Здравствуйте, в этой статье мы постараемся ответить на вопрос: «ВС разрешил взыскать убытки с банка из-за рекламного СМС». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Обмен данными с клиентом по альтернативному каналу связи (не система интернет-банкинга) находит отражение в документах ЦБ РФ. Например, в Указаниях Банка России от 09.06.2012 № 2831-У и Положении № 382-П.
- Использование СМС как средства уведомления клиента об уже совершенных операциях является для банков важным и безопасным элементом работы систем дистанционного банковского обслуживания.
- Использование СМС для передачи одноразовых кодов подтверждения операций порождает финансовые и правовые риски для банков.
- Судебная практика в части СМС-информирования сформирована, однако при условии отправки в СМС кодов подтверждения операций позиции судов расходятся.
- Банки, использующие push-уведомления для передачи одноразовых кодов в архитектуре Apple, игнорируют прямое требование компании Apple не совершать данных действий ввиду небезопасности таких уведомлений. Клиенты таких банков имеют все основания обращаться с жалобой как в саму кредитную организацию, так и к регулятору. Если средства клиентов будут похищены именно путем получения злоумышленниками доступа к информации, содержащейся в push-уведомлениях, можно говорить о вине банка, который умышленно игнорирует как требования обладателя интеллектуального права, так и соответствующее заявление клиента.
- Судебная практика в части push-уведомлений, содержащих одноразовые коды, не сформирована.
- Судебная практика о безоговорочном отказе в удовлетворении требований клиентов к банкам о взыскании незаконно списанных средств меняется.
Нормативное регулирование и судебная практика
Важно отметить, что в Положении № 382-П речь не идет об СМС. Речь идет о том, что банк может использовать альтернативный канал связи для передачи клиенту одноразового кода. Сам формат передачи не уточняется.
В п. 4.2.9. Письма от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» Банк России рекомендует банкам «организовать оперативное информирование клиентов – пользователей систем ДБО кредитной организации через каналы связи, отличные от используемых для ДБО (SMS-информирование, электронная почта и тому подобное), о поступлении от этих клиентов в кредитную организацию распоряжений о переводе денежных средств через системы ДБО и получение подтверждений клиентов о подлинности таких распоряжений». Другими словами ЦБ РФ рекомендует использовать СМС в качестве канала уведомления клиента о совершении операции, но никак не о передаче таким образом кодов подтверждения операций. Говорится лишь о необходимости получения подтверждений клиентов о подлинности распоряжений. Аналогичные рекомендации есть во многих других документах ЦБ РФ.
Согласно п. 6 Письма Банка России от 05.08.2013 № 146-Т операторам по переводу денежных средств рекомендуется при предоставлении клиентам розничных платежных услуг с использованием сети Интернет использовать в том числе подтверждение операций с помощью одноразовых паролей (кодов подтверждения), при этом пароли (коды подтверждения) должны доводиться до клиента в совокупности с информацией о совершаемой операции (например, сумма операции, получатель и пр.) и доставляться до клиента по альтернативному каналу связи, например через СМС-сообщения.
Таким образом, при информировании об отдельных распоряжениях о переводе денежных средств с помощью СМС и получении подтверждения такого перевода Банки действуют в соответствии с рекомендациями Банка России. При этом ЦБ РФ не дает прямые рекомендации банкам использовать СМС в качестве канала для передачи одноразовых кодов подтверждения операций по переводу денежных средств за исключением розничных платежных услуг (платежи, не включенные в определение платежей на крупные суммы). К таким платежам относятся подавляющее количество платежей.
Важно отметить, что в ходе настоящего исследования не удалось найти иных рекомендаций Банка России (кроме Письма 146-Т) использовать СМС-сообщения для передачи одноразовых кодов. Итого, нужно разделять:
- СМС-сообщения об уже совершенных операциях;
- СМС-сообщения, которые содержат коды для подтверждения операций по счету.
Судебная практика в части СМС-информирования сформирована, однако при условии отправки в СМС кодов подтверждения операций позиции судов расходятся.
В последние годы суды регулярно вставали на сторону клиента – физического лица (решение Фрунзенского районного суда Санкт-Петербурга от 17.02.2016 № 2-360/2016). Свою позицию суды мотивируют тем, что направление СМС-уведомления с кодом подтверждения операций не обеспечивало защиту от совершения мошеннических действий по снятию денег с банковского счета. При этом суды вышестоящих инстанций могли отменить такое решение, сославшись на условия договора и идентификацию клиента в соответствии с правилами (Апелляционное определение Санкт-Петербургского городского суда от 18.08.2016 № 33-13456/2016 по делу № 2-360/2016).
В большинстве случаев суды соглашаются, что направление СМС подтверждает добросовестность банка и отсутствие его вины в незаконном списании средств со счета клиента (Апелляционное определение Хабаровского краевого суда от 12.01.2018 по делу № 33-31/2018, Апелляционное определение Новосибирского областного суда от 12.02.2015 по делу № 33-864-2015).
Напротив, установив, что СМС-информирование не производилось, суды удовлетворяют требования о взыскании с банка убытков (Апелляционное определение Хабаровского краевого суда от 29.05.2015 по делу № 33-3348/2015).
При этом необходимо отметить, что существует судебная практика, где суды взыскивают с банка убытки даже в случае наличия СМС-информирования (Апелляционное определение Санкт-Петербургского городского суда от 28.04.2016 № 33-7902/2016 по делу № 2-6233/2015, Апелляционное определение Санкт-Петербургского городского суда от
11.06.2015 № 33-8603/2015 по делу № 2-622/2015).
Логика судов в этих делах заключается не в том, что СМС-информирование небезопасно, а в том, что сам клиент ничего не нарушал. Поскольку это были потребительские споры, то суды указали, что на клиента риски возлагаются только в случае его вины (Закон РФ «О защите прав потребителей»), причем бремя доказывания в этом случае возлагается на банк как профессионального участника рынка (Постановление Пленума Верховного Суда РФ от 28.06.2012 года № 17 «О рассмотрении судами гражданских дел по спорам о защите прав потребителей»).
Важно отметить, что в рассматриваемых делах у судов не было доказательств, что СМС-сообщение отправляется по открытым каналам связи и в открытом виде, равно как и не было установлено, что хищение произошло по причине перехвата сообщения злоумышленниками.
Таким образом, при существующем регулировании, а также с учетом судебной практики:
- использование СМС как средства уведомления клиента об уже совершенных операциях является для банков важным и безопасным элементом работы систем дистанционного банковского обслуживания;
- использование для передачи одноразовых кодов подтверждения операций СМС-сообщений порождает финансовые и правовые риски для банков.
В случае появления судебных дел, в которых будет доказан факт перехвата СМС злоумышленником, при привлечении эксперта, который в качестве специалиста или через судебную экспертизу опишет механизм передачи СМС, подтвердив тем самым позицию клиента о небезопасности передачи одноразовых кодов в СМС-сообщениях, судебная практика может скорректироваться в пользу клиентов.
Дополнительно важно отметить, что ранее сформировавшаяся судебная практика о безоговорочном отказе в удовлетворении требований клиентов (в том числе потребителей) к банкам о взыскании средств незаконно списанных с их счета при наличии направленного банком клиенту одноразового кода подтверждения в настоящее уже меняется (Определение Верховного Суда РФ от 24.04.2018 № 5-КГ18-41). С учетом приведенной позиции Верховного суда, высказанной в том числе в указанном Определении, об обязанности профессионального участника рынка доказывать максимальную степень разумности своего поведения при выявлении действительной воли клиента на совершение транзакции, мы полагаем, что банкам будет сложнее настаивать, что они не знали и не могли знать об уязвимости передачи одноразовых кодов через СМС. А в случае осведомленности банка о небезопасности передачи одноразового кода с помощью СМС он не сможет настаивать на том, что принял все разумные меры для обеспечения безопасности транзакции.
Оповещения о задолженности
Смс-сообщения, направленные на борьбу с просроченной задолженностью по кредитам/кредитным картам (картам с установленным лимитом овердрафта). Такие сообщения направляются как до даты очередного платежа в качестве напоминания о необходимости его погашения, так и после даты очередного платежа, если он не был вовремя погашен.
При наличии у вас просроченной денежной задолженности банк может направлять указанные смс-сообщения, но соблюдая оговоренные законом условия:
- в рабочие дни СМС направляются с 8 до 22 часов, а в выходные и нерабочие праздничные дни — с 9 до 20 часов по местному времени по месту жительства или по месту пребывания должника, известным банку (п. 1 ч. 5 ст. 7 Закона от 03.07.2016 N 230-ФЗ);
- СМС направляются не более двух раз в сутки, не более четырех раз в неделю и не более шестнадцати раз в месяц (п. 2 ч. 5 ст. 7 Закона N 230-ФЗ).
Те же правила применяются и в случае, если от имени банка действуют коллекторы. Отметим, что в случае привлечения коллекторов к процедуре взыскания задолженности, банк в течение 30 дней с момента обращения к коллекторскому агентству обязан уведомить клиента об этом под расписку или заказным письмом.
В сообщении должны быть указаны:
- наименование банка, а также ФИО лица, действующего от имени банка и (или) в его интересах;
- сведения о наличии просроченной задолженности, в том числе могут указываться ее размер и структура;
- номер контактного телефона банка, а также лица, действующего от его имени и (или) в его интересах.
Есть и другие мошеннические схемы. Например, владелец карточки получает СМС о списании с его счета денег, а ниже сообщение: «Если вы не согласны с транзакцией, перезвоните на номер…» По словам Марченко, перезванивать на указанный в СМС номер нельзя. Дело в том, что аферисты умеют подделывать телефоны финансовых организаций, а номер, на который вы перезвоните, может быть платным: за каждую минуту разговора со счета мобильного телефона будет списываться определенная сумма.
Если вы получили СМС о списании денег за операцию, тут тоже нужно незамедлительно связаться со своим банком.
«Вполне возможно, что вам посоветуют заблокировать карту и перевыпустить ее. Таким образом, данные вашей новой карты не будут известны никому, кроме вас, в том числе мошенникам», — указывает адвокат Владимир Постанюк.
Клиенты банков зачитались СМС
Как выяснил “Ъ”, сотрудники банков все чаще запрашивают по телефону у клиентов коды из отправленных им СМС-сообщений для дополнительной аутентификации.
В банках считают это безопасным, поясняя, что в сообщениях указывают, какие из кодов можно называть, а какие нет.
Но эксперты по информбезопасности предупреждают — при том, что мошенники все чаще звонят с подмененных номеров, привычка называть коды может обернуться для клиентов банков массовыми потерями средств.
О том, что банковские сотрудники стали чаще запрашивать у клиентов коды из присылаемых СМС-сообщений для аутентификации клиента, “Ъ” рассказали эксперты по информационной безопасности. Они всерьез обеспокоены данной практикой из-за развивающейся социальной инженерии, в том числе с подменой номера банка для введения в заблуждение клиентов.
«Случаи, когда банки просят называть коды из СМС, могут изменить шаблон поведения клиента и сформировать у него понимание, что это норма,— говорит управляющий партнер экспертной группы Veta Илья Жарский.— Однако серьезные риски из-за этого появились лишь в конце прошлого года, когда мошенники начали звонить с подмененных телефонов банка».
На специализированных форумах также появились мнения клиентов банков, что это «формирует у пользователей шаблоны поведения, используемые мошенниками».
«Формируется шаблон поведения: сотрудник банка может запросить код из СМС, и это нормально — это нужно для выполнения операции»,— написал один из клиентов банка. Он также отметил, что попытался обратить на данную проблему внимание банка, однако «нарвался на стену непонимания».
Традиционно банки используют коды, присылаемые в СМС, для подтверждения списания денежных средств, и их нельзя называть кому-либо, в том числе и сотруднику банка.
Ряд банков отправляют клиентам коды, которые им необходимо называть сотрудникам в офисе при совершении отдельных операций (например, при подключении автоплатежей, досрочном погашении кредитов, для проверки корректности номера телефона и др.
) для обеспечения их дополнительной безопасности. Такая практика есть, например, в МКБ, ВТБ, «Открытии».
«Когда кредитная организация просит назвать присланный код именно в офисе банка, она защищает себя от возможного мошенничества со стороны сотрудников, поскольку названный код дает возможность подтвердить, что клиент давал согласие на проведение операции»,— поясняет начальник отдела по противодействию мошенничеству ЦПСБ «Инфосистемы Джет» Алексей Сизов.
Однако в некоторых банках также запрашивают у клиентов коды из СМС при обращении в колл-центр или чат банка и уверены, что это безопасно.
«Промсвязьбанк использует код из СМС как один из дополнительных параметров подтверждения личности клиента, звонящего в контакт-центр,— сообщили в пресс-службе банка.— В тексте такого сообщения говорится, что его нужно назвать сотруднику банка».
Почта-банк запрашивает код подтверждения той или иной операции или услуги по инициативе клиента — звонке, визите в отделение или в банковском чате. «Следует различать коды подтверждения, приходящие в СМС от банка,— отметили в пресс-службе Почта-банка.
— Код, используемый в качестве простой электронной подписи, приходит клиенту только при его входящем обращении в банк и в непосредственном контакте с сотрудником банка, что делает операцию максимально защищенной».
При этом в банке добавили, что, когда отправляют СМС от банка с кодом подтверждения списания средств, в нем всегда содержится пометка, что этот секретный код не следует сообщать никому. В Тинькофф-банке сотрудник банка запрашивает код из СМС при обращении клиента в чат поддержки только для подключения или активации услуги.
«Такие СМС-текстовки спутать невозможно, в самой СМС содержатся ее определенное назначение и предупреждения для противодействия социальной инженерии»,— сообщили в банке. Там также отметили, что, по «внутренней статистике, основанной на анализе собранных за годы работы данных, вероятность того, что клиент расскажет СМС-код мошенникам, если в сообщении есть фраза «Никому не говорите код», зависит преимущественно от социально-демографических факторов, которые учитываются в системах антифрода» банка.
Однако эксперты уверены, что практика запроса кодов из СМС несет в себе риски, несмотря на предупреждения, и от нее надо отказаться.
По словам господина Сизова, есть риск, что отдельные граждане сочтут называние кода из СМС сотруднику банка нормой и будут делать то же самое и при звонке якобы из банка, а в реалии — от мошенников.
По словам одного из собеседников “Ъ” в крупном банке, банки сами стремятся отойти от рассылки кодов в СМС из-за активного использования социальной инженерии мошенниками, но полностью отказаться от нее сложно в силу технологических и экономических ограничений.
В ЦБ не ответили на запрос “Ъ” относительно рисков применения указанной практики и целесообразности ее запрета. Там лишь указали, что в Банк России не поступало жалоб на подобного рода проблемы.
Сколько стоит СМС-банк в разных банках?
Услуга СМС-банка в разных кредитных организациях варьируется от 0 до 89 рублей в месяц и выше. Средняя стоимость составляет 60 руб. Такая разница в стоимости обслуживания СМС-банка обуславливается тарифами. Даже в одном и том же банке у разных карт может быть разная стоимость СМС-банка. В таблице представлены популярные банки и указана стоимость СМС-банка в каждом из них.
| Банк | Стоимость СМС-Банка |
|---|---|
| Сбербанк | 60 руб. начиная с 3-го месяца |
| Тинькофф Банк | 59 руб. |
| ВТБ | 59 рублей со 2-го месяца |
| Газпромбанк | 59 рублей с 4-го месяца |
| Россельхозбанк | 59 рублей в месяц. По зарплатному и социальному тарифам по 10 руб. |
| Банк Открытие | 59 руб. ежемесячно |
| Райффайзенбанк | 60 руб. с 3-го месяца |
| Хоум Кредит банк | 59 руб. ежемесячно |
| Альфа-Банк | 59 руб. со 2-го месяца |
Дополнительные услуги
Услуга «Информирование» – это удобный и простой банковский сервис, позволяющий держателям банковских карт Банка «ВБРР» (АО) контролировать свои денежные средства в любом месте.
Услуга «Информирование» предполагает формирование SMS-сообщений, направляемых по номеру мобильного телефона, предоставленному клиентом/держателем банковской карты Банка «ВБРР» (АО) в соответствии с п. 4.
1 Условий выпуска, обслуживания и использования банковских карт Банка «ВБРР» (АО), или Push-уведомлений, направляемых на мобильный телефон на мобильное устройство и содержащих уведомление о совершении каждой операции с использованием карты/реквизитов карты.
Информирование позволит Вам круглосуточно и в режиме реального времени:
- получать на мобильный телефон информацию об актуальном балансе карты и кредитном лимите
- просматривать мини-выписку с информацией о последних операциях по карте.
- заблокировать Вашу банковскую карту при необходимости.
Услуга «Информирование» включает в себя два пакета услуг:
- пакет «Комфортный» доступен к подключению всем клиентам Банка «ВБРР» (АО) — физическим лицам держателям банковских карт. Подключение услуги «Информирование» к пакету «Комфортный» возможно как к основной, так и к дополнительным картам.
- пакет «Простой» доступен к подключению клиентам Банка «ВБРР» (АО) — физическим лицам, обслуживающимся в рамках зарплатного проекта. Подключение возможно только к основной зарплатной карте).
Подключение услуги осуществляется непосредственно к карте, указанной или выбранной клиентом. Услуга может быть подключена к нескольким картам. При этом оплата услуги «Информирование» осуществляется по каждой карте, к которой подключена услуга, согласно тарифам банка.
СМС-банкинг: что это такое
Чаще всего считается, что СМС-банкинг – это электронный сервис, с помощью которого происходит оперативное оповещение клиента обо всех финансовых операциях, происходящих с его банковским счетом. Уведомление производится через передачу SMS-сообщения на мобильный номер, который привязан к договору по оказанию услуг.
Услуга СМС-банкинг привязывается к расчетным счетам и картам клиента. Как только происходит любое движение денежных средств по счета, пользователь сразу же получает уведомление на телефон о проведенной транзакции. Сообщение придет по поводу любой операции:
Огромным преимуществом сервиса является простота подключения. Для этого не требуется устанавливать специальное программное обеспечение. Услуга подключается к любому мобильному телефону.
Покупка страховки может, например, позволить получить более низкую ставку по кредиту. Но на самом деле при потребительских кредитах её покупка необязательна.
Согласно пункту 10 статьи 7 ФЗ «О потребительском кредите», банк вправе попросить заёмщика застраховать заложенное имущество или иной его страховой интерес, но если речь о кредите, который по федеральному закону не предполагает обязательной покупки страховки, то банк должен предложить клиенту альтернативу без страховки с такой же суммой и сроком кредита: ставка при этом будет выше.
Как правило, банки предлагают дорогостоящие программы страхования. Но, по тому же закону, вы имеете право самостоятельно выбрать страховую компанию из списка аккредитованных банком (его можно найти на сайте), то есть можно подобрать более выгодное предложение. Заранее рассчитайте, какой из вариантов оказывается более целесообразным.
Если вы уже купили страховку при оформлении кредита, то имеете право в течение 14 дней отказаться от неё. Вот подробная инструкция.
Почему злоумышленники используют номер 900 для звонков?
Зачастую мошенники используют не обычные номера, а телефоны, похожие на официальные контакты банков – так они вызывают доверие со стороны будущих жертв, а доля успешных звонков заметно повышается. Как же удается эта мошенническая схема? Способов реализации несколько:
- подмена номера с помощью сервисов IP-телефонии – клиент видит номер «900» или буквенное обозначение «Sber»;
- использование похожих телефонов, например, «+900» либо «9ОО», где вместо нулей указаны буквы;
- SMS через сервис открытия расчетного счета и портал «ДомКлик» – во время звонка жертва начинает подозревать обман и мошенники предлагают отправить сообщение с реального номера «900» (СМС поступает из банка, отправить можно на любой телефон);
- помощь работников банка – редкость, так как Сбер тщательно продумал системы безопасности и вероятность поступления звонка от реального менеджера, но с мошеннической целью стремится к 0%.
Звонок может поступить не только с номера «900» и других официальных банковских контактов, но и от друзей и родственников, которые просят денег взаймы. Аналогично работают и сообщения в социальных сетях – жертве пишет «друг», страничку которого взломали.
Как обстоят дела со звонками с номера 900
В последнее время многие клиенты Сбербанка пишут, что действительно начали поступать звонки с номера 900.
Такие звонки мало вызывают сомнений, ведь это официальный номер Сбербанка. Но на самом деле Сбербанк использует данный номер лишь для отправления смс-сообщений.
Если поискать в Интернете и на различных форумах, то можно найти множество историй о том, что люди, отвечая на звонок с номера 900, попадали в неприятные ситуации.
Неоднократно в пресс-службе Сбербанка заявляли, что звонки с номера 900 их сотрудники не осуществляют. Получается, что данный номер используют мошенники, чтобы вступить в контакт с клиентом банка. Звонок с обычного номера всегда будет подозрительным. И в последнее время все меньше людей попадаются на удочку мошенников.
Работа с обращениями, поступившими путем внесения записи в Книгу замечаний и предложений
Клиент может также оставить свои замечания, претензии, предложения, жалобы и др. в Книге замечаний и предложений. Такие записи приравниваются нашим Банком к обращениям. Книга замечаний и предложений (далее – Книга) ведется в головном и каждом дополнительном и операционном офисе Банка, она предъявляется по первому требованию клиента. После заполнения клиентом страницы Книги эта страница ксерокопируется и регистрируется как письменное обращение клиента с присвоением очередного регистрационного индекса. Ответственный за ведение и хранение Книги заполняет следующие реквизиты:
- порядковый номер замечания и (или) предложения (нумерация ведется в рамках календарного года);
- сведения о результатах рассмотрения замечания и (или) предложения;
- отметка о направлении ответа клиенту (дата и регистрационный номер ответа);
- наименование должности, фамилия, инициалы лица, ответственного за ведение Книги замечаний и предложений.
Сведения о результатах рассмотрения замечаний и (или) предложений и отметка о направлении ответа Клиенту (дата и регистрационный номер ответа), в том числе уведомление о продлении срока рассмотрения изложенных в Книге замечаний и предложений, вносятся в Книгу не позднее последнего дня срока рассмотрения изложенных клиентом замечаний и предложений.
Книга ведется до полного заполнения всех страниц, предназначенных для внесения замечаний и (или) предложений и информации об их рассмотрении, после чего в течение 5 календарных дней оформляется заявка на получение новой Книги. В случае полного заполнения всех страниц Книги до истечения календарного года она хранится вместе с новой Книгой по месту ее ведения, а по истечении календарного года – в течение 5 лет в архиве Банка.
Какие СМС-сообщения вправе направлять банки своим клиентам?
style=»display:inline-block;width:240px;height:400px» data-ad-client=»ca-pub-4472270966127159″ data-ad-slot=»1061076221″> Виды смс-сообщений, направляемых банками своим клиентам 1. Смс-сообщения об операциях, проведенных по счету. Это самая распространенная на практике категория. Чаще всего такие смс-сообщения направляются по банковским картам, но ряд банков направляет их также по вкладам и текущим счетам.
Зачастую услуга является платной для клиента. 2. Смс-сообщения, направленные на борьбу с просроченной задолженностью по кредитам/кредитным картам (картам с установленным лимитом овердрафта). Такие сообщения направляются как до даты очередного платежа в качестве напоминания о необходимости его погашения, так и после даты очередного платежа, если он не был вовремя погашен.
При наличии у
В нынешнее время так можно назвать не только игровой автомат, но и банкомат – если он оборудован мошенническим «обвесом». Мошенники используют так называемые «накладки» на клавиатуру, «конверты» на приемник карты.
«Если это накладка на клавиатуру – вы вставляете карту, набираете пин-код, но банкомат деньги не выдает, и карту тоже не отдает, – поясняет Милана Дадашева. – А мошенники получают ваш пин-код и вашу карту, пока вы звоните в банк и пытаетесь выяснить причины.
То же самое происходит и в варианте с “конвертами” – это специальные накладки на картоприемник. Они закрывают доступ банкомата к считыванию номера карты. Вы вводите код, но ни деньги, ни карту банкомат выдать не может. Этим пользуются мошенники, которые обычно рядом – они якобы вызываются вам помочь, и пользуясь вашей невнимательностью, снимают ваши деньги».
Поэтому, советует юрист, всегда, когда вы пользуетесь банкоматом, хорошенько исследуйте клавиатуру, ведь на первый взгляд накладка ничем не отличается от настоящей клавиатуры.
Но, пожалуй, самый распространенный способ мошенничества с картами, как это ни печально – это когда мы сами, добровольно, даем мошеннику все необходимые данные, чтобы он спокойно, даже не получая на руки карту – перевел всю сумму.