Доступ не обмежений. Шахрайство з базами банків і держреєстрів
Разом з розвитком IT-індустрії частішають випадки шахрайства з електронними базами компаній і державними реєстрами.
У кінці 2015 року з журналісткою Евеліною з Києва сталася неприємна історія. Їй дивом вдалося забрати депозитний вклад бабусі з банку, пишуть Андрій Свирид й Олена Романюк у №10 журналу Корреспондент від 18 березня 2016 року.
«Все почалося у 2013 році, коли моя вже дуже літня бабуся відкрила депозитний рахунок в одному з відділень Приватбанку в Дніпропетровську, – розповідає дівчина. –Будучи людиною обачною, вона відразу ж оформила довіреність на право розпоряджатися рахунком на мене. Довіреність була в належному порядку оформлена співробітником відділення. Я, у свою чергу, подала в Приватбанк копію паспорта, ІПН, сфотографувалася – загалом була внесена в базу даних згідно з вимогами. Це рішення, як показали подальші події, було правильним – не минуло й року, як унаслідок травми бабуся стала інвалідом і перестала виходити на вулицю».
Два роки все було тихо – депозитний договір продовжувався, відсотки справно нараховувалися, співробітники установи впізнавали внучку і люб'язно видавали роздруківки рахунку.
Однак у 2015 році під час чергового візиту співробітниця відділення, де був відкритий депозит, несподівано заявила, що в базі даних Привату Евеліни немає. Навіть більше, довіреною особою бабусиного депозиту, згідно з електронною базою даних банку, є інший громадянин, чиє ім'я внучці назвати відмовилися.
Але найголовніше – їй відмовилися повідомити інформацію про стан рахунку, незважаючи на те, що дівчина надала оригінал депозитного договору з мокрими печатками і підписами, де, в тому числі, довіреною особою значилася саме вона.
«Відповіддю на моє обурення була пропозиція звернутися в міліцію. Альтернативою міг стати прихід власника рахунку (бабусі) в банківське відділення або ж надання нової довіреності, посвідченої нотаріально. До того ж співробітниця повідомила мені, що в її очах мої паперові оригінали документів є нікчемними, а вона приймає рішення, винятково виходячи з інформації електронної бази даних», – згадує Евеліна.
У підсумку бабуся таки змушена була прийти у відділення, і її поява змусила оператора назвати нову довірену особу, яка нікому із зацікавлених сторін знайомою не була. На щастя, сам депозит виявився незайманим.
Співробітниця банку відразу ж запропонувала переоформити довіреність «по-новому», щоправда, обмовившись, що вся інформація про «невідому» довірену особу внаслідок такого переоформлення буде знищена.
Вона також просила не розривати договір, аргументуючи це тим, що, швидше за все, сталася помилка на програмному рівні – база даних випадково (!) «підсосала» помилкову інформацію.
Співробітник прес-служби Приватбанку Олег Серга повідомив Корреспонденту, що в разі, якщо інформація в оригіналі депозитного договору відрізняється від тієї, що міститься в комп'ютерній базі даних установи, для з'ясування, які дані вважати достовірними, підключаються служби головного банку.
«Вони використовують додаткові канали перевірки, наприклад банківський примірник договору», – пояснює Серга. Він запевняє: якщо клієнт виявив підозрілі операції за своїм депозитом і стало зрозуміло, що тут замішаний співробітник банку, фінустанова негайно ініціює внутрішнє, а можливо, і кримінальне розслідування.
Безладний сектор
Водночас юристи стверджують, що, незважаючи на впровадження в країні електронного документообігу, «базис» відносин клієнта і банку все одно ґрунтується на документах у письмовій формі на матеріальних носіях.
Інструкція про порядок відкриття, використання і закриття рахунків у національній та іноземній валюті (постанова НБУ № 492), передбачає і письмовий договір вкладу, і верифікацію клієнта, і його особисту присутність, і, власне, спосіб складання довіреності на розпорядження рахунком (нотаріальне або співробітником банку в присутності власника рахунку).
«Відповідно розпорядження рахунком, у тому числі і виплата грошей з нього, здійснюється з верифікацією особи, яка вимагає провести таку операцію – перевіряється її підпис, наявність прав розпорядження рахунком і т. д. В окремих випадках допускається використання електронних способів верифікації, але це лише спосіб дублювання – основним залишається письмовий», – наголошує віце-президент адвокатської фірми Грамацький і партнери Юрій Забіяка.
Іншими словами, як пояснює юрист ЮФ Анте Юрій Векленко, довіреній особі не мали права відмовити в розпорядженні депозитними рахунком. Це підтверджується і законодавством, і судовою практикою.
Як приклад юрист навів випадок, коли вкладниця спробувала зняти гроші з депозиту, але банк повідомив їй, що її договір не обслуговується, а кошти вже були зняті раніше. Верховний Суд України вказав, що наявність ощадної книжки (сертифіката) чи іншого документа є підтвердженням про внесення грошей у відповідну платіжну систему. А банк не виконав свої зобов'язання за договором і повинен компенсувати кошти.
Юристи не приховують, що шахрайство у фінансових установах – не рідкість. За словами Забіяки, часто мають місце такі факти шахрайства, як використання підроблених паспортів, довіреностей та інші «матеріальні» види маніпуляцій. Але ось внесення неправдивих відомостей до бази даних співробітником банку зустрічаються рідко.
А Гліб Пахаренко, експерт з кібернетичної безпеки, директор київського відділення ISACA (всесвітня організація з розробки методологій і стандартів у сферах управління, аудиту та безпеки інформаційних технологій) стверджує, що у банках «повний безлад» в ІТ, тому «збоїв», а також фактів шахрайства саме з електронними базами достатньо.
«Українські банки – це окремий момент. У деяких навіть є самописні ОДБ [операційний день банку (ABS) – центральний компонент автоматизованої банківської системи, який призначений для ведення операційного дня, обліку клієнтів, операцій і складання звітності], щоб робити бухгалтерські проводки заднім числом. У банках спостерігається велика кількість шахрайств із залученням різного рівня співробітників», –каже фахівець.
Пахаренко із сумом зазначає, що і банки, й інші комерційні установи ведуть боротьбу з шахрайством, тільки якщо вона несе їм істотні прямі збитки. Якщо ж зачіпаються інтереси клієнтів, на це мало хто звертає увагу.
«Взагалі в банках є відділи антифроду, але вони ведуть боротьбу більше із шахрайством з боку клієнтів (неповернення кредитів та ін.). Або, в кращому разі, з боку операціоністів і касирів. Решта видів шахрайства, у які залучені керівники банків і які спрямовані проти клієнтів і держави, як правило, не блокуються», – кажеексперт.
Обдурити всіх
Але не тільки в банках процвітає електронне шахрайство.
«У кожному бізнесі, де є автоматизований процес, де є контроль, вбудований у цей процес, їх можна спробувати обійти. Я не знаю жодної системи в провідних компаніях, в якій дійсно неможливі модифікації інформації всупереч законодавству, якщо на це буде пряма вказівка керівництва. Адже компанії не надають клієнтам інтерфейсу, щоб кожен охочий міг перевірити цілісність даних, моніторити їх», – каже Пахаренко.
Але особливо великих обсягів, за словами фахівців, шахрайство досягло в державних органах. І причин такого стану безліч.
По-перше, процес впровадження електронного документообігу в органах іде децентралізовано. Немає єдиного для всіх підходу. По-друге, системи документообігу можуть бути несумісні між собою: хтось використовує Microsoft Office, а хтось безкоштовну версію під Linux. Файли погано читаються, хоча виробники декларують сумісність. По-третє, держоргани не в змозі забезпечити безпеку своїх систем. Поки що це дуже дорого. Як результат – ІТ-системам, як і раніше, не довіряють. Існує висока ймовірність підробки підпису, якщо ключ зберігається ненадійно.
Та й сама практика не дозволяє людям вірити електронним системам держорганів. Достатньо, наприклад, згадати іспити в ДАІ. «Коли я отримувала права, я тричі самостійно намагалася здати тест. Писала, приходила додому перевіряла. Бачила, що заповнила все правильно, а результат все одно не зараховували. Після третього разу нерви здали. Я заплатила, і відразу все здала без помилок», – згадує гіркий досвід власниця інтернет-магазину Єлизавета.
«Держоргани можуть обходити контролі, вбудовані в IТ-системи. Наприклад, система ставить погані оцінки на іспиті і роздруковує відомість, що хтось не здав іспит на якусь посаду. Далі комісія приймає цю відомість, від руки заповнює порожній бланк і вносить туди ті позначки, які захоче. Ніхто не перевіряє систему. Системний адміністратор може потім затерти журнали або взагалі щось дописати в систему, щоб вона відразу ставила гарні оцінки тим, хто цього потребує», – підтверджує Пахаренко.
Має місце шахрайство і під час роботи з держреєстром. Йдеться переважно про реєстр нотаріальних дій (видачі довіреностей, обтяжень і обмежень) і держреєстр прав на нерухоме майно. У другому випадку можуть замінюватися дані про власника майна, змінюватися обсяг і перелік належного йому майна та ін.
Партнер ЮФ КПД Консалтинг Кирило Казак навів приклад з практики, коли внаслідок незаконного втручання (можливо, за пособництва державного реєстратора) була не просто змінена інформація про власника майна (клієнт спочатку був зазначений в реєстрі власником майна) на іншу особу, а ще й видалена історія переходу права власності.
«Згідно із законодавством у відповідному розділі реєстру зберігається інформація про всіх попередніх власників нерухомості, про дати, порядок та підстави переходу права власності. Однак у підсумку була видалена інформація, що клієнт був власником майна, чим фактично стерли історію об'єкта нерухомості в цій частині», – каже юрист.
На цей момент, за його словами, подано позов про скасування такої операції і паралельно відкрито кримінальне провадження.
Але найбільше галасу, напевно, наробила справа одеського програміста Івана, звинуваченого в діях, які призвели до «незаконного отримання довідок державного реєстру права на нерухоме майно» (тобто, фахівець викачав дані з держреєстру). Одеське відділення ДП Інформаційний центр при Мін'юсті порахував це серйозним порушенням і подав заяву в міліцію, яка була зареєстрована в ЕРДР. У квартирі у програміста був проведений обшук.
«Стосовно юридичної складової цієї ситуації ми вважаємо, що в діях Івана немає складу злочину, у якому він звинувачується. Як виявилося, адміністратор бази не встановив технічний захист від парсингу (і не передбачив цього в правилах реєстрації користувачів). Таким чином, у випадку з інформацією з реєстру, якщо технічного захисту немає, отже, немає і юридичної обмеження. Тобто, немає підстав вважати, що адміністратор не дозволяв такий спосіб отримання даних», – прокоментував ситуацію юрист АТ Безпалий і партнери Євген Журавський.
Юрист зазначив, що у зв'язку з новою хвилею рейдерських атак з 2013 року на підприємства шахраї все частіше і частіше залучають IТ-фахівців.
«Правильним буде зазначити, що в несанкціонованому доступі до баз винні не тільки айтішники, а й корумповані чиновники, які надають такий доступ», – вважає Журавський.
***
Цей матеріал опубліковано в №10 журналу Корреспондент від 18 березня 2016 року. Передрук публікацій журналу Корреспондент в повному обсязі заборонено. З правилами використання матеріалів журналу Корреспондент, опублікованих на сайті Корреспондент.net, можна ознайомитися тут.