Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
40 минут мариновали, и ничего не спросили.
Кого вы тут пытаетесь обмануть?
Вы им или коды диктовали, или скачивали тимку, или что то подобное.
Не бывает такого, что вы им ничего не предоставили, а у вас спёрли деньги.
Тогда бы всю страну так за месяц обворовали.
Что то вы недоговариваете
Мне вот например очень хочется верить, что он им что-то сказал, потому что если нет, то это очень страшно, в опасности каждый))
Конечно сказал, иначе и быть просто не могло.
Кого он тут обмануть пытается?
А вы получается рядом с автором сидели там?) Или рядом с мошенниками?) Рядом с кем свечку держали, признавайтесь?)
Комментарий недоступен
Я борец с несправедливостью и нарушением прав. Неважно, с чьей стороны. В данном случае мошенники и банк плохо себя ведут, а не автор по имеющейся информации.
Где именно признавался и какие именно данные, укажите ссылку, пожалуйста?
Комментарий недоступен
Какие-то? Давайте, вы сначала точно назовете, какие именно, а потом будете что-то утверждать.
Если он рассказал мошенникам, например, что кушал с утра на завтрак овсянку, то на что это могло повлиять?
Самое главное, что автор не сообщал смс-коды и пин-код. Остальное все не особо важно.
Я говорил, что банк плохой в первую очередь в том плане, что ввел автора в заблуждение относительно прав и обязанностей автора и банка в данной ситуации.
И какие бы данные автор не передавал мошенникам, это в любом случае не отменит уже произошедшего недобросовестного поведения банка в данной ситуации и введение банком клиента в заблуждение.
Кроме этого банк оказал некачественную финансовую услугу автору, так как не обеспечил надлежащую безопасность доступа к формированию распоряжений на перевод денежных средств.
Не странно ли то, что вы предлагаете банку или даже сторонним комментаторам назвать, какие конкретно данные автор статьи передал мошенникам, но не интересуетесь этим у самого автора? Давайте просто представим, что он передал им любые данные (секретные), которые потребовались мошенникам, чтобы восстановить доступ в личный кабинет и зайти в него. После этого какие конкретно претензии к банку у вас остались бы?
Понимаете, автор в данной ситуации жертва. То, что он какие-то данные передал под психологическим воздействием мошенников, не делает его виноватым. Его права в данной ситуации как более слабой и уязвимой стороны договора защищаются действующим законодательством.
Важно, что автор не передал самые главные данные - смс-коды и пин-код. Если же передача каких-то данных, кроме прямо запрещенных к передаче третьим лицам, может привести к несанкционированному доступу в личный кабинет, то да, это претензии к банку о том, что он не обеспечивает надлежащий уровень безопасности.
Если банк не согласен с этим, то повторяю, именно на банке лежит бремя доказывания нарушения клиентом правил использования ЭСП. Пусть доказывает, что клиент передал данные, которые нельзя было передавать по правилам использования ЭСП в рамках договора с банком.
Если банк в договоре с клиентом прямо не указал, какие именно данные клиент не должен сообщать третьим лицам, то у клиента и не возникает соответствующей обязанности не сообщать эти данные, и, следовательно, нарушения правил пользования ЭСП.
Если защищаются законодательством, то есть ли конкретные, описанные в медиа, в судебных решениях прецеденты возврата средств клиенту, который находился под психологическим воздействием мошенников? Вот вы часто пишете про 161-ФЗ - по нему, например?
Вы можете самостоятельно зайти в ту же ГАС Правосудие и изучить судебную практику. Практик по подобным случаем огромное количество как в пользу клиентов, так и в пользу банков. Как оспоренных, так и не оспоренных. И можете поискать в конкретных решениях интересующие именно вас обстоятельства дела.
В той же статье РБК из данной темы один из экспертов приводит пример:
"Партнер юридической компании «Деловой фарватер» Роман Терехин предлагает обосновать претензии к банку по статье 847 ГК РФ. По ней клиент должен подтвердить свое распоряжение о списании средств собственноручной подписью, введением кода или пароля. Терехин говорит, что пока факт компрометации ключей и паролей по вине клиента не доказан, клиент остается прав. По его словам, доказывать правомерность операции должен именно банк. В противном случае он обязан возместить потери.
Терехин приводит в пример похожее дело, рассматривавшееся Приморским краевым судом против Сбербанка. Тогда суд поддержал клиента банка в похожей ситуации, так как банк не доказал, что истец разгласил пин-код, номер карты или иные сведения. Также не было доказательств передачи карты другим лицам или несоблюдения клиентом мер предосторожности пользования картой."
Так мы все читали это. В подавляющем большинстве случаев речь и идет о "факте компрометации ключей и паролей по вине клиента". Из этих клиентов большинство понимают свою вину, ну а небольшая часть идет в суд. Наверняка какие-то непростые случаи бывают, но явно не этот.
Авторизацию разработал банк. Точка. Он мог раздать всем дигипассы, но сделал авторизацию дешевле, но и риски при этом больше. Не клиент. Клиент не видит кому и куда уходят деньги - какой счет и какой инн. Банк видит все детали и может даже отклонить сам.
Послушайте, уже не особо продуктивное обсуждение идет. Вот что Верховный Суд постановит по данному делу, если до него дело дойдет - на то и будем ориентироваться.
Но, чтобы до него дело дошло, необходимо соблюдение всех остальных юридических процедур. Банк пока от этих процедур уклоняется и по словам автора даже не предлагает обратиться к банку с претензией, а потом в случае отказа к финансовому уполномоченному и в суд. Только сообщает, что автор сам виноват и должен идти в полицию.