В Астане состоялся круглый стол «Кибер-мошенничество в сфере электронных финансовых услуг: причины и следствие», организатором которого является Палата Юридических консультантов Adilzanger, сообщает El.kz.
Открывая мероприятие, председатель палаты юридических консультантов Adilzanger Жибек Хамитова отметила, что мошенничество в сфере электронных финансовых услуг касается практически каждого четвертого казахстанца.
«Практически ежедневно к юристам, в том числе к нам, поступают многочисленные обращения, связанные с мошенничеством в сфере электронных цифровых услуг. Все мы знаем, что в социальных сетях распространено большое количество все новых и новых схем, которые используют мошенники. Но, к сожалению, мы должны отметить, что уровень защищенности граждан практически не совершенствуется. Такое положение дел буквально обезоруживает юристов, признанных защищать права граждан и практически исчерпавших все возможности, предоставленные нам законодательством», — отметила она.
Глава палаты подчеркнула, что преступная схема оформления кредитов мошенниками начинается с получения доступа к данным граждан. И при этом в большинстве случаев мошенники уже при первом контакте с жертвами знают их персональные данные, фамилия, имя, отчество, ИИН, адреса прописки.
Юристы не исключают, что базы данных могут продавать действующие или бывшие сотрудники банков или госорганов, которые имеют к ним доступ.
Зачем банкам доступ к интимным тайнам своих клиентов
Юридический консультант палаты Марина Лаптева провела анализ, какие персональные данные собирают финансовые организации о своих клиентах.
Вступая в отношения с финансовыми институтами, граждане передают в банки свои персональные данные, а другие организации (к примеру, «Первое кредитное бюро») собирают и обрабатывают их.
Наряду с обычными персональными данными, такими как фамилия, имя, отчество, ИИН, номер телефона, место работы, банки получают от граждан их биометрические данные, в том числе голосовой слепок.
«Мы передаем свои данные по согласию при подписании каких-либо заявлений, договоров и соглашений. Договоры банков в основном схожи, но имеют некоторые различия. К примеру, если вы обратились за подписанием обычного договора о выпуске и обслуживании платежной карточки, вам консультант в отделении банка никогда не покажет содержание этого договора. Вы даже не знаете, что вы его подписываете, и каждый раз, когда они меняют условия, вы по умолчанию присоединяетесь», — отметила юрист.
Так, в договоре на выпуск карты одного из крупнейших казахстанских банков страны в перечне данных, которые передает клиент, значатся: «получение банком информации о клиенте из государственной базы данных, родственные связи, иные государственной базы данных по родственным связям, в том числе о детях, персональные медицинские данные, а также иные виды охраняемых законом тайн».
Согласно статьи 144 Гражданского кодекса, к охраняемым законом тайнам относится тайна телефонных разговоров, тайна усыновления, семейная тайна, а также с недавнего времени в неё включена интимная тайна.
«Понятийный аппарат, конечно, утаивает, что такое интимная тайна, но теперь это понятие есть. И хочется спросить у банков, а зачем вам вот эти данные при обслуживании карты?», — задалась вопросом Марина Лаптева.
По мнению юриста, гипер расширенный список запрашиваемых данных нарушает статью 14 закона о персональных данных.
«Естественно, это все противоречит и статье 18 Конституции о том, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства. И в этих же соглашениях у многих банков (не скажу, что у всех), есть такой пункт, как разрешение публиковать все эти данные в общедоступных открытых источниках. Как вы думаете, для чего это? Моё предположение, чтобы прикрыть в случае утечки факт того, что вы же сами разрешили», — предположила она.
Кроме того, в договоре на выпуск банковской карты есть следующий пункт: «Настоящим клиент выражает своё безусловное и безотзывное согласие на использование банком биометрических данных в качестве способа идентификации, в том числе на снятие голосового слепка».
Юрист убеждена, что использование термина «безотзывное и безусловное» противоречит статье 8 Закона о персональных данных и о защите, потому что у клиентов банка всегда есть право отозвать свои персональные данные в случае, если у них нет непогашенных обязательств.
«Также хотелось бы обратить ваше внимание на бесконтрольность в вопросе навязывания банком ненужных клиентам услуг в договорах присоединения. И в согласии на заявления при выпуске карты и просто в заявлениях на регистрацию. Держим в голове, что вы пришли только открыть карту, но в договорах есть пункт, что «клиент заявляет о том, что он нуждается в предоставлении кредитов на постоянной основе». То есть вы им заявили, якобы, о том, что вы постоянно хотите получать эти кредиты. В связи с чем просит банк регулярно высылать ему предложение по кредитованию. И такой пункт вы подписали, когда перевыпускали карту», — проинформировала Марина Лаптева.
Кроме того, ряд банков при открытии банковской карты автоматически регистрируют за клиентом брокерский договор.
Недавно юристы решили провести юридический эксперимент. Они зарегистрировались в приложении одного из небольших банков, через который чаще всего мошенники берут кредиты на подставных лиц.
«Я зарегистрировалась в приложении, но не для оформления кредитов, и на первых этапах мне почему-то приходит сразу уведомление, что Первое кредитное бюро запрашивает доступ к удостоверению личности. ПКБ – это самостоятельное юридическое лицо, с ним мы взаимодействуем, когда получаем кредит. Как оно узнало о том, что я вообще скачала это приложение и прошла только первые два этапа регистрации? То есть этот банк, по логике вещей, скорее всего, автоматически передает данные в бюро без моего на то согласия», — подчеркнула юрист.
Как мошенники могут использовать биометрические данные казахстанцев
Новые технологии идентификации личности в виде голосовой биометрии создают большие риски. Такие новшества уже реализуются крупнейшими банками страны.
Так, по сайте одного из банков значится, что голосовая биометрия использует уникальность вашего голоса, фиксирует множество атрибутов голоса в ходе разговора оператором, в том числе звук, и обеспечивает надёжную безопасность ваших данных по сравнению с другими методами аутентификации.
Этот банк практически во все договора включил пункт о согласии на сбор и обработку голосовой биометрии.
«Однако банк умалчивает о рисках голосовой идентификации, и не говорит о том, кто и как будет нести ответственность за мошенничество путём голосовой биометрии. Финансовый регулятор вообще законодательно этот вопрос никак не урегулировал. Более того, на практике имеются факты, когда банк уже разговаривал с мошенником, думая, что он разговаривает с клиентом», — пояснила Марина Лаптева.
Учитывая развитие различных программ и приложений, а также распространение дипфейков, которые очень хорошо подделывают голоса, не удивительно, что мошенники активно пользуются голосовой биометрией в личных целях.
«Мы поинтересовались у Центра судебных экспертиз, экспертизы для определения дипфейков на сегодняшний день не существует. То есть её просто нет. И определить действительно ли ваш голос, или он сгенерирован искусственным интеллектом, на сегодняшний день невозможно», — отметила юрист.
По её словам, в ближайших странах по голосовой биометрии уже можно идентифицировать себя в банкомате. То есть когда мошенники придут с дипфейком и скажут: «Снимите, пожалуйста, мою зарплату», человек просто останется без средств к существованию.
«Возможно, они смогут этим же голосом кредиты брать, учитывая, что банк уже включил во все согласия. Ещё одной очень большой проблемой относительно биометрии является тот факт, что законодательство вообще не ограничивает банки в выборе биометрических систем. Они выбирают абсолютно любую. Биометрию клиенты финансовых организаций сдают как при регистрации, так и при оформлении любых отношений», — подчеркнула эксперт.
При этом нет чёткого порядка. Пунктом 22.1 Правил предоставления электронных банковских услуг предусматривается сбор биометрии с использованием центра обмена идентификационными данными акционерного общества «Национальная платежная корпорация» (НПК).
При этом порядок и правила сбора биометрии устанавливаются банками самостоятельно.
«Ответственность за достоверность данных несёт банк и фактически только фиксирует изображение клиентов. К сожалению, из практики мы видим, что банк не считает нужным проводить интервью, заменяя это короткими молчаливыми изображениями. Как правило, у них функционал один, повернуться налево-направо, и если просто статическое изображение мелькает, они считают, что это уже видео. И именно поэтому у нас сколько тысяч людей обмануты мошенниками. Важно сказать, что требования к внутренним биометрическим системам законодательно никак не урегулированы», — подчеркнула Марина Лаптева.
Она убеждена, что так как финансовый рынок является абсолютно свободным и конкурентным, за ним никто не наблюдает, в том числе – и за надежностью биометрических систем.
Правила использования биометрических данных законодатель позволил банкам разрабатывать самостоятельно, и они эти нигде не публикуются.
«Эти правила не предоставляются юристам, адвокатам и более того, я вам скажу, даже не предоставляют суду. Суд запрашивает и говорит: «Законодатель вам указал, что правила вы разрабатываете сами. Предоставьте, чтобы мы оценили, действительно ли вы это делаете». А они говорят просто: «Не дадим», — подчеркнула юрист.
По этой причине, адвокаты и юристы не могут защищать пострадавших.
В казахстанском законодательстве имеются серьёзные барьеры для того, чтобы не допускать случаев кибермошенничества, ни их никто не выполняет.
Так, пунктом 6 статьи 36 закона «Об информатизации» не допускается использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами Республики Казахстан.
Собственникам или владельцам электронных информационных ресурсов запрещается принятие решений на основании исключительно автоматизированной обработки электронных информационных ресурсов, в том числе посредством интеллектуального робота, в результате которых у субъектов персональных данных возникают, изменяются или прекращаются права, законные интересы, за исключением случаев, когда указанное решение принимается с согласия субъекта персональных данных или в случаях, предусмотренных законодательством Казахстана.
Но это требование законодательства банки игнорируют по всей видимости потому, что не хватает персонала, и они на этом решили сэкономить.
«Мы вам говорим, в том случае, если вы отрабатываете только роботом, вы должны об этом оповестить тогда клиента и сказать, что принятие решения о возложении на вас обязательств, кредита в данном случае, будет приниматься только с участием робота. Возможно, он ненадлежаще обработает ваши данные. Возможно, у вас будут мошенники, потому что мы, к сожалению, экономим на своих информационных системах. Но клиент должен об этом знать. А в противном случае должны участвовать операторы», — подчеркнула юрист.
Кроме того, статья 152 Гражданского кодекса говорит о том, что должно быть обязательное волеизъявление. Эта норма нарушается, учитывая число мошеннических кредитов в Казахстане.
Запрос четырёхзначного кода при оформлении кредита незаконен
OTP – это сокращение от One Time Password (одноразовый пароль). Это четыре кода, которые приходят на телефон клиентам.
Юристы подчеркивают, что согласно пункта 16 правил, OTP паролем подписываются только платежные услуги, но не кредитные договоры. Электронные платежные услуги предоставляются физическим лицам с использованием одного из следующих способов идентификации: электронной цифровой подписи, динамической, биометрической идентификации и уникального хода.
«Только платежные услуги, но не кредитные обязательства. Это также игнорируется банками, это игнорируется судами, и этот довод никто не слышит. А законодатели и юридическое экспертное сообщество не зря этот пункт включили в закон. Подписание OTP паролем кредитных договоров не соответствует статье 152 закона (Об информатизации). Более того, аналогичная позиция поддерживается Комитетом информационной безопасности в официальном письме. Переписка с ним идёт давно, и в своём письме от 1 июня 2022 года, которое МЦРИАП адресовал Национальному банку и Агентству РК по регулированию и развитию финансового рынка, они указывают, что действительно нужно приводить в соответствие нормативные акты, и подписание OTP -паролем не предусмотрено гражданским законодательством», — отметила Марина Лаптева.
В законе это требование есть, но его никто не исполняет.
Не меньшей проблемой является доставка пароля клиенту. Вопрос усугубляется широким распространением программ, которые подменяют номера.
«У нас имеются массовые случаи подмены номеров. Ты разговариваешь с одним номером, а оказывается он вообще не зарегистрирован в сети и даже в журналах он нигде не регистрируется. Более того, пароли высылаются на номера, которые не зарегистрированы за пользователем. То есть мой кабинет зарегистрирован на мой ИИН, моё имя, мошенник включается, подключает свой номер, и коды приходят к нему, а у клиента банка в телефоне ничего не отображается», — подчеркнула юрист.
В этом случае также в законе «О связи» эти случаи прописаны, но на практике снова эти нормы не работают. Так, в нём прописано, что владелец абонентского устройства обязан зарегистрировать его у оператора, с предоставлением ИИНа, ID номера и абонентского номера. И только в этом случае ему можно доставлять смс-пароли и OTP-пароли.
«Вместе с тем, банки и банковские нормативно-правовые акты не запрещают подключать номер, который не зарегистрирован за пользователем. Пользователь зарегистрирован за одним ИИН, номер подключается зарегистрирован за другим ИИН, и банк это устраивает. У всех все в порядке. Я вам больше скажу. Я делала запрос в Министерство цифрового развития, допустимо ли менять в egov.kz регистрировать номера, которые не зарегистрированы за пользователями. Возможно», — уточнила Марина Лаптева.
При этом при защите интересов у юристов и адвокатов очень сложные взаимоотношения с мобильными операторами. Они вообще не предоставляют сведения и распечатки относительно тех смс, которые стали причиной оформления мошеннических кредитов, детализацию они не предоставляют.
«Операторы также не предоставляют абонентам информацию, это может коснуться абсолютно каждого, о зарегистрированных на них номерах абонентской связи. То есть на одно лицо регистрируется другой номер, а вам об этом СМС не приходит. То есть на ваш ИИН зарегистрировали один, два, три, десять может быть номеров, вы об этом не узнаете, мобильный оператор вас об этом не уведомляет», — подытожила она.
Представители банков в суде поясняют, что им вообще не интересно, приходило СМС или нет. Главное, что оно введено, а кем оно введено – остается вопросом.
Как результат – юристы защищают в судах дела казахстанцев, на которые в день было оформлено 6-7 кредитов в разных банках на суммы от 20 до 40 миллионов тенге. Но в подавляющем большинстве суды принимают позицию банков, а пострадавшим приходится годами погашать кредиты, которые они не брали.