Как стать автором
Обновить

Как IT-специалисты помогли выиграть суд у банка

Уровень сложностиПростой
Время на прочтение5 мин
Количество просмотров25K
Всего голосов 160: ↑159 и ↓1+200
Комментарии102

Комментарии 102

Повезло с судьей, ну и клиент видимо был с виду божьим одуванчиком, поскольку вся проделанная ОРД, конечно, очень интересна, но убеждает суд в правоте клиента лишь чуть более, чем никак.

Да, все эти телодвижения выглядят необычно и подозрительно, так недаром клиент теперь утверждает, что это не он – он же заметал следы. А раз сам не обладает необходимыми специальными знаниями, значит группой лиц по предварительному сговору.

Что банк всю дорогу щелкал клювом – это серьезный аргумент в пользу его недостаточной осмотрительности, но не довод в пользу невиновности клиента, если не подтвержден ссылками на нормативку ЦБ по выявлению подозрительных операций.

Благодарю вас за интерес к статье!

- Безусловно аргументация в деле не сводилась к одним лишь техническим данным. В статье эту часть работы сознательно исключил, поскольку аудитории Хабра это было бы совсем скучно, как мне показалось. Но в комментарии отмечу, что мы провели одну интересную мысль: Закон требует обязательного соблюдения письменной формы кредитного договора. Письменной формой закон признает любой способ фиксации волеизъявления, который позволяет достоверно установить лиц, заключающих договор. И в рассматриваемом случае банк, создавая на сайте платформу для выдачи кредита онлайн, как раз не разработал способ фиксации воли, позволяющий достоверно установить лицо, оформляющее кредит. Кредит был взят кем-то неизвестным. Всё это указывает на то, что банк письменную форму сделки не выдержал, что в силу закона приводит к выводу о незаключенности договора.

- Отчасти с вами соглашусь, что все эти сложные действия теоретически могли быть выполнены нашим доверителем. Таким условным Мориарти, который придумал очень хитрую схему, создал видимость подозрительных операций, получил кредит и в суде доказал, что всё это мутно, банку не следовало кредит выдавать) Но исключительно теоретически. Очевидно (и суду тоже очевидно), что это не так - все эти сложные процедуры не выполнялись одним человеком. Наш доверитель кредит не оформлял и деньги не получал.

И в рассматриваемом случае банк, создавая на сайте платформу для выдачи кредита онлайн, как раз не разработал способ фиксации воли, позволяющий достоверно установить лицо, оформляющее кредит.

Я бы поспорил: коли закон допускает и стороны договорились, при явности, недвусмысленности и добровольности волеизъявления обеих сторон... тут важны формулировки и вся процедура соглашения о признании кода из SMS простой ЭП. Если это грамотно оформлено, то ИМХО в суде должно устоять.

Кстати, если не секрет: ради какой суммы вся эта mission impossible проворачивалась?

Да, конечно, если сервис по выдаче кредитов онлайн разработан очень надежно, нет никаких сомнений, что суды должны признавать такой способ заключения сделки надлежащим. Но этот банк сделал слабый сервис, который не выдерживает требования закона - в том числе и это мы доказывали.

Этика профессионального юриста не позволяет мне называть такие детали дела, это просто не очень красиво будет с моей стороны. Но в целом секрета в этом нет совершенно никакого и абсолютно все сведения можно банально получить на сайте суда, который всё подробно рассказывает в решении:

https://klp--spb.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=743164276&case_uid=a969ce1e-b82e-427d-9aa8-3587271a866e&delo_id=1540005

Кредит был оформлен на относительно небольшую сумму (даже меньшую, чем размер среднего гонорара среднего юриста в Санкт-Петербурге за один судебный процесс). Но эта сумма очень ощутима для простого рабочего, особенно с учетом процентов за этот кредит. Нам же просто очень хотелось помочь человеку, по этой причине вошли в процесс, размер взятого кредита для нас значения не имел.

Спасибо за ссылку, много интересного. Потребительский штраф по договору, который истец сам же просит признать незаключенным, это хитрая хитрость ;) А про дропа что-то известно - жив, дееспособен, не ограничен? Уголовку вообще возбуждали? Сумма, конечно, пугающая: я думал там хотя бы семизначная сумма, а тут такая схема ради полутораста тыщ... неожиданно и неприятно :(

Повторюсь, эта сумма была значительной для человека и существенно бы ухудшила качество его жизни. Плюс само по себе осознание того, что придется платить просто непонятно почему и за что. Да, история была бы интереснее, если кредит был бы на +млн) Но представьте, как тяжело бы было ожидать решение суда? Ведь в ходе процесса часто неясно, каким будет судебный акт, это практически всегда неприятная викторина.

Штраф - да, забавная вещь:) Суд нам отказал, это единственный момент, в котором была допущена ошибка - отказывать оснований не было никаких. Штраф взыскивается за то, что банк добровольно наши требования не выплатил и вынудил нас обращаться в суд (до начала процесса мы направляли в банк соответствующее требование).

Но вы подняли очень интересный вопрос! Расскажу, как в этом деле всё любопытно начиналось. Судопроизводство подчинено важному правилу - иски должны подаваться по адресу ответчика (территориальная подсудность). Этот банк зарегистрирован в Москве, не имеет структурных подразделений в Санкт-Петербурге. Это значит, что доверителю пришлось бы оплачивать наши командировки в Москву (внимание: было 9 заседаний). Конечно, этого допустить было нельзя. На помощь нам приходит правило об альтернативной территориальной подсудности - это исключение, при котором истец сам вправе выбирать, в какой суд ему обратиться. Это правило распространяется, к примеру, на потребителей. Закон о защите прав потребителей позволяет обращаться в суд по месту своего жительства. Но вот какой абсурд) Мы приходим в суд и говорим, что договор мы не заключали и никаких отношений с банком у нас нет и не было, и одновременно говорим, что отношения между истцом и банком - потребительские, подпадают под действие закона. Суд первой инстанции нам не поверил, иск вернул, отправил в Москву. Конечно это была ошибка. Логика в том, что здесь и сейчас между сторонами есть договор, который нам ещё только предстоит признать отсутствующим. Или наоборот, иск нам предстоит проиграть и суд признает, что договор заключен, а истец потребитель услуг банка. Суд обязан был принять иск в производство сразу. Пришлось нам обжаловать определение о возврате и в апелляции добиваться принятия иска к производству.

Я совершенно не "осуждаю" и не обсуждаю сумму, она удивила меня в другом плане - что мошенники мутили схему ради этих денег. А что истец не хотел их отдавать просто так - отлично понимаю, сам в свое время грызся за 1 рупь 96 коп. - вопрос не денег, а принципа ;)

Про подсудность не подумал, а тема интересная... и правда, раз спор о признании договора незаключенным, значит можно ссылаться на альтернативную подсудность. Но раз в итоге суд согласился с незаключенностью, то извините - какой штраф? Суд только что решил, что между сторонами не было потребительских отношений.

Тут вообще анекдот, конечно, ведь ровно в момент вынесения решения суд должен был определить, что дело ему не подсудно в силу принципа территориальности ;))) Но определение по делу после решения вынести уже нельзя ;))) Это как анекдот можно рассказывать.

Судья впадает в бесконечный цикл и зависает.

Еще веселее при обжаловании при пропущенном сроке: по месту рассмотрения в первой инстанции отказ - суд уже решил, что потребительских отношений не было, по месту нахождения ответчика - тоже отказ, поскольку апелляционный суд не может пересматривать решение первой инстанции не входящей в его территориальную подсудность ;) Если серьезно, думаю этот вопрос уже как-то давно решен.

"То что банк щёлкал клювом", аргумент в пользу сговора сотрудника банка с преступником (в частном порядке, или по приказу руководителя).

Почему банк, блокирует счёта после их опустошения?

То-же виноват клиент?

А банкстеры такие розовые пушистики, с клювом?

Когда из Москвы, удирали опальные банкиры, силовики объявляла их в розыск, только после того, как бизнес джеты банкстеров, приземлялись в Хитроу.

Силовики то-же "щёлкали клювом"?

У меня один вопрос: у тебя с орфографией и пунктуацией личные счёты, или это жизненная позиция такая?

Отличная история, надеюсь пострадавший клиент не является сотрудником правоохранительных органов,а то была бы понятна благосклонность судьи к потерпевшему

Вопрос к автору:

  • восстановление пароля было проведено через смс, получается что симку тоже восстановили и пострадавший этого не заметил или каким-то другим способом получили код из смс?

Жулики настроили переадресацию, после чего ТЕЛЕ2 автоматически перенаправлял все сообщения и телефонные звонки уже на нужный мошенникам телефон. Мы так и не выяснили, каким образом это всё удалось сделать - ТЕЛЕ2 уклонился от предоставления документов, все запросы суда они проигнорировали.

К слову, эта схема была очень распространенной, в результате чего летом 2023 года телефонные операторы перестали переадресовывать смс от банков, т.е. сейчас эта схема уже не работает.

Получается, что можно безнаказанно игнорировать запросы суда если ты большой?

Теле2 - это часть Ростелекома. Ему можно безнаказанно очень многое.

Суд накладывает санкции на конкретных исполнителей, которые не отвели на запрос - размеры организации не должны иметь значения.
Можете обезличено запросы в Теле2 оставшиеся без ответа показать(должны быть в деле)?

У суда действительно есть такие полномочия, он может оштрафовать лицо, уклоняющееся от предоставления документов, но на практике это случается нечасто. Также есть очень интересный порядок - если сторона в споре уклоняется от предоставления доказательств, которые находятся в её распоряжении, суд может положит в основу решения объяснения другой стороны, т.е. принять на веру просто его слова, которые он не смог подтвердить в результате поведения другой стороны.

если сторона в споре уклоняется от предоставления доказательств

Теле2 в данном случае не сторона и им плевать на исход дела. А здесь если закуситься можно было устроить Теле2 наезд от Роскомнадзора.

В тексте суд просит, а не требует. Может быть тут кроется что то?

подпись у судьи шикарная

А это точно не ручку проверяли?

А как в данном случае суд выяснит кто именно в Теле2 не ответил хотя должен был? Без запросов самому же Теле2. Или речь про санкции на юрлицо?

Запрос суда отправляется на конкретный адрес конкретного юрлица.
Если у юрлица были бы основания без последствий игнорировать запросы суда - никто бы суду не отвечал.

Поэтому очень интересно какой запрос от суда был подан и проигнорирован Теле2.

Но т.к. автор статьи не отвечает - есть вероятность что запроса не было и смс была передана злоумышленнику истцом добровольно.

Выше в этой ветке комментария выложил судебный запрос, который был направлен судом в Теле2 - этот документ из материалов дела, оператор получил такой же документ.

К сожалению, судебные запросы игнорируются часто, а у судов такая загруженность, что просто руки не доходят оштрафовать таких молчунов. В этом деле мотивация Теле2 понятна: если выяснится, что по их вине была настроена переадресация, то банк придет к ним с самостоятельным иском об убытках.

В части добросовестности нашего доверителя - это очень важный вопрос. К сожалению, не все граждане поступают честно, у нас был один очень грустный случай, когда человек сознательно скрыл важные сведения и попытался с помощью наших знаний и навыков в судебном порядке получить то, что получать он права не имел. По этой причине, входя в процесс против банка, мы очень внимательно изучили все обстоятельства и попытались для себя достоверно установить, не обманывают ли нас. Ведь человек мог просто назвать код из смс мошенникам самостоятельно, как это часто бывает. Так мы запросили детализацию всех звонков и посмотрели, с кем человек разговаривал в последнее время: в истории звонков были короткие бытовые разговоры, ничего больше. Мне кажется, если бы человека разводили мошенники, обязательно была бы череда (или как минимум один) долгий разговор с подозрительным номером. Поскольку таких звонков не было, для себя я сделал вывод, что нас не обманывают и доверитель действительно никому не называл кодов из смс. В то же время очень странно, что жуликам таки удалось настроить переадресацию. Мне бы очень хотелось узнать способ, но увы. Но в любом случае главная мысль судебного процесса, которую мы закладывали, - банк, выдавая кредит онлайн, должен принимать разумные меры предосторожности и выстраивать такую систему безопасности, которую нельзя будет так просто обойти. Но банк этого не сделал и не смог (своевременно) распознать обман, хотя все шансы для этого были.

Ну назвал код и назвал. Я раньше давал ссылки на практику, кредитные договоры и в таких ситуациях оспариваются. Разглашение кода ещё не означает безоговорочного признания воли на заключение кредитного договора (сделка с пороком воли), и всё ещё обязанность профессионального участника рынка доказать в суде принятие всех возможных мер с целью исключить оный (бремя доказывания).

Согласен с вами, практика в последнее время качнулась в сторону пострадавших граждан. Особенно красноречиво это отражено в недавнем определении ВС по делу № 18-КГ23-99-К4 от 05.09.2023 г.

Действительно проводиться эта мысль - ну назвал и назвал код, банку всё равно нужно быть осторожнее, т.к. он упрощает себе жизнь, выдавая кредит онлайн. Вот и пусть несет дополнительную ответственность. Категорически не могу эту логику принять и понять. В этом случае мне очень хочется заступиться за банк. Если человеку приходит смс с текстом "НИКОГДА НИКОМУ НЕ СООБЩАЙТЕ ЭТОТ КОД 1234", а человек код сообщает, то он обязан такой кредит отдать, я в этом убежден. Если угодно, человек таким образом уполномочивает жуликов на заключение этой сделки. Мне очень жаль таких людей, очень хочется их поддержать, но минимальную осторожность они проявлять обязаны и нельзя совсем снимать с таких граждан ответственность. Убежден, что обратное приведет, во-первых, к масштабному схемотозу и сговорам жуликов с целью заработка денег, во-вторых, к удорожанию кредитов для остальных граждан. Необходимо понимать, что банк своё не упустит и от таких схем убытки нести не будет - все свои потери он зашьет в процентную ставку граждан, которые будут брать кредит после и добросовестно его выплачивать.

А мне никак не хочется поддержать в таких случаях банк. Вводя самый ненадёжный способ авторизации заключения кредитного договора (ПЭП СМС), банк фактически пытается переложить на своего клиента неблагоприятные последствия в ситуации, когда клиент не имел никакого намерения такой договор заключать. И да, приписка "никому не сообщайте" в данном случае ничего не значит. Банк профессиональный участник, клиент -- нет. Банк за 10 с лишним лет уже мог чуть поднапрячься и ввести такой способ электронного заключения договора, который не имел бы порока воли, но не стал (не желает). Ну так пусть несёт полностью бремя всех последствий этого.

Поддерживаю. Тем более, для банков убытки от мошенников могут быть незначительными. Иначе потратились бы на лучшее обеспечение безопасности таких сделок, или бы вообще отказались от них.

Не соглашусь с Вами, п одной простой причине. - Банк ограничил меня в действиях. Ни в одном из известных мне банков, ни по СМС ни в личном кабинете, ни даже официальным письмом я не могу запретить выдавать мне кредит без личного присутствия.

Т.е. банк играет в одни ворота (как в прочем и ОПОСы) не давая мне ограничить действия от моего лица.

А на моей стороне может быть много проблем. Захват моего телефона , подсмотренный пинкод, троян на компьюторе, банальная слежка, принуждение в тёмном углу, я был под "допингом" и что то нанажимал, дети залезли.

Но нет, нельзя просто зайти поставить галочку и подтвердить СМС.

Вроде сейчас закон вышел, но ещё не вступил в действие

Неправда, ни в чем он в этом смысле не выделяется от остальных операторов.

"Теле2 - другие правила"

ТЕЛЕ2 уклонился от предоставления документов, все запросы суда они проигнорировали

А чё так можно было?

Тот же вопрос. Я конечно не юрист, но это у меня вызывает наибольшее количество вопросов. Я вижу лишь три возможных варианта. 1) Мошенники вытянули код подтверждения для входа в личный кабинет Т2 у пострадавшего он мог даже и не понять этого 2) У мошенников есть свой человек в Т2. 3) Самый маловероятный - есть какая-нибудь уязвимость на сайте Т2, которая позволяет сделать это без входа.

Так что на вопрос к Т2 должен быть ответ!

Меня поражает, что банки до сих пор полагаются только на доступ к сим карте. Им похоже вообще всё равно на хоть какие-то варианты 2FA. Ладно по умолчанию этого нет и большинству и не надо, но можно кроме смс мне ещё разрешить использовать например подтверждение через E-mail или кодовое слово? Я уж молчу про одноразовые пароли. Ладно хоть в Госуслугах это сделали..

Все <censored> ЕЩЕ хуже.

Раньше у например ВТБ можно было одноразовые коды с карточки или с генератора(в том числе в отдельном приложении), для физиков это уже давно нельзя.

У некоторых банков и пароль сбрасывается достаточно просто по номеру карты и смс и прочие приколы.

На госуслугах вот хорошо сделали сейчас 2FA.

Еще банки заставить дать опцию жесткого запрета ситуации когда хватает только СМС. TOTP стандартный("Google Authenticator" и 100500 приложений включая и импортозамещенные) пусть поддерживают. И отдельно опцию клиенту разрешить использовать для сброса доступа либо визит в офис(вызов курьера если офисов нет) либо Госуслуги (возможно с биометрией).

Но нет - вместо этого - для "безопасности" - охота на программы удаленного управления и детект рута.

При этом некоторые банки настолько уже хлама написали в свои приложения что как минимум некоторые люди ставят closed-source magisk-модули специально заточенные под приложения этого банка чтобы убрать хлам (!). пример - https://modules.lsposed.org/module/ru.bluecat.alfabankpatcher

хехе. У втб есть опция "запрет удалённого восстановления пароля к ВТБ-Онлайн", но она не работает если пароль сбрасывается через мобильное приложение.

Также есть возможность крутить лимиты в ИБ, но в обе стороны без никакого доп подтверждения.

В этот момент осознав всю глубину проблемы я забрал все деньги из ВТБ и закрыл рамочный договор

Еще лет 10-15 назад, при замене сим карты мне приходило уведомление от банка об этом. После, надо было пройти авторизацию голосовым звонком, ЕМНИП. Многие нетипичные операции банк подтверждал звонком. Не знаю, как банк узнавал о новой симке и даже не помню, что за банк это был. Но видимо, с тех времен прогресс остановился.

Не остановился. Знаю точно, что в одном крупном банке информация от сотовых операторов (в т.ч. о смене сим-карты, переходе в роуминг и т.д.) поступает онлайн и учитывается алгоритмами защиты от мошенничества.

вот вариант попасть в ЛК - расшарить wifi и через него попасть в личный кабинет (в Мегафоне так работает, но они предупреждают от такой возможности и предлагают отключить)

Вроде собирались ввести процедуру само-запрета на получение кредитов, это было сделано? Можно ли лично явившись в МФЦ выставить запрет на получение кредитов по списку типов или любых?

Я бы вообще ввёл запрет по умолчанию на взятие кредитов для всего населения. Хочешь взять - снимаешь запрет через личную явку в МФЦ полностью или частично, не хочешь - не можешь стать жертвой мошенников по умолчанию. Процедура должна включать написание длинного заявления от руки и несколько качественных фотографий с разных ракурсов сделанные прямо в МФЦ и напечатанные на бумаге А3. Бумажный вариант должен хранится в МФЦ, никакой взлом не поможет.

Хотят ввести самозапрет на кредит. Немного про другое, в госуслугах есть новая услуга - заключение сделки на недвижимость только с вашим присутствием, хотел включить - но тут же сообщили что надо предоставить полную биометрию и данную услугу включат. Уверен что и самозапрет кредитов будет тролльно похож и потребует чтобы клиент отдал полную биометрию и фотографии своего котика, ну а потом как говорится "Ростелеком - делу венец"...

Звучит как самозапрет называться верблюдом.

Так же следует: а) запретить выпускать радостную рекламу получения кредитов - счастливые лица, напевающие "берём кредиты мы в трам-трам-банке" - реклама должна быть угрюмо-серой, измождённые лица, безысходность и так далее; б) применительно к известным лицам, рекламирующим кредиты, должны указываться размер и процент кредитного договора, который это лицо заключило с с банком/МФО.

На самом деле все проще.

Реклама кредитов должна быть запрещена.

Более того, должно быть так что кредит можно получить только при личном присутствии человека, с видеофиксацией, и произнесением вслух фразы " я понимаю что беру кредит на ххх рублей, под уу процент, и обязуюсь выплатить банку сумму zzzz (полная сумма предполагаемых платежей) в срок до такого-то времени".

Человеку которому действительно нужны деньги, скажет эту фразу легко и непринужденно. В принципе, при желании человека, после подачи специального заявления, можно разрешить ему удаленное взятие кредита, но с оформлением через специальное приложение (банковское например) с онлайн записью голоса и видео по вышеприведенному рецепту (чтобы не пользовались генерацией видео с ИИ)

И в случае если банк не в состоянии предоставить подтверждение согласия кредитуемого, при подаче им в суд заявления, кредит признается недействительным, и судом назначается штраф банку в размере кредита в пользу государства (например агенства по страхованию вкладов)

Кредит зло. Его должно быть тяжело брать. Человек должен при взятии кредитов понимать во что он ввязывается и под что подписывается.

в госуслугах есть новая услуга - заключение сделки на недвижимость только с вашим присутствием, хотел включить - но тут же сообщили что надо предоставить полную биометрию и данную услугу включат

Включил эту услугу без биометрии. Ногами, в МФЦ, запрос в росреестр.

То же самое

Включил эту услугу без биометрии.

удваиваю. и без госуслуг.

Закон пока даже не приняли, а действовать он начнёт ещё через полгода-год.

Да, есть https://sozd.duma.gov.ru/bill/341256-8# . Уверен на 95% когда такой законопроект начинают обсуждать, лоббистам некоторые ассоциации и/или СРО просто заносят донаты. На эффективную законотворческую деятельность конечно же.

Так как тема мошеннических кредитов в целом выгодна банкам, я уверен, что "на приоритетную эффективную законотворческую деятельность в иных более важных и принципиально противоположенных от этой инициативы областях" законодателям уже надонатили. Но даже во внесённом виде у меня на этот законопроект бомбит.

У меня бомбит от того почему это решили делать через КАЖДОЕ ОТДЕЛЬНОЕ БКИ!

это же феерический бред: в итоге если хочешь просто поставить запрет должен принять оферту каждого БКИ (а там наверняка кабальное соглашение типа "разрешаю продавать себя как лид любым банкам и мфо").Почему нельзя реализовать эту галочку на уровне ЦККИ (https://www.cbr.ru/ckki/zaprosy_v_ckki/) тайна сия велика есть. точнее не тайна, а "пролоббировали". На самом деле пора уже давно, даже почти 7 лет назад предлагал на РОИ -- https://www.roi.ru/19321/

Если вдруг законопроект дозреет, когда сразу после простановки или снятия запрета на вас обрушится шквал звонков с предложениями от кредитов до юруслуг и банкротств, пофамильный перечень депутатов и должностных лиц учинивших такой костыль есть на страничке законопроекта

Хорошо, с банками то ок, у них есть банковское регулирование и использование БКИ/ЦККИ обязательно.

А как быть с рассрочками-сплитами которые даже не МФО?

К примеру сплит яндекса, там нет никакого банковского регулирования https://yandex.ru/legal/yandexpay_b2c/ : Не "кредитор", а "поверенный", не "заёмщик" а "доверитель", не "график платежей", а "график возмещения издержек", не проценты а "стоимость услуг исполнения поручения"

Вообще всё это довольно странно, с точки зрения логики.

Это не клиент, а банк должен доказывать что кто то заключил с ним договор.

банк имел все основания полагать, что договор с ним заключает полноценный заемщик

Так же, очень странно выглядит данная фраза. Полагать и "думать" он может что угодно. Но факт что конкретный человек заключил договор надо как то доказывать юридически. Договор, подпись, все дела. Иначе пострадавшим от действия жуликов тут является именно банк, по причине собственной халатности.

Я понимаю что судебная практика и логика довольно далеки друг от друга. Но всё это наводит на мысли что данная ситуация была целенаправленно создана для мошеннических схем.

Клиент и банк в договоре банковского обслуживания, правилах банковского обслуживания (в которых 100 страниц, которые висят на сайте в электронном виде и их никто не читает, а банк их может измнеить в любой момент), в генеральных правилах обслуживания расчетных счетов от 21.13.187-лохматого года и прочих приложениях договорились, что указание кода из SMS в соответствующей форме на сайте банка приравнивается к простой ЭП, которой можно подписывать в т.ч. договоры займа.

Но многие пункты из этого "договора на 100 страниц" могут быть легко аннулированы, если противоречат действующему законодательству.

И таких примеров куча. Было бы желание.

Я лишь про как:

Но факт что конкретный человек заключил договор надо как то доказывать юридически.

а не про законность и силу договора.

К сожалению, в этой части банк как раз оказывается в сильной позиции. Они действительно должны продемонстрировать, что человек сделку совершал, выполнял для этого какие-либо действия. Но банку это продемонстрировать очень легко - смс он отправил, распечатку смс предоставил, продемонстрировал, что этот код введен, показал, что деньги со счета выведены. В этот момент бремя доказывания банком в полной мере реализовано - нам уже нужно реализовывать бремя опровержения, т.е. доказывать, что смс не получено (а получено не нами), код введен не нами, денег человек так и не увидел и т.д.

Само же отсутствие договора на бумаге не значит совершенно ничего. К примеру, когда вы покупаете что-то в интернет-магазине, вы тоже не подписываете бумажный договор. Но эта сделка всё равно признается сторонами, исполняется и даже считается заключенной в письменной форме, пусть и звучит это очень странно) Прогресс требует от закона соответствовать и позволять заключать сделки без использования бумаги. Описанная в статье ситуация - последствия такого прогресса)

Когда я покупаю что-то на рынке - я тоже не заключаю бумажный договор. Купля-продажа - один из немногих видов договора, который не требуется оформлять на носителе. Я не знаю всего списка, но, насколько я слышал, такие исключения можно пересчитать по пальцам одной руки.

смс он отправил

Вообще-то, отправить он может всё, что угодно, вопрос перед судом был поставлен "кто ввёл код из отправленного СМС?". Всё еще не доказательство.

продемонстрировал, что этот код введен

Кем введён?

показал, что деньги со счета выведены

Кем и куда выведены? Насколько такой вывод средств укладывается в стандартный шаблон поведения данного клиента, чем подтверждается?

Само же отсутствие договора на бумаге не значит совершенно ничего

Ст. 820 ГК РФ.

Последующие отсылки к аналогии не имеют значения, поскольку именно кредитные правоотношения специально урегулированы ГК РФ и, более того, без отсылки к "если законом не предусмотрено иное", это императивное положение прямого действия без исключений.

Вы полагаете, что письменная форма договора = договор, подписанный на бумаге?

Письменная форма сделки считается соблюденной также в случае совершения лицом сделки с помощью электронных либо иных технических средств, позволяющих воспроизвести на материальном носителе в неизменном виде содержание сделки, при этом требование о наличии подписи считается выполненным, если использован любой способ, позволяющий достоверно определить лицо, выразившее волю. Законом, иными правовыми актами и соглашением сторон может быть предусмотрен специальный способ достоверного определения лица, выразившего волю.

Ст. 160 ГК РФ (отсылка из Ст. 434 ГК РФ). Письменная форма в удаленно заключаемом с помощью СМС кредитном договоре не соблюдается.

А мне бы было интересно и Яндекса ответ узнать. Они же собирают данные зачем то, без телефона никак, а по факту оказывается пустой звук.

Как это "зачем-то"? Для вашей безопасности же, а то, что несмотря на или благодаря этим данным мошенники берут кредит на вас - ну штош, это ж не терроризм какой-то.

Не припомню громких случаев, где Яндекс помог бы своими данными.

Не припомню громких случаев, где Яндекс помог бы своими данными.

а я помню. деанон донаторов одного гринмэйлера и оппозиционного политика (или прикидывающегося таковым), который потом пострадал от отравления и стал политзаключенным.

Подпись на бумаге можно обжаловать, а код из СМС нельзя? Как это так? На минуточку, то, что на сайте банка был введен правильный код - это только слова самого банка и логи сервера, которые банк может рисовать как-угодно

Отчасти с смс возврат назад произошел.

К кредитам через оферту, единственно что условия не поменяют. Хотя договор всего лиш файл и хранится не у клиента. Кто его знает что там может вдруг измениться

Выходит, что договор на бумаге рулит таки.... для клиента.

Однажды случайно обнаружил значительное снижение коедитного рейтинга в нбки (был примерно 900, стал 200). Запросил историю, выяснил, что был оформлен микрозайм с предварительным получением доступа к госуслугам. Написал заявление в полицию - те отбрыкивались, как могли, но приняли, правда через месяц ответ - типа признаков преступления нет, ну или типа того. Связался с мфо - те тоже футболили,- типа номер телефона ваш (хотя не мой), карта, на которую деньги переведены ваша (карта не моя). Спустя кучу переписок, справку из банка, что карта не моя, кучу негативных сообщений в группе мфо в контакте, займ аннулировали.

Очень удивила реакция полиции - делать изначально ничего не хотели, да и потом не стали, даже после жалобы в прокуратуру.

Именно по таким причинам я против Госуслуг, которые всё больше функций на себя перетягивают, при этом в плане безопасности там катастрофа. Не говоря уже о повсеместной привязки всего и вся к смс хотя никто и нигде не даст гарантии, что завтра этот номер у меня не отберут или не настроят всякие переадресации.
Система выстроена полностью на доверии хотя причин доверять попросту нет. Банк доверяет смс хотя пользователь никак не может проконтролировать оператора. Оператор связи спокойно себе может забить на безопасность и не отвечать суду.
А по итогу человек без договора, без денег и без даже информации, что на нем кредит, его имущество продано, а сам он владелец отмывочных ОООшек.
Даже истории с ЭП были, где их раздавали на лево и на право. И никто не виноват и не наказан.

В Госуслугах добавили 2FA, но нужно включить в настройках. Оператор не может забить на безопасность. Но конкретный человек в салоне по поддельному паспорту может и восстановить сим карту. Хотя и с этим сейчас не всё так просто. Какое-то время после восстановления сим-карты банки не будут полноценно работать. Кроме того скан паспорта и живое фото сейчас проверяют специально обученные люди, которые ни как не связанные человеком, который физчески проводит процедуру замены. Заработала глобальная антифрод система. Спам звонков явно стало меньше. Всё это усложняет жизнь мошенникам, но они придумывают всё новые и новые варианты..

Проблема в том, что переадресация СМС была включена без перевыпуска SIM карты. Как это было сделано осталось загадкой.

Вот не надо тут на ГосУслуги нападать. На них прекрасно включается 2FA и чтобы войти уже SMS не достаточно. А чтобы верифицироваться надо вообще к реальным людям топать и предоставлять документы с лицом.

Тут явная вина банка, который приравнивает SMS к подписи.

По тому кейсу, что автор задал эта 2FA на госуслугах не сработала бы. Злоумышленник точно так же бы вошел в он-лайн кабинет банка и сбросил 2FA на Госуслугах через приложение банка. Слабое звено тут СМС которые можно перенаправлять даже без перевыпуска SIM карты и банки с госуслугами которые безусловно доверяют СМС кодам позволяя снять другую защиту.
Весь тот ужас с безопасностью, что творится на Госуслугах я в другом посте описывал в комментарии на основании личного опыта попыток прервать доступ злоумышленников в ЛК на Госуслугах. И вывод там крайне печальный. На Госуслугах сделано всё,чтобы злоумышленники как можно дольше могли пользоваться ЛК, пока человек ножками не дотопает до ближайшего МФЦ.

Разве можно сбросить 2FA через банк? Когда у меня телефон вышел из строя и я спросил у техподдержки - как мне убрать 2FA - они меня послали топать ножками в МФЦ. Хорошо, что Я.Ключ бэкапится на сервер и я смог его восстановить...

Я сам в декабре через приложение банка сбрасывал. Там ещё интересно, что при смене номера на Госуслугах 2FA автоматически переходит на СМС и нужно заново переключаться на коды из приложения. Что как по мне странноватое решение.

Интересная статья, спасибо!

Похоже что вы тот самый человек который во времена компьютерных клубов грозил по айпи вычислить. Жаль что наказать конечно не получилось злоумышленника, но зато человек честный не пострадал

Пугает что порой секьюронсть банка может дать леща своим клиентам в виде платите много деняк за то что мы сами накосячили

Хех, на мой домашний адрес от этого банка письма о задолженности приходили на имя неизвестного мне лица, якобы здесь зарегистрированного. Правда, после принесенной в отделение банка справки письма перестали приходить, и на том спасибо.

Вообще всё это довольно странно, с точки зрения логики.

Это не клиент, а банк должен доказывать что кто то заключил с ним договор.

Неее, тут как раз всё очень логично. Банкстеры не сеют, не пашут и у мартена не стоят. Они живут только на лихву, выдираемую с электората. И это именно они с властями создали систему, позволяющую ободрать любого человека на основании бредовых обвинений. Я бы даже не очень удивился, если бы у банкстеров вообще не было НИКАКИХ материалов с намёками на какие-то там доказательства. Можно ведь просто рандомно вешать якобы кредиты на своих клиентов и потом утверждать, что кто-то кому-то когда-то посылал какие-то СМС и кто-то когда-то где-то нажал какие-то кнопки на телефоне. А проще сразу на всё население поголовно повесить каждому небольшой кредит и пригрозить тюрьмой. Надо только не переборщить и оставлять малость на еду, чтобы работать могли. Если для кого-то имеют значение логи их серверов - не вопрос. Сляпать любой лог - раз плюнуть. Но это, вероятно, дело будущего. А пока можно даже проиграть один суд и беспроблемно ободрать тысячи других. Профит. Так система заточена. Можно и без Украины обойтись Банкстеры могут сами себе посылать СМС и сами якобы кнопки нажимать. И терехватывать не надо и логи будут в ажуре. В случае каких проколов не обязательно на украинских хакеров кивать. Гондурас тоже подойдёт. Видели отчёты банкстеров о прибылях за прошлый год? Прибыль одних - это убыль других. Диалектика-с.Так что не шумите, не мешайте людям работать. Работа простая: любым способом ошкуривать электорат, отбивать "деревянные" на бирже в баксярии и отгонять баксярии "куда надо". Про курс доллара все в принформированы? А про статистику оттока капитала?

Чтобы чуть разбавить ваш накал.

Многие системы банка сертифицированы, в том числе ФСБ, не так то просто "сляпать любой лог".

Так же этот лог должен "биться" с логами оператора связи и интернета например.

Не так все просто.

Здесь презюмируется, будто сертификация от конторы и последующие возможные контрольные мероприятия по проверке соблюдения условий сертификации преследуют цель защиты всех клиентов банков до единого, а не исключительно избранного подмножества таковых и интересов госаппарата. Смею заверить, что оснований безоговорочно верить в эту презумпцию нет, хотя и понимаю, что требовать в данном случае доказательств, которые, если и имеются, то имеют гриф секретности — то же самое, что требовать невозможного.

Нет, все сертификации и проверки контролирующих органов преследуют цель защиты от рисков(нарушения законодательства, регуляторных требований, ...) Это несколько другое по факту.

Это в том числе значит что некоторые системы и комплексы подконтрольны не банку а например ФСБ. И "сляпать свой лог" просто нереально.

Тут опять же позанудствую. Они не "подконтрольны" , а сертифицированы. Поэтому да, "сляпать свой лог" нереально. И на одну из моих прошлых работ приходили проверки из ЦБ. Скажу так: не позавидую тому, кто попытается помухлевать с логами/отчётами. Это как со съемками лунной миссии США, где проще отправить людей на луну, чем достоверно снять все на Земле.

Сколько таких случаев мы слышим в последнее время, но все равно каким-то образом и переадресацию делают, и сим-карты дублируют. На моей практике защита работала только в случаях, когда менялся оператор связи. Тут банк сразу не даёт отправить СМС, а подтверждать нужно походом в банк.

Кстати, вроде была инициатива о проставлении "галочки" невозможности взять кредит. Вроде так это и заглохло

https://www.advgazeta.ru/novosti/advokat-dobilas-priznaniya-sudom-nedeystvitelnym-zayma-zaklyuchennogo-s-ispolzovaniem-portala-gosuslug/

Достаточно было принудить сотового оператора предоставить ответ на судебный запрос, предварительно поставив под сомнение обычность операций данного клиента данного банка. После появления в материалах дела сведений о том, что сотовый оператор отправлял СМС не клиенту банка, уже задачей банка становится доказать, что он достаточно полно и достоверно установил, с кем именно он заключил договор от имени данного заёмщика.

https://www.advgazeta.ru/mneniya/kredit-po-ukradennomu-telefonu-izmenitsya-li-praktika-sudov/

И вообще, эта тема чуть более старая, чем дело автора статьи.

Очень благодарю вас за интерес, проявленный к статье!

Да, также выше вам ответил частично по этому поводу) Практика, на которую вы указываете, появилась как раз во время нашего процесса. В суд мы обратились ещё в мае 2022 года и этой позиции очень не хватало. В начале доказывания положительной практики вообще не было, сложно было чем-то подкрепить и даже подойти к такому выводу. Отрицательной же практики было великое множество, особенно в Санкт-Петербурге. Буквально все дела проигрывались(

Мне одному кажется, что всё поставлено с ног на голову? Человека ограбили мошенники... и он сам должен доказывать, что не верблюд (с вероятностью успеха близкой к нулю).

По логике: ограбление стало возможным потому, что банк использует небезопасный (с очевидными дырами в цепочке безопасности) способ оформления сделки.

Почему банк продолжает использовать этот способ оформления сделок и почему ему это разрешают делать?

Ложное утверждение. Ограбили банк, а не контента банка. Это банк выдал кредит неизвестно кому под фиктивные данные заёмщика. Это банку надо обращаться в правоохранительные органы. Но, конечно же, правовой нигилизм не позволяет сложить два и два, и граждане раз за разом бегут в полицию оформлять заявление на своё имя, далее их признают потерпевшими, а далее у суда становится очень мало простора для признания кредитного договора незаключенным, ведь потерпевший не банк, следовательно, деньги увели не у банка, следовательно, клиент сначала их получил и на законных основаниях, а уже потом случилось преступление.

Интересно:

1) Списали все деньги со счета - получается что не только кредитные средства, но и те которые были (или их не было)? Отменили только кредит, или средства тоже вернули (если были)?

2) Клиенту банка пришло СМС о просроченном платеже от банка - убрали ранее установленную переадресацию?

1) Нет, в этом банке человек деньги не хранил, жулики похитили только те средства, которые банк выдал в качестве кредита. Но вы подняли очень интересный вопрос, даже не думал об этом. Если бы помимо кредита вывели и личные средства, то и эту сделку мы бы попытались оспорить, что также бы было задачей разрешимой.

2) Переадресацию отменили в течение одного дня. Человек сам обратился в Теле2, т.к. до него никто не мог дозвониться. Но в тот момент он просто подумал, что это была какая-то ошибка.

И еще - правильно ли я понимаю, что отменили кредит, но взысканная компенсация только 15тр морального? 1,5 года ведения дела - страшно представить размер издержек финансовых и временных - эти финансы компенсировали?

В статье этого нет, но обычно судебные издержки (на экспертизы, на пошлины, на адвоката и т. д.) включаются в компенсацию. Разного рода побочные расходы, типа билетов на троллейбус до суда - нет. Моральный вред же вообще не предполагает компенсации расходов, это именно за "потерянное время", "душевные муки и страдания", "ущерб доброму имени и деловой репутации" и подобное, причём ни право требования, ни фактически назначаемые размеры моральной компенсации законом нигде не ограничены.

Могут компенсировать не все расходы на юридические услуги, кому-то присуждали несколько тысяч по ставке адвоката по назначению при расходах в десятки-сотни тысяч.

15 тысяч рублей в качестве компенсации морального вреда - результат роскошный, мы были очень рады) К сожалению, хоть сколько-нибудь серьёзную сумму взыскать невозможно, практика в России в этой части в среднем ограничивается +- пятью тысячами рублей.

Расходы на оплату юридических услуг могут быть заявлены в течение трех месяцев после окончания судебного процесса, что и было нами сделано. Это разрешается отдельным судебным актом.

Да - наслышан о таком. Подумывал судиться с медучреждением после неудачных травмотологических операций. Стал разведовать, консультироваться. Сообщили, что практика такова - если никто не умер - в лучшем случае те же 15тр компенсации. При том что еще и существуют глобальные проблемы сбора доказательств - трудности с поиском экспертизы (говорят, у врачей принято о коллегах или хорошо, или никак - типа, этическая солидарность), непонятно как оценивать (на первичные претензии заявили, что "дефект чисто косметический" и типа, "раз ничего не болит, значит все нормально"), никакой толком фиксации промежуточных состояний нет - нет видео и фото фиксации в процессе операции, нет аудио фиксации (а я даже не подумал зафоткать состояние перед операцией - совершенно не ожидал подвохов), письменные отчеты - только со слов лечящего врача - напишет, что все было плохо перед операцией, значит было плохо, напишет что все правильно сделал, значит так и есть - никто никак не опровергнет, хотя врач ко мне после операции ни разу не зашел поинтересоваться как я себя чувствую), а как оказалось страховые компании в случае претензии к качеству медицинских услуг проверяют только бумажки (оценки состояния пациента некой комиссией нет вообще) и тд.

  1. СМС-коды давно пора заменить чем-то более надёжным. Скажем, U2F-ключами с регистрацией этих ключей только в отделении банка (или, например, в ближайшем МФЦ), с проверкой паспорта и под запись камеры.

  2. Восстановление паролей к "личных кабинетам" - тоже только в отделении банка, с проверкой паспорта и под запись камеры.

  3. Сделать единый универсальный короткий банковский телефонный номер (что-то вроде 900 сбера), при этом операторы связи должны гарантировать абонентам, что все звонки с этого номера идут именно от банков. А банкам запрещается звонить с каких-либо иных номеров, кроме этого единого банковского номера.

операторы связи должны гарантировать абонентам, что все звонки с этого номера идут именно от банков

Как вы себе это представляете?

Прямое подключение к оператору связи

СМС-коды давно пора заменить чем-то более надёжным. Скажем, U2F-ключами

Да пусть бы хоть стандартный TOTP - мне бы уже было намного спокойнее. Но нет, мой банк предлагает при авторизации в качестве второго фактора либо смс, либо ничего.

стандартный TOTP

Находящийся на мобиле с кучей непонятных приложений? А если на той же мобиле находится ещё и банковское приложение...

Никто не запрещает купить для этого отдельный кнопочный телефон с поддержкой J2ME и установить аутентификатор туда.

Кроме того, куча непонятных приложений на телефоне не получит доступ к данным другого приложения, если телефон не рутован, об этом позаботится операционная система. А уважающие себя аутентификаторы, вдобавок, шифруют свои данные (без пароля/пина/отпечатка, даже если вы каким-то образом обошли запрет на доступ к данным и украдете файл, в котором хранятся секреты, файл будет зашифрован), и не позволяют делать скриншоты.

Обойти все это явно гораздо труднее, чем симку по доверенности угнать.

Решение должно быть массовым. 99% клиентов банка не будут носить с собой два телефона. А если телефон один и на него всё завязано (и банковское приложение, и "второй фактор"), то это раздолье для мошенников: https://www.banki.ru/news/lenta/?id=10997773

Вот маленький u2f брелок носить легко и удобно (на связке ключей).

У меня, кстати, был довольно странный случай с Новикомбанком - в какое-то время перестали приходить СМС оповещения, хотя ранее приходили. При этом вроде какие-то служебные типа подтверждений, приходили. Обнаружил, что для отправки СМС указан какой-то совсем левый номер (кто его туда вписал не понятно). Написал несколько обращений через форму на сайте, созвонился. Номер поменяли на мой, но не пояснили что это было.

Несколько лет назад, вроде бы, аналогичный кейс был со Сбером. Люди находили в ЛК левые номера. Но они были прописаны как дополнительные и смски с кодами на них не падали.

Чем кончилось - не помню, надо гуглить

Классный кейс, прочла с удовольствием! Отрадно, что всё в этом деле сошлось нужным образом.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории