Горячая линия бесплатной юридической помощи:
Москва и область:
Москва И МО:
+7(499)938-71-58 (бесплатно)
Регионы (вся Россия, добавочный обязательно):
8 (800) 350-84-13 (доб. 215, бесплатно)

Правомерность отправки банками СМС-cообщений (SMS) и Push-уведомлений

Закон подтолкнул к инновации

Ранее банкиры, как и операторы платежных систем не задумывались об экономии на оповещениях клиентов и до сих пор пользуются СМС-уведомлениями по двум основным причинам. Собственно, сами push-технологии (которые используются в работе таких мессенджеров как WhatsApp, Viber и других) мобильные устройства начали поддерживать лишь два-три года назад.

На то время банки уже были прочно встроены в систему СМС-уведомлений операторов мобильной связи или крупнейших в России СМС-агрегаторов. Между первыми и вторыми, хотя они и работают в связке, шла ценовая конкуренция. Агрегаторы предлагали банкам стоимость СМС от 5 копеек, телеоператоры – несколько больше.

В начале 2014 года федеральный закон «О национальной платежной системе» обязал банки и платежных операторов информировать клиента о любых операциях по его карте. Тогда многие стали идти на хитрости. Например, банки уведомляют клиента, что согласно закону, он может получать сообщение о движении средств по счету любым удобным образом – через интернет-банк, путем СМС или рush-уведомления.

О последнем варианте речи быть не могло, поскольку такие технологии сейчас не подразумевают вообще корпоративное подключение юридических лиц: общаться по ним можно только лично. Что касается СМС, большинство банков норовят эти расходы переложить на клиентов. Скажем, одноразовый пароль вам направят бесплатно, а вот для получения информации о поступлении и списании средств предложат подключить услугу СМС-оповещения, которая стоит 60-100 рублей в месяц.

«На такие хитрости банки вынуждены идти, поскольку операторы «Большой тройки» воспользовались случаем и стали повышать цены на СМС-уведомления, в связи с чем было немало скандалов в СМИ, — говорит создатель компании «ТИМ-коннект» Владислав Королев. – Я вначале 2014 года сам работал в банке и видел, как СМС подорожали сначала с 5 копеек до 40, а потом и до 80 для большинства банков.

На вопрос, почему подобные технологии не используются за рубежом, ответа долго искать не пришлось. Почти во всем мире в них попросту нет необходимости, поскольку нет законов, обязывающих банкиров уведомлять клиентов об операциях по карте. Это, как правило, платная услуга, на которой банкиры еще и зарабатывают (например, в США одно СМС от банка обойдется клиенту в 50 раз дороже, чем сейчас платят наши банки операторам связи). Иногда банки «дарят» такую услугу на время в ходе промо-акций.

«Вообще, это закономерно, что инновации появляются именно в кризисные времена или в критических ситуациях, а регулирующий закон можно считать такой ситуацией, — пояснил «Эксперт Online» президент объединения разработчиков программного обеспечения «РУССОФТ» Валентин Макаров. – В последнее время я едва ли не каждый месяц сталкиваюсь в России с принципиально новыми решениями, аналогов которым нет нигде. Такое впечатление, что у нас назревает некий прорыв, причем во всех сферах инноваций – и вот-вот он выплеснется на глобальный рынок».

Введение

Правомерность отправки банками СМС-cообщений (SMS) и Push-уведомлений

Данный отчет содержит анализ правомерности использования банками Российской Федерации СМС и push-уведомлений для взаимодействия с клиентами. В ходе исследования использовался обширный ряд документов — определения и решения судов общей юрисдикции, арбитражных судов РФ и Верховного суда РФ, Федеральные законы Российской Федерации, положения, указания и письма Банка России и другие.

В ходе исследования построены правовые конструкции применения СМС и push-уведомлений с учетом позиций российских судов. Также для формирования правовых конструкций использован опыт проведения компьютерно-технических и нормативно-технических экспертиз подразделения RTM Group – RTM TECHNOLOGIES. Одной из задач проведения экспертиз является подготовка технического описания и схем функционирования систем дистанционного банковского обслуживания, использующих СМС и push-уведомления.

«Большая тройка» потеряет сотни миллионов

Королев ушел из банка, собрал команду из 15 программистов и они стали писать приложения сразу для нескольких мобильных платформ – Android, IOS, Windows. На разработку у Королева ушло несколько миллионов собственных средств, никаких инвесторов и венчуров он привлекать не стал. 

Предлагаем ознакомиться:  Федеральный закон о свчзи требовпния к персоналу

«Но после первых тестов с банками мы поняли, что одним уникальным push-приложением для банков дело не обойдется, поскольку СМС-сообщения все равно придется в некоторых случаях отправлять, например, когда система видит, что Push-сообщение не прочитано, — говорит разработчик. – Тогда пришлось потратить еще часть средств на создание собственного подобия  СМС-агрегатора, для чего понадобилась дополнительная сервисная платформа. Но зато теперь банки не задают вопросов: зачем нам это надо, их расходы на СМС-уведомления можно сократить смело в 10-20 раз».

В месяц небольшие банки отправляют от 1,5 млн сообщений, у крупных СМС-траффик доходит до 10 млн штук. Теоретически новая технология оповещения, не привязанная к системам операторов связи,  грозит им потерей части доходов в будущем. Если предположить, что все российские банки ежемесячно рассылают клиентам около двух млрд СМС-сообщений и принять среднюю цену за оповещения за 30 копеек, то выходит, что ежемесячные доходы операторов связи могут составлять около 600 млн рублей.

«МТС не повышала цены на информационные и рекламные SMS-рассылки, — пояснил «Эксперт Online» руководитель направления по работе со СМИ ОАО «Мобильнее телесиситемы» Дмитрий Солодовников. — Еще с июля 2013 года в целях борьбы со спамом мы стали переводить взаимодействие с рассыльщиками информационно-рекламных СМС (в том числе и с банками) на прямые договоры (минуя СМС-агрегаторов – прим. авт.

), в рамках которых оператор имеет возможность проверять согласие абонента на получение рекламы. Одновременно мы установили новую тарифную шкалу, в рамках которой средневзвешенная цена за SMS для банков оказалась даже ниже прежней —  как и сейчас, для большинства банков одно SMS обходится в среднем примерно в 25-30 копеек».

По словам Солодовникова, конечная цена в каждом конкретном случае зависит от объемов рассылок.

«Естественно, что ранее при наших тарифах банкам было выгоднее заказывать рассылку через других операторов или SMS-агрегаторов, специализировавшихся на массовых рассылках, по демпинговым ценам – 5-6 копеек за СМС, — продолжает он. —  При такой схеме нашим абонентам поступал спам, при этом были случаи, когда банковские рассылки шли через агрегаторов, не имеющих лицензии на оказание услуг связи или сертифицированного оборудования. Следовательно, такие посредники не несли никаких обязательств по сохранности банковской тайны».

Правомерность отправки банками СМС-cообщений (SMS) и Push-уведомлений

Аналогичный ответ дали в «Мегафоне»: «В конце 2014 года МегаФон пересмотрел шкалу цен на услугу «Мобильное информирование» (отвечает за рассылку сообщений), но цена на рассылки либо осталась прежней, либо снизилась по ряду значений шкалы, — говорит пресс-секретарь компании Алия Бекетова. — Для банков же существует специальная опция  в рамках  данной услуги, которая распространяется на транзакционный трафик Банка (рассылку обязательных уведомлениях банка о состоянии счета клиента). Ее стоимость 0,30 коп и условия данной опции не менялись до настоящего момента».

В «Вымплекоме» стоимость СМС для банков раскрывать не стали, сославшись на коммерческую тайну. 

Нормативное регулирование и судебная практика

Обмен данными с клиентом по альтернативному каналу связи (не система интернет-банкинга) находит отражение в документах ЦБ РФ. Например, в Указаниях Банка России от 09.06.2012 No 2831-У и Положении No 382-П.

Важно отметить, что в Положении No 382-П речь не идет об СМС.Речь идет о том, что банк может использовать альтернативный канал связи для передачи клиенту одноразового кода. Сам формат передачи не уточняется.

В п. 4.2.9. Письма от 24.03.2014 No 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» Банк России рекомендует банкам «организовать оперативное информирование клиентов — пользователей систем ДБО кредитной организации через каналы связи, отличные от используемых для ДБО (SMS-информирование, электронная почта и тому подобное), о поступлении от этих клиентов в кредитную организацию распоряжений о переводе денежных средств через системы ДБО и получение подтверждений клиентов о подлинности таких распоряжений».

Предлагаем ознакомиться:  Договор дарения по доверенности дом земля

Другими словами ЦБ РФ рекомендует использовать СМС в качестве канала уведомления клиента о совершении операции, но никак не о передаче таким образом кодов подтверждения операций. Говорится лишь о необходимости получения подтверждений клиентов о подлинности распоряжений. Аналогичные рекомендации есть во многих других документах ЦБ РФ.

Согласно п. 6 Письма Банка России от 05.08.2013 No 146-Т операторам по переводу денежных средств рекомендуется при предоставлении клиентам розничных платежных услуг в интернете использовать в том числе подтверждение операций с помощью одноразовых паролей (кодов подтверждения), при этом пароли (коды подтверждения) должны доводиться до клиента в совокупности с информацией о совершаемой операции (например, сумма операции, получатель и пр.) и доставляться до клиента по альтернативному каналу связи, например через СМС-сообщения.

Таким образом, при информировании об отдельных распоряжениях о переводе денежных средств с помощью СМС и получении подтверждения такого перевода Банки действуют в соответствии с рекомендациями Банка России. При этом ЦБ РФ не дает прямые рекомендации банкам использовать СМС в качестве канала для передачи одноразовых кодов подтверждения операций по переводу денежных средств за исключением розничных платежных услуг (платежи, не включенные в определение платежей на крупные суммы). К таким платежам относятся подавляющее количество платежей.

Общая схема работы APNs

Важно отметить, что в ходе настоящего исследования не удалось найти иных рекомендаций Банка России (кроме Письма 146-Т) использовать СМС-сообщения для передачи одноразовых кодов.

Итого, нужно разделять:

  • СМС-сообщения об уже совершенных операциях;
  • СМС-сообщения, которые содержат коды для подтверждения операций по счету. Судебная практика в части СМС-информирования сформирована, однако при условии отправки в СМС кодов подтверждения операций позиции судов расходятся. В последние годы суды регулярно вставали на сторону клиента — физического лица (решение Фрунзенского районного суда Санкт-Петербурга от 17.02.2016 No 2-360/2016). Свою позицию суды мотивируют тем, что направление СМС-уведомления с кодом подтверждения операций не обеспечивало защиту от совершения мошеннических действий по снятию денег с банковского счета. При этом суды вышестоящих инстанций могли отменить такое решение, сославшись на условия договора и идентификацию клиента в соответствии с правилами (Апелляционное определение Санкт-Петербургского городского суда от 18.08.2016 No 33-13456/2016 по делу No 2-360/2016). В большинстве случаев суды соглашаются, что направление СМС подтверждает добросовестность банка и отсутствие его вины в незаконном списании средств со счета клиента (Апелляционное определение Хабаровского краевого суда от 12.01.2018 по делу No 33-31/2018, Апелляционное определение Новосибирского областного суда от 12.02.2015 по делу No 33-864-2015).

Напротив, установив, что СМС-информирование не производилось, суды удовлетворяют требования о взыскании с банка убытков (Апелляционное определение Хабаровского краевого суда от 29.05.2015 по делу No 33-3348/2015).

При этом необходимо отметить, что существует судебная практика, где суды взыскивают с банка убытки даже в случае наличия СМС-информирования (Апелляционное определение Санкт-Петербургского городского суда от 28.04.2016 No 33-7902/2016 по делу No 2-6233/2015, Апелляционное определение Санкт-Петербургского городского суда от 11.06.2015 No 33-8603/2015 по делу No 2-622/2015).

Логика судов в этих делах заключается не в том, что СМС-информирование небезопасно, а в том, что сам клиент ничего не нарушал. Поскольку это были потребительские споры, то суды указали, что на клиента риски возлагаются только в случае его вины (Закон РФ «О защите прав потребителей»), причем бремя доказывания в этом случае возлагается на банк как профессионального участника рынка (Постановление Пленума Верховного Суда РФ от 28.06.2012 года No 17 «О рассмотрении судами гражданских дел по спорам о защите прав потребителей»).

Важно отметить, что в рассматриваемых делах у судов не было доказательств, что СМС-сообщение отправляется по открытым каналам связи и в открытом виде, равно как и не было установлено, что хищение произошло по причине перехвата сообщения злоумышленниками.

Предлагаем ознакомиться:  Начальник избил подчиненного на рабочем

Таким образом, при существующем регулировании, а также с учетом судебной практики:

  • использование СМС как средства уведомления клиента об уже совершенных операциях является для банков важным и безопасным элементом работы систем дистанционного банковского обслуживания;
  • использование для передачи одноразовых кодов подтверждения операций СМС-сообщений порождает финансовые и правовые риски для банков.

В случае появления судебных дел, в которых будет доказан факт перехвата СМС злоумышленником, при привлечении эксперта, который в качестве специалиста или через судебную экспертизу опишет механизм передачи СМС, подтвердив тем самым позицию клиента о небезопасности передачи одноразовых кодов в СМС-сообщениях, судебная практика может скорректироваться в пользу клиентов.

Дополнительно важно отметить, что ранее сформировавшаяся судебная практика о безоговорочном отказе в удовлетворении требований клиентов (в том числе потребителей) к банкам о взыскании средств незаконно списанных с их счета при наличии направленного банком клиенту одноразового кода подтверждения в настоящее уже меняется (Определение Верховного Суда РФ от 24.04.

2018 No 5-КГ18-41). С учетом приведенной позиции Верховного суда, высказанной в том числе в указанном Определении, об обязанности профессионального участника рынка доказывать максимальную степень разумности своего поведения при выявлении действительной воли клиента на совершение транзакции, мы полагаем, что банкам будет сложнее настаивать, что они не знали и не могли знать об уязвимости передачи одноразовых кодов через СМС.

Банкиры рады сэкономить

Так или иначе, именно в результате индивидуального подхода цены изменились: для Сбербанка, например (по непроверенной информации) стоимость одного СМС (а их он отправляет не менее 1 млрд в год) составляет 15 или 10 копеек, для банков с минимальным числом клиентов-физических лиц может доходить и до 80-ти.

«Что касается нашего банка, то могу сказать, что 25 и 30 копеек за СМС – таких цен нет, в среднем 60 копеек, — пояснил «Эксперт Online» ИТ-директор «Акбарс-Банка» Тимур Кушарев. – Мы ранее не задумывались о ценах на СМС, но теперь в кризис все стали сокращать издержки и мы решили тоже перейти на push-технологии, которые будут обходиться нам всего в 10 копеек, а то и меньше. Общая экономия может составить несколько миллионов рублей в месяц».

«Акбарс-Банк» один из семи российских, кто уже готов внедрить новую технологию. Но сейчас на российском рынке появились минимум три компании, которые занимаются разработкой подобных технологий, либо уже тестируют их.

Выводы

Использование СМС как средства уведомления клиента об уже совершенных операциях является для банков важным и безопасным элементом работы систем дистанционного банковского обслуживания.

Использование СМС для передачи одноразовых кодов подтверждения операций порождает финансовые и правовые риски для банков.

Судебная практика в части СМС-информирования сформирована, однако при условии отправки в СМС кодов подтверждения операций позиции судов расходятся.

Банки, использующие push-уведомления для передачи одноразовых кодов в архитектуре Apple, игнорируют прямое требование компании Apple не совершать данных действий ввиду небезопасности таких уведомлений. Клиенты таких банков имеют все основания обращаться с жалобой как в саму кредитную организацию, так и к регулятору.

Судебная практика в части push-уведомлений, содержащих одноразовые коды, не сформирована.

Судебная практика о безоговорочном отказе в удовлетворении требований клиентов к банкам о взыскании незаконно списанных средств меняется.

Исследование создано в соавторстве с Константином Хасиным, аналитиком Центра судебных экспертиз компании RTM Group.

Понравилась статья? Поделиться с друзьями:
Юридическая помощь
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock detector