Стоит ли судиться с банком из-за последствий хакерской атаки?
По информации компании RTM Group, занимающейся юридическим сопровождением информационной безопасности, в 2016 году российские суды рассмотрели 194 иска к банкам по поводу возмещения ущерба, связанного с использованием дистанционного банковского обслуживания (ДБО). В ДБО входит банкинг и транзакции, которые проводятся с помощью пластиковых карт. Результатом 158 судебных тяжб стал полный отказ истцам.
Полностью были удовлетворены лишь 13 из 163 исков физлиц и 2 из 31 иска юрлиц, частично – 19 и 2 соответственно. Даже те две компании, которые выиграли судебные процессы, получили крайне незначительную компенсацию: они подали иски на 301 млн рублей, но взыскать удалось лишь 32 тысячи. По словам эксперта RTM Group Евгения Царева, данные по суммам компенсаций физлицам получить не удалось по причине конфиденциальности. Сумма среднего иска граждан составила 412 647 рублей, юрлица хотели получить гораздо больше – в среднем 9,7 миллиона. Судились в основном со Сбербанком (140 исков).
В суды по поводу кибермошенничества обращаются редко. По данным Group-IB, хакеры со II кв. 2015 г. по I кв. 2016 г. только у владельцев смартфонов Android украли 348,6 млн рублей, рост хищений составил 471%. У юрлиц за это время похитили 956,1 млн рублей.
По словам замруководителя лаборатории компьютерной криминалистики Group-IB Сергея Никитина, вся ответственность за конфиденциальность паролей и ключей электронной подписи возлагается на клиентов. А хищения в основном происходят, когда защита файлов на их стороне не справляется с троянской программой финансовой направленности. Поэтому суд обычно выносит решение в пользу банка, ведь в обязанности кредитных организаций не входит обеспечение безопасной среды на стороне клиента.
Порой в хищении средств хакерам помогают сотрудники банка, которые имеют доступ к финансовой информации клиента, знают уязвимости в процессах банка, могут обойти систему безопасности. Однако клиентам от этого не легче: им приходится доказывать, что соблюдали условия договора и безопасность транзакций. Для этого нужно убедить суд в проблемах безопасности у банка, просрочке ключей безопасности, нарушениях требований Центробанка по безопасности – вариантов много. Но в большинстве случаев виноваты сами клиенты, поэтому они и не обращаются в суд.
Основатель юридической компании «Катков и партнеры» Павел Катков утверждает, что клиенты часто сами неосознанно создают все условия для хищений, поэтому их пассивность вполне логична. Неосторожный пользователь может работать в интернете с незащищенным соединением, некоторые хранят пароли и PIN-коды в папках с общим доступом, доверчиво вводят пароль, отвечая на письмо с незнакомого электронного адреса и т.п.
По словам антифрод-аналитика «Лаборатории Касперского» Дениса Горчакова, суды часто отказывают истцам на основании их же показаний. Люди, обращаясь с заявлением в банк, сами сознаются в нарушении условий договора ДБО. Пишут, например, что телефон, на который приходят одноразовые пароли, лежит без присмотра на столе бухгалтера, у гендиректора и главного бухгалтера один аккаунт, после выявления факта хищения проверка антивирусом показала наличие вредоносного ПО и проч.
