Мошенники продолжают раздевать жителей Эстонии, названивая им на телефоны, представляясь работниками Swedbank и выуживая личные данные с PIN-кодами.
Борьба со лжеработниками Swedbank вышла на новый уровень
2 февраля 2021, 12:39
Эта волна захлестнула Эстонию еще летом прошлого года, несколько спала, но не сошла на нет. Информация в СМИ, на банковской странице, через рассылки помогла не всем — все равно находятся люди, которые добровольно отдают свои данные, получая взамен исчезнувшие со счета деньги и кредит в придачу.
На прошлой неделе пользователи SMART-ID, одновременно являющиеся и клиентами Swedbank, должны были заметить нововведение. Теперь для захода в банк и тем более перевода денег необходимо дважды подтвердить свои действия: сначала при заходе в банк и введении PIN1 на телефоне вместе с решеткой цифр появляется извещение с просьбой подтвердить или отклонить предложение для захода в банк, а после, при переводе средств, перед введением PIN2, выскакивает табличка, в которой указано на чье имя и какую сумму вы собираетесь перевести. И снова у клиента есть возможность или подтвердить свои действия, или их отклонить.
«Это новая функция для приложения SMART-ID, начиная с версии 20.10, - объяснила представитель предприятия SK ID Solutions, разработчика SMART-ID, Лийса Лукин. - Это позволяет при оказании э-услуг (например, банку) обратить дополнительное внимание пользователя на суть происходящего. Нужно ли вводить функцию и какой текст будет выскакивать при оказании услуги, решает поставщик, например, банк».
Пресс-секретарь Swedbank Мартин Кырв уточнил, что добавить эту функцию решил сам разработчик системы идентификации: «Они уточнили приложение SMART-ID и при идентификации там можно теперь добавить дополнительный текст. Само дополнение разработали SK ID Solutions, а текст придумали мы. Надеемся, что это поможет в предотвращении мошенничеств».
Хотя предложение добавить предупредительный текст было отправлено и в другие банки, пока возможностью воспользовался только Swedbank, клиенты которого чаще всего страдают от мошенников. А вот в приложении Mobiil-ID такой функции нет.
КОММЕНТАРИЙ ЮРИСТА
Артем Луйк, адвокат Eversheds Sutherland Ots&Co
Так кто несет ответственность за отданные мошенникам деньги: клиент или банк?
Основные правовые акты, которые регулируют осуществление платежей, - это директива ЕС о платежных услугах PSD2 (2015/2366) и принятые на ее основе статьи (глава 40) закона об обязательственном праве Эстонии (võlaõigusseadus).
Об ответственности банка (как и любого другого платежного учреждения) можно говорить в первую очередь в случае, когда совершенный платеж не авторизован клиентом. Авторизация означает предоставление согласия на произведение платежа на указанных в нем условиях при помощи средств авторизации, которые установлены банком и соответствуют требованиям закона (см закон об обязательственном праве пар. 724.1). Если платеж не авторизован, у банка возникает обязанность восстановить состояние счета клиента (см. Закон об обязательственном праве ст. 733.2 ч. 2). В случае неавторизованных платежей, осуществленных при помощи платежных инструментов (к которым в первую очередь относятся платежные карточки, но согласно практике Европейского суда, к ним также можно отнести и так называемые электронные банки), распределение ответственности между банком и клиентом также устанавливается ст. 733.8 Закона об обязательственном праве.
Как я понимаю, в большинстве случаев мошенничества, клиенты сами сообщают злоумышленникам данные своих средств авторизации (имя пользователя, PIN-коды, пароли и т.д.), и злоумышленники, используя их, совершают сделки на банковских счетах клиентов. В такой ситуации первый вопрос – можно ли считать платеж в таком случае авторизованным клиентом. Учитывая, что ст. 724.1 Закона об обязательственном праве говорит о согласии клиента, что подразумевает знание о сделке, клиент может говорить, что сделка им не авторизована (в таком случае будут применяться указанные выше ст. 733.2 и 733.8 Закона об обязательственном праве). Банк, в свою очередь, может утверждать, что для него платеж, сделанный таким образом, считается обычным платежом, который авторизовал сам клиент. В случае спора обязанность доказать, авторизован платеж или нет, будет возлагаться при этом на банк (ст. 733.4 Закона об обязательственном праве). Однако судебной практики, будет ли такая сделка считаться авторизированной или нет, по моим данным, нет и поэтому однозначно говорить в пользу одного или другого варианта сложно.
Если сделка не авторизована, то второй вопрос – отвечает ли сам клиент и если да, то в какой степени, за разглашение своих средств авторизации злоумышленникам. У клиента есть обязанность как из закона (см. Закон об обязательственном праве ст. 733.10), так и из типовых условий банка, хранить свои средства авторизации в тайне и никому их не разглашать. Если клиент разгласил их специально или в результате собственной халатности, то банк не отвечает (см ст. 733.8 часть 2 Закона об обязательственном праве) за сделки клиента. Тут следует оценивать конкретные обстоятельства того, как средства авторизации попали к злоумышленникам, насколько клиент мог и должен был понимать, что он делает.
Дополнительно об ответственности банка можно говорить в случае, если он нарушил свои обязательства, как, например, не предусмотрел необходимые меры защиты ИТ-систем, его средства авторизации не соответствуют установленным требованиям и т.д.
Исходя из этого, однозначно ответить на ваши вопросы сложно, т.к. многое зависит от указанных обстоятельств и того, как их оценивать в каждом конкретном случае. Возможно дополнительную ясность могла бы внести судебная практика по спорам между банками и клиентами в таких ситуациях, мне лично о наличии такой практики не известно.