Коментар до Постанови Верховного суду від 23.01.2018 р. справа №202/10128/14-ц
На сьогодні багато говорять про крадіжки персональних даних. Не оминуло це й даних банківських карток. Але, навіть, за значного технічного прогресу у програмному забезпеченні, далеко не всі спроби захисту діють в Україні та у всьому світі.
Скажімо, один з найбільш знайомих видів шахрайства: нас всіх попереджають про те, що якщо надавати певні дані, що дають доступ до вашого банківського рахунку, друзям, знайомим, повідомляти їх по телефону ніби-то банківським працівникам — це може призвести до крадіжки коштів. Умова не надавати такі дані наразі міститься у типових договорах про відкриття банківського рахунку, у конверті, у якому вам надається ПІН-код тощо.
Та, на жаль, попередження не завжди допомагає. Адже дані платіжної картки можуть скопіювати або викрасти за допомогою спеціального програмного забезпечення, комп’ютерних вірусів тощо. Шахраям достатньо отримати лише номер картки, термін дії та розміщений на звороті картки CVV-код. Як правило, цих даних цілком достатньо для здійснення покупок через Інтернет і переказу коштів з рахунку.
Тому відповідні заходи безпеки здійснюють не лише власники коштів, а й банки, у яких вони тримаються (чи надаються за кредитними платіжними картками). Зокрема, останнім часом банківські установи надають перевагу платіжним системам, які передбачають здійснення розрахунків в мережі Інтернет з підтвердженням коду для оплати на мобільний номер телефону власника картки.
Однак, якщо все ж таки сталась ситуація, коли власник картки таки дізнається про несанкціоноване списання суми коштів з банківських карток (швидше за все про це дізнаються ті, хто має підключений смс-банкинг). Хто відповідає за такі несанкціоновані писання коштів — банк чи сам власник картки? Чи можна ці списані кошти повернути?
Дізнаємося із коментованої судової справи.
Позиція власниці банківської карти
Фізична особа відкрила картковий рахунок (Золота картка для виплат) для отримання виплат після народження дитини, а також кредитну картку «Gold» із кредитним лімітом у розмірі 5 тис. грн. На момент звернення до суду банківські картки фізично знаходяться у власниці.
Неочіковано вночі (о 03:35 год.) вона отримала два sms-повідомлення з номера 10060, зі змісту яких стало зрозуміло, що з особових рахунків (Золота картка для виплат) та кредитної картки «Gold» було несанкціоновано списано 10 тис. грн та 4 тис грн, додатково була нарахована комісія у розмірі 160 грн.
УВАГА! Оскільки розпорядження про списання коштів власниця не давала, будь - яких дій, що могли би призвести до списання грошових коштів не вчиняла, власниця карток відразу ж звернулась на гарячу лінію банку з вимогою заблокувати картки, що відкриті на її ім’я, та повідомила про факт шахрайства.
Фізична особа запевняла, що ПІН-код та іншу особисту інформацію щодо зазначених платіжних карток нікому не передавала, будь- яких платіжних доручень не складала ні у паперовому вигляді, ні у електронному вигляді з використанням мобільного додатку, або будь-якої іншої клієнтської системи банку.
Важливо! Одночасно зі зверненням до банку, власниця карток також звернулась з повідомленням про вчинення кримінального правопорушення до поліції, і за даним фактом було розпочато кримінальне провадження за ознаками злочину, передбаченого ч. 3 ст. 190 ККУ, а саме: шахрайство вчинене з використанням електронно-обчислюваної техніки.
У той же день описавши всю цю ситуацію вона звернулася до банку з письмовою вимогою про повернення списаних з рахунків грошових коштів, призначення та проведення службового розслідування за фактом несанкціонованого списання з її рахунків коштів.
Проте, такі її вимоги залишилися без задоволення.
Позиція банку
Відмовляючи у задоволенні вимог власниці картки про повернення несанкціоновано списаних коштів з банківських рахунків, банк звертає увагу на окремі моменти:
1) банк, крім функцій розрахунково-касового обслуговування, також виконує функцію зберігання грошових коштів, які перебували на поточному рахунку, і несе відповідальність за безпеку власної платіжної системи;
2) банком проведено службове розслідування, за результатами якого з’ясувалось, що мала місце так звана «фішингова» схема шахраїв. Сама схема спрямована на крадіжку персональних даних банківських карток та їх власників завдяки "вірусному" програмному забезпеченню, що перенаправляє запит клієнта на спеціально підготовлений зловмисником підроблений (фішинговий) сайт банку (його платіжного сервісу), підконтрольний цьому зловмисникові. Отримуючи на ньому інформацію про логін і паролі користувача, зловмисник має можливість увійти під цими скомпрометованими даними в реальну платіжну систему клієнта.
Важливо! Створюючи платежі в реальній платіжній системі клієнта, одночасно з цим зловмисник на шахрайському сайті виставляє клієнтові різні повідомлення, а також може з ним вести on-line чат, від імені співробітника банку з однією метою - отримати від клієнта OTP-пароль платежу, який він, своєю чергою, отримав в SMS-повідомленні від банку.
3) власниця карток, зі своєї сторони, не забезпечила сумлінне виконання нею, як клієнтом банку, умов зберігання та використання інформації в каналі зв'язку, посилаючись на внутрішні «Умови і правила надання банківських послуг».
Умови і правила надання банківських послуг, які визначають межі відповідальність банку та клієнтів (власників карток)
1) Банк не несе відповідальності у випадку, якщо інформація про рахунки Клієнта, Карту, контрольну інформацію Клієнта, відправленому в SMS-повідомленні ПіН-коді, Ідентифікаторі користувача, паролях платіжної системи, паролі (ніку) MobileBanking або проведених Клієнтом операціях стане відомо іншим особам внаслідок несумлінного виконання Клієнтом умов їхнього зберігання і використання та/або прослуховування або перехоплення інформації у каналах зв'язку під час використання цих каналів;
2) Клієнт несе відповідальність за всі операції, що проводяться в підрозділах Банку, через пристрої самообслуговування, систему MobileBanking, платіжні системи з використанням передбачених цими Умовами засобів його ідентифікації і аутентифікації, і за всі операції, які супроводжуються авторизацією, до моменту письмової заяви Клієнта про блокування карткирахунку/на рух коштів;
3) Банк не несе відповідальності за несанкціонований доступ до ПІН-коду Клієнта під час реєстрації в платіжній системі банку у разі відсутності ліцензійного програмного забезпечення, відсутності антивірусних і антішпіонскіх програм, що забезпечують захист від несанкціонованого доступу до інформації Клієнта на персональному комп'ютері Клієнта, з якого здійснюється реєстрація (вхід до платіжної системи банку на мобільному телефоні, планшеті, комп’ютері тощо — від авт.).
Отже, за логікою банку, до несумлінного виконання обов’язку клієнтом умов зберігання та використання інформації відносяться, зокрема, дії власника карток щодо внесення своїх даних на сайтах-дублях (підробних сайтах інтернет-магазинів чи інших сайтів, які використовуються шахраями для крадіжки даних карток та їх власників), а також вірусного програмного забезпечення, яке поширюється шахраями через мережу Інтернет в цілях доступу до реального платіжної системи клієнта банку.
Відповідно, на думку банку, саме клієнт несе повну відповідальність за зберігання картки, піна тощо. І у разі використання картки третіми особами до повідомлення Банка всі збитки покладаються на клієнта. Тому, про повернення несанкціоновано списаних коштів не може бути й мови.
І як не дивно, але апеляційна інстанція пристала на таку позицію банку.
Але... не суд першої інстанції та Верховний суд.
Верховний суд постановив — кошти стягнути з банка!
Відповідно до п. 6.7, 6.8 Положення №223 банк у разі здійснення недозволеної або некоректно виконаної платіжної операції, якщо користувач невідкладно повідомив про платіжні операції, що ним не виконувалися або які були виконані некоректно, негайно відшкодовує платнику суму такої операції та, за необхідності, відновлює залишок коштів на рахунку до того стану, у якому він був перед виконанням цієї операції.
Користувач не несе відповідальності за здійснення платіжних операцій, якщо спеціальний платіжний засіб було використано без фізичного пред'явлення користувачем або електронної ідентифікації самого спеціального платіжного засобута його держателя, крім випадків, коли доведено, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції. Аналогічні вимоги прописані у ст. 1073 ЦКУ.
Оскільки сам же банк під час службового розслідування вказав на виявлені шахрайські дії з персональними даними карток та їх власників, висновок Верховного суду такий:
- враховуючи відсутність обставин, які безспірно доводять, що власниця карток своїми діями чи бездіяльністю сприяла втраті, незаконному використанню пін-коду або іншої інформації, яка дає змогу ініціювати платіжні операції, не встановлено, суми несанкціоновано списання грошових коштів підлягають поверненню.
Наостанок наводимо власні поради, що робити, якщо ви дізналися про викрадення грошей з вашого банківського рахунку.
Дії власника картки у разі виявлення несанкціонованого списання коштів з банківських карток
Крок 1. Відразу ж після отримання повідомлення про списання коштів, якого ви не вчиняли, звернутись на гарячу лінію банку (номер (цілодобовий) для дзвінків по Україні та за її межами вказується на зворотньому боці картки або на веб-сайті банку) з вимогою заблокувати картку(и) та повідомити про факт шахрайства.
Крок 2. У той же день (бажано, або у найкоротшій час від дати повідомлення на ГЛ банку) звернутись з повідомленням про вчинення кримінального правопорушення до поліції.
Важливо! Не пізніше 24 годин після подання заяви(повідомлення) про вчинення кримінального правопорушення відомості про це вносяться до Єдиного реєстру досудових розслідувань. А вже наступного дня заявник може отримати витяг з цього реєстру (ч. 1 ст. 214 КПК).
Крок 3. Скласти письмове звернення до банку, в якому окреслити вимоги, а саме:
- описати детально ситуацію, пов’язану зі списанням коштів з рахунків (карток) без дозволу клієнта банку,
- призначити та провести розслідування по факту несанкціонованого списання з рахунків коштів власника картки(ок),
- повернути несанкціоновано списані грошові кошти з посиланням на наведені вище норми чинного законодавства (ЦКУ та нормативних актів НБУ),
- повідомити про результати розслідування та строки повернення коштів (власника картки може встановити свої строки — вище ми акцентували на негайному поверненні коштів, але враховуючи строк розслідування, можна встановити власні строки).
Увага! До наведених вище вимог слід додати всі наявні письмові та інші докази.
Крок 4. Якщо банк відмовиться повернути вам ці кошти, звернутись до суду з позовом про стягнення безпідставно списаних коштів. Але, зверніть увагу: моральну шкоду у договірних зобов’язаннях суд не стягує. Отже, відшкодувати ви зможете лише втрату коштів, тож, бережіть свої нерви та здоров’я!