С дебетовой карты «Тинькофф» украли мои средства
Являюсь клиентом банка более пяти лет, карту использовал все это время как зарплатную, расплачивался за покупки, переводил друзьям и родным деньги, практически не снимал наличные.
В один "прекрасный" вечер 08 сентября 2021 приходит смс с кодом от банка, тут же раздается звонок с номера банка(подмена номера), "оператор" сообщает, что произошла подозрительная операция, мол не переживайте, карту сейчас заблокируем, средства в безопасности. Начинается общение с "сотрудником" Банка в ходе которого у меня не просят никаких подозрительных данных типа цифр из СМС или с оборота карты, так проходит около 40 минут. Приходит сообщение о снятии 145000 рублей, "оператор" уверяет, что сейчас всё заблокируют и продолжает удерживать меня на линии. Через 40 минут происходит ещё три снятия на схожие суммы с интервалом в 3-5 минут, после чего карту всё таки блокируют. Начинаются странные вопросы от "оператора" по кредитной карте, мол сейчас вам придет код в смс и так далее. Тут я уже почуял неладное и самостоятельно перезваниваю в банк и пытаюсь разобраться в произошедшем.
Как же злоумышленники сняли средства, спросите вы? По QR коду (модное словосочетание) в банкомате банка Тинькофф, в городе Пятигорске (я проживаю в Санкт-Петербурге и за несколько часов до этих снятий пользовался картой в магазине).Каким-то образом злоумышленники попали в личный кабинет, выпустили несколько QR-кодов и сняли деньги.
Естественно я обратился в банк и правоохранительные органы. Банк взял 20 дней на рассмотрение ситуации, итог рассмотрения: "Безопасность личного кабинета это ответственность клиента, обратитесь в полицию, мы им с расследованием поможем". При этом на весь период рассмотрения у меня были заблокированы переводы и я не мог обезопасить свои средства от дальнейших посягательств.Точнее мог, в личном кабинете можно убрать галочку с пункта "Снятие наличных" по карте. И даже СМС подтверждения не требуется, правда и для снятия ограничения СМС тоже не требуется, достаточно доступа к личному кабинету.
В связи с чем у меня ряд вопросов к Банку, который так гордится своей IT платформой:
1. Каким образом был получен доступ в личный кабинет, учитывая отсутствие входов с посторонних устройств и каких-либо смс об этих входах?
2. Почему для выпуска QR кода на снятие наличных на такие внушительные суммы не требуется СМС подтверждения?!
3. Почему не приходят оповещения о выпуске данных кодов?!Эти два пункта проверялись несколькими клиентами банка по моей просьбе.
4. Почему банк не блокирует настолько нехарактерные для клиента операции, ещё и в чужом регионе, как делают те же Альфа-Банк и Сбербанк?!
На мой взгляд это полный провал anti fraud систем банка и службы безопасности, просто немыслимый для 2021 года, заслуживающий внимания как со стороны профессионального сообщества, так и со стороны руководства Банка и контролирующих органов.
Вы 161-фз вообще читали? Если операция совершена не вами и вы никаких кодов никому точно не говорили - то пишите заявление в банк указываете что в соответствии с п.11 ст.9 161-фз обращались к ним незамедлительно после обнаружения факта использования средствп электронного платежа без вашего согласия, что было не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции. В соответствии с пунктом 12 ст. 161-фз После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
Есть ли конкретные примеры, когда в подобной ситуации банк вернул деньги?
Дело в том, что в случае, описанном автором, любой банк без труда покажет, когда и с каких IP-адресов были сеансы доступа в личный кабинет и сформированы коды для снятия наличных. Поскольку клиент был аутентифицирован, все эти операции придется признать совершенными им лично, и далее спорить уже будет не о чем.
(да, и клиент тут в комментариях, кстати, признает что выдал "какие-то" данные мошенникам, так что советовать ему писать заявление о возврате средств не слишком... продуктивно).
Ключевой момент, что всю доказательную базу формировать будет сам банк.
Простите, не могу понять, о чем вы. У банка есть подробные логи и IP-адреса, которые можно сопоставить с данными провайдера (это через официальный запрос от органов). У вас - долгий разговор с мошенниками, в ходе которого вы им что-то сообщали. Тут, видите, не слишком выигрышное положение.
банк должен доказать что вы авторизовали операцию, либо это у них дыра. до преведения операции банк еще и должен уведомить что конкретно вы авторизуете, а не просто "код 1234". у банка есть для этого ресурсы - все логи, своя служба безопасности, большие договора и постоянное взаимодействие с операторами связт, взаимодействие с цб для определения что куда переведено. у пользователя всех этих ресурсов нет - отправлять его самого искать куда перевелись деньги абсолютно некорректно. Если бы однозначная публичная позиция ЦБ - возвращать все платежи (все операции по переводу - отменимы, а по снятию наличных - легко установить лиц кто снимал и взыскать с них), то случаев мошенничества было бы минимальное количество - гайки на авторизации операций, на проверке клиентов бы подкрутили и все.
Если операция была проведена через личный кабинет, любой банк легко покажет подробные логи, когда того потребует официальное разбирательство.
Но здесь может быть и другой сценарий. Давайте просто представим, что автор статьи передал мошенникам любые данные (секретные), которые потребовались им, чтобы восстановить доступ в личный кабинет и зайти в него. Естественно, все это тоже протоколируется. Какие претензии к банку остались бы в таком случае?
Ну и традиционный вопрос: вы мне что-то продали, я вам перевел деньги, потом пошел в банк и отменил операцию. Как вам быть в таком случае?
Банк придумал авторизацию каким-то образом, поверьте значит банк придумал как он будет доказывать что авторизация была проведена. Значит он проверяет что перевод летит проверенному и безрисковому другому клиенту и значит в смс тоже текст который полностью раскрывает суть операции. Либо банк сделал авторизацию на коленке и в тарифы заложил риск фрода. По традиционномц вопросу - в России традиционно путают ПЛАТЕЖ и ПЕРЕВОД, причем делается это отчасти намерянно, например рекламируемый СБП (система быстрых платежей) не является платежами это _переводы_, причем безотзывные и без рассмотрения каких либо в споров (органов рассматривающих чаржбеки в принципе не предусмотрено). А вот виза/мастеркард это система ПЛАТЕЖЕЙ и рассмотрение споров там предусмотрено и входит в прайс. Так вот не оплачивайте товар денежными _переводами_, тогда у вас всегда будет единая операция связывающая услугу/товар и сумму которую вы за нее платите. Причем сумму -конечную (например виза запрещает дробить отчасти чтобы не было фрода от продавцов в стиле вы купили но не все). Сделать денежные переводы мозгов много не надо. А вот догнать старые _платежные_ системы - никакой финтех быстро не сможет, платежеи собаку съели на рисках от операций, там опыта 50 лет.
зачем? достаточно, что клиент не может доказать, что это не он прошёл авторизацию
клиент не может ничего доказывать, он в этом вообще не разбирается никак, он просто потребитель. платеж/перевод авторизовывает банк, запрашивая или не запрашивая у клиента некие данные для своей авторизации и принимая решение исходя из риска такой операции. он ведь не пин-код в платежной системе просит, а некие сущности которые напридумывали свои разработчики и утвердила своя служба безопасности и менеджеры-рисковики. параметров при этом обрабатывается привеликое множество, основное конечно где клиент, куда идет платеж/перевод. даже в 161-фз не указано что клиент должен там что-то доказывать.
Не может, но должен. В гражданском судопроизводстве все стороны равны и каждая сторона самостоятельно заявляет и доказывает свою позицию.
Это не всегда так, поскольку законом могут быть предусмотрены специальные случаи распределения бремени доказывания.
Как раз в данном случае согласно п. 15 161-ФЗ доказывать, что клиент нарушил правила использования ЭСП должен именно банк.
пункт 15 какой статьи?
п. 15 ст. 9 Федерального закона "О национальной платежной системе" от 27.06.2011 N 161-ФЗ:
"В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента - физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица."
http://www.consultant.ru/document/cons_doc_LAW_115625/b0062cfb1c3cae710d57f0557303e78760a31d16/
Ну так он легко это докажет.
Как? Особенно если клиент ни чего не нарушал?
Предоставят логи, что QR-код был выпущен из авторизованной зоны приложения Тинькофф, доступ к которой должен быть только у клиента.