Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Мы выяснили, что в тот день в приложение входили только с вашего устройства, сверили IP. QR-код сформировали в приложении, а вошли с вашего устройства, у нас не было никаких оснований полагать, что это сделали не вы и поэтому мы не отправляли код подтверждения для выпуска QR. По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает. По всему процессу выпуска QR-кодов оставили обратную связь. Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам, но в вашем случае система сбоев не давала.
В момент вашего звонка вы сообщили, что передали злоумышленникам какие-то данные по карте, но не уточнили какие. Мы тут же заблокировали все карты по мошенничеству. В таком случае блокируем возможность совершать какие-либо операции в приложении и личном кабинете. Жаль, но затем не поменяли статус по одной из карт, поэтому ограничения сохранились и вы некоторое время не могли пользоваться приложением и личным кабинетом. Проведем работу над ошибками, простите.
Саму операцию мы не можем оспорить. Дело в том, что QR сгенерировали через приложение, а вошли в приложение с помощью ввода аутентификационных данных и с вашего устройства. Такие операции считаются совершенными с вашего согласия. Мы будем помогать правоохранительным органам всеми возможными способами, если получим нужный запрос. Жаль, что вам пришлось столкнуться с мошенничеством.
Уважаемый Тиньков,
Кем именно и на каком основании в данном случае операции считаются совершенным "с согласия клиента"?
Чем именно и как именно по вашему мнению в данном случае доказывается "согласие" клиента?
Чем именно и как именно доказывается, что QR коды были выпущены именно на устройстве клиента?
Как именно QR коды пропали от автора в Санкт-Петербурге к мошенникам в Пятигорске? Почему данная операция не показалась банку подозрительной? Неоднократное снятие больших сумм в другом городе новым для клиента способом в короткий промежуток времени.
Меня смутил этот кусок из ответа банка: "у нас не было никаких оснований полагать, что это сделали не вы и поэтому мы не отправляли код подтверждения для выпуска QR. По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает."
Мало того, что уведомления должны быть по любой операции с деньгами, так еще и в условиях выпуска QR они сами написали, что шлют код подтверждения.
Банк признал, что никаких кодов при выпуске QR он не шлёт.
А ещё тинь не оповещает об операциях по оплате своего примиума и прочих подписок. Ну, чтобы если вы подключили чисто на месяц бесплатно, то потом было больше шансов забыть и не отключать подписку.
Прочитайте о том, что такое «рекуррентное списание».
Прямо в точку, браво! Банк очень ловко описал этот скользкий момент, но от вас это не укрылось)
Вы ошиблись. Здесь кто-то ошибочно написал, что якобы в справке банка указано, что придет СМС-код подтверждения. Вы не стали проверять эту информацию. На самом деле там написано, что сразу придет уже сгенерированный QR-код в уведомлении.
Ув. Искатель, что вы пишите, мне впринципе понятно, я согласен что банки ведут себя не добросовестно. Но как удостовериться, что, например автор это все не разыграл, пррвернув такую операцию, в расчёте получить компенсацию. Опустим что это уголовное преступление.
Позвонить автору и спросить, с его ли согласия осуществляются множественные снятия крупных сумм в новом для автора городе новым для автора способом.
У банка есть такая обязанность согласно п. 9.1 ст. 9 Закона о НПС. Вопрос в том, почему банк не усмотрел в данных операциях признаков перевода без согласия клиента?
9.1. В случаях выявления оператором по переводу денежных средств операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, оператор по переводу денежных средств приостанавливает использование клиентом электронного средства платежа и осуществляет в отношении уменьшения остатка электронных денежных средств плательщика действия, предусмотренные частями 5.1 - 5.3 статьи 8 настоящего Федерального закона. При получении от клиента подтверждения возобновления исполнения распоряжения, указанного в пункте 2 части 5.2 статьи 8 настоящего Федерального закона, оператор по переводу денежных средств обязан незамедлительно возобновить использование клиентом электронного средства платежа. При неполучении от клиента подтверждения возобновления исполнения распоряжения, указанного в пункте 2 части 5.2 статьи 8 настоящего Федерального закона, оператор по переводу денежных средств возобновляет использование клиентом электронного средства платежа по истечении двух рабочих дней после дня совершения им действий, предусмотренных частью 5.1 статьи 8 настоящего Федерального закона.
Студент, здесь операция по снятию наличных))). Сырой вы еще.
То есть вы полагаете, что если происходит снятие наличных без согласия клиента, то норма вообще не применяется? Даже по аналогии?
Да хоть при трилогии. Снятие наличных это не перевод денежных средств. Снятие происходит в одном банке, в переводе же взаимодействуют два банка.
А если снятие наличных не в банкомате банка-эмитента ЭСП, а в банкомате стороннего банка?
Да хоть в стороннем банке другой страны.
С чего бы операция должна показаться подозрительной, если QR коды и предназначены для того, чтобы деньги снял другой человек?
Банки анализируют "типичность" совершаемых операций в реальном времени. Для меня снятие наличных с карты в принципе не типичная операция, тем более посредством QR кода
Что значит «не типичная»? Снятие наличных допустимо при обслуживании в любом банке.
Если на каждую «нетипичную» операцию банки будут очень сильно реагировать и блочить все, что возможно и невозможно - вы ровно с такой же горящей жопой будете обрывать горячую линию банка с фразой «КАКОЕ ПРАВО ИМЕЕТЕ БЛОКИРОВАТЬ МОИИИИ КААААРТЫ»
Функция новая, никто из клиентов её раньше не использовал просто потому что её не было. Вы предлагаете, чтобы каждый человек, кто решил ей воспользоваться, сталкивался с невозможностью это сделать? А в чем конкретно по вашему мнению польза такой проверки, если проверяться будут вре подряд?
Функции уже года 3. Забавно, что о ней, оказывается, многие не знают.
Это не такой большой срок для достаточного охвата аудитории, что подтверждается тем, что многие о ней не знают.
И тут мы подобрались к цели поста:
@Тинькофф где моя премия за рекламу данного функционала?
Снял 4 раза по 150 тыс. другой человек новым для автора способом в другом, новом для автора городе, где он никогда не снимал. Вообще ничего подозрительного)
Ещё раз - QR коды предполагают, что деньги снимает другой человек. Скажем, находясь в другой стране я так могу поделиться деньгами с родственниками.
То, что было совершено несколько операций подряд, и это подозрительно - можно согласиться, но с оговорками.
Если вы регулярно делитесь с родственниками в определенной стране или городе, то ничего подозрительного, все норм.
Но здесь автор никогда ни с кем не делился деньгами в другом городе через коды, и вдруг решил поделиться сразу всеми деньгами со счета.
Большинство банков даже обычный перевод через интернет-банк на сумму больше 30-50 тыс. новому получателю приостанавливают и звонят подтверждают.
Еще раз - вы, кажется, предлагаете каждому человеку, кто воспользвался новой для функцией, столкнуться с трудностями.
На мой взгляд, это лучше, чем если новой функцией воспользуются мошенники.
Я лично заранее морально готов и даже радуюсь, когда банки реагируют на какие-то необычные для меня финансовые операции, которые я решаю провести.
Для меня это означает, что служба безопасности банка и настройки безопасности банка реально работают.
Вот только деньги крадут со всех банков, что и говорит не о большой эффективности подобных мер. Проблема заключается в непредсказуемости поведения этой системы для пользователя, поскольку поведение и траты у всех кардинально разные эта система лишь имеет некоторый шанс сработать, и никаких гарантий она давать не может. Ложное чувство безопасности может быть очень обманчивым)
В случае автора подобная система предотвратила бы списание. То есть с ней уровень безопасности в любом случае выше, чем без нее.
Кроме того, список критериев операций без согласия установлен ЦБ РФ и обязателен для банков:
Утверждены приказом Банка России от 27 сентября 2018 года № ОД-2525
Признаки осуществления перевода денежных средств без согласия клиента
1. Совпадение информации о получателе средств с информацией о получателе средств по переводам денежных средств без согласия клиента, полученной из базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента, формируемой Банком России в соответствии с частью 5 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» (далее – база данных).
2. Совпадение информации о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств, с информацией о параметрах устройств, с использованием которых был осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, полученной из базы данных.
3. Несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств) операциям, обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности)
Насколько я могу судить, у них такая система есть, но она не предотвартила списание, и это как раз то, о чем я говорил выше. Перечисленные же пункты - не более чем набор слов, без каких-либо четких критериев и технических деталей, особенно последний пункт. Так часто бывает, юристы - они не бизнес аналитики, и частельно живут в отрыве от реальности, выдвигая требования, которые не только написаны максимально запутанным языком (не особо понятно зачем), но еще и не выдерживающие никакой критики. С такими требованиями должнен идти набор математических закономерностей для проверки, а не вот это все.
Тем не менее: "обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности)"
Если автор поста ни разу в жизни до этой ситуации не совершал операций по снятию с помощью QR-кода, закон однозначно на его стороне.