Северный Казахстан

Речь о законопроекте «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам развития финансового рынка и защиты прав потребителей финансовых услуг». В прошлом году казахстанцев с высоких трибун заверяли, что скоро в стране оформление мошеннических онлайн-кредитов будет практически невозможно.

Но не случилось, обычные законопослушные граждане продолжили терять свои деньги, чувствуя себя при этом совершенно беззащитными и даже виноватыми, что поверили каким-то проходимцам. Мошеннические схемы распространяются уже не только на кредиты, но и на депозиты, дело доходит и до потери недвижимости.

Словом, закон есть, защиты нет. Изменится ли ситуация после дополнений в законы?

- Оснований, чтобы быть уверенной в том, что эти поправки обеспечат защиту пострадавших от мошенников, у меня, увы, нет, - сказала адвокат Елена Игнатенко, которая была участником рабочей группы по разработке изменений. - Но для начала надо пояснить, что предусматривается внесудебное и судебное списание кредитов. Без обращения пострадавшего в суд банк обязан будет списать кредит, если он нарушил требование о личном присутствии заемщика, впервые кредитуемого в данном банке; также, если для лиц младше 21 и старше 55 лет кредит предоставлен без оформления дополнительного согласия посредством портала егов; и если кредит будет выдан до истечения периода «охлаждения».

Дополнительное основание добавилось буквально перед вторым слушанием в Мажилисе Парламента РК – это оформление кредита с нарушением требований по биометрической идентификации заемщика. Плюс уже имеются две нормы в законе «О банках и банковской деятельности», обязывающие банки списать кредиты, выданные без согласия супруга при сумме свыше 1 000 МРП (около 4 млн), и в случае оформления кредита при добровольном отказе от кредитования.

Для судебного списания кредитов, оформленных мошенническим способом, предусмотрели следующие основания: незаконное получение и использование идентификационных средств клиента, в том числе с использованием программ удаленного управления, с нарушением установленных актом Агентства по регулированию и развитию финансового рынка правил выявления, фиксации и расследования фактов внутреннего и внешнего мошенничества (антифрод правил).

По словам Игнатенко, изначально было видно, что ни инициатор поправок, ни депутаты до конца сами не понимали, как все это должно работать.

- То есть представители Агентства по регулированию и развитию финансового рынка говорили, что вопросами списания мошеннических кредитов будет заниматься гражданский суд, то есть в общегражданском порядке человек будет доказывать основания для списания, - пояснила Елена Александровна. - В конечном итоге пришли к выводу, что судебный порядок может быть реализован только в том случае, если будет обвинительный приговор по делу о мошенничестве, после чего пострадавший должен будет обратиться в банк, а тот, в свою очередь, в рамках служебного расследования сам у себя должен будет обнаружить нарушения…

Очевидно, что процедура откровенно утопичная, ведь ни один банк не признает свои нарушения. Поэтому все в конечном итоге закончится тем же судом, но теперь уже гражданским, где пострадавший должен будет доказать вину банка. Мои коллеги подтвердят, что судебная практика сложилась однобокая – всегда в пользу банков. Считаю, что не пострадавший должен банку доказывать, что в его системах есть «прорехи». А делать это должно Агентство как контрольно-надзорный орган, имеющий соответствующие полномочия и ресурсы для того, чтобы проверять финансовые организации.

***

По мнению адвоката, должны быть предусмотрены безусловные основания возложения ответственности на банки за причиненные клиенту убытки ВНЕ зависимости от наличия приговора по делу о мошенничестве. Например, если у банка нет антифрод системы, значит, он априори не способен выявить и заблокировать мошенническую операцию. Такая процедура возложения на банки ответственности будет стимулировать их к противодействую мошенничества.

С основанием – «использование программ удаленного доступа» законодатель явно опоздал, считает адвокат, все это было актуально в основном в 2023 году, когда программы, вроде АниДеск, массово применялись мошенниками. Сейчас это происходит лишь эпизодически. Тем более, что с января 2023 года прописана обязанность банков обнаруживать и блокировать использование этих программ.

- Хорошие поправки, но они родилось слишком поздно, - говорит Игнатенко. - Будет ли данным поправкам придана обратная сила - неизвестно. Но в рамках рабочей группы такие нормы депутатами не обсуждались. Аналогично и требования по антифрод-системе уполномоченный орган предусмотрел лишь 27 декабря 2024 года путем внесения изменений в Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан. То есть до этого времени банки, согласно позиции уполномоченного органа, могли работать без систем противодействия мошенничеству!!!

***

Елена Игнатенко в своем обращении к депутатам Парламента, в Верховный суд, Генеральную прокуратуру, Министерство юстиции, Институт законодательства указала: «Считаю, что принятие этих поправок не обеспечит защиту пострадавших, и создаст неопределенность в правоприменительной практике. Почему? Потому что предложение ограничить обязанность банков списать кредит только лишь в двух случаях снимает с них ответственность за другие нарушения, повлекшие мошенническое кредитование. Выявление у банка указанных выше нарушений, влекущих списание, выходит за рамки задач уголовного судопроизводства, состоящих в установлении состава преступления в действиях обвиняемого. Из-за низкого уровня раскрываемости дел по мошенничеству большая часть из них не будет окончена вынесением приговора. Если даже гипотетически предположить, что в приговоре данные факты будут установлены, а банк тем не менее откажет в списании задолженности, то это неминуемо повлечет за собой обращение пострадавшего в суд в рамках гражданского судопроизводства. При этом законодательное закрепление понятия «списание кредитов» создаст проблемы в правоприменительной практике», вызванные необходимостью разграничения процедур списания кредитов и признания кредитных договоров недействительными.

Автор письма предлагает расписанный по пунктам порядок привлечения банков и МФО к ответственности. Особое внимание уделено рискам информационной безопасности, которые сейчас почему-то возлагаются на самих пострадавших от мошенников. Хотя, согласно закону «Об информатизации», именно собственник объектов информатизации, то есть банк, обязан обеспечить защиту. Это надо еще раз прописать в законе о банках и банковской деятельности.

Что касается выпуска банками облачных ЭЦП на своих клиентов, то, как подчеркивает Игнатенко, это противоречит основополагающим принципам равенства прав субъектов и свободы договора.

- Необходимо исключать возможность выпуска банками и хранения в облаке собственного удостоверяющего центра ЭЦП клиента, - подчеркнула адвокат. - В случае необеспечения информационной безопасности систем удостоверяющего центра мошенники получают возможность беспрепятственно подавать от имени пострадавшего заявления на выпуск ЭЦП (!!!) и использовать ее для проведения несанкционированных операций. В ходе ряда судебных разбирательств установлено, что фактически ЭЦП были выпущены на пострадавших без их согласия, без проведения биометрической идентификации, без направления им регистрационного свидетельства, без раскрытия значения открытого ключа ЭЦП, без аккредитации удостоверяющего центра, в отсутствие в договорах криптографического отображения ЭЦП и функционала проверки подлинности ЭЦП в мобильном приложении!!!

С учетом этого адвокат предлагает как минимум законодательно предусмотреть ряд моментов: заявление на выпуск ЭЦП должно подписываться клиентом в банке собственноручно, за ним должно признаваться право выбрать формат ЭЦП, то есть облачный или на материальном носителе. Также область применения ЭЦП должна быть строго определенной, причем самим клиентом.

Собеседница обеспокоена тем, что сейчас банки собирают и хранят у себя огромный объем персональных данных клиентов, даже после прекращения с ними договорных отношений и при отсутствии у последних обязательств перед банками. Один из банков собирает даже медицинские данные своих клиентов, составляющих медицинскую тайну (!), а также сведения, «относящиеся к любой охраняемой законом тайне», что, очевидно, выходит за рамки оказания банковских услуг.

Как следует из разработанного им бланка «Согласия», все эти данные могут быть переданы любым третьим лицам, в том числе трансгранично распространены в любых общедоступных источниках.

Ультимативная форма разработанного банком заявления включает в себя и согласие на сбор голосового слепка. Если клиент не согласен на передачу тех или иных данных, то банк отказывает ему в обслуживании.

- С учетом этого считаю необходимым урегулировать вопрос доступа финансовых организаций к персональным данным и их использования, предусмотрев ряд правил, в том числе – запретить производить сбор персональных данных, не требуемых для оказания банковских услуг, - пояснила Елена Александровна. - Согласие на сбор и обработку персональных данных должно быть подписано электронно-цифровой подписью, исключительно выпущенной Национальным удостоверяющим центром Республики Казахстан. Срок действия согласия на сбор и обработку персональных данных должен считаться истекшим после истечения действия заключенных между сторонами договоров на предоставление банковских услуг.

***

В списке предложений есть такие пункты: запрет на предоставление электронных банковских услуг без согласия заемщика, оформляемого на веб-портале "электронного правительства". Каждый должен иметь право выбрать форму оказания услуг: очную или электронную. Люди старшего возраста предпочитают очную форму обслуживания как наиболее безопасную.

Игнатенко рассказала о случаях, когда мошенники беспрепятственно оформляли на жертву несколько кредитов в разных финансовых организациях с превышением допустимого коэффициента долговой нагрузки (КДН). При этом банки через сервис «кредитная заявка» имеют доступ к сведениям о поданных кредитных заявках от имени этого же человека в других финансовых организациях. Игнорирование таких сведений должно повлечь для банка отнесения кредита, выданного за пределами КДН, на свои убытки. Но по инициативе Агентства такие важные поправки, запрещающие кредитование в разных банках одновременно, были… сняты на последнем заседании рабочей группы.

Необходимы поправки и в закон «О связи». Одной из форм мошенничества является подключение к мобильному приложению жертвы так называемого доверенного номера. В результате банк взаимодействует не с клиентом, а с посторонним лицом. Поэтому предлагается законодательно закрепить в профильных законах обязанность финансовых организаций взаимодействовать ТОЛЬКО по номеру, зарегистрированному в базе операторов сотовой связи и веб-портале электронного правительства.

Для исключения из оборота так называемых «серых сим-карт» предлагается предусмотреть обязанность абонентов пройти перерегистрацию, как у сотовых операторов, так и на портале электронного правительства. Логично предусмотреть самозапрет на электронную регистрацию сим-карт на свое имя.

- Необходимо создание Антифрод-центра операторов связи с целью формирования базы номеров, используемых для проведения мошеннических операций, - сказала Игнатенко. - Подозрительные звонки должны блокироваться, ведь каждый абонент имеет право на безопасные услуги связи. Поэтому операторы связи должны нести ответственность за несанкционированный трафик, в том числе трафик с подменой номера.