Украденные через интернет деньги отсудить не удается
В прошлом году российские суды разрешили 194 спора между банками и их клиентами о возмещении ущерба от использования систем дистанционного банковского обслуживания (ДБО, сюда входят интернет- и мобильный банкинг и платежи с пластиковых карт).
В 81% случаев (158 исков) суды полностью отказывали истцам. Итоги судебной практики подвела RTM Group, занимающаяся юридическим сопровождением информационной безопасности.
Суды полностью удовлетворили 13 из 163 исков физических лиц и два из 31 иска юридических лиц, а частично – 19 и 2 соответственно. Компании подали иски на 301 млн руб., но взыскали лишь 32 000 руб. Точные суммы исков физлиц выплат по ним установить не удалось: они раскрываются не во всех делах, объясняет эксперт RTM Group Евгений Царев. Исходя из раскрытых сумм, физические лица в среднем подавали иск на 412 647 руб., а юридические – на 9,7 млн. Ответчиком по большинству исков (140) были Сбербанк и его подразделения.
До суда доходит малая часть инцидентов. По данным Group-IB (занимается компьютерной криминалистикой), со II квартала 2015 г. по I квартал 2016 г. хакеры только у владельцев смартфонов Android похитили 348,6 млн руб. – на 471% больше, чем за аналогичный период предыдущего года. У юридических лиц через интернет-банк за этот период похитили 956,1 млн руб., сообщала Group-IB (см. врез).
По договору о предоставлении ДБО всю ответственность за сохранность паролей и файлов электронной подписи несет клиент, объясняет замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Хищения, как правило, происходят из-за компрометации клиента с помощью банковского трояна (вид вредоносного софта. – "Ведомости"), соглашаются Никитин и Царев. Понятно, почему судебные решения в основном на стороне банка: ни один банк не может гарантировать безопасную среду на стороне клиента, указывает Никитин.
Причиной хищения могут быть не только хакеры, но и сотрудники банка, имеющие доступ к данным клиента, знающие бреши в процессах банка и системах безопасности, объясняет Царев. Поэтому клиенту нужно доказать, что он соблюдал условия договора и требования безопасности. Аргументами могут быть доказанные проблемы в безопасности банка, просроченные ключи безопасности, нарушение требований ЦБ по безопасности – вариантов множество, рассуждает эксперт. Но из пяти клиентов четверо сами знают, что причиной хищения стали их собственные ошибки. А остальные смотрят на судебную практику и не идут судиться, поскольку это дорого, а шансов на успех мало, разводит руками Царев.
Зачастую клиент сам создает возможности для мошенников, поэтому его пассивность может объясняться трезвой оценкой судебных перспектив, соглашается основатель юридической компании "Катков и партнеры" Павел Катков: клиент может пользоваться незащищенным соединением, хранить пароли и PIN-коды в общем доступе, вводить пароль в ответ на письмо с непроверенного электронного адреса, перечисляет он.
194 судебных решения – очень скромная цифра, соглашается антифрод-аналитик "Лаборатории Касперского" Денис Горчаков. По его мнению, основная причина отказа судов – показания жертвы, которая еще в заявлении в банк сама указывает нарушения условия договора ДБО. Например, телефон для получения одноразовых паролей лежит на столе в бухгалтерии, гендиректор и внешний бухгалтер пользуются одним аккаунтом, после кражи денег антивирус находит на машине вредоносное ПО, перечисляет он.