Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Мы выяснили, что в тот день в приложение входили только с вашего устройства, сверили IP. QR-код сформировали в приложении, а вошли с вашего устройства, у нас не было никаких оснований полагать, что это сделали не вы и поэтому мы не отправляли код подтверждения для выпуска QR. По самому выпуску QR сейчас уведомления не отправляем, ведь клиент в приложении сам его выпускает. По всему процессу выпуска QR-кодов оставили обратную связь. Мы не можем углубляться в принципы работы мониторинга мошеннических операций по понятным причинам, но в вашем случае система сбоев не давала.
В момент вашего звонка вы сообщили, что передали злоумышленникам какие-то данные по карте, но не уточнили какие. Мы тут же заблокировали все карты по мошенничеству. В таком случае блокируем возможность совершать какие-либо операции в приложении и личном кабинете. Жаль, но затем не поменяли статус по одной из карт, поэтому ограничения сохранились и вы некоторое время не могли пользоваться приложением и личным кабинетом. Проведем работу над ошибками, простите.
Саму операцию мы не можем оспорить. Дело в том, что QR сгенерировали через приложение, а вошли в приложение с помощью ввода аутентификационных данных и с вашего устройства. Такие операции считаются совершенными с вашего согласия. Мы будем помогать правоохранительным органам всеми возможными способами, если получим нужный запрос. Жаль, что вам пришлось столкнуться с мошенничеством.
Уважаемый Тиньков,
Кем именно и на каком основании в данном случае операции считаются совершенным "с согласия клиента"?
Чем именно и как именно по вашему мнению в данном случае доказывается "согласие" клиента?
Чем именно и как именно доказывается, что QR коды были выпущены именно на устройстве клиента?
Как именно QR коды пропали от автора в Санкт-Петербурге к мошенникам в Пятигорске? Почему данная операция не показалась банку подозрительной? Неоднократное снятие больших сумм в другом городе новым для клиента способом в короткий промежуток времени.
С чего бы операция должна показаться подозрительной, если QR коды и предназначены для того, чтобы деньги снял другой человек?
Снял 4 раза по 150 тыс. другой человек новым для автора способом в другом, новом для автора городе, где он никогда не снимал. Вообще ничего подозрительного)
Ещё раз - QR коды предполагают, что деньги снимает другой человек. Скажем, находясь в другой стране я так могу поделиться деньгами с родственниками.
То, что было совершено несколько операций подряд, и это подозрительно - можно согласиться, но с оговорками.
Если вы регулярно делитесь с родственниками в определенной стране или городе, то ничего подозрительного, все норм.
Но здесь автор никогда ни с кем не делился деньгами в другом городе через коды, и вдруг решил поделиться сразу всеми деньгами со счета.
Большинство банков даже обычный перевод через интернет-банк на сумму больше 30-50 тыс. новому получателю приостанавливают и звонят подтверждают.
Еще раз - вы, кажется, предлагаете каждому человеку, кто воспользвался новой для функцией, столкнуться с трудностями.
На мой взгляд, это лучше, чем если новой функцией воспользуются мошенники.
Я лично заранее морально готов и даже радуюсь, когда банки реагируют на какие-то необычные для меня финансовые операции, которые я решаю провести.
Для меня это означает, что служба безопасности банка и настройки безопасности банка реально работают.
Вот только деньги крадут со всех банков, что и говорит не о большой эффективности подобных мер. Проблема заключается в непредсказуемости поведения этой системы для пользователя, поскольку поведение и траты у всех кардинально разные эта система лишь имеет некоторый шанс сработать, и никаких гарантий она давать не может. Ложное чувство безопасности может быть очень обманчивым)
В случае автора подобная система предотвратила бы списание. То есть с ней уровень безопасности в любом случае выше, чем без нее.
Кроме того, список критериев операций без согласия установлен ЦБ РФ и обязателен для банков:
Утверждены приказом Банка России от 27 сентября 2018 года № ОД-2525
Признаки осуществления перевода денежных средств без согласия клиента
1. Совпадение информации о получателе средств с информацией о получателе средств по переводам денежных средств без согласия клиента, полученной из базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента, формируемой Банком России в соответствии с частью 5 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» (далее – база данных).
2. Совпадение информации о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств, с информацией о параметрах устройств, с использованием которых был осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, полученной из базы данных.
3. Несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств) операциям, обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности)
Насколько я могу судить, у них такая система есть, но она не предотвартила списание, и это как раз то, о чем я говорил выше. Перечисленные же пункты - не более чем набор слов, без каких-либо четких критериев и технических деталей, особенно последний пункт. Так часто бывает, юристы - они не бизнес аналитики, и частельно живут в отрыве от реальности, выдвигая требования, которые не только написаны максимально запутанным языком (не особо понятно зачем), но еще и не выдерживающие никакой критики. С такими требованиями должнен идти набор математических закономерностей для проверки, а не вот это все.
Тем не менее: "обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности)"
Если автор поста ни разу в жизни до этой ситуации не совершал операций по снятию с помощью QR-кода, закон однозначно на его стороне.