Юридична практика
Шахрайство з картковими рахунками: як виграти в банку судовий спір про повернення вкрадених коштів?
Юрій Котнюк, ЮВУ
Із початком великої війни банківське шахрайство нікуди не ділося, а якщо вірити повідомленням офіційної хроніки департаменту кіберполіції, то, навпаки, збільшилося. Його жертви поділяються на дві категорії: перша – ті, хто через свою необережність і довірливість самі допомогли зловмисникам обікрасти себе, й цим людям, з огляду на умови військового стану, можна лише поспівчувати. Інші ж – це ті, хто, образно кажучи, ні в чому не винні, тобто ні очно, ні заочно з крадіями не спілкувалися й жодних підказок чи наводок зловмисникам не давали. Саме їм адресоване наше дослідження про те, як змусити банки відшкодувати завдані злодіями збитки.
Соціальна інженерія
Представники нинішнього уряду залюбки хваляться тим, що процес цифровізації країни рухається семимильними кроками, випереджаючи навіть його темпи в більш розвинених країнах світу, але при цьому замовчують той факт, що не завжди за ним встигає розвиток соціально-правової інфраструктури, наслідком чого є доволі неприємні наслідки. Так, протягом останніх десятиліть усіх офіційно працевлаштованих і пенсіонерів у примусовому порядку перевели в режим отримання коштів у банкоматах через платіжні картки категорії «Для виплат». З одного боку, дуже зручно, але якщо до того кишенькові крадії могли витягти в неуважного пасажира громадського транспорту лише місячну пенсію, то після того шахраї отримали можливість методом скімінгу (про який детальніше нижче) витягти з банківського рахунку пенсію за кілька років.
Читайте також: Кінець епохи нотаріальних написів: як стягнення по кредитах без суду зійшли нанівець у 2023 році?
Інший аспект. Останнім часом населення країни масово перейшло на систему дистанційного обслуговування клієнтів типу «Приват24», «Ощад24» тощо, оскільки таким чином стало можливим сплачувати комунальні послуги, сидячи вдома за комп’ютером, і не треба стояти годинами в чергах. Теж дуже зручно, але й тут криється небезпека, оскільки для того, щоб дізнатися пароль від електронного гаманця людини й викрасти з нього всі гроші вже не потрібно особливих технічних пристроїв і знань.
До 2022 року найпоширеніший спосіб такого виду шахрайства полягав у тому, що зловмисник телефонував людині, представлявся співробітником служби безпеки банку й повідомляв, що її рахунок, нібито, зазнав хакерської атаки, тож, мовляв, для того, аби його негайно заблокувати, необхідно сказати пароль входу до системи онлайн-банкінгу. Раніше, коли електронні гаманці мала невелика кількість матеріально забезпечених, фінансово грамотних і морально стійких громадян, яких переляком не візьмеш, цей метод не був особливо ефективним і популярним. Зате нині, коли контингент користувачів поповнився мільйонами психологічно вразливих у цьому плані пенсіонерів, можливостей для такого способу стало «розлийся море».
Після широкомасштабного вторгнення найбільш популярною «заманухою» стало отримання матеріальної допомоги від держави. Зловмисники телефонують людям, представляються працівниками відповідних міністерств і повідомляють, що сьогодні останній день, коли вони можуть отримати кошти за програмою «Е-підтримка» чи «Е-допомога», тож, мовляв, для того, аби не втратити остаточно свій шанс, необхідно назвати пароль картки. Таким видом шахрайства займаються не лише одинаки, а й цілі злочинні організації, які винаймають офісні приміщення де облаштовують так звані колл-центри, в яких щодня позмінно працюють десятки залучених рядових виконавців – молодих комунікабельних людей, зокрема дівчат із янгольськими голосами, котрі викликають особливу довіру клієнтів. Є серед них і технарі, які займаються «маршрутною дезорієнтацією», це коли на мобільному телефоні потенційної жертви висвітлюється зовсім не той номер, з якого телефонує шахрай.
На сайті кіберполіції, який веде подібну хроніку подій із червня 2017 року, можна знайти близько сотні повідомлень про те, що то в одному, то в іншому регіоні працівниками правоохоронних органів розгромлено черговий потужний колл-центр. Кожна така замітка неодмінно завершується вказівкою на те, скільки років позбавлення волі можуть отримати зловмисники відповідно до санкції тієї чи іншої статті Кримінального кодексу України. Але от що дивно – за шість років немає жодного повідомлення про обвинувальний вирок суду за вчинення подібних злочинів.
Що ж стосується Єдиного державного реєстру судових рішень, то в ньому можна знайти випадки засудження зловмисників за статтею 190 ККУ (Шахрайство) в поєднанні зі статтями 200 (Незаконні дії з платіжними картками та іншими засобами доступу до банківських рахунків) та 361 (Несанкціоноване втручання в роботу електронних інформаційно-комунікаційних систем), але всі вони носять, образно кажучи, сімейно-побутовий характер, коли хтось із рідних (близьких) чи то видивився пароль, чи то підгледів персональний ідентифікаційний номер (ПІН-код), чи взяв у «тимчасове користування» банківську платіжну картку, поки її законний власник п’яний спав під столом. Такі фабули для судової практики особливої цінності не мають.
Скімінг
У матеріалах організованої Нацбанком інформаційної кампанії «Шахрай – гудбай» особливо наголошується, що більше половини карткових шахрайств у світі базується на соціальній інженерії, й докладно розповідається, що треба робити, аби не стати жертвою таких злочинів. Значно менше уваги приділяється тим випадкам, коли потерпілих ошукали методом технічної інженерії, й що потрібно робити людям, коли несподівано для себе вони виявили крадіжку коштів зі свого банківського рахунку. Спробуймо заповнити цю білу пляму й розповісти про ті випадки, коли жертви злочинів не входили з шахраями в контакт і жодним способом з ними не спілкувалися.
Читайте також: 50% – ставка податку на прибуток банків
Такі злочини варто поділити умовно на дві категорії – ті, що теоретично можна скоїти виключно за допомогою технічних засобів, і ті, які не можливо скоїти без участі працівників банку. Найбільш відомим технічним способом є згаданий вище скімінг. Його суть полягає в тому, що на гніздо карткоприймача банкомату встановлюється непомітна зовні насадка, куди вмонтовано пристрій під назвою скімер, магнітні головки якого зчитують і копіюють інформацію, нанесену на магнітну смужку банківської платіжної картки. Обсяг цієї інформації не такий уже й великий – прізвище користувача, назва банку, який його обслуговує, номер його рахунку й кількість коштів, що знаходяться на ньому – цього достатньо, аби закладена в банкомат програма автоматично направила запит до цього банку й отримала звідти відповідь, яку суму грошей можна видати цьому клієнту.
Коли скімер збере достатньо інформації з карток, які через нього проходили, зловмисники знімають насадку, потім за допомогою спеціальної апаратури зчитують дані клієнта й наносять її на зовсім іншу картку (так званий білий пластик), за допомогою якої можна зробити невеликі покупки в торговельних закладах. З використанням такої підробленої картки можна зняти й готівку в банкоматі, але для цього потрібно знати ПІН-код клієнта. Тому зловмисники встановлюють або мініатюрну відеокамеру, яка фіксує рух пальців користувача, або насадку на клавіатуру, внутрішнє обладнання якої записує послідовність натиснутих ним клавіш.
Злочини даної категорії іноді розкриваються, але повідомлень про обвинувальні вироки поки що протягом усієї історії нашої країни від офіційних органів, на жаль, не надходило. Серед найбільш відомих у цьому плані випадків назвемо викриття злочинної організації під умовною назвою «Кардерпланета», учасники якої, за даними МВС, у 2002–2004 роках виготовили не менше 1333-х підроблених банківських платіжних карток, які потім використали в 23 країнах світу, викравши в такий спосіб у різних фінансових установ близько 3,6 мільйона доларів США. Її ватажком вважали тоді ще зовсім молодого чоловіка на ім’я Дмитро Голубов – кримінальну справу по якому в 2005 році передали до Солом’янського районного суду Києва. Останній у липні 2013-го виправдав його за браком доказів. А наступного року він уже пройшов до парламенту від блоку Петра Порошенка.
Банкіри проти клієнтів
Та найбільшу небезпеку для людей становлять злочини, коли вкладників банків обкрадають співробітники цих фінансових установ. На сайті департаменту кіберполіції міститься 10 повідомлень про подібні випадки, які мали місце в період з 2017 по 2023-й роки, що, звичайно ж, не відображає реальної картини даного явища. Серед викритих зловмисників найвищу посаду обіймав 32-річний керуючий відділенням одного з банків, розташованого в Коростенському районі Житомирської області. Зазначалося, що він, використовуючи службове становище, здійснював несанкціоноване втручання в облікові записи клієнтів у банківській системі та знімав кошти з їх рахунків. При чому зловмисник обирав на роль своїх жертв переважно людей пенсійного віку, розраховуючи на відсутність у них необхідних знань і навичок у роботі з мобільним додатком банку. Встановлено було трьох потерпілих від його дій віком від 60 до 80 років, з рахунків яких загалом було знято 734 тисячі гривень.
Цікаво, що в повідомленні від 1.06.2022 р. писалося лише про його можливу причетність до вчинення цього злочину, у зв’язку з чим за місцем його перебування були проведенні обшуки, й тільки 27 вересня того ж року йому було повідомлено про підозру. Навіщо було чекати з цим більше трьох місяців – можна лише гадати, але однозначно ясно, що в надмірній оперативності кіберполіцію звинуватити важко. Що ж стосується інкримінованих зловмисникові статей КК України, то окрім уже відомих нам 200-ї та 361-ї варто назвати ще й 191-у (Заволодіння чужим майно шляхом зловживання службовим становищем).
Однак з аналізу й такої доволі куцої офіційної хроніки напрошується висновок про явну перевагу серед викритих осіб представниць прекрасної половини людства. Так, у Рівненській області 37-річна провідна економістка відділення банку, маючи доступ до автоматизованої системи й використовуючи свої логін та пароль, створювала незаконні платіжні доручення й таким чином заволоділа коштами клієнтів на суму близько восьмиста тисяч гривень.
На Львівщині 40-річна співробітниця банку без відома вкладників депозитів спрямовувала їхні кошти на підконтрольні їй рахунки, відкриті нею ж на підставних осіб. При цьому для незаконних переказів обирала суми, які не підпадали під внутрішній фінансовий моніторинг банку – на рахунку цієї зловмисниці один мільйон викрадених у людей коштів.
А от 21-річна спеціалістка з обслуговування клієнтів відділення одного з банків Києва грошей не привласнювала, оскільки в силу службових повноважень такої можливості не мала, але натомість крала те, що було їй доступно, а саме інформацію про клієнтів, яку потім продавала. Зазначимо, що товар такого роду користується неабияким попитом серед організаторів колл-центрів, про які докладно розповідалося вище, оскільки наявність чи відсутність подібних відомостей суттєво впливає на прибутковість даного виду злочинної діяльності.
Еталонна постанова Верховного Суду України
Отже перед нами поширена ситуація – з банківського рахунку людини викрали гроші. Питання: чи повинен банк відшкодовувати клієнту завдані цим злочином збитки. Логіка підказує нам дві відповіді на нього. Перша – якщо проти потерпілого були застосовані методи соціальної інженерії, внаслідок чого він, образно кажучи, сам дав зловмисникам ключ від свого електронного сейфу, то банк не повинен нести відповідальність за особисту необережність свого клієнта. Друга – якщо клієнта обікрали з вини працівників банку чи якихось третіх осіб, то фінансова установа повинна компенсувати втрату: раз ви, мовляв, узялися займатися банківською діяльністю, слідкуйте уважно і за особовим складом, і за банкоматами, і за безпечним функціонуванням програмного забезпечення. Але ж людський фактор ніхто не скасовував – є такі клієнти, які ніколи не зізнаються в тому, що вони самі відкрили шахраям свій пароль, а є такі банкіри, які ніколи не визнають, що самі ж і обікрали своїх клієнтів.
Спір між ними може вирішити лише суд у порядку цивільного судочинства й огляд судової практики з даної теми варто почати з, так би мовити, зразково-показової постанови Верховного Суду України, ухваленої ще 13 травня 2015 р. у справі № 6-71цс15, оскільки саме на неї посилаються судді, ухвалюючи рішення в усіх подібних провадженнях. Ця історія почалася у вересні 2012 року, коли один киянин уже після 21-ї години отримав на свій телефон повідомлення від Публічного акціонерного товариства «Міський комерційний банк» про те, що з його карткового рахунку в банкоматі міста Бангкок Королівства Таїланд були зняті готівкою кошти в сумі 2 417 доларів США. Зранку наступного дня чоловік поспішив до цього банку, де повідомив, що він гроші не знімав і не міг знімати, оскільки в той момент перебував у Києв, й подав заяву про повернення незаконно списаних з його рахунку коштів. Банк, звісно, відмовив, і тоді постраждалий подав до Солом’янського районного суду позов про стягнення з нього коштів у зазначеній вище сумі, оскільки дана платіжна операція була здійснена поза його волею.
Відповідач проти задоволення позову заперечував, зазначивши, що спірні операції були здійснені з використання ПІН-коду, який відомий тільки позивачу, а отже, в такому випадку, відповідно до умов укладеного договору, банк не несе відповідальності за наслідки розголошення держателем платіжної картки інформації, що дає змогу ініціювати платіжні операції. Суддя Сергій Зінченко став на сторону банку й рішенням від 11.06.2014 р. в задоволенні позову відмовив. Ключовим аргументом для нього став експертний висновок ліцензованої установи в особі ПрАТ «Українська розрахункова карта», з якого витікало, що операції в Таїланді були здійснені шляхом коректного вводу ПІН-коду, а той факт, що позивач у цей момент справді перебував у Києві не виключає можливості передачі банківської платіжної картки іншій особі, яка їздила в Бангкок. Другорядним доводом було те, що чоловік подавав заяву до міліції, але 30 листопада 2013 року кримінальне провадження за статтею 190 КК України закрито за відсутністю складу кримінального правопорушення.
Ухвалами Апеляційного суду Києва й Вищого спеціалізованого суду України з розгляду цивільних і кримінальних справ дане рішення було залишено без змін, і тоді чоловік пішов шукати правди у Верховному Суді України, який у той період нашої історії грав роль такого собі суду четвертої інстанції. А вже там рішення судів попередніх інстанцій були скасовані, а справа направлена на новий розгляд із самого початку. На відміну від попередників, колегія суддів ВСУ в своєму вердикті доволі грунтовно виклала необхідну для вирішення цього спору правову базу.
Тут, перш за все, необхідно згадати положення статті 1073 Цивільного кодексу України про те, що в разі безпідставного списання банком коштів клієнта з його рахунку банк повинен негайно після виявлення порушення зарахувати відповідну суму на рахунок клієнта. Наступним нормативним актом був Закон «Про платіжні системи та переказ коштів в Україні» в статті 37 якого сказано, що в разі ініціації неналежного переказу з рахунка платника емітент, тобто банк, зобов’язаний переказати на рахунок цього платника відповідну суму грошей за рахунок власних коштів, а також сплатити йому пеню в розмірі 0,1 відсотка суми за кожний день.
Завершувало перелік положення «Про порядок емісії спеціальних платіжних засобів і здійснення операцій з їх використанням», затверджене постановою правління Національного банку України від 30.04.2010 р. № 223 – відповідно до його вимог банк у разі здійснення недозволеної платіжної операції, якщо користувач невідкладно повідомив про платіжні операції, що ним не виконувалися, негайно відшкодовує платнику суму такої операції. Ключовою ж фразою цього документу було те, що користувач не несе відповідальності за здійснення платіжних операцій, якщо спеціальний платіжний засіб було використано без фізичного пред’явлення користувачем, крім випадків, коли доведено, що останній своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції.
Отже, не позивач у цьому випадку повинен був доводити, що він у Таїланд не їздив і нікого туди зі своєю карткою не посилав, а банк повинен був довести, що його клієнт передав свою картку і сказав свій ПІН-код особі, яка була в Бангкоку й знімала кошти з його рахунку. А оскільки в ході нового судового розгляду банк не зміг надати переконливих доказів того, що клієнт вчиняв недозволені дії, то рішенням того ж Солом’янського суду позов було задоволено й стягнуто з відповідача еквівалентні викраденим доларам суму в розмірі 65 тисяч гривень. Лишається хіба що додати, що «Міський комерційний банк» на той момент уже збанкрутував, тож його в суді представляла уповноважена особа Фонду гарантування вкладів фізичних осіб.
Війна війною, а шахраї гроші крадуть
Із 2015 року витікло багато води й суттєво змінилася правова база. Замість згаданого вище Закону «Про платіжні системи та переказ коштів в Україні» парламентом було прийнято Закон «Про платіжні послуги», який діє з 1 грудня 2022 року. Що ж стосується підзаконного акту, то він мінявся двічі: з 2014 по 2022 роки діяло положення «Про порядок емісії електронних платіжних засобів і здійснення операцій з їх використанням», а нині чинним є інше положення – «Про порядок емісії та еквайрингу платіжних інструментів», затверджене постановою правління НБУ від 29.07.2022 р. № 164. Проте ключові їхні пункти, що мають значення для вирішення подібних спорів, лишилися незмінними, як лишився незмінним фактично задекларований ВСУ принцип презумпції невинуватості клієнта банку в пособництві зловмисникам, які викрали кошти з його рахунку.
Попри це суди низових інстанцій не завжди дотримуються даного принципу, прикладом чому служить історія, викладена в матеріалах судової справи № 176/1445/22, в якій остаточне рішення було викладено в постанові Верховного Суд в складі Касаційного цивільного суду від 16.08.2023 р. Текст останньої представляє собою щось на кшталт енциклопедії, оскільки в ньому містяться посилання на низку постанов КЦС в аналогічних справах, ухвалених після 2015 року.
У цій ситуації вечором 6 липня 2022 року мешканка міста Жовті Води через свій телефон зайшла в мобільний додаток «Приват24» й побачила, що з її карткового рахунку, відкритого в АТ Комерційний банк «ПриватБанк», без її відома й бажання зникла 101 тисяча гривень, хоча вона нікому не повідомляла пароль від свого електронного гаманця. Наступного ранку вона прийшла до місцевого відділення банку, працівники якого сказали, що нічим не можуть їй допомогти й порадили звернутися до правоохоронних органів. Потерпіла того ж дня подала до відділення поліції заяву, за якою було відкрите кримінальне провадження за статтею 190 КК України, досудове розслідування в якому триває, але зловмисники досі не встановлені. Ще через кілька днів жінка звернулася до ПриватБанку вже не з усним повідомленням, а з письмовою заявою, в якій вимагала повернути гроші, а коли той офіційно в цьому відмовив, звернулася з позовом до суду.
Рішенням Жовтоводського міського суду Дніпропетровської області від 16.09.2022 р. її позов було задоволено й постановлено стягнути з банку цю 101 тисячу гривень, але 17 травня 2023 р. Дніпровський апеляційний суд зазначений вердикт скасував, ухваливши новий, котрим у задоволенні позову відмовив. Такий реверс було мотивовано тим, що спірна операція була вчинена за допомогою картки, доданої до сервісу Google Pay, який дозволяє безконтактне зняття готівки за допомогою засобів ідентифікації, зокрема паролю системи інтернет-банкінгу, без розголошення якого інша особа, навіть маючи в своєму розпорядженні викрадений фінансовий телефон клієнта, не змогла б ні зайти до «Приват24», ні зняти чи переказати кошти з його рахунку. Тож якщо зазначена операція позивачкою й не здійснювалася, то її проведення стало можливим виключно в результаті розголошення нею конфіденційної інформації по своїй карті або передачі пароля третім особам. Простіше кажучи – сама винувата. Наостанок суд «підбадьорив» жінку фразою про те, що клієнт має право стягнути суму відшкодування з винних осіб, встановлених у кримінальному порядку.
На цю постанову Дніпровського АС було подано касаційну скаргу, задоволену Верховним Судом, який рішення суду апеляційної інстанції скасував і залишив у силі рішення Жовтоводського міського суду. На думку суддів, посилання ПриватБанку на ту обставину, що відповідачка своїми діями сприяла незаконному використанню інформації, що дало змогу третій особі ініціювати проведення платіжних операцій, не заслуговують на увагу, оскільки такі доводи зводяться виключно до припущень і не мають доказового підтвердження. Банк, мовляв, не довів того, що жінка комусь повідомляла свій пароль, а відтак не може «вішати» на неї провину за втрату коштів. Окремо було зазначено, що сам факт звернення відповідачки до банку про скасування спірної транзакції, а так само її звернення до правоохоронних органів з приводу вчинених шахрайських дій у сукупності свідчать про те, що в неї була відсутня воля на вчинення махінацій зі своїми грошима.
Ну а «коронною» фразою, яка, напевне, буде використана в судових рішеннях аналогічних справ, стосується того, що в подібних договірних відносинах, які за своєю правовою природою є споживчими, за відсутності належних і допустимих доказів сумніви й припущення мають тлумачитися переважно на користь споживача, який зазвичай є «слабкою» стороною у таких цивільних відносинах, оскільки правові можливості банка та його клієнта фактично не завжди є рівні.
Джерело: Юридичний вісник України
