Глава 4. Мошенничество в сфере банковских платежных карт. «Мошенничество в платежной сфере. Бизнес-энциклопедия»

4.1. Уголовно-правовые аспекты борьбы с противоправными деяниями в сфере банковских карт

Противоправные деяния с использованием банковских карт являются для России относительно новым видом преступления — до 1996 г. в Уголовном кодексе отсутствовало упоминание о каких-либо картах. В новом Уголовном кодексе, вступившим в действие с 1997 г., появилась единственная статья, прямо предусматривающая ответственность за противоправные действия с кредитными либо расчетными картами (статья 187 УК РФ). В 2015 г. в указанную статью были внесены изменения и вместо кредитных расчетных карт в качестве одного из предметов преступления были указаны платежные карты.

Преступления с платежными картами трудно раскрывать. Задержание с поличным происходит очень редко, а после совершения преступления остается слишком мало следов, по которым можно было бы впоследствии отыскать злоумышленника.

Если преступление совершено с использованием банкомата, то зачастую в наличии имеется только видеозапись и в редких случаях могут быть захваченные поддельные карты — «белый пластик». Но видеозапись на банкомате может отсутствовать, либо быть плохого качества, не позволять идентифицировать человека, либо мошенник может закрыть лицо (очки, головной убор, воротник и т. п.). Захваченный банкоматом «белый пластик» может сохранить следы пальцев рук (отпечатки пальцев), но если он был изъят без соблюдения определенных правил, то пока такая карта дойдет до правоохранительных органов, на ней будут «пальцы» только сотрудников банка. Рекомендуется: изымать такие карты с помощью пинцета; для транспортировки карты помещать в бумажные конверты (если поместить карту в полиэтиленовый пакет, то из-за ламинированной поверхности карты отпечатки смажутся); хранить карты при минусовой температуре (в морозильной камере холодильника для предотвращения испарения жиро-потовых следов).

В торговых предприятиях ситуация обстоит ненамного лучше. Видеонаблюдение в магазинах (если оно есть) обычно дает довольно общие планы, не позволяя рассмотреть лица покупателя (идентифицировать личность). После совершения мошеннической операции в магазине остается только чек с подписью, который дает очень мало информации, чтобы установить злоумышленника.

Все это приводит к попаданию таких преступлений в разряд «глухарей», что вызывает нежелание правоохранительных органов заниматься ими и возбуждать уголовные дела (чтобы не портить показатели) и к колоссальному уровню латентности (скрытости) преступлений.

«За 9 месяцев 2012 г. в России количество хищений денежных средств, совершенных с использованием компьютерных и телекоммуникационных технологий, выросло на 60 %», — сообщил А. Мошков (начальник Бюро специальных технических мероприятий МВД России) на конференции в Торгово-промышленной палате РФ, посвященной противодействию киберпреступлениям. По его словам, лидером по темпам роста являются мошенничества с использованием банковских карт. «В 2012 г. полицейскими было выявлено в полтора раза больше подобных преступлений, чем в прошлом году… Общий ущерб от действий злоумышленников превысил 70 млн рублей», — сообщил А. Мошков. Данная информация на порядок меньше цифр, которые официально приводит один только Сбербанк: как сообщил заместитель председателя Сбербанка Станислав Кузнецов, в 2012 г. активизировались мошеннические группировки, которые похищают денежные средства со счетов клиентов банка при помощи установки скиммингового оборудования на банкоматы и аппараты самообслуживания; при помощи разнообразного оборудования для хищения данных карт клиентов преступники похитили более 600 млн рублей.

Рис. 4.1 . Данные по потерям в области платежных карт в России

Одной из причин латентности (скрытости) преступлений является несовершенство уголовного и уголовно-процессуального законодательства РФ. В 2012 г. Федеральным законом от 29.11.2012 № 207-ФЗ введены новые виды преступлений, связанные с мошенничеством в сфере банковских услуг.

Рост преступлений, связанных с банковской деятельностью, требует адекватных ответных мер со стороны государства.

Департамент общественных связей АРБ

10 декабря 2012 г. в Уголовном кодексе РФ начали действовать новые статьи, выделяющие в отдельные виды преступлений мошенничества, связанные с использованием банковских услуг. Теперь как отдельные преступления классифицируются мошенничества в сфере кредитования, с использованием платежных карт, интернет-технологий.

До этого момента закрепленный в Уголовном кодексе РФ общий состав мошенничества не в полной мере учитывал особенности тех или иных экономических отношений и не позволял обеспечить должную защиту интересов потерпевших. Сегодня особенно актуальна конкретизация составов мошенничества в сфере кредитования и мошенничества с платежными картами.

Президент АРБ Гарегин Тосунян

Управление « К » дало положительный отзыв на проект изменения одной из статей Уголовного кодекса РФ ( в проекте фигурирующей как статья 159.6 ) …

BIS JOURNAL ( www.ib-bank.ru/bis/a/177 )

…считать хищение с банковских счетов кражей по статье 158 или мошенничеством по статье 159… С точки зрения правоохранительных органов, оба подхода приемлемы, поскольку в любом случае для преступников предусмотрены одинаковые сроки лишения свободы.

Принятый Государственной Думой Федеральный закон позволит снизить ошибки и злоупотребления во время возбуждения уголовных дел о мошенничестве, будет способствовать повышению качества работы по выявлению и расследованию таких преступлений, правильной квалификации содеянного органами предварительного расследования и судом, более четкому отграничению уголовно наказуемых деяний от гражданско-правовых отношений.

Заключение Комитета Совета Федерации по конституционному законодательству правовым и судебным вопросам

Что же изменилось в Уголовном кодексе РФ и как это будет влиять на борьбу с криминальными деяниями в сфере платежных карт? В статью 159 УК РФ были внесены новые составы преступления, в том числе:

— статья 159.3. Мошенничество с использованием платежных карт;

— статья 159.6. Мошенничество в сфере компьютерной информации.

— Сравним статьи Уголовного кодекса РФ: 158,159 и 159.3,159.6.

Статья 158. Кража

Кража, то есть тайное хищение чужого имущества, — наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет.

2. Кража, совершенная:

а) группой лиц по предварительному сговору;

б) с незаконным проникновением в помещение либо иное хранилище;

в) с причинением значительного ущерба гражданину;

г) из одежды, сумки или другой ручной клади, находившихся при потерпевшем, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до пяти лет с ограничением свободы на срок до одного года или без такового.

3. Кража, совершенная:

а) с незаконным проникновением в жилище;

б) из нефтепровода, нефтепродуктопровода, газопровода;

в) в крупном размере, — наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до полутора лет или без такового, либо лишением свободы на срок до шести лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового.

4. Кража, совершенная:

а) организованной группой;

б) в особо крупном размере, — наказывается лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.

Примечания.

1. Под хищением в статьях настоящего Кодекса понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества.

2. Значительный ущерб гражданину в статьях настоящей главы определяется с учетом его имущественного положения, но не может составлять менее двух тысяч пятисот рублей.

3. Под помещением в статьях настоящей главы понимаются строения и сооружения независимо от форм собственности, предназначенные для временного нахождения людей или размещения материальных ценностей в производственных или иных служебных целях.

Под хранилищем в статьях настоящей главы понимаются хозяйственные помещения, обособленные от жилых построек, участки территории, трубопроводы, иные сооружения независимо от форм собственности, которые предназначены для постоянного или временного хранения материальных ценностей.

4. Крупным размером в статьях настоящей главы, за исключением статей 159.1,159.3,159.4,159.5,159.6, признается стоимость имущества, превышающая двести пятьдесят тысяч рублей, а особо крупным — один миллион рублей.

Статья 159. Мошенничество

1. Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием, — наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет.

2. Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до пяти лет с ограничением свободы на срок до одного года или без такового.

3. Мошенничество, совершенное лицом с использованием своего служебного положения, а равно в крупном размере, — наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового, либо лишением свободы на срок до шести лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового.

4. Мошенничество, совершенное организованной группой либо в особо крупном размере или повлекшее лишение права гражданина на жилое помещение, — наказывается лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.

Статья 159.1. Мошенничество в сфере кредитования

Примечание. Крупным размером в настоящей статье, а также в статьях 159.3, 159.4, 159.5, 159.6 настоящей главы признается стоимость имущества, превышающая один миллион пятьсот тысяч рублей, а особо крупным — шесть миллионов рублей.

Статья 159.3. Мошенничество с использованием платежных карт

1. Мошенничество с использованием платежных карт, то есть хищение чужого имущества, совершенное с использованием поддельной или принадлежащей другому лицу кредитной, расчетной или иной платежной карты путем обмана уполномоченного работника кредитной, торговой или иной организации, — наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев.

2. То же деяние, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до четырех лет с ограничением свободы на срок до одного года или без такового.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные лицом с использованием своего служебного положения, а равно в крупном размере, — наказываются штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные организованной группой либо в особо крупном размере, — наказываются лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до трех лет л ибо без такового и с ограничением свободы на срок до двух лет либо без такового.

Статья 159.6. Мошенничество в сфере компьютерной информации

1. Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей, — наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные организованной группой либо в особо крупном размере, — наказываются лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.

Квалифицирующие признаки у всех статей применительно к платежным картам практически одинаковые. Отличие будет только в части 3: в статье 158 УК РФ отсутствует в качестве квалификации использование служебного положения:

— часть 2: группой лиц по предварительному сговору, с причинением значительного ущерба гражданину;

— часть 3: с использованием своего служебного положения, в крупном размере;

— часть 4: организованной группой, в особо крупном размере.

А вот предусмотренные наказания у новых статей (159.3 и 159.6 УК РФ) значительно смягчены (таблица 4.1). Часть 1 не предусматривает наказание в виде лишения свободы, максимальное наказание — арест. Но в настоящий момент в связи с отсутствием в РФ арестных домов и невозможностью исполнения данного уголовного наказания судами не назначается данная мера наказания. Таким образом, максимальное наказание по части 1 статьи 159 УК РФ практически снижено для статей 159.3 и 159.6 УК РФ до двух лет принудительных работ. По части 2 и 3 наказание снижено на один год по сравнению со статьей 159 УК РФ.

Таблица 4.1. Меры наказания по статьям 158, 159, 159.3 и 159.6 УК РФ

Помимо общего смягчения наказания во вновь введенных статьях значительно изменены квалифицирующие величины ущерба (таблица 4.2).

Таблица 4.2. Квалифицирующие величины ущерба в статьях 158, 159, 159.3 и 159.6 УК РФ

Таким образом, законодатель считает, что квалифицированный ущерб от мошенничества с использованием платежных карт или в сфере компьютерной информации в шесть раз выше, чем от обычного мошенничества или от кражи. Единственный положительный момент от данного изменения УК РФ — это возможность получать более детализированные статистические данные (до этого невозможно было выделить из массы преступлений мошенничество с картами). Какие-либо другие факторы, способные повысить качество работы по выявлению и расследованию таких преступлений, отсутствуют.

Таблица 4.3. Количество зарегистрированных уголовных дел

Еще одна новелла была внесена в Уголовный кодекс РФ Федеральным законом от 08.06.2015 № 153-ФЗ «О внесении изменений в статью 187 Уголовного кодекса Российской Федерации». Проанализируем данное изменение в законодательстве. Ранее статья 187 УК РФ была сформулирована следующим образом:

Статья 187. Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов

1. Изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет.

2. Те же деяния, совершенные организованной группой, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет или без такового.

Данная редакция вызывала много вопросов и проблем в правоприменительной практике. В частности, при ее применении необходимо было в обязательном порядке установить, что поддельная карта является кредитной либо расчетной. Если предметом преступления являлись карты иностранных эмитентов, это вызывало определенные трудности со стороны оперативно-следственных и экспертно-криминалистических подразделений МВД РФ, так как согласно Положению «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» ЦБ РФ от 24.12.2004 № 266-П, характеристика платежной карты (кредитная или расчетная) определяется не какими-то внешними параметрами (реквизиты, дизайн, защитные элементы и др.), а договором между клиентом и эмитентом:

Расчетная ( дебетовая ) карта как электронное средство платежа используется для совершения операций ее держателем в пределах расходного лимита — суммы денежных средств клиента, находящихся на его банковском счете, и ( или ) кредита, предоставляемого кредитной организацией — эмитентом клиенту при недостаточности или отсутствии на банковском счете денежных средств ( овердрафт ).

Кредитная карта как электронное средство платежа используется для совершения ее держателем операций за счет денежных средств, предоставленных кредитной организацией — эмитентом клиенту в пределах расходного лимита в соответствии с условиями кредитного договора.

Клиентом кредитной организации может быть юридическое лицо, физическое лицо или индивидуальный предприниматель. В то же время держателем карты всегда является физическое лицо, в том числе и корпоративных карт, поскольку карта — это индивидуализированный инструмент доступа к банковскому счету (в случае корпоративных карт счет принадлежит юридическому лицу).

Положение от 24.12.2004 № 266-П дополнительно определяет предоплаченные карты, которое обособлены от кредитных и расчетных карт.

Предоплаченная карта как электронное средство платежа используется для осуществления перевода электронных денежных средств, возврата остатка электронных денежных средств в пределах суммы предварительно предоставленных держателем денежных средств кредитной организации — эмитенту в соответствии с требованиями Федерального закона № 161-ФЗ.

Таким образом, предоплаченные карты в качестве предмета преступления не попадали под действие статьи 187 УК РФ.

Ранее законодатель не совсем корректно сформулировал статью 187 УК РФ, по смыслу приравняв кредитные и расчетные карты к платежным документам. В действительности же сами карты никакими платежными документами не являются. Если посмотреть нормативные документы Центрального Банка России, то банковская карта — это электронное средство платежа.

Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»:

19 ) электронное средство платежа — средство и ( или ) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств.

То есть собственно карта не является платежным документом. Карта является лишь средством, инструментом осуществления безналичных расчетов. Сама по себе карта имеет незначительную стоимость, ценность представляют денежные средства, к которым с помощью карты можно получить доступ. Этот доступ осуществляется путем направления в банк документов (составленных с использованием платежных карт или их реквизитов) на бумажном носителе и (или) в электронной форме. «При совершении операции с использованием платежной карты составляются документы на бумажном носителе и (или) в электронной форме (далее — документ по операциям с использованием платежной карты). Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и (или) служит подтверждением их совершения».

Никакое торговое предприятие не отпустит товар в обмен на карту, в отличие, например, от денег. Если держатель карты желает оплатить покупку картой, то он предъявляет ее кассиру, который с использованием данной карты формирует электронный или бумажный расчетный (платежный) документ, и карта возвращается клиенту. Данный документ направляется в обслуживающий торговое предприятие банк для возмещения суммы покупки (оплаты платежного документа).

Данная технология кардинально отличается от оборота наличных денежных средств. Действительно, если покупатель хочет расплатиться наличными, то ему придется отдать кассиру свои денежные средства, а не делать, допустим, с них копии, чтобы предложить их в качестве средства оплаты. В связи с этим нельзя приравнивать понятие сбыта поддельных денег, ценных бумаг как их физическое отчуждение к сбыту поддельных кредитных или расчетных карт таким же образом.

Что следует понимать под «сбытом» поддельных кредитных или расчетных карт? Ответ на данный вопрос дает Постановление Пленума ВС РФ от 27.12.07 № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате». И хотя определение понятия «сбыт» в данном документе отсутствует, но квалификация хищения денежных средств путем использования похищенной или поддельной кредитной (расчетной) карты (см. пункт 13) в банкоматах, пунктах выдачи наличных (ПВН) кредитных организаций, торгово-сервисных предприятиях (ТСП) даны либо как кража (статья 158 УК РФ), либо как мошенничество (статья 159 УК РФ). Правоприменительная практика трактует сбыт поддельных кредитных или расчетных карт как переход от одного владельца к другому.

Пункт 14 Постановления ВС РФ от 27.12.2007 № 51 содержит также странное утверждение, которое вызывает некоторое недоумение: «Сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, заведомо непригодных к использованию, образует состав мошенничества и подлежит квалификации по соответствующей части статьи 159 УК РФ».

Кто и на каком этапе уголовного преследования определяет, что карта заведомо непригодная к использованию? Какие карты являются заведомо непригодными к использованию? Кому могут быть сбыты поддельные кредитные либо расчетные карты, в том числе и заведомо непригодные к использованию, если под сбытом понимается физическое отчуждение таких карт?

Помимо того, что в России существуют достаточно большие проблемы собственно с институтом экспертизы поддельных кредитных или расчетных карт, — отсутствует единая, общепринятая методика, отсутствуют экспертно-криминалистические подразделения в структуре МВД с необходимой информационной базой и соответствующими специалистами; непонятно, что Верховный Суд понимает под заведомо непригодной картой. На каждой подлинной банковской карте платежных систем Visa и MasterCard на оборотной стороне карты находится полоса для подписи. Рядом с этой полосой имеется надпись: «без подписи недействительна». Означает ли это, что, если происходит сбыт поддельных кредитных, расчетных карт без подписи, то осуществляется сбыт заведомо непригодных карт? Второй не менее интересный вопрос хотелось бы задать Верховному Суду: кому сбываются или могут быть сбыты заведомо непригодные поддельные кредитные или расчетные карты? Поскольку кредитная или расчетная карта всегда связана с каким-либо договором ведения банковского счета (ссудным, расчетным), то подлинную карту держатель получает от кредитной организации (эмитента), с которой у него заключен договор. А вот оборот (сбыт) поддельных кредитных или расчетных карт происходит вне сферы участников платежных систем. То есть одни криминальные элементы изготавливают поддельные карты, сбывают (продают) их, а другие приобретают и используют. Таким образом, получаем нелепую ситуацию: Верховный Суд защищает интересы преступников — «кардеров», которые собирались купить «пригодные» к использованию поддельные кредитные или расчетные карты, а нехорошие сбытчики их обманули и продали «заведомо непригодные» поддельные карты. Вызывает очень большое сомнение, что в правоохранительные органы когда-либо поступит хотя бы одно заявление по данному факту.

До выхода Постановления ВС РФ от 27.12.2007 № 51 статья 187 УК РФ иногда применялась и в случае использования поддельных расчетных или кредитных карт в торгово-сервисных предприятиях при оплате товаров, работ, услуг; после — только для «фабрик», которые занимались изготовлением и продажей поддельных кредитных, расчетных карт.

После внесения изменений в статью 187 УК РФ Федеральным законом от 08.06.2015 № 153-ФЗ данная статья изменила свое название и стала выглядеть следующим образом:

Статья 187. Неправомерный оборот средств платежей

1. Изготовление, приобретение, хранение, транспортировка в целях использования или сбыта, а равно сбыт поддельных платежных карт, распоряжений о переводе денежных средств, документов или средств оплаты (за исключением случаев, предусмотренных статьей 186 настоящего Кодекса), а также электронных средств, электронных носителей информации, технических устройств, компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет.

Как видим, наказание и часть 2 указанной статьи не измени лись, существенное изменение, кроме названия, претерпела дис позиция части 1.

Интересно, что после принятия данных изменений в Уголов ном кодексе РФ средства массовой информации почему-то ре шили, что они направлены на противодействие скиммингу:

Президент РФ Владимир Путин одобрил Федеральный закон « О внесении изменений в статью 187 Уголовного кодекса Российской Федерации » , предусматривающий введение уголовной ответственности за скимминг.

Скимминг — вид мошенничества, при котором злоумышленники при помощи специального считывающего устройства копируют всю информацию с магнитной полосы карты ( имя владельца, номер карты, окончание срока ее действия, CVV— и CVC-код ) и изготавливают ее дубликат.

Изменения были внесены в статью 187 Уголовного кодекса ( изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов ) , которая теперь носит название « Неправомерный оборот средств платежей ».

Во-первых, приведенное определение скимминга не совсем корректно с точки зрения Уголовного кодекса РФ, так как мошенничество — это хищение чужого имущества или приобретение права на чужое имущество. Под хищением понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества. Как видим, копирование информации с магнитной полосы карты не является хищением имущества, следовательно, не будет являться мошенничеством. Во-вторых, в диспозиции части 1 о неправомерном копировании информации также не упоминается: «предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств». С помощью скиммингового устройства нельзя осуществить прием, выдачу или перевод денежных средств. Можно только неправомерно скопировать важную и конфиденциальную информацию: критичные аутентификационные данные (согласно определению Стандарта безопасности данных индустрии платежных карт PCI DSS). Последующее изготовление и использование поддельных платежных карт скиммингом не является. Также в новой редакции части 1 статьи 187 УК РФ не предусмотрена ответственность за «использование», наказываются только изготовление, приобретение, хранение, транспортировка в целях использования или сбыта и сбыт.

Необходимо отметить, что на этапе рассмотрения Законопроекта № 537952-6 в Государственной Думе РФ действительно одна из поправок предполагала введение уголовной ответственности за скимминг:

Депутат Государственной Думы В. В. Климов : Дополнить статьей 187.1 следующего содержания : « Статья 187.1. Использование технических устройств получения данных владельца платежной карты, необходимых для доступа к его счетам.

1. Неправомерная установка на оборудование кредитной организации, банковского платежного агента ( субагента ) технических устройств, специально приспособленных для негласного фиксирования и сохранения визуальной и ( или ) компьютерной информации, необходимой для идентификации владельца платежной карты и доступа к его счетам, а равно изготовление, приобретение, транспортировка, хранение или сбыт таких технических устройств, наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет.

Примечание. Для целей настоящей статьи под оборудованием кредитной организации, банковского платежного агента ( субагента ) понимается устройство для осуществления в автоматическом режиме ( без участия уполномоченного лица кредитной организации или банковского платежного агента ( субагента ) , осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности ) наличных денежных расчетов и ( или ) расчетов с использованием платежных карт, передачи распоряжений кредитной организации об осуществлении расчетов по поручению физических лиц по их банковским счетам, а также для составления документов, подтверждающих передачу соответствующих распоряжений либо устройство для осуществления наличных денежных расчетов в автоматическом режиме ( без участия уполномоченного лица организации или индивидуального предпринимателя, осуществляющих наличные денежные расчеты )».

Однако Комитет Государственной Думы по гражданскому, уголовному, арбитражному и процессуальному законодательству рекомендовал ее отклонить.

В статье 187 (Неправомерный оборот средств платежей) появились следующие новеллы:

1) платежные карты (ранее были только кредитные и расчетные);

2) изготовление в целях использования поддельных платежных карт (ранее было изготовление только с целью сбыта);

3) приобретение, хранение, транспортировка в целях использования или сбыта (ранее не было);

4) документы (ранее платежные документы, не являющиеся ценными бумагами);

5) новые предметы преступления:

— распоряжения о переводе денежных средств;

— средства оплаты (за исключением случаев, предусмотренных статьей 186 УК РФ: поддельных банковских билетов ЦБ РФ, металлической монеты, государственных ценных бумаг или других ценных бумаг в валюте РФ либо иностранной валюты или ценных бумаг в иностранной валюте);

— электронные средства;

— электронные носители информации;

— технические устройства;

— компьютерные программы.

Хотелось бы обратить внимание на сложность конструкции диспозиции части первой указанной статьи. При ее правоприменительной практике неизбежно возникнет ряд вопросов, которые потребуют дополнительных разъяснений.

Первое — это вопрос терминологии, использованной в статье. Перечислим все указанные в статье предметы преступления:

1) платежные карты;

2) распоряжения о переводе денежных средств;

3) документы;

4) средства оплаты;

5) электронные средства;

6) электронные носители информации;

7) технические устройства;

8) компьютерные программы.

Согласно «Положению об эмиссии платежных карт и об операциях, совершаемых с их использованием» от 24.12.2004 № 266-П ЦБ РФ, которое устанавливает порядок выдачи кредитными организациями на территории Российской Федерации платежных карт и особенности осуществления кредитными организациями операций с платежными картами, эмитентом которых может являться кредитная организация, иностранный банк или иностранная организация, платежные карты называются банковскими картами. Кредитная организация вправе осуществлять эмиссию банковских карт следующих видов: расчетных (дебетовых) карт, кредитных карт и предоплаченных карт, держателями которых являются физические лица, в том числе уполномоченные юридическими лицами, индивидуальными предпринимателями (далее — держатели). Расчетная (дебетовая) карта как электронное средство платежа используется для совершения операций ее держателем в пределах расходного лимита — суммы денежных средств клиента, находящихся на его банковском счете, и (или) кредита, предоставляемого кредитной организацией — эмитентом клиенту при недостаточности или отсутствии на банковском счете денежных средств (овердрафт). Кредитная карта как электронное средство платежа используется для совершения ее держателем операций за счет денежных средств, предоставленных кредитной организацией — эмитентом клиенту в пределах расходного лимита в соответствии с условиями кредитного договора. Предоплаченная карта как электронное средство платежа используется для осуществления перевода электронных денежных средств, возврата остатка электронных денежных средств в пределах суммы предварительно предоставленных держателем денежных средств кредитной организации — эмитенту в соответствии с требованиями Федерального закона № 161-ФЗ.

Часть первая статьи 862 (Формы безналичных расчетов) Гражданского кодекса Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ указывает, что «при осуществлении безналичных расчетов допускаются расчеты платежными поручениями, по аккредитиву, чеками, расчеты по инкассо, а также расчеты в иных формах, предусмотренных законом, установленными в соответствии с ним банковскими правилами и применяемыми в банковской практике обычаями делового оборота».

Пункт 3.9 «Положения о платежной системе Банка России» от 29.06.2012 № 384-П уточняет: «Перевод денежных средств осуществляется в рамках следующих форм безналичных расчетов: расчетов платежными поручениями, расчетов инкассовыми поручениями и расчетов в форме перевода денежных средств по требованию получателя средств (прямое дебетование). При осуществлении перевода денежных средств применяются платежные поручения (в том числе платежные поручения на общую сумму с реестром), инкассовые поручения, платежные требования, платежные ордера в соответствии с Положением Банка России № 383-П».

Пункт 1.1 «Положения о правилах осуществления перевода денежных средств» от 19.06.2012 № 383-П ЦБ РФ устанавливает, что «перевод денежных средств осуществляется в рамках следующих форм безналичных расчетов: расчетов платежными поручениями; расчетов по аккредитиву; расчетов инкассовыми поручениями; расчетов чеками; расчетов в форме перевода денежных средств по требованию получателя средств (прямое дебетование); расчетов в форме перевода электронных денежных средств. Перевод электронных денежных средств осуществляется в соответствии с законодательством и договорами с учетом требований настоящего Положения».

Пункт 1.11 Положения № 383-П ЦБ РФ предписывает: «Распоряжения, для которых настоящим Положением не установлены перечень реквизитов и формы, составляются отправителями распоряжений с указанием установленных банком реквизитов, позволяющих банку осуществить перевод денежных средств, и по формам, установленным банком или получателем средств по согласованию с банком. Данные распоряжения применяются в рамках форм безналичных расчетов, предусмотренных пунктом 1.1 настоящего Положения, и должны содержать наименования распоряжений, отличные от указанных в пункте 1.10 настоящего Положения.

Положения настоящего пункта распространяются на заявления, уведомления, извещения, запросы, ответы, составляемые в случаях, предусмотренных настоящим Положением, на заявления, составляемые в соответствии с федеральным законом в целях взыскания денежных средств.

Положения настоящего пункта распространяются на составляемые юридическим лицом в электронном виде или на бумажном носителе распоряжения о получении наличных денежных средств с банковского счета юридического лица при недостаточности денежных средств на его банковском счете».

Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» дает следующие определения:

— электронные денежные средства — денежные средства, которые предварительно предоставлены одним лицом ( лицом, предоставившим денежные средства ) другому лицу, учитывающему информацию о размере предоставленных денежных средств без открытия банковского счета ( обязанному лицу ) , для исполнения денежных обязательств лица, предоставившего денежные средства, перед третьими лицами и в отношении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа. При этом не являются электронными денежными средствами денежные средства, полученные организациями, осуществляющими профессиональную деятельность на рынке ценных бумаг, клиринговую деятельность и ( или ) деятельность по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами и осуществляющими учет информации о размере предоставленных денежных средств без открытия банковского счета в соответствии с законодательством, регулирующим деятельность указанных организаций ;

— электронное средство платежа — средство и ( или ) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств.

В части 1 статьи 5 данного Федерального закона указано:

Оператор по переводу денежных средств осуществляет перевод денежных средств по распоряжению клиента ( плательщика или получателя средств ) , оформленному в рамках применяемой формы безналичных расчетов ( далее — распоряжение клиента ).

При многообразии терминов и определений практически получается, что определение «электронное средство платежа» включает в себя и платежные карты, и распоряжения о переводе денежных средств, и средства оплаты, и электронные средства, и электронные носители информации, и технические устройства. Получается, что все предметы преступления, указанные в статье 187 УК КФ, кроме документов и компьютерных программ, могут быть определены термином «электронное средство платежа». В таком случае неясно, зачем законодатель обозначил такое множество предметов преступления. Если под данными терминами понималось нечто иное, чем «электронное средство платежа», то необходимо пояснение указанных предметов преступления. Дополнительно, неясность представляют и «документы», указанные в диспозиции части 1 рассматриваемой статьи. Так как термин не определен, то толкование его, с одной стороны, может быть очень расширенным, а с другой — трудно определяемым, то есть невозможно будет вменить конкретное деяние. Однако, как уже было указано, Положение ЦБ РФ № 266-П вводит понятие документа по операциям с использованием платежной карты, который является основанием для осуществления расчетов или служит подтверждением их совершения.

Достаточную неопределенность имеют и признаки предметов преступления и цели противоправного деяния.

Слово «поддельных» относится:

— только к картам, распоряжениям о переводе денежных средств, документам, средствам оплаты;

— или к картам, распоряжениям о переводе денежных средств, документам, средствам оплаты, электронным средствам, электронным носителям информации, техническим устройствам, компьютерным программам?

Слова «предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств» относятся:

— только к электронным средствам, электронным носителям информации, техническим устройствам, компьютерным программам;

— или к электронным средствам, электронным носителям информации, техническим устройствам, компьютерным программам, картам, распоряжениям о переводе денежных средств, документам, средствам оплаты?

При этом указанный признак подделки может по-разному сочетаться и с предметами, и с целью.

Даже сам по себе вопрос определения поддельности только платежных карт является довольно сложным. Какая платежная карта является поддельной? Возможен материальный подлог, который может быть двух видов: 1) полная подделка — карта, выпущенная (эмитированная) не эмитентом и не платежной системой, но имеющая такие технические характеристики и (или) внешний вид, которые позволили бы ее использование в безналичных расчетах; и 2) частичная подделка — карта, выпущенная эмитентом (платежной системой) и несанкционированно модифицированная таким образом, что позволило бы ее использование в безналичных расчетах. Также имеет место и интеллектуальный подлог, когда карта выпущена эмитентом (платежной системой), но осуществлено искажение истины (несанкционированный дубликат карты, карта выпущена на несуществующее лицо и др.). Данные признаки довольно сложно установить в рамках следственных действий, поскольку в некоторых случаях требуется проведение исследований, экспертиз и (или) специальных познаний.

Если же признак подделки относится ко всем предметам преступления (к картам, распоряжениям о переводе денежных средств, документам, средствам оплаты, электронным средствам, электронным носителям информации, техническим устройствам, компьютерным программам), то получается, что уголовная ответственность предусмотрена за изготовление, приобретение, хранение, транспортировку в целях использования или сбыта, а равно сбыт поддельных компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи перевода денежных средств. Что такое поддельная компьютерная программа, предназначенная для неправомерного осуществления приема, выдачи, перевода денежных средств? — Непонятно, как это устанавливать в рамках следственных действий. А если компьютерная программа предназначена для неправомерного осуществления приема, выдачи перевода денежных средств, но не является поддельной, уголовная ответственность отсутствует? Как устанавливать признак поддельности для электронных средств, электронных носителей информации, технических устройств, компьютерных программ?

Если признак подделки относится только к картам, распоряжениям о переводе денежных средств, документам, средствам оплаты, то опять имеем некоторое противоречие. Получается, что уголовная ответственность предусмотрена за изготовление, приобретение, хранение, транспортировку в целях использования или сбыта, а равно сбыт электронных средств, электронных носителей информации, технических устройств, компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи перевода денежных средств, которые при этом не являются поддельными? Но согласно Федеральному закону «О национальной платежной системе» № 161-ФЗ понятие электронных носителей информации включает в себя и платежные карты. То есть если платежная карта является поддельной, то данный электронный носитель информации также является поддельным.

Новая редакция статьи 187 УК РФ предполагает уголовную ответственность за изготовление, приобретение, хранение, транспортировку в целях использования или сбыта, ответственности же за собственно использование поддельных платежных карт, распоряжений о переводе денежных средств, документов или средств оплаты, а также электронных средств, электронных носителей информации, технических устройств, компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств, — нет.

Принятие Законопроекта № 537952-6 «О внесении изменений в статью 187 Уголовного кодекса Российской Федерации» напоминало известное крылатое выражение «казнить нельзя помиловать». Ситуация была связана с наличием или отсутствием запятой между словами «выдачи перевода» («… предназначенных для неправомерного осуществления приема, выдачи перевода денежных средств, — »).

В тексте внесенного законопроекта запятая между указанными словами отсутствовала, а в пояснительной записке к законопроекту была. В тестах законопроекта к первому, второму и третьему чтению запятая также отсутствовала. Именно в таком виде — «… предназначенных для неправомерного осуществления приема, выдачи перевода денежных средств, — » — законопроект и был принят Государственной Думой.

Указанная запятая значительно меняет смысл диспозиции части первой статьи 187 УК РФ. Если запятая отсутствует, то предметы преступления предназначены для неправомерного осуществления приема, выдачи перевода денежных средств. Получается, что для неправомерного осуществления только выдачи (например, для получения наличных денежных средств в банкомате с использованием поддельной платежной карты) или только перевода денежных средств (например, для оплаты в ТСП с использованием поддельной платежной карты) уголовная ответственность не предусмотрена.

Только при прохождении законопроекта в Совете Федерации РФ в заключении Правового управления Аппарата Совета Федерации было отмечено: «Обращаем внимание, что диспозиция части первой статьи 187 УК РФ содержит указание на расчетную операцию “приема, выдачи перевода денежных средств”. На наш взгляд, указанная формулировка содержит неточность. По нашему мнению, речь должна идти об операциях приема, выдачи, перевода денежных средств». В результате в законопроект, принятый Государственной Думой, было внесено изменение (между словами «выдачи» и «перевода» поставлена запятая) и в таком виде его подписал Президент Российской Федерации. Такой порядок принятия законов не предусмотрен Конституцией РФ.

На обозначенные выше проблемы неоднократно указывалось в ходе рассмотрения Законопроекта № 537952-6 в Государственной Думе РФ. Приведем несколько заключений Правового управления, направленных в Комитет Государственной Думы по гражданскому, уголовному, арбитражному и процессуальному законодательству.

Заключение по проекту Федерального закона от 06.10.2014 № 537952-6:

Текст новой редакции части первой статьи 187… нуждается в уточнении.

Так, используемый в данной проектной норме термин « электронные средства » следует привести в соответствие с терминологией законодательства Российской Федерации, в том числе Федерального закона от 27 июня 2011 № 161-ФЗ «О национальной платежной системе » ( далее — Федеральный закон № 161-ФЗ ) — электронные средства платежа.

Кроме того, анализ положений Федерального закона № 161-ФЗ, в частности пункта 19 статьи 3 и части 2 статьи 301, позволяет сделать вывод о том, что платежные карты являются и электронными носителями информации, и электронными средствами платежа. В этой связи не совсем корректна формулировка проекта об установлении ответственности за соответствующие действия в отношении « поддельных платежных карт… а также электронных средств, электронных носителей информации ».

Также следует уточнить характер документов, о которых идет речь в указанной проектной норме.

Заключение от 28 января 2015 г.:

Нуждается в корректировке текст новой редакции части первой статьи 187… поскольку в соответствии с пунктом 19 статьи 3 и частью 2 статьи 30 Федерального закона от 27 июня 2011 № 161-ФЗ « О национальной платежной системе » … платежные карты являются одновременно и электронными носителями информации, и электронными средствами платежа.

В проектной редакции части 1 статьи 187 УК РФ вместо термина « иные платежные документы, не являющиеся ценными бумагами » , используется формулировка « распоряжения о переводе денежных средств, документы или средства оплаты ( за исключением случаев, предусмотренных статьей 186 настоящего Кодекса )» . Следует иметь в виду, что в соответствии с пунктами 1.10-1.12 Положения о правилах перевода денежных средств ( утв. Банком России 19 июня 2012 № 383-П ) к распоряжениям о переводе денежных средств относятся не только платежные документы — платежные поручения, инкассовые поручения, платежные требования, платежные ордера, банковские ордера, но и не являющиеся платежными документами заявления, уведомления, извещения, запросы, ответы на заявления, составляемые юридическим лицом в электронном виде или на бумажном носителе распоряжения о получении наличных денежных средств с банковского счета юридического лица при недостаточности денежных средств на его банковском счете.

В этой связи отсутствие в тексте проектной редакции части 1 статьи 187 УК РФ каких-либо уточняющих положений, касающихся характера документов, за изготовление с целью сбыта и ( или ) сбыт которых предлагается установить уголовную ответственность, не позволяет определить, о каких документах идет речь в данной норме, и допускает произвольно широкое толкование понятия « документы » в связи с неопределенностью его содержания для целей указанной статьи УК РФ.

Замечание аналогичного характера вызывает и формулировка « средства оплаты ( за исключением случаев, предусмотренных статьей 186 настоящего Кодекса )» , при этом отмечаем некорректность данной формулировки, поскольку каких-либо случаев статья 186 УК РФ не предусматривает.

На наш взгляд, нуждается в уточнении также понятие « электронные средства » , предназначенные для неправомерного осуществления приема, выдачи, перевода денежных средств, поскольку законодательство Российской Федерации не содержит определения такого понятия. Если же рассматривать так называемые электронные средства как средства и ( или ) способы, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов ( пункт 19 статьи 3 Федерального закона № 161-АР ) , то по существу такие « электронные средства, технические устройства… » будут являться средствами изготовления « поддельных платежных карт, распоряжений о переводе денежных средств » и т. д., то есть способом совершения преступления, предусмотренного частью 1 статьи 187 УК РФ.

При таком подходе к изложению диспозиции части 1 статьи 187 УК РФ указанную статью УК РФ необходимо дополнить примечанием, в котором определить, что понимается под тем или иным понятием для целей этой статьи УК РФ.

Кроме того, вряд ли можно признать обоснованным отнесение такой цели, как неправомерное осуществление приема, выдачи, перевода денежных средств, исключительно к изготовлению в целях сбыта или сбыту электронных средств, электронных носителей информации, технических устройств и компьютерных программ. Очевидно, что поддельные платежные карты, поддельные распоряжения о переводе денежных средств изготавливаются с той же целью.

Предлагаемая редакция рассматриваемой нормы УК РФ не позволяет однозначно определить, относится ли признак подделки только к платежным картам, распоряжениям о переводе денежных средств, документам и средствам оплаты, или же в том числе и к электронным средствам, электронным носителям информации и т. д. Тем более что электронный носитель информации в виде платежной карты может подлежать подделке.

…Предлагаемая редакция части 1 статьи 187 УК РФ не отвечает требованию определенности правовой нормы и нуждается в доработке.

Заключение от 3 апреля 2015 г. аналогично заключению от 28 января 2015 г.

Несмотря на все направленные замечания, закон был принят без их устранения.

Однако, несмотря на перечисленные недостатки, новая норма имеет положительные свойства, которые усиливают уголовную ответственность в сфере платежных технологий и позволят правоохранительным органам эффективнее бороться с преступностью.

Если рассматривать поддельные платежные карты, то ранее существовали определенные пробелы в законодательстве, которые позволяли избежать уголовного наказания либо получить небольшое, не связанное с лишением свободы.

Не являлись уголовным преступлением:

1. Изготовление с целью сбыта и сбыт поддельных предоплаченных платежных (в том числе банковских) карт.

2. Изготовление поддельных банковских расчетных либо кредитных карт для использования в целях совершения неквалифицированного мошенничества с использованием платежных карт, группой лиц по предварительному сговору, с причинением значительного ущерба гражданину, с использованием своего служебного положения, в крупном размере.

3. Изготовление поддельных банковских расчетных либо кредитных карт для использования в целях совершения неквалифицированной кражи, группой лиц по предварительному сговору, с причинением значительного ущерба гражданину.

4. В связи с отсутствием информации от иностранных банков невозможно квалифицировать как преступное действие изготовление поддельных банковских расчетных либо кредитных карт иностранных банков-эмитентов в целях хищения чужих денежных средств, в крупном (кража) или особо крупном размере (кража, мошенничества с использованием платежных карт).

В случае предъявления поддельной карты для оплаты в торгово-сервисном предприятии данные действия можно было квалифицировать только как покушение на мошенничество с использованием платежных карт. Срок или размер наказания за покушение на преступление не может превышать трех четвертей максимального срока или размера наиболее строгого вида наказания, предусмотренного соответствующей статьей Особенной части настоящего Кодекса за оконченное преступление (статья 66 УК РФ). Максимальное наказание по части 1 статьи 159.3 — арест на срок до четырех месяцев. Приготовление к указанному виду преступления не подлежит уголовной ответственности, так как уголовная ответственность наступает за приготовление только к тяжкому и особо тяжкому преступлениям (статья 30 УК РФ).

После внесения изменений в статью 187 УК РФ ситуация значительно изменилась. Наказание за использование поддельных платежных карт данная статья не предусматривает. Но в случае предъявления такой карты в магазине можно будет вменить изготовление либо приобретение поддельной карты, ее хранение и транспортировку (до магазина) в целях использования (предъявление для оплаты). Состав преступления формальный (не требует наступления общественно опасных последствий) и будет окончен еще до предъявления карты, хотя именно предъявление карты к оплате объективно доказывает цель использования. При этом максимальное наказание составляет до шести лет лишения свободы. Преступление является тяжким и даже за приготовление к нему предусмотрена уголовная ответственность (не более половины максимального срока или размера наиболее строгого вида наказания, предусмотренного соответствующей статьей Особенной части настоящего Кодекса за оконченное преступление — статья 66 УК РФ). Аналогичная ситуация складывается и с «белым пластиком», используемым для снятия наличных денежных средств в банкоматах. Сам факт хранения «белого пластика» с целью его использования для снятия наличных будет являться оконченным составом преступления по статье 187 УК РФ.

В последнее время получили распространение атаки на банкоматы, связанные с установкой на них вредоносного программного обеспечения, которое позволяет злоумышленнику отдать команду на неавторизованную выдачу наличных денежных средств (прямой диспенс). Изготовление, приобретение, хранение, транспортировка таких компьютерных программ в целях использования (но не само по себе использование), сбыта или сбыт будет также составлять объективную сторону преступления по статье 187 УК РФ.

Как уже было указано ранее, данная редакция статьи 187 УК РФ не предусматривает уголовной ответственности за скимминг. Но цель скимминга — неправомерное получение критичных аутентификационных данных с целью изготовления поддельных платежных карт. Данные действия могут быть квалифицированы как приготовление к преступлению по статье 187 УК РФ, но необходимо обратить внимание, что в данном случае цель изготовления поддельных карт необходимо будет доказать.

Рассмотрим еще одну составляющую объективной стороны преступления, которую можно выделить из диспозиции части 1 статьи 187 УК РФ. «Изготовление… в целях использования или сбыта, а равно сбыт поддельных… распоряжений о переводе денежных средств, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств».

Подлог : ложь, извращение и сокрытие истины в формально правильном правительственном или частном акте ( например, совершение акта задним числом, составление акта от вымышленного лица и т. д. ) [99] .

Подделка документов — в уголовном праве родовое понятие, обозначающее изготовление подложных документов путем полной фальсификации документа или фальсификации отдельных его элементов. Иногда подделку документов обозначают термином « подлог » [100] .

Подлог — материализованное ( овеществленное ) искажение истины, то есть не соответствующие действительности сведения, выраженные в объективной форме на определенных носителях информации [101] .

Фальсификация ( лат. — подделывать ) — 1 ) подделывание чего-либо ; искажение, подмена чего-либо подлинного ложным, мнимым [102] .

На основании изложенного можно сделать вывод, что поддельным распоряжением о переводе денежных средств может быть подлинное распоряжение, в которое были внесены несанкционированные изменения. А также поддельным распоряжением о переводе денежных средств может быть и формально подлинное распоряжение, но изготовленное несанкционированно, то есть без волеизъявления правомочного лица (держателя карты, клиента банка, уполномоченного представителя юридического или физического лица и др.). В последнем случае речь идет об интеллектуальном подлоге.

Приведем примеры изготовления поддельных распоряжений о переводе денежных средств.

Выше уже упоминалось определение:

Электронное средство платежа — средство и ( или ) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств.

Следовательно, с использованием электронных носителей информации в качестве которых применяются платежные карты можно составить, удостоверить (изготовление) и передать (использование) распоряжение о переводе денежных средств.

Положение 266-П ЦБ РФ

3.1. При совершении операции с использованием платежной карты составляются документы на бумажном носителе и ( или ) в электронной форме ( далее — документ по операциям с использованием платежной карты ) . Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и ( или ) служит подтверждением их совершения.

Если в данном случае будет использована поддельная, утраченная карта либо неправомерно использованы реквизиты платежной карты (интернет-операция), то такое распоряжение будет являться поддельным (интеллектуальный подлог). Так как распоряжение изготовлено без ведома держателя карты, то перевод денежных средств будет неправомерным. Получаем объективную сторону преступления, предусмотренного частью 1 статьи 187 УК РФ.

В последнее время большое распространение получила криминальная деятельность по взлому и несанкционированным операциям в системах интернет-банка и мобильного банка. Так как в указанных системах также формируются (изготавливаются) и направляются в банки для исполнения (используются) распоряжения о переводе денежных средств (на основании которых денежные средства списываются со счетов клиентов) и такие операции являются не санкционированными клиентами (неправомерными), то и в данном случае будет иметь место объективная сторона статьи 187 УК РФ. При этом сумма похищенного, а также успешность перевода на квалификацию не влияют, преступление будет окончено на момент направления в банк такого распоряжения.

Отграничение преступных деяний, заключающихся в «изготовлении в целях использования поддельных… распоряжений о переводе денежных средств, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств», от кражи и мошенничества происходит по объекту преступления и моменту окончания преступления. «Изготовление поддельных распоряжений» совершается в сфере экономической деятельности и отличается от объекта, предусмотренного статьями 158, 159.3 и 159.6 УК РФ — общественных отношений к собственности. Конечная цель изготовления и использования поддельных распоряжений — хищение денежных средств. Однако общественная опасность данного действия (момент окончания преступления) наступает гораздо раньше собственно хищения и на первоначальном этапе направлена на другой объект общественных отношений — легитимность безналичных расчетов.

Пункт 12 Постановления Пленума Верховного Суда РФ от 27.12.2007 № 51 указывает, что «как мошенничество квалифицируется безвозмездное обращение лицом в свою пользу или в пользу других лиц денежных средств, находящихся на счетах в банках… В указанных случаях преступление следует считать оконченным с момента зачисления этих средств на счет лица, которое путем обмана или злоупотребления доверием изъяло денежные средства со счета их владельца, либо на счета других лиц, на которые похищенные средства поступили в результате преступных действий виновного». При этом часть 2 статьи 152 УПК РФ говорит: «Если преступление было начато в одном месте, а окончено в другом месте, то уголовное дело расследуется по месту окончания преступления». Следствием этого является следующая ситуация: если из банка похищено 6 млн рублей путем перечисления частями по 1 млн рублей в другие различные банки, то вместо возбуждения уголовного дела по части 4 статьи 159.3 (6) УК РФ максимальное наказание в виде лишения свободы на срок до 10 лет необходимо возбудить шесть уголовных дел (по месту расположения банков, в которые перечислены денежные средства), при этом по части 1 статьи 159.3 (6) УК РФ максимальное наказание всего 4 месяца ареста.

В связи с изменением статьи 187 УК РФ действия по изготовлению поддельных распоряжений будут окончены с момента направления таких распоряжений в банк, местом окончания преступления будет АРМ (автоматизированное рабочее место) клиента, а максимальным наказанием — шесть лет лишения свободы. Хищение денежных средств, которое было осуществлено в результате использования (направления в банк) поддельных распоряжений, необходимо дополнительно квалифицировать по совокупности преступлений (статья 17 УК РФ).

Внесение изменений в статью 187 УК РФ может побудить некоторые банки в срочном порядке внести изменения в свои внутренние документы и договоры с торгово-сервисными предприятиями. Дело с том, что стандартными условиями таких договоров является обязанность работника ТСП при выявлении поддельной карты изъять ее и передать сотруднику банка. Что обусловлено требованиями международных платежных систем. Например, «Правила платежной системы “Виза” по осуществлению операций на территории Российской Федерации» содержат раздел «Требования к возврату изъятых платежных карт», в котором указано: «Требования и процедуры изъятия платежных карт изложены в Операционных правилах платежной системы Visa International. ID#: 010113-010113-000262R». В связи с изменившимся уголовным законодательством сотрудникам торговли и банка могут быть инкриминированы действия по хранению и транспортировке поддельных платежных карт. Поэтому в случае изъятия поддельных платежных карт сотрудниками торговых предприятий данные карты должны передаваться не в банки, а в правоохранительные органы.

Наиболее распространенные преступления в сфере платежных карт:

— использование поддельных карт;

— незаконное использование подлинных карт (без санкции держателя);

— незаконное использование реквизитов карт (Интернет, МО/ТО);

— незаконное использование конфиденциальной информации (скимминг, фишинг, др.).

Рассмотрим, по каким статьям Уголовного кодекса можно квалифицировать данные действия.

Схематично преступные деяния в области поддельных платежных карт можно разбить на три блока (таблица 4.4).

Таблица 4.4. Классификация преступных деяний в области поддельных платежных карт

Квалификацию незаконных действий с реквизитами карт в среде Интернет можно разбить на два блока, так как в данном случае отсутствует этап изготовления поддельных карт (таблица 4.5).

Таблица 4.5. Квалификация незаконных действий с реквизитами карт в среде Интернет

Рассмотрим статьи 138.1, 165, 183, 272, 273 УК РФ.

Статья 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного получения информации

Незаконные производство, приобретение и (или) сбыт специальных технических средств, предназначенных для негласного получения информации, — наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, л ибо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

Статья 165. Причинение имущественного ущерба путем обмана или злоупотребления доверием

1. Причинение имущественного ущерба собственнику или иному владельцу имущества путем обмана или злоупотребления доверием при отсутствии признаков хищения, совершенное в крупном размере, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет либо принудительными работами на срок до двух лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до двух лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев или без такового и с ограничением свободы на срок до одного года или без такового.

2. Деяние, предусмотренное частью первой настоящей статьи:

а) совершенное группой лиц по предварительному сговору либо организованной группой;

б) причинившее особо крупный ущерб, — наказывается принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев или без такового и с ограничением свободы на срок до двух лет или без такового.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну

1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом — наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, — наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.

3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.

Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей.

Статья 273. Создание, использование и распространение вредоносных компьютерных программ

1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.

В таблице 4.6 приведено максимальное наказание, предусмотренное по части 1 (неквалифицированные преступления) и по максимально квалифицированной части.

Таблица 4.6. Меры наказания за противозаконные деяния в сфере платежных карт

Анализ показывает, что законодатель не видит большой общественной опасности, кроме статьи 187 УК РФ (Фабрики), в противозаконных деяниях в сфере платежных карт. Только максимально квалифицированные преступления признаются тяжкими. Но чтобы предъявить такое обвинение, следствию необходимо обладать определенными доказательствами, которые зачастую можно получить только в рамках оперативно-следственных мероприятий по уже возбужденному уголовному делу. Первоначальное выявление преступления, как правило, дает основания возбудить уголовное дело по неквалифицированной части соответствующей статьи Уголовного кодекса. И только потом, в ходе расследования уголовного дела могут появиться доказательства, дающие основания изменить квалификацию на более тяжкую статью (часть) УК РФ.

Рассмотрим вопросы квалификации несанкционированного использования платежных карт или их реквизитов, а также использования поддельных платежных карт.

По статье 158 УК РФ (Кража) квалифицируются хищения денежных средств из банкомата при помощи утраченных (утерянных, украденных, временно выбывших из владения законного держателя) или поддельных платежных карт. Решение о квалификации деяний в пользу кражи мотивируется тем, что отсутствует лицо (человек), которое вводится в заблуждение (обман), так как банкомат (механизм) нельзя обмануть.

По статье 159.3 УК РФ (Мошенничество с использованием платежных карт) квалифицируется приобретение товаров в торгово-сервисных предприятиях или получение денежных средств в пунктах выдачи наличных с использованием утраченных или поддельных платежных карт. Обязательными признаками данного преступления являются наличие платежной карты (вещь), а также обман уполномоченного работника (человека).

По статье 159.3 УК РФ (Мошенничество в сфере компьютерной информации) квалифицируется приобретение товаров в интернет-магазинах посредством использования похищенных реквизитов платежных карт; перевод денежных средств законного держателя платежной карты в электронные (безналичные) системы финансовых расчетов в Интернете для дальнейшего их использования или обналичивания; хищение безналичных денежных средств со счетов держателей (ДБО). Интересным моментом в данной статье является то, что законодатель исключил из нее признаки обмана, злоупотребления доверием либо предоставления ложных сведений. Хищение чужого имущества или приобретение права на чужое имущество осуществляется путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей. Представляется, что под квалификацию по данной статье должны были бы попадать и хищения из банкоматов, что приводит к коллизии (противоречию) с Постановлением ВС РФ от 27.12.07 № 51. Как было указано выше, уголовная ответственность по статье 158 УК РФ (Кража) значительно больше. Данное обстоятельство, возможно, в будущем будет иметь серьезные последствия.

Часть 3 статьи 49 Конституции РФ

Неустранимые сомнения в виновности лица толкуются в пользу обвиняемого.

Часть 3 статьи 14 УПК РФ. Презумпция невиновности

Все сомнения в виновности обвиняемого, которые не могут быть устранены в порядке, установленном настоящим Кодексом, толкуются в пользу обвиняемого.

Таким образом, сомнения при толковании закона, его применении должны решаться в пользу лица, в отношении которого применяется закон, и если содеянное предусмотрено одновременно несколькими нормами, предусматривающими улучшение положения обвиняемого, то применяется та, которая в наибольшей мере благоприятна для лица.

По статье 165 УК РФ (Причинение имущественного ущерба путем обмана или злоупотребления доверием) квалифицируются деяния, когда совершается причинение имущественного ущерба собственнику или иному владельцу имущества путем обмана или злоупотребления доверием при отсутствии признаков хищения. Способ совершения данного преступления (обман, злоупотребление доверием) аналогичен способу, используемому при мошенничестве. Однако преступление, предусмотренное данной статьей, характеризуется отсутствием признаков хищения (изъятие имущества). Так как отсутствует предмет хищения, который всегда материален (физический признак). В случае признания потерпевшим телефонной компании, гостиницы, компании по аренде автомобиля, продаже авиа— и ж/д билетов и др., то есть торгового предприятия, которое предоставляет услуги или выполняет работы, квалификация осуществляется по статье 165 УК РФ. Максимальное наказание предусматривает лишение свободы на срок до пяти лет, что в два раза меньше, чем максимальное наказание по статьям 158, 159.3, 159.6 УК РФ. По части 1 статьи 165 УК РФ ответственность наступает только за ущерб в крупном размере (больше 250 000 рублей).

Помимо уголовной ответственности за небольшие хищения предусмотрена административная ответственность.

Статья 7.27 КоАП РФ. Мелкое хищение

Мелкое хищение чужого имущества путем кражи, мошенничества, присвоения или растраты при отсутствии признаков преступлений, предусмотренных частями второй, третьей и четвертой статьи 158, частями второй, третьей и четвертой статьи 159, частями второй, третьей и четвертой статьи 159.1, частями второй, третьей и четвертой статьи 159.2, частями второй, третьей и четвертой статьи 159.3, частями второй и третьей статьи 159.4, частями второй, третьей и четвертой статьи 159.5, частями второй, третьей и четвертой статьи 159.6 и частями второй и третьей статьи 160 Уголовного кодекса Российской Федерации.

Примечание. Хищение чужого имущества признается мелким, если стоимость похищенного имущества не превышает одну тысячу рублей.

Хищение непосредственно платежных карт, по сути не имеющих стоимости, но предоставляющих возможность получения денежных средств, не формирует состава кражи (преступление является малозначительным), но, возможно, будет являться приготовлением к хищению.

Как видно из анализа статей Уголовного кодекса, при постоянстве объективной стороны преступления, в зависимости от того, кто признан потерпевшим, изменяется субъективная сторона, умысел, а также следствие и квалификация преступления. При этом потерпевшим может быть любой участник расчетов (ТСП, эквайрер, эмитент, держатель). Также важное значение имеет и предмет хищения, что похищено: товар, наличные, безналичные денежные средства; у кого похищен товар или денежные средства, либо признаки хищения отсутствуют.

Поясним это на нескольких схематичных примерах:

1. С использованием поддельной карты осуществлены операции в торговом предприятии на сумму больше 2500 рублей, но меньше 1 500 000 рублей. Если потерпевшим признан банк, то квалификация наступает по части 1 статьи 159.3 УК РФ (при отсутствии других квалифицирующих признаков — группы лиц, использования служебного положения, организованной группы). Максимальное наказание — до 4 месяцев ареста. Если потерпевшим признан держатель карты (с причинением значительного ущерба гражданину), то квалификация наступает по части 2 статьи 159.3 УК РФ. Максимальное наказание — лишение свободы до 4 лет.

2. С использованием поддельной карты осуществлены операции по приобретению авиабилетов на сумму от 2500 рублей до 250 000 рублей. Если потерпевшим признан держатель карты (с причинением значительного ущерба гражданину), то квалификация наступает по части 2 статьи 159.3 УК РФ. Максимальное наказание — лишение свободы до 4 лет. Если потерпевшим признано ТСП, то данное действие является административным правонарушением, квалификация наступает по статье 7.27.1 КоАП РФ. Максимальное наказание — административный штраф в размере до пятикратной стоимости причиненного ущерба, но не менее 5000 рублей.

3. С использованием поддельной карты осуществлены операции по приобретению авиабилетов на сумму от 1 млн рублей до 1,5 млн рублей. Если потерпевшим признан банк, то квалификация наступает по части 1 статьи 159.3 УК РФ (при отсутствии других квалифицирующих признаков — группы лиц, использования служебного положения, организованной группы). Максимальное наказание — до 4 месяцев ареста. Если потерпевшим признано ТСП, то квалификация наступает по части 2 статьи 165 УК РФ. Максимальное наказание — лишение свободы до 5 лет.

4. С использованием поддельной карты осуществлены операции по приобретению авиабилетов на сумму свыше 6 млн рублей. Если потерпевшим признан банк, то квалификация наступает по части 4 статьи 159.3 УК РФ. Максимальное наказание — до 10 лет лишения свободы. Если потерпевшим признано ТСП, то квалификация наступает по части 2 статьи 165 УК РФ. Максимальное наказание — лишение свободы до 5 лет.

Рассмотрим, какие же сложности возникают при квалификации преступления по данным статьям Уголовного кодекса РФ.

Обобщенная технология осуществления расчетов с использованием платежных карт (получение наличных в банкомате) такова:

1. Держатель, используя свою платежную карту, в банкомате формирует расчетный документ (в электронном виде) и направляет этот документ в банк-эквайрер.

2. Получив разрешение от эмитента, эквайрер выдает наличные денежные средства держателю.

3. Эквайрер через платежную систему (ее расчетный банк) направляет расчетный документ в банк-эмитент.

4. Расчетный банк списывает средства со счета банка-эмитента и зачисляет их на счет банка-эквайрера.

5. На основании полученного документа эмитент производит списание со счета владельца (в случае дебетовой карты) или выставляет клиенту счет (при кредитной карте).

6. В случае несанкционированной операции в банкомате действие необходимо квалифицировать согласно Постановлению ВС РФ от 27.12.2007 № 51 по статье 158 УК РФ.

Причинение ущерба собственнику или иному владельцу является обязательным признаком хищения. Иными словами, если нет ущерба, то нет и преступления (кражи). В случае наличия несанкционированных операций по банковским картам иностранных эмитентов в эквайринговой сети российских банков некоторые банки-эквайреры не заявляют о причиненном им ущербе, если на основании правил платежных систем они получили возмещение по данным операциям и финансовая ответственность была возложена на эмитентов. Поскольку нет ущерба, то правоохранительные органы не возбуждают уголовные дела и уголовное преследование и наказание виновных лиц не происходит. Такое положение порождает элемент безнаказанности в преступной среде.

Статья 9 УК РФ. Действие уголовного закона во времени

2. Временем совершения преступления признается время совершения общественно опасного действия (бездействия) независимо от времени наступления последствий.

Постановление ВС РФ от 27.12.2007 № 51

Мошенничество, то есть хищение чужого имущества, совершенное путем обмана или злоупотребления доверием, признается оконченным с момента, когда указанное имущество поступило в незаконное владение виновного или других лиц и они получили реальную возможность (в зависимости от потребительских свойств этого имущества) пользоваться или распорядиться им по своему усмотрению.

Рассмотрим типичную ситуацию: злоумышленник использовал поддельные карты («белый пластик») иностранных эмитентов в банкоматах российских банков, перенос ответственности отсутствует, по правилам платежных систем ответственность возложена на эмитентов. Похищаемое имущество, то есть наличные денежные средства, поступают в незаконное владение злоумышленника, и он получает реальную возможность ими пользоваться после выдачи денежных средств банкоматом. Момент окончания преступления — получение наличных денежных средств. Данные наличные денежные средства принадлежат эквайреру. Следовательно, на момент окончания преступления ущерб нанесен эквайреру. Возмещение ущерба эмитентом осуществляется уже в рамках гражданских правоотношений (правила МПС — гражданско-правовой договор).

В случае хищения денежных средств через банкомат умысел злоумышленника направлен на хищение суммы, выданной банкоматом. То есть при вменении похищенной суммы не учитываются банковские комиссии и конвертация осуществляется по курсу ЦБ РФ. Например, эмитент может взыскать полную сумму ущерба в рамках гражданского иска и обычно в гражданском судопроизводстве. В уголовном деле ответственность наступает только за изъятое из банкомата. Например, злоумышленник с использованием поддельной или утраченной карты получил в банкомате 249 999 рублей, а с учетом комиссий со счета карты была списана сумма более 250 000 рублей. За хищение суммы более 250 000 рублей Уголовный кодекс предусматривает ответственность по квалифицированной части «в крупном размере». Однако в приведенном примере, хотя причиненный ущерб и составляет сумму более 250 000 рублей, квалификации по крупному размеру не будет, так как злоумышленник изъял меньшую сумму.

При квалификации таких действий по статье 159.6 УК РФ наказания будут меньше, а похищенные суммы для квалификации хищения — больше.

При несанкционированном использовании платежных карт в ТСП ситуация выглядит несколько сложнее, но определение ущерба и потерпевшего основано на том же принципе: моменте окончания преступления.

Представляется, что ошибку совершают те, кто пытается определить, кому же в результате мошеннического использования банковской карты в конечном итоге причинен ущерб: торговому предприятию, банку-эквайреру, банку-эмитенту, клиенту или страховой компании? Дело в том, что исходя из конкретных обстоятельств дела, правил платежных систем (которые могут меняться, например, перенос ответственности) квалификации сотрудников банков по претензионной работе в конечном итоге убытки может понести любой из перечисленных субъектов. Причем в ходе претензионной работы сторона, несущая убытки, может меняться (возврат платежа, повторное представление документа, предарбитраж, арбитраж). При этом виновное лицо давно уже изъяло имущество в свою пользу и не имеет никакого отношения к рассматриваемым событиям.

В общем случае платеж в ТСП осуществляется следующим образом:

1. Держатель при оплате товаров (услуг) предъявляет платежную карту (либо ее реквизиты), используя которую, предприятие торговли формирует расчетный документ (бумажный либо в электронном виде) и направляет этот документ в банк-эквайрер.

2. Эквайрер через платежную систему (ее расчетный банк) направляет расчетный документ в банк-эмитент.

3. Расчетный банк списывает средства со счета банка-эмитента и зачисляет их на счет банка-эквайрера.

4. Эквайрер, получив денежные средства, зачисляет их на счет предприятия торговли.

Поскольку мошенничество является одним из видов хищения, то ему присущи общие признаки, названные в Примечании 1 к статье 158 УК РФ (Кража). Нет ущерба — нет преступления.

Обратимся к классической схеме преступления. Мошенник с использованием поддельной банковской карты произвел оплату товаров (работ, услуг) в организации торговли (услуг). В правоохранительные органы должно поступить заявление от лица, которому нанесен ущерб. Если опираться на технологию расчетов с использованием банковских карт, то получаем следующую ситуацию: предприятие торговли составляет расчетный документ и направляет его в банк-эквайрер, тот, в свою очередь, через платежную систему адресует его банку-эмитенту. И уже здесь, исходя из договора банковского счета (кредитный или дебетовый), норм местного законодательства, наличия договоров со страховыми компаниями и т. п., ущерб может быть нанесен держателю, эмитенту или страховой компании. Если карта была эмитирована иностранным банком, то получить заявление в российские правоохранительные органы практически нереально.

Чтобы выполнить требование о заявлении ущерба, рассмотрим ситуацию с мошенническим использованием платежной карты в эквайринговой сети несколько под другим углом, а именно с точки зрения российского гражданского законодательства.

Технология функционирования платежных карт регулируется отдельными договорами. В нашем случае обратим внимание на договор между эквайрером и торгово-сервисными предприятиями (договор об эквайринге).

Предметом данного договора со стороны ТСП является составление документов на бумажном носителе и (или) в электронной форме с использованием платежных карт или их реквизитов при совершении держателями покупок; а со стороны эквайрера — осуществление расчетов с организацией торговли (услуг) по операциям, совершаемым с использованием платежных карт. Иными словами, эквайрер оплачивает предприятию суммы операций с использованием платежных карт всех эмитентов платежной системы, карты которой обслуживаются данным ТСП, за вычетом своей комиссии (торговой уступки). Согласно данному договору, эквайрер несет самостоятельные денежные обязательства перед организацией торговли (услуг) по оплате сумм операций, совершаемых с использованием платежных карт. Это означает, что если организация торговли (услуг), соблюдая все условия договора, составила расчетный документ с использованием платежной карты и представила данный документ в банк-эквайрер для оплаты, то у банка возникает обязательство перечислить предприятию денежные средства по этому документу. Это обязательство не зависит от исполнения другими участниками платежной системы своих обязательств перед эквайрером. Например, если банк-эмитент по каким-либо причинам не перечислил денежные средства эквайреру (например, ввиду переноса ответственности), последний все равно обязан рассчитаться с организацией торговли (услуг), если последнее исполнило все условия договора. Это позволяет рассматривать договор на эквайринговое обслуживание между банком и предприятием в отрыве от всей остальной платежной системы. Данный тезис находит подтверждение и в «Правилах платежной системы “Виза” по осуществлению операций на территории Российской Федерации»: «Участник платежной системы — Эквайрер обязан внести платеж либо кредитовать свое торгово-сервисное предприятие, торгово-сервисное предприятие под спонсорской поддержкой или Поставщика услуг сразу же после предоставления чеков операций».

Тогда представленная выше классическая мошенническая ситуация будет выглядеть следующим образом. В организации торговли мошенник, выдавая себя за законного держателя банковской карты, составил расчетный документ. Данный расчетный документ был направлен в банк-эквайрер, который перечислил по нему денежные средства предприятию. Умысел злоумышленника направлен на обман банка-эквайрера с тем, чтобы тот за счет своих собственных средств (согласно договору на эквайринговое обслуживание) оплатил товар (услуги, работы) и перечислил денежные средства на счет организации торговли. Таким образом, путем обмана (мошенник не является законным держателем карты) было совершено хищение безналичных денежных средств банка-эквайрера. Так как эквайрер понес определенные расходы, связанные с оплатой представленного документа, на основании статьи 15 ГК РФ ему нанесен ущерб. Документом, подтверждающим ущерб, будет платеж банка-эквайрера организации торговли (услуг) по операции с платежной картой.

В случае несанкционированного использования платежных карт в предприятиях торговли умысел преступника направлен на обман эквайрера с тем, чтобы тот за счет собственных средств (договор эквайринга) оплатил товар и перечислил денежные средства на счет ТСП. Момент окончания преступления — перечисление денежных средств со счета эквайрера на счет ТСП. При этом, если эквайрер возмещает ущерб за счет эмитента, то возможно сразу (на стадии следствия) отказаться от гражданского иска, заявив, что он будет подан в гражданском судопроизводстве, либо, подав гражданский иск, отказаться от него до момента удаления суда для вынесения приговора.

Если хищение с использованием реквизитов платежных карт осуществляются в среде Интернет, то статья 159.3 УК РФ не может быть вменена, так как отсутствуют такие признаки, как поддельная или принадлежащая другому лицу платежная карта (карта как вещь в данном случае не используется), а также обман уполномоченного работника организации (операция совершается удаленно, контакт face to face отсутствует). Следовательно, такое преступление необходимо квалифицировать по статье 159.6 УК РФ.

Рассмотрим еще один момент противоправных действий в торговых предприятиях с использованием поддельных карт: сговор кассира с лицами, использующими поддельные или утраченные карты. Для эквайреров такой сговор может повлечь очень значительные финансовые потери. Даже если прямых потерь нет (ответственность по операциям на эмитенте), эквайрер из-за высокого уровня мошеннических операций у своего торговца может попасть под программы платежных систем, влекущие наложение штрафов. Статья 159.3 Уголовного кодекса предусматривает повышенную ответственность за хищения с использованием своего служебного положения (часть 3), что должно было бы являться сдерживающим фактором для недобросовестных кассиров торговых предприятий. Но Пленум ВС РФ Постановлением от 27.12.07 № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате» исключил кассиров ТСП из числа лиц, использующих свое служебное положение:

24. Под лицами, использующими свое служебное положение при совершении мошенничества, присвоения или растраты ( часть 3 статьи 159, часть 3 статьи 160 УК РФ ) , следует понимать должностных лиц, обладающих признаками, предусмотренными примечанием 1 к статье 285 УК РФ, государственных или муниципальных служащих, не являющихся должностными лицами, а также иных лиц, отвечающих требованиям, предусмотренным примечанием 1 к статье 201 УК РФ ( например, лицо, которое использует для совершения хищения чужого имущества свои служебные полномочия, включающие организационно-распорядительные или административно-хозяйственные обязанности в коммерческой организации ).

Возможно, с внесением изменений в статью 187 УК РФ (Неправомерный оборот средств платежей) указанные сложности будут устранены и правоохранительные органы в вышеперечисленных случаях будут возбуждать уголовные дела по данной статье.

Распространенным способом осуществления противоправных действий является скимминг. Копирование магнитной полосы платежной карты осуществляется с целью изготовления поддельных карт. При этом полученная информация может использоваться как самостоятельно, так и с целью ее продажи. Конечной целью изготовления поддельных карт является хищение денежных средств, и незаконное копирование магнитной полосы можно было бы квалифицировать как приготовление к данному виду преступления. Но возможно ли привлечь к уголовной ответственности злоумышленников на данном этапе их деятельности?

Уголовная ответственность наступает только в случае приготовления к тяжкому и особо тяжкому преступлениям.

Статья 30. Приготовление к преступлению и покушение на преступление

1. Приготовлением к преступлению признаются приискание, изготовление или приспособление лицом средств или орудий совершения преступления, приискание соучастников преступления, сговор на совершение преступления либо иное умышленное создание условий для совершения преступления, если при этом преступление не было доведено до конца по независящим от этого лица обстоятельствам.

2. Уголовная ответственность наступает за приготовление только к тяжкому и особо тяжкому преступлениям.

3. Покушением на преступление признаются умышленные действия (бездействие) лица, непосредственно направленные на совершение преступления, если при этом преступление не было доведено до конца по независящим от этого лица обстоятельствам.

Статья 15. Категории преступлений

1. В зависимости от характера и степени общественной опасности деяния, предусмотренные настоящим Кодексом, подразделяются на преступления небольшой тяжести, преступления средней тяжести, тяжкие преступления и особо тяжкие преступления.

2. Преступлениями небольшой тяжести признаются умышленные и неосторожные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, не превышает трех лет лишения свободы.

3. Преступлениями средней тяжести признаются умышленные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, не превышает пяти лет лишения свободы, и неосторожные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, превышает три года лишения свободы.

4. Тяжкими преступлениями признаются умышленные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, не превышает десяти лет лишения свободы.

5. Особо тяжкими преступлениями признаются умышленные деяния, за совершение которых настоящим Кодексом предусмотрено наказание в виде лишения свободы на срок свыше десяти лет или более строгое наказание.

6. С учетом фактических обстоятельств преступления и степени его общественной опасности суд вправе при наличии смягчающих наказание обстоятельств и при отсутствии отягчающих наказание обстоятельств изменить категорию преступления на менее тяжкую, но не более чем на одну категорию преступления при условии, что за совершение преступления, указанного в части третьей настоящей статьи, осужденному назначено наказание, не превышающее трех лет лишения свободы, или другое более мягкое наказание; за совершение преступления, указанного в части четвертой настоящей статьи, осужденному назначено наказание, не превышающее пяти лет лишения свободы, или другое более мягкое наказание; за совершение преступления, указанного в части пятой настоящей статьи, осужденному назначено наказание, не превышающее семи лет лишения свободы.

В применении тяжести преступления к статьям, связанным с хищением, получаем ситуацию, отраженную в таблице 4.7.

Таблица 4.7. Применение тяжести преступления к статьям, связанным с хищением

Если приготовление осуществляется к краже (статья 158 УК РФ), то уголовная ответственность наступает по части 3 (свыше 250 000 рублей) и части 4 (свыше 1 млн рублей либо организованной группой). Если приготовление осуществляется к мошенничеству с использованием платежных карт (статья 159.3 УК РФ) или в сфере компьютерной информации (статья 159.6 УК РФ), то уголовная ответственность наступает только по части 4 указанных статей (свыше 6 млн рублей либо организованной группой). Таким образом, если скимминг квалифицировать как приготовление к краже (статья 158 УК РФ), то необходимо доказать (для наступления уголовной ответственности) приготовление к хищению суммы более 250 000 рублей, а если квалифицировать как приготовление к мошенничеству в сфере компьютерной информации (статья 159.6 УК РФ), то необходимо доказать приготовление к хищению суммы более 6 млн рублей.

Чтобы предъявить обвинение по указанным статьям, если организованная группа отсутствует, необходимо определить ущерб. Установить это можно следующим образом. По номерам скопированных платежных карт необходимо установить банки-эмитенты, направить в данные банки запросы об остатке денежных средств на картах; сложив суммы по остаткам, получим общую цифру ущерба, к хищению которой осуществлено приготовление. Однако проблема заключается в том, что информация о счетах клиентов банков является банковской тайной.

Статья 857 Гражданского кодекса РФ. Банковская тайна

1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

Согласно статье 26 ФЗ № 395-1 «О банках и банковской деятельности»:

Справки по счетам и вкладам физических лиц выдаются кредитной организацией им самим, судам, органам принудительного исполнения судебных актов, актов других органов и должностных лиц, организации, осуществляющей функции по обязательному страхованию вкладов, при наступлении страховых случаев, предусмотренных федеральным законом о страховании вкладов физических лиц в банках Российской Федерации, а при наличии согласия руководителя следственного органа — органам предварительного следствия по делам, находящимся в их производстве.

Получается, чтобы возбудить уголовное дело по приготовлению к хищению (части 3,4 статьи 158, части 4 статей 159.3,159.6 УК РФ) необходимо установить сумму, которую собирались похитить. Но чтобы получить от банков нужную информацию, запрос должен быть направлен в рамках уже возбужденного уголовного дела. Иначе банки ответят отказом на основании статьи 26 ФЗ № 395-1.

Поэтому необходимо рассмотреть другие статьи Уголовного кодекса РФ, по которым в случае выявленного скимминга можно было бы возбудить уголовное дело и уже в рамках расследования данного дела, направить соответствующие запросы в банки-эмитенты.

Как уже было сказано, в случае скимминга можно инкриминировать приготовление к изготовлению в целях использования или сбыта поддельных платежных карт. По части 1 статьи 187 УК РФ преступление является тяжким (6 лет лишения свободы).

Дополнительно возможно вменение статьи 272 УК РФ (неправомерный доступ к компьютерной информации).

Федеральным законом от 07.12.2011 № 420-ФЗ была введена редакция статьи 272 УК РФ, в которой максимальное наказание, предусмотренное частью 1, — лишение свободы на срок до двух лет, а максимальное наказание за то же деяние, причинившее крупный ущерб (свыше одного миллиона рублей) или совершенное из корыстной заинтересованности (часть 2), — лишение свободы всего лишь на срок до шести месяцев. Получалось, что квалифицированное преступление (причинившее крупный ущерб или совершенное из корыстной заинтересованности) являлось менее общественно опасным. Такая странная ситуация сложилась в связи с тем, что во втором чтении в Государственной Думе Законопроект № 559740-5 «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации (в части совершенствования законодательства Российской Федерации)» часть 2 статьи 272 предлагалась в следующей редакции:

То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо арестом на срок до шести месяцев, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.

То есть максимальное наказание предусматривало до четырех лет лишения свободы, что вполне логично. Но в третьем чтении данного законопроекта виды наказания арест до шести месяцев и принудительные работы на срок до четырех лет неожиданно поменялись местами и в таком виде изменения были внесены в Уголовный кодекс РФ. Данная несуразность в нашем Уголовном кодексе сохранялась более двух лет. Только 18 ноября 2013 г. в Государственную Думу был внесен Законопроект № 387351-6 «О внесении изменений в статью 272 Уголовного кодекса Российской Федерации», который предлагал устранить это безобразие:

Статья 1

Внести в абзац второй части второй статьи 272 Уголовного кодекса Российской Федерации изменение, исключив из него слова «либо арестом на срок до шести месяцев»,

что и было сделано Федеральным законом от 28.06.2014 № 195-ФЗ:

2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.

Примечание 1 статьи 272 УК РФ содержит определение компьютерной информации, которое является крайне неудачным: «сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи».

Это было отмечено в Официальном отзыве Верховного Суда Российской Федерации на Законопроект № 559740-5:

Предложенный в примечании термин « электрические сигналы » , на наш взгляд, не вносит достаточной ясности в определение понятия и требует дополнительного пояснения.

А также в Заключении Комитета по информационной политике, информационным технологиям и связи:

…В предлагаемой дефиниции неясен смысл термина « электрические сигналы » . Представляется необходимым уточнить данную формулировку.

Несмотря на указанные замечания, они не были учтены при внесении изменения в Уголовный кодекс.

Представляется, что более правильное определение содержится, например, в Соглашении о сотрудничестве государств — участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации (от 1 июня 2001 г.), где компьютерная информация определена в гораздо более широком понимании:

Статья 1 б) компьютерная информация — это информация, находящаяся в памяти компьютера, на машинных или иных носителях в форме, доступной восприятию ЭВМ, или передающаяся по каналам связи.

Существующее в настоящий момент в Уголовном кодексе РФ определение компьютерной информации как электрического сигнала вызывает вопрос: является ли компьютерной информацией машиночитаемая информация, которая хранится на различных носителях, в том числе на магнитной полосе платежной карты, перфоленте, оптических дисках (CD, DVD), магнитных дисках, flash-памяти?

Для ответа на вопрос посмотрим «Элементарный учебник физики»:

Каждый атом вещества можно рассматривать в отношении его магнитных свойств как круговой ток. Магнитное поле намагниченного тела слагается из магнитных полей этих круговых токов.

Процесс намагничивания тела заключается в том, что под влиянием внешнего магнитного поля его элементарные токи в большей или меньшей степени устанавливаются параллельно друг другу и создают результирующее магнитное поле.

Такие наглядные представления о строении атомов являются слишком грубыми и потому неточными, однако они в общих чертах правильно передают сущность дела.

На основании изложенного можно сделать вывод, что при хранении информации на магнитных носителях (в том числе на магнитной полосе платежной карты) имеются электрические сигналы (круговой ток атомов), следовательно, такая информация является компьютерной. При хранении информации на перфоленте, оптических дисках (CD, DVD) электрических сигналов нет, информация не является компьютерной (согласно УК РФ). Но доступ к охраняемой законом компьютерной информации будет неправомерным независимо от средств хранения, обработки и передачи, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. Независимо от того, как хранилась информация, если она была уничтожена, блокирована, модифицирована, скопирована и при этом была представлена в виде электрических сигналов, данная информация является компьютерной. Копирование CD — копирование компьютерной информации (в момент считывания). Стирание CD-RW — доступа к компьютерной информации нет.

Рассмотрим неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ее копирование (перенос информации на другой материальный носитель при сохранении неизмененной первоначальной информации). Так как при использовании скиммеров либо других аналогичных устройств или технологий происходит именно данное действие — компьютерная информация на машинном носителе (информация, записанная в электронном виде на магнитной полосе карты) копируется на другое устройство памяти. Необходимо удостовериться, что копируемая информация охраняется законом. На магнитной полосе банковской карты на первом треке записана фамилия держателя и номер карты, а на втором треке — номер карты. Каким же законом защищается данная информация?

Статья 27 Федерального закона № 1б1-ФЗ «О национальной платежной системе». Обеспечение защиты информации в платежной системе

3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России.

Положение ЦБ РФ № 382-П

2.1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации (далее — защищаемая информация):

информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт.

Одним из основных значимых данных держателей карт является номер банковской карты. Этот номер записан на магнитной полосе платежной карты. Следовательно, информация, копируемая с магнитной полосы платежной карты, защищается Федеральным законом «О национальной платежной системе». Неправомерный доступ к такой информации, если это повлекло ее копирование, будет составлять объективную сторону преступления, предусмотренного статьей 272 УК РФ.

По смыслу Положения 266-П ЦБ РФ банковская платежная карта достоверно устанавливает соответствие между реквизитами (номером) платежной карты и соответствующим банковским счетом. Таким образом, банковская платежная карта указывает на реквизиты банковского счета и данная информация является банковской тайной. Например, можно зачислить (списать) денежные средства на банковский счет, зная только номер банковской карты, соответствие между номером банковской карты и конкретным банковским счетом однозначное. В итоге получение незаконным способом (например, скимминг, покупка через Интернет дампов вторых дорожек или покупка поддельных платежных карт) сведений, составляющих банковскую тайну (номера банковских карт), будет составлять объективную сторону преступления, предусмотренного статьей 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну).

Необходимо обратить внимание, что квалифицирующие действия по части 3 статьи 183 УК РФ сформулированы недостаточно определенно: «Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности». Что имеется в виду: деяния, указанные в части первой и второй, или только во второй? Если только во второй, то квалифицирующие действия по частям третьей и четвертой (крупный ущерб, корыстная заинтересованность и тяжкие последствия) будут относиться только к незаконному разглашению или использованию сведений, составляющих банковскую тайну. Но они не будут влиять на квалификацию при собирании сведений, составляющих банковскую тайну, незаконным способом.

Напомним, что в уголовном праве существует презумпция невиновности (часть 3 статьи 14 УПК РФ: «Все сомнения в виновности обвиняемого, которые не могут быть устранены в порядке, установленном настоящим Кодексом, толкуются в пользу обвиняемого»). Которая «предполагает, что обязанность доказывания виновности, а значит, и того, что лицо должно нести ответственность по определенной правовой норме, возлагается на государство. Если же уполномоченные на то государственные органы однозначно не доказали, что надлежит применять четко определенную уголовно-правовую норму, то применяться должна более благоприятная для лица норма. Таким образом, когда возникают непреодолимые сомнения относительно того, по какой уголовно-правовой норме следует квалифицировать содеянное, то применять следует норму более мягкую, благоприятную для обвиняемого».

Интересно, что и судебная практика имеет две точки зрения. Одни суды считают, что в случае скимминга квалификация по части 3 статьи 183 УК РФ отсутствует:

В части квалификации действий подсудимых как совершенных из корыстной заинтересованности суд с данной квалификацией не согласен, поскольку по смыслу закона квалифицирующий признак, содержащийся в части 3 статьи 183 УК РФ — корыстная заинтересованность относится только к незаконному разглашению или незаконному использованию сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.

Уголовное дело № 1-178/2013, Подольский городской суд Московской области

Суд учитывает приведенную государственным обвинителем позицию о квалификации действий подсудимых по части 1 статьи 183, части 3 статьи 272 УК РФ и полностью соглашается с ней, поскольку состав преступления, предусмотренного частью 3 статьи 183 УК РФ, является квалифицированным по отношению к части 2 статьи 183 УК РФ.

Уголовное дело № 1-372/2012, Тверской районный суд г. Москвы

Другие суды просто выносят приговоры, предусматривающие уголовное наказание за скимминг по части 3 статьи 187 УК РФ, например: уголовное дело № 1-146/2014, Егорьевский городской суд Московской области, уголовное дело № 1-436/2013, Железнодорожный районный суд г. Екатеринбурга, уголовное дело № 1-144/2013, Рузский районный суд Московской области, уголовное дело № 1-105/2013, Химкинский городской суд Московской области.

Собирание сведений, составляющих банковскую тайну, путем доступа к охраняемой законом компьютерной информации, если это повлекло копирование информации, следует квалифицировать по совокупности части 1 статьи 183 и статьи 272 УК.

Применение скимминговых устройств дополнительно может предусматривать уголовную ответственность за использование компьютерных программ, заведомо предназначенных для несанкционированного копирования компьютерной информации (статья 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ)).

Создание программы является оконченным преступлением с момента получения объективной формы представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств. Указанная программа должна обладать способностью к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, их системы или сети. Под использованием вредоносной программы понимается ее непосредственное использование для несанкционированного уничтожения, блокирования, модификации, копирования информации, нарушения работы ЭВМ, их системы или сети. Распространение вредоносной программы означает как распространение ее с помощью средств связи, так и простую передачу ее другому лицу в любой форме. В отличие от статьи 272 УК РФ, несанкционированное воздействие может осуществляться на любую компьютерную информацию, а не только на защищаемую законом.

Уголовный кодекс предусматривает также ответственность за незаконный оборот специальных технических средств, предназначенных для негласного получения информации (статья 138.1. УК РФ (Незаконный оборот специальных технических средств, предназначенных для негласного получения информации)).

Незаконный оборот состоит в производстве, приобретении, сбыте специальных технических средств. Основная проблема заключается в отнесении скимминговых устройств к специальным техническим средствам, предназначенным для негласного получения информации.

Постановление Правительства РФ от 01.07.1996 № 770 содержит в перечне видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности, в том числе следующие пункты:

2. Специальные технические средства для негласного визуального наблюдения и документирования.

Сюда можно отнести скрытые, камуфлированные видеокамеры, предназначенные для записи ПИН-кодов держателей платежных карт.

9. Специальные технические средства для негласного получения ( изменения, уничтожения ) информации с технических средств ее хранения, обработки и передачи.

Сюда можно отнести скимминговые ридеры для копирования магнитной полосы платежной карты и накладные ПИН-клавиатуры для записи ПИН-кодов держателей платежных карт.

Постановлением Правительства РФ от 10.03.2000 № 214 определен список видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию.

2. Специальные технические средства для негласного визуального наблюдения и документирования :

б ) телевизионные и видеокамеры, обладающие по крайней мере одним из следующих признаков : закамуфлированные под бытовые предметы ; имеющие вынесенный зрачок входа ( PINHOLE ); работающие при низкой освещенности объекта ( 0,01 лк и менее ) или при освещенности на приемном элементе 0,0001 лк и менее ;

в ) комплекс аппаратуры передачи видеоизображения по кабельным, радио и оптическим линиям связи.

9. Специальные технические средства для негласного получения ( изменения, уничтожения ) информации с технических средств ее хранения, обработки и передачи.

Действия по обороту специальных технических средств признаются незаконными, если совершаются лицами, не имеющими соответствующей лицензии.

Тракторозаводский районный суд города Челябинска признал Рустама Хасанова виновным в совершении преступления, предусмотренного статьей 138.1 Уголовного кодекса Российской Федерации — « Незаконное изготовление и сбыт технических средств, предназначенных для негласного получения информации » и приговорил подсудимого к штрафу в размере 70 000 рублей в пользу государства.

Дело № 1-16/2013

Житель Челябинска через Интернет изучил информацию о способах производства скиммеров, приобрел необходимые компоненты, изготовил скиммеры и разместил объявление о продаже по 100 000 рублей.

Во время реализации очередного устройства был задержан сотрудниками отдела « К » в ходе оперативно-розыскного мероприятия.

Самыми распространенными случаями выявления злоумышленников в сфере платежных карт является задержание их на месте совершения преступления: при использовании поддельных платежных карт в торгово-сервисных предприятиях, банкоматах, при установке (снятии) скимминговых устройств. В таких случаях еще ничего неизвестно обо всей противозаконной деятельности задержанного, если только он на момент задержания уже не находился в оперативной разработке. Обвинение может быть предъявлено только по части 1 статей 158, 159.3, 159.6, 165, 183, 272 УК РФ, и то, скорее всего, преступление не будет окончено, а будет установлен только факт покушения. Возбуждение уголовного дела по части 1 указанных статей Уголовного кодекса влечет за собой следующие особенности. К задержанному на месте преступления может быть избрана мера пресечения. Согласно Уголовно-процессуальному кодексу РФ:

Статья 98 УПК РФ. Меры пресечения

Мерами пресечения являются:

1) подписка о невыезде;

2) личное поручительство;

3) наблюдение командования воинской части;

4) присмотр за несовершеннолетним обвиняемым;

5) залог;

6) домашний арест;

7) заключение под стражу.

Мера пресечения в виде заключения под стражу регулируется статьей 108 УПК РФ.

Статья 108 УПК РФ. Заключение под стражу

1. Заключение под стражу в качестве меры пресечения применяется по судебному решению в отношении подозреваемого или обвиняемого в совершении преступлений, за которые уголовным законом предусмотрено наказание в виде лишения свободы на срок свыше трех лет при невозможности применения иной, более мягкой, меры пресечения. При избрании меры пресечения в виде заключения под стражу в постановлении судьи должны быть указаны конкретные, фактические обстоятельства, на основании которых судья принял это решение. Такими обстоятельствами не могут являться данные, не проверенные в ходе судебного заседания, в частности результаты оперативно-розыскной деятельности, представленные в нарушение требований статьи 89 настоящего Кодекса.

В исключительных случаях эта мера пресечения может быть избрана в отношении подозреваемого или обвиняемого в совершении преступления, за которое предусмотрено наказание в виде лишения свободы на срок до трех лет, при наличии одного из следующих обстоятельств:

1) подозреваемый или обвиняемый не имеет постоянного места жительства на территории Российской Федерации;

2) его личность не установлена;

3) им нарушена ранее избранная мера пресечения;

4) он скрылся от органов предварительного расследования или от суда.

1.1. Заключение под стражу в качестве меры пресечения не может быть применено в отношении подозреваемого или обвиняемого в совершении преступлений, предусмотренных статьями 159–159.6, 160, 165, если эти преступления совершены в сфере предпринимательской деятельности, а также статьями 171–174,174.1,176–178,180-183,185–185.4,190–199.2 Уголовного кодекса Российской Федерации, при отсутствии обстоятельств, указанных в пунктах 1–4 части 1 настоящей статьи.

Иными словами, в отношении подозреваемого или обвиняемого в совершении преступления, за которое предусмотрено наказание в виде лишения свободы на срок до трех лет (часть 1 статей 158, 159.3, 159.6, 165, 272 УК РФ), если отсутствуют обстоятельства, перечисленные в пунктах 1–4 части 1 статьи 108 УПК РФ: подозреваемый имеет постоянное место жительства на территории РФ, личность его установлена (для выполнения первых двух условий достаточно предъявить паспорт), а обстоятельства, указанные в пунктах 3–4, могут и вовсе отсутствовать (если подозреваемый задержан впервые, никакая мера пресечения в отношении него не избиралась и он ни от кого не скрывался), то мера пресечения в виде лишения свободы применяться не может. То же самое относится к подозреваемому, обвиняемому в совершении преступлений, предусмотренных и другими частями статей 159.3, 159.6, 165, если эти преступления совершены в сфере предпринимательской деятельности, а также статьей 183 УК РФ при отсутствии обстоятельств, указанных в пунктах 1–4 части 1 статьи 108 УПК РФ.

Постановлением Пленума Верховного Суда РФ от 19.12.2013 № 41 разъяснено, что преступления, предусмотренные статьями 159.3, 159.6, 165 УК РФ, следует считать совершенными в сфере предпринимательской деятельности, если они совершены лицом, осуществляющим предпринимательскую деятельность самостоятельно или участвующим в предпринимательской деятельности, осуществляемой юридическим лицом, и эти преступления непосредственно связаны с указанной деятельностью.

Таким образом, после задержания злоумышленник имеет все возможности предупредить потенциальных сообщников и уничтожить все имеющиеся следы преступления.

Вероятно, с внесением изменений в статью 187 УК РФ данное положение вещей изменится, так как уголовные дела будут возбуждаться по указанной статье, и максимальное наказание, которое предусмотрено по части 1, составляет до шести лет лишения свободы, и мера пресечения может быть избрана в виде заключения под стражу.

Другая особенность при расследовании таких преступлений заключается в том, что по статьям 158, 159.3 и 159.6 УК РФ (самые распространенные статьи по данным преступлениям) формы предварительного расследования различаются в зависимости от части применяемой статьи. По уголовным делам о преступлениях, предусмотренных частью 1 статей 158, 159.3 и 159.6 УК РФ, предварительное расследование производится в форме дознания (статья 150 УПК РФ), предусмотренных частями 2–4 статей 158, 159.3 и 159.6 УК РФ, предварительное расследование производится в форме следствия (статья 151 УПК РФ). В данном случае возникает конфликт интересов между органами дознания и следствия. Дознаватель не заинтересован расследовать преступления по части 1 статей 158, 159.3 и 159.6 УК РФ, если существует перспектива, что в результате расследования будут установлены такие обстоятельства (квалифицирующие признаки), что дело может быть переквалифицировано на другие части указанных статей УК РФ, так как такое дело ему придется отдать в следствие, то есть дознаватель будет работать «на дядю». Следователь же не может возбуждать уголовные дела по части 1 статей 158, 159.3 и 159.6 УК РФ, так как такие уголовные дела могут быть ему переданы только по письменному указанию прокурора (статья 150 УПК РФ).

При этом статья 26 Федерального закона от 02.12.90 № 395-1 «О банках и банковской деятельности» определяет порядок предоставления информации, составляющей банковскую тайну: справки по счетам и вкладам физических лиц разрешено предоставлять только органам предварительного следствия, по уголовным делам, находящимся в их производстве. Предварительное расследование (статья 151 УК РФ (Подследственность)) производится не только следователями, но и дознавателями. Закон «О банках и банковской деятельности» не разрешает предоставление информации органам дознания даже по расследуемым ими уголовным делам (часть 1 статей 158, 159.3 и 159.6 УК РФ).

При краже денежных средств в сумме от 2500 до 250 000 рублей (статья 158 УК РФ), если потерпевшим признан держатель карты (физическое лицо), то квалификация наступает по части 2 и расследованием преступления занимается следствие. Если потерпевшим признан банк (юридическое лицо), то квалификация наступает по части 1 и уголовное дело ведет дознание. При мошенничестве с использованием платежных карт (статья 159.3 УК РФ) или в сфере компьютерной информации (159.6) в сумме от 2500 до 1,5 млн рублей, если потерпевшим признан держатель карты (физическое лицо), то квалификация наступает по части 2 и расследованием преступления занимается следствие. Если потерпевшим признан банк (юридическое лицо), то квалификация наступает по части 1 и уголовное дело ведет дознание.

В связи с этим для обеспечения возможности обратиться с заявлением в правоохранительные органы и предоставить им сведения, составляющие банковскую тайну, банк должен получить от клиента разрешение на предоставление любым правоохранительным органам информации, определенной как банковская тайна, по несанкционированным клиентом операциям. Такое согласие рекомендуется указать либо в договоре с клиентом (условиях использования платежной карты), либо в заявлении о несанкционированных клиентом операциях.

Необходимо отметить, что в МВД РФ отсутствует подразделение, целенаправленно занимающееся преступлениями в сфере оборота платежных карт. Не осуществляется накопление и анализ информации о криминальной деятельности.

Из-за специфической латентности преступлений необходим большой объем оперативной работы. Необходимо создание со стороны правоохранительных органов, платежных систем, банков единой системы противодействия противоправным деяниям в сфере платежных карт. При расследовании преступлений в сфере банковских карт необходимо выявление всех эпизодов. По номеру карты можно установить все незаконные операции. Данная информация находится в платежных системах и банках. Необходим постоянный публичный контакт и оперативность (сроки расследования) со стороны платежных систем и банков о предоставлении информации по запросам следователей (дознавателей). В РФ отсутствует система для проведения экспертиз поддельных банковских карт. Банк-потерпевший не может проводить экспертизу, а другой банк не заинтересован (только добрая воля).

4.2. Гражданско-правовые вопросы в случае несанкционированного использования платежных карт

Рассмотрим некоторые гражданско-правовые вопросы в случае осуществления операций по поддельным, утраченным картам, с использованием реквизитов карт в сети Интернет. Необходимо данные отношения разделить на две группы:

1. Эквайрер (банк) — торгово-сервисное предприятие (ТСП).

2. Эмитент (банк) — держатель карты (клиент).

Отношения между эквайрером и эмитентом регулируются правилами платежных систем и здесь не рассматриваются.

Отношения между банками (эквайрерами, эмитентами) и их клиентами (ТСП, держателями) регулируются нормами гражданского права и договорными отношениями.

Эквайрер — ТСП. ТСП — индивидуальный предприниматель, коммерческая организация. Оба субъекта занимаются предпринимательской деятельностью. Оба субъекта равноправны. Ответственность определяется нормами гражданского права и положениями договора эквайринга. Если счет ТСП открыт в банке-эквайрере, то составная часть договора эквайринга — договор банковского счета.

Предположим, что в ТСП прошли так называемые мошеннические, то есть несанкционированные держателями карт, операции. Имеет ли право эквайрер не перечислять денежные средства ТСП по данным операциям? Гражданский кодекс определяет ответственность банков перед клиентами за:

1. Несвоевременное зачисление банком денежных средств на счет клиента (ТСП) и поступившие на корреспондентский счет банка (пропущены сроки по статье 849 ГК РФ). Частным случаем является незачисление средств, в том числе ошибочное зачисление на другой счет.

2. Необоснованное списание средств со счета. При этом неустойка исчисляется со дня списания средств до их восстановления по учетной ставке ЦБ РФ на день восстановления на счете.

3. Невыполнение указаний клиента о перечислении денежных средств со счета:

— при внутрибанковских расчетах — незачисление на счет получателя в срок, предусмотренный статьей 849 ГК РФ;

— при межбанковских расчетах — неперечисление в банк-посредник или банк-получатель в срок, предусмотренный статьей 849 ГК РФ.

За данные нарушения банк уплачивает клиенту проценты в порядке и размере, установленном статьей 395 ГК РФ. Такая ответственность является законной неустойкой. На основании этого можно сделать вывод, что условие договора банковского счета об исключении такой ответственности со стороны банка или уменьшении ее размера недействительно (пункт 2 статьи 332 ГК РФ).

В случае возникновения убытков, когда причиненный ущерб не связан с нарушением договорных обязательств ни банком, ни ТСП (например, при мошенничестве третьих лиц), ответственность определяется договором. Правила платежных систем напрямую не действуют. Все случаи, когда эквайрер хочет переложить ответственность на ТСП, в том числе когда на основании правил платежных систем ответственность возлагается на эквайрера, должны быть прописаны в договоре с ТСП. Например: обязанность о предоставлении копии чека по операции, запрет на операции на одном терминале по одной карте в течении короткого времени (15 мин.), ответственность ТСП при интернет-эквайринге (МО/ТО), штрафы платежной системы в случае превышения уровня мошеннических операций, нарушения условий защиты бренда, компрометации данных и несоответствия требованиям стандартов PA DSS и PCI DSS, другое. Следует обратить внимание на следующие требования «Правил платежной системы “Виза”»:

Взыскание штрафов

Все штрафы взыскиваются Оператором платежной системы с участников платежной системы. Участник платежной системы несет ответственность за уплату всех штрафов, вне зависимости от того, оплачивает ли он их самостоятельно, передает другой стороне или увеличивает их сумму при выставлении счета своему клиенту. Участник платежной системы не имеет права сообщать своим клиентам о том, что Оператор платежной системы взимает какие-либо штрафы в отношении деятельности данных клиентов.

В случае если банк не перечислит денежные средства ТСП по мошенническим операциям, даже если есть основания полагать, что сотрудники ТСП причастны к ним, но основания для этого будут отсутствовать в договоре эквайринга, существует вероятность, что ТСП предъявит к банку гражданский иск, который будет удовлетворен.

Отношения между эмитентом (банком) и держателем карты (клиентом) существенно отличаются от описанных выше. Держатель — физическое лицо, некоммерческая организация — несет ответственность только при наличии вины, если только он не использовал банковский счет для целей предпринимательской деятельности. Законодательство о защите прав потребителей определяет их как граждан, имеющих намерение заказать или приобрести либо заказывающих, приобретающих или использующих товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности. В данном случае субъекты неравноправны.

В целом Закон о защите прав потребителей не рассчитан на действие в сфере банковских услуг, но отдельные его положения могут применяться к рассматриваемым отношениям. Одним из наиболее важных следствий применения к договору банковского счета законодательства о защите прав потребителей является то, что клиент имеет право не оплачивать государственной пошлиной иски к банку и такие иски могут быть предъявлены в суд по месту пребывания клиента.

Статья 29 ГПК РФ. Подсудность по выбору истца

7. Иски о защите прав потребителей могут быть предъявлены также в суд по месту жительства или месту пребывания истца либо по месту заключения или месту исполнения договора.

Статья 17 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей». Судебная защита прав потребителей

2. Иски о защите прав потребителей могут быть предъявлены по выбору истца в суд по месту: жительства или пребывания истца;

3. Потребители по искам, связанным с нарушением их прав… освобождаются от уплаты государственной пошлины.

Важным нормативным документом, регулирующим отношения между банками (операторами по переводу денежных средств) и их клиентами при оказании платежных услуг, является Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе». Если его проанализировать в части распределения ответственности между банками-эмитентами и клиентами-держателями платежных карт, можно сделать следующие заключения.

Банк обязан:

1. Информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом (часть 4 статьи 9: «Оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом»). Обращает на себя внимание, что законодатель определяет данное требование для банка как обязанность направить клиенту уведомление. В связи с тем представляется, что если банк не направляет клиенту данное информационное сообщение, а только предоставляет ему возможность каким-либо образом с ним ознакомиться, например прийти в банк и получить выписку или сделать это через личный интернет-кабинет, то банк не выполнит указанное требование. То есть уведомление клиенту направлено не будет.

2. Обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента (часть 5 статьи 9: «Оператор по переводу денежных средств обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента»).

3. Рассматривать заявления клиента в срок не более 30/60 дней со дня получения заявления (часть 8 статьи 9: «Оператор по переводу денежных средств обязан рассматривать заявления клиента, в том числе при возникновении споров, связанных с использованием клиентом его электронного средства платежа, а также предоставить клиенту возможность получать информацию о результатах рассмотрения заявлений, в том числе в письменной форме по требованию клиента, в срок, установленный договором, но не более 30 дней со дня получения таких заявлений, а также не более 60 дней со дня получения заявлений в случае использования электронного средства платежа для осуществления трансграничного перевода денежных средств»).

В свою очередь клиент обязан:

1. Предоставить оператору по переводу денежных средств достоверную информацию для связи с клиентом (часть 13 статьи 5).

2. В случае ее изменения своевременно предоставить обновленную информацию (часть 13 статьи 5: «Клиент обязан предоставить оператору по переводу денежных средств достоверную информацию для связи с клиентом, а в случае ее изменения своевременно предоставить обновленную информацию»).

3. В случае утраты электронного средства платежа (карты) и (или) его использования без согласия клиента направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции (часть 11 статьи 9: «В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции»).

Риск убытков несет банк:

1. Если банк не исполняет обязанность по информированию клиента (часть 13 статьи 9: «В случае если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента»).

2. После получения банком уведомления от клиента (часть 12 статьи 9: «После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления»).

3. До момента направления клиентом — физическим лицом уведомления о несанкционированных операциях в соответствии с частью 11 статьи 9 (часть 15 статьи 9): «В случае если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента — физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент — физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом — физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента — физического лица»).

Риск убытков несет клиент:

1. Если клиент не предоставил банку достоверную контактную информацию (часть 13 статьи 5).

2. Если клиент своевременно не направил банку уведомление в соответствии с частью 11 статьи 9, при этом банк исполняет обязанность по информированию клиента (часть 14 статьи 9).

Обратим внимание, что если клиент потерял карту, то он имеет право направить уведомление о данном факте, только после получения от банка уведомления о совершенной операции. То есть если карту украли, можно не сообщать об этом в банк, а подождать, пока по карте пройдут несанкционированные операции и клиент получит уведомление. Только после этого можно на следующий день прийти в банк и написать заявление.

Данный закон позиционируется как клиентоориентированный, направленный на защиту прав держателей карт. Но так ли это в действительности?

Закон обязывает банки информировать клиента о совершении каждой операции с платежной карты путем направления клиенту соответствующего уведомления. Порядок уведомления должен быть установлен договором. Способ информирования клиента выбирает банк.

5. Закон об НПС не содержит требований об информировании клиента о совершении операций с использованием ЭСП определенным способом, в связи с чем кредитная организация в зависимости от условий заключенного договора об использовании ЭСП и с учетом оценки риска, правил платежной системы, участником которой является кредитная организация, может выбирать любые доступные способы уведомления клиента в электронном виде и ( или ) на бумажном носителе [106] .

Если банк выбирает один определенный способ информирования, то клиент вынужден либо согласиться с данным способом и предоставить свои контактные данные для информирования, либо отказаться от информирования и контактные данные не передавать.

Наиболее часто в России это реализуется путем отправки SMS-сообщений. Реализация данной услуги является для банков затратной: необходимо ее оплачивать операторам или провайдерам мобильной связи. Рынок SMS-уведомлений банков своим клиентам в России в 2013 г. составил $ 70,7 млн (отчет J’son & Partnes Consulting). Может ли банк переложить эти затраты на клиентов, то есть сделать услугу по информированию платной? В самом законе об этом ничего не говорится. Интересна позиция по данному вопросу Центрального Банка РФ. Первоначально ЦБ РФ не исключал, что услуга может быть платной: «Кредитная организация предлагает держателю банковской карты услугу оповещения об операциях, совершенных с использованием банковской карты (например, посредством телефонной связи, SMS-сообщений, электронной почты, почтовой связи и т. д.), в случае если данная услуга является платной, то клиент уведомляется об этом до ее подключения». Но в 2014 г. ЦБ РФ изменил свое мнение и разместил на сайте ответы на вопросы по применению статьи 9 Федерального закона «О национальной платежной системе» (ЦБ РФ):

1. Возможно ли взимание оператором по переводу денежных средств платы за информирование клиентов о совершении каждой операции с использованием электронного средства платежа в соответствии с требованиями статьи 9 Федерального закона от 27.06.2011 № 161-ФЗ « О национальной платежной системе » ( далее — Закон об НПС )?

Исполнение кредитной организацией законодательно установленной обязанности не может быть обусловлено уплатой клиентом вознаграждения за предоставление информации, в связи с чем в договоре должен быть предусмотрен способ бесплатного информирования клиента в соответствии со статьей 9 Закона об НПС.

Представляется, что такое мнение ЦБ РФ не основано на законе. Банк обязан информировать клиентов о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом. То есть информирование осуществляется в соответствии с договором. Какова природа данного договора? Является ли данная услуга информационной или банковской? Если услуга информационная, то должна действовать статья 779 ГК РФ (Договор возмездного оказания услуг).

1. По договору возмездного оказания услуг исполнитель обязуется по заданию заказчика оказать услуги ( совершить определенные действия или осуществить определенную деятельность ) , а заказчик обязуется оплатить эти услуги.

2. Правила настоящей главы применяются к договорам оказания услуг связи, медицинских, ветеринарных, аудиторских, консультационных, информационных услуг, услуг по обучению, туристическому обслуживанию и иных, за исключением услуг, оказываемых по договорам, предусмотренным главами 37, 38, 40, 41, 44, 45, 46, 47, 49, 51, 53 настоящего Кодекса.

Таким образом, оказание информационной услуги клиенту со стороны банка может быть основано на договоре возмездного оказания информационных услуг. Если же информирование клиента является для банка надлежащим оказанием банком услуг по совершению операций с денежными средствами, исполнение банковской услуги включает обязанность информировать клиента о совершении каждой операции, то данные действия регулируются статьей 851 ГК РФ (Оплата расходов банка на совершение операций по счету).

1. В случаях, предусмотренных договором банковского счета, клиент оплачивает услуги банка по совершению операций с денежными средствами, находящимися на счете.

Как видим, мнение о взимании платы банком за информирование основано на законе. Но если банк не желает спорить с регулятором, а исполнение обязанности по информированию все равно влечет определенные затраты, то они могут быть просто спрятаны в тарифах. С одной стороны, и регулятор доволен — плата за услугу не взимается (в явном виде) и банк не в убытке (стоимость услуги возложена на всех клиентов, в том числе и тех, кто ею не пользуется).

Еще один сложный вопрос, неурегулированный законом, — когда наступает момент получения клиентом информации об операции? Так как «обязанность оператора по переводу денежных средств по направлению клиенту уведомлений, предусмотренных настоящим Федеральным законом, считается исполненной при направлении уведомления в соответствии с имеющейся у оператора по переводу денежных средств информацией для связи с клиентом» (часть 13 статьи 5), а право оспорить операцию у клиента возникает после получения уведомления, то возникает проблема: что является получением со стороны клиента уведомления о совершенной операции? Когда сообщение направлено со стороны банка клиенту, когда сообщение доставлено до телефона (SMS), электронного почтового ящика (e-mail), обычного почтового ящика (письмо) или когда сообщение прочитано клиентом?

Кредитная организация в соответствии с договором об использовании ЭСП вправе устанавливать :

срок ( с учетом используемого способа уведомления ) , когда уведомление считается полученным клиентом, а также порядок подтверждения полученных уведомлений клиентом и кредитной организацией [108] …

Банк может включить в договор условие, которое определяет, что при направлении банком SMS-сообщений или e-mail держателю, SMS-сообщение или e-mail считается полученным держателем в дату отправления SMS-сообщения или e-mail банком. Правомерно это?

Ответы на вопросы по применению статьи 9 Федерального закона «О национальной платежной системе» (ЦБ РФ):

3. В какой момент указанное уведомление считается полученным клиентом ?

Закон об НПС не определяет момент, в который уведомление об операции с использованием ЭСП считается полученным клиентом, данное положение целесообразно предусматривать в договоре в рамках установленного им порядка направления уведомлений клиенту.

Правомерность такого условия договора подтверждается и статьей 165.1 ГК РФ (Юридически значимые сообщения):

1. Заявления, уведомления, извещения, требования или иные юридически значимые сообщения, с которыми закон или сделка связывает гражданско-правовые последствия для другого лица, влекут для этого лица такие последствия с момента доставки соответствующего сообщения ему или его представителю.

Сообщение считается доставленным и в тех случаях, если оно поступило лицу, которому оно направлено ( адресату ) , но по обстоятельствам, зависящим от него, не было ему вручено или адресат не ознакомился с ним.

2. Правила пункта 1 настоящей статьи применяются, если иное не предусмотрено законом или условиями сделки либо не следует из обычая или из практики, установившейся во взаимоотношениях сторон.

Таким образом, держатель вынужден ежедневно проверять наличие сообщений от банка. Даже если при этом не пользуется картой, так как вероятность несанкционированной операции присутствует всегда, данное событие, в отличие от утраченной карты, клиентом не контролируется, а времени, чтобы заявить о ее несанкционированном характере, — не позднее дня, следующего за днем получения от банка уведомления. Если банк информирует клиента при помощи SMS-сообщений, клиент вынужден никогда не отключать телефон более чем на один день, даже находясь в роуминге, и ежедневно проверять SMS. Если банк информирует клиента при помощи e-mail, клиент вынужден ежедневно проверять электронную почту, то есть постоянно подключаться к Интернету. Если банк информирует клиента при помощи обычной почты, клиент вынужден ежедневно проверять почтовый ящик, если письма заказные / с уведомлением, то необходимо в момент доставки письма находиться дома либо ежедневно ходить на почту в отдел доставки. Что делать клиенту в случае невозможности ежедневно проверять сообщения от банка: командировка, отпуск, болезнь? Таких кабальных условий нет в цивилизованных странах. Обычная практика оказания банковских услуг обязывает клиента раз в месяц ознакомиться со всеми операциями по счету и в случае несогласия с какими-либо — подать уведомить об этом банк.

Согласно Закону № 161-ФЗ способ уведомления о несанкционированной операции опять выбирает не клиент, а банк. Очень распространенным способом является письменное заявление. Что делать клиенту, если он находится вне доступности офисов, отделений банка, в командировке, отпуске, за границей? Хорошо, если со стороны банка предусмотрены другие (юридически значимые) способы (формы) уведомления, а если нет?

6. Кредитной организации с учетом оценки риска рекомендуется определять способы и порядок информационного взаимодействия с клиентом, обеспечивающие ему исполнение обязанности по уведомлению кредитной организации в соответствии с частью 11 статьи 9 Закона об НПС [109] .

В пункте 15 статьи 9 Закона № 161-ФЗ содержится требование о возмещении средств по несанкционированным клиентом операциям, но срок возмещения не указан. Пункт 8 статьи 9 Закона № 161-ФЗ обязывает банк рассмотреть заявление клиента и предоставить ему письменный ответ о результатах рассмотрения в срок 30/60 дней. О возмещении денежных средств не упоминается. В случае принятия банком решения о возврате денежных средств срок возврата не обязательно должен укладываться в срок ответа на претензию. Закон не связывает дату принятия решения (возникновения обязательства) с датой исполнения данного обязательства.

8. В целях рассмотрения заявления клиента, касающегося совершения операций с использованием ЭСП без согласия клиента, кредитная организация может определять в договоре с клиентом :

указываемые клиентом в заявлении сведения и примерный перечень предоставляемых клиентом документов, соответствующих характеру использования ЭСП и операций, которых касается заявление клиента ;

примерный перечень документов, предоставляемых кредитной организацией по результатам рассмотрения заявления клиента в случае принятия решения об отказе в возмещении денежных средств по операциям, совершенным без согласия клиента ;

срок возмещения денежных средств по результатам рассмотрения заявления клиента по операциям, совершенным без согласия клиента, являющийся разумным [110] .

То есть перечень необходимых документов и срок возврата денежных средств опять определяет банк.

Пункт 15 статьи 9 Закона № 161-ФЗ определяет, что банк обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования платежной карты, что повлекло совершение операции без согласия клиента — физического лица.

Порядок использования карты определяет банк. Минимально — это могут быть требования о соблюдении мер по безопасному использованию карты: установка лимитов, гео— (страновых) фильтров, подписка на 3D Secure, требования хранить карту, не разглашать ПИН и др. Здесь достаточно широкое поле действия для банков и возможность в отказе по возврату средств по данному основанию.

Имеющаяся судебная практика говорит о хороших перспективах со стороны банков по выигрышу дел у клиентов. Посмотрим, что же суды считают в настоящий момент нарушением со стороны клиентов порядка использования карт:

…Обязанность сохранять в тайне ПИН-код, не передавать карту и ее данные иным, третьим лицам, возложена на истца

Дело № 33-41578

При проведении операций, осуществленных корректно, с соблюдением правил, предполагалось, что распоряжение на снятие денежных средств дано уполномоченным лицом, при этом обязанность сохранять в тайне ПИН-код и номер карты, не передавать карту или ее номер третьему лицу, возложена на истца.

Дело № 33-2824

Согласно пункту 6.3.2 Общих условий клиент обязан хранить в секрете ПИН-код и номер карты. Не передавать карту или ее номер третьему лицу. Использование карты третьим лицом будет рассматриваться банком как грубое нарушение договора и может повлечь за собой его расторжение банком в одностороннем порядке.

Дело № 33-5696

…Суд первой инстанции пришел к правильному выводу, что у банка имелись основания полагать, что распоряжение на снятие денежных средств дано уполномоченным лицом, установленные банковскими правилами и договором процедуры позволяли банку идентифицировать выдачу распоряжения уполномоченными лицами, при этом договором обязанность сохранять в тайне ПИН-код и номер карты, не передавать карту или ее номер третьему лицу возложена на истца.

Дело № 33-19210

Московский городской суд считает, что в случае несанкционированной операции с использованием ПИН-кода ответственность лежит на держателе, так как он не сохранил в тайне свой ПИН-код, то есть нарушил правила безопасного использования карты.

Мировой судья второго судебного участка Ленинградского района г. Калининграда, дело № 2-1869/2012, посчитал, что вина клиента состоит в том, что тот ранее пользовался своей картой в Интернете, что и привело к ее компрометации: «держатель международной банковской карты ранее пользовался услугами Интернета, сам вводил данные своей банковской карты в систему Интернет, следовательно, по его собственной инициативе данные международной банковской карты, держателем которой он является, стали известны неограниченному кругу лиц, что, видимо, позволило третьим лицам воспользоваться данными карты истца в системе Интернет и произвести списание денежных средств по банковской карте».

Один из недостатков Закона видится в том, что на банки возлагается ответственность по утраченным (украденным, утерянным) платежным картам клиентов физических лиц до момента получения ими уведомления об утрате карты. Таким образом, с одной стороны, держатель лишен мотивации безопасного, бережного хранения карты, а банки будут вынуждены нести дополнительные расходы в связи с данным видом потерь. Потери могут возникнуть как в связи с халатным, небрежным отношением держателей к картам (зачем держателю заботиться о безопасности карты — если что-то случится, банк обязан компенсировать ущерб, тем более что закон позволяет клиенту сообщить об утрате карты не сразу, а только на следующий день после того, как по ней пройдут операции), так и вследствие преднамеренных противоправных действий с их стороны (мошенничества). При этом обязанность доказывания, что клиент нарушил порядок использования карты, возложена на банки. Каким образом банки могут доказать, что клиент что-то нарушил? Федеральный закон от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности» запрещает неуполномоченным лицам заниматься оперативно-розыскными мероприятиями.

Статья 6. Оперативно-розыскные мероприятия

Запрещается проведение оперативно-розыскных мероприятий и использование специальных и иных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, не уполномоченными на то настоящим Федеральным законом физическими и юридическими лицами.

Список органов, имеющих такое право, определен, и банки в него не входят.

Статья 13. Органы, осуществляющие оперативно-розыскную деятельность

На территории Российской Федерации право осуществлять оперативно-розыскную деятельность предоставляется оперативным подразделениям:

1. Органов внутренних дел Российской Федерации.

2. Органов Федеральной службы безопасности.

4. Федерального органа исполнительной власти в области государственной охраны.

6. Таможенных органов Российской Федерации.

7. Службы внешней разведки Российской Федерации.

8. Федеральной службы исполнения наказаний.

9. Органов по контролю за оборотом наркотических средств и психотропных веществ.

Закон РФ от 11.03.1992 № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации» также не предоставляет для банков такой возможности.

Статья 3. Виды охранных и сыскных услуг

Частная детективная и охранная деятельность осуществляется для сыска и охраны.

В целях сыска разрешается предоставление следующих видов услуг:

1) сбор сведений по гражданским делам на договорной основе с участниками процесса;

2) изучение рынка, сбор информации для деловых переговоров, выявление некредитоспособных или ненадежных деловых партнеров;

3) установление обстоятельств неправомерного использования в предпринимательской деятельности фирменных знаков и наименований, недобросовестной конкуренции, а также разглашения сведений, составляющих коммерческую тайну;

4) выяснение биографических и других характеризующих личность данных об отдельных гражданах (с их письменного согласия) при заключении ими трудовых и иных контрактов;

5) поиск без вести пропавших граждан;

6) поиск утраченного гражданами или предприятиями, учреждениями, организациями имущества;

7) сбор сведений по уголовным делам на договорной основе с участниками процесса. В течение суток с момента заключения контракта с клиентом на сбор таких сведений частный детектив обязан письменно уведомить об этом лицо, производящее дознание, следователя или суд, в чьем производстве находится уголовное дело;

8) поиск лица, являющегося должником в соответствии с исполнительным документом, его имущества, а также поиск ребенка по исполнительному документу, содержащему требование об отобрании ребенка, на договорной основе с взыскателем.

Получается, что реальная (не формальное нарушение — например, если операция ПИНовая, то клиент разгласил ПИН-код) возможность выяснить, действительно ли клиент нарушил правило использования карты, для банков существует только в рамках расследования уголовных дел. Самые распространенные на сегодняшний день уголовные дела, связанные с платежными картами, — это хищение денежных средств с похищенных карт с использованием ПИН. Такие дела раскрываются при активной помощи потерпевшего (держателя карты), так как именно он заявляет в полицию о хищении карты, ПИН-кода и обстоятельствах, при которых это произошло. При этом держатель карты не скрывает фактов нарушения с его стороны мер по безопасному использованию карты:

…Находясь в доме… у своей знакомой К., О., имея умысел на тайное хищение чужого имущества и преследуя корыстную цель, со шкафа похитила пластиковую кредитную карту Банка « ВТБ24 » , принадлежащую К., и лист бумаги с записью ПИН-кода данной карточки.

Дело № 1-13-2010

…Взял с батареи отопления пластиковую банковскую карту « Виза электрон » , принадлежащую Л. После чего в период времени <обезличено> этого же дня из банкомата « Севергазбанк » , расположенного в помещении магазина « <обезличено> » по адресу : <обезличено> Б.Д. В. снял деньги, введя ПИН-код, который был записан на пластиковой карте.

Дело № 1-54/2012

…Путем свободного доступа зашел в спальную комнату своей матери Б.С. И., откуда со шкафа серванта, расположенного у правой стены комнаты, похитил кредитную карту ОАО « ОТП-Банк » , принадлежащую Б.С.И., и, запомнив секретный ПИН-код карты — __№__, указанный на отдельном конверте кредитной карты, в этот же день передал ее своему другу С.О.И. для дальнейшего хищения со счета данной карты денежных средств.

Дело № 1-55/2011

…Из сумки ФИО7, висевшей на вешалке, похитила принадлежащие ФИО7 кошелек с находящейся в нем кредитной картой ЕС/МС CR MASS № ОАО « Сбербанк России » на ее имя и фрагментом листа бумаги с ПИН-кодом.

Дело № 1-41/2011

…Подсмотрел комбинацию цифр ПИН-кода банковской карты потерпевшего. Приобретя спиртное и продукты питания, В. В. А. и ФИО5 прошли к потерпевшему. Находясь в данной квартире, потерпевший, в силу значительного употребления спиртного, уснул. В. В. А., воспользовавшись этим, и осознавая, что ФИО5 не контролирует ее действия, тайно из кошелька потерпевшего похитила не представляющую материальной ценности банковскую карту на имя ФИО5.

Дело № 1-142/2011

…Похитила из женской сумочки банковскую карту банка ОАО « … Банк » и отрезок бумаги, на котором был записан ПИН-код.

Дело № 1-523-2011

Платежные системы и ЦБ РФ активно подвигают банки использовать защищенную технологию микропроцессорных платежных карт, операция по чиповой карте в чиповом терминале (банкомате) с использованием ПИН-кода считается наиболее безопасной. Но Федеральный закон № 161-ФЗ говорит, что клиент имеет право отказаться от такой операции. Включение в договор (условия использования карты) требования и ответственности держателя по сохранности карты и ПИН-кода представляется не совсем законным. Так как часть 11 статьи 9 прямо указывает на возможность со стороны клиента утраты электронного средства платежа (карты и ПИН-кода) и его использования без согласия клиента. А часть 1 статьи 16 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» говорит о недействительности условий договора, ущемляющих права потребителя по сравнению с правилами, установленными законам.

1. Условия договора, ущемляющие права потребителя по сравнению с правилами, установленными законами или иными правовыми актами Российской Федерации в области защиты прав потребителей, признаются недействительными.

Более того, за это предусмотрена административная ответственность.

Статья 14.8 Кодекса Российской Федерации об административных правонарушениях. Нарушение иных прав потребителей

2. Включение в договор условий, ущемляющих установленные законом права потребителя, —

влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.

Ответственность клиента в случае утраты карты может быть предусмотрена только в случае его вины, например нарушения правил безопасного использования карты, халатного хранения (забыл, оставил, потерял) и т. п. В случае противоправных действий третьих лиц в отношении клиента, например карта была похищена или осуществлен скимминг, вины клиента в утрате карты (ПИН-кода) нет, следовательно, он не должен нести за это ответственность. Чтобы установить вину клиента, банку необходимо требовать указания в заявлении факта, что карта украдена или потеряна (халатность — наличие вины). В случае несанкционированных операций в результате заражения компьютера, мобильного телефона и т. п. клиента вредоносным программным обеспечением (вирусом) банку необходимо выполнить рекомендации Центрального Банка России.

Письмо от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»

4.2.5. Предусматривать в договорах положения, в соответствии с которыми кредитная организация не несет ответственность в случаях финансовых потерь, понесенных клиентами в связи с нарушением и (или) ненадлежащим исполнением ими требований по защите от ВК клиентских АРМ систем ДБО, а также включать в договоры описание процедур разрешения споров, возникающих в связи с компрометацией аутентификационной и идентификационной информации, используемой клиентами для доступа к системам ДБО (логины, пароли, биометрическая информация и тому подобное) и (или) с нарушениями в работе клиентских АРМ систем ДБО, в том числе являющимися следствием воздействия на клиентские АРМ ВК (вредоносный код).

После вступления в силу статьи 9 Закона № 161-ФЗ держателю заявление в полицию писать не нужно: если он вовремя уведомил банк о несанкционированной операции по утраченной карте, то ответственность за такие операции возлагается на банк. При этом уже банк будет направлять заявление в полицию о совершенном преступлении. Но если в рамках расследования уголовного дела или доследственной проверки держатель карты правдиво сообщит все обстоятельства утраты карты/ПИН-кода, то существует вероятность, что будет установлено нарушение со стороны клиента мер безопасности и держатель потеряет право на возмещение Банком денежных средств. Получается, что держатель не заинтересован сотрудничать с правоохранительными органами с целью установления преступника, а Закон № 161-ФЗ способствует латентности преступлений в сфере платежных карт.

На сегодняшний момент латентность (скрытность) преступлений в сфере банковских платежных карт достигает 95–99 %. То есть правоохранительными органами возбуждаются уголовные дела только по 1–5 % от общего количества преступлений. Поскольку затраты банков на компенсацию потерь по утраченным картам возрастут, банки будут вынуждены увеличить стоимость самого продукта (банковской карты). Потери по утраченным картам нерадивых, халатных клиентов и даже просто мошенников будут оплачивать добросовестные держатели карт, которые свои карты не теряют (аналогия с кредитами: невозвращенные средства оплачивают добросовестные заемщики; чем больше невозвратов, тем дороже процентная ставка по кредиту). При этом мошенник выполнит все условия, пострадает добросовестный клиент. Для держателей стоимость банковской карты увеличится, возрастут ограничения, лимиты.

Представляется, что в связи с этим более правильно было бы законодательно определить следующее. Риск убытков в случае причинения ущерба при отсутствии вины клиента несет эмитент (банк) инструмента безналичных расчетов (электронного средства платежа). Наличие вины клиента — физического лица доказывается эмитентом (банком). В случае утраты клиентом инструмента безналичных расчетов (электронного средства платежа) риск убытков несет клиент до момента соответствующего уведомления эмитента (банка), после момента уведомления — риск убытков несет эмитент (банк).

4.3. Методы и инструменты оценки рисков на базе мониторинга карточных транзакций

Под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (Федеральный закон «О техническом регулировании» № 184-ФЗ). Оценка рисков — это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат (ГОСТ Р 51897 «Менеджмент риска. Термины и определения» и ГОСТ Р ИСО/МЭК17799 «Информационная технология. Практические правила управления информационной безопасностью»).

Начальным этапом является идентификация риска, то есть процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен, оценка представляет собой общий процесс анализа риска и его оценивания. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.

В результате обмена информацией о риске и его осознании может быть принято решение о его обработке, то есть о выборе и осуществлении мер по модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).

Система управления рисками в платежной системе (Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе») есть комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы с учетом размера причиняемого ущерба. Оператор платежной системы (организация, определяющая правила платежной системы, а также выполняющая иные обязанности в соответствии с упомянутым законом) обязан определить одну из следующих используемых в платежной системе организационных моделей управления рисками в платежной системе:

— самостоятельное управление рисками в платежной системе оператором платежной системы;

— распределение функций по оценке и управлению рисками между оператором платежной системы, операторами услуг платежной инфраструктуры и участниками платежной системы;

— передача функций по оценке и управлению рисками оператором платежной системы, не являющимся кредитной организацией, расчетному центру.

Система управления рисками должна предусматривать следующие мероприятия:

1) определение организационной структуры управления рисками, обеспечивающей контроль за выполнением участниками платежной системы требований к управлению рисками, установленных правилами платежной системы;

2) определение функциональных обязанностей лиц, ответственных за управление рисками, либо соответствующих структурных подразделений;

3) доведение до органов управления оператора платежной системы соответствующей информации о рисках;

4) определение показателей бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;

5) определение порядка обеспечения бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;

6) определение методик анализа рисков в платежной системе, включая профили рисков, в соответствии с требованиями нормативных актов Банка России;

7) определение порядка обмена информацией, необходимой для управления рисками;

8) определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев;

9) определение порядка изменения операционных и технологических средств и процедур;

10) определение порядка оценки качества функционирования операционных и технологических средств, информационных систем независимой организацией;

11) определение порядка обеспечения защиты информации в платежной системе.

Банковская карта как инструмент для совершения безналичных операций по счету клиента в банке-эмитенте относительно обеспечения безопасности:

— может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к счету владельца инструмента;

— может быть ненадлежащим образом использована самим клиентом.

С введением в действие упомянутого закона № 161-ФЗ существовавшие с момента появления банковских карт риски должны обрабатываться следующим образом (в терминах закона банковская карта — это электронное средство платежа, клиентом является физическое лицо) согласно статье 9:

• в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции (часть 11);

• после получения оператором по переводу денежных средств уведомления клиента оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления (часть 12);

• в случае если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции, то он обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента (часть 13);

• в случае если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции и клиент не направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента (часть 14);

• в случае если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента и клиент направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента — физического лица (часть 15).

Таким образом, нормативные документы устанавливают требования к оценке рисков в платежной сфере, что, с одной стороны, приводит к необходимости их измерения, а с другой — к выбору адекватных средств и инструментов для их предотвращения или снижения до приемлемого уровня.

4.3.1. Количественная оценка рисков

В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий.

Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь. Если переменные — качественные величины, то метрическая операция умножения не определена и в явном виде применять эту формулу нельзя.

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза, уязвимость, цена потери. При этом

тогда:

Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.

Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:

— экспертные оценки;

— статистические данные;

— учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят.

4.3.2. Оценка рисков, связанных с мошенничеством

Риски, связанные с мошенничеством в платежной системе, могут быть оценены количественно, потому что они связаны с проведением несанкционированных транзакций по счету клиента банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен

где Р мош — вероятность проведения мошеннической транзакции по карте,

S сум — величина доступных средств на счете (в рамках дебетового или кредитного договора банка с клиентом).

Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических транзакций, поскольку величина доступных средств на счете клиента банка известна.

В соответствии с ранее приведенным определением мошенническая операция — операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Мошенническая транзакция может быть совершена при одновременном выполнении следующих условий (рис. 4.2):

— компрометация данных карты — скомпрометированы данные магнитной полосы карты и (или) ПИН-код, ее реквизиты и (или) пароль для операций безопасных платежей в Интернете 3D Secure;

— использование данных карты — для мошенничества по поддельным картам это означает изготовление карты, которая может быть принята к оплате в торгово-сервисном предприятии (ТСП) или банкомате;

— инициирование транзакции — злоумышленник инициирует транзакцию с использованием поддельной карты или скомпрометированных реквизитов;

— завершение транзакции — для операций, проводимых в режиме реального времени (онлайн) это означает авторизацию эмитентом, для операций офлайн — проведение операции по счету карты.

Рис. 4.2. Этапы совершения мошеннической транзакции

Из вышеизложенного следует, что вероятность проведения мошеннической операции Р мош с учетом формул условной вероятности и (1) можно определить следующим образом:

где Р (кпр) — вероятность компрометации данных карт, необходимых для проведения мошеннической транзакции,

P (исп | кпр) — вероятность использования скомпрометированных данных (например, для изготовления поддельной карты),

Р (поп | кпр · исп) — вероятность проведения несанкционированной транзакции (успех попытки проведения);

Р (обн) — вероятность обнаружения несанкционированной операции эмитентом.

4.3.3. Типы мошенничества

В соответствии с общепринятой классификацией существуют следующие типы мошенничества:

1) использование неполученных карт;

2) использование поддельных карт;

3) проведение транзакций с использованием реквизитов карт;

4) использование украденных или утерянных карт;

5) несанкционированное использование персональных данных держателя карты и информации по счету клиента;

6) другие виды мошенничества.

Следует отметить, что последний тип мошенничества относится к таким несанкционированным операциям, тип которых (из 1–5) определить затруднительно. Фактически данный тип используется для информирования МПС о мошенничестве при условии сложности однозначного установления его типа. Далее рассмотрим особенности мошеннических транзакций типов 1–5 и расчет вероятности успешного проведения мошеннической операции Р мош по формуле (2).

4.3.3.1. Неполученные карты

Данный риск существует для банка-эмитента в том случае, если технологически предусмотрена возможность получения клиентом карты иная, чем лично в руки. Безопасность получения карты держателем обеспечивается организационными и технологическими мерами (например, активация карты клиентом, отсутствие денежных средств на карте до момента активации). В связи с этим данный тип мошенничества рассматривать при расчете рисков не будем.

4.3.3.2. Поддельные карты

Поддельность объекта можно определить по совокупности следующих признаков:

— объект обладает характерными качествами подлинного;

— не соблюдены правила изготовления объекта (технические или правовые);

— цель изготовления или использования поддельного объекта — использование по назначению.

Для проведения транзакции по поддельной карте в ТСП злоумышленник должен представить к оплате карту, внешне похожую на настоящую, чтобы ее «поддельность» не была заметна для кассира. При этом ПИН-код злоумышленнику может не понадобиться, если он не требуется в качестве способа аутентификации держателя такой карты.

Мошенническая транзакция в банкомате может быть проведена только при условии знания злоумышленником ПИН-кода, при этом внешний вид поддельной карты не должен соответствовать оригиналу (может быть использован так называемый белый пластик), поскольку визуальная проверка подлинности карты не производится.

Из вышеизложенного следует, что при знании ПИН-кода поддельная карта будет использована в банкомате, а если ПИН-код неизвестен — то в ТСП. В обоих случаях для изготовления подделки нужны данные магнитной полосы карты — трека. Следует отметить, что в случае микропроцессорной карты для обеспечения обратной технологической совместимости карта часто содержит также и магнитную полосу. В настоящее время злоумышленники подделывают банковские карты, в основном используя существующие уязвимости карт с магнитной полосой. Также обнаружены и опубликованы уязвимости в технологии EMV, приводящие к компрометации данных карты и ПИН-кода, несанкционированной модификации параметров транзакции.

Таким образом, риск по поддельным картам можно рассматривать как сумму двух рисков: с неизвестным злоумышленнику ПИН-кодом и наличием поддельной карты, и поддельной карты с ПИН-кодом, то есть

Определим

С учетом доступных средств на счете клиента для проведения операций в ТСП риск по поддельной карте без знания злоумышленником ПИН-кода можно определить следующим образом:

Величина S сум ТСП . может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.

В случае если злоумышленнику известен ПИН-код:

Вероятность Р под_ПИН (поп | кпр · исп) в формуле (7) равна 1 (поскольку банкомат не осуществляет визуальную проверку подлинности карты) во всех случаях, кроме того, когда поддельная карта является картой с магнитной полосой без чипа, но содержит сервис-код микропроцессорной карты (первая цифра равна 2 или 6) и банкомат оборудован устройством чтения чипа — в этом случае обслуживания карты банкоматом по магнитной полосе не произойдет. Поэтому формулу (7) можно представить в виде

Величина S сум БКМ может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение транзакций в банкоматах, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.

Исходя из формул (3), (6) и (9), риск по поддельной карте рассчитывается следующим образом:

4.3.3.3. Транзакции без присутствия карты

На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции — 3D Secure. Если транзакция без присутствия карты проведена не с использованием защищенного протокола, то ответственность за мошенничество возлагается на банк-эквайрер. Тем не менее до сих пор большая часть транзакций в Интернете проводится без использования безопасных протоколов. Часто для проведения транзакции в интернет-магазине достаточно просто номера карты, и, дополнительно, срока действия, кода верификации карты CVC2/CW2. Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов, которые, несмотря на запреты и требования безопасности (включая PCI DSS), хранят в своих системах номера карт, сроки действия, CW2/CVC2, иные данные, используемые при осуществлении транзакций.

Из сказанного можно сделать несколько важных выводов:

• возможна компрометация данных банковских карт после проведения легальных транзакций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов;

• если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую транзакцию, как правило, лежит на эмитенте.

Определим

Из формул (3) и (11) следует, что риск по транзакциям без присутствия карты:

4.3.3.4. Украденные и утерянные карты

До момента вступления в силу положений Закона «О национальной платежной системе» № ФЗ-161 в части ответственности банков по несанкционированным транзакциям ответственность за совершенные по утраченным или украденным картам транзакции, в соответствии с договором между банком-эмитентом и держателем карты, часто лежала на последнем. В связи с новыми требованиями закона риски по таким транзакциям банк должен учитывать и обрабатывать, полностью перенести его на клиента теперь не представляется возможным.

Карта может быть утрачена вместе с ПИН-кодом либо без него. В первом случае, который означает совместное хранение карты и ПИН-кода держателем карты, злоумышленник скорее воспользуется картой для получения наличных денежных средств в банкомате. Если же ПИН-код неизвестен, то вероятно проведение мошеннических транзакций в ТСП. Также встречаются факты использования реквизитов физически утерянных карт в Интернете. Определим

При наличии у злоумышленника утраченной карты не требуется изготовление подделки или использование скомпрометированных данных — и подлинная карта, и ее реквизиты доступны. Таким образом, Р утр (исп | кпр) = 0 и с учетом (10) при условии использования поддельной карты либо в банкомате, либо в ТСП:

4.3.3.5. Использование данных клиента и информации по счету

Риск складывается из:

— риска, связанного с использованием персональных данных держателя карты или информации по его счету для открытия нового счета;

— риска, связанного с захватом уже открытого счета.

4.3.4. Расчет рисков для банка-эмитента

Для выявления мошенничества и принятия решений по подозрительным транзакциям в соответствии с полученными ранее результатами следует получить значения следующих величин:

— риск мошенничества по поддельным картам;

— риск мошенничества по транзакциям без присутствия карты;

— риск мошенничества по транзакциям, совершенным с помощью утраченных карт.

Установим следующие исходные предположения при получении количественной оценки рисков:

• имеется база данных совершенных мошеннических транзакций (как удачных, так и пресеченных, как с наличием ущерба, так и без такового);

• имеются данные по всем транзакциям со всеми банковскими картами в платежной системе конкретного банка-эмитента;

• по каждой карте банка-эмитента имеются данные по истории всех транзакций, истории движения средств по счету карты, история изменений статуса карты, история и параметры изменения ограничений операций с картой, дополнительные признаки карты;

• нет никаких специальных данных по уровню осведомленности держателя карты в вопросах информационной безопасности, соблюдения рекомендаций по безопасному использованию карты;

• каждая совершенная клиентом транзакция по карте увеличивает риск проведения мошеннических транзакций в дальнейшем за счет увеличения вероятности компрометации данных карты;

• вероятности обнаружения мошеннических операций с помощью системы мониторинга транзакций (далее — СМТ) в платежной системе зависят только от типа мошенничества.

Заданы критерии риска для оценивания:

Далее следует определить требования к СМТ при ее выборе и эксплуатации.

4.3.5. Системы мониторинга транзакций в платежной системе

Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия со стороны клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для уменьшения рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности платежной системе и должны проводиться в рамках мероприятий по управлению операционным риском в банке.

Характерной особенностью современной задачи защиты информации является комплексность защиты. Под комплексностью понимается решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). Так, MasterCard определяет следующие методы и средства защиты платежной системы от мошенничества и снижения рисков: юридические аспекты, взаимодействие участников, обучение, аналитическая работа, расследования, отчетность, мониторинг, продукты и сервисы. В смысле обеспечения защиты платежной системы от мошенничества следует говорить об инструментальной комплексности и рассматривать СМТ как один из применяемых инструментов.

Как было отмечено ранее (рис. 4.2, для проведения мошеннической транзакции необходимы компрометация данных, их использование злоумышленником и инициирование транзакции. Если эти три условия выполнены, то результат выполнения операции (в случае проведения операции в режиме реального времени — авторизации) определяется эмитентом. При этом следует учитывать способность эмитента до формирования ответа на запрос авторизации проводить его проверку на предмет возможного мошенничества (мониторинг в режиме реального времени).

СМТ предназначена для противодействия мошенничеству на самом последнем этапе, когда мошенническая транзакция уже инициирована и может быть завершена.

Далее сформулируем общие требования к СМТ и задачи мониторинга транзакций в платежной системе:

1. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых транзакций по банковским картам в платежной системе и принятие решений по подозрительным на предмет мошенничества транзакциям для уменьшения рисков.

2. Система мониторинга транзакций является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности платежной системы банка.

Выбор той или иной СМТ банком должен основываться на анализе рисков. Система должна использоваться для снижения финансовых потерь банка и держателей карт (в случае мониторинга эмиссии), снижения недовольства клиентов и повышения доверия к банку.

В стандарте СТО БР ИББС-1.0-2010 мониторинг информационной безопасности (ИБ) организации банковской системы РФ определяется как постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения. Событием мониторинга в данной терминологии является любое событие, имеющее отношение к ИБ. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели.

Исходя из определения ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», мониторинг безопасности информации представляет собой постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

По терминологии МПС под транзакцией (или операций) понимается одно из следующих определений:

— инициируемая держателем карты последовательность сообщений, вырабатываемых и передаваемых друг другу участниками системы для обслуживания держателей карт, при соблюдении свойств неделимости (должны выполняться все составляющие транзакции или не выполняться ни одна), согласованности (транзакция не нарушает корректности информации в базах данных), изолированности (отдельная транзакция не зависит от других), надежности (завершенная транзакция должна восстанавливаться после сбоя, а незавершенная — отменяться);

— единичный факт использования карты для приобретения товаров или услуг, получения наличных денежных средств или информации по счету, следствием которого является дебетование или кредитование счета клиента.

Таким образом, СМТ в платежной системе является одним из средств выявления и противодействия мошенничеству с банковскими картами.

4.3.5.1. Классификация СМТ

На рисунке 4.2 приведена классификация СМТ.

По скорости реагирования СМТ предлагается подразделять на следующие классы:

1. Системы реального времени (онлайновые, on-line). Такие системы работают в реальном времени, есть возможность влиять на результат авторизации транзакции.

2. Системы псевдореального времени (псевдоонлайновые, pseudo-online, near-online). Анализ транзакций проводится в реальном времени, но невозможно влиять на результат авторизации. Решение может быть принято только после завершения подозрительной (мошеннической) транзакции.

3. Системы отложенного режима (офлайновые, off-line). Периодически (ежедневно, еженедельно и т. д.) формируются специальные отчеты, на основе анализа которых принимаются решения.

По типу принятия решений:

1. Автоматические. Решение по транзакции принимается системой автоматически без участия человека.

2. Автоматизированные. Система предоставляет уполномоченному сотруднику (оператору) информацию для принятия им решения по данной транзакции.

По информации, используемой при анализе:

1. Системы, использующие только данные самой транзакции. В анализе учитываются только параметры транзакции (в соответствии со стандартом ISO 8583) — сумма, название ТСП, категория ТСП, страна и т. д.

2. Системы, привлекающие для анализа историю операций по карте/ТСП. При анализе используется история по прошедшим операциям по данной карте/ТСП.

3. Системы, использующие модели поведения держателей карт и ТСП. Система строит и (или) использует модели поведения держателей карт и ТСП. Анализ транзакции проводится в соответствии с имеющейся моделью, на основании отклонения поведения от модели транзакция признается подозрительной.

По используемому математическому аппарату для анализа:

1. Системы на основе простых логических проверок. Логические проверки включают операции >, <, =, ≠.

2. Системы, использующие статистические методы. К используемым методам относятся методы описательной статистики, корреляционного анализа, регрессионного анализа.

3. Системы, привлекающие методы интеллектуального анализа данных (без использования нейронных сетей). Методы интеллектуального анализа данных (data mining), применяемые в анализе транзакций, могут включать методы классификации и прогнозирования, кластерного анализа, поиска ассоциаций.

4. Системы на основе нейронных сетей. Анализ операций проводится на основе адаптивных схем, построенных на нейронных сетях, что позволяет также выявлять ранее неизвестные схемы мошенничества. Эти системы являются дорогостоящими и требуют существенных ресурсов для настройки (обучения нейронной сети).

Рис. 4.3. Классификация СМТ

По типу анализируемых транзакций подразделяются на два класса:

1. Эмиссионные. Анализируются транзакции по картам, выпущенным банком.

2. Эквайринговые. Анализируются транзакции в эквайринговой сети банка.

По способу взаимодействия с процессинговым центром (ПЦ):

1. Интеграция. СМТ расположена в ПЦ и интегрирована с транзакционной и другими автоматизированными системами (например, почтовой, отправки SMS-сообщений и др.).

2. Как сервис. Услуги мониторинга предоставляются как сервис, обеспечивается взаимодействие ПЦ с удаленным сервисом.

МПС MasterCard рекомендует также осуществлять мониторинг эмитентом следующих событий и параметров:

— атаки по сгенерированным номерам карт;

— отрицательные результаты проверок кодов верификации карты;

— операции по картам с истекшим сроком действия;

— транзакции по неверным номерам карт;

— транзакции в возможных точках компрометации;

— операции кредитования и отмены авторизации торговой точкой;

— списки неиспользуемых карт.

Требования к мониторингу эквайринга достаточно похожи, но в них объектами мониторинга являются терминалы и счета ТСП. Рекомендуется учитывать средние суммы транзакций и количество транзакций по терминалу или счету за период.

Требования МПС относятся, прежде всего, к мониторингу в отложенном (офлайн) режиме, иные временные варианты мониторинга в настоящий момент не являются обязательными. Кроме того, проведенный автором анализ текущей ситуации с мошенничеством показывает, что эти меры являются в современных условиях недостаточными.

В связи с этим банк должен разработать собственную политику управления рисками в платежной системе и выбрать ту СМТ, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. При этом на практике следует добиться допустимого баланса между следующими показателями:

— принятие неадекватных решений по ограничению операций для немошеннических операций;

— пропуск мошеннических операций;

— число сообщений, генерируемых СМТ, об операциях, не являющихся мошенническими;

— величины рисков с учетом работы СМТ и принимаемых на ее основе решений.

В случае выявления подозрительной транзакции банк может предпринять следующие меры ограничения негативных последствий:

• отказ в авторизации этой подозрительной транзакции, если технически это возможно (в данном случае речь идет о мониторинге в режиме реального времени в соответствии с приведенной классификацией);

• блокировка карты, делающая невозможным совершение последующих транзакций по ней (банк-эмитент);

• установка ограничений по последующим операциям на величины покупок в ТСП за период, снятия наличных денежных средств в банкоматах и пунктах выдачи наличных (ПВН) за период, общей суммы операций за период (банк-эмитент);

• установка ограничений по последующим операциям на регион использования карты или категорию ТСП (банк-эмитент);

• информирование держателя карты о подозрительной транзакции, например посредством SMS-уведомлений (банк-эмитент);

• ограничение транзакций в конкретном терминале ТСП или в ТСП (банк-эквайрер).

Реализация приведенных мер реагирования зависит от технических возможностей банка и принятой политики управления рисками, связанными с мошенничеством в платежной системе. Следует отметить, что сложность принятия решения по подозрительной транзакции заключается в том, что в случае пропуска мошеннической транзакции банк может понести финансовые потери, в случае установки ограничений операций по карте банком-эмитентом в результате легальной транзакции клиента возможно нанесение ущерба репутации, недовольство со стороны клиента и, возможно, его потеря.

4.3.5.2. Современные требования рынка к СМТ

Крупнейшие МПС Visa и MasterCard устанавливают общие требования к СМТ для банков в своих нормативных документах и приводят некоторые обязательные и рекомендуемые параметры мониторинга транзакций. Большинство этих параметров относятся к выявлению либо большого числа транзакций по карте или терминалу (торговой точке), либо больших сумм транзакций по карте или терминалу (торговой точке). Однако в настоящее время этих базовых требований недостаточно для построения эффективной СМТ.

По мере развития платежных технологий и внедрения различных средств и методов защиты от мошенничества требования к СМТ со стороны банков становятся все более детализированными, и в значительной степени они относятся к скорости работы системы (как в автоматическом режиме, так и с участием операторов) и удобству настройки и поддержания эффективности работы.

Наличие инструментов бизнес-анализа означает возможность использования в реальном времени различных аналитических методов, включая прогностические, адаптивные и статистические.

Охват всех сервисов и продуктов банка позволяет установить их характерные свойства, взаимосвязи и влияние на клиентов.

Модели поведения держателей карт и ТСП позволяют выявлять нехарактерные транзакции среди всех совершаемых за счет отсечения типичных, не мошеннических.

Обработка ложных срабатываний в автоматическом режиме позволяет системе повышать эффективность работы, снижая ошибки.

Поддержка процесса расследования обеспечивает не только выявление подозрительных и мошеннических транзакций, но и ведение всех процедур, выполняемых до момента завершения расследования и принятия окончательного решения по инциденту (включая взаимодействие с клиентом, внешними сторонами).

Управление инцидентами позволяет приоритезировать подозрительные транзакции (алерты по операциям с картой), обеспечивая быстрый анализ наиболее критичных и важных.

Генерация бизнес-правил — без участия вендора система позволяет автоматизировать создание и изменение существующих правил анализа транзакций в соответствии с текущими потребностями.

Настраиваемость графического пользовательского интерфейса способствует более удобному анализу транзакций, что снижает время реакции оператора и повышает эффективность всей системы в целом.

Мониторинг всех транзакций по счету означает анализ транзакций с использованием всех инструментов доступа к данному счету.

Использование данных из внешних систем позволяет автоматизировать разбор и загрузку в систему данных, используемых при анализе, например данных по мошенничеству в регулярных отчетах от МПС.

Интеграция данных позволяет использовать в системе данные из других систем банка, например системы расследования диспутов в платежной системе, систем Front-End и Back-Office и других.

Географическая гибкость обеспечивает выбор языка пользовательского интерфейса, поддержку различных валют.

Выбор аналитической модели в зависимости от данных транзакции — в системе существуют различные модели, конкретная может быть выбрана исходя из данных текущей транзакции.

Резервирование обеспечивает защиту наиболее критичных данных, реализуя различные политики создания резервных копий в зависимости от важности данных.

Нейронные сети предоставляют новые возможности по оценке подозрительности транзакции на предмет ее мошеннического характера за счет обработки данных по мошенническим и легальным транзакциям и построения соответствующих аналитических моделей.

Гибкая ценовая политика — в зависимости от количества объектов мониторинга (карты, терминалы/ТСП) и функциональных возможностей системы стоимость продукта или сервиса для клиента может различаться.

Наличие программ обучения для пользователей системы и ИТ-специалистов (администраторов, разработчиков) в настоящее время расценивается как достаточно важная характеристика системы.

Проактивное развитие системы — система развивается вендором согласно утвержденному плану развития, что позволяет поддерживать систему в актуальном требованиям рынка состоянии и предоставлять клиентам новые функции.

Зрелость продукта является немаловажным фактором, поскольку вендоры с большой и достаточно старой клиентской базой обладают важными знаниями в части противодействия мошенничеству в платежной сфере (в том числе с учетом региональных особенностей), которые используются в системе.

Адаптация продукта под нужды рынка и конкретных клиентов, включая технологическую гибкость.

Стабильность вендора гарантирует клиентам постоянную поддержку и развитие продукта.

Выбор конкретной СМТ должен быть обоснован текущими и прогнозируемыми потребностями, основываться на оценке рисков в платежной системе. Одним из вариантов решения задачи противодействия мошенничеству является разработка собственной СМТ. Выбору системы из существующих на рынке посвящен следующий раздел.

4.3.5.3. СМТ на рынке

Visa и MasterCard помимо упомянутых выше параметров мониторинга транзакций предлагают также решения в области противодействия мошенничеству. Visa предоставляет сервисы CyberSource Fraud Management для выявления и предотвращения мошенничества в сфере электронной коммерции, MasterCard — Expert Monitoring Solutions, обеспечивающие оценку транзакций как в реальном времени, так и после авторизации, в том числе с применением методов искусственного интеллекта. Один из обозначаемых плюсов решения MasterCard — это предоставление сервиса для банка, что не требует затрат на развертывание системы мониторинга на собственных серверах.

Несмотря на то что крупнейшие вендоры в мире предлагают услуги по мониторингу как сервис (First Data Fraud Management, FIS Card Fraud Management, TSYS Fraud Management), все же в настоящее время наибольшей популярностью пользуются СМТ, устанавливаемые на серверах банка или ПЦ.

В таблице 4.8 приведены основные поставщики СМТ в мире и их продукты.

Таблица 4.8. Основные поставщики СМТ в мире и их продукты

4.3.5.4. Введение новых условий мониторинга транзакций

Современная СМТ должна, помимо прочего, обеспечивать анализ транзакций на основе явно задаваемых правил. Это требуется банкам для быстрого противодействия вновь выявленным схемам мошенничества, приоритетного мониторинга некоторой группы карт (например, возможно скомпрометированных в некотором стороннем ПЦ в неопределенный интервал времени, причем число карт достаточно велико для их блокировки и перевыпуска), введения временных ограничений операций по некоторым картам и т. д. Эффективность действующих правил и критериев оценки транзакций также должна постоянно поддерживаться путем уточнения условий мониторинга. Общая схема управления условиями мониторинга в правилах анализа транзакций показана на рисунке 4.3.

Рис. 4.3. Управление условиями мониторинга

Каждый факт мошенничества должен анализироваться относительно того, выявлен ли он был или мог бы быть выявлен с помощью СМТ. Если мошенничество было обнаружено с помощью СМТ, то, возможно, требуется уточнение заданных условий анализа транзакций для более раннего обнаружения подобных фактов и (или) снижения количества ложных срабатываний по немошенническим транзакциям. В случае если мошенничество не было выявлено, следует рассмотреть вопрос о добавлении новых условий анализа транзакций в СМТ для того, чтобы аналогичные транзакции могли быть выявлены в дальнейшем.

При изменении заданных условий мониторинга и добавлении новых необходимо оценивать следующие величины:

— степень выявления транзакций определенной схемы мошенничества;

— возможные потери по мошенническим транзакциям, которые могут возникнуть в результате их пропуска при заданных условиях мониторинга;

— количество ложных срабатываний по немошенническим транзакциям;

— нагрузка на операторов СМТ, обрабатывающих подозрительные транзакции;

— нагрузка на операторов call-центра, обеспечивающих взаимодействие с держателями карт для подтверждения транзакций.

4.3.5.5. СМТ на основе нейронных сетей

Из предыдущих разделов становится понятно, что современная СМТ обеспечивает анализ транзакций как минимум на основе правил. Если у банка есть квалифицированные специалисты, способные создавать правила и поддерживать их в актуальном состоянии, то этого часто будет достаточно для организации эффективной защиты от мошенничества в платежной сфере и поддержания рисков на приемлемом уровне.

Тем не менее очень привлекательной выглядит возможность использования аналитических моделей на основе нейронных сетей. Основными преимуществами таких моделей являются построение на основе классифицированных данных о транзакциях (мошеннических и легальных) и их адаптивность с учетом появления информации о новых фактах мошенничества. К минусам следует отнести сложность построения, а также необходимость наличия моделей либо для каждого клиента/ТСП, либо для характерной группы клиентов/ТСП, поведение которых является достаточно типичным. Отдельно нужно строить модель мошенника либо модели для мошенничества различных типов.

Далее в данном разделе рассмотрим один из подходов к построению аналитической модели на основе нейронных сетей.

Задача, которую предстоит решить с использованием модели на основе нейронной сети, относится к распознаванию образов — следует проанализировать транзакцию и сделать вывод о ее принадлежности классу мошеннических, либо к классу легальных транзакций. Нейронные сети, используемые для распознавания, относятся к классу многослойных персептронов (рис. 4.4).

Рис. 4.4. Многослойный персептрон с одним промежуточным слоем

Обучение такой сети происходит следующим образом: каждой входной модели транзакции (вектору информационных признаков транзакции) ставится в соответствие целевое значение О, если транзакция легальная, и 1, если транзакция нелегальная (мошенническая). Вместе они составляют обучающую пару. Для обучения требуется несколько обучающих пар, обычно не меньше произведения количества нейронов в слоях сети. По входной модели транзакции вычисляется выход сети и сравнивается с соответствующим целевым значением. Разность между выходом сети и целевым значением используется для изменения весов дуг, связывающих нейроны в слоях. Эти изменения происходят в соответствии с некоторым алгоритмом, стремящимся минимизировать ошибку. Векторы информационных признаков из обучающей выборки последовательно подаются на вход сети, ошибки вычисляются и веса подстраиваются до тех пор, пока ошибка не достигнет заданного уровня. Следует отметить, что выходным значением может быть не 0 или 1, а, например, число в интервале от 0 до 1 включительно.

Этот процесс зависит от огромного числа факторов и далеко не всегда приводит к желаемому результату. Фактически используется метод проб и ошибок. Требуется опыт работы с нейронными сетями вообще и, в частности, с моделями транзакций, чтобы получить приемлемый результат.

В рассматриваемом подходе исходные признаки транзакции являются отправной точкой. На их основе получаются расширенные признаки транзакции, после чего формируются входные данные для нейронной сети — информационные признаки транзакции.

Таблица 4.9. Исходные признаки транзакции

Относительно представленных в таблице 4.9 данных следует сделать ряд замечаний:

1. Множества мошеннических и легальных транзакций должны быть четко разделимыми, что является необходимым условием обучения нейронной сети.

2. Многие мошеннические транзакции могут быть выявлены только при анализе последовательности транзакций, только по одной сделать вывод о ее мошенническом характере часто бывает невозможно.

Из этого следует, что если множества легальных и мошеннических транзакций плохо разделимы, что встречается достаточно часто (мошеннические транзакции, например, в Интернете на I-Times или Blizzard для одного клиента могут быть вполне типичными для другого), то обучить сеть на полном наборе таких «неразделяемых» данных не получится. Именно поэтому создаются отдельные модели для каждого клиента или каждой карты/терминала, что позволяет учесть особенности транзакций по конкретной карте или конкретному терминалу.

Второе замечание приводит к необходимости расширения набора признаков, которые следует использовать для обучения нейронной сети. Пример набора таких расширенных, то есть не содержащихся непосредственно в данных текущей транзакции, признаков приведен в таблице 4.10.

Таблица 4.10. Расширенные признаки транзакции

Нейронная сеть работает с числовыми значениями, поэтому на ее вход необходимо подавать соответствующие величины. Исходные и расширенные признаки транзакции следует преобразовать в числа, которые будут являться входными значениями для нейронной сети. Вариантами преобразования признаков транзакции может быть такое, которое дает бинарные значения (например, вход сети «транзакция в банкомате» может принимать значения 1 или 0) или действительные числа (например, отношение общей суммы покупок в ТСП за сутки к среднемесячному суточному значению по карте данного клиента или карточного продукта).

Число внутренних слоев может быть подобрано экспериментально, но рекомендуется выбирать не большое их число (2–3), иначе такая топология сети может препятствовать обучению сети. Так, проводимые эксперименты с многослойными нейронными сетями прямого распространения показывали неплохие результаты (сеть обучалась, ошибка не превышала заданной пороговой величины) при наличии двух скрытых слоев.

В СМТ аналитическую модель на основе нейронных сетей можно использовать совместно с другими методами. Например, так, как показано на рисунке 4.5. Первым шагом анализа эмитентской транзакции является извлечение профиля клиента (это может быть статистический профиль, построенный без привлечения методов нейронных сетей) и оценка транзакции на соответствие этому профилю. Такая проверка позволяет учесть характерные транзакции для клиента и снизить число ложных срабатываний на легальных транзакциях, которые для других клиентов могут являться подозрительными на предмет их мошеннического характера. Если транзакция соответствует профилю, то можно считать ее не подозрительной, то есть легальной.

Рис. 4.5. Комбинированная оценка эмитентской транзакции

Если транзакция не соответствует профилю клиента, то на втором шаге проводится оценка транзакции по модели мошенничества. Такая модель может быть единой в СМТ либо их может быть несколько для мошеннических транзакций разных типов — в любом случае ранее выявленные факты несанкционированных операций по другим картам служат сигналом к тому, что и данную транзакцию следует рассматривать как подозрительную. Если шаблон мошеннического поведения применим к данной транзакции — она считается подозрительной (мошеннической).

Третьим шагом является оценка транзакции по модели нейронной сети — ни легального, ни мошеннического характера у данной транзакции не выявлено, значит, следует провести нечеткую оценку с использованием нейросети. На основе выхода сети можно будет сделать вывод о том, считать ли транзакцию легальной или подозрительной.

В заключение следует отметить, что построение и обучение нейронной сети является весьма трудоемким процессом, сильно зависящим от качества и особенностей данных. Так, необходима точная классификация мошеннических и легальных транзакций — все ошибки в такой классификации приведут к неверному обучению сети. Также важно учитывать, что легальные транзакции для одной группы клиентов могут быть признаны мошенническими для другой, и без учета этой специфики провести адекватную оценку с приемлемым уровнем ошибок достаточно сложно (если вообще возможно).

4.3.6. Выводы

Риски, связанные с мошенничеством в платежной сфере, являются ее неотъемлемой характеристикой, полностью исключить которую невозможно. Рациональным представляется подход, связанный с количественной оценкой этих рисков и применением средств и инструментов для их уменьшения, среди которых системы мониторинга транзакций в настоящее время занимают важнейшее место.

Название книги

Мошенничество в платежной сфере. Бизнес-энциклопедия

Воронин Алексей С.

Глава 4

Мошенничество в сфере банковских платежных карт