Connect with us

Думка експерта

Банки та їх відповідальність за кіберзлочини

Опубліковано

Як ми зазначали, використання мережі Інтернет в Польщі створює численні загрози. Часто – це дії, які завдають шкоди користувачам загалом (реклама заборонених послуг або товарів), але також дуже часто трапляється, що злочинці видають себе за громадські (державні) установи і банки.

Викрадення особистих даних  привертає багато уваги як друкованих, так і онлайн-ЗМІ. Потерпілі повинні бути більш уважними та ставитися з недовірою до людей, які їм телефонують.

На нашу думку, і це підтверджують судові справи, які ми виграли, за польським законодавством, на потерпілих не можуть накладатися жодні санкції. Саме банки та державні установи запроваджують комунікацію по телефону чи через Інтернет. Вони роблять це не для нашої зручності, а з прозаїчної причини – так для них дешевше.

Викрадення особистих даних — це поточне визначення ситуації, коли неавторизована особа отримує, найчастіше в результаті злочину, дані, що стосуються конкретної особи, і використовуючи різні типи каналів віддаленого зв’язку, видає себе за цю особу. Водночас дані використовуються для створення фальшивих документів (посвідчень особи, довіреностей тощо).

Однією з головних цілей зловмисників, які «викрадають» особистість інших людей, є заволодіння коштами за допомогою системи електронного банкінгу установи, з якою жертва має договір банківського рахунку. Наслідки таких дій і подальша позиція банків суттєво впливають на долю людей, чию особистість було вкрадено. Йдеться про переказ коштів, отримання кредитів на цих людей або з використанням їх даних.

Щоб відповідно опрацювати це питання, нам потрібні типові факти, з якими ми стикаємося у роботі з нашими клієнтами.

Олена Крупець (Alena Krupets), Директор з міжнародних зв’язків, юридична фірма YLS (Your Legal Support), Варшава

Перший – коли злочинець виманює засоби авторизації (SIM-карту)

  • Злочинець встановлює особу жертви (в тому числі отримує інформацію про фінансовий стан і активи).
  • Злочинець отримує дані жертви – часто це дані для входу в онлайн-банкінг, тобто ім’я, прізвище, назву банку, в якому ведеться банківський рахунок, а потім логін і пароль. У цьому відношенні найчастіше порушується закон (у цій статті ми не розглядаємо крайні ситуації, коли жертва особливо недбала і оприлюднює свої дані публічно, наприклад, в Інтернеті).
  • Злочинець отримує інформацію про те, послугами якого з операторів зв’язку користується жертва.
  • Злочинець отримує дані або припускає, що клієнт може використовувати телекомунікаційні послуги для авторизації (авторизація через sms).
  • Злочинець підробляє документи жертви (тобто вже на цьому етапі вчиняє злочин) і відвідує магазин мобільного оператора. Наступний злочин він вчиняє, видаючи себе за жертву з підробленими документами та вимагаючи дублікат SIM-карти. Слід підкреслити, що злочинці дуже добре підготовлені, володіють великою кількістю попередньо зібраної інформації про жертву та використовують ряд рішень соціальної інженерії для вчинення шахрайства.
  • Отримавши відповідну інформацію, злочинець входить у банківську систему та здійснює переказ коштів.

Злочинці не обирають жертв випадково. Вони вибирають їх дуже ретельно, зазвичай спостерігаючи за ними, між іншим: у соціальних мережах, щоб зібрати інформацію про майновий стан, звички, спосіб життя тощо – ті елементи, які дозволять отримати певний  зиск.

Така ситуація свідчить про те, що потерпілою стороною є особа, з банківського рахунку якої були перераховані кошти злочинцю. Між тим, комплексні знання кримінального, цивільного та банківського права дозволяють нам заперечити це твердження та вказати на банк як на потерпілого, що водночас має зобов’язання перед клієнтом – потерпілим. Ми дійдемо до цього за мить.

Мартін Марущак (Marcin Maruszczak), юрист, юридична фірма YLS, Варшава

Друга фактична ситуація – коли злочинець використовує соціальну інженерію 

  1. Злочинець отримує дані жертви, щоб побудувати розмову (він часто купує бази даних великих організацій і компаній)
  2. Злочинець дзвонить жертві (іноді з номера банку чи установи), представляючись представником банку, поліції або іншої установи. Він будує сценарій на основі брехні та ризику втрати коштів.
  3. Зловмисники часто вказують, що телефонують з відділів безпеки, інформуючи, що кореспондент нібито є жертвою злочину і, наприклад, йому потрібно взяти кредит, щоб забезпечити свою кредитоспроможність, або, наприклад, на підставі виграшу певної лотереї.
  4. Жертва виконує дії, боючись втратити кошти або необхідності сплачувати кредити. Дії злочинців є настільки впевненні, що великий відсоток людей, яким вони телефонують, втрачає свої кошти.
  5. Зрештою, ситуація виглядає так:
  • Банк надає кредит у розмірі, наприклад, 10 000 євро, а дебіторська заборгованість становить 20 000 євро (у Польщі це витрати на кредит)
  • Потерпілий винен 20 тисяч євро
  • Зловмисник має 10 тисяч євро готівкою
  1. Вищенаведене свідчить, що якщо жертва залишається наодинці з проблемою, вона повертає 20 000 євро, злочинці мають власні кошти, а банк заробляє на погашенні кредиту.
  2. Шлях пошуку злочинців, на жаль, часто закінчується провалом правосуддя. З практики ми знаємо, що зловмисники використовують безхатченків для виведення коштів і інколи платять їм за таку дію до 10 євро. В одному з випадків бомж заробив у злочинців саме стільки і отримав 2 роки позбавлення волі, а інших злочинців так і не спіймали.

Роль банку

Як ми зазначали на початку, саме банк є мішенню злочинців, які впроваджують методи користування його послугами (банківський рахунок, кредити) дистанційно, або через Інтернет чи по телефону. Злочинці це знають і використовують ці канали для грабування банків. Їх цікавить не жертва, а кошти в банку.

Тому слід правильно визначити, що має робити особа, яку використали злочинці.

Необхідно відповісти на питання, чи гроші, які знаходяться в банку, наші чи банківські?

Суб`єкт, чиї дані отримав злочинець, пов’язаний з банком угодою під назвою «угода банківського рахунку», описаною у Ст. 725 Цивільного кодексу та ін. Це очевидно, але, на жаль, практика показує, що лише дуже вузька група спеціалістів (окрім банкірів) знає, як ця угода структурована.

Загальноприйняте розуміння абсолютно суперечить його реальній правовій конструкції. Під банківським рахунком розуміється місце, де зберігаються кошти клієнта банку. Ніщо не може бути дальшим від істини.

Структура договору банківського рахунку, як це встановлено судовою системою та практикою, є наступною:

  1. Клієнт укладає з банком договір банківського рахунку
  2. Клієнт перераховує кошти в банк – вносить їх, наприклад, у відділенні банку
  3. Коли кошти перераховуються, клієнт втрачає право власності на них і воно переходить на банк.
  4. Власником коштів стає банк. Якщо він є власником, ризик втрати – переказу не тому одержувачу – перекладається на банк.
  5. Заборгованість Клієнта вимагає погашення банком, як правило, в момент його вимоги про видачу накопичених засобів або здійснення грошової виплати. Клієнт має право вимагати повернення своїх засобів у будь-який момент.

Підсумовуючи викладене вище, слід зазначити, що неправомірне отримання коштів з банківського рахунку є протиправним заволодінням коштами банку. Клієнт банку весь час має дебіторську заборгованість щодо банку.

Забезпечення банківських коштів

Тому логічно, що Банк повинен застосовувати відповідні заходи для захисту своїх ресурсів. Банки використовують посилені двері для сховищ, систему кодів і контролю доступу, наймають охорону тощо. Складнощі виникають через динамічний розвиток технологій та ІТ-послуг. У цьому відношенні існуючих заходів захисту недостатньо. Однак, банки є холдингами, вони хочуть і повинні заробляти гроші. Це їхня мета, тому в їхніх інтересах, щоб клієнти користувалися їхніми послугами, здійснювали перекази, їм було легше виконувати свої дії. Тому банки надають онлайн-послуги.

У цьому відношенні необхідна ідентифікація людей, які користуються онлайн-сервісами. Ідея полягає в тому, щоб переконатися, що особа, яка хоче здійснити переказ з банківського рахунку, наприклад, зменшити свою дебіторську заборгованість, є уповноваженою особою. У цьому відношенні банки повинні надати відповідні засоби дистанційної сертифікації та перевірки. Такі заходи безпеки включають дані для входу та паролі.

Усі ці заходи спрямовані на захист майна банку. Якщо банк використовує інструменти, неадекватні ризику неправильної ідентифікації, то відповідальність за такий стан справ несе банк, а не його клієнт – власник рахунку. Подібно до того, як сховище має належні заходи безпеки та процедури, онлайн-банкінг також має бути захищеним.

Правило полягає в тому, що у випадку спору, тобто коли клієнт стверджує, що він не був тим, хто видав розпорядження про зменшення дебіторської заборгованості, банк несе тягар доведення того, що така операція була авторизована клієнтом. Згідно загальних положень законодавства боржник, тобто у зазначених випадках банк, повинен у своїх власних інтересах переконатися, що особа, яка вимагає виплати коштів, є уповноваженою особою. Однак, слід підкреслити, що відповідальність щодо можливої неправильної ідентифікації особи, вповноваженої отримати кошти, як правило, несе боржник (тобто банк). Боржник, який здійснює платіж особі, яку він помилково вважав правомочною особою, діє на власний ризик і тому буде змушений здійснити другу виплату фактично правомочній особі.

Крім того, якщо хтось використовує телефонний номер банку, посилається на наші дані, вводить нас в оману та створює загрозу втрати коштів, а ми, вважаючи, що маємо справу з банком або державною установою, можемо уникнути цих дій, якщо виявиться, що мали справу із злочинцями, з іншого боку. У таких випадках, звісно, ​​нелегко, оскільки в нашій практиці ми не зустрічали схвалення з боку банку і доводилося вести судові спори. Проте, для судів наша аргументація виявилася абсолютно правильною.

Підсумовуючи, на нашу думку, нормативні акти є чіткі та докладно вказують на конкретні дії у разі крадіжки особи та використання цих даних для здійснення несанкціонованих банківських операцій. Однак, створений медіа-шум затьмарює картину та часто призводить до непотрібних судових процесів і непотрібної шкоди суб’єктам, які не повинні відчувати на собі вплив злочинців і неналежного підходу деяких банків до безпеки.

Автори: Олена Крупець (Alena Krupets), Директор з міжнародних зв’язків, юридична фірма YLS (Your Legal Support), Варшава
Мартін Марущак (Marcin Maruszczak), юрист, юридична фірма YLS, Варшава

facebookПоділитися
TwitterТвітнути

Схожі статті:

Пов'язані теми:
Продовжити читання →

Новини на емейл

Правові новини від LexInform.

Один раз на день. Найактуальніше.

 Надано SendPulse

Digital-партнер


© ТОВ "АКТИВЛЕКС", 2018-2024
Використання матеріалів сайту лише за умови посилання (для інтернет-видань - гіперпосилання) на LEXINFORM.COM.UA
Всі права на матеріали, розміщені на порталі LEXINFORM.COM.UA охороняються відповідно до законодавства України.