Сегодня обсудим как кредитные организации (Банки) обязаны, определять нетипичные операции или операции без согласия клиента – потребителя при совершении операций в системе ДБО и определяют ли. Напомним читателям, что мы разбираем конкретные факты, которые произошли с конкретным клиентом-потребителем буквально «по запчастям».
Начало статьи здесь: https://rreporter.ru/rassledovaniya/ob-otvetstvennosti-bezotvetstvennosti-banka-i-kibermoshennikah.html.
Продолжение статьи часть 2 здесь: https://rreporter.ru/rassledovaniya/ob-otvetstvennosti-bezotvetstvennosti-banka-i-kibermoshennikah-ch-2.html
Продолжение статьи часть 3 здесь:
https://rreporter.ru/ekonomika/kak-segodnya-banki-zashhishhayut-nashi-dengi.html
Продолжение статьи часть 4 здесь:
https://rreporter.ru/rassledovaniya/o-telefonnom-moshennichestve-cherez-metody-soczialnoj-inzhenerii.
О телефонном мошенничестве через методы социальной инженерии.
Немного юриспруденции.
Банк Авангард нарушил требования по выявлении банком операций, соответствующей признакам осуществления перевода денежных средств без согласия клиента.
1) С принятием Федерального закона от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств» и участившимся атаками на банковские системы, предъявляются повышенные требования к системам противодействия мошенничеству в банковской сфере (антифрод) и обнаружения попыток совершения мошеннических операций в системах дистанционного банковского обслуживания (ДБО), усиливается ответственность операторов по переводу денежных средств в случае нарушения законодательства и неисполнения требований Банка России. Изменения внесли в ФЗ 161 «О национальной платёжной системы».
В соответствии с частями 5.1 — 5.3 ст. 8 ФЗ — №161 оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента; оператор по переводу денежных средств после выполнения действий, предусмотренных частью 5.1 настоящей статьи, обязан в порядке, установленном договором, заключенным с клиентом предоставить клиенту информацию о совершении им действий, (или действий не клиента-потребителя, а мошенников — Автор) о рекомендациях по снижению рисков повторного осуществления перевода денежных средств без согласия клиента; при получении от клиента подтверждения, указанного в п. 2 части 5.2 настоящей статьи, оператор по переводу денежных средств обязан незамедлительно возобновить исполнение распоряжения; при неполучении от клиента подтверждения, указанного в п. 2 части 5.2 настоящей статьи, оператор по переводу денежных средств возобновляет исполнение распоряжения по истечении двух рабочих дней после дня совершения им действий, предусмотренных частью 5.1 настоящей статьи.
Банк Авангард обязан был приостановить исполнение распоряжения клиента (или не клиента, а мошенников — Автор) о совершении операции, соответствующей признакам перевода денежных средств без согласия клиента, которые установлены приказом Банка России от 27 сентября 2018 года №ОД-2525: несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств по операциям, обычно совершаемым клиентом (п.3).
То есть, законодатель, приняв ФЗ — № 167 от 27.06.2018 установил дополнительный фильтр проверки всех банковских операций, обязывающий кредитные организации (Банки) выявлять операции без согласия клиента, в соответствии с признаками без согласия клиента.
Вывод: Банк Авангард требования ФЗ — № 167 от 27.06.2018 (ФЗ-161) и указание Банка России №ОД-2525 от 27 сентября 2018 года не выполнил, признаки перевода денежных средств без согласия клиента не выявил.
2) К операциям по переводу денежных средств без согласия клиента относится вся поведенческая история данного клиента, а именно: сумма осуществления операций, которые обычно совершает гражданин; способ совершения операции, использование платежных систем или через мобильное приложение; частота и регулярность операций, если клиент снимает крупные суммы денежных средств через короткий промежуток времени.
Злоумышленники от имени Клиента — потребителя переводили крупные суммы на счета, как оказалось впоследствии физических лиц – мошенников, с которыми Истец (клиент- потребитель) раньше никогда не работал, и в таком размере денежные средства не переводил. При проведении операций, клиенту не звонили сотрудники банка и не задавали вопросы, чтобы убедиться, что деньги переводит именно он и делает это осознанно.
Мы изучили множество судебных актов, подпадающие под признаки мошенничества через методы социальной инженерии. Представим интересные рассуждения Арбитражных судов о невыполнения кредитными организациями (Банками) своих обязанностей по выявлении банками операций, соответствующим признакам осуществления перевода денежных средств без согласия клиента. Привожу некоторые № Решений арбитражных судов и постановления арбитражных апелляционных судов: N 09АП-55214/22 по делу N А40-238627/2021 от 31 августа 2022 года; N 09АП-18524/22 по делу N А40-157777/2021 от 20 апреля 2022 года.
Истец (клиент – потребитель) был под воздействием внушения службы безопасности банка – мошенников. Мошенники держали жертву постоянно «на телефоне», пока не украли все деньги. И сотрудники банка Авангард это знали и видели, в противном случае для чего нужны служба информационной безопасности и система АНТИФРОД. За 30 минут с 13.09 до 13.39 списали все деньги веерными переводами.
Банковские правила обязывают при приёме к исполнению платежного поручения удостовериться в праве плательщика распоряжаться денежными средствами, проверить соответствие платёжного поручения установленным требованиям, достаточность денежных средств для исполнения платёжного поручения, а также выполнить иные процедуры приёма к исполнению распоряжений, предусмотренные законом и договором.
Большая часть операций совершена на совпадающие суммы (задвоение платежей, с учетом ограниченного времени совершения несанкционированных операций).
Напомню читателям, что Жертве позвонили мошенники, представившиеся сотрудниками службы безопасности банка Авангард, и с помощью социальной инженерии, обманом получили коды подтверждения и 12 трансакциями, вывели все денежные средства через сервисы card2card переводов ТСП банка «Открытие» и ТСП «Альфа банка» на Киви кошельки разных физических лиц.
Первое списание произошло в 13.09 на 40600 рублей, второе в 13.10 на 40600 рублей, третье в 13.11 на 40600 рублей, четвёртое в 13.13 на 40600 рублей. Если внимательно посмотреть на временной интервал между этими переводами, то мы увидим, что между переводами разница всего одна минута, между третьим и четвертым две минуты.
Мы провели эксперимент. Подобным образом через сервисы card2card провели четыре перевода подряд и заметили, что время затрачивается в 2 раза больше. У нас ушло 9 минут. Даже при условии, что человек знает как перевести деньги через ТСП банка «Открытие» и ТСП «Альфа банка». Хочу отметить, что торгово — сервисные платформы предназначены для покупки товаров и услуг. И банки это знают. Банки знают и видят и то, что четыре перевода подряд невозможно провести одному человеку с одного устройства за 5 минут. Понадобится четыре устройства и для верности 4 человека, так как мошенники ошибаться не могут (не должны).
Пятая операция делалась самой жертвой со своего вклада на обнулённый картосчёт с 13.13 по 13.27. Банк Авангард не счёл необходимым проинформировать клиента – потребителя об этой операции. Мы видим, что было затрачено более 10 минут.
Из этого наблюдения и эксперимента делаем вывод: что деньги переводили 4 мошенника и использовали 4 разных устройства на переводы ворованных денег. И Банк Авангард это не выявил, и позволил украсть все денежные средства.
Описанные операции явно подпадают под понятие операций, совершаемых без согласия клиента, Банк Авангард в соответствии с требованиями закона был обязан приостановить их исполнение. Однако Банк Авангард не признал данные операции таковыми, даже после уведомления со стороны Истца.
Неспособность Банка Авангард выявить операции, явно выходящие за пределы обычной деятельности клиента-потребителя, а также соответствующие сразу нескольким признакам операций, регулируемых ч. 5.1 ст. 8 ФЗ-161, не может рассматриваться как основание для освобождения Банка Авангард от ответственности за виновное бездействие.
Как следует из разъяснений Банка России, изложенных в письме от 7 декабря 2018 г. N 56-3-2/226: «положения частей 5.1 — 5.3 статьи 8 Федерального закона №161-ФЗ распространяются на операции по переводу денежных средств, соответствующие признакам осуществления перевода денежных средств без согласия клиента, независимо от того, является клиент физическим лицом или юридическим лицом».
Оператор по переводу денежных средств должен совершить указанные выше действия в случае выявления операции, соответствующей хотя бы одному из признаков осуществления перевода денежных средств без согласия клиента, установленных приказом Банка России от 27.09.2018 №ОД-2525 «Об установлении признаков осуществления перевода денежных средств без согласия клиента». При этом, указанные положения не устанавливают исключений.
Законом не предусмотрена возможность неисполнения процедуры приостановления исполнения распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, в том числе путем указания в договоре с клиентом.
Следовательно, неисполнение операторами по переводу денежных средств, установленных Федеральным законом №161-ФЗ требований, недопустимо даже в случае представления клиентом заявления об отказе от дополнительного подтверждения операций по переводу денежных средств.
В спорных платежных поручениях, в реквизитах перевода отсутствовала какая-либо информация, указывающая на назначение платежа, наименование товаров, работ, услуг, номера и даты договоров, товарных документов.
При проверке представленных от имени Клиента-потребителя платежных поручений на перевод денежных средств, у банка, как у профессионального участника финансового рынка имелось достаточно оснований для возникновения сомнений относительно легальности проведения операций в связи с тем, что операции по списанию денежных средств, совершенные 04.03.2020, по контрагентам, объему и содержанию, по суммам, по временному интервалу, по за двоению сумм не подпадают под обычно совершаемые Клиентом-потребителем, и не соответствуют обычному поведению клиента.
Именно действия Банка Авангард по исполнению платежных поручений (которые при проявлении должной осмотрительности и профессионализма со стороны Банка должны были быть признаны несанкционированными и приостановленными на срок до 2-х суток) привели к необоснованному списанию денежных средств со счета клиента-потребителя, который не должен нести имущественную ответственность за действия банка и его предпринимательские риски, поскольку неспособность банка выявить явно мошеннические операции по счету клиента не должны влечь неблагоприятные последствия для клиента-потребителя.
Разве сотрудник банка Авангард не мог дополнительно идентифицировать клиента-потребителя, позвонить ему, и задать вопрос. Вы ли это совершаете переводы, так как данные переводы через сервисы card2card сторонних банков клиент никогда не совершал.
Если иное не установлено законом или договором, банк несет ответственность за последствия исполнения поручений, выданных неуполномоченными лицами, и в тех случаях, когда с использованием предусмотренных банковскими правилами и договором процедур банк не мог установить факта выдачи распоряжения неуполномоченными лицами (п. 2 Постановления Пленума Высшего Арбитражного Суда РФ от 19 апреля 1999 года №5 «О некоторых вопросах практики рассмотрения споров, связанных с заключением, исполнением и расторжением договоров банковского счета»).
Учитывая характер и иные признаки операций по счету клиента-потребителя от 04.03.2020, которые являются явно сомнительными, как минимум по суммам и назначениям платежей, по времени Банк Авангард, осуществляющий прием платежных документов, должен был либо удостовериться в подлинности совершаемой операции всеми доступными способами, в том числе и посредством телефонного звонка владельцу счета, номер телефона которого был предоставлен в банк при открытии счета, либо отказать в выполнении сомнительной операции в порядке абзаца 5 п. 2.13 «Положения о правилах осуществления перевода денежных средств», утвержденного приказом Банка России от 19.06.2012 №383-П, а также ст. 5.1. ФЗ от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств».
Всего было совершено 13 (тринадцать) операций, но Банк Авангард говорит только о 12-ти совершенных операциях, тогда как, об операции (перевод со вклада на карту через Интернет-банк Авангард) на сумму 962 740,94 (девятьсот шестьдесят две тысячи семьсот сорок) рублей 94 копейки (5-ой по-счету), ПАО АКБ «АВАНГАРД» и вовсе забыл уведомить, даже push-уведомление не направил после совершения операции, которая была проведена 04.03.2020 года в период времени с 13:13 по 13:27 часов.
Напомним, что клиенту-потребителю пришли сообщения о уже совершённых операциях. В ПУШ уведомлениях было написано PEREVOD CARD-CARD AVANGARD 40600 RUB, CARD*2814 ФИО BAL 125343,28 RUB 04.03.20 13:09 END. За 9 лет ни разу не переводил по системе CARD-CARD со стороннего банка (посредника).
Банк обязан доказать, что принял все меры для надлежащего исполнения обязательства при той степени заботливости и осмотрительности, какая от него требовалось по характеру обязательства и условиям оборота (Определение СК по гражданским делам Верховного Суда РФ от 24 апреля 2018 г. № 5-КГ18-41).
Напомню, что в статье №3, мы подробно и обстоятельно выяснили, что система антифрод банка Авангард НЕ РАБОТАЛА и Идентификацию своего клиента-потребителя Банк Авангард не проводил!!!
Очень интересные рассуждения Арбитражного суда про бремя доказывания. Цитирую:
«Отсутствие вины доказывается лицом, нарушившим обязательство (п. 2 ст. 401 ГК РФ).
По общему правилу лицо, причинившее вред, освобождается от возмещения вреда, если докажет, что вред причинен не по его вине (п. 2 ст. 1064 ГК РФ).
Бремя доказывания своей невиновности лежит на лице, нарушившем обязательство или причинившем вред.
Вина в нарушении обязательства или в причинении вреда предполагается, пока не доказано обратное.
Таким образом, в порядке статьи 15 ГК РФ бремя доказывания распределяется следующим образом: истец, заявивший о взыскании убытков, доказывает, что именно ответчик является лицом, в результате действий которого возник ущерб, а также факты причинения вреда и наличия убытков; в свою очередь, на ответчика, заявляющего об освобождении его от возмещения вреда, возлагается обязанность доказать отсутствие причинной связи между его действиями и причиненным истцу ущербом, и, что вред причинен не по его вине.»
В данном вопросе помог разобраться и подготовил исковое заявление юрист Плеханов Ю.В. Сейчас дело рассматривает районный суд г. Уфы, захочет ли суд разбираться, и исследовать все моменты данного спора. Или вынесет Решение как под копирку: клиент сообщил коды третьим лицам, в иске отказать. И действия (бездействия) суда мы тоже постараемся прокомментировать. Банк — это тяжеловес, на который работают огромные юридические отделы, у банка есть деньги, связи и т.д., а потребитель экономически слабая сторона.
Забегая вперёд, скажу, что Октябрьский суд г. Уфы поддерживает сторону банков. В чём это выражается: в том, что суд формально провёл стадию подготовки судебного дела. И никак не желает определить бремя доказанности, пределы доказанности, то есть определить какая из сторон должна доказывать какие обстоятельства. И 6 июня 2023 года вынес решение об отказе в удовлетворении иска. Полное решение не получили. Забегая вперёд, скажу, что суд многократно нарушал гражданский процесс. Мы постараемся прокомментировать решение Октябрьского районного суда г. Уфы.
Продолжение следует.
Королев Роман Эрнстович специально для издания «Российский Репортер»