Останніми роками шахраї стають все більш освіченими та креативними. Якщо раніше «майстром своєї справи» вважався той, хто непомітно викраде гаманець, то зараз шахрай, який не знається на it-технологіях і не володіє тактикою соціальної інженерії - це не злодій, а просто невіглас.
Національна поліція України у своєму звіті про результати роботи в 2023 році зазначала, що в умовах війни набули більшого поширення кіберзлочини. Порівняно з 2022, у 2023 році кіберзлочини у банківській сфері збільшились на 12 % (з 2,1 тис. до 2,4 тис.), а онлайн-шахрайства збільшилися у 3,9 разів (з 1,7 тис. до 6,7 тис.). Імовірно, що звіт за 2024 рік буде мати більш значні цифри.
Передусім треба зауважити, що неможливо викрасти гроші з банківської картки. За формою платіжні картки бувають фізичні (пластикові) або віртуальні. Закон України «Про платіжні послуги» дає нам розуміння, що платіжна (банківська) картка - це інструмент, що застосовується для здійснення безготівкових платіжних операцій з рахунку. Тобто саме через банківську картку власник рахунку ініціює платіжну операцію.
Зважаючи на це, доцільним буде проаналізувати судову практику та визначитись, які є шанси на те, щоб повернути гроші, що викрадені з банківського рахунку.
Якщо власник банківської картки сам повідомив її реквізити та паролі шахраям?
Банки постійно нагадують, що їхні працівники не телефонують, щоб оновити інформацію і нікому не можна повідомляти номер своєї картки разом з пін-кодом, строком дії чи CVV (CVC) код. Але ні, з кожним днем все більше українців стають жертвами кібершахрайства.
На початку 2024 року Національний банк повідомляв, що сума збитків від незаконних дій з платіжними картками за 2023 рік на 73 % більше, ніж у 2022 році. Найчастіші з них - це фішинг. Суть його полягає в тому, що шахраї різними методами намагаються дізнатися у власника банківської картки якомога більше конфіденційної інформації, необхідної для викрадення грошей з рахунку.
Фішинг набув настільки різноманітних форм, що з'являється все більше нових визначень: шахраї виманюють у жертви інформацію через телефонні розмови - це вішинг, відбулося перенаправлення інтернет-користувача на шахрайську IP-адресу - це фармінг.
Зараз існує безліч схем викрадення грошей з рахунків. Думаю, всім вже надходила пропозиція зареєструватись десь аби отримати щось безоплатно, чи повідомлення з новиною, що ви виграли мільйон у лотереї, у якій навіть участі не брали. Перелічені кібератаки це - бейтінг. Їхня мета зацікавити та, зігравши на жадібності, змусити людину самостійно надіслати свої дані хакеру.
Так, наприклад, у рішенні Київського районного суду м. Полтави від 1 грудня 2023 року у справі № 552/1906/23 суд встановив, що позивачка сама розголосила третім особам реквізити платіжної картки, пін-код та код доступу, який надсилав банк на її фінансовий номер для підтвердження платіжної операції. Як наслідок, з її рахунку невідомі списали 56 080,00 гривень.
У задоволенні позовних вимог щодо повернення незаконно списаних коштів суд відмовив, мотивуючи тим, що між позивачем та банком укладено договір комплексного банківського обслуговування. Відповідно до його умов клієнт не має права розголошувати індивідуальну облікову інформацію та іншу інформацію, яка дає змогу ініціювати платіжні операції. Враховуючи, що позивачка належним чином не виконала свого обов'язку, банк не повинен відшкодовувати позивачу суму, яка була списана шахраями, адже платіж був здійснений за згодою власника рахунку.
Колегія суддів в апеляції дійшла висновку, що рішення суду попередньої інстанції є правильним, і залишила його в силі.
Аналогічною є позиція Черкаського апеляційного суду, викладена в постанові від 7 березня 2024 року у справі № 712/10873/23.
Короткий виклад обставин справи: здійснюючи онлайн-покупки, позивачка перейшла за надісланим їй у месенджер фішинговим посиланням. Одразу відкрився візуально знайомий сайт банку, в якому вона обслуговується. У позивачки навіть думки не виникло, що сайт може бути підроблений. Проте коли вона ввела дані, вибило помилку і сайт запропонував ввести інший номер картки. Внаслідок цих маніпуляцій з рахунку викрадено коштів на загальну суму 36 500,00 гривень.
Позивачка аргументувала свою вимогу до банку повернути списані кошти тим, що жодної конфіденційної інформації невідомим особам вона не повідомляла, картку не губила, згоду на проведення транзакції не надавала. Суд першої інстанції задовольнив вимоги позивачки, зазначивши, що списання коштів відбулося не за її розпорядженням, і зобов'язав банк сплатити суму викрадених з її рахунку коштів.
Однак апеляція скасувала рішення попередньої інстанції та постановила нове, у якому позивачці в задоволенні позову відмовлено. Позиція апеляції ґрунтувалась на тому, що між позивачем і відповідачем було укладено договір комплексного обслуговування фізичних осіб. Відповідно до умов договору користувач персонально відповідає за зберігання і нерозголошення третім особам авторизаційних та ідентифікаційних даних при роботі з дистанційним банківським обслуговуванням (інтернет-банкінг, мобільний банкінг).
Суд встановив, що банк належним чином провів операцію з переказу коштів, адже на фінансовий номер позивачки попередньо надсилалися смс-повідомлення з одноразовим кодом доступу для підтвердження транзакції. Враховуючи, що банк діяв згідно з умовами договору, він не має нести відповідальність за наслідки підтвердження позивачкою платежу для сторонніх осіб.
У згаданих рішеннях позиції суддів засновані на тому, що укладаючи договір банківського обслуговування, сторони беруть на себе певні обов'язки. Якщо встановлюється факт неналежного виконання клієнтом обов'язків, відповідальність банку виключається.
Аліна Кулава |
Але зустрічається і позитивна практика. Вона відображена в рішенні Калуського міськрайонного суду Івано-Франківської області від 20 лютого 2024 року у справі № 345/3868/23.
Короткий виклад обставин справи: банк звернувся до суду з позовом про стягнення заборгованості у сумі 56 376,65 гривень за договором про надання банківських послуг.
Втім, під час судового розгляду було встановлено, що сума заборгованості, яку просить стягнути банк - це кредитні кошти, якими позивачка не користувалась. Вона стала жертвою класичного вішингу: у телефонній розмові повідомила шахраю всю інформацію по картці (і навіть код із смс-повідомлення від банку на підтвердження транзакції).
На відміну від попередніх рішень, у цій справі і суд першої інстанції, і апеляція встановили, що банк не довів, що позивачка своїми діями чи бездіяльністю сприяла втраті інформації, яка дає змогу ініціювати платіжні операції.
Суди зазначили, що виявивши безпідставне списання коштів, позивачка повідомила про цей факт банк і звернулася до правоохоронних органів. Враховуючи наявність кримінального провадження за фактом шахрайства, списання грошових коштів з рахунку позивачки відбулося не за її розпорядженням і вона не повинна нести відповідальності за такі операції.
Суд відмовив банку в задоволенні позову. Хоч по цій справі не було повернення викрадених грошей з рахунку, однак позивачка не буде сплачувати 56 376,65 гривень заборгованості за кошти, які були списані невідомими особами.
Судова практика у справах, коли власник банківської картки сам повідомив її реквізити та паролі шахраям, досить неоднозначна. Складність визначення позиції судів полягає в тому, що досліджуючи матеріали справи, судді виходять із свого внутрішнього переконання та по-різному трактують, які саме дії власника рахунку сприяли злочинній транзакції, а які ні.
Якщо гроші були перераховані банком без згоди клієнта?
Відповідно до положень Цивільного кодексу України та Закону України «Про платіжні послуги» за договором банківського рахунка банк зобов'язується приймати і зараховувати на рахунок клієнта грошові кошти, що йому надходять, здійснювати перерахування і видачу відповідних сум та проводити інші операцій за рахунком виключно на підставі розпорядження (згоди) клієнта.
На підставі ч. 12 ст. 86 Закону України «Про платіжні послуги» банк несе відповідальність за здійснення платіжних операцій без згоди клієнта. У разі якщо таке списання відбулося, банки повинні за першою вимогою та за власний кошт повернути клієнту суму платіжної операції, проведеної без його згоди.
На практиці банки відшкодовують кошти, які списані без відома клієнта, лише на підставі рішення суду.
До прикладу обставини, які викладені в рішенні Вільногірського міського суду Дніпропетровської області від 20 жовтня 2023 року у справі № 174/773/23. Позивачка виявила зникнення належного їй телефону і, переймаючись, що в ньому встановлений додаток банку для дистанційного обслуговування, одразу повідомила про необхідність блокування банківських рахунків, відкритих на її ім'я.
Попри прийняті позивачкою превентивні заходи безпеки, виявилось, що приблизно через годину після повідомлення банку про необхідність блокування рахунків невідома особа зуміла викрасти кошти у сумі 33 000,00 грн. Враховуючи, що перераховані кошти були кредитними, банк почав нараховувати позивачці відсотки за користування кредитним лімітом.
У даному рішенні суд став на сторону позивачки і обґрунтував свою позицію тим, що вона, як користувач картки, своїми діями чи бездіяльністю не сприяла втраті інформації, яка дає змогу ініціювати платіжну операцію. Враховуючи, що списання коштів з рахунку позивачки відбулося без її згоди, вона не має сплачувати суму викрадених кредитних коштів та відсотки, нараховані банком. Суд апеляційної інстанції відмовив банку в задоволенні скарги та залишив рішення першої інстанції без змін.
Слід зауважити, що суди задовольняють позови на користь позивачів, у яких доведена обставина, що списання коштів відбулося без відома клієнта. Зазвичай вони спираються на правовий висновок, викладений у постанові Верховного Суду України від 13 травня 2015 року у справі № 6-71цс15, що користувач не несе відповідальності за здійснення платіжних операцій «… крім випадків, коли доведено, що користувач своїми діями чи бездіяльністю сприяв втраті, незаконному використанню персонального ідентифікаційного номера або іншої інформації, яка дає змогу ініціювати платіжні операції».
Висновок
Для того, щоб прогнозувати, чи є шанс повернути викрадені з банківського рахунку гроші чи ні, треба ретельно досліджувати кожен випадок окремо.
Здебільшого визначальною буде обставина: самостійно власник платіжної картки передав дані, які дозволили шахраям ініціювати платіж, або це банк не зумів зберегти персональні дані клієнта та ідентифікувати аферистів.
У першому випадку, ймовірно, суд визначить, що клієнт своїми діями сприяв порушенню умов укладеного з банком договору та сам несе відповідальність за викрадення коштів. У другому - власнику рахунку треба буде доводити, що умов договору він не порушував, а платіжна операція була проведена банком без його відома та участі.
Щоб знизити ризик злочинних операцій, раджу ознайомитися з рекомендаціями, які викладені в листі НБУ від 11.02.2022 р. № 56-0009/13399. У ньому зазначено багато слушних порад щодо упередження шахрайства з платіжними картками та дотримання безпеки використання систем дистанційного банківського обслуговування, які будуть корисними кожному власнику банківського рахунку.
Якщо було дотримано усіх правил безпеки, але злодії все ж зуміли знайти шлях до ваших грошей, одразу блокуйте картку та повідомляйте банк про те, що без вашої згоди відбулося списання. Надалі обов'язково подавайте заяву до поліції про шахрайство та збирайте якомога більше доказової бази, щоб звернутись за захистом порушеного права до суду.
Аліна Кулава,
юристка "ЮКК "Де-юре"
Хочете отримувати експертну аналітику з гарячих бізнес-питань? У LIGA360 є матеріали для всієї команди: для юристів, бухгалтерів, комплаєнс-фахівців та керівників. Побачте всі переваги роботи в комплексній інформаційно-аналітичній платформі LIGA360, замовивши персональну презентацію.
Скористайся найгарячішою пропозицією - Summer program від LIGA ZAKON! Знижка на оновлену версію LIGA360 для нових клієнтів LIGA ZAKON. Отримай ефективні інструменти для контролю бізнес-ризиків й ухвалення рішень. Забезпеч всю команду інформацією і економ більше з кожною додатковою ліцензією.