Напомним: в пандемию пенсионер жил на даче в 70 километрах от Екатеринбурга. 10 августа 2021 года ему позвонила женщина, представилась сотрудницей крупного банка и предложила заем. Анатолий Борисович отказался. Будучи в городе 16 августа, зашел в "свое" отделение на улице Родонитовой и рассказал о звонке. Менеджер подтвердила: никаких кредитов не предлагали, значит, это были мошенники. Утром 19 августа Пикулин увидел в мобильном приложении, что с его счетов списываются крупные суммы - всего вывели почти 1,2 миллиона рублей.
Банк считает: клиент сам совершал транзакции, пенсионер уверяет, что смартфоном из-за преклонного возраста пользуется только для проверки баланса. Даже прошел полиграф, чтобы доказать свою правоту. Уголовное дело о краже, заведенное в райотделе полиции, не двигается: отсутствуют необходимые специалисты. Областное ГУВД, где они есть, дело себе не берет. Пикулин решил собрать профессионалов и провести свое расследование. В шутку назвал его "Следствие ведут старики": бывший банкир, компьютерщик с большим стажем и связист.
Именно финансист обнаружил, что в 2017-2020 годах банк в одностороннем порядке несколько раз увеличивал лимиты кредитных карт Анатолия Борисовича, в итоге с 510 тысяч рублей сумма выросла до 1,5 миллиона. Позиция банка: раз клиент не возразил, значит, согласился. Пикулин считает, что его права нарушены: он не подписывался на повышение лимита ни физически, ни электронно. Причем это распространенная ситуация, судя по письму ЦБ РФ от 03.02.22, и она противоречит 353-ФЗ "О потребительском кредите". По мнению Банка России, такие вещи надо предварительно согласовывать.
Технарь, проанализировав журнал подключений к серверу банка и "журнал входов в систему", установил: крупные списания проводились только с IPhone, хотя у Пикулина Xiaomi. Банк в переписке с клиентом подтвердил: 10, 17, 18 и 19 августа входы в приложение осуществлялись с IPhone. Откуда он взялся? И, если дополнительный смартфон привязали к счету 10-го числа, почему 16-го менеджер офиса, куда приходил пенсионер за уточнениями, не обратила на это внимания? Причем в распечатке "журнала входа" IPhone фигурирует, а в "журнале подключений" не зарегистрирован. Что за парадокс?
Анатолий Борисович и его товарищи пришли к выводу: с 17 по 20 августа банк совершил 25 операций без согласия клиента. Так, 17 августа в 12.06.56 он перекинул с кредитки Пикулина на обычный текущий счет 500 тысяч рублей. А уже в 12.07.51 конвертировал их в 6713 $ и зачислил на валютный счет. В 12.12.18 отправил 5000 $ фирме menatep consult в Citibank N.A. (США).
18 августа схема повторилась: с кредитного счета на текущий в 08.36.34 перевели 300 тысяч рублей. В 11.58.26 из этой суммы 99 тысяч ушли какому-то Артему Б. в другой банк, в 14.37.47 ему же отправили еще 199 тысяч. 19 августа пострадавший начал дозваниваться в кол-центр банка с 09.36, чтобы сообщить о хищении и заблокировать счета. Первые три попытки продраться через чат-бот сорвались, с оператором удалось связаться только в 09.48. Приложение заблокировали в 09.58.12. Причем прямо в тот момент, когда пенсионер объяснялся с оператором, со счетов крали деньги: за четыре минуты провели семь операций, в том числе вывели на криптобиржу Binancе 487 000 кредитных рублей. Вдумайтесь: во время блокировки карт!
Банк уверяет, что перед каждой операцией высылал PUSH-сообщения с текстом: "Подтвердите перевод". Но c ними не все ладно.
- По их словам, мне в этот период якобы было отправлено 17 сообщений. Предприятие связи, которое оказывает банку услуги доставки PUSH-уведомлений клиентам, говорит о девяти. При этом детализация моего лицевого счета у мобильного оператора не подтвердила ни одного получения, - говорит екатеринбуржец. - А СМС стали приходить снова только после блокировки карт. Значит, кому-то надо было выключить этот способ информирования? Для чего?
- Тут все признаки транзакций без согласия клиента: характер, сумма, устройство, периодичность, получатели (приказ Банка России от 27 сентября 2018 года), - рассуждает напарник Пикулина Михаил. - Анатолий Борисович раньше никогда не использовал мобильное приложение для переводов, не конвертировал средства в валюту, не использовал IPhone и не тратил единовременно такие крупные суммы. Не имел контрагентов типа Binancе. Банк должен был приостановить операции и убедиться, что распоряжения отдавал сам клиент (часть 5.1 ст. 8 161-ФЗ "О национальной платежной системе").
По мнению детективов, система безопасности банка оказалась неспособной противостоять ворам. Вопрос: вступили ли они в сговор с кем-то из персонала или просто взломали сервер? А что с деньгами? Пенсионеру вернули лишь списанные после блокировки карт, и то после жалобы финансовому омбудсмену. На остаток суммы подали в суд и теперь взыскивают с учетом процентов и штрафов.
Другому свердловчанину в похожей ситуации повезло больше. К аккаунту Виталия Ж. в декабре 2021 года неизвестные привязали два телефона Xiaomi, выпустили виртуальную карту, подсоединили к Google Pay и провели через нее 34 транзакции. Украденные 4,9 миллиона сняли в банкомате в Москве. Банк тот же, что и у Пикулина.
Сотрудники банка настаивали: пострадавшему отправляли PUSH-уведомления, при этом по детализации видно, что уходили они на чужие телефоны. Фемида встала на сторону гражданина. "Сам по себе факт подключения третьих лиц к мобильному приложению не повлек убытки для него, в отличие от бездействия банка по уведомлению о переводах. Это лишило его возможности своевременно заблокировать карты", - сказано в решении Сысертского райсуда.
- У банка странная позиция: уведомили клиента путем размещения информации в приложении! Это смешно, потому что ему пришлось бы круглосуточно мониторить, а не похищают ли у него деньги в эту минуту? - говорит адвокат Владислав Идамжапов.
В ЦБ РФ Пикулину посочувствовали, но заявили, что не выступают арбитром в спорах кредитных организаций с клиентами. Банки сами определяют конкретный перечень антифрод-процедур. Кроме того, регулятор сослался на пункт договора, по которому пенсионер был обязан не реже раза в сутки любым доступным способом знакомиться с PUSH и СМС, входить в приложение, чтобы отслеживать движение средств. Оно, конечно, хорошо - лишь бы СМС приходили!
В последние два года в Свердловской области получили широкую огласку лишь два случая кражи - именно кражи - денег клиентов финансовых учреждений, оба касаются одного и того же банка из большой тройки. Обстоятельства воровства похожи. Отработанная схема?
Материалы "расследования стариков" при участии "РГ" переданы в полицию. Надеемся, у нее получится размотать этот клубок.
Чтобы узнать, как банки обеспечивают безопасность систем дистанционного обслуживания, "РГ" обратилась в компанию RTM Group, проводящую аудит таких систем. Вот главное из ответов директора технического департамента компании Федора Музалевского: