Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №1 » 521 просмотр

Гражданская ответственность при хищениях с использованием ЭСП. Анализ современной судебной практики

Николай Пятиизбянцев, начальник управления противодействия мошенничеству в сфере информационной безопасности Департамента защиты информации, Банк ГПБ (АО), рассматривает вопросы распределения гражданской ответственности между банком и клиентом в случае хищения денежных средств с клиентского счета третьими лицами сквозь призму судебной практики.

До недавнего времени распределение гражданской ответственности между банком и клиентом в случае хищения денежных средств со счета клиента третьими лицами в основном регулировала статья 9 Федерального закона «О национальной платежной системе» 161-ФЗ: «15. В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента – физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент – физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом – физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента – физического лица».

То есть обязанность возместить сумму операции, совершенной до момента направления уведомления, существует только в отношении физических лиц. У юридических лиц право получить такое возмещение отсутствует, все несанкционированные до момента направления в банк уведомления находятся в их зоне ответственности. Но и у физических лиц до недавнего времени было мало шансов получить от банков возмещение, так как, как правило, банки находили в действиях клиентов нарушения в порядке использования ЭСП.

Позиция судов

Позиция судов, как правило, была следующей: «взыскание убытков … возможно лишь при наличии совокупности условий ответственности, предусмотренных законом:

  1. документально подтвержденный факт нарушения прав и законных интересов, повлекшие причинение убытков, т. е. основание возникновения ответственности в виде возмещения убытков;
  2. факт совершения ответчиком противоправного деяния, а также наличие его вины в совершении указанного противоправного деяния;
  3. наличие причинно-следственной связи между возникшими неблагоприятными последствиями и противоправными действиями причинителя вреда.

Отсутствие хотя бы одного из указанных оснований не дает права на возмещение убытков» (Постановление Арбитражного суда Красноярского края от 28.03.2019. Дело № А33-32487/2018).

В случае причинения клиенту убытков банк несет ответственность при наличии какого-либо нарушения и причинно-следственной связи между действиями банка и причинением вреда.

Отказ в авторизации – не приостановление исполнения распоряжения, а отказ в исполнении распоряжения

Однако после появления Федерального закона от 27.06.2018 № 167-ФЗ на банки была возложена новая обязанность по выявлению несанкционированных клиентами операций. Реализация выполнения данной нормы особенно проблематична для карточных операций. Дело в том, что банк при выявлении подозрительной операции обязан приостановить исполнение распоряжения и использование ЭСП; потом запросить у клиента подтверждение; при подтверждении возобновить исполнение распоряжения и использование ЭСП; при невозможности связаться с клиентом банк должен возобновить исполнение распоряжения и использование ЭСП через два дня. С точки зрения технологии платежных карт это невыполнимо в принципе, так как у эмитента есть всего несколько секунд на ответ на авторизационный запрос (запрос на проведение операции). Если эмитент не отвечает в установленное время, то операция либо будет отклонена (эмитент недоступен), либо платежная система сама даст ответ вместо эмитента. При такой ситуации невозможно успеть связаться с клиентом и выяснить у него легитимность операции. В связи с этим Банк России пояснил, как можно трактовать исполнение указанного требования. Письмо ЦБ РФ от 7.12.2018 № 56-3-2/226: «Согласно позиции ряда операторов платежных систем с учетом технологии проведения операций по переводу денежных средств с использованием платежных карт под термином «Приостановление исполнения распоряжения» следует понимать отказ в авторизации операции, в то время как «Возобновление исполнения распоряжения» означает обеспечение возможности проведения по запросу клиента авторизации операции, аналогичной приостановленной».

Однако помимо требования о приостановке и возобновлении исполнения распоряжения 167-ФЗ требует также приостановить и возобновить использование ЭСП. Если возобновление исполнения распоряжения означает обеспечение возможности проведения по запросу клиента авторизации операции, аналогичной приостановленной, то что означает (чем отличается) возобновление использования ЭСП? Представляется, что отказ в авторизации – это все-таки не приостановление исполнения распоряжения, а отказ в исполнении распоряжения. И при «Возобновлении исполнения распоряжения» клиенту придется указанное распоряжение давать повторно. Что не в полной мере соответствует требованиям закона.

Удивительно, что при рассмотрении данного законопроекта в Государственной думе, где он был принят в третьем, окончательном чтении, он позиционировался как специально предназначенный для карточных операций.

167-ФЗ указывает, что признаки осуществления перевода денежных средств без согласия клиента устанавливаются Банком России, что и было осуществлено Приказом Банка России от 27.09.2018 № ОД-2525. Наибольший вопрос своей неопределенностью вызывает третий признак:

«3. Несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция, и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств) операциям, обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности)».

В чем выражается данное несоответствие, как оно определяется, можно ли его измерить? Это какое-либо отклонение от профиля клиента (какое? от какого? как считать?), либо любое несоответствие (новый получатель, терминал, новая сумма, время)? При этом, как правило (если только клиент сам не является мошенником), любая несанкционированная (мошенническая) операция обычно не совершается клиентом. То есть, если банк пропускает какую-нибудь несанкционированную операцию, он фактически не исполняет требования закона. Даже с учетом разъяснений ЦБ РФ для технологии платежных карт выполнение данной нормы непростая задача. Необходимо реализовать системы онлайн-мониторинга в реальном времени – «останавливается первая операция – система фрод-мониторинга работает «в разрыв». Дело в том, что в системах интернет- и мобильного банка проблем с приостановкой первой (мошеннической) операции нет, поскольку распоряжение банк получает напрямую от своего клиента и может спокойно его анализировать, а затем отправить на исполнение. В случае же операций по картам на терминалах банк получает распоряжение не напрямую от клиента, а через платежную систему, и времени анализировать транзакцию в этом случае у него остается менее 1 секунды (например, клиент использует банкомат). Поэтому здесь приходится «врезаться» в штатный процесс авторизации (работа «в разрыв»). Часто банки выявляют мошенническую операцию, но останавливают не ее, а блокируют саму карту, т. е. не позволяют выполнить следующие операции.

Онлайн-мониторинг – это серьезная доработка, требуются большие вычислительные мощности, фрод-мониторинг становится «бутылочным горлом», увеличивает время транзакции, что в совокупности может привести к отказу («эмитент недоступен») или ответу процессинга на авторизационный запрос без учета решения анти­фрода. Либо банк вынужден принять риск убытков на себя и пропустить первую мошенническую операцию, а в качестве реагирования на нее блокировать ЭСП.

Судебная практика применения требований 167-ФЗ

В 2019 году появилась первая судебная практика по вопросу применения требований 167-ФЗ. Приведем лишь несколько примеров.

Зареченский городской суд Пензенской обл. 15.05.2019. Дело № 2-385/2019. 13.09.2018 без согласия истца была подключена платная услуга «СМС-информирование», перевыпущена карта ПАО «ПОЧТА-БАНК». В период с 13.09.2018 по 29.10.2018 со счета истца и без его согласия были сняты все денежные средства, внесенные по договору вклада от 21.05.2018 № 32279259 в общей сумме 1 403 894,74 руб.

Из судебного решения: «В соответствии с частью 5.1. статьи 8 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента». Суд решил:

Если у вас есть подписка, нажмите
АКЦИЯ! Чтобы дочитать статью
СЕЙЧАС БЕСПЛАТНО, заполните форму и введите промокод ВМЕСТЕ.
Бесплатно до 15.06.2020
podpiska@plusworld.ru +7 495 961 1065

Читайте в этом номере:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных