Пенсионер провел расследование, чтобы узнать, кто украл с его карты 1,2 миллиона

Мы уже рассказывали историю бывшего летчика Анатолия Пикулина, который пострадал от финансовых воров ("РГ"-Неделя от 29.09.21). Теперь она обросла новыми подробностями.
Детализация лицевого счета Анатолия Пикулина у мобильного оператора не подтвердила ни одного PUSH-уведомления.
Детализация лицевого счета Анатолия Пикулина у мобильного оператора не подтвердила ни одного PUSH-уведомления. / Татьяна Андреева/РГ

Частные детективы

Напомним: в пандемию пенсионер жил на даче в 70 километрах от Екатеринбурга. 10 августа 2021 года ему позвонила женщина, представилась сотрудницей крупного банка и предложила заем. Анатолий Борисович отказался. Будучи в городе 16 августа, зашел в "свое" отделение на улице Родонитовой и рассказал о звонке. Менеджер подтвердила: никаких кредитов не предлагали, значит, это были мошенники. Утром 19 августа Пикулин увидел в мобильном приложении, что с его счетов списываются крупные суммы - всего вывели почти 1,2 миллиона рублей.

Банк считает: клиент сам совершал транзакции, пенсионер уверяет, что смартфоном из-за преклонного возраста пользуется только для проверки баланса. Даже прошел полиграф, чтобы доказать свою правоту. Уголовное дело о краже, заведенное в райотделе полиции, не двигается: отсутствуют необходимые специалисты. Областное ГУВД, где они есть, дело себе не берет. Пикулин решил собрать профессионалов и провести свое расследование. В шутку назвал его "Следствие ведут старики": бывший банкир, компьютерщик с большим стажем и связист.

Именно финансист обнаружил, что в 2017-2020 годах банк в одностороннем порядке несколько раз увеличивал лимиты кредитных карт Анатолия Борисовича, в итоге с 510 тысяч рублей сумма выросла до 1,5 миллиона. Позиция банка: раз клиент не возразил, значит, согласился. Пикулин считает, что его права нарушены: он не подписывался на повышение лимита ни физически, ни электронно. Причем это распространенная ситуация, судя по письму ЦБ РФ от 03.02.22, и она противоречит 353-ФЗ "О потребительском кредите". По мнению Банка России, такие вещи надо предварительно согласовывать.

Телефон-невидимка

Технарь, проанализировав журнал подключений к серверу банка и "журнал входов в систему", установил: крупные списания проводились только с IPhone, хотя у Пикулина Xiaomi. Банк в переписке с клиентом подтвердил: 10, 17, 18 и 19 августа входы в приложение осуществлялись с IPhone. Откуда он взялся? И, если дополнительный смартфон привязали к счету 10-го числа, почему 16-го менеджер офиса, куда приходил пенсионер за уточнениями, не обратила на это внимания? Причем в распечатке "журнала входа" IPhone фигурирует, а в "журнале подключений" не зарегистрирован. Что за парадокс?

Эксперты советуют не реже раза в сутки знакомиться с PUSH- и СМС-уведомлениями, входить в приложение, чтобы отслеживать движение средств

Анатолий Борисович и его товарищи пришли к выводу: с 17 по 20 августа банк совершил 25 операций без согласия клиента. Так, 17 августа в 12.06.56 он перекинул с кредитки Пикулина на обычный текущий счет 500 тысяч рублей. А уже в 12.07.51 конвертировал их в 6713 $ и зачислил на валютный счет. В 12.12.18 отправил 5000 $ фирме menatep consult в Citibank N.A. (США).

18 августа схема повторилась: с кредитного счета на текущий в 08.36.34 перевели 300 тысяч рублей. В 11.58.26 из этой суммы 99 тысяч ушли какому-то Артему Б. в другой банк, в 14.37.47 ему же отправили еще 199 тысяч. 19 августа пострадавший начал дозваниваться в кол-центр банка с 09.36, чтобы сообщить о хищении и заблокировать счета. Первые три попытки продраться через чат-бот сорвались, с оператором удалось связаться только в 09.48. Приложение заблокировали в 09.58.12. Причем прямо в тот момент, когда пенсионер объяснялся с оператором, со счетов крали деньги: за четыре минуты провели семь операций, в том числе вывели на криптобиржу Binancе 487 000 кредитных рублей. Вдумайтесь: во время блокировки карт!

Кража с уведомлением

Банк уверяет, что перед каждой операцией высылал PUSH-сообщения с текстом: "Подтвердите перевод". Но c ними не все ладно.

- По их словам, мне в этот период якобы было отправлено 17 сообщений. Предприятие связи, которое оказывает банку услуги доставки PUSH-уведомлений клиентам, говорит о девяти. При этом детализация моего лицевого счета у мобильного оператора не подтвердила ни одного получения, - говорит екатеринбуржец. - А СМС стали приходить снова только после блокировки карт. Значит, кому-то надо было выключить этот способ информирования? Для чего?

- Тут все признаки транзакций без согласия клиента: характер, сумма, устройство, периодичность, получатели (приказ Банка России от 27 сентября 2018 года), - рассуждает напарник Пикулина Михаил. - Анатолий Борисович раньше никогда не использовал мобильное приложение для переводов, не конвертировал средства в валюту, не использовал IPhone и не тратил единовременно такие крупные суммы. Не имел контрагентов типа Binancе. Банк должен был приостановить операции и убедиться, что распоряжения отдавал сам клиент (часть 5.1 ст. 8 161-ФЗ "О национальной платежной системе").

По мнению детективов, система безопасности банка оказалась неспособной противостоять ворам. Вопрос: вступили ли они в сговор с кем-то из персонала или просто взломали сервер? А что с деньгами? Пенсионеру вернули лишь списанные после блокировки карт, и то после жалобы финансовому омбудсмену. На остаток суммы подали в суд и теперь взыскивают с учетом процентов и штрафов.

Странная позиция

Другому свердловчанину в похожей ситуации повезло больше. К аккаунту Виталия Ж. в декабре 2021 года неизвестные привязали два телефона Xiaomi, выпустили виртуальную карту, подсоединили к Google Pay и провели через нее 34 транзакции. Украденные 4,9 миллиона сняли в банкомате в Москве. Банк тот же, что и у Пикулина.

Сотрудники банка настаивали: пострадавшему отправляли PUSH-уведомления, при этом по детализации видно, что уходили они на чужие телефоны. Фемида встала на сторону гражданина. "Сам по себе факт подключения третьих лиц к мобильному приложению не повлек убытки для него, в отличие от бездействия банка по уведомлению о переводах. Это лишило его возможности своевременно заблокировать карты", - сказано в решении Сысертского райсуда.

- У банка странная позиция: уведомили клиента путем размещения информации в приложении! Это смешно, потому что ему пришлось бы круглосуточно мониторить, а не похищают ли у него деньги в эту минуту? - говорит адвокат Владислав Идамжапов.

В ЦБ РФ Пикулину посочувствовали, но заявили, что не выступают арбитром в спорах кредитных организаций с клиентами. Банки сами определяют конкретный перечень антифрод-процедур. Кроме того, регулятор сослался на пункт договора, по которому пенсионер был обязан не реже раза в сутки любым доступным способом знакомиться с PUSH и СМС, входить в приложение, чтобы отслеживать движение средств. Оно, конечно, хорошо - лишь бы СМС приходили!

В последние два года в Свердловской области получили широкую огласку лишь два случая кражи - именно кражи - денег клиентов финансовых учреждений, оба касаются одного и того же банка из большой тройки. Обстоятельства воровства похожи. Отработанная схема?

Материалы "расследования стариков" при участии "РГ" переданы в полицию. Надеемся, у нее получится размотать этот клубок.

Как расследовать дело
  1. Установить, был ли реально привязан IPhone к счетам Пикулина или работники банка вручную заполнили электронные журналы и сымитировали это.
  2. Запросить в банке журналы (логи, файлы и т. п.) действий банка по регистрации на веб-сервере IPhone, журнала входов в систему по клиенту "Пикулин А. Б." и журнала переданных сообщений 10-19 августа 2021 года.
  3. Установить технические идентификационные данные IPhone и других мобильных устройств, которые использовались для операций 17-20 августа.
  4. Выяснить, кто и когда отключил смс-уведомления и вновь включил 19 августа.
  5. 5 Запросить выписки по счетам и идентификационные данные получателя средств Артема Б..
Важно знать

Чтобы узнать, как банки обеспечивают безопасность систем дистанционного обслуживания, "РГ" обратилась в компанию RTM Group, проводящую аудит таких систем. Вот главное из ответов директора технического департамента компании Федора Музалевского:

  • Скорректировать вручную электронные журналы фиксации действий можно, но в грамотно построенной системе это видно.
  • Если к мобильному банку подключено несколько устройств, СМС приходит только на один номер, а вот PUSH должен доставляться на все. Опять же в договоре с банком могут прописать иначе.
  • Разработан проект стандарта, согласно которому банковские приложения должны идентифицировать номер сим-карты и IMEI (индивидуальный номер устройства от производителя). Но есть технические сложности. В частности, Apple не дает такой возможности - скрывает от всех приложений данные смартфона и пользователя. Строго говоря, уже сейчас надо запретить установку мобильного банкинга на iPhone последних версий, но кредитные учреждения просто не захотят потерять клиентов. Поэтому стандарт до сих пор не принят, а банки фактически не идентифицируют мобильные устройства.