Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Уважаемый Алексей,
Банк по сути вас просто послал, отправив в полицию.
Есть правовые нормы, которые все банки тщательно скрывают от клиентов в данной ситуации, вместо этого нагло и недобросовестно отправляя всех пострадавших клиентов в полицию.
Банки уже просто весь стыд потеряли, каждый раз умывая руки и отправляя клиентов в полицию, хотя именно банки по 161-ФЗ несут ответственность перед клиентом. Но банки ВСЕГДА, ВСЕГДА об этом молчат. И здесь на VC тоже. Тот же Альфа каждый раз здесь на VC извивается по поводу того, что они сами ничего не могут сделать и как активно они готовы сотрудничать со следствием. Со следствием, не с клиентом! Тьфу, противно просто уже на это все смотреть... Извиняюсь за эмоции - просто накопилось.
В данном случае действует либо п. 13, либо п. 15 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе":
"13. В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента."
"15. В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента - физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица."
http://www.consultant.ru/document/cons_doc_LAW_115625/b0062cfb1c3cae710d57f0557303e78760a31d16/
Согласно этим нормам именно банк должен возместить вам сумму операции без вашего согласия, и добиваться этого необходимо через претензию, финансового уполномоченного и далее суд, а не через полицию.
Ниже в своем ответе на данный комментарий постараюсь описать ситуацию подробнее, как будет время.
Эта статья означает то, что если банк сделал перевод без распоряжения клиента, через согласованный авторизованный способ, то банк эти деньги должен вернуть, и не более того.
Главное здесь - способ, а клиент.
Банк не обязан доказывать, что на той стороне кнопки нажимал конкретный человек, по этой статье важно, что выполнены требования по авторизации и все.
И банк это легко докажет.
Не пудрите людям мозги.
Закон, конечно, можно трактовать по-разному, но в данном случае в законе все указано предельно четко и ясно.
"В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица."
Главное здесь именно согласие клиента. Если, например, банк сначала незаконно допустил третьих лиц в личный кабинет клиента из-за дыр в безопасности или технического сбоя и те изменили способ подтверждения операций, то дальше уже неважно, что распоряжения и подтверждения приходили якобы от имени клиента.
И именно банк должен доказывать, что это клиент нарушил порядок использования ЭСП, что повлекло совершение операции без согласия клиента, а не в самом банке произошла утечка данных, технический сбой, халатность или недобросовестность работников банка.
Я помню на заре начала интернета Мы открывали свою интернет компанию-провайдер. Можно было использовать только сертифицированные биллинговые системы которые прошли проверку ФСБ и не давали возможности изменения информации. У банков такая же система, интересно? Ведь банк может сказать всё что угодно. Единственным подтверждением будет свидетельство от других участников рынка: сотовых компаний которые передавали SMS например. А так как ничего не было то это всё 'писями вилено" и всё верно что в законе которые упоминали выше прописано информирование по SMS, потому что никаких других доказательств банк не сможет предоставить.. думаю что надо идти в суд.
Ты же понимаешь что информирование в Лк и мп это тоже информирование и спокойно входит в ФЗ, не у всех даже смс оповещения о расходных включены.
Согласно п. 4 161-ФЗ оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом.
Таким образом, банк в любом случае обязан направлять уведомление клиенту о совершении КАЖДОЙ операции.
Полное отключения смс и пуш уведомлений является весьма сомнительной практикой. И устанавливать, исполнялась ли банком надлежащим образом обязанность по уведомлению клиента о каждой операции, в конечном итоге будет суд.
Комментарий недоступен
Уважаемый Евгений, я понимаю вас - вы честно написали, что я вас раздражаю, и это совершенно нормально, что раздраженный человек очень хочет подокапываться до объекта раздражения. И попытаться выставить его не разбирающимся ни в чем невежей. Именно поэтому вы так яростно пытаетесь представить элементарную описку как "глупую ошибку". При этом скромно умалчивая о своей собственной квалификации и компетентности.
А она вызывает вопросы, учитывая ваши утверждения.
То есть по вашему мнению, история операций в приложении и интернет-банке является УВЕДОМЛЕНИЕМ об операциях, и тем самым банк исполняет свою обязанность по закону? Скажите, пожалуйста, вы на полном серьезее считаете, что клиент должен 24/7 именно непрерывно смотреть в экран телефона в ожидании появления новых операций? Или всё-таки клиент должен каждую минуту или каждые 10 секунд проверять историю операций, чтобы узнать о совершенных операциях по его картам? Ведь именно в этом смысл уведомлений по вашему мнению, правильно?
В законе указано, что банк НАПРАВЛЯЕТ клиенту УВЕДОМЛЕНИЕ. Как это соотносится с ОТОБРАЖЕНИЕМ ИСТОРИИ операций в дистанционных банках? Вы же понимаете, что направление уведомлений о совершенных операциях НЕ РАВНО отображению истории операций?
Направление уведомлений об операциях - это активное действие в отношении клиента, то есть банк стучится в дверь к клиенту с информацией о новой операции.
А отображение истории об операциях - это пассивное действие, то есть банк подходит к двери и молча ждет, пока клиент сам откроет дверь и получит информацию.
Если для вас не очевидно, что в данном случае банки откровенно злоупотребляют своим правом устанавливать форму уведомления согласно договору и выдают за уведомления об операциях совсем не уведомления об операциях, то ваше право поддерживать позицию банков. Только не надо при этом оскорблять придерживающихся иного мнения, яростно брызгая слюной, хорошо?
Если бы в ваших высказываниях было меньше раздражения и откровенного желания принизить другого человека, и больше конструктивной конкретики, то вашу критику можно было бы воспринимать всерьез. Но пока, к сожалению, вы воспринимаетесь просто как очередной охотник на ведьм. Слепой в своей ярости и жестокий в своей беспощадности.
Комментарий недоступен
Уважаемый Евгений, к сожалению, вы противоречите сами себе и откровенно демонстрируете двойные стандарты.
Вы сами написали, что вы инженер, а не юрист, но при этом с пеной у рта и с абсолютной убежденностью доказываете что-то по юридическим вопросам, которые, по вашей же логике, вне сферы вашей компетенции. И не надо говорить, что вы нигде и никому не раздаете советов. Вы сейчас публично СОВЕТУЕТЕ мне "не вредить людям", потому что вы решили, что я им врежу. И публично с пеной у рта доказываете, что вы правильно понимаете ситуацию, а я неправильно. И, не являясь юристом, представляете другим людям свою юридическую трактовку как единственно правильную и корректную.
Чем в вашем собственном понимании и по вашей собственной логике вы отличаетесь от вашего собственного понятия "обычного человека, который решил что он очень умный в юридических вопросах"? Который "должен успокоиться и просто перестать писать бред из своей головы"?
Подробнее отвечу вам позже.
Комментарий недоступен
Ещё одно противоречие - спорить со мной бессмысленно и бесполезно, но вы упорно и с пеной у рта продолжаете это делать) И абсолютно безапелляционно разбираете пункт статьи фз, не являясь юристом.
Вы уж определитесь - либо мы общаемся уважительно и на равных, и вы перестаёте меня поучать и оскорблять. Либо вы продолжаете разыгрывать из себя псевдоюриста-охотника на ведьм, поучать меня и утверждать, что я несу бред и чушь. Пожалуйста, разберитесь с тем, что происходит у вас в голове, прежде чем набрасываться на людей в интернете.
И да, если вы не заметили, вы уже третье сообщение подряд раздаете мне советы, кому и что мне писать на VC, о которых я вас не просил, не являясь ни юристом, ни моим личным психологом, ни моим уполномоченным лицом по связям с общественностью. При этом лично вам я ничего не советовал и не консультировал вас. Хотя вам на самом деле очень бы не помешала консультация - по культуре и этикету общения с людьми)
Рад, что хотя бы в конце 3-го сообщения вы наконец решили позвать юристов) Хотя я сам в этой теме неоднократно обращался к Тинькову за юридически обоснованным ответом. Может, хоть на ваш призыв они наконец откликнутся)
А сбер у меня за это денежку требует ежемесячно и я отключил эти уведомления. Теперь он должен мне их бесплатно присылать. Я правильно понял?
В целом правильно. Но трактовка данной нормы уже давно является предметов активных споров и дискуссий . Вопрос в том, готовы ли вы судиться со Сбером ради подключения бесплатных уведомлений?
Комментарий недоступен
Да, да, именно оповещает и уведомляет) И вообще клиенту нужно для каждого банка иметь отдельный телефон, на котором 24/7 держать разблокированный экран с приложением банка и наблюдать за появлением новых операций в истории. Не забывая регулярно повторно входить в приложения из-за логаута ввиду неактивности. И везде ходить с пюпитром со всеми телефонами, постоянно держа их перед глазами, чтобы вдруг не пропустить информацию о совершенной операции в одном из банков.
"в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции"
Очень удобно
В законе дырка. Там не обязательно уведомлять СМС. Вот если бы было только СМС все бы упрощалось. Они уведомляют пуш-кодами, а затем в суд дают поддельные документы, что клиент был уведомлен. С этим что делать?
Да, в целом согласен с вами. И, на мой взгляд, дырка не столько в самом законе, сколько в применении данного закона.
Потому что В законе указано, что банк именно НАПРАВЛЯЕТ клиенту УВЕДОМЛЕНИЕ. И направление уведомлений о совершенных операциях НЕ РАВНО отображению истории операций.
Направление уведомлений об операциях - это активное действие в отношении клиента, то есть банк стучится в дверь к клиенту с информацией о новой операции.
А отображение истории об операциях - это пассивное действие, то есть банк подходит к двери и молча ждет, пока клиент сам откроет дверь и получит информацию.
Очевидно, что в данном случае банки откровенно злоупотребляют своим правом устанавливать форму уведомления согласно договору и выдают за уведомления об операциях совсем не уведомления об операциях.
Для защиты от псевдо-пуш-уведомлений могу порекомендовать направить в банк письменное заявление об отключении пуш-уведомлений и запрете на их подключение даже без взимания платы без уведомления и согласия клиента в письменной форме. И посмотреть, что банк ответит вам.
К чему эксперименты - ответят, что не могут этого сделать. Это их порядок и он закону не противоречит. Уже обращался. Они лучше вас знают, что таким образом снимают с себя ответственность.
Пуши сами по себе закону не противоречат, а вот их навязывание при наличии тех же смс в договоре уже противоречит и ограничивает свободу выбора клиента. Что, если клиент не пользуется мобильным интернетом или живёт в удаленном районе, где мобильный интернет просто отсутствует?
В законе дырка. Там не обязательно уведомлять СМС. Вот если бы было только СМС все бы упрощалось. Они уведомляют пуш-кодами, а затем в суд дают поддельные документы, что клиент был уведомлен. С этим что делать?
Вот я про это и говорю. Пока биллинговая система не сертифицированная и не подтверждена все эти доводы и документы ничего не стоят
Заря Интернета это 1991 год. Тогда ФСБ-то не было толком :-)
Дело в 2002 было:)
У меня однажды со Сбера сняли бабло, 12к примерно.
Я был просто уверен, что никак не мог скомпрометировать свои данные, потому что я ей не пользовался нигде по сути, а лишь переводил всю зп в другой банк.
Написал заявление в Сбер об операции, которую не совершал и мне вернули это бабло через пару месяцев. Сказали, что если бы перевод был осуществлён через пин-код или код в смс, то мне бы не вернули.
Я просто хочу сказать, есди злоумышленники сумели взломать систему безопасности банка, то пускай этот банк и отвечает за свои дырявую безопасность, клиент не должен в этом случае пострадать.
Все правильно.
Сохранность ПИН и смс кодов - задача клиента.
А вот перевод в обход клиента - проблема банка.
Бесполезно. Мечты о волшебнике с голубого вертолёта очень крепки. Из разряда «каждому россиянину принадлежит часть дохода от недр». Как будто достаточно знать какую-то волшебную фразу, написанную в книгах, но не известную широкой публике, и на тебя сразу прольётся золотой дождь.
Заплюсованность первого комментария это доказывает.