Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Уважаемый Алексей,
Банк по сути вас просто послал, отправив в полицию.
Есть правовые нормы, которые все банки тщательно скрывают от клиентов в данной ситуации, вместо этого нагло и недобросовестно отправляя всех пострадавших клиентов в полицию.
Банки уже просто весь стыд потеряли, каждый раз умывая руки и отправляя клиентов в полицию, хотя именно банки по 161-ФЗ несут ответственность перед клиентом. Но банки ВСЕГДА, ВСЕГДА об этом молчат. И здесь на VC тоже. Тот же Альфа каждый раз здесь на VC извивается по поводу того, что они сами ничего не могут сделать и как активно они готовы сотрудничать со следствием. Со следствием, не с клиентом! Тьфу, противно просто уже на это все смотреть... Извиняюсь за эмоции - просто накопилось.
В данном случае действует либо п. 13, либо п. 15 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе":
"13. В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента."
"15. В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента - физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица."
http://www.consultant.ru/document/cons_doc_LAW_115625/b0062cfb1c3cae710d57f0557303e78760a31d16/
Согласно этим нормам именно банк должен возместить вам сумму операции без вашего согласия, и добиваться этого необходимо через претензию, финансового уполномоченного и далее суд, а не через полицию.
Ниже в своем ответе на данный комментарий постараюсь описать ситуацию подробнее, как будет время.
Вам не кажется, что Вы многое в пустоту пишете просто? Всё подряд дёргаете и вставляете текстом.
"... оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента." - в том и дело, что эти коды создавались в приложении клиента, куда был доступ только у него. Как это можно считать "без согласия клиента"?
Нет, не кажется. Я обычно понимаю, что и зачем я пишу. Если где-то допускаю ошибки или неточности, то готов выслушать конструктивную обратную связь, признать и исправить ошибки или неточности, если они на самом деле присутствуют.
Скажите пожалуйста, а как именно вы установили, что доступ к приложению клиента был ТОЛЬКО у клиента? И как вы установили, что банк предоставляет нам здесь в своем ответе достоверную, точную и полную информацию?
Эти операции были "без согласия клиента", потому что клиент не давал согласия на данные операции.
Кроме того, данный комментарий был мной написан ДО ответа банка о том, что якобы коды создавались именно в приложении на устройстве клиента.
Думаю, что это технически очень просто установить - посмотреть логи входа в приложение. И понять, что кроме него никто не заходил.
По поводу достоверной информации от банка - мы с Вами об этом никак не узнаем. Но, отсюда и следует, что нужно обращаться именно в полицию, для решения этого вопроса. Кто ещё будет с этим разбираться, если банк говорит, что операция выполнена самим клиентом?
То есть, по вашему мнению, некие "логи", представленные самим банком из своей базы являются необходимым и достаточным доказательством в данном случае?
Говорить можно что угодно. В суде банку нужно будет это именно ДОКАЗАТЬ. Пока банк это не докажет, согласно указанным мной выше нормам разбираться с этим всем нужно будет именно банку, именно он будет нести ответственность. В случае, конечно, если автор будет обращаться с письменной претензией, к финансовому уполномоченному и дальше в суд.
При этом автор также будет вправе собирать и представлять доказательства в свою пользу. В том числе истребовать их через суд с помощью судебных запросов. Приводить свои доводы, оспаривать доказательства со стороны банка и т.д.
А что будет автор делать в полиции? Ходить туда каждый день с палкой? Дрючить их через прокуратуру? Или вы думаете, что полиция сама будет активно все изучать и исследовать? Вы же прочитали, что автор уже давно обратился в полицию и толку ноль? С кого по-вашему автору будет больше шансов взыскать денежные средства - с банка, допускающего подобные дыры в безопасности, или с мошенников, которых уже и след давно простыл вместе с деньгами?