Проблемы борьбы с киберпреступлениями, совершаемыми с использованием банковских карт

УДК 343.72

 Страницы в журнале: 119-125

С.А. Филимонов,

кандидат юридических наук, адвокат Адвокатской палаты Краснодарского края Россия, Краснодар filinlow@rambler.ru

В связи с развитием экономических отношений и появлением новых форм безналичных расчетов в настоящее время широкое распространение получили банковские карты. Однако законодательными и правоохранительными органами уделяется недостаточное внимание проблемам детального государственного регулирования этих операций, а также мерам борьбы с незаконными операциями с банковскими картами. В работе дается оценка имеющихся средств противодействия указанным преступлениям с учетом их высокой латентности, а также предлагаются поправки в существующие нормативные акты.

Ключевые слова: киберпреступление, уголовное право, киберхалатность, банковские карты, компьютерное мошенничество, латентность, хищение, кража с использованием банковских карт.

Киберпреступления причиняют ущерб мировой экономике в размере порядка 445 млрд долларов в год, о чем было сообщено в новом докладе Центра стратегических и международных исследований (CSIS) США в июне 2014 года. В докладе также указывается, что киберпреступность — растущая индустрия, которая наносит вред торговле, конкурентоспособности и инновациям [5].

В последние годы в нашей стране наблюдается реорганизация банковской системы, в связи с чем требуется срочная разработка нормативных правовых актов, направленных на безопасное использование средств на счетах банковских карт.

Как обоснованно указывает К.Б. Пугачев, банковская карта является ключом доступа к банковскому счету и этим обусловливает огромный интерес к данному платежному инструменту со стороны мошенников, так как они также могут получить возможность доступа к средствам, размещенным на банковских счетах или предоставляемым в кредит держателям карт. Банки и платежные системы, безусловно, стараются себя ограждать от хищения денег со счетов клиентов, но преступники постоянно совершенствуют свои технологии. Противодействие мошенничеству на сегодняшний день не опережает его, а способы борьбы с ним часто являются всего лишь реакцией на те или иные виды мошенничества [11, с. 2].

При рассмотрении вопроса о правовом регулировании безналичных расчетов с использованием банковских карт нелишним было бы отметить, что в соответствии с п. 1 ст. 862 Гражданского кодекса РФ при осуществлении безналичных расчетов допускаются расчеты платежными поручениями, по аккредитиву, чеками, расчеты по инкассо, а также расчеты в иных формах, предусмотренных законом. Таким образом, расчеты с использованием банковских карт даже не указаны напрямую в ГК РФ как одна из форм безналичных расчетов. И это притом, что, согласно данным Банка России, за 6 месяцев 2014 года в нашей стране совершено 4 284,8 млн операций с использованием платежных карт эмитентов-резидентов и нерезидентов на общую сумму 13 616,5 млрд руб. [7]. Более того, в главе 46 ГК РФ «Расчеты» вообще нет упоминания о банковских картах.

Центральным банком РФ 24.12.2004 утверждено Положение об эмиссии платежных карт и об операциях, совершаемых с их использованием (далее — Положение об эмиссии платежных карт). В соответствии с п. 1.11 данного Положения внутрибанковские правила утверждаются органом управления кредитной организации, уполномоченным на это ее уставом, и должны быть обязательны для всех сотрудников кредитной организации. Внутрибанковские правила в зависимости от особенностей деятельности кредитной организации должны в том числе содержать: порядок деятельности кредитной организации, связанной с эмиссией банковских карт; порядок деятельности кредитной организации, связанной с эквайрингом платежных карт; порядок деятельности кредитной организации, связанной с распространением платежных карт; порядок деятельности кредитной организации при осуществлении расчетов по операциям, совершаемым с использованием платежных карт; систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска, а также предотвращения рисков при использовании кодов, паролей в качестве аналога собственноручной подписи, в том числе при обработке и фиксировании результатов проверки таких кодов, паролей. Таким образом, детального государственного регулирования операций с использованием банковских карт, в том числе соблюдения требований безопасности, в России нет, все ключевые вопросы по исследуемой проблеме регулируются внутрибанковскими правилами. Однако в настоящее время стабильное развитие экономики России невозможно без грамотного государственного регулирования безналичных операций по оплате товаров и услуг по возмездным сделкам с использованием банковских карт.

Анализ внутрибанковских правил пользования банковскими картами приводит к выводу о том, что в них, как правило, нет сведений об ответственности банка за проведение безналичной денежной операции с использованием банковской карты, если при этом мошенником был правильно введен пин-код. Содержащиеся в указанных правилах рекомендации по проведению безопасных платежей носят банальный характер. Так, ЗАО «ЭКСИ-Банк» в качестве рекомендаций при использовании банковской карты для безналичной оплаты товаров и услуг указывает следующие положения: не использовать банковские карты в организациях торговли и услуг, не вызывающих доверия; требовать проведения операций с банковской картой только в присутствии владельца карты; перед набором пин-кода убедиться в том, что люди, находящиеся в непосредственной близости, не смогут его увидеть; перед тем как подписать чек, в обязательном порядке проверить сумму, указанную на нем; в случае если при попытке оплаты банковской картой имела место “неуспешная” операция, сохранить один экземпляр выданного терминалом чека для последующей проверки на отсутствие указанной операции в выписке по банковскому счету [10].

Как обоснованно указывает Ю.В. Севастьянова [12], при несанкционированном списании денежных средств в случае оплаты покупок через Интернет восстановление клиентом своих прав практически невозможно вследствие отсутствия какого-либо законодательного регулирования данных отношений. У мошенников возникают широкие возможности для злоупотреблений в связи с тем, что для оплаты банковской картой в сети Интернет достаточно ввести некоторые данные такой карты, содержащиеся на ее оборотной стороне: номер карты, CVV2-код, иногда — имя владельца карты и срок ее действия. Зачастую введения секретного пин-кода для оплаты товаров (услуг) в сети Интернет не требуется. При этом информация, содержащаяся на самой банковской карте, не обладает такой степенью секретности, как пин-код, и потенциально доступна для третьих лиц. Например, при первоначальной передаче от банка к клиенту карта вручается не в запечатанном конверте, как пин-код, а в открытом виде, то есть сотрудники кредитной организации имеют возможность видеть саму карту и информацию, содержащуюся на ней. Кроме того, банковская карта доступна для обозрения сотрудникам предприятий торговли и сервиса при проведении платежей через POS-терминалы.

Таким образом, лица, имеющие корыстный умысел и завладевшие информацией, содержащейся на банковской карте, могут беспрепятственно снимать денежные средства со счета под видом оплаты товаров (услуг) в сети Интернет. Владельцы банковских карт, пострадавшие от подобных мошеннических действий, как правило, не находят должной защиты своих прав при обращении в кредитные организации, поскольку последние полагают, что если платежи проведены на основании данных банковской карты клиента, то оснований сомневаться в их подлинности и достоверности у банка нет. В некоторых случаях банк добавляет, что проведенная операция могла стать следствием как нарушения самим клиентом правил пользования банковской картой, так и компрометации данных карты в интернет-среде, в том числе в результате заражения компьютера специальной программой (вирусом) [12, с. 38].

Пунктами 11—12 ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее — Закон № 161-ФЗ) предусмотрено, что в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции. После получения оператором по переводу денежных средств уведомления клиента в соответствии с ч. 11 данной статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента.

Однако судебная практика применения данного закона свидетельствует о незащищенности потерпевшего и фактическом отсутствии какой-либо ответственности банка за проведение незаконной операции киберпреступником. Приведем конкретный пример. Е. обратился в 2014 году в Кунцевский районный суд г. Москвы с иском к ЗАО «М БАНК» о взыскании денежных средств по договору банковского счета. В обоснование исковых требований Е. указал, что с ЗАО «М БАНК» он заключил договор банковского счета для совершения расчетных операций по банковским картам, в соответствии с которым истцу был открыт текущий банковский счет и выдана первичная карта. С банковской карты истца без его согласия, незаконно были проведены операции по переводу денежных средств на счета неизвестных лиц. Между тем в нарушение положений ст. 9 Закона № 161-ФЗ ЗАО «М БАНК» не уведомил Е. путем направления ему смс-сообщением информации о проведенных транзакциях и впоследствии проигнорировал его обращение о спорных операциях, не приостановив перечисление денежных средств с его счета на счета неизвестных лиц. ЗАО «М БАНК» также отказал Е. в удовлетворении требования о возврате похищенных неизвестными лицами денежных средств, ссылаясь на условия заключенного между сторонами договора банковского счета и условия пользования банковскими картами VISA, что, по мнению истца, также противоречит нормам Закона № 161-ФЗ, на основании которого ЗАО «М БАНК» обязано было возвратить ему сумму спорных операций. Решением Кунцевского районного суда г. Москвы от 12.05.2014 истцу было отказано в иске, апелляционным определением Московского городского суда от 04.09.2014 [1] решение суда первой инстанции было оставлено без изменений по следующим основаниям.

В соответствии со ст. 309 ГК РФ обязательства должны исполняться надлежащим образом в соответствии с условиями обязательства и требованиями закона, иных правовых актов, а при отсутствии таких условий и требований — в соответствии с обычаями делового оборота или иными обычно предъявляемыми требованиями. Согласно ст. 401 ГК РФ лицо, не исполнившее обязательство либо исполнившее его ненадлежащим образом, несет ответственность при наличии вины (умысла или неосторожности), кроме случаев, когда законом или договором предусмотрены иные основания ответственности. Лицо признается невиновным, если при той степени заботливости и осмотрительности, какая от него требовалась по характеру обязательства и условиям оборота, оно приняло все меры для надлежащего исполнения обязательства. Отсутствие вины доказывается лицом, нарушившим обязательство. Согласно п. 3 ст. 845 ГК РФ банк не вправе определять и контролировать направления использования денежных средств клиента и устанавливать другие, не предусмотренные законом или договором банковского счета ограничения его права распоряжаться денежными средствами по своему усмотрению. В соответствии со ст. 849 ГК РФ банк обязан совершать для клиента операции, предусмотренные для счетов данного вида законом, установленными в соответствии с ним банковскими правилами и применяемыми в банковской практике обычаями делового оборота, если договором банковского счета не предусмотрено иное.

Согласно условиям договора ответчик ЗАО «М БАНК» приняло на себя обязательство открыть истцу счет после предоставления необходимых документов, установленных требованиями законодательства, совершать для истца операции, предусмотренные для счета данного вида, осуществлять обслуживание истца в операционное время, зачислять поступившие на счет истца денежные средства не позже дня, следующего за днем поступления ответчику платежного поручения, обеспечивать сохранность денежных средств, выполнять распоряжения истца по использованию денежных средств истца. В соответствии с пунктами 4.3 и 4.4 договора истец обязался нести юридическую ответственность за достоверность сведений, подлинность документов, предоставляемых ответчику, за правомерность совершаемых операций, а также оплачивать услуги ответчика в соответствии с тарифами.

Из материалов дела следует, что в результате использования банковской карты истца без его согласия были списаны (похищены) денежные средства. Суд установил, что по факту незаконного списания денежных средств Е. также обратился в ОВД по району Крылатское г. Москвы с заявлением о мошенничестве и хищении денежных средств, по которому отделом МВД России по району Крылатское г. Москвы в отношении неустановленного лица было возбуждено уголовное дело по признакам преступления, предусмотренного п. «в» ч. 3 ст. 158 Уголовного кодекса РФ.

Разрешая спор, суд первой инстанции обоснованно исходил из того, что в соответствии с условиями п. 2.8 заключенного между сторонами договора предусмотрено, что банк осуществляет расчетно-кассовое обслуживание карточного счета клиента. Перед осуществлением расчетно-кассового обслуживания карточного счета истца банком произведена идентификация держателя карты. В соответствии п. 3.1.4 представленных условий, устанавливающих порядок идентификации клиента, предоставления и обслуживания банковских карт международных платежных систем ЗАО «М БАНК», банк обязан осуществить идентификацию клиента при обращении в торгово-сервисные предприятия (далее — ТСП), осуществляющие продажи по сети Интернет, — на основании реквизитов карты и кода. Отказывая в удовлетворении исковых требований, суд первой инстанции правомерно исходил из того, что обстоятельств, препятствующих осуществлению расчетно-кассового обслуживания карточного счета истца, у ответчика не имелось, т. к. при осуществлении оспариваемых операций были введены верные реквизиты карты, а также код. На момент совершения операций банковская карта истца не была заблокирована, факты, подтверждающие, что карта была утеряна или украдена, отсутствуют, и истцом в банк об указанных фактах не заявлялось.

При этом судом было учтено, что в соответствии с п. 7.4.13 условий представления обслуживания банковских карт международных платежных систем банк имеет право списывать с карточного счета денежные средства в размере сумм операций, которые проведены с использованием карты (ее реквизитов), до момента устного уведомления держателем карты банка об утере карты по телефонам, указанным в разделе 11 условий.

Таким образом, суд пришел к справедливому, на наш взгляд, выводу о том, что у ответчика не было оснований считать операции незаконными, поскольку банк исполнил распоряжения владельца карты на совершение операций в полном соответствии с условиями договора.

Согласно п. 9.2 условий договора клиент несет ответственность за все операции, проводимые и проведенные Клиентом без использования карты в подразделениях банка и держателями с использованием карты (ее реквизитов) в подразделениях банка, ТСП, банкоматах, сторонних кредитных организациях, сети Интернет до момента устного уведомления банка об утере карты, выпущенной к карточному счету.

Поскольку истец обратился в банк после совершения транзакций по карте, суд первой инстанции пришел к обоснованному выводу о том, что акт распоряжения денежными средствами истца неустановленными лицами свидетельствует о допущенных им нарушениях п. 7.3 условий договора [1].

Совершенно очевидно, что отсутствие в данном случае детального государственного правового регулирования жестких мер безопасности при проведении операций с использованием банковских карт и четкой ответственности банков за халатность при выполнении этих операций приводит в ряде случаев к безнаказанности киберпреступников и нарушению прав лиц, являющихся законными потребителями услуг, предоставляемых банками с использованием данных карт.

При рассмотрении данной проблемы нельзя не указать и на непоследовательность во внесении изменений в УК РФ по исследуемой категории преступлений. Так, в практической деятельности органов предварительного следствия и судов возникает ряд вопросов, касающихся разграничения мошенничества и иных форм хищений с использованием банковских карт.

Например, определением Судебной коллегии по уголовным делам Верховного Суда РФ от 07.02.2008 №78-О08-7 приговор с участием присяжных заседателей Санкт-Петербургского городского суда от 06.12.2007 в отношении Д. изменен, действия осужденного переквалифицированы с ч. 1 ст. 159 на ч. 1 ст. 158 УК РФ, поскольку по данному делу установлено, что 18500 рублей, принадлежавших ЗАО «Банк Русский Стандарт», Д. похитил через банкомат, по кредитной карте Х., без участия уполномоченного работника кредитной организации, втайне от владельца банковского счета и самого банка [9, с. 20]. Кроме того, как обоснованно указывает Н.Ш. Козаев, незадолго до введения в действие специального состава мошенничества с использованием банковских карт (ст. 159.3 УК РФ) приходилось констатировать, что некоторые преступные схемы не охватывались действующими нормами главы 28 УК РФ и ст. 159 УК РФ. Данный факт отмечался, в частности, и на Всероссийской конференции AntiFraud Russia-2010 «Борьба с мошенничеством в сфере высоких технологий. Профилактика и противодействие», организованной Торгово-промышленной палатой РФ совместно с Академией информационных систем, озабоченными активизацией киберугроз в сфере бизнеса [6, с. 19—20].

В соответствии с Федеральным законом от 29.11.2012 № 207-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации» в УК РФ появилась ст. 159.3 «Мошенничество с использованием платежных карт». Однако эта законодательная новелла не решила поставленные перед ней задачи. Например, Ю.В. Голик и А.И. Коробеев указывают: «Как видим, речь идет о конкретизации объекта и предмета мошенничества путем простого наименования сфер деятельности. Однако не очень понятно, почему выделены именно эти сферы активности мошенников. Почему, например, нет сферы ЖКХ, здравоохранения, образования? Ведь именно они вызывают наибольшее беспокойство у наших граждан и в определенном смысле раздражают власть — деньги вкладываются, а отдачи нет! Специалисты утверждают, что таким образом можно расписать от трехсот до шестисот отраслей. Вот кодекс-то “посолиднеет”!» [4, с. 16—17].

Л.В. Боровых и Е.А. Корепанова под обманом предлагают понимать информационное воздействие исключительно на потерпевшего, при котором он вводится в заблуждение с целью заставить его передать виновному имущество или право на имущество. Потерпевший в момент отчуждения имущества добросовестно заблуждается относительно обстоятельств передачи, но отчуждение происходит по его воле. Указанные признаки обмана должны проявляться в том числе при хищении путем мошенничества с использованием пластиковых карт [2, с. 15]. В пункте 13 постановления Пленума Верховного Суда РФ от 27.12.2012 № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате» указано, что не образует состава мошенничества хищение чужих денежных средств путем использования заранее похищенной или поддельной кредитной (расчетной) карты, если выдача наличных денежных средств осуществляется посредством банкомата без участия уполномоченного работника кредитной организации. В этом случае содеянное следует квалифицировать по соответствующей части ст. 158 УК РФ.

Хищение чужих денежных средств, находящихся на счетах в банках, путем использования похищенной или поддельной кредитной либо расчетной карты следует квалифицировать как мошенничество только в тех случаях, когда лицо путем обмана или злоупотребления доверием ввело в заблуждение уполномоченного работника кредитной, торговой или сервисной организации (например, в случаях, когда, используя банковскую карту для оплаты товаров или услуг в торговом или сервисном центре, лицо ставит подпись в чеке на покупку вместо законного владельца карты либо предъявляет поддельный паспорт на его имя). При таких обстоятельствах в данный момент назрела необходимость внесения изменений в УК РФ путем дополнения данного кодекса ст. 158.1 «Кража с использованием платежных карт» с целью недопущения неправильной квалификации со стороны органов предварительного расследования и судов вышеуказанных смежных составов преступлений.

При рассмотрении указанной проблемы нельзя не отметить, что, как обоснованно указывает И.М. Мишина, ежегодно в результате этих преступлений участникам безналичных расчетных операций причиняется огромный материальный ущерб, который в конечном итоге наносит существенный урон экономике страны в целом. При этом выявляется не более 10—15% от реального числа преступлений рассматриваемого вида. В первую очередь, это связано с тем, что кредитно-финансовые учреждения оценивают свой имидж значительно дороже, чем убытки от преступной деятельности, поэтому обращению в правоохранительные органы предпочитают нести существенные материальные потери [8, с. 2]. По мнению С.В. Воронцовой, с учетом опыта ведущих мировых экономик, сумма таких потерь в России близка к пороговому уровню, за пределами которого карточный бизнес становится убыточным (около 3% от общего объема операций), что позволяет вести речь о сотнях миллионов долларов США в год [3, с. 41].

При таких обстоятельствах вызывает явное недоумение позиция законодателей, предусмотревших санкции соответствующих частей ст. 159.3 УК РФ менее строгими, чем санкции аналогичных частей ст. 159 УК РФ.

Подводя итог рассматриваемой проблеме, необходимо сделать следующие выводы.

1. В главу 46 части второй ГК РФ следует внести изменения в виде детальной регламентации безналичных расчетов с использованием банковских карт с отражением жесткой материальной ответственности банков за халатность при проведении этих операций.

2. Дополнить Положение об эмиссии платежных карт пунктом, обязывающим лиц, ответственных за проведение операций с безналичными денежными средствами с использованием банковских карт, во всех случаях требовать от лица, желающего проведения данной операции и предоставившего для этого банковскую карту, паспорта либо иного документа, удостоверяющего личность, с целью идентификации личности, что позволит уменьшить количество преступлений исследуемой категории.

3. Внести изменения в УК РФ путем дополнения данного кодекса ст. 158.1 «Кража с использованием платежных карт», предусмотрев в качестве наказания только лишение свободы с учетом высокой латентности данной категории преступлений.

4. Внести изменения в УК РФ путем усиления санкций всех частей ст. 159.3 УК РФ до уровня выше, чем санкции соответствующих частей ст. 159 УК РФ, поскольку в настоящее время действующие санкции, предусмотренные ст. 159.3 УК РФ, не соответствуют характеру и степени общественной опасности данных преступлений, напрямую угрожающих информационной и экономической безопасности России.

Внесение в вышеуказанные нормативные акты изложенных изменений позволит, по нашему мнению, повысить эффективность борьбы с мошенничеством с использованием банковских карт.

Список литературы

1. Апелляционное определение Московского городского суда от 04.09.2014 по делу № 33-18357 // Доступ из СПС «КонсультантПлюс».

2. Боровых Л.В., Корепанова Е.А. Проблема квалификации хищения с использованием банковских карт // Российский юридический журнал. 2014. № 2.

3. Воронцова С.В. Доказывание по уголовным делам об изготовлении или сбыте поддельных кредитных либо расчетных карт: дис. ... канд. юрид. наук. М., 2005.

4. Голик Ю., Коробеев А. Прошлогодние трансформации уголовного закона: реплика // Уголовное право. 2013. № 2.

5. Киберпреступления причиняют ущерб мировой экономике в размере порядка 445 млрд. долларов в год. URL: www.cybersecurity.ru/crypto/194031.html (дата обращения: 10.03.2015).

6. Козаев Н.Ш. Некоторые новеллы уголовного законодательства, направленные на обеспечение экономической безопасности в условиях научно-технического прогресса // Библиотека криминалиста. 2013. № 5.

7. Количество и объем операций, совершенных на территории с использованием платежных карт эмитентов-резидентов и нерезидентов за 1 полугодие 2014 года, в территориальном разрезе. URL: http://www.cbr.ru/statistics/PrintYG.aspx?pid=psrf&sid=ITM_29338&Year=2014&file=/statistics/p_sys/T15_14-6.htm (дата обращения: 10.03.2015).

8. Мишина А.М. Расследование мошенничества, совершенного с использованием банковских карт: криминалистические и уголовно-процессуальные аспекты: дис. … канд. юрид. наук. М., 2008.

9. Определение Верховного Суда РФ от 07.02.2008 № 78-О08-7 // Бюллетень ВС РФ. 2008. № 7.

10. Правила пользования международными картами Visa. URL: http://www.exibank.ru/reports/docs/VISA_rule.html (дата обращения: 10.03.2015).

11. Пугачев К.Б. Разработка механизмов повышения безопасности и качества оказания услуг с использованием банковских карт: автореф. дис. … канд. экон. наук. М., 2008.

12. Севастьянова Ю.В. Защита прав держателей банковских карт от мошенничества // Расчеты и операционная работа в коммерческом банке. 2013. № 6.