здесь, поскольку для него не образуется никакого убытка (ущерба). Возвращаемся на новый круг: пострадавшая сторона банк. Претензии банк может предъявлять к кому угодно: к сотруднику, подписавшему клиринговый протокол, к программисту, к уборщице, к самому мошеннику, если найдёт и установит личность, но с УД возиться банку, а не клиенту.

Только практика показывает что потерпевшая сторона клиент, а не банк. Ну в уголовном процессе.

Опять на новый круг пошли. Клиенту банка необходимо незамедлительно обратиться в суд с требованием взыскать с банка все ДС, которые ушли со счёта после извещения о том, что к счету имеют доступ неустановленные третьи лица (самое первое обращение в банк, оно даже зарегистрировано и имеет номер). Взыскать все ДС с банка. По исполнении решения суда банком сходить в полицию и закрыть УД, поскольку вступившее в силу решение суда исключает производство по нему, по крайней мере, с клиентом банка в качестве потерпевшего. А до замены следователем потерпевшего в данном УД клиенту дела нет.

Считаю в корне неверной позицию. Есть практика? Потому что на практике всё наоборот. 

Практика аналогичная по диспозиции? Судами каких инстанций формируется?

Покажите несколько уголовных дел где потерпевший банк. И я говорю не про кредитные средства, такую я сам найду. Я вот не припомню в принципе дел чтобы банк всей этой фигней занимался. Особенно чтобы по УПК признавали потерпевшим банк (не по кредитным средствам). В теории ваши слова конечно звучат красиво, но не совсем согласен с ними. И не надо мне говорить что у нас не прецедентное право я это прекрасно знаю, но несмотря на это всё равно судебная практика играет существенную роль при вынесении решений.

Пойми, мне УД, где потерпевший - банк, вообще не интересны. Как они там будут выкручиваться, если предположить, что юриков в принципе нельзя по УПК потерпевшими признавать, я не знаю и знать не хочу. Я настаиваю на том, что с точки зрения клиента банка в ситуации, как в этом посте, УД не должно существовать в принципе. Ну, в крайнем случае, это УД должно иметь обвиняемыми конкретных сотрудников банка (Машка-Ленка это на линии поддержки банка, или операционистка Валя-Галя, или предправления Харитоныч), без разницы. В текущей ситуации ущерб клиенту причинил именно банк.

Даже в данной ситуации автора привлекать к уголовной ответственности надо лицо которое украло деньги, а не сотрудников банка хах) вы чего, это уже совсем хах)) 

Пусть банк и привлекает. Сотрудника по халатности. Мошенника по соответствующей статье.

А вы читали диспозицию 293 УК РФ Халатность? 
Халатность, то есть неисполнение или ненадлежащее исполнение должностным лицом своих обязанностей вследствие недобросовестного или небрежного отношения к службе либо обязанностей по должности, если это повлекло причинение КРУПНОГО ущерба или существенное нарушение прав и законных интересов граждан или организаций либо охраняемых законом интересов общества или государства. Для этой статьи - крупный ущерб это 1млн.

Ну по УПК вы неправы касаемо лиц, здесь как никрути как вы хотите не получится. А насчёт неосновательного обогащения, в судебном порядке с кого будете взыскивать если кому то перевели по ошибке например?

Должно. Потому что совершено преступление в отношении гражданина. И причинило ущерб лицо которое УКРАЛО это деньги, а не сотрудники банка. У вас конечно интересная позиция, но по факту всё совсем не так. ОСОБЕННО в рамках УД. Странно тогда почему всех сотрудников банков не пересажали, а сажают лишь тех кто ворует деньги.... У вас какое то извините извращенное понятие уголовного процесса.
И немного срулю с темы - неосновательное обогащение вы с кого будете взыскивать с банка или с кого? Ну вот вы перевели по ошибке, с банка взыскивать или как? Просто интересно уже стало

Еще раз повторяю. В лучшем случае деньги украл банк, списав их со счёта держателя при ненадлежащей проверке наличия полномочий у лица, распорядившегося перечислить эти деньги. И мошенничество в данном случае, если и было, совершено в отношении банка. Ну и пусть кувыркается с правоохранительными органами банк. На текущий момент держателю счёта необходимо вернуть ДС, добившись решения суда об этом. Вернуть, причем, за счёт банка. Может быть, возбудив УД в отношении сотрудников банка, которые допустили или совершили хищение, может быть, там даже вместо хищения будет просто халатность. Это вот самый максимум, что должно волновать держателя карты. При этом подача заявления о преступлении - это в данном случае право, а не обязанность держателя карты (по крайней мере, если ДС возвращены на счёт, следовательно, ущерба нет).

Почему тогда уголовные дела заводят в отношении лиц кто украли, а не сотрудников банка? За исключением случаев когда сотрудники пользуясь служебным переводят деньги с счетов клиентов на свои или другие какие. Ладно, вы останетесь всё равно при своём мнении, каждый имеет право иметь свою точку зрения...

Забудь про УД. Просто забудь. Представь, что заявление в полицию еще не подано. Всё, нет никакого УД. Ты держатель счёта. Банк знал, что доступ к ДС на счёте имеется у неустановленных третьих лиц. Банк не проверил и не убедился в том, что поручение на перевод ДС со счета выполнено уполномоченным лицом, и списал ДС со счёта.

Твоя позиция: виноват банк. Банку и возмещать. Предположим, суд ты выиграл. Банк всё выплатил (включая неустойки и прочие ништяки). На кой тебе это УД теперь вообще? Ну, захочет суд - пусть сам отправит материалы в полицию, ходатайствовать об этом ты не обязан. Захочет банк найти мошонника? Да пожалуйста, твоя роль тут максимум - свидетель.

Впредь про УД больше не отвечаю, считаю, что исчерпывающе ответил.

Чтобы про пуш тут надо ознакомиться с технической стороной их. Плюс завтра на работе почитаю практику (дома консультанта плюс нет в полной версии), посмотрю может у вышестоящих судов есть какая позиция касаемо пушей (на уровне кассации/вышки).  По смс всё легко - если направлено по вашему номеру то никакой суд не встанет на вашу сторону тут всё предельно четко.

Не туда воюешь. СМС была. Первая транза на 4400 не может быть оспорена. После этой транзы было уведомление банка, что "нет, это не мы". Банк в возврате 4400 отказал (это законно), но исполнять поручения левых абсолютно людей не перестал (это незаконно). Все транзакции после первого обращения подлежат откату, причем, за счёт средств банка. Дальше пусть уже сам банк разбирается.

Копай в то, что противоречит закону.

Владелец после того как узнал что его данныео скомпрометированы что мешало поменять пароли к интернет банку, перевыпустить карту? Это вообще в первую очередь делается как бы.
Если у вас украли карту и оплатили ей в магазине (до 1000р не нужен пин) я уверен вы тоже скажете что виноват магазин или банк и будете с них требовать)) Хотя это в корне тоже неверно. У вас везде виноваты все кроме реально виновных лиц. Так просто и скажите что с реального виновника не факт что получится взять денег вот и  лишь бы с кого да взыскать их чтобы.. с больной головы на здоровую переложить проблему. Такое ощущение что не в России живёте с мифической позиции, особенно по УД. Я опять же не спорю что да, иногда с банка взыскивается это всё, есть такие ситуации и практика даже. Но каждая ситуация индивидуальна.

Тут в комментариях пишут, что это не помогло бы нисколько: для доступа в приложение нужно номер карты (не является конфиденциальной информацией) и код из СМС. Пароль не требуется.

Перевыпустил

Сделано. Более того, по инициативе сотрудника банка (но с одобрения держателя, конечно же).

Если между "украли карту" и "оплатили" будет такая малюсенькая деталь, как "я сообщил об этом в банк", то да, требовать надо с банка. Если нет - тогда сложным и кружным путём через chargeback и/или судебное преследование магазина (насколько знаю, правила МПС или даже российская нормативка обязывают продавца удостоверять личность предъявителя банковской карты при оплате такой картой; не выполнил это требование - держи себе минус на счёте).

Больная голова в данном конкретном случае - банк. Именно банк ввёл порочную практику аутентификации при доступе к банковским операциям с помощью абсолютно не годного для этого средства SMS (Push). Именно банк позволил сделать так, что одно приложение, авторизованное для доступа к банковским операциям клиента, может полностью подавить отправку как уведомлений, так и кодов авторизации операций на другое приложение, авторизованное для доступа к операциям этого же клиента. Именно банк исключил для держателя счёта всякую возможность оперативного управления списком устройств, авторизованных для доступа к банковским операциям. И в данном конкретном случае именно банк не удалил авторизацию для доступа у всех устройств, хотя к этому были прямые показания.

Как магазин будет вашу личность проверять если вы платите по NFC с устройства или не именной картой? Вот мне просто интересно. 

""Тут в комментариях пишут, что это не помогло бы нисколько: для доступа в приложение нужно номер карты (не является конфиденциальной информацией) и код из СМС. Пароль не требуется.""

Если для доступа нужен номер карты, а по вашему он заблокировал/перевыпустил карту, то как зайти то могли туд?  То есть так. У человека украли 4400, он пошёл в банк, заблокировал и перевыпустил карту, но тем не менее всё равно кто то смог войти в интернет банк по номеру заблокированной и перевыпущенной карты так что ли?

Проще простого: безпиновые операции (или онлайн-операции, не подтвержденные 3dSecure) являются абсолютным и полным риском merchant (который магазин). Это прямо в правилах МПС прописано. Не хочешь такое - берешь и отключаешь обработку NFC и неэмбоссированных карт.

Во-первых, перевыпуск карты - это не всегда смена номера карты. Карту можно перевыпустить и с тем же номером, но с новыми PIN, CVC и, естественно, датой окончания срока действия. Во-вторых, это просто очевидно: доступ к моменту перевыпуска уже был, просто при отправке карты на перевыпуск сотрудники банка не заблокировали уже имеющиеся приложения в списке авторизованных. В-третьих, блокирование карты и отправка ее на перевыпуск не означает автоматически блокирование личного кабинета, в котором может быть десяток карт и сотня счетов. Поэтому, даже если карту перевыпускали бы 3 месяца, а деньги появились бы на следующий день, их точно так же утащили бы.

"Во-первых, перевыпуск карты - это не всегда смена номера карты." Не знаю как у альфы, у моих банков номер меняется поэтому уточнил. 

""Во-вторых, это просто очевидно: доступ к моменту перевыпуска уже был, просто при отправке карты на перевыпуск сотрудники банка не заблокировали уже имеющиеся приложения в списке авторизованных.""

"В-третьих, блокирование карты и отправка ее на перевыпуск не означает автоматически блокирование личного кабинета, в котором может быть десяток карт и сотня счетов."
Я так понял автор с такой просьбой не обращался?

Ну вот кстати если мошенники сами выудили всю информацию, то тут уже с банка нечего требовать. Суды откажут потому что вы сами назвали свои данные/коды из смс.

Валерий, спасибо вам огромное, что вникли в мое дело и помните хронологию событий.Если вы практикующий юрист, можно ли с вами связаться?

Почему все транзакции подлежат откату то? Тогда поидее и владелец не мог бы воспользоваться. Тогда надо было заблокировать карту (счёт) или изменить пароль доступа (пин, я незнаю что там используется для входа), а владелец карты этого не сделал. 

Ну ты опять не читаешь пост

Держатель счёта уведомил максимально возможным для него способом об инциденте (учитываем, что держатель не обязан быть экспертом в сфере ИБ и, тем более, знать детали реализации доступа к счетам с помощью банковского приложения, тем более, как пишут в комментариях, эту информацию банк самому держателю не раскрывает до письменного обращения). С этого момента транзакции подлежат откату. За счёт средств банка.

Мог бы. Например, при личной явке в офис с предъявлением паспорта и прочими ништяками по идентификации личности. Я, между прочим, заметил, что все почему-то банковское приложение для смартфонов отождествляют с самой банковской услугой. А это совсем не так. Банк имеет право не предоставлять такое приложение совсем, предоставлять на устанавливаемых им единолично условиях (причем, такие условия не подлежат согласованию, например, с законом о банковской деятельности или ЗоЗПП или еще каким-нибудь образом; по крайней мере, наибольшее, на что можно расчитывать - это соблюдение банковской тайны в таких приложениях). Банк может даже персонально и единолично отказать любому из своих клиентов в обслуживании с помощью такого банковского приложения. И банку за это ничего не будет. Например, я отозвал у Альфы все права на распоряжение моими перс. данными, за исключением тех, что минимально необходимы для исполнения ДБО. В отместку банк заблокировал мне доступ в приложение для смартфонов. Штош... Как вижу, я даже выиграл от этого. Так вот, продукт "приложение банка для смартфонов" - это отдельное приложение, правила доступа к которому регулируются отдельными соглашениями (они, как правило, есть на первом экране при запуске такого приложения еще до аутентификации). Блокировать доступ в приложение не равно отказать держателю счета в банковском обслуживании.

Ну вот не заблокировал же доступ к интернет банку? Почему?  Просто по вашей логике во всех ситуациях виноват банк и только банк. И я не спорю иногда действительно с банка взыскиваются суммы (недавно читал первую инстанцию такую которую сбер не стал обжаловать), но ситуации всегда индивидуальны. На клиенте тоже есть ответственность. А то по вашей логике он щас отдаст свою карту вам скажет пин код и снимете деньги и вы с банка истребуете деньги опять. Или даст карту вы оплатите в магазине без пин и опять с банка требовать так что ли? С пушами посложнее чем с подтверждение по смс конечно. Банк ничего не мог в принципе предпринять в ситуации автора кроме как по ЕГО просьбе заблокировать доступ в интернет банк например. Он этого не просил же.

Каким образом? Более того, держатель счёта как раз обратился с этим вопросом именно к банку, который, помимо прочего, еще и профессионал в данном вопросе, в отличие от держателя. Именно банк должен был (обязан был даже) заблокировать доступ к интернет-банку до тех пор, пока, к примеру, держатель лично не явится в офис банка и, например, не привяжет своё личное устройство к учетной записи заново под контролем сотрудника банка. Была у банка такая возможность? Была. То, что банк ее не реализовал в регламенте - не вина держателя карты.

Я еще раз повторяю: между моментом передачи карты и моментом снятия денег с использованием пин-кода есть такой этап как "держатель уведомил банк об утрате доступа к карте и возможном нахождении карты у третьих лиц"?

Знаешь, мне начинает казаться, что может, в делах по НК РФ ты и собаку съел, но в области обычной правовой логики у тебя прям детсадовский подход, граничащий с инфантилизмом. Либо ты троллишь. В обоих случаях завязывай.

Ну у вас тоже по УК РФ скажем так далёкие познания явно на уровне теории судя по рассуждениям) Вы сами то сколько дел таких провели? На словах то красиво всё звучит, а на практике всё со всем по другому. Это я вам не только по НК, но и по УК говорю.

""Я еще раз повторяю: между моментом передачи карты и моментом снятия денег с использованием пин-кода есть такой этап как "держатель уведомил банк об утрате доступа к карте и возможном нахождении карты у третьих лиц"?""

Стоп. А вот щас кажется я понял что где то не до конца прочитал. Но всё же уточню. Вход по номеру карты в приложение так? И после блокировки и перевыпуска карты кто то всё равно смог войти в приложение я правильно понял?

Да. tl;dr истории автора (без уже мало значащих деталей):
- СМС
- вполне вероятно, число из этой СМС либо было продиктовано, либо введено где-то
- в системе авторизуется проиложение, установленное у мошенника с помощью этого кода
- мошенник выводит всё, что есть на тот момент (4400 рублей)
- держатель в тот же день сообщает об этом в банк <—-
- банк блокирует карту держателя и отправляет ее на перевыпуск
- на счетах, которыми можно распоряжаться от имени учетной записи держателя появляется еще денег, причем, более 100 тысяч
- эти деньги тоже уводятся

Выделил знаком "<—-" момент, с которого ущерб становится причиненным не держателю, а банку, в силу того, что ДС переведены по распоряжению лица, на то не уполномоченного, и банку об этом было известно на момент исполнения распоряжения.

Мы щас за альфу и полицию всё расследование проведём))
Ну те деньги что по смс увели это уже не вернуть через суд даже, только с виновного лица при установлении такого. Ну да ладно забыли про эти 4400.
Дальше идём. Я правильно понял что одноразово войдя по смс в личный банк человек уже может в него входить без смс? Ведь злоумышленник не смог бы второй раз по смс зайти, так? Я просто не знаю как лк альфы работает.
Вина автора в том что он сообщил о потере доступа, но не требовал заблокировать личный кабинет. Всё зависит ещё от того что альфа в свою позицию представит. Если вина банка конечно будет установлена судом, то как и ранее говорил это вполне возможно взыскать, но её надо установить. Как бы тут не свалили на вину истца что тот не просил заблокировать в личный кабинет. Но и посмотреть что альфа представит касаемо "пушей".  Мы с вами только поверхостно можем рассуждать над ситуацией. Тут весь вопрос в установлении вины упёрся и что альфа ещё может представить в материалы дела. Ну вы хоть согласны что те смсные 4400 то не взыскать именно с альфы?
Завтра на работе в консультанте посмотрю что суды говорят (не ниже уровня кассации конечно и вышка), плохо дома без доступа в полноценный консультант(((  

По СМС увели не деньги. По СМС авторизовали второе приложение на телефоне "Samsung". А после этого уже отключили SMS, отключили Push на телефон держателя карты (оставив только Push в приложение на Samsung), создали транзакцию и подтвердили ее кодом из Push. Как удобно, что код приходит прямо мошеннику, чтоб ему не надо было повторно социал-инженерить держателя карты. Это были первые 4400.

Если Альфа предоставит запись разговора (или документ с подписью держателя), в котором Альфа перечисляет:
- авторизовано столько-то устройств
- эти устройства А, Б, В, ...
затем предлагает автору закрыть доступ к одному или всем устройствам, но клиент полностью и наотрез отказывается от такой меры защиты средств - тогда всё, я снимаю шляпу, ущерб нанесен держателю, с банка взятки гладки. В противном случае вся вина на стороне банка. Клиент сообщил банку о проблеме. Клиент не обязан ничего знать об авторизованных устройствах, учетных записях, пуш-фолд-смс и прочем дерьме. Клиент - непрофессиональный участник отношений.

У вас совсем неверное понимание уголовного производства. Но ладно, я уже понял, что вас не переубедить. Я не знаю в интернете в статьях прочитали это или где, но это совсем некорректная позиция по УД. 
Про гражданское дело. Если человек подтвердил по смс полученному по своему номеру, то он уже автоматически подтвердил значит что это он оплатил. А насчёт пушей это уже надо доказывать что автор получил пуш. Если банк докажет это то вы ничего не спишете. С смс конечно у банка больше шансов, с пушами я просто в техническом плане не настолько хорошо подкован особенностях. Но если подтвердил ты по смс направленному по твоему номеру то уже всё, никакой суд не встанет на вашу пользу.

Все проще банк будет утверждать, что клиент все платежи подтвердил сам. И что коды приходили на его устройство. И покажет поддельную распечатку своей внутренней системы подлинность, которой суд устанавливать не будет. Это Россия 

Банк не обязан вернуть. Я могу так перевести за что деньги а потом вернуть сказав я не переводил. У вас какое то странное немного понимание по крайней мере на практике.