Расследования Bankir.Ru, дело № 5. Дело Аллы Тасиц
28.02.2012 15:04
История Аллы Тасиц стала символом того, как банки бросают своих клиентов на произвол мошенников.
В России нет точной статистики по компьютерным преступлениям, потому что каждая организация, пережившая успешную атаку хакеров, предпочитает этот факт по возможности скрыть. Особенно «дорожат» своей репутацией в этом смысле российские банки, предоставляющие своим клиентам дистанционные услуги.
Тот, кто хотя бы раз попробовал оплатить те же коммунальные услуги через интернет-банк, уже никогда не встанет за этим в очередь к окошку операционистки. Пополнять баланс мобильного телефона, платить налоги и штрафы и управлять своими деньгами, «гоняя» их компьютерной мышью, несомненно, приятнее и удобнее, чем тратить время на личное присутствие в отделении по каждому мелкому поводу. Но есть одна проблема, которая перечеркивает все удобства
дистанционного банковского обслуживания. Компьютерные мошенники «работают», как и некоторые отделения банков – по графику 24x7.
При этом опасность для клиента представляют не только воры – шанс быть обворованным с помощью компьютера не больше, чем возможность лишиться ценностей из-за квартирной кражи. Сегодня сами банки предоставляют дистанционные услуги так, чтобы наверняка отвратить клиента от технологий.
Обычная история
Имя москвички и клиентки Сбербанка России
Аллы Тасиц уже стало нарицательным для многих банковских «безопасников». Ее история для профессионалов банальна, а для потребителей ужасна – в результате фишинговой атаки она одномоментно потеряла все свои накопления в сумме 425 тыс. рублей. Благодаря общественному резонансу в средствах массовой информации и на интернет-форумах, за развитием противостояния «клиент – Сбербанк» следило все банковское сообщество. По крайней мере, дело Тасиц на полном серьезе обсуждалось в кулуарах ежегодной конференции по противостоянию компьютерному мошенничеству «Антифрод-2011».
Все эмоции по данному факту доступны в передаче
«Pro жизнь» на канале ТВЦ. Сам же факт следующий: у клиентки банка был пополняемый депозит. Однажды сотрудники банка уговорили ее подключить услугу «Сбербанк-он-лайн». В конце августа 2010 года Алла попыталась войти в свой личный кабинет, однако попала на страницу, сфабрикованную злоумышленниками, и тут же начала получать смс-сообщения о том, что деньги с депозита перетекают сначала на ее банковскую карту, а оттуда на неизвестные счета.
Звонок на горячую линию банка обернулся долгим концертом в телефонной трубке. Пока встревоженная клиентка слушала музыку в трубке городского телефона в ожидании ответа оператора, ее «успокоили» злоумышленники. Позвонив на мобильный телефон и представившись сотрудниками Сбербанка, молодой человек назвал клиентку по имени и отчеству и сообщил, что полученные ею сообщения говорят об ошибочных операциях, и их необходимо отменить.
Находясь в стрессовом состоянии, Алла назвала все пароли, пришедшие ей по смс. В ответ получила сообщение, что все ошибочные операции отменены. В тот злополучный день она больше не смогла попасть в «Сбербанк-он-лайн», а на следующее утро обнаружилось, что все деньги с ее счетов испарились. Только потом пострадавшая заметила, что звонили ей на мобильный с номера, который на одну цифру отличается от телефона «горячей линии» Сбербанка.
«Большую часть суммы составляло детское пособие, которое ежемесячно приходило мне на счет. Остальные деньги откладывались с большим трудом, так как я не работаю, а у мужа заработок нестабильный. Мы живем на съемной квартире с полуторагодовалым ребенком. Эти деньги – все, что у нас было», – написала Алла
на форуме Bankir.Ru.
Потерпевшая сразу же обратилась с заявлениями в Сбербанк и полицию. Сотрудница банка, принимая претензию, сообщила, что максимальный срок рассмотрения заявления составляет один месяц, и что с Аллой непременно свяжутся. Однако месяц прошел, а ответа все не было. Только после того как возмущенная клиентка, уставшая звонить по своей проблеме на «горячую линию», решила предать огласке свою беду на различных форумах, банк прислал стандартное письмо-отказ.
«Я считаю, что в случившемся виновата служба безопасности Сбербанка. В момент заключения договора на пластиковую карту мне не дали полной и необходимой информации о правильном и безопасном использовании услуги «Сбербанк-он-лайн». Ни в самом договоре, ни в приложениях к нему нет ни слова о том, что для безопасного использования на моем компьютере должны быть установлены специальные антивирусные программы. Меня также не проинформировали о мерах предосторожности, например о том, что сотрудники банка никогда не звонят своим клиентам, не предложили застраховать свой вклад. Непонятно, откуда мошенники узнали мой номер мобильного телефона, «привязанного» к карте. В своем ответе мне банк полностью винит меня», – рассказывает Алла Тасиц.
Игра на камеру
Ведущая ток-шоу «Pro жизнь»
Ольга Бакушинская написала в своем
блоге: «Если вы еще храните деньги в Сбере, валите оттуда на всех парусах. Советская контора, советский порядок, советские работники. Безопасность при работе с электронными деньгами стремится к минусу. Но это их совершенно не парит. Ваши деньги сопрут хакеры, и потом будете предоставлены сами себе и правды не найдете».
Такое впечатление у журналистки оставили о себе после съемки программы руководитель службы заботы о клиентах Сбербанка
Михаил Беляев и начальник управления информационной безопасности Сбербанка
Сергей Бондарев.
Ток-шоу закончилось, но шоу продолжается. Спустя две недели после слов, сказанных на камеру, Алла получила еще одно автоматическое письмо из Сбербанка с отказом. Правда, чуть более подробное, чем первое, которым ее просто «посылали» обращаться в правоохранительные органы. Во втором письме на целую страницу расписывается, как именно у клиентки увели деньги, однако ответственности банк на себя не взял.
«Введение одноразового пароля является для Банка распоряжением на проведение операции, которое Банк обязан выполнить… Учитывая вышеизложенное, Вы несете ответственность за проведение данных операций… Прекрасно понимаем, что наш ответ будет для Вас слабым утешением, однако надеемся, что наши комментарии помогут Вам подробно разобраться в сложившейся ситуации», – написано в письме.
При этом банк совершенно не смутил тот факт, что деньги со счета пострадавшей были выведены мошенниками не на далеких оффшорных островах, а… через тот же Сбер, в одном из отделений в Мытищах.
«Говорить о том, что во всем виноват только банк, потому что не дал «полной и необходимой информации о правильном и безопасном использовании услуги», не совсем справедливо. Во-первых, это напоминает известный тезис о том, что раз в инструкциях для микроволновок не написано, что в них нельзя сушить кошек, значит, можно. Во-вторых, пострадавшие от рук мошенников не предъявляют параллельных претензий, например, интернет-провайдерам или производителям компьютеров. Но ведь те тоже не предупреждают о рисках использования Интернета или компьютерных технологий. Почему бы тогда не требовать разделить ответственность? Правда, в таком случае получится, что все вокруг виноваты, и тогда ситуация точно зайдет в тупик», – попытался быть объективным еще один участник нашумевшей телепередачи, заместитель генерального директора Group IB
Александр Писемский.
Реальную пользу пострадавшей клиентке принесло знакомство на съемках программы с депутатом Госдумы
Александром Коганом, который занял в эфире позицию защиты слабого, которым априори является клиент, а не банк. Если правоохранительные органы три месяца футболили Аллу Тасиц из одной своей службы в другую и не могли прийти к консенсусу, в каком именно городе должно быть заведено уголовное дело – где украли деньги, или где обналичили, то после депутатского запроса дело сдвинулось с мертвой точки.
Как сообщила Алла Тасиц, перед новогодними праздниками она пять часов провела у начальника следственного отдела УВД Зеленограда
Андрея Аносова, который заверил потерпевшую, что приложит все силы к раскрытию преступления. Уголовное дело по 159-й статье возбуждено. На экспертизу изъяты ноутбук, мобильный телефон, пластиковая карта и сберкнижка клиентки банка.
Однако сами же представители банковского сообщества сомневаются в силах правоохранительных органов.
«Налицо чисто уголовное преступление. Подменять работу полиции коммерческие структуры не вправе, и не в состоянии. Конечно, банки стараются расследовать все прошедшие инциденты, однако, роль МВД в поимке преступников определяющая. И в этом важном деле, увы, работники полиции не всегда оказываются на высоте. Раскрыть киберпреступление по горячим следам в силу ряда объективных и субъективных причин сложно.
Здесь отметим и отсутствие достаточной технической базы, и недостаточную квалификацию наших полицейских, и международный характер деятельности преступных групп. Оперативно зафиксировать следы многообразных киберпреступлений даже специализированное подразделение «К» порой не в состоянии. Что же делать в сложившейся ситуации? Уверен, надо шире применять превентивные меры – заниматься агентурной и оперативно-розыскной работой в местах дислокации преступных групп. Существует несколько центров киберпреступности в нашей стране, места расположения их хорошо коррелируют с расположением бывших центров академической и фундаментальной науки. Именно здесь и надо наладить оперативную работу», – прокомментировал эту проблему исполнительный директор Ассоциации российских банков
Тимур Аитов.
Выход там же, где и вход
Если против лома нет приема, все нормальные люди подстилают страховую соломку. Александр Писемский считает, что в нашей стране необходимо срочное внедрение массового страхового продукта для физических и юридических лиц, который бы покрывал риски при работе с интернет-банкингом. Эксперт уверен, что подключение к процессу дистанционного банковского обслуживания страховой компании обяжет клиентов банков соблюдать необходимые требования по защите своего компьютера.
«В случае появления данного продукта на российском рынке мы автоматически приступаем к решению следующей фундаментальной проблемы – тотальной безграмотности населения в области обеспечения информационной безопасности. Часто пострадавшие клиенты при отстаивании собственных интересов оперируют именно формулировками «я не знал» и «мне не сказали». Страховое покрытие рисков позволит пользователям узнать и об угрозах, существующих в Интернете, и о способах противодействия им. Если у всех будут соответствующие знания, не нужно будет печатать в инструкциях, что нельзя кошек засовывать в микроволновку», – комментирует Писемский.
Между тем, на рынке практика подобного страхования есть
уже давно. К примеру, Росгосстрах застраховал клиентов мультибанковской платежной системы HandyBank от риска компьютерных преступлений. И, кстати, не только удобство самой системы, а именно страховой лимит в размере 3 млн. рублей сыграл решающую роль в том, что интернет-банкинг от HandyBank стал в прошлом году лидером в рейтинге РА «Эксперт» как наиболее безопасный способ дистанционного обслуживания.
Другое дело, что, несмотря на предложения страховщиков, такие страховые продукты классическими банками почти не востребованы. А если бы с обеспечением безопасности каналов дистанционного банковского обслуживания было бы все в порядке, дела должны обстоять с точностью до наоборот.
Достучаться до Фемиды
В ближайших планах Аллы Тасиц – суд со Сбербанком. Она надеется, что суд обяжет банк вернуть ей украденные деньги и готова идти до конца по всем судебным инстанциям не только «корысти ради», но и из принципа.
Банковские юристы в неофициальных беседах дают по подобным делам следующие прогнозы: клиент непременно проиграет дело в «прикормленном» суде первой инстанции, и первая апелляция тоже не спасет. К Фемиде надо карабкаться на самый верх судебной пирамиды. Ответственность банка за последствия исполнения поручений, выданных неуполномоченными лицами, прописана в постановлении пленума Высшего арбитражного суда Российской Федерации от 19 апреля 1999 года № 5.
Партнер консалтинговой компании «Лигерион Групп»
Андрей Шаховнин не отрицает, что при существующем законодательном регулировании клиенту сложно одержать верх в споре с банком. Он утверждает, что банк несет ответственность за проведенные операции во всех случаях, когда, несмотря на все положенные процедуры, он не смог в результате установить, что операции совершаются неуполномоченным лицом. «Однако это правило может быть изменено договором с клиентом, чем активно пользуются все без исключения банки», – комментирует юрист.
Для того, чтобы суд принял сторону клиента, необходимо привести весомые аргументы, что при осуществлении операций банк нарушал законы, банковские правила либо договор, не раскрыл клиенту информацию о порядке пользования вкладом, счетом, имеющую существенное значение, не уведомил, в том числе, о мерах предосторожности. Однако, как правило, банки такую информацию клиентам предоставляют.
Шаховнин считает, что применительно к ситуации с мошенничеством через сеть Интернет, одним из ключевых является вопрос обеспечения информационной безопасности. По его мнению, суд примет решение в пользу клиента, если установит, что нарушение произошло на стороне банка, а не клиента. Например, будет выявлено, что программное обеспечение банка изначально имеет изъяны, не позволяющие обеспечить безопасность всех совершаемых операций.
«Банки строят свои возражения на том, что процедуры идентификации, предусмотренные банковскими правилами и договором, проведены, а доказательств того, что распоряжения исходили не от самого клиента, а от иного неуполномоченного лица, нет. Такие доказательства могут быть добыты в рамках уголовного дела», – говорит юрист.
Глухо, как в танке
Андрей Шаховнин не отрицает, что зачастую клиенты сталкиваются со значительными трудностями при возбуждении уголовных дел и их расследовании. Следователи при решении вопроса о возбуждении дела требуют у банков определенные сведения и документы, которые те предоставить отказываются, ссылаясь на банковскую тайну.
«Сбор доказательной базы по таким видам преступлений крайне затруднителен не только в силу специфики информационного обмена, но и в силу того, что менеджмент и службы безопасности банков
не заинтересованы в публичном распространении сведений о том, что программное обеспечение банка подвержено опасности проникновения на серверной стороне ПО, либо на стороне клиента. В прошлом году, например, системы «банк-клиент» ряда российских банков подверглись атаке со стороны вирусов, что привело даже к прекращению работы некоторых систем на неопределенный срок. Однако по понятным причинам в публичном пространстве эти случае не освещались», – комментирует эксперт.
Об этой же проблеме на конференции по информационной безопасности «Антифрод» заявил начальник бюро специальных технических мероприятий МВД России
Алексей Мошков. Он отметил в своем докладе
две «болевые точки». Первая – банк готов поделиться информацией, если атакован он сам, и ни за что не поможет в расследовании, если в процессе мошенничества были задействованы другие банки. И вторая – клиент всегда виноват сам.
В условиях, когда нет официальной статистики, каждый эксперт склонен верить своему жизненному опыту. К примеру, личная статистика начальника отдела компьютерных экспертиз и технологий МВД России
Ольги Тушкановой такова: если в 2010 году ей пришлось сделать 314 экспертиз по делам о компьютерных мошенничествах, то в 2011 году – уже 2524.
А вот личная статистика
компьютерного «Шерлока Холмса», специализирующегося на частных расследованиях киберпреступлений, генерального директора и основателя компании Group IB
Ильи Сачкова: из 12 тыс. случаев краж с банковских счетов клиентов только два уголовных дела доведены до логического конца.
У пострадавшей от компьютерных мошенников и оставленной без помощи Сбербанком Аллы Тасиц тоже появился личный счет: в ее группу «товарищей по несчастью», созданную в
социальных сетях, добавилось уже более 200 человек.
Тем не менее, представители банковского сообщества считают свою логику непрошибаемой.
«В процентном соотношении уровень проблемы незначителен: 10 рублей «фрода» на каждые 10 000 рублей «честных» транзакций. Причем, уровень хищений по картам российских банков-эмитентов ниже, чем по картам зарубежных банков. По годовому количеству мошеннических транзакций их общая сумма по порядку величины соответствует числу фальшивых купюр, изымаемых Центробанком из обращения ежегодно. Да, фальшивки встречаются, однако, ясно, что фальшивомонетчики находятся под контролем и не в состоянии парализовать наш налично-денежный оборот. Точно так же, число мошеннических транзакций по картам в достаточной мере контролируется международными платежными системами. Ситуация с «фродом» острая, но вот привлекать к ней повышенное внимание СМИ, уверен, нецелесообразно. Это отпугивает потенциальных клиентов от бизнеса банков, от их услуг», – считает Тимур Аитов.
Что ж, не чесать проблему в надежде, что как-нибудь само рассосется, – это очень по-российски. Между тем в мнении юриста Шаховнина логики не меньше. «Очевидно, что проблема обеспечения безопасности клиента и его доверия является условием дальнейшего развития банковского бизнеса. Решить ее можно путем совершенствования и повышения стандартов обслуживания», – заявил эксперт. И в его словах содержится больше справедливости для клиента банка.
Примерно об этом же, комментируя ситуацию Аллы Тасиц, в интервью Bankir.Ru президент Ассоциации российских банков
Гарегин Тосунян. «Банки не могут и, конечно же, не должны во всех случаях отвечать за ущерб клиентов от действий мошенников, – считает глава АРБ. – Но, как минимум, клиенты имеют полное и логичное право рассчитывать, что банк сочувственно отнесется к такой ситуации и со своей стороны приложит все усилия, чтобы преступление было раскрыто, а ущерб – возмещен. Странно видеть, когда позиция банка сводится к «Это ваши проблемы».
…Разумеется, описанная история – не проблема одного лишь Сбербанка. Подобных историй сейчас – море. Недавний пример из
программы телекомпании «Мир»: представитель одного из банков в ответ на просьбу многодетной матери о реструктуризации кредита заявил ничтоже сумняшеся: «Не надо было рожать!».
Клиентов отпугивают от банков и их услуг вовсе не средства массовой информации, чья роль сводится всего лишь к зажиганию света в темной комнате. В том, что комната эта при ярком освещении оказывается полна жирных тараканов, тоже нет журналистской вины. Как и в том, что первый банк страны предпочитает тратить миллиарды на бонусную программу лояльности по своим картам, чем возвращать деньги тем, кто ему их доверил на сохранение. Между тем, именно это лучше всего могло бы сказать о чести, достоинстве и деловой репутации банка. Если, конечно, у него есть честь и достоинство. В нормативные требования к банкам они не входят. Но по умолчанию остаются куда более значимой нормой
. Однако ЦБ допэмиссию не зарегистрировал. «В такой ситуации мы приняли решение изменить статус на НКО», — резюмировал господин Серлин. 
