24.01.2012

Банки богатые - пусть платят!

Именно это известное высказывание бывшего первого зама 8-го Центра ФСБ напомнило мне норму нового финансового законодательства.

"11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции
12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления".

Что гласит данная норма ст.9 ФЗ "О национальной платежной системе" (вступает в силу через 18 месяцев после вступления в силу ФЗ)? А гласит она всего-навсего, что в случае любой хакерской атаки и незаконного снятия средств со счетов клиентов, банк будет обязан вернуть украденные деньги.

Приостановить мошеннический платеж (при условии, что его своевременно выявили) банк не имеет права по банковским правилам - это может сделать только клиент. По закону об НПС банк обязан перевести средства незамедлительно. Т.к. снятие средств со счетов обычно проводится в очень сжатые сроки и с момента перевода до момента обналичивания может пройти всего 3-4 часа, то большинство клиентов не в состоянии своевременно дать указание банку о незаконном списании средств со счета. Нередко деньги списываются за 20-30 минут до рейса и банк уже не в состоянии их своевременно вернуть.

Что у нас получается в этом случае? Банк всегда в проигрыше! Остановить мошенничество он не имеет права, а по закону деньги необходимо вернуть проштрафифшемуся клиенту.

Немного спасает ситуацию ч.13 ст.7 закона об НПС. Согласно ей банк обязан незамедлительно после перевода средств уведомить клиента об исполнении распоряжения на перевод. Об этом же говорит и ч.4 ст.9. Если клиент не сообщит в однодневный срок о том, что распоряжение незаконное, то дальше вступают в силу уже условия договора между клиентом и банком, а не требования закона. Однако по ФЗ банк "обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента". Кто его знает, что имел ввиду законодатель. Могу предположить, что речь идет о опубликовании контактов для связи и обеспечение бесперебойной работы этих контактов. В любом случае, банку остается надеяться на то, что он уведомил клиента, который забыл сообщить о незаконном списании средств. Только в этом случае банк освобождается от необходимости возмещения украденных денег.

Правда с уведомлением возникает еще один нюанс, о котором законодатель не думал. Каким образом банк будет оповещать? SMS? E-mail? Телефонный звонок? Но у нас далеко не у всех граждан (особенно в регионах) есть такие средства коммуникаций. Почта? Но тогда ни о какой оперативности уведомления и речи не идет - клиент не в состоянии будет в течение дня уведомить банк о незаконности списания. И опять же кто будет платить за эти уведомления? Сейчас SMS-информирование у многих банков - услуга платная. По закону об НПС уведомление становится обязанностью, а не правом, и банк не имеет право взимать за него деньги. Т.е. затраты опять ложатся на банк. Готов ли банк их принять безоговорочно или он захочет разделить траты с клиентом, а то и полностью переложить их на него? Ставки по кредитам, а также по ДБО могут возрасти...

ЗЫ. Кстати, в ч.4 ст.9 прописан срок хранения информации по электронным платежам - эту норму можно использовать и в контексте сроков хранения ПДн.

ЗЗЫ. Банк в соответствии с ч.3 ст.9 теперь обязан до заключение договора "информировать клиента об условиях использования электронного средства платежа, в частности о любых ограничениях способов и мест использования, случаях повышенного риска использования электронного средства платежа". Т.е. теперь это уже не просто пожелание - сообщать клиенту о рисках и требованиях по ИБ, но и обязанность банка.

21 коммент.:

Turkish комментирует...

Что делать то?
О том, что "клиент всегда прав" и "банки всем должны" согласно закону об НПС, было понятно и раньше. Непонятно что теперь делать.
Опять "открытое письмо президенту"?

rnesterov комментирует...

Свежо придание но верится с трудом. На самом деле сейчас в банках сам черт голову сломит. Ведь чтобы оспорить платеж надо побегать. Вариации с повышением осведомленности клиента в области ИБ я как то промолчу ибо есть заявки на построение систем ЗПДн отправленные с открытых почтовиков

Oksana комментирует...

Ну ч. 12 - ещё ничего, всё решаемо, возмещаются только платежи, которые проведены после получения банком сообщения об украденной или незаконно использованной ЭП. Банк просто немедленно после звонка клиента останавливает все платежи по этому клиенту, блокирует доступ к ДБО и т.п.
Вот ч. 15, касающаяся физлиц - там всё куда интереснее, физикам возвращают деньги в любом случае. А потом Банк может доказывать (ещё непонятно - как, какими средствами и насколько это реально), что действительно было незаконное использование.

rsibi комментирует...

все правильно...как в лучших домах...в том смысле, что это общемировая практика ведения банковского дела.

Trotsky комментирует...

Правда с уведомлением возникает еще один нюанс, о котором законодатель не думал. Каким образом банк будет оповещать? SMS? E-mail? Телефонный звонок? Но у нас далеко не у всех граждан (особенно в регионах) есть такие средства коммуникаций.
Тем у кого нет этих средств коммуникаций и электронный платежный документ не нужен)

Сергей комментирует...

2 Oksana
Ну не в любом случае, а только если не докажет. Посему разрабатываем хорошие правила использования электронных средств платежа: обязуем хранить в местах, исключающих хищение, не оставлять, тайна пина, проверка банкомата, прикрывать рукой клавиатуру и т.д.

blaze комментирует...

Банки в первую очередь придумывают, создают и управляют всей этой электронной системой. Вот их и замотивировали делать это качественно и заботиться о безопасности, а не перекладывать ответственность на клиента, у которого выбор из двух пунктов: our way or highway. С кредитками zero liability неплохо работает, где введено, и тут будет.

Очень правильный закон.

Oksana комментирует...

2 Сергей
У банка не очень много способов доказать, что клиент что-то нарушил. Даже если банк разработает грамотные правила - не будет возможности немедленно взять комп клиента на экспертизу и зафиксировать, что там нет антивируса. Или нельзя получить записи видеонаблюдения со всех банкоматов и доказать, что клиент где-то не прикрыл ладошкой клавиатуру. А уж в случае целенаправленного мошенничества у банка вообще мало шансов.
Закон может и правильный, но от мошенников у банков защиты почти нет. Поэтому скорее всего, как и раньше, всех недовольных банки будут отправлять в суд.

Алексей Лукацкий комментирует...

blaze: Ты не прав. Это не стимулирует, т.к. по закону клиент может быть мошенником и банк все равно будет виноват. По закону банк по требованию клиента обязан вернуть ему деньги, а уж потом доказывать свою правоту и мошенничество со стороны клиента.

Turkish: Ну Сергей внизу написал - нужно четко прописывать условия использования систем "клиент-банк" - требования к компу, сети, уровню пользователей и т.д. Т.е. договора надо будет прописывать более грамотно. Примерно так, как этого требует ФЗ-152 в части передачи обработки ПДн обработчикам - там тоже нужно прописывать детали защиты.

Ну или как вариант (нелучший) - повышение ставок по кредитам и банковскому обслуживанию, чтобы в эту цену заложить новые риски.

Turkish комментирует...

Алексей, прописать то не проблема. Проблема заставить исполнять написанное. И пока будет доказываться, что клиент сам не обеспечил предписанное (кстати, кто это вообще будет доказывать? Банкам низзя, МВД пофигу...), банк обязан возместить утерянное.
Ладно бы еще цена вопроса была 2-3 тысячи руб. Дык ведь под прицельным мошенничеством счет на сотни тысяч пойдет с каждого "клиента"...

Rus16 комментирует...

По поводу уведомления написано в ч.13 ст.5:
Клиент обязан предоставить оператору по переводу денежных средств достоверную информацию для связи с клиентом, а в случае ее изменения своевременно предоставить обновленную информацию. Обязанность оператора по переводу денежных средств по направлению клиенту уведомлений, предусмотренных настоящим Федеральным законом, считается исполненной при направлении уведомления в соответствии с имеющейся у оператора по переводу денежных средств информацией для связи с клиентом.

Сергей Борисов комментирует...

Помоему все правильно определили в законе.
У банка есть и технические средства для анализа ситуации, возможности взаимодействовать с другими банками, есть менахизмы определения незаконных операций, есть специалисты по ИБ, есть грамотные юристы - в общем все возможности чтобы защитить свои права.

А сейчас в случае крупной утечки информации о пластиковых картах, когда начинают пропадать средства со счетов физических лиц, виноватыми считаются физические лица и им приходится идти в суд и доказывать что неправ банк. А у физического лица на это никаких шансов.

doom комментирует...

2 Сергей Б.
Дак проблема в другом.
Сейчас наблюдается все больше утечек посредством клиентов ДБО (что физиков, что юриков). Причем эти утечки неплохо ловят антифрод системы, но банк не имеет права не проводить платеж - вот и получается, что если с клиентом не удалось связаться - то виноват банк, а сделать-то он ничего не мог (я уж молчу о том, что вообще непонятно, как оспорить заявление пользователя ДБО о том, что его транзакция была произведена без его согласия - простор для мошенничеств просто невероятный).

А то, о чем ты говоришь - это вообще не прерогатива НПС. Это уже МПС Visa со своими собственными правилами, которые, возможно, не все банки у нас добросовестно исполняют.

Rus16 комментирует...

Вообще, в 99% случаев в хищении персональных данных (аутентификации, ключей ЭЦП) происходит из-за:
1) уязвимостях в ПО на стороне конечного пользователя
2) несоблюдения пользователем правил компьютерной гигиены - низкая компьютерная грамотность
3) беспечность-халатность
Нет 100% защиты, снаряд всегда опережает броню, только комплексный подход (defense in depth) снижает риски к ~ 0.
Сколько народу ведется о мнимых выигрышах авто через смс?! И перечесляют деньги! И что ответственность за это несет оператор???(вопрос может и оффтопик)

Сергей комментирует...

К сожалению большинство попыток государства регулировать отношения клиент-банк, субъект-оператор весьма неуклюжи. Как в том анектдоте: в нашем городе одна национальная диаспора решила построить церковь, а получился почему-то как всегда магазин. При всех благих намерениях результат как решето. Возникает мысль, что все это имеет определенную цель - убрать с рынка мелких игроков, для которых эти требования неподъемны, хотя они занимают определенную нишу, которая для монстров просто не интересна.

Сергей Борисов комментирует...

2 doom:
почему "не имеет права не проводить платеж"?
недавно оплачивал через интернет-банк, там мне банк два раза отказал с просьбой уточнить за что оплата, кому оплата, по какому счету и т.п.

плюс уже давно есть правила по противодействию легализации (отмывания) доходов, по которым можно отказать или попросить уточнения.

Сергей комментирует...

Пример: УСЛОВИЯ ПРЕДОСТАВЛЕНИЯ УСЛУГИ «СБЕРБАНК ОНЛ@ЙН»
Банк имеет право:Приостановить предоставление услуг «Сбербанк ОнЛ@йн» при выявлении фактов и признаков нарушения информационной безопасности - вот вам и не имеет право не проводить платеж!
Банк не несет ответственность:За последствия компрометации идентификатора пользователя, постоянного и одноразовых паролей Клиента, а также за убытки, понесенные Клиентом в связи с неправомерными действиями третьих лиц. - получается за убытки в результате взлома банковской системы банк не отвечает, причем неправомерные действия указаны и ниже в разделе форсмажор.

blaze комментирует...

Если клиент мошенник, то полиция это обнаружит и посадит его в тюрьму, а банк по гражданскому иску будет взыскивать ущерб. А создавать проблемы тысячам честных людей из-за того, что попадется парочка мошенников - это, конечно, очень по-банковски, но я не одобряю.

В конце концов, банк не обязан предоставлять ДБО, если боится потерь.

Игорь Бурцев комментирует...

А относится ли данная норма к скиммингу?

Игорь Бурцев комментирует...

А относится ли данная норма к скиммингу?

Алексей Лукацкий комментирует...

Хороший вопрос. Но не уверен, что карточка относится к электронному средству платежа