Согласно Закону № 161-ФЗ способ уведомления о несанкционированной операции опять выбирает не клиент, а банк. Очень распространенным способом является письменное заявление. Что делать клиенту, если он находится вне доступности офисов, отделений банка, в командировке, отпуске, за границей? Хорошо, если со стороны банка предусмотрены другие (юридически значимые) способы (формы) уведомления, а если нет?
6. Кредитной организации с учетом оценки риска рекомендуется определять способы и порядок информационного взаимодействия с клиентом, обеспечивающие ему исполнение обязанности по уведомлению кредитной организации в соответствии с частью 11 статьи 9 Закона об НПС[109].
В пункте 15 статьи 9 Закона № 161-ФЗ содержится требование о возмещении средств по несанкционированным клиентом операциям, но срок возмещения не указан. Пункт 8 статьи 9 Закона № 161-ФЗ обязывает банк рассмотреть заявление клиента и предоставить ему письменный ответ о результатах рассмотрения в срок 30/60 дней. О возмещении денежных средств не упоминается. В случае принятия банком решения о возврате денежных средств срок возврата не обязательно должен укладываться в срок ответа на претензию. Закон не связывает дату принятия решения (возникновения обязательства) с датой исполнения данного обязательства.
8. В целях рассмотрения заявления клиента, касающегося совершения операций с использованием ЭСП без согласия клиента, кредитная организация может определять в договоре с клиентом:
указываемые клиентом в заявлении сведения и примерный перечень предоставляемых клиентом документов, соответствующих характеру использования ЭСП и операций, которых касается заявление клиента;
примерный перечень документов, предоставляемых кредитной организацией по результатам рассмотрения заявления клиента в случае принятия решения об отказе в возмещении денежных средств по операциям, совершенным без согласия клиента;
срок возмещения денежных средств по результатам рассмотрения заявления клиента по операциям, совершенным без согласия клиента, являющийся разумным[110].
То есть перечень необходимых документов и срок возврата денежных средств опять определяет банк.
Пункт 15 статьи 9 Закона № 161-ФЗ определяет, что банк обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования платежной карты, что повлекло совершение операции без согласия клиента — физического лица.
Порядок использования карты определяет банк. Минимально — это могут быть требования о соблюдении мер по безопасному использованию карты: установка лимитов, гео— (страновых) фильтров, подписка на 3D Secure, требования хранить карту, не разглашать ПИН и др. Здесь достаточно широкое поле действия для банков и возможность в отказе по возврату средств по данному основанию.
Имеющаяся судебная практика говорит о хороших перспективах со стороны банков по выигрышу дел у клиентов. Посмотрим, что же суды считают в настоящий момент нарушением со стороны клиентов порядка использования карт:
…Обязанность сохранять в тайне ПИН-код, не передавать карту и ее данные иным, третьим лицам, возложена на истца
Дело № 33-41578При проведении операций, осуществленных корректно, с соблюдением правил, предполагалось, что распоряжение на снятие денежных средств дано уполномоченным лицом, при этом обязанность сохранять в тайне ПИН-код и номер карты, не передавать карту или ее номер третьему лицу, возложена на истца.
Дело № 33-2824Согласно пункту 6.3.2 Общих условий клиент обязан хранить в секрете ПИН-код и номер карты. Не передавать карту или ее номер третьему лицу. Использование карты третьим лицом будет рассматриваться банком как грубое нарушение договора и может повлечь за собой его расторжение банком в одностороннем порядке.
Дело № 33-5696…Суд первой инстанции пришел к правильному выводу, что у банка имелись основания полагать, что распоряжение на снятие денежных средств дано уполномоченным лицом, установленные банковскими правилами и договором процедуры позволяли банку идентифицировать выдачу распоряжения уполномоченными лицами, при этом договором обязанность сохранять в тайне ПИН-код и номер карты, не передавать карту или ее номер третьему лицу возложена на истца.
Дело № 33-19210Московский городской суд считает, что в случае несанкционированной операции с использованием ПИН-кода ответственность лежит на держателе, так как он не сохранил в тайне свой ПИН-код, то есть нарушил правила безопасного использования карты.
Мировой судья второго судебного участка Ленинградского района г. Калининграда, дело № 2-1869/2012, посчитал, что вина клиента состоит в том, что тот ранее пользовался своей картой в Интернете, что и привело к ее компрометации: «держатель международной банковской карты ранее пользовался услугами Интернета, сам вводил данные своей банковской карты в систему Интернет, следовательно, по его собственной инициативе данные международной банковской карты, держателем которой он является, стали известны неограниченному кругу лиц, что, видимо, позволило третьим лицам воспользоваться данными карты истца в системе Интернет и произвести списание денежных средств по банковской карте».
Один из недостатков Закона видится в том, что на банки возлагается ответственность по утраченным (украденным, утерянным) платежным картам клиентов физических лиц до момента получения ими уведомления об утрате карты. Таким образом, с одной стороны, держатель лишен мотивации безопасного, бережного хранения карты, а банки будут вынуждены нести дополнительные расходы в связи с данным видом потерь. Потери могут возникнуть как в связи с халатным, небрежным отношением держателей к картам (зачем держателю заботиться о безопасности карты — если что-то случится, банк обязан компенсировать ущерб, тем более что закон позволяет клиенту сообщить об утрате карты не сразу, а только на следующий день после того, как по ней пройдут операции), так и вследствие преднамеренных противоправных действий с их стороны (мошенничества). При этом обязанность доказывания, что клиент нарушил порядок использования карты, возложена на банки. Каким образом банки могут доказать, что клиент что-то нарушил? Федеральный закон от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности» запрещает неуполномоченным лицам заниматься оперативно-розыскными мероприятиями.
Статья 6. Оперативно-розыскные мероприятия
Запрещается проведение оперативно-розыскных мероприятий и использование специальных и иных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, не уполномоченными на то настоящим Федеральным законом физическими и юридическими лицами.
Список органов, имеющих такое право, определен, и банки в него не входят.
Статья 13. Органы, осуществляющие оперативно-розыскную деятельность
На территории Российской Федерации право осуществлять оперативно-розыскную деятельность предоставляется оперативным подразделениям:
1. Органов внутренних дел Российской Федерации.
2. Органов Федеральной службы безопасности.
4. Федерального органа исполнительной власти в области государственной охраны.
6. Таможенных органов Российской Федерации.
7. Службы внешней разведки Российской Федерации.
8. Федеральной службы исполнения наказаний.
9. Органов по контролю за оборотом наркотических средств и психотропных веществ.
Закон РФ от 11.03.1992 № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации» также не предоставляет для банков такой возможности.
Статья 3. Виды охранных и сыскных услуг
Частная детективная и охранная деятельность осуществляется для сыска и охраны.
В целях сыска разрешается предоставление следующих видов услуг:
1) сбор сведений по гражданским делам на договорной основе с участниками процесса;
2) изучение рынка, сбор информации для деловых переговоров, выявление некредитоспособных или ненадежных деловых партнеров;
3) установление обстоятельств неправомерного использования в предпринимательской деятельности фирменных знаков и наименований, недобросовестной конкуренции, а также разглашения сведений, составляющих коммерческую тайну;
4) выяснение биографических и других характеризующих личность данных об отдельных гражданах (с их письменного согласия) при заключении ими трудовых и иных контрактов;
5) поиск без вести пропавших граждан;
6) поиск утраченного гражданами или предприятиями, учреждениями, организациями имущества;
7) сбор сведений по уголовным делам на договорной основе с участниками процесса. В течение суток с момента заключения контракта с клиентом на сбор таких сведений частный детектив обязан письменно уведомить об этом лицо, производящее дознание, следователя или суд, в чьем производстве находится уголовное дело;
8) поиск лица, являющегося должником в соответствии с исполнительным документом, его имущества, а также поиск ребенка по исполнительному документу, содержащему требование об отобрании ребенка, на договорной основе с взыскателем.
Получается, что реальная (не формальное нарушение — например, если операция ПИНовая, то клиент разгласил ПИН-код) возможность выяснить, действительно ли клиент нарушил правило использования карты, для банков существует только в рамках расследования уголовных дел. Самые распространенные на сегодняшний день уголовные дела, связанные с платежными картами, — это хищение денежных средств с похищенных карт с использованием ПИН. Такие дела раскрываются при активной помощи потерпевшего (держателя карты), так как именно он заявляет в полицию о хищении карты, ПИН-кода и обстоятельствах, при которых это произошло. При этом держатель карты не скрывает фактов нарушения с его стороны мер по безопасному использованию карты:
…Находясь в доме… у своей знакомой К., О., имея умысел на тайное хищение чужого имущества и преследуя корыстную цель, со шкафа похитила пластиковую кредитную карту Банка «ВТБ24», принадлежащую К., и лист бумаги с записью ПИН-кода данной карточки.
Дело № 1-13-2010…Взял с батареи отопления пластиковую банковскую карту «Виза электрон», принадлежащую Л. После чего в период времени <обезличено> этого же дня из банкомата «Севергазбанк», расположенного в помещении магазина «<обезличено>» по адресу: <обезличено> Б.Д. В. снял деньги, введя ПИН-код, который был записан на пластиковой карте.
Дело № 1-54/2012…Путем свободного доступа зашел в спальную комнату своей матери Б.С. И., откуда со шкафа серванта, расположенного у правой стены комнаты, похитил кредитную карту ОАО «ОТП-Банк», принадлежащую Б.С.И., и, запомнив секретный ПИН-код карты — __№__, указанный на отдельном конверте кредитной карты, в этот же день передал ее своему другу С.О.И. для дальнейшего хищения со счета данной карты денежных средств.
Дело № 1-55/2011…Из сумки ФИО7, висевшей на вешалке, похитила принадлежащие ФИО7 кошелек с находящейся в нем кредитной картой ЕС/МС CR MASS № ОАО «Сбербанк России» на ее имя и фрагментом листа бумаги с ПИН-кодом.
Дело № 1-41/2011…Подсмотрел комбинацию цифр ПИН-кода банковской карты потерпевшего. Приобретя спиртное и продукты питания, В. В. А. и ФИО5 прошли к потерпевшему. Находясь в данной квартире, потерпевший, в силу значительного употребления спиртного, уснул. В. В. А., воспользовавшись этим, и осознавая, что ФИО5 не контролирует ее действия, тайно из кошелька потерпевшего похитила не представляющую материальной ценности банковскую карту на имя ФИО5.
Дело № 1-142/2011…Похитила из женской сумочки банковскую карту банка ОАО «… Банк» и отрезок бумаги, на котором был записан ПИН-код.
Дело № 1-523-2011Платежные системы и ЦБ РФ активно подвигают банки использовать защищенную технологию микропроцессорных платежных карт, операция по чиповой карте в чиповом терминале (банкомате) с использованием ПИН-кода считается наиболее безопасной. Но Федеральный закон № 161-ФЗ говорит, что клиент имеет право отказаться от такой операции. Включение в договор (условия использования карты) требования и ответственности держателя по сохранности карты и ПИН-кода представляется не совсем законным. Так как часть 11 статьи 9 прямо указывает на возможность со стороны клиента утраты электронного средства платежа (карты и ПИН-кода) и его использования без согласия клиента. А часть 1 статьи 16 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» говорит о недействительности условий договора, ущемляющих права потребителя по сравнению с правилами, установленными законам.
1. Условия договора, ущемляющие права потребителя по сравнению с правилами, установленными законами или иными правовыми актами Российской Федерации в области защиты прав потребителей, признаются недействительными.
Более того, за это предусмотрена административная ответственность.
Статья 14.8 Кодекса Российской Федерации об административных правонарушениях. Нарушение иных прав потребителей
2. Включение в договор условий, ущемляющих установленные законом права потребителя, —
влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.
Ответственность клиента в случае утраты карты может быть предусмотрена только в случае его вины, например нарушения правил безопасного использования карты, халатного хранения (забыл, оставил, потерял) и т. п. В случае противоправных действий третьих лиц в отношении клиента, например карта была похищена или осуществлен скимминг, вины клиента в утрате карты (ПИН-кода) нет, следовательно, он не должен нести за это ответственность. Чтобы установить вину клиента, банку необходимо требовать указания в заявлении факта, что карта украдена или потеряна (халатность — наличие вины). В случае несанкционированных операций в результате заражения компьютера, мобильного телефона и т. п. клиента вредоносным программным обеспечением (вирусом) банку необходимо выполнить рекомендации Центрального Банка России.
Письмо от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»
4.2.5. Предусматривать в договорах положения, в соответствии с которыми кредитная организация не несет ответственность в случаях финансовых потерь, понесенных клиентами в связи с нарушением и (или) ненадлежащим исполнением ими требований по защите от ВК клиентских АРМ систем ДБО, а также включать в договоры описание процедур разрешения споров, возникающих в связи с компрометацией аутентификационной и идентификационной информации, используемой клиентами для доступа к системам ДБО (логины, пароли, биометрическая информация и тому подобное) и (или) с нарушениями в работе клиентских АРМ систем ДБО, в том числе являющимися следствием воздействия на клиентские АРМ ВК (вредоносный код).