Персональный менеджер написала ошарашенному владельцу счета: "Звоните девочкам"
В редакцию обратился один из клиентов акционерного общества "Банк Фридом Финанс Казахстан" Андрей ТУРИНЦЕВ, который 8 ноября 2023 года обнаружил, что выставленный его бухгалтером платеж на сумму 2,2 млн тенге отменили и перевели деньги на счет некоего физического лица.
В связи с санкциями, только несколько казахстанских банков работает с российскими финансовыми институтами. По сложившейся традиции российские бизнесмены предпочитают "Банк Фридом Финанс". По этой причине Андрей был вынужден стать клиентом этого банка, но этим счетом пользовался, только когда было нужно переводить деньги в Банк ВТБ, а основной счет держит в другом банке.
Вот как развивались события того дня.
Вечером, 7 ноября 2023 года, на счет в "Банк Фридом Финанс Казахстан" компании Андрея Туринцева поступили деньги от контрагента в качестве оплаты за поставку оборудования из России. Так как вечерняя комиссия гораздо выше, чем утренняя, бизнесмен решил произвести оплату за поставляемое оборудование 8 ноября.
8 ноября, в 9.28 утра, бухгалтер Туринцева отправляет первый транш оплаты за оборудование в ВТБ Банк.
В ожидании подтверждения из ВТБ, она сформировала второй платеж на сумму 2,2 млн в Центр-Кредит.
Периодически бухгалтер проверяла, поступил ли платеж в ВТБ Банк.
Зайдя в 11.47 в интернет-банкинг, чтобы проверить, был ли исполнен первый платеж в ВТБ Банк, она обнаружила, что платежка на 2,2 млн тенге была отменена, а все деньги ушли на счет физического лица по фамилии ЖАРАСБАЕВ в качестве зарплатного аванса. Перевод был произведен в 11.37, то есть за 10 минут до ее подключения к интернет-банкингу.
В 11.49 бухгалтер стала писать сообщения персональному менеджеру, Андрей Туринцев звонил в банк и требовал заблокировать счет, на который ушли деньги, тщетно пытаясь объяснить сотрудникам банка, что со счета его компании были списаны миллионы в пользу неизвестного ему человека, которому он совсем не собирался дарить такую большую сумму.
В 11.50 на глазах у изумленных директора и бухгалтера во время сеанса связи с менеджерами "Банк Фридом Финанс Казахстан" со счета компании списывается еще 64 000 тенге. Благодаря настойчивости директора и тому, что ему все же удалось хоть как-то доказать, что он – это он, один из последних переводов на сумму 65 тысяч тенге все тому же физическому лицу был заблокирован вместе со счетом.
Как назло, их персональный корпоративный менеджер, закрепленный за компанией, оказалась в отпуске и кроме рекомендации: "Звоните девочкам!", - ничем другим не помогла. До "девочек", по словам Андрея, было не дозвониться, а сообщения по мессенджерам просто игнорировались.
Более двух часов Андрей Туринцев упрашивал сотрудников банка заблокировать подозрительный счет и отследить, куда будут переправлены 2,2 млн тенге.
При этом счет физического лица, на который ушли 2,2 млн тенге, находится в том же банке. По условиям договора с банком, сотрудники обязаны заблокировать все операции как минимум на сутки, в течение которых потерпевший должен подать письменное заявление с подтверждением требования о блокировке.
В телефонных переговорах с банком Туринцев неоднократно просил заблокировать все передвижения его средств, но ему отвечали, что необходимо обратиться с письменным обращением в отделение банка.
Туринцев все же приехал в банк, но ни на один вопрос ему не дали внятного объяснения, хотя ему пришлось общаться со специалистами разного уровня. В итоге просто приняли его заявление.
В этот же день Андрей Туринцев написал заявление и в полицию.
Прошло уже две недели. И банк, и полиция как бы занимаются этой историей, но перспектива возврата денег пока не проглядывается.
Полицейские довольно долго выясняли, кто из них должен заниматься расследованием.
Банк тоже до сих пор не проявляет желания объясниться со своим клиентом, у которого пропала довольно большая сумма.
Мы обратились с запросом в Акционерное общество "Банк Фридом Финанс Казахстан".
Нас интересовали следующие вопросы:
1. Предоставьте, пожалуйста, скрины переписки, расшифровку аудиозвонков с указанием времени для сопоставления с аналогичными данными, предоставленными ТОО "АльянсЭксперт".
2. Почему не был остановлен платеж и не был отозван ЭЦП, как это предусмотрено договором публичной оферты на сайте банка (Далее Договор)?
3. В соответствие с пунктом 3.3. Договора производится аутентификация клиента. Какие виды аутентификации были осуществлены в случае с ТОО "АльянсЭксперт"?
4. Должны ли банком проводиться все виды аутентификации, предусмотренные Договором?
5. Почему вы не отправили СМС-код на номер, указанный клиентом при открытии счета?
6. Если код был отправлен, укажите точное время его отправки и на какой номер это было сделано?
7. Сколько времени по стандартам банка требуется операционисту, чтобы исполнить условия Договора по блокированию платежа и отзыву ЭЦП?
8. В сложившейся ситуации есть три версии случившегося:
злоумышленники получили доступ к онлайн-банкингу ТОО "АльянсЭксперт";
злоумышленник находится внутри банка и имеет возможность менять реквизиты и назначение платежа клиентов;
бухгалтер или руководитель ТОО "АльянсЭксперт" пытается переложить ответственность за пропажу денег на банк.
Какая из этих версий объясняет случившееся по мнению банка?
9. Жарасбаев Т.А. является клиентом банка и перевод был осуществлён на его расчетный счет в вашем же банке. Почему банком не были предприняты какие-либо меры в отношении Жарасбаева, несмотря на заявление бухгалтера ТОО "АльянсЭксперт" о мошеннических действиях?
10. Были ли данные о дальнейшей судьбе неоднократных переводов на счет Жарасбаева переданы в правоохранительные органы и когда это было сделано (укажите дату и точное время официального обращения в полицию)?
11. Является ли ответ персонального менеджера: "Звоните девочкам", - стандартной формой общения с клиентом в экстренной ситуации?
12. Как часто клиенты обращаются в банк с подобными проблемами?
13. Как банк реагирует на подобного рода обращения?
14. По заявлению представителя ТОО "АльянсЭксперт" его жалоба была передана банком в отдел антифрод. Означает ли это, что ни сам банк, ни его клиенты не защищены от атак кибермошенников?
15. Как вы оцениваете защищённость банка и его клиентов от атак мошенников по шкале от 1 до 10?
16. Почему по состоянию на 10.11.2023 банк не ответил на обращение ТОО "АльянсЭксперт"?
Мы публикуем вопросы для того, чтобы вы могли сопоставить их с ответами банка.
Через несколько дней нам пришло письмо с ответами банка за подписью управляющего директора, члена правления г-жи ДРЫЧКОВОЙ О.С., которое мы тоже воспроизводим полностью (орфография и пунктуация сохранены).
"Информация, содержащаяся в аудиосообщениях и переписке с клиентом Банка, относится и защищается статьей 50 "Банковская тайна" Закона Республики Казахстан от 31 августа 1995 года № 2444 "О банках и банковской Деятельности в Республике Казахстан" (Далее по тексту — Закон о банках). В связи с чем, такая информация может быть предоставлена только по запросу правоохранительных органов.
Согласно п. 1 и п. 4 ст. 50 Закона о банках, "Банковская тайна включает в себя сведения о клиентах и корреспондентах банков, их операциях и взаимоотношениях с банками, связанных с получением банковских услуг, в том числе без ограничения: информацию о наличии, владельцах и номерах банковских счетов и корреспондентов банков, остатках и движении денег на этих счетах и счетах самого банка, ограничениях на перечисленных счетах (решениях и (или) распоряжениях государственных органов о приостановлении расходных операций, арестах, залогах), операциях клиентов и корреспондентов и самого банка (за исключением общих условий проведения банковских операций), а также наличии, владельцах, характере и стоимости имущества клиентов, находящегося на хранении в сейфовых ящиках, шкафах и помещениях банка, информацию о получении клиентами кредитов (кроме случаев, определенных в настоящей статье), проведении операций по платежам и (или) переводам денег, в том числе выполненным без открытия банковского счета.
Банковская тайна может быть раскрыта только клиенту, любому третьему лицу на основании согласия владельца счета (имущества), данного в письменной форме либо посредством идентификационного средства владельца счета, кредитному бюро по банковским заемным, лизинговым, факторинговым, форфейтинговым операциям, учету векселей, а также выпущенным банком гарантиям, поручительствам, аккредитивам в соответствии с законами Республики Казахстан, а также лицам, указанным в пунктах 5, 6, 61, 7, 7-1 настоящей статьи, по основаниям и в пределах, предусмотренных настоящей статьей".
В соответствии с пп. а), п. 7, ст. 50 Закона о банках "справки о наличии и номерах банковских счетов физического лица, об остатках и движении денег на этих счетах, а так же в сейфовых ящиках, шкафах и помещениях банка, выдаются: а) представителям физического лица: на основании нотариально удостоверенной доверенности".
Вами не были предоставлены соответствующие документы, на предоставление интересов, таким образом, запрашиваемая Вами информация является банковской тайной и не подлежит раскрытию третьим лицам без их согласия.
При этом со своей стороны отмечаем, что согласно пункту 1 статьи 10 Закона Республики Казахстан от 7 января 2003 года .У2 370-II "Об электронном документе и электронной цифровой подписи", электронная цифровая подпись равнозначна собственноручной подписи подписывающего лица и влечет одинаковые юридические последствия при выполнении следующих условий:
- удостоверена подлинность электронной цифровой подписи при помощи открытого ключа, имеющего регистрационное свидетельство;
- лицо, подписавшее электронный документ, правомерно владеет закрытым ключом электронной цифровой подписи;
- электронная цифровая подпись используется в соответствии со сведениями, указанными в регистрационном свидетельстве;
- электронная цифровая подпись создана и регистрационное свидетельство выдано аккредитованным удостоверяющим центром Республики Казахстан или иностранным удостоверяющим центром, зарегистрированным в доверенной третьей стороне Республики Казахстан.
Для любых клиентов с формой организации юридическое лицо (ТОО, АО и пр.) в банке используется метод аутентификации — ЭЦП. В рамках аутентификации данного метода предусмотрено использование электронной цифровой подписи (отдельно для входа и акцепта платежей), а также пароля, установленного клиентом в рамках регистрации ЭЦП на стороне Национального удостоверяющего центра Республики Казахстан (далее — НУЦ РК).
Соответственно, отзыв такого ключа возможен только на стороне НУЦ РК. Банк не уполномочен осуществлять отзыв ЭЦП, которые выпущены Национальным удостоверяющим центром.
В случае обращения клиентов в Банк для блокировки доступа в интернет-банкинг после проведения операций по счету, Банк временно блокирует операции в системе "FREEDOM ONLINE" до получения от клиента письменного заявления. Службой безопасности Банка предоставляется рекомендации для незамедлительного обращения клиента в полицию. В дальнейшем в случае необходимости Банк готов оказать содействие правоохранительным органам в расследовании.
Также на официальном сайте Банка размещены "Правила об общих условиях проведения операций" (далее-Правила), согласно п. 14 статьи 9 вышеупомянутых Правил: Обращение физического и (или) юридического лица, для рассмотрения которого не требуется получение информации от иных субъектов, Должностных лиц либо проверка с выездом на место, рассматривается в течение 15 (пятнадцати) календарных дней со дня его регистрации.
В свою очередь согласно Договора на обслуживание в системе "FREEDOM ONLINE>> (далее - Договор), которая размещенном на сайте Банк указаны несколько независимых способов аутентификации:
В соответствии пункт 3.3. ст. З при оказании электронных банковских услуг обмен Электронными Документами между Банком и Клиентом осуществляется путем идентификации и аутентификации Клиента следующими способами:
- ЭЦП;
- СМС (ОТР) — валидация и биометрическая идентификация;
- Многофакторная аутентификация".
В указанном случае использовался способ аутентификации с помощью ЭЦП.
Подчеркиваем, проведение платежей в СДБО ЮЛ возможно с применением ЭЦП, которая выпускается клиентом самостоятельно и посредством НУЦ РК. То есть работники Банка не имеют доступ к ЭЦП, принадлежащим клиентам. Вместе с этим, в соответствии с пп. 6.2.4 и 6.2.12 п. 6.2 ст.б Договора.
Согласно п. 6.2 Клиент обязуется:
пн. 6.2.4 Клиент не вправе передавать третьим лицам Ключевой носитель с ЭЦП и сообщать информацию, полученную по СМС(ОТР) каналу. При возникновении подобных ситуаций Банк не несет ответственности за возможные убытки, которые могут быть причинены клиенту.
пп. 6.2.12 Хранить ЭЦП в надежном месте, исключающем Доступ к нему не уполномоченных лиц, принимать все возможные меры для предотвращения его потери, раскрытия, искажения и несанкционированного использования".
К сожалению, в Казахстане участились случаи мошенничества в отношении юридических лиц, когда применяются фишинговые рассылки с использованием методов социальной инженерии, компрометирующие ЭЦП клиента, т.е. данные об ЭЦП перестают быть конфиденциальными либо злоумышленники заражают устройства клиента и получают доступ к ЭЦП и далее — доступ в интернет-банкинг клиента. Порой клиенты проявляют неосторожность и излишние доверие, где предоставляют доступ к ЭЦП-ключам интернет банкингу третьем лицам. При этом для Банка операции, подписанные ЭЦП, не вызывают подозрений.
Любые обращения клиентов в Банк являются важным поводом для их рассмотрения. При этом Банк обязан действовать строго в рамках, регламентированных законодательством, а также обеспечивать защиту прав и интересов своих клиентов. Стоит отметить, что Банк всегда оказывает оперативную и максимальную помощь в предоставлении информации по всем обращениям правоохранительных органов, при этом соблюдая законодательные требования по предоставлению информации.
Со стороны Банка предпринимаются все усилия для обеспечения сохранности средств клиентов. Со своей стороны Банк регулярно информирует клиентов с помощью размещения на сайте, в социальных сетях, рассылках через интернет-банкинг информацию о том, как физическим и юридическим лицам защититься от мошенников.
Хотим отметить, что в случае размещения недостоверной информации со стороны СМИ предусматривается ответственность в рамках действующего законодательства РК".
Мы, конечно, благодарны г-же Дрычковой за труд в разъяснении нам дефиниции ЭЦП, и теперь нам понятно, что позиция банка в том, что клиенты сами виноваты в потере своих денег. По опыту работы с другими банками Казахстана нам известно, что для повышения безопасности банкиры предлагают клиентам своего рода аналоги ЭЦП, только с более высокой степенью защиты и возможностями для банка в части обеспечения сохранности денег.
По договору с "Банк Фридом Финанс Казахстан", клиент может использовать СМС (OTP)-валидацию и биометрическую идентификацию, но только как второй из трех способов, предоставляемых на выбор. На первом месте стоит ЭЦП, которая не генерирует уникальные пароли, не фиксирует IP пользователя и т.д.
Наш вопрос об ЭЦП, побудивший г-жу Дрычкову на обильное цитирование законодательных актов, возник из-за того же публичного договора "Банк Фридом Финанс Казахстан", в котором говорится, что в экстренной ситуации клиент банка должен: "незамедлительно обратиться в Банк, уполномоченные органы с заявлением на бумажном носителе на отзыв ЭЦП в случае потери, раскрытия, искажения личного закрытого ключа (устройства) или использования его другими лицами" (п. 6.2.14 договора).
Возможно, банкиры, когда составляли этот договор, еще не обладали теми фундаментальными познаниями в банковском законодательстве, с которыми щедро поделилась с нами г-жа Дрычкова.
И мы по простоте душевной прочитали этот пункт так, как он написан, почему и возник вопрос об отзыве ЭЦП.
Таким образом, вся вина за утрату денег объясняется "участившимися в Казахстане случаями мошенничества" или неосторожностью клиента при использовании ЭЦП. Банк, несмотря на все его сообщения, действовал по простой схеме, изложенной г-жой Дрычковой в ответе на наш запрос: "…для Банка операции, подписанные ЭЦП, не вызывают подозрений".
Поскольку других содержательных ответов, касающихся проблемы клиента банка, в тексте больше не обнаружилось, мы предлагаем читателю самостоятельно найти в письме из банка ответ на вопрос, какие меры были предприняты банком, чтобы спасти деньги А. Туринцева.
Любопытна и позиция полицейских. По факту, и банку, и полиции известен выгодоприобретатель, счет этого человека, на который каким-то злоумышленником были переведены деньги со счета компании, открыт все в том же "Банк Фридом Финанс Казахстан".
Коль скоро Андрей Туринцев утверждает, что не знает этого человека, самая простая мысль, которая должна прийти в голову банкирам и полиции – задать вопросы персонажу, получившему со счета компании миллионы тенге.
Почему этого не происходит – непонятно. Не иначе - банковская тайна, о которой так подробно расписано в письме из "Банк Фридом Финанс Казахстан".
Во избежание обвинений банка в адрес редакции, предлагаю читателям самим сделать вывод, насколько безопасно пользоваться его услугами.
ПОДЕЛИТЬСЯ СВОИМ МНЕНИЕМ И ОБСУДИТЬ СТАТЬЮ ВЫ МОЖЕТЕ НА НАШЕМ КАНАЛЕ В TELEGRAM!