Кандидат юридических наук Даулет Абжанов рассказал, что развитие интернет-технологий все больше и больше переводит банковский сервис в формат дистанционного обслуживания, уменьшая необходимость физического присутствия клиентов в отделениях банков, сообщает zakon.kz.
Но одновременно с этим возникают риски мошенничества с использованием интернета, жертвами которого становятся клиенты банков.
Одним из видов мошенничества выступает хищение денег через оформление злоумышленниками онлайн-кредитов на клиентов.
Между клиентами и банками возникают споры, связанные с такими кредитами. Разберемся в них.
Онлайн-кредит: как это работает
Но прежде поймем, как примерно выглядит схема онлайн-кредитования (она может варьировать в разных банках).
На практике необходимыми условиями получения онлайн-кредита выступают:
- открытие (наличие) банковского счета в банке-заимодателе;
- наличие платежной карточки (заемные деньги поступают на банковский счет, к которому «привязана» платежная карточка; с помощью карточки заемщик распоряжается полученным банковским займом);
- регистрация клиента в системе интернет-банкинга банка-заимодателя;
- наличие доверенного номера клиента, то есть номера мобильного телефона, через который осуществляется коммуникация банка с клиентом.
Указанный номер регистрируется в системе интернет-банкинга как доверенный номер клиента. Именно на доверенный номер банк направляет коды, SMS-сообщения клиенту. Если не доказано иное, предполагается, что клиент лично имеет доступ к своему мобильному телефону и действия, совершаемые им в коммуникациях с банком, совершаются им лично.
Договор банковского займа может именоваться по-разному: кредитный договор, кредитное соглашение, соглашение о предоставлении кредитной линии и т.д.
Направление заявки на получение банковского займа осуществляется в системе интернет-банкинга через мобильное приложение банка или на его вэб-сайте. В заявке клиент, как правило, указывает сумму, срок предполагаемого займа. Если запрос клиента получает предварительное одобрение банка, от последнего поступает предложение заключить договор, точнее, присоединиться к условиям договора о присоединении или типового договора банковского займа. Оферта выражается в виде направления на доверенный номер мобильного телефона SMS-сообщения, который содержит в себе ОТР-пароль, то есть код, который формируется автоматически системой только для конкретной операции (разовый) и который известен только клиенту.
Процедура направления и получения такого пароля представляет собой т.н. динамическую идентификацию – процедуру установления личности клиента с целью однозначного подтверждения его прав на получение электронных банковских услуг путем использования одноразового (единовременного) кода (п/п 8) пункта 2 Правил оказания банками, филиалами банков-нерезидентов Республики Казахстан и организациями, осуществляющими отдельные виды банковских операций, электронных банковских услуг, утвержденных Постановлением Правления Национального банка Республики Казахстан от 31 августа 2016 года № 212).
Проще говоря, направляя OTP-пароль, клиент подтверждает, что действие совершается им лично (или, по крайней мере, в его присутствии и с его согласия).
Отправляя банку в системе полученный ОТР-пароль, клиент акцептует предложение. Тем самым договор банковского займа считается подписанным со стороны клиента.
Заключенный посредством направления ОТР-пароля договор считается совершенным в письменной форме, поскольку согласно норме ч. 3 ст. 152 ГК к совершению сделки в письменной форме приравнивается, среди прочего, обмен электронными сообщениями или иными документами, определяющими субъектов и содержание их волеизъявления.
Возможна также схема кредитования, при которой подписание договора осуществляется посредством электронной цифровой подписи. Использование ЭЦП предполагает прохождение процедуры идентификации клиента.
Таким образом, заключение договора банковского займа в описанном выше порядке признается казахстанским законодательством и соответствует ему.
Социальная инженерия – манипулирование человеком с целью хищения.
Как совершается мошенничество через онлайн-кредиты?
Сразу нужно оговориться, что ниже речь пойдет не о тех случаях, когда злоумышленники «взламывают» систему информационной безопасности банка и совершают хищение, не контактируя с клиентом, а именно о тех случаях, когда мошенничество совершается путем психологического воздействия на жертву посредством ее запугивания, введения в заблуждение, представляясь сотрудником банка или государственного органа и т.д. Подобные методы относятся к т.н. социальной инженерии.
Социальную инженерию еще называют « атакой на человека». Злоумышленники пытаются найти доступ к системе или ценным данным через самое уязвимое звено – человека.
Что главное для мошенника в дистанционном хищении? Получить данные, необходимые для совершения операции (коды, пароли), доступ к устройствам, которые используются в мобильном интернете, в целях совершения манипуляции в системе интернет-банкинга от имени клиента. Если мы говорим о социальной инженерии, то эти данные или доступ предоставляет мошеннику сам клиент. О мошенничестве потерпевшие узнают лишь спустя некоторое время.
Способы получения данных и доступа по онлайн-кредитам разнообразны. Приведем некоторые из них.
В одних случаях потерпевшие указывают, что им на сотовый телефон позвонили неизвестные лица, сообщившие, что на их имя, якобы, оформлен кредит и они помогут списать долг. Поддавшись на их уговоры, клиенты заходят в банковские приложение, продиктовав им поступившие SMS-сообщения. Воспользовавшись полученными от клиентов сведениями, мошенники оформляют кредит и переводят деньги с карточки клиентов на другие счета.
В других случаях оформление кредитов и перечисление заемных денег осуществляются посредством приложения для удаленного рабочего стола AnyDesk, которое потерпевшие собственноручно активируют путем введения цифровой комбинации. При этом клиенты предоставляют идентификационные данные мошенникам. Воспользовавшись указанным приложением и имея идентификационные данные, злоумышленники оформляют получение кредита и затем выводят полученные займы на свои счета.
Встречаются случаи, когда мошенники представляются работниками банка и сообщают о якобы несанкционированных операциях по карте клиента и необходимости перевода средств на «страховой счет». Следуя указаниям злоумышленников, клиент сам лично устанавливает на телефон приложение QuickSupport – программу удаленного доступа к устройству – и предоставляет звонившим одноразовые пароли. Получив удаленный доступ к мобильному телефону клиента, злоумышленники производят несанкционированные операции в интернет-банкинге.
После того, как кредитные деньги поступают на счет ничего не подозревающего клиента, они моментально переводятся мошенниками на другие счета, с которых обналичиваются. Такие переводы становятся возможны тоже благодаря полученным от клиента данным и сведениям.
Риски – на клиенте
Как видно, предоставление самим клиентом злоумышленникам данных и сведений по карте, доступа к мобильному сервису является необходимым условием для совершения незаконных операций и хищения с помощью методов социальной инженерии.
Как развиваются события дальше? Банк, будучи уверенным, что предоставил кредит надлежащему лицу – клиенту, предъявляет требование об оплате долга по графику. Клиент же, узнав об оформленном на него кредите, обращается в правоохранительные органы. Кроме того, клиент предъявляет иск в суд о признании недействительным договора банковского займа.
На первый взгляд, дело очевидное. Сделка, совершенная в результате преступления, никак не может считаться законной и действительной; обязательств клиента по возврату банковского займа она не должна повлечь.
Однако все не так просто. Дело в том, что на данной стадии (до вынесения приговора по возбужденному уголовному делу) доподлинно не установлены и не доказаны ни само событие преступления, ни круг лиц, виновных в его совершении, ни другие обстоятельства мошенничества. Нельзя исключать того, что клиент сам замешан в проведенных операциях. По крайней мере, внешне все выглядит так, что операции с получением кредита, их переводом со счета клиента совершены самим клиентом либо с его ведома. Иначе говоря, поскольку не доказано иное, предполагается, что эти операции выполнены клиентом или с его ведома.
«Иное» подлежит доказыванию в рамках уголовного и/или гражданского производства. В рамках гражданского судопроизводства сделать это непросто – инструментарий гражданского процесса не позволяет добиться этого. Установить факт мошенничества и прочие обстоятельства в рамках уголовного производства требует времени. Кроме того, поскольку недействительность сделки следует из преступления, для удовлетворения иска о недействительности необходим вступивший в законную силу обвинительный приговор, а не просто мнение следствия (п. 3 ст. 76 ГПК, п. 2 ст. 158 ГК).
Что касается распоряжения деньгами на счете посредством использования платежной карточки, необходимо исходить из закона «О платежах и платежных системах» и Правил выпуска платежных карточек, а также требований к деятельности по обслуживанию операций с их использованием на территории Республики Казахстан, утвержденных Постановлением Правления Национального банка Республики Казахстан от 31 августа 2016 года № 205. Кроме того, нужно руководствоваться условиями договора о выпуске и обслуживании платежной карточки.
Согласно им на клиента возлагаются ответственность и риски неблагоприятных последствий за нарушение правил пользования карточки, например, за предоставление доступа третьим лицам к реквизитам карточки, иным данным, посредством которых осуществлен несанкционированный платеж. Ответственность и риски возлагаются на банк только за те несанкционированные платежи, которые совершены после уведомления банка клиентом об утере платежной карточки или ее несанкционированном использовании (п. 7 ст. 40 закона «О платежах и платежных системах»).
Представляется правильным применение аналогичного подхода в отношении использования не только платежных карточек, но и интернет-банкинга, получения банковских услуг и займов посредством удаленного доступа: на клиента должен возлагаться риск неблагоприятных последствий вследствие предоставления им доступа третьим лицам к информации, сервиса для операций в системе интернет-банкинга.
«За недоказанностью»
Клиенты пытаются оспорить договоры банковского займа по онлайн-кредитам в рамках гражданского судопроизводства. Суды правомерно отказывают в удовлетворении подобных исков, ссылаясь на необходимость подтверждения того, что сделки по онлайн-кредитам и переводам со счетов совершены не самими клиентами или с их ведома, а третьими лицами.
Приведем пример из судебной практики.
С иском о признании соглашения о предоставлении кредитной линии недействительным обратился заемщик (см. решение Медеуского районного суда города Алматы от 1 октября 2021 года № 7517-21-00-2/3483).
Соглашение было заключено посредством интернет-банкинга. Свое согласие на заключение соглашения заемщик дал путем ОТР-пароля. Тем самым заемщик выразил согласие с условиями Договора присоединения о выпуске и обслуживании платежной карточки.
Деньги были перечислены на счет заемщика.
Однако он обратился с заявлением в полицию о том, что заявку на получение кредита он не оформлял, стал жертвой мошенничества. По заявлению заемщика возбуждено уголовное дело с признанием его потерпевшим. К моменту подачи иска досудебное расследование не завершено.
Истец считал, что сделка – соглашение о предоставлении (открытии) кредитной линии – является недействительной, так как была совершена с целью, заведомо противоречащей основам правопорядка.
Суд в удовлетворении иска отказал
В обосновании суд указал, что заключение соглашения и последующий перевод денег в системе интернет-банкинга были подтверждены SMS-кодами, отправленными на номер истца. Указанный номер был зарегистрирован в системе интернет-банкинга за истцом. Предоставленными выписками из системы банка подтверждаются факты доставки SMS-сообщений клиенту – истцу.
Вышеуказанные обстоятельства, говорится в судебном решении, свидетельствуют о том, что действия по получению займа и переводу этих средств на другие карты были совершены самим заемщиком либо с его согласия.
Суд также сослался на условия договора присоединения о выпуске и обслуживании платежной карточки, согласно которым ответственность за разглашение реквизитов карточки возложена на самого клиента, то есть истца.
На довод истца о совершении всех действий третьими лицами, которые имели удаленный доступ к ее телефону, суд отметил, что получить удаленный доступ без согласия самого держателя телефонного аппарата невозможно, для этого необходимо скачать специальное приложение и предоставить свои данные третьим лицам. При этом обеспечение сохранности и конфиденциальности банковских сведений возлагается на самого клиента.
Таким образом, заключил суд, доводы истца о том, что заем был оформлен третьими лицами и без согласия клиента, не нашли своего подтверждения. В действиях ответчика суд не усмотрел какие-либо признаки нарушения прав и законных интересов истца, а также сделка была одобрена в соответствии с действующими правилами банка и требованиями гражданского законодательства.
Суд отметил, что в случае установления лиц и доказанности вины совершивших данные действия в рамках уголовного судопроизводства истец имеет право инициировать вопрос о пересмотре судебного акта по вновь открывшимся или новым обстоятельствам.
Без приговора никак
Приведенный пример можно смело назвать характерным для такой категории споров. Сформировавшаяся за последние год-два судебная практика исходит из недоказанности клиентами того, что фактически сделки были заключены не ими, а третьими лицами (см. например, решение Экибастузского городского суда Павлодарской области от 23 сентября 2021 года № 5522-21-00-2/1962, решение Усть-Каменогорского городского суда Восточно-Казахстанской области от 17 января 2022 года № 6310-21-00-2/6192, решение Павлодарского городского суда от 12 января 2021 года № 5510-21-00-2/5947, решение суда №2 города Петропавловска Северо-Казахстанской области от 24 декабря 2021 года № 5912-21-00-2/2858).
В приведенном выше судебном споре суд критически отнесся к заявлению истца о том, что все действия были совершены третьими лицами, которые имели удаленный доступ к его телефону.
Поскольку получить удаленный доступ без согласия самого держателя телефонного аппарата технически невозможно, суд исходил из верного, по сути, применения презумпции того, что онлайн-кредит и последующее распоряжение полученными деньгами осуществлены самим клиентом.
Однако любая презумпция допускает наличие обратного при условии доказанности. Такую оговорку суд сделал в конце мотивировочной части решения, указав, что в случае установления лиц и доказанности вины в рамках уголовного судопроизводства истец имеет право инициировать вопрос о пересмотре судебного акта по вновь открывшимся или новым обстоятельствам. Иными словами, если факт мошенничества со стороны третьих лиц будет доказан в рамках уголовного дела, то решение суда может быть уже иным.
Если спрогнозировать ситуацию, при которой в рамках уголовного судопроизводства будет установлено, что заявка на получение онлайн-кредита и договор банковского займа фактически оформлялись не самим заемщиком-клиентом, а третьими лицами мошенническим путем, то решение действительно может быть другим. Сделка по получению онлайн-кредита будет признана недействительной как направленная на достижение преступной цели, причем, противоправность должна быть установлена именно приговором (постановлением) суда (п. 2 ст. 158 ГК). Материалы досудебного расследования для суда гражданской юрисдикции юридической силы не имеют, что вытекает из нормы п. 3 ст. 76 ГПК РК. Установление факта мошенничества в отношении клиента подлежит проверке в рамках уголовного процесса и может быть установлено только приговором суда.
Кстати, доказывание того факта, что договор банковского займа подписан был не самим заемщиком, а третьим лицом, сравнительно проще в тех случаях, когда договор заключен в бумажном виде. Если почерковедческая экспертиза покажет, что подпись на договоре выполнена не самим заемщиком, то вероятность признания договора недействительным значительно возрастает (если не сказать, что практически предрешает результат спора, хотя заключение эксперта должно оцениваться в совокупности с другими доказательствами по делу). Но по онлайн-кредитам доказать факт заключения договора не заемщиком, а иным лицом, намного сложнее.
Клиент тоже виноват
В случае установления виновных лиц приговором суда ответственность мошенников по возмещению суммы ущерба очевидна.
Помимо этого, нельзя исключать также возложение гражданско-правовой ответственности на клиента перед банком в случае, если будет установлено, что хищение стало возможным благодаря неправомерной передаче клиентом злоумышленникам доступа к реквизитам платежной карточки, банковского счета, пользованию системой интернет-банкинга, в том числе пользованию мобильного устройства, на который зарегистрирован доверенный номер. Основанием для такой ответственности будет являться не нарушение условий договора банковского займа, а нарушение условий договора банковского счета и/или договора о выпуске и обслуживании платежной карточки.
Соответственно, требование банка к клиенту будет в таком случае представлять собой не требование о возврате банковского займа (договор банковского займа, заключенный вследствие мошенничества, является, безусловно, недействительным), а требование о возмещении вреда, причиненного нарушением договорного обязательства о соблюдении правил пользования банковским счетом (интернет-банкингом, платежной карточкой). Такое требование может быть заявлено банком в размере выданной суммы банковского займа, но без начисленного по договору вознаграждения (нельзя начислять обусловленное вознаграждение по недействительному договору).
Справедливость такого подхода вытекает из причинно-следственной связи между допущенным разглашением клиентом сведений и информации и ущербом в виде незаконно полученного онлайн-кредита. Иной подход, исключающий гражданско-правовую ответственность самого клиента перед банком, перекладывает на банк ответственность и риски за неправомерное предоставление клиентом доступа к конфиденциальной информации, что несправедливо. Кроме того, такой ошибочный подход открывает «окно» для совершения хищений денег банка с участием клиентов, которым для избежания ответственности перед банком достаточно лишь будет заявить, что стали жертвой мошенничества вследствие собственной недостаточной осмотрительности.
В последующем, после удовлетворения требования банка, клиент вправе будет обратиться с регрессным требованием к злоумышленникам, непосредственно совершившим хищение.
Впрочем, сказанное не исключает ситуации, при которой банк, убедившись в наличии мошенничества в конкретном случае, согласится признать договор банковского займа незаключенным и снять все требования по погашению долга с клиента. Все зависит, скорее всего, от деталей индивидуального случая.
«Добровольный запрет» кредитов
Дабы в какой-то степени предотвратить случаи незаконного оформления кредитов на клиентов, на законодательном уровне предлагалось в Казахстане закрепить правило о «добровольном запрете» кредитов. Согласно ему заемщик получил бы право в любое время вводить и отменять возможность выдачи на его имя любых банковских займов. Пока действует запрет, банки обязаны отказывать клиенту в оформлении кредитов на имя клиентов. Если кредитный договор в нарушение установленного клиентом запрета все-таки будет оформлен на его имя, кредиторы не вправе требовать возврата банковского займа по такому кредиту.
Подобная идея обсуждается в Российской Федерации, где проблема мошеннического оформления кредитов на имя клиентов также актуальна. Впрочем, многие признают, что правило «добровольного отказа» от кредитов неспособно разрешить проблему полностью, так как ничто не мешает злоумышленникам убедить человека снять запретную галочку и после этого оформить кредит на него (все тот же метод социальной инженерии).
Хотя в казахстанском законодательстве правило о «добровольном отказе» от кредитов отсутствует, отдельные его элементы уже применяются на практике. Так, казахстанцы могут воспользоваться сервисом «Стоп-кредит» Первого кредитного бюро, наложив ограничение доступа финансовых организаций к своей кредитной истории. Если клиент воспользовался таким сервисом, то кредитные организации не смогут получать кредитный отчет для принятия решения о кредитовании и получат уведомление о добровольном запрете на получение кредитной истории клиента (кроме тех кредиторов, у которых уже имеется действующий заем клиента).
Банально, но необходимо
Итак, как видим, клиенты сильно рискуют, предоставляя доступ и данные по карточкам, счетам, мобильным телефонам третьим лицам. Сейчас можно говорить об устоявшейся судебной практике, по которой суды отказывают в исках о признании недействительными договоров банковского займа до установления обстоятельств мошенничества в рамках уголовных дел. И в этом трудно упрекнуть суды, поскольку презумпция совершения сделки по получению онлайн-кредитов, несанкционированным переводам денег со счетов действует не в пользу клиентов. Доказать, что в действительности указанные операции совершались не самим клиентом, а посторонними, в рамках гражданского судопроизводства довольно сложно.
Но даже с признанием таких сделок недействительными все равно на клиентов может быть возложена часть ответственности, о чем я указал выше. Оспаривание сделок, таким образом, не выступает для клиентов панацеей, которая позволила бы им полностью избежать требований банка.
Еще раз подчеркнем – сказанное относится к мошенничеству посредством социальной инженерии, когда сами клиенты по своей небрежности или неосторожности предоставляют мошенникам свои данные.
В тех же случаях, когда хищение происходит без каких-либо контактов или невольного участия клиента (например, в результате взлома злоумышленниками системы информационной безопасности), должны действовать иные правила: риски возникших неблагоприятных последствий ложатся на банк.
Разница в подходах объясняется тем, что в случае с социальной инженерией конфиденциальные данные предоставляются самим клиентом, в то время как в других случаях незаконное овладение злоумышленниками конфиденциальными данными происходит помимо воли клиента и вне его контроля; это зона ответственности банка.
Что же делать, чтобы не попасть в такую ситуацию? Совет довольно простой и банальный: соблюдать конфиденциальность данных и сведений по карточкам, счетам; не предоставлять посторонним лицам доступ к своим телефонам, интернет-банкингу; не устанавливать по указаниям посторонних лиц какие-либо приложения на свой телефон.
Если вы все равно попались на удочку мошенников, нужно незамедлительно обращаться в правоохранительные органы о совершенном в отношении вас преступлении и информировать банк об этом.
Если, на ваше счастье, удастся привлечь мошенников к ответственности и доказать недействительность банковского займа, необходимо будет обратиться в банк с требованием исключить сведения по такому займу из кредитного бюро, чтобы вы не числились в должниках.
Помните: ни один закон, ни один сервис не способны исключить риск онлайн- мошенничества. Будьте внимательны!
Автор Даулет Абжанов
Источник zakon.kz