Смс информирование — советы адвокатов и юристов

Введение

Данный отчет содержит анализ правомерности использования банками Российской Федерации СМС и push-уведомлений для взаимодействия с клиентами. В ходе исследования использовался обширный ряд документов — определения и решения судов общей юрисдикции, арбитражных судов РФ и Верховного суда РФ, Федеральные законы Российской Федерации, положения, указания и письма Банка России и другие.

В ходе исследования построены правовые конструкции применения СМС и push-уведомлений с учетом позиций российских судов. Также для формирования правовых конструкций использован опыт проведения компьютерно-технических и нормативно-технических экспертиз подразделения RTM Group – RTM TECHNOLOGIES. Одной из задач проведения экспертиз является подготовка технического описания и схем функционирования систем дистанционного банковского обслуживания, использующих СМС и push-уведомления.

Нормативное регулирование и судебная практика

Обмен данными с клиентом по альтернативному каналу связи (не система интернет-банкинга) находит отражение в документах ЦБ РФ. Например, в Указаниях Банка России от 09.06.2012 No 2831-У и Положении No 382-П.

Важно отметить, что в Положении No 382-П речь не идет об СМС.Речь идет о том, что банк может использовать альтернативный канал связи для передачи клиенту одноразового кода. Сам формат передачи не уточняется.

В п. 4.2.9. Письма от 24.03.2014 No 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» Банк России рекомендует банкам «организовать оперативное информирование клиентов — пользователей систем ДБО кредитной организации через каналы связи, отличные от используемых для ДБО (SMS-информирование, электронная почта и тому подобное), о поступлении от этих клиентов в кредитную организацию распоряжений о переводе денежных средств через системы ДБО и получение подтверждений клиентов о подлинности таких распоряжений».

Другими словами ЦБ РФ рекомендует использовать СМС в качестве канала уведомления клиента о совершении операции, но никак не о передаче таким образом кодов подтверждения операций. Говорится лишь о необходимости получения подтверждений клиентов о подлинности распоряжений. Аналогичные рекомендации есть во многих других документах ЦБ РФ.

Согласно п. 6 Письма Банка России от 05.08.2013 No 146-Т операторам по переводу денежных средств рекомендуется при предоставлении клиентам розничных платежных услуг в интернете использовать в том числе подтверждение операций с помощью одноразовых паролей (кодов подтверждения), при этом пароли (коды подтверждения) должны доводиться до клиента в совокупности с информацией о совершаемой операции (например, сумма операции, получатель и пр.) и доставляться до клиента по альтернативному каналу связи, например через СМС-сообщения.

ПОДРОБНЕЕ:  Как получить гражданство Великобритании (Англии): способы и порядок оформления

Таким образом, при информировании об отдельных распоряжениях о переводе денежных средств с помощью СМС и получении подтверждения такого перевода Банки действуют в соответствии с рекомендациями Банка России. При этом ЦБ РФ не дает прямые рекомендации банкам использовать СМС в качестве канала для передачи одноразовых кодов подтверждения операций по переводу денежных средств за исключением розничных платежных услуг (платежи, не включенные в определение платежей на крупные суммы). К таким платежам относятся подавляющее количество платежей.

Смс информирование - советы адвокатов и юристов

Важно отметить, что в ходе настоящего исследования не удалось найти иных рекомендаций Банка России (кроме Письма 146-Т) использовать СМС-сообщения для передачи одноразовых кодов.

Итого, нужно разделять:

  • СМС-сообщения об уже совершенных операциях;
  • СМС-сообщения, которые содержат коды для подтверждения операций по счету. Судебная практика в части СМС-информирования сформирована, однако при условии отправки в СМС кодов подтверждения операций позиции судов расходятся. В последние годы суды регулярно вставали на сторону клиента — физического лица (решение Фрунзенского районного суда Санкт-Петербурга от 17.02.2016 No 2-360/2016). Свою позицию суды мотивируют тем, что направление СМС-уведомления с кодом подтверждения операций не обеспечивало защиту от совершения мошеннических действий по снятию денег с банковского счета. При этом суды вышестоящих инстанций могли отменить такое решение, сославшись на условия договора и идентификацию клиента в соответствии с правилами (Апелляционное определение Санкт-Петербургского городского суда от 18.08.2016 No 33-13456/2016 по делу No 2-360/2016). В большинстве случаев суды соглашаются, что направление СМС подтверждает добросовестность банка и отсутствие его вины в незаконном списании средств со счета клиента (Апелляционное определение Хабаровского краевого суда от 12.01.2018 по делу No 33-31/2018, Апелляционное определение Новосибирского областного суда от 12.02.2015 по делу No 33-864-2015).

Напротив, установив, что СМС-информирование не производилось, суды удовлетворяют требования о взыскании с банка убытков (Апелляционное определение Хабаровского краевого суда от 29.05.2015 по делу No 33-3348/2015).

При этом необходимо отметить, что существует судебная практика, где суды взыскивают с банка убытки даже в случае наличия СМС-информирования (Апелляционное определение Санкт-Петербургского городского суда от 28.04.2016 No 33-7902/2016 по делу No 2-6233/2015, Апелляционное определение Санкт-Петербургского городского суда от 11.06.2015 No 33-8603/2015 по делу No 2-622/2015).

Логика судов в этих делах заключается не в том, что СМС-информирование небезопасно, а в том, что сам клиент ничего не нарушал. Поскольку это были потребительские споры, то суды указали, что на клиента риски возлагаются только в случае его вины (Закон РФ «О защите прав потребителей»), причем бремя доказывания в этом случае возлагается на банк как профессионального участника рынка (Постановление Пленума Верховного Суда РФ от 28.06.2012 года No 17 «О рассмотрении судами гражданских дел по спорам о защите прав потребителей»).

ПОДРОБНЕЕ:  Нотариусы днепропетровской области Советник

Важно отметить, что в рассматриваемых делах у судов не было доказательств, что СМС-сообщение отправляется по открытым каналам связи и в открытом виде, равно как и не было установлено, что хищение произошло по причине перехвата сообщения злоумышленниками.

Таким образом, при существующем регулировании, а также с учетом судебной практики:

  • использование СМС как средства уведомления клиента об уже совершенных операциях является для банков важным и безопасным элементом работы систем дистанционного банковского обслуживания;
  • использование для передачи одноразовых кодов подтверждения операций СМС-сообщений порождает финансовые и правовые риски для банков.

В случае появления судебных дел, в которых будет доказан факт перехвата СМС злоумышленником, при привлечении эксперта, который в качестве специалиста или через судебную экспертизу опишет механизм передачи СМС, подтвердив тем самым позицию клиента о небезопасности передачи одноразовых кодов в СМС-сообщениях, судебная практика может скорректироваться в пользу клиентов.

Смс информирование - советы адвокатов и юристов

Дополнительно важно отметить, что ранее сформировавшаяся судебная практика о безоговорочном отказе в удовлетворении требований клиентов (в том числе потребителей) к банкам о взыскании средств незаконно списанных с их счета при наличии направленного банком клиенту одноразового кода подтверждения в настоящее уже меняется (Определение Верховного Суда РФ от 24.04.

2018 No 5-КГ18-41). С учетом приведенной позиции Верховного суда, высказанной в том числе в указанном Определении, об обязанности профессионального участника рынка доказывать максимальную степень разумности своего поведения при выявлении действительной воли клиента на совершение транзакции, мы полагаем, что банкам будет сложнее настаивать, что они не знали и не могли знать об уязвимости передачи одноразовых кодов через СМС.

Выводы

Использование СМС как средства уведомления клиента об уже совершенных операциях является для банков важным и безопасным элементом работы систем дистанционного банковского обслуживания.

Использование СМС для передачи одноразовых кодов подтверждения операций порождает финансовые и правовые риски для банков.

Судебная практика в части СМС-информирования сформирована, однако при условии отправки в СМС кодов подтверждения операций позиции судов расходятся.

Банки, использующие push-уведомления для передачи одноразовых кодов в архитектуре Apple, игнорируют прямое требование компании Apple не совершать данных действий ввиду небезопасности таких уведомлений. Клиенты таких банков имеют все основания обращаться с жалобой как в саму кредитную организацию, так и к регулятору.

Судебная практика в части push-уведомлений, содержащих одноразовые коды, не сформирована.

Смс информирование - вопросы и ответы

Судебная практика о безоговорочном отказе в удовлетворении требований клиентов к банкам о взыскании незаконно списанных средств меняется.

ПОДРОБНЕЕ:  Закон от тишине и порядке Советник

https://www.youtube.com/watch?v=upload

Исследование создано в соавторстве с Константином Хасиным, аналитиком Центра судебных экспертиз компании RTM Group.

Понравилась статья? Поделиться с друзьями:
Adblock
detector