Преступники нашли дыру в QIWI-кошельке с помощью SIM-карты МТС

Мосгорсуд подтвердил штраф, взысканный с «Киви Банка» (расчетный центр платежной системы QIWI) за недостаточную «заботливость и осмотрительность» при работе с деньгами клиентов. В результате злоумышленникам удалось найти дыру в системе безопасности QIWI и с помощью дубликата чужой SIM-карты украсть средства ее владельца. Оштрафованы банкиры за то, что не торопились возмещать убытки пострадавшему.

В марте 2018 года неизвестные преступники, получив дубликат SIM-карты Олега Пасынкова, украли у него порядка 44,5 тысячи рублей. К номеру телефона пострадавшего был прикреплен счет «QIWI кошелька» в АО «Киви Банк». По факту хищения было возбуждено уголовное дело по признакам состава преступления, предусмотренного п. «г» ч. 3 ст. 158 УК РФ.

В ходе следствия было установлено, что выдача дубликата SIM-карты была произведена ПАО «МТС» 28 марта 2018 года в 14 часов 05 минут. В 14 часов 32 минуты АО «Киви Банк» направило одноразовый код для восстановления пароля. А в 14 часов 53 минуты с использованием одноразового пароля неустановленным лицом произведено списание денег.

Позже, когда стало известно о преступлении, «Киви Банк» заблокировал еще порядка 15 тысяч на счету Пасынкова.

Добровольно возмещать ущерб банк отказался, и Пасынков обратился в суд с иском к АО «Киви Банк» о взыскании убытков (около 59,5 тысячи рублей), неустоек и штрафа. В качестве третьих лиц к делу были привлечены ПАО «Мобильные Телесистемы» и АО «Русская телефонная компания».

Уже после подачи иска «Киви Банк» удовлетворил требование о возврате 59,5 тысячи. Однако от выплаты каких-либо штрафных санкций отказался.

Представитель банка утверждал, что действия по переводу денег совершались в соответствии с условиями договора, заключенного путем принятия истцом оферты. В частности, для совершения операций требовалось введение пользователем аутентификационных данных, присвоенных ему в момент регистрации учетной записи. При этом по всем проведенным операциям к моменту обращения истца наступила безотзывность перевода.

Однако суд решил, что при списании денежных средств со счета банк обязан убедиться, что распоряжение дано клиентом или уполномоченным им лицом. В том числе в случае распоряжения денежными средствами при помощи электронных средств платежа с использованием кодов, паролей и т. п.

С учетом положений ст. 401 ГК РФ «Киви Банк» «обязан доказать, что принял все меры для надлежащего исполнения обязательства при той степени заботливости и осмотрительности, какая от него требовалось по характеру обязательства и условиям оборота». Однако получить доступ к деньгам Пасынкова было не очень сложно. Как пояснил сам истец, в установленной АО «Киви Банк» системе электронных платежей логином является абонентский номер телефона, известный держателю дубликата SIM-карты. А пароль может быть изменен любым лицом, имеющим доступ к услугам связи по данному номеру. Без его идентификации и аутентификации путем выполнения команды «Напомнить пароль?» и подтверждения направленного системой на этот же абонентский номер телефона одноразового пароля.

Таким образом, как решил суд, сам факт состоявшегося использования выданного оператором дубликата SIM-карты при переводе денежных средств клиента на счет постороннего лица свидетельствует о незаконности совершенной банковской операции. А отсутствие своей вины ответчик, АО «Киви Банк», не доказал.

МТС от ответственности суд освободил. Как говорится в решении, оператор осуществляет свою деятельность только в рамках оказания услуг связи. Различные электронные банки и электронные платежные системы, в том числе услуги «Киви Банка», с его работой не связаны. Так как перевод был осуществлен посредством использования услуги банка, МТС не имел ни технической, ни правовой возможности влиять на подключение, оказание и отключение данных услуг. И даже не мог знать содержание направляемых в рамках использования услуги сообщений, поскольку эти сведения относятся к тайне связи.

Соответственно, МТС не может регулировать процесс движения денежных средств по банковской карте истца и не несет ответственности за действия третьих лиц и сторонних организаций, включая владельцев того или иного телефонного номера.

В итоге Тушинский районный суд Москвы удовлетворил иск частично. С учетом того, что требования истца были выполнены банком только в период рассмотрения дела, в пользу Пасынкова был взыскан штраф порядка 30 тысяч рублей. В Мосгорсуде это решение устояло.