Безопасность карточного бизнеса : бизнес-энциклопедия

Цель данной главы — дать понимание молодым телом или душой сотрудникам профильных подразделений банка (специализированным службам безопасности карточного бизнеса, специалистам по претензионной работе, сопровождению терминальной сети, торгового эквайринга и пр.) о видах мошенничества с платежными картами, рисками и угрозами для банка, которые влечет за собой мошенническая активность, возможностях по предупреждению и противодействию мошенничеству, минимизации рисков. В обзоре предпринята попытка обобщить и систематизировать наработки ведущих международных платежных систем, российских и иностранных кредитных организаций, практикующих экспертов в области борьбы с карточным мошенничеством. Учитывая появление материала в публичном доступе, в обзор вошла преимущественно открытая информация, знание которой далеко не достаточно для практического использования в мошеннических целях. По этой причине данный труд не претендует на полноту и глубину раскрытия проблематики мошенничества. Вместе с тем разумное снятие завесы секретности с темы карточного «фрода» (от англ. — fraud (обман, мошенничество)) необходимо. Разъяснение принимаемых мер по обеспечению безопасности банковского бизнеса поможет, с одной стороны, вселить уверенность пользователям карт в том, что банки располагают силами и средствами для их защиты, с другой стороны, банковские специалисты сделают это предельно профессионально. В противном случае информационный вакуум заполняют журналисты всех мастей, в большинстве своем ищущие сенсации и тем самым только запугивающие держателей карт. Предлагаемые методы противодействия преступникам действенны и должны быть взяты на вооружение и банкирами, и их клиентами.

Что нужно помнить и начинающим специалистам в области карточной безопасности, и менеджерам, от чьих решений зависит финансирование данной области: убытки от мошенничества неизбежны, но в наших силах их минимизировать.

Никакая, даже самая передовая, технология не способна на 100 % гарантировать безопасность карточного бизнеса банка. Поэтому недооценка рисков или некомпетентное управление ими в итоге приводят к обогащению преступников за счет банка и/или его клиентов. Наглядным подтверждением служит цифра общемировых потерь от мошенничества в 2009 г. — 5,8 млрд долл. США. В этом же году в России, по данным МВД, потери составили 63 млн руб.

Для начала дадим определение, что же такое карточное мошенничество, с чем именно предстоит бороться. Итак, карточное мошенничество — это преднамеренные обманные действия некоторой стороны, основанные на применении технологии банковских карт и направленные на несанкционированное овладение финансовыми средствами, размещенными на карточных счетах держателей карт, или средствами, причитающимися торговым предприятиям за операции по картам.

С появлением первых расчетных карт в середине прошлого века появились и люди, профессионально ориентированные поживиться за чужой (банковский/карточный) счет. Преступники, ранее занимавшиеся подделкой банковских чеков, немедленно принялись осваивать новое карточное направление, а эмитенты, в свою очередь, совершенствовали средства защиты. Противостояние меча и щита с переменным успехом продолжается и сегодня. Каждый банк эмитент или эквайрер рано или поздно столкнется со случаем мошенничества по выпущенной им карте или в обслуживаемом им торгово-сервисном предприятии (ТСП), и в интересах банка пребывать в состоянии готовности к этому и во всеоружии. Имеется в виду, что для успешного противодействия преступникам банки должны, прежде всего, располагать компетентными кадрами, помощь в подготовке которых и есть основная задача данной книги.

Мошенническая деятельность, так же как и банковский карточный бизнес, делится на эмитентское и эквайрерское направления.

Банки-эмитенты принимают на себя риски от несанкционированного использования эмитированных ими карт или платежных реквизитов карт (украденная/потерянная карта, неполученная карта), а также поддельных карт.

Банки-эквайреры подвержены рискам при обслуживании карт в ТСП, с которыми установлены договорные отношения в части оказания услуг принятия карт к оплате (поддельные слипы, двойной ввод операций, противоправная деятельность ТСП или отдельных ее сотрудников по совершению операций по украденным или поддельным картам). Однако четко провести зону ответственности за то или иное мошенничество между банком-эмитентом и банком-эквайрером затруднительно: только совместные действия всех участников карточного бизнеса могут построить серьезную преграду криминалу и обезопасить себя и клиента. По этой причине в описании мероприятий по противодействию мошенничеству приводятся рекомендации и для эмитента, и для эквайрера[1].

Далее, ограничившись кратким обзором распространенных видов мошенничества, подробнее остановимся на мерах противодействия к ним.

Виды мошенничества для кредитной организации — эмитента

Значительная часть утерянных или украденных карт впоследствии используется злоумышленниками для совершения преступлений. Этот вид мошенничества, имеющий более чем полувековую историю, возник одновременно с началом популяризации первых расчетных карт, но остается актуальным и сегодня. Риски утери или кражи карты неизбежны и непредотвратимы, поскольку кошельки, барсетки и дамские сумочки постоянно воруют, а держатели карт сами теряют их. Обнаруживается факт утери лишь в момент необходимости снова воспользоваться картой. До обнаружения пропажи и блокировки карты в процессинговом центре проходит время, которое играет на руку преступникам. При этом мошенникам известны способы, как оперативно и относительно безопасно использовать карту самим (например, через сообщника в торговом предприятии) или перепродать ее другим мошенникам. Зачастую вместе с картой добычей грабителей становятся документы, удостоверяющие личность держателя карты. В этом тяжелом случае преступники могут выдавать себя за законного владельца карты и с большей вероятностью и безнаказанностью опустошить карточный счет, в том числе и снятием наличных в офисе банка. До момента информирования банка о пропаже карты проходит обычно два-три дня, за которые карта активно используется. Ответственность за эти операции до блокировки карты ложится целиком на держателя. Но и после блокировки украденная/утерянная карта категории Standard/Classic и выше может быть использована для совершения операций ниже суммы floor limit — безавторизаци-онного лимита, или операций с авторизацией через stand-in процессинг[2] платежной системы. Для ограничения этих возможностей утерянной карты ее номер необходимо разместить в международном стоп-листе. Но для банка-эмитента постановка карты в «стоп-лист» — процедура финансово затратная. Затраты банк вынужден относить либо на собственные расходы, либо переложить на держателя, отдельно тарифицируя эту услугу или взимая штраф за утерю. В зависимости от типа карты и территории вероятного использования эмитент ставит карту в «стоп-лист» по выбранному региону и на определенный срок исходя из разумного баланса стоимости постановки карты в «стоп-лист» и размера ожидаемых потерь. Выбор условий постановки осуществляется на основании информации из заявления клиента: понятно, что если клиент не может найти карту в собственной квартире, то карту достаточно заблокировать в процессинге. Если же кража карты произошла в международном аэропорту, карту надлежит срочно поставить в «стоп-лист» хотя бы в регионе утери. Однако полностью исключить возможность использования карты возможно лишь после постановки карты во все региональные «стоп-листы» на срок либо до изъятия карты либо до окончания ее срока действия. К сожалению, по причине существенных финансовых затрат на данную процедуру рекомендовать ее можно лишь как крайнюю меру в особых случаях.

После удачного или неудачного использования украденный пластик может получить вторую жизнь: полоса карты перекодируется, после чего карта снова используется в мошеннических целях.

Нужно иметь ввиду, что нередки случаи соучастия в мошенничестве владельца карты, когда он сообщает об утере карты в тот момент как его сообщник снимает по его карте наличные или совершает покупку.

Еще одна разновидность мошенничества с украденными и утерянными картами — использование овердрафта по карте.

В некоторых европейских странах терминалы самообслуживания, установленные для оплаты услуг на небольшие суммы (например, проезд по платным дорогам), позволяют проводить оплату без авторизации по фиксированным платежными системами лимитам. Этим пользуются мошенники, используя украденные карты. Форма оплаты без авторизации небольших сумм практикуется в супермаркетах, магазинах беспошлинной торговли (на борту самолета), АЗС с самообслуживанием. Эмитенту карты приходит финансовое представление операции, которое он не может опротестовать, если карта не была своевременно поставлена в «стоп-лист». Подлимитные операции по одной карте могут быть многочисленными в течение короткого промежутка времени, что влечет за собой риски крупноразмерных (до нескольких десятков тысяч евро) убытков.

Основная причина появления самой возможности мошенничества с украденными и утерянными картами — небрежность держателей банковских карт. Отношение большинства держателей к своим картам гораздо более легкомысленное, нежели к наличным деньгам. Отсюда вытекает и первая по значимости мера противодействия — необходимость обучения клиентов. За их просвещение взялся даже Банк России, выпустив «Памятку о мерах безопасного использования банковских карт» (Приложение к письму Банка России от 2 октября 2009 г. № 120-Т).

Мероприятия по противодействию мошенничеству:

• обязательное обучение держателей карт правилам безопасного хранения и использования карт: в виде раздаточных материалов, в виде обязательства клиента — условия договора, устное разъяснение при получении клиентом карты, информирование посредством интернет-сайта банка;

• корректное позиционирование продуктового ряда: наиболее безопасные дебетовые или электронные карты должны иметь приоритет в розничном распространении и быть ориентированы на рисковые сегменты клиентов;

• установка для определенных карточных продуктов ограничения на использование в операциях без он-лайн авторизации;

• обеспечение круглосуточной бесперебойной доступности колл-центра посредством специального легко запоминаемого телефонного номера, который всегда свободен для входящего звонка. Принятие звонка от клиента не должно прерываться рекламными или информационными сообщениями автоответчика;

• незамедлительно после или во время принятия сообщения от держателя банк должен заблокировать карту от он-лайн авторизации и, при необходимости, принять меры к минимизации рисков проведения подлимитных транзакций — поставить карту в «стоп-лист» платежной системы;

• использование фрод-мониторинга. Выявление нетипичной для держателя активности карты;

• использование услуги смс-информирования о проведенных авторизациях. Позволяет держателю выявить практически в режиме реального времени несанкционированное использование его карты или ее платежных реквизитов и заблокировать карту, пресечь таким образом дальнейшее ее использование мошенником;

• печать на лицевой или оборотной стороне карты цветной фотографии владельца карты.

Платежные системы подразумевают под «неполученными» карты, которые могли быть украдены при пересылке по почте. Частным случаем можно считать карты, украденные непосредственно в организации, занимающейся распространением карт собственным сотрудникам в рамках зарплатного проекта или своим клиентам в рамках доверенности от банка-эмитента. Основные риски для банка вытекают из того, что похищенные карты персонифицированы на реальных пользователей и являются по сути действующими, даже не смотря на их блокировку от авторизации. При этом на карте отсутствует подпись держателя на полосе для подписи, что дает дополнительное преимущество мошеннику. Вся ответственность за мошенничество в этом случае однозначно лежит на эмитенте.

Мероприятия по противодействию мошенничеству.

• Направлять персонализированные карты и конверты с ПИН-кодом в раздельных посылках в разное время (если возможно, разными почтовыми службами). Для адресных рассылок использовать только заказные письма.

• Блокировать карты на время доставки, активировать карты только по обращению клиента в банк и его идентификации.

• Размещать на полосе для подписи фотографическую копию подписи держателя, печатать на лицевой или оборотной стороне карты цветную фотографию владельца карты.

• Вводить в действие регламентные и инструктивные документы по процедурам хранения, персонализации, транспортировки, передачи карт, учета заготовок и персонализированных карт на всех стадиях процесса.

Поддельной называется карта, которая имеет внешние признаки действительной и легально выпущенной, однако печать, эмбоссирование, персонализация и кодирование карты были произведены с нарушением установленных платежной системой правил и не были санкционированы эмитентом. При этом либо печать карты была санкционирована эмитентом, но эмбоссирование или кодирование были произведены без его ведома; либо карта была выпущена с соблюдением всех необходимых правил, но впоследствии была переделана или в ее дизайне были произведены изменения, за исключением изменения подписи держателя или поля (панели) для подписи. Также поддельной считается карта, если на ней присутствуют признаки несоответствия стандартам платежной системы, логотип которой размещен на карте, не соответствуют или отсутствуют защитные признаки. Поддельная карта может быть изготовлена путем физического изменения подлинной или копирования, имитации подлинной.

Поддельная карта, переделанная из подлинной, — это утерянная/украденная/перехваченная карта с измененными платежными реквизитами и/или перекодированной магнитной полосой.

Первые попытки переделки карт проводились путем срезания эмбоссированных цифр номера карты и переклеивания их местами. Также практиковался метод заглаживания эмбоссированных символов на карте горячим утюгом для выдавливания поверх нового номера карты. Такие подделки определить визуально несложно, поэтому они прокатывались импринтером в торговых организациях в сговоре с продавцом. Для получения действительных номеров карт предпринимались многочисленные, и не всегда безуспешные, попытки подбора программными средствами номера карты и срока действия карты с последующей попыткой проведения операции оплаты через интернет-магазины. Этому риску подвергаются в основном эмитенты, установившие правило последовательной генерации номеров карт.

С повсеместным распространением электронных POS-терминалов мошенники переориентировались на перекодирование магнитной полосы, как наиболее технически простой и дешевый способ подделки. Перекодируют полосу чаще на подлинной карте — такая карта не вызывает подозрений при обслуживании в торговой сети. Однако хорошо обученный кассир обязан обратить внимание на несоответствие платежных реквизитов на самой карте и на бумажном чеке, где распечатываются данные с магнитной полосы.

Полностью поддельная карта имитирует подлинную платежными реквизитами, дизайном, названием банка-эмитента, защитными признаками платежной системы, кодированием магнитной полосы. Встречаются высококачественные подделки, изготовленные на профессиональном типографском оборудовании и персонализированные промышленными эмбоссерами. Это результат деятельности организованных преступных групп, работающих с международным размахом. Для небанковских специалистов, не имеющих доступа к BIN-Member tables (справочник соответствия БИНов названиям банков), выявить такую подделку весьма проблематично.

У кустарно подделанных карт не так много шансов быть принятыми в торгово-сервисной сети и практически нет шансов снять по ним наличные в офисах банков, где и кассиры более профессионально обучены и требуется удостоверение личности. Тем не менее подделки эволюционировали благодаря удешевлению и доступности микропроцессорной техники: мошенники стали использовать карты с магнитной полосой преимущественно для перекодирования информации на ней, т. е. нанесения данных, считанных с легальных карт. Мошенничество, связанное с копированием магнитной полосы карты (часто в совокупности с перехватом ПИН-кода), называется «скимминг» (skimming). Это явление получило в последние годы всемирное распространение, а в некоторых странах Восточной Европы и Юго-Восточной Азии приобрело глобальные масштабы. Мошенничество заключается в том, что магнитная полоса карты копируется с помощью накладки на слот кардридера банкомата (рис. 1.1).

ПИН-код копируется накладной клавиатурой (рис. 1.2) или записывается миниатюрной видеокамерой. Злоумышленники используют данные с магнитной полосы для изготовления клона карты и с ее помощью обналичивают деньги. Распознать эти накладки для неспециалиста затруднительно: внешне они имитируют штатные устройства. Скимминг может произойти и в торгово-сервисном предприятии, где кассир или официант в сговоре с преступниками незаметно прокатывает карту через считывающее магнитную полосу мобильное устройство. ПИН-код в этом случае подсматривается «из-за плеча» при обслуживании карты с чипом по процедуре Chip&PIN.

Доступ злоумышленников к данным магнитной полосы и ПИН-коду упростил им задачу получения наличных — часто мошенниками для этого используется так называемый «белый пластик». Это заготовки карт с кодированной магнитной полосой, но без каких-либо элементов дизайна. Чтобы «белый пластик» не бросался в глаза случайным прохожим или сотрудникам службы безопасности банка, которые будут просматривать записи с камеры банкомата, на карту наклеивают цветные стикеры, или пластик окрашивают любым доступным способом.

Были отмечены нетривиальные случаи использования для скимминга «доработанных» мошенниками POS-терминалов, перехвата информации посредством врезки в коммуникационные каналы связи, взлома баз данных ТСП или банковских процессингов.

Чаще всего держатель карты не замечает, где и когда он стал жертвой скимминга, а обнаруживает уже совершенные по его карте мошеннические транзакции. Ответственность за такого рода операции ложится на банк-эмитент.

Мероприятия по противодействию мошенничеству:

• обучение держателей мерам безопасного обслуживания карт (соблюдение мер, направленных на сохранение конфиденциальности платежных реквизитов карты и ПИН-кода);

• миграция на EMV карты и использование правила Chip&PIN (перенос рисков финансовой ответственности на эквайрера за проведение им операции с чтением только магнитной полосы карты);

• случайная генерация номеров карт;

• проверка CVV (CVC), CVV2 (CVC2) при авторизации, сверка срока действия карты в авторизационном запросе с параметром в базе данных процессинга;

• использование фрод-мониторинга авторизационного трафика с возможностью автоматически блокировать карту;

• использование услуги смс-информирования о проведенных авторизациях;

• установка лимитов снятия наличных денежных средств в банкоматах на ежедневной и ежемесячной основе;

• обучение сотрудников ТСП выявлению поддельных карт. Периодические тренинги и практикумы с аттестацией. Вознаграждение со стороны банка-эквайрера сотрудников ТСП за задержанную поддельную карту.

Платежная транзакция, совершаемая без предъявления карты, т. е. в условиях, когда в точке совершения транзакции отсутствует не только сама платежная карта, но и ее держатель, называется Card Not Present transaction. Такая транзакция совершается по указанию держателя карты, данному устно или письменно (факс, электронная почта и т. д.). Card Not Present мошенничество основывается на использовании платежных реквизитов банковской карты не ее законным владельцем. Оплату с использованием реквизитов платежного средства практикуют в интернет-магазинах и торговых точках, оформляющих заказы дистанционно через почту, телефон, электронную почту (mail order/telephone order (MO/TO) transaction) или интернет-сайты ТСП, использующие оформление транзакций по правилам электронной коммерции (e-commerce). У ТСП нет возможности проверить принадлежность карты ее законному держателю, нет возможности сличить подпись или проверить удостоверение личности. Серьезных мошенников интересует прежде всего покупка дорогого и легко реализуемого товара по реквизитам краденных банковских карт. Сегодня таким товаром являются компьютерная техника, фото/видео/ аудиотехника, мобильные телефоны и аксессуары к ним, прочие гаджеты. Однако физический товар требует реального адреса для доставки и получить его должно конкретное физическое лицо по предъявлении документа, удостоверяющего личность. Поэтому с точки зрения преступника эта схема рискованна и реализуема только через подставное лицо. Менее требовательные мошенники из числа компьютерных хулиганов довольствуются покупкой софта и мультимедийного контента, доступного для скачивания посредством Интернета, для покупки которых не требуется адрес доставки. Суммы таких операций не превышают 100 долл., но доставляют проблемы эмитенту в случае массового характера. Подобные разовые операции возможно опротестовать претензионными процедурами, массовые случаи могут потребовать предметного разбирательства непосредственно с банком-эквайрером и с привлечением платежных систем, когда торговую точку поставят перед выбором: или прекращать прием карт в оплату или совершенствовать защитные меры.

Качественно высокого уровня безопасности в e-commerce операциях позволяет добиться использование протокола 3D Secure, известного также как MasterCard SecureCode и Verified by VISA. Данная технология обеспечивает взаимную аунтентификацию всех участников электронной сделки: держателя карты, ТСП и банка-эквайрера. Однако существенные финансовые затраты на сертификацию для банков-эквайреров являются сегодня сдерживающим фактором для массового продвижения этой технологии.

Еще одной разновидностью CNP-фрода являются подписки на периодическое предоставление услуг с регулярной их оплатой (recurring transactions): доступ к сайтам для взрослых, рассылка новостной и рекламной информации и т. п. С держателя карты без предварительного уведомления ежемесячно начинают списывать по нескольку долларов за подобные услуги. Эмитентом такие операции успешно опротестовываются.

Актуальны случаи, когда недобросовестные сотрудники турагентств бронируют номера в гостиницах за границей по случайно попавшим в их поле зрения реквизитам карт с целью получения въездных виз клиентам с индивидуальными турами. После получения визы эти лица не утруждают себя отменить бронь номера, и с законного держателя карты гостиница удерживает стоимость проживания за сутки, так называемое «no show fee».

Помимо финансовых затрат со стороны банка на фрод-мониторинг, страхование рисков, оплату высококвалифицированных специалистов по претензионной работе мошенничество влечет невосполнимые репутационные риски. Даже сам факт возможности мошенничества является сильным сдерживающим фактором популяризации оплаты товаров и услуг в сети Интернет по банковским платежным картам.

По данным НАФИ, лишь 18 % россиян совершают покупки в сети Интернет, 36 % из них используют для оплаты товаров и услуг банковские платежные карты. Webmoney и Яндекс-деньги популярны у 54 и 49 % опрошенных.

Мероприятия по противодействию мошенничеству:

• обучение держателей карт мерам безопасного обслуживания карт, в частности не передавать реквизиты карты третьим лицам. Рекомендации клиентам использовать для оплаты товаров и услуг в Интернете только специализированные карточные продукты типа «виртуальная карта» (Virtual card);

• контроль за транзакционной активностью ТСП, периодическая проверка соответствия деятельности ТСП заявленной им при заключении договора с банком-эквайрером;

• выполнение со стороны банка-эмитента и банка-эквайрера требований PCI DSS по сокрытию информации о платежных реквизитах карт в электронных базах данных;

• использование фрод-мониторинга авторизационного трафика;

• переход участников электронной коммерции на использование протокола 3D Secure.

Цель ID Theft — получение мошенником дебетовой банковской карты или карты с кредитным лимитом на чужое или подставное лицо. На такой карте отсутствует подпись владельца, что упрощает ее незаконное использование. Финансовые обязательства возникают у третьего лица — законного владельца карты, но фактически убытки несет банк-эмитент, который или не может юридически обоснованно предъявить клиенту счет, или не способен осуществить возврат средств от неплатежеспособного клиента.

Дебетовые карты активно используются мошенниками для «отмывания» — обналичивания денежных средств, полученных противозаконным путем.

Для получения таких карт используются украденные/утерянные/поддельные документы, удостоверяющие личность, а также подставные заведомо неплатежеспособные лица — финансово неграмотные пенсионеры или студенты, алкозависимые личности и прочие граждане, желательно имеющие легальную регистрацию места жительства.

Мошенники подготавливают правильным образом анкету подставного лица, указывают «заряженные» телефоны ложных работодателей, завышают реальный доход, оформляют регистрацию на липовые адреса. Зачастую подставное лицо появляется в банке для подачи документов на оформление карты в компании сопровождающего, представляющегося его родственником или доверенным лицом. Анкета подставного лица с заявлением на выпуск карты (равно как и само лицо с сопровождающим «родственником») может кочевать из банка в банк, выискивая брешь в скоринг-системах.

Отдельная разновидность этого мошенничества — перехват счета (Account takeover) — более распространена в европейских странах и США. В этом случае мошенник получает данные о реквизитах карты/счета (например, из оказавшихся в его распоряжении банковских выписок держателя карты), далее следует звонок в банк об изменении домашнего адреса и запрос новой карты с ее доставкой по новому адресу.

Мероприятия по противодействию мошенничеству:

• детальная проверка анкет потенциальных клиентов для обнаружения несоответствий. Проверка клиентских данных в базах данных бюро кредитных историй, правоохранительных органах, иных источников информации;

• профессиональное взаимодействие между службами безопасности банков по выявлению «гастролеров» — мошенников, обращающихся поочередно в разные банки;

• разъяснительная работа с лицами, замеченными в регулярном обналичивании больших сумм денежных средств;

• использование фрод-мониторинга для выявления фактов обналичивания денежных средств. Критерием для мониторинга являются транзакции на суммы более 300 тысяч рублей;

• установка заградительных тарифов за снятие наличных денежных средств, превышающих установленный лимит;

• всесторонняя идентификация клиента при принятии заявления о каких-либо изменениях анкетных данных.

Виды мошенничества для эквайрера

Целью мошенничества является регистрация предприятия в банке на услугу «Торговый эквайринг» с открытием расчетного счета или перечислением на счет в другом банке, совершение ряда операций по утерянным, украденным или/и поддельным картам, получение по операциям возмещения от банка-эквайрера и последующее исчезновение до момента обнаружения мошенничества.

В ТСП могут проводиться операции как с использованием POS-терминала, так и импринтера. Последний расширяет возможности мошенников для использования эмбоссированного «белого пластика» без кодированной магнитной полосы. По совершенным операциям банк-эквайрер получает опротестования, которые становятся его убытками. Повышенный риск представляют такие «одноразовые» торговые предприятия в среде Интернет-торговли, где мошенникам нет необходимости использовать реальный пластик. Убытки от их деятельности могут иметь на порядки больший размер.

Показателен пример с мошенничеством в бизнесе продажи авиабилетов. ТСП, занимающееся продажей авиабилетов, принимает от клиентов оплату наличными. Далее ТСП оформляет бронь авиабилетов через интернет-ресурсы автоматизированных систем бронирования с оплатой по украденным или поддельным платежным картам. С учетом высокой стоимости авиабилетов данная схема мошенничества остается актуальной.

Регистрация фиктивного ТСП может иметь целью сбор платежных реквизитов карт для их последующего использования в мошеннических целях. Для этого удобно подходят технологии телемаркетинга, когда от клиента для оформления покупки требуется передать реквизиты карты через Интернет, факс или телефон. До получения реального товара или услуги дело, как правило, не доходит. В этом плане подозрительными являются заманчивые предложения о продаже ходовых товаров или услуг с несоизмеримыми с реальной ценой товара скидками, о бесплатной рассылке товара с предоплатой по карте клиентом только почтовых затрат.

Причина этого вида мошенничества — неспособность банка-эквайрера распознать криминальные цели организации на этапе проверки ее документов до подписания договора на услугу и отсутствие контроля за деятельностью ТСП.

Мероприятия по противодействию данному мошенничеству:

• комплексная проверка ТСП до подписания договора на предоставление услуги;

• мониторинг проводимых в ТСП операций, а также отказов в авторизациях, их причины;

• инспекция ТСП посещением сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному ранее.

Сговор работника ТСП с ворами-карманниками или организованными криминальными структурами с целью получения товара или денежных средств с использованием украденных, утерянных или поддельных карт. Работники ТСП могут пойти на сговор под давлением преступников, контролирующих бизнес ТСП (его владельцев), или «гастролеров».

К этому же виду относится мошенничество работника ТСП, связанное с использованием служебного положения:

• двойное проведение операции посредством POS-терминала (electronic data capture);

• неоднократное копирование торгового слипа и выставление его к оплате (multiple imprints);

• ручной ввод на POS-терминале платежных реквизитов карты в отсутствие карты и ее владельца (PAN key entry).

Здесь же уместно напомнить о таком старом виде мошенничества, как подделка торговых слипов (altered sales drafts), когда после подписания законным держателем карты слипа работником ТСП изменяется в большую сторону сумма операции, которая без ведома держателя авторизуется.

Выявить компрометацию карт в ТСП — организационно сложная задача. Во многих сетевых ресторанах и супермаркетах текучка кадров — явление постоянное, на работу принимаются нерезиденты-мигранты, студенты, временные работники. Низкая оплата труда, правовая и финансовая безграмотность, а также запугивание и шантаж со стороны криминала — причины, по которым сотрудники ТСП начинают сотрудничать с мошенниками. Следует помнить, что работники ТСП являются самым слабым звеном в построении системы безопасности карточного бизнеса.

Мероприятия по противодействию данному мошенничеству:

• комплексная проверка ТСП до подписания договора на предоставление услуги;

• мониторинг за случаями опротестовывания операций из данной ТСП, расследование их причин;

• финансовые санкции и зафиксированная договором ответственность ТСП за убытки, связанные с мошенничеством со стороны работников ТСП;

• контроль со стороны банка за использованием слипов в ТСП.

Оформление и передача банку-эквайреру платежных документов на оплату за товары или услуги (как фактические, так и несуществующие), реализованные иным ТСП, не имеющим договора с этим банком-эквайрером. Обычно таковыми являются торговые организации, не прошедшие проверку банков-эквайреров по причинам наличия юридических проблем или их негативной репутации. Имеющий договор на эквайринг владелец ТСП за представление к оплате чужих платежных документов получает процент от суммы операций. Понятно, что проверить законность происхождения чужих платежных документов ему не представляется возможным, чем и пользуются мошенники, оформляя операции по украденным и поддельным картам. Такая схема активно работает в течение ограниченного несколькими неделями времени, а затем мошенники переходят под другое легальное ТСП до того, как начнется массовое опротестовывание операций.

Мероприятия по противодействию данному мошенничеству:

• комплексная проверка ТСП до подписания договора на предоставление услуги;

• мониторинг за опротестовываниями операций из ТСП, расследование их причин;

• финансовые штрафные санкции и зафиксированная договором ответственность ТСП вплоть до расторжения договора в случае предоставления к оплате платежных документов, оформленных третьими лицами.

Направление в банк-эквайрер мошенниками поддельного извещения от имени ТСП об изменении платежных реквизитов для перечисления денежных средств по договору на услугу торгового эквайринга с указанием номера подставного расчетного счета. Мошенники используют информацию о руководящих лицах торговой организации, подделывают их подписи и печать организации. Далее письменно извещают банк об изменении платежных реквизитов и похищают переведенные денежные средства.

Мероприятия по противодействию данному мошенничеству:

• настаивать на открытии расчетного счета ТСП в банке-эквайрере;

• осуществлять проверку извещений об изменении платежных реквизитов ТСП на предмет соответствия заверяющих подписей образцам подписей, хранимых в банке, а также печати организации;

• направить ТСП ответное письмо с подтверждением изменений.

Деятельность по обналичиванию денежных средств характеризуется переводом со счета юридического лица на множество текущих счетов физических лиц с последующим снятием наличных в банкоматах. В схемах по обналичиванию широко используются платежные карты, появились зарплатные проекты для фиктивных компаний, основная задача которых — массовое легальное распыление крупных сумм и последующее обналичивание. Признаки деятельности «обнальщиков» следующие: нетипичные переводы со счетов юридических и физических лиц на карточные счета; массовое снятие наличных сразу после таких переводов; одновременное либо за короткий промежуток времени снятие наличных с одной карты в разных регионах; переводы на счета электронных денег.

Следует отметить, что контроль за операциями VIP-клиентов банка должен вестись с учетом индивидуальных особенностей их бизнеса и личных привычек.

Мероприятия по противодействию данному мошенничеству:

• разъяснительная работа с лицами, замеченными в регулярном обналичивании больших сумм денежных средств;

• использование фрод-мониторинга для выявления фактов обналичивания денежных средств. Критерием для мониторинга являются транзакции на суммы более 300 тыс. руб.;

• установка лимитов выдачи наличных через банкоматы и POS-терминалы ПВН.

Иные виды мошенничества

Мы уже упоминали скимминг выше, поговорим о нем подробнее.

Для банка-эквайрера скимминг — не меньшая головная боль, чем для несущего финансовую ответственность эмитента, тем более что зачастую эмитент и эквайрер выступают в одном лице в качестве пострадавшего. К сожалению, в большинстве случаев о скимминге эквайрер узнает последним, когда потерпевшие убытки банки-эмитенты вычислили устройство, где были скомпрометированы карты. Реже службам эквайрера или бдительным клиентам удается заметить накладки на банкоматы и ликвидировать их. Но и в этом случае карты, по которым прошли транзакции во время нахождения накладки на банкомате, подлежат блокировке и перевыпуску. Здесь платежные системы являются связующим звеном в оперативном обмене информации между банками по скомпрометированным картам.

Для противодействия скиммингу производителями банкоматов предлагаются различные антискимминговые устройства, интегрированные в картридеры (рис. 1.3), и экраны, закрывающие от посторонних глаз клавиатуру для ввода ПИН-кода (рис. 1.4).

Антискимминговые устройства делают физически невозможным установку преступниками скимминговых накладок и могут быть оснащены датчиками, останавливающими работу банкомата в случае повреждения слота картридера. Некоторые модели антискимминговых устройств оснащены функцией, называемой Jitter, — неравномерность скорости движения карты в картридере, что затрудняет считывание полосы скимминговой накладкой.

Сами банки пытаются организовать защиту своими силами: размещают заставку на банкомате или печатные плакаты с изображением, как должна выглядеть передняя панель банкомата, ставят помехи для мобильных телефонов в зоне размещения банкоматов для противодействия передаче скопированных данных по GPRS-каналу.

По данным ассоциации АРЧЕ за первые полгода 2009 г. в России зафиксировано 30 случаев скимминга. Убытки от скимминга составили в 2009 г. 771 млн руб.[3]

Мероприятия по противодействию данному мошенничеству:

• периодический обход банкоматов техниками и службой инкассации для обнаружения любых посторонних предметов на лицевой панели;

• размещение банкоматов с учетом безопасности для клиентов, техников и инкассаторов;

• организация зоны безопасности перед банкоматом;

• оборудование банкоматов видеокамерами;

• установка антискимминговых устройств;

• размещение на заставке банкоматов фотографии штатного картридера;

• использование уникальных стикеров для опломбирования клавиатуры банкомата и панели картридера.

Очень часто сам держатель карты своими действиями компрометирует ПИН-код, выданный к его карте. Проблема заключается в том, что владельцы карт не могут или не хотят запоминать ПИН-код и записывают его на самой карте, в записной книжке, мобильном телефоне или носят конверт с ПИН-кодом в кошельке. Рано или поздно это приводит к тому, что карту и ПИН-код воруют одновременно и с предсказуемым результатом: денежные средства с карты снимаются похитетелем в ближайшем банкомате еще до звонка клиента в банк и блокировки карты.

Компрометация ПИН-кода может произойти непосредственно в момент совершения законным держателем операции снятия наличных средств в банкомате или POS-терминале. Посторонний человек, «случайно» оказавшийся рядом, может подсмотреть ПИН-код из-за плеча или на расстоянии с помощью оптических приборов, а похитить саму карту для профессиональных карманников не составляет труда. С ростом количества чиповых карт и введением требования ПИН-кода по картам Maestro компрометация ПИН-кода при его вводе стала актуальной проблемой.

Для получения ПИН-кода «не отходя от кассы» мошенники могут представиться сотрудниками банка, к примеру, у неработающего банкомата, и предложить свою помощь в проведении операции. Клиента просят воспользоваться банкоматом и ввести при них ПИН-код. Далее либо владелец карты становится жертвой скимминга, либо карту банально воруют или подменяют.

Мероприятия по противодействию мошенничеству:

• Обучение держателей карт мерам безопасного обслуживания карт.

Использование карты членом семьи, коллегой или другом без разрешения владельца карты. Чаще речь идет о совершенных операциях выдачи наличных сведств через банкомат, которые оспаривает законный держатель карты. Следует отметить, что не исключены варианты сговора держателя и «друга».

По данным Национального агентства финансовых исследований (НАФИ), в России 9,9 % держателей карт передавали свою карту третьим лицам, 11,6 % — хранят ПИН-код вместе с картой, 19,8 % — теряли карту, из них 2, 29 % — утрачивают карту вместе с ПИН-кодом.

Мероприятия по противодействию мошенничеству:

• обучение держателей карт мерам безопасного обслуживания карт;

• оборудование банкоматов видеокамерами.

Данный вид мошенничества заключается в том, что мошенник помещает в слот картридера банкомата кусок пластиковой ленты, образующий петлю, препятствующую возврату карты. Когда у законного владельца карты не получается получить карту обратно, появляется «доброжелатель» с рекомендацией повторно ввести ПИН-код. Если держатель соглашается, то мошенник подсматривает ПИН-код «из-за плеча». Держатель карту обратно не получает, а мошенник после ухода держателя достает карту за край ленты, приклеенный на внешнюю сторону картридера.

Мероприятия по противодействию мошенничеству:

• Оборудование банкоматов антискиминговыми накладками на картридер.

При проведении операции по карте в банкомате перед тем, как карта возвращается банкоматом обратно, мошенники отвлекают держателя.

При этом карта похищается либо ее подменяют. Мошенники действуют в группе, один отвлекает, другой забирает или меняет карту. PIN-код похищенной карты подсматривается «из-за плеча».

Мероприятия по противодействию мошенничеству:

• Обучение держателей карт мерам безопасного обслуживания карт.

Мошенничество совершает законный держатель карты. Из лотка для выдачи купюр забирается не вся пачка наличных, а лишь некоторое количество купюр из середины пачки. Банкомат захватывает оставшиеся деньги как «забытые» клиентом. До массовых случаев «щипачества» карточные процессинги отрабатывали такой возврат, как full reversal с зачислением полной суммы невыданных средств на карточный счет клиента. Инкассация банкомата, выявление недостачи и последующее расследование позволяли вычислить мошенника, но к этому моменту средств на счете уже не было, да и доказать факт мошенничества банку весьма проблематично. В настоящее время практика работы с не выданными банкоматом по разным причинам суммами предусматривает их возврат на счета клиентам только после проверки кассой результатов инкассации.

Мероприятия по противодействию мошенничеству:

• оборудование банкоматов видеокамерами, направленными на лоток выдачи купюр

Мошенник размещает накладку над лотком для выдачи наличных. Конструкция накладки такова, что выданные банкоматом купюры захватываются, но держателю карты не выдаются. Когда клиент не дождавшись выдачи наличных уходит, мошенник снимает накладку вместе с задержанными денежными средствами. Мероприятия по противодействию мошенничеству:

• оборудование банкоматов видеокамерами, направленными на лоток выдачи купюр.

Электронные письма, смс-сообщения или телефонные звонки якобы от имени банка, содержащие просьбу сообщить платежные реквизиты банковской карты, ПИН-код или персональные данные клиента, носят название phishing — симбиоз английских слов phone и fishing. Метод действительно напоминает рыбалку: массовой рассылкой вбрасывается большое количество писем-«приманок», далее собираются ответы от тех, кто попался на крючок. Уязвимые места, используемые при фишинге, — человеческий фактор и несовершенство средств аунтентификации клиента банком.

Рекомендации для клиентов, как определить письмо, являющееся фишингом, следующие: банки никогда не запрашивают предоставления персональных данных карты, кроме как при личном присутствии клиента в офисе или посредством систем ДБО с обязательной аутентификацией клиента. Кроме того, текст письма может содержать грамматические ошибки, обращение к клиенту неличностное (например, «Уважаемый клиент!»), тон письма тревожный, предостерегающий возникновением проблем (например, «потерей учетных записей») в случае, если клиент не предоставит требуемую информацию.

Одна из разновидностей фишинга получила название «фарминг». Клиент, набирая в адресной строке правильный адрес интернет-сайта банка, перенаправляется на сайт, контролируемый мошенниками. Дизайн подставного сайта почти полностью копирует оригинальный банковский и содержит перечень полей для заполнения личными данными. Метод может быть использован как на компьютере клиента с помощью «троянов» (изменяется таблица соответствия DNS имен и IP-адресов), так и непосредственно на DNS сервере интернет-провайдера клиента. Клиент пребывает в уверенности, что пользуется услугами банка и безбоязненно вводит платежные реквизиты. После этого личные данные клиента становятся доступными мошенникам, а клиент перенаправляется на официальный сайт банка.

Для профилактики фарминга клиентам надлежит в обязательном порядке рекомендовать использование для доступа и совершения операций в системах ДБО только собственные персональные компьютеры с актуальной обновленной версией антивирусной программы с функциями «антихакер» и «антишпион». В противном случае нет никакой гарантии, что компьютер не заражен шпионскими (spyware) программами, собирающими персональные данные (логины, пароли), или «троянами» изменяющими параметры сетевой защиты и делающими компьютер уязвимым для несанкционированного доступа. Использовать для хранения ключевых данных USB-токенов.

Мероприятия по противодействию мошенничеству:

• обучение держателей карт мерам безопасного обслуживания карт, в том числе посредством систем ДБО. Клиент должен знать, что банки никогда не просят сказать или выслать им ПИН-код. Адреса сайтов банковских систем ДБО содержат признак использования защищенного канала связи https://;

• использование одноразовых динамических паролей для аутентификации клиентов.

Это достаточно экзотичный для России вид мошенничества, но имеющий немало прецедентов в мировой практике. Под видом банкомата устанавливается внешне похожее на банкомат устройство — либо изготовленное кустарно, либо собранное из запчастей. В США законодательно разрешается приобретение банкоматов частным лицам для получения комиссионного дохода, чем также пользуются мошенники. В любом случае устройства устанавливаются с одной целью: скопировать магнитную полосу и ПИН-код.

В Турции зафиксированы неоднократные случаи компрометации реквизитов карт туристов в так называемых Post-office — конторах, предлагающих выдачу наличных по банковским картам с минимальной комиссией за операцию. Также надлежит избегать предложений со стороны торговцев обналичить денежные средства через POS-терминал, предназначенный для оформления покупки.

Мероприятия по противодействию мошенничеству:

• обучение держателей карт мерам безопасного обслуживания карт, в том числе использования банкоматов и пунктов выдачи наличных за границей, принадлежащих местным официальным кредитным организациям. Расположение банкоматов и банковских офисов можно заранее узнать на сайтах банков или сайтах международных платежных систем.

Мировая практика противодействия мошенничеству показывает эволюционный характер развития мошеннической активности: наряду с появлением новых видов совершенствуются и адаптируются к новым условиям и старые. Мошенничество — динамичный процесс, требующий постоянного анализа и оперативного принятия ответных мер со стороны банковского сообщества. Однако к настоящему времени средства, которыми располагают банки для защиты своей эмиссии карт с магнитной полосой, оказались исчерпаны. Тяжелые финансовые и репутационные последствия, которые несет за собой скимминг, заставляют платежные системы, кредитные организации и их вендоров работать над продвижением технически совершенных EMV-технологий. Наработана достаточно убедительная статистика, показывающая смещение мошеннической активности от массово переходящих на микропроцессорные карты европейских стран в развивающиеся рынки Восточной Европы, России и страны Азиатского региона. Также благодаря модернизации банкоматной и POS-терминальной сети с поддержкой EMV произошло смещение объемов мошенничества в область транзакций CNP. Обратной стороной медали стало увеличение числа случаев компрометации ПИН-кода при его более частом использовании. Этот пример показывает, насколько важен комплексный подход в решении вопросов обеспечения безопасности, учитывающий интересы и возможности всех участников рынка.

В то же время североамериканские эмитенты не спешат в большинстве своем мигрировать на чип, разительного удешевления EMV технологий за последнее десятилетие также не произошло. Можно с большой уверенностью говорить, что и в следующие десять лет карты с магнитной полосой, а также гибридные (с магнитной полосой и микропроцессором), не уйдут со сцены. Это означает, что вопросы безопасности карточного бизнеса для всех его участников останутся по-прежнему актуальными. Как уже говорилось, самостоятельные действия отдельно взятой кредитной организации или процессингового центра по обеспечению собственной безопасности сильно ограничены. Именно поэтому платежными системами разработаны и активно лоббируются меры, направленные на коллективную защиту всех участников индустрии безналичных платежей. Речь идет о единых стандартах платежных систем VISA Inc. и MasterCard Worldwide, определяющих требования по информационной безопасности и средства контроля за их повсеместным применением. Основной стандарт — Payment Card Industry Data Security Standard (PCI DSS), будет подробно описан в данной книге профильными специалистами. В завершение главы — обобщающий итог исходя из опыта защиты от мошенничества для банка-эмитента и банка-эквайрера.

1. Действующая политика обеспечения безопасности эмиссии карт, устанавливающая обязанности и полномочия всех задействованных в процедурах выпуска и обслуживания банковских карт подразделений банка по защите от мошенничества, распределение зон и степени их ответственности.

2. Действующие процедуры проверки клиентских заявлений на выпуск карт.

3. Действующие регламенты по безопасной транспортировке, хранению, выдаче карт и ПИН-конвертов, уничтожению невостребованных карт и ПИН-конвертов. Обеспечение условия раздельной доставки и хранения карт и ПИН-конвертов. Пересылка карт только в заблокированном от использования виде.

4. Контроль и бухгалтерский учет заготовок карт, а также изготовленных, выданных и уничтоженных карт.

5. Соответствие процедур key-management[4], персонализации карт, печати ПИН-конвертов, хранения заготовок карт требованиям и стандартам международных платежных систем.

6. Использование систем он-лайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в авторизации, блокировка карты, установление лимитов по операциям).

7. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка карты, установление лимитов по операциям).

8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS).

9. Обязательное обучение держателей карт правилам безопасного хранения и использования карт. Бесплатное предоставление держателям карт средств самостоятельного контроля операций (смс-информирование).

10. Обязательное обучение сотрудников банка, задействованных в процедурах выпуска и обслуживания банковских карт, мерам по защите от мошенничества.

11. Перевод эмиссии на микропроцессорные карты с правилом обслуживания Chip&PIN, поддержка протокола 3D Secure на стороне эмитента.

12. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц.

13. Блокировка и перевыпуск скомпрометированных карт банка.

14. Выполнение требований стандартов безопасности карточных систем PCI DSS.

1. Действующая политика обеспечения безопасности терминальной сети для обслуживания карт, устанавливающая обязанности и полномочия всех задействованных в процедурах развития и эксплуатации терминальной сети подразделений банка по защите от мошенничества, распределение зон и степени их ответственности.

2. Действующие процедуры проверки заявлений ТСП перед заключением договоров.

3. Периодическая инспекция ТСП — посещение сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному в заявлении.

4. Использование систем он-лайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в проведении операции, блокировка терминала).

5. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка терминала, блокировка ТСП).

6. Организация мониторинга программной, аппаратной и коммуникационной составляющих банкоматной сети на подверженность мошенническим воздействиям.

7. Соответствие процедур key-management требованиям международных платежных систем, криптозащита информации, передаваемой через публичные коммуникационные сети.

8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS, RIS, NMAS, MATCH).

9. Поддержание базы данных ТСП, договоры с которыми были расторгнуты или заявления на обслуживание в банке были когда-либо отклонены.

10. Поддержка протокола 3D Secure на стороне эквайрера, поддержка EMV в банкоматной и POS-терминальной сети.

11. Обязательное обучение работников ТСП правилам приема и обслуживания банковских платежных карт, стандартам безопасности международных платежных систем, выявлению и пресечению попыток использования поддельных и украденных карт. Разъяснение правовой ответственности за соучастие в мошенничестве с платежными картами, персональной ответственности работников ТСП за соблюдение правил банка и УК РФ.

12. Обязательное обучение сотрудников банка, задействованных в развитии и эксплуатации терминальной сети, мерам по защите от мошенничества.

13. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц.

14. Выполнение требований стандартов безопасности карточных систем PCI DSS.

По нашим оценкам, основанным на анализе данных платежных систем, в 2009 г. потери от криминальных посягательств на финансовые средства в сфере оборота платежных карт во всем мире составили порядка 7 млрд долл. США, в то время как в 2007 г. эти потери составляли 5,8 млрд долл.

Во многих странах уделяется большое внимание данной проблеме, созданы специальные полицейские подразделения, нацеленные на борьбу с преступлениями в этой сфере. В данном разделе произведен анализ уголовного и уголовно-процессуального законодательства Российской Федерации, судебно-следственной практики, а также обобщен практический опыт структур банковской безопасности.

По данным МВД РФ, потери в сфере банковских платежных карт в 2010 г. составили всего 9 млн руб., в 2009 г. эта цифра составляла 63 млн, а в 2008 г. — 24 млн руб. Однако данные МВД РФ дают далеко не полную картину финансовых потерь. Получить же достоверные цифры потерь в сфере платежных банковских карт в Российской Федерации довольно сложно. Центральный банк такую статистику не ведет.

Дело в том, что полной информацией о фактах хищения денежных средств с банковских карт владеют только сами банки. Для того чтобы собрать статистику по всей стране, необходимы какие-либо механизмы. У ЦБ РФ, таких механизмов нет — он ничем не может заинтересовать кредитные организации с целью предоставления информации и при этом абсолютно не может контролировать операции по банковским картам с целью проверки предоставляемых данных. В отличие от ЦБ РФ международные платежные системы имеют в своем распоряжении механизмы получения информации о потерях в банках и давно ведут такую статистику. В России в 2009 г. 88,1 % оборотов по банковским картам составили карты международных платежных систем VISA (61,6 %) и MasterCard (26,5 %). Однако сведения эти носят конфиденциальный характер и крайне редко разглашаются платежными системами. На постоянной основе доступ к этой информации имеют сотрудники банков членов международных платежным систем.

Для определения суммы потерь в сфере банковских платежных карт авторами была использована следующая методика:

• данные платежных систем VISA и MasterCard (в долларах США) складываются между собой;

• на основе данных ЦБ РФ вычисляется доля этих двух крупнейших систем и остальных участников рынка;

• сумма потерь увеличивается пропорционально, но при этом считается, что остальные платежные системы несут потери только по украденным и потерянным картам (предполагается, что потери по поддельным картам и в сети Интернет отсутствуют);

• вычисляется среднегодовой курс рубля к доллару США и пересчитывается общая сумма потерь в рублях.

Данная методика имеет свои минусы и погрешности. Потери международных платежных систем делятся на эмиссионные (потери по картам эмитента) и эквайринговые (потери в терминальной сети эквайрера — ATM, ТСП). Поэтому, с одной стороны, если хищение произошло по российской карте на территории России, то сумма потерь будет учтена как по эмитенту, так и по эквайреру; с другой стороны, если и эмитент и эквайрер — одно лицо, то скорее всего сумма потерь совсем не попадет в отчеты. Несмотря на это более точной методики определения потерь по России авторам в настоящий момент неизвестно, в то же время с ее помощью достаточно хорошо просматривается динамика изменения потерь (табл. 1.1).

Полученные данные, основанные на информации платежных систем (ПС), сравним с данными МВД РФ (табл. 1.2).

В результате сравнения получим, что латентность (скрытость) хищений составляет порядка 95 %, т. е. из похищенных в 2009 г. по банковским картам россиян или в банкоматах, торгово-сервисных предприятиях 989 млн руб. МВД РФ разыскивало только 63 млн, остальные 926 млн руб., или 33 млн долл. США, были безнаказанно присвоены криминальными элементами. При этом информация о преступлениях до правоохранительных органов не дошла, следовательно, не были возбуждены уголовные дела и злоумышленников никто даже не искал. Если принять во внимание, что в Интернете готовая к использованию поддельная банковская платежная карта стоит в среднем 100–200 долл. США, а похитить с ее помощью можно 1–3 тыс. долл., то получается, что криминальный кардерский бизнес становится очень прибыльным и при этом достаточно безопасным (безнаказанным). Невольно вспоминаются слова Карла Маркса о том, что ни один капиталист не остановится перед совершением любого преступления, если прибыль будет составлять 300 %. Поэтому криминальный мир давно обратил свое внимание на банковские карты. Очень часто имеет место трансграничная преступность, правоохранительные органы во многих странах, в том числе и в России, сталкиваются с международными преступными сообществами.

Чтобы противостоять такому мощному криминальному натиску, в стране должна быть построена четкая система противодействия преступным посягательствам, включая законодательную, судебную, исполнительную (правоохранительные органы) ветви власти, коммерческие структуры (банки, процессинговые центры, платежные системы). К сожалению, приходится констатировать, что в России в настоящий момент такой системы нет.

В настоящий момент, по данным за 2009 г., в мире наиболее распространены следующие виды хищений в сфере платежных карт:

1) осуществление операций без физического присутствия карты (интернет-платежи) — 41,08 %;

2) операции с использованием поддельных карт — 34,16 %;

3) операции с использованием утраченных (украденных, потерянных) карт — 19,44 %.

Таким образом, на данные виды хищений в общей сложности в мире приходится 94,68 % преступлений.

В России картина карточных потерь несколько иная. Потери от операций без физического присутствия карты составляют всего 2–3 % (это, вероятнее всего, можно объяснить недостаточной развитостью интернет-торговли), а вот потери в банкоматной сети в 2009 г. составили 38 % от всех потерь. Таким образом, наиболее безопасный с точки зрения технологии банковских карт вид операций — снятие наличных денежных средств в банкоматах — в России по уровню потерь практически соответствует мировому уровню потерь от наиболее рискованных операций в сети Интернет. Соотношение эмиссионных и эквайринговых потерь в 2009 г. составляло 41 и 59 % соответственно (банкоматные потери: 38 %, 62 %). В 2010 г. имеет место тенденция к еще большему увеличению доли эквайринговых потерь — до 70 %. Это говорит о том, то Россия стала благоприятной страной для использования поддельных банковских платежных карт. Наиболее значимые условия, которые этому способствуют, — неэффективность правоохранительной системы и неготовность эквайринговой сети российских банков к приему микропроцессорных (EMV) карт. Количество терминалов (АТМ, POS), способных обслуживать EMV-карты международных платежных систем, в 2010 г. составляло около 65 %, количество EMV-карт — 50 %. Данное положение хорошо характеризует средняя сумма одной мошеннической операции в мире и РФ (табл. 1.3).

Как видно из табл. 1.3, цифры по России практически в два раза выше, чем общемировые.

Несмотря на относительно высокие цифры потерь от незаконных операций в сфере платежных банковских карт, международные платежные системы не очень обеспокоены данным вопросом в России, так как в общемировых потерях доля России составляет менее 0,5 %. Безусловным лидером по данному показателю являются США — более 40 % и Европа — более 30 %.

Криминальная деятельность и Уголовный кодекс Российской Федерации

Наиболее распространенные преступления в сфере платежных карт:

• незаконное получение конфиденциальной информации;

• изготовление поддельных карт;

• использование поддельных карт;

• незаконное использование подлинных карт;

• незаконное использование реквизитов карт.

С точки зрения платежных систем и специалистов, занимающихся безопасностью платежных карт, сложилась устоявшаяся терминология в определении незаконной (криминальной) деятельности в данной сфере. Но для того чтобы в Российской Федерации можно было за криминальную деятельность в сфере оборота платежных карт привлечь к уголовной ответственности, необходимо, чтобы ответственность за такие действия была предусмотрена в Уголовном кодексе РФ (УК РФ). Так, ст. 3 УК РФ определяет принцип законности следующим образом.

«1. Преступность деяния, а также его наказуемость и иные уголовно-правовые последствия определяются только настоящим Кодексом.»

Другими словами международная терминология — кардинг, скимминг, фишинг и т. п. — для осуществления уголовного наказания применяться не может. Необходимо проанализировать криминальную деятельность в сфере платежных карт на соответствие объективной стороне состава преступления по соответствующим статьям УК РФ.

Что же можно найти в УК РФ, касающееся банковских карт? Для наглядности сведем действия злоумышленников и статьи УК РФ в табл. 1.4.

Для интернет-коммерции из таблицы необходимо исключить этап изготовления поддельных карт (табл. 1.5).

Необходимо учитывать, что данные таблицы представляют наиболее типичные преступления и не учитывают всех аспектов противоправных деяний, связанных с рассматриваемой сферой. Например, незаконные операции приобретения товаров с использованием поддельных банковских карт или похищенных реквизитов банковских карт могут сопровождаться легализацией (отмыванием) денежных средств или иного имущества, приобретенных лицом в результате совершения им преступления (ст. 174.1 УК РФ), и др.

Юридическая квалификация и виды хищений, совершаемых с платежными картами

Изучение судебно-следственной практики позволило систематизировать виды и способы совершения общественно опасных деяний с использованием платежных карт и дать им уголовно-правовую характеристику.

Характерной чертой указанных преступлений является их корыстная направленность, связанная с совершением различного рода хищений, а также причинением имущественного ущерба путем обмана или злоупотребления доверием при отсутствии признаков хищения.

Так, в зависимости от обстоятельств преступления, квалифицировать хищения, совершаемые с платежными картами, можно как кражу (ст. 158 УК РФ), мошенничество (ст. 159 УК РФ), а также как причинение имущественного ущерба путем обмана или злоупотребления доверием (ст. 165 УК РФ).

Кража законодателем определена как тайное хищение чужого имущества.

В целом же под хищением в УК РФ понимается совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества[5]. Как кражу следует квалифицировать деяния, связанные с использованием платежных карт, в следующих ситуациях:

• Совершено хищение денежных средств из банкомата при помощи поддельной платежной карты.

• Совершено хищение денежных средств из банкомата при помощи утерянной, украденной или временно выбывшей из владения законного держателя платежной карты: так как зачастую после снятия денег платежная карта возвращается (подбрасывается) обратно. Указанное стало возможным при использовании ПИН-кода держателя карты[6].

• Хищение путем физического воздействия на банкомат.

Например, в уголовном деле № 030410864, возбужденном СУ при УВД по Липецкой области в отношении М. по факту использования «белого пластика», хищение денежных средств из банкомата было квалифицировано как тайное хищение, т. е. как кража.

Решение о квалификации деяний в пользу кражи мотивируется тем, что отсутствует лицо, которое вводится в заблуждение, объясняя это тем, что банкомат нельзя ввести в заблуждение. В связи с чем в декабре 2007 г. Пленумом Верховного Суда Российской Федерации были даны следующие разъяснения:

«Хищение чужих денежных средств, находящихся на счетах в банках, путем использования похищенной или поддельной кредитной либо расчетной карты следует квалифицировать как мошенничество только в тех случаях, когда лицо путем обмана или злоупотребления доверием ввело в заблуждение уполномоченного работника кредитной, торговой или сервисной организации (например, в случаях, когда, используя банковскую карту для оплаты товаров или услуг в торговом или сервисном центре, лицо ставит подпись в чеке на покупку вместо законного владельца карты либо предъявляет поддельный паспорт на его имя)». Таким образом, хищение чужих денежных средств путем использования заранее похищенной или поддельной кредитной (расчетной) карты, если выдача наличных денежных средств осуществляется посредством банкомата без участия уполномоченного работника кредитной организации, рекомендуется квалифицировать по соответствующей части ст. 158 УК РФ, т. е. как кражу[7].

С нашей точки зрения, такая позиция судебной власти не совсем корректна. Ошибка заключается в неполном понимании того, что банкомат является частью банковских услуг, предоставляемых банком, аналогичных тем услугам, которые оказываются сотрудниками в помещении банка. И поэтому для квалификации хищений с использованием банковских карт, где именно осуществляется данное деяние — в банкомате или торговом предприятии, — большого значения не имеет, так как определяющим признаком кражи является ее тайный характер, а мошенничества — обман. При несанкционированных держателем банкоматных операциях по поддельным или утраченным картам осуществляется авторизационный запрос. То есть у банка-эмитента через банк эквайрер запрашивается разрешение на получение определенной суммы наличных денежных средств. Если потерпевшим будет признан банк, то говорить о тайном характере хищения, т. е. о краже, некорректно. Банки прекрасно знают, что в данный момент времени по данной карте осуществляется операция получения наличных денежных средств на указанную сумму. Но о том, что эту операцию производит ненастоящий держатель карты, банк не знает. Как раз наоборот, банк на основании номера карты идентифицирует своего клиента и считает, что именно ему оказывается услуга. То есть имеет место хищение путем обмана и необходимо применять ст. 159 УК РФ. В подтверждении данной позиции можно проанализировать хищения с использованием сети Интернет или мобильных средств связи. Практика показывает, что уголовные дела возбуждаются по статье «мошенничество», а не «кража», хотя здесь, как и в случае с банкоматом, злоумышленник использует технические средства (компьютеры, мобильные телефоны и др.), которые нельзя обмануть.

Проведенное изучение судебно-следственной практики показало, что наибольшее количество от всех хищений в данной сфере совершено близкими родственниками, знакомыми и коллегами. Такие преступления были отмечены в Ставропольском крае[8], Кемеровской, Московской[9], Курганской[10], Владимирской и иных областях. Одним из примеров является уголовное дело, возбужденное в отношении Р. О. Колдунова, осужденного судом Кемеровской области по ч. 2 ст. 158 УК РФ, который, находясь в гостях у потерпевшего — своего знакомого, воспользовавшись его отсутствием, похитил платежную карту Сбербанка России «Сберкарт» и совершил по ней хищение денежных средств в банкомате с причинением значительного ущерба.

Отметим также, что признаки мошенничества в виде злоупотребления доверием могут иметь место и в случае хищения денежных средств из банкоматов с использованием подлинных карт и ПИН-кодов. Так как совершение хищений по ряду уголовных дел стало результатом злоупотребления доверием законных держателей платежных карт.

В пользу необходимости квалификации по ст. 159 УК РФ можно говорить, если деяние совершено со злоупотреблением доверия, это в первую очередь относится к категории «бытовых», «семейных» преступлений. Когда близкие родственники, сожители и другие лица, проживающие на одной территории, не предполагают, что в их отсутствие кто-то из указанных лиц может похитить деньги.

Резюмируя изложенное, отметим, что даже при отсутствии единого мнения у юристов о квалификации данного вида хищений санкции за указанные деяния, предусмотренные законодателем в ст. 158 и ст. 159 УК РФ, одинаковы.

Следующим и одним из самых распространенных на сегодняшний день преступлений в данной сфере является мошенничество, определенное законодателем как хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием[11].

В традиционном понимании мошеннические действия с платежными картами представляют собой:

Приобретение товаров и услуг в торгово-сервисных предприятиях с использованием поддельных платежных карт, в том числе «белого пластика».

Из практики расследования уголовных дел видно, что мошенничество выражается в непосредственном контакте с потерпевшим, либо с его представителями, либо с иными связанными с ним лицами с целью обмана или злоупотребления доверием.

В практике расследований отмечены факты интернет-мошенничеств, совершенные с использованием реквизитов платежных карт:

«Интернет-мошенничество» — ст. 159 УК РФ. Приобретение товаров в интернет-магазинах посредством использования реквизитов платежных карт законных держателей.

Перевод денежных средств законного держателя платежной карты в электронные безналичные системы финансовых расчетов в Интернете для дальнейшего их использования или обналичивания.

Хищение безналичных денежных средств со счетов держателей платежных карт посредством неправомерного использования Интернета, мобильного банкинга.

Завершая краткий юридический анализ хищений (ответственность за которые предусмотрена ст. 158, 159 УК РФ), совершенных при помощи платежных карт, хотелось бы обратить внимание и на ст. 165 УК РФ. По данной норме должны квалифицироваться деяния, когда совершается причинение имущественного ущерба собственнику или иному владельцу имущества путем обмана или злоупотребления доверием при отсутствии признаков хищения.

Если потерпевшей стороной будет признано торговое предприятие, которое предоставляет услуги, выполняет работы (телефонная компания, гостиница, компания по аренде автомобиля и др.), квалификации по данной статье подлежат телефонные переговоры, проживание в гостинице, аренда автомашины и многое другое, незаконно полученное за счет держателя платежной карты. Так как перечисленные действия, по сути, не образуют состава мошенничества, они должны квалифицироваться по ст. 165 УК РФ[12].

Предмет и объект мошенничества и кражи, как виды хищений имущества, совершаемых при помощи платежных карт, совпадают. Объект — это общественные отношения, на которые направлено преступное посягательство, в данном случае право собственности; предмет преступления в нашем случае, как правило, денежные средства.

Как следует из опыта расследования традиционных краж, предметом хищения является чужое имущество, которое должно быть осязаемым, как вещь. Вместе с тем к имуществу относятся и денежные средства на счетах в кредитных учреждениях, которые с точки зрения гражданского права (ст. 845 ГК РФ) являются правами требования к кредитным учреждениям, а также ценные бумаги (например, вексель) и наличные деньги, которые могут быть непосредственным предметом оборота, являясь ценными сами по себе без необходимости совершения каких-либо дополнительных действий для придания такой ценности (ст. 128 ГК РФ).

Один из ключевых вопросов при определении предмета хищения: «Похищен товар или нанесен ущерб при предоставлении услуг, работ держателю карты?»

Вместе с тем при различении объектов кражи и мошенничества необходимо обратить внимание на то, что хищение непосредственно платежных карт и платежных документов, по сути не имеющих стоимости, но предоставляющих возможность получения денежных средств, не формирует состава кражи, но является приготовлением к совершению мошенничества. Таким образом, предметом мошенничества может быть не только непосредственно имущество, но и права на него. Добавим, что если мошенничество совершено в форме приобретения права на чужое имущество, преступление считается оконченным с момента возникновения у виновного юридически закрепленной возможности вступить во владение или распорядиться чужим имуществом как своим собственным.

В практике встречаются случаи, когда завладение платежными картами, например при краже личных вещей, в ходе грабежа и разбоя, квалифицируется по ст. 158 УК РФ. Данное преступление является малозначительным, так как сами по себе платежные карты имеют небольшую материальную стоимость и в дополнение все платежные карты являются собственностью банка-эмитента, что также написано на самих картах.

Одним из дискуссионных вопросов при расследовании хищений в данной сфере является установление предмета преступления. Изначально кажется, что предметом преступления являются похищенные в торговой точке товары (телефоны, ноутбуки, телевизоры и т. п.), так как именно они остаются в распоряжении лица, совершившего хищение. Однако в соответствии с принципами осуществления безналичных расчетов с использованием платежных карт предметом хищения (до приобретения каких-либо товаров) являются денежные средства на банковском счете.

Одновременного хищения и товаров в торговой точке, и денежных средств на банковском счете быть не может.

При осуществлении хищений через банкоматы предметом посягательства являются непосредственно денежные средства банка, обслуживающего банкомат. В отношении хищений, совершаемых в торговых точках, пояснения требует вопрос, что похищается — имущество магазина либо денежные средства банка и кто должен быть признан потерпевшим. Похищенные товары или обманным путем полученные услуги (например, телефонные переговоры, проживание в гостиницах, аренда автомобилей, оплата такси и др.) также имеют денежную стоимость, так как за них по системе безналичных расчетов были переведены деньги.

Безусловно, потерпевшим признается лицо (либо его представитель), которому непосредственно причинен ущерб на момент окончания преступления. Наличие ущерба доказывается установлением причинно-следственной связи между действиями злоумышленника и общественно опасными последствиями.

В отличие от других случаев для сферы оборота платежных карт характерно наличие сложной системы взаиморасчетов между кредитными учреждениями и их клиентами. Однако после совершения хищения все дальнейшие возмещения и взаиморасчеты обусловлены гражданско-правовыми отношениями.

В этой связи в случае совершения хищения через банкомат и в торговой точке (в том числе через Интернет) потерпевшим может быть любой участник расчетов, так как все они вводятся в заблуждение относительно действий законного держателя карты, к тому же в результате гражданско-правовых отношений реальный ущерб, исходя из конкретных обстоятельств дела, может быть причинен любому участнику.

Как быть, если платежная карта, по которой совершено мошенничество, принадлежит иностранному банку? Здесь практика пошла по пути признания потерпевшим банка-эквайрера, так как именно его наличные денежные средства изымаются из банкомата. Более того, если банк-эмитент или банк-эквайрер застраховали свои бизнес-риски, то страховщик в соответствии с договором погасит банку-эмитенту или банку-эквайреру убытки, тем самым нивелируя вопрос их причинения и возмещения. При хищении денежных средств по платежным картам, выпущенным российскими банками, потерпевшими обычно признаются банки-эмитенты.

Безусловно банк по каждому случаю проводит проверку (например, сверяет данные о клиенте с видеозаписью с банкомата), а иногда указанные факты устанавливаются в ходе доследственной проверки, проводимой сотрудниками правоохранительных органов. Зачастую факт хищения выявляется при предъявлении кредитным учреждением суммы долга с держателя платежной карты, возникшего из-за преступных действий третьих лиц.

Проведенный анализ следственной практики позволил выделить следующие виды завладения подлинными платежными картами. Платежные карты выбывают из владения законных держателей, как правило:

1) в результате кражи из квартир, из одежды, личных вещей, с рабочих мест, из автомобиля, раздевалок спортивных клубов и т. п.;

2) в результате «карманных» краж на улице;

3) при совершении грабежа или разбоя;

4) в результате их утери.

Завладеть реквизитами подлинных платежных карт мошенники могут при совершении таких деяний, как неправомерный доступ к компьютерной информации (ст. 272 и 273 УК РФ). Также реквизиты оригинальных платежных карт похищаются путем компрометации оригинальных карт (считывание реквизитов персоналом торговых точек с помощью специальных устройств — «скиммеров») либо скрытого считывания с помощью накладок на банкоматы, а также в результате действий хакеров — взломов процессинговых центров или сетей торговых предприятий.

Завладев реквизитами платежных карт, лицо совершает хищение, признаки объективной стороны которого позволяют определить его действия как мошенничество или кражу.

Практика свидетельствует, что целью завладения либо изготовления подлинных платежных карт, поддельных платежных карт или «белого пластика» является корыстный умысел, направленный на хищение денежных средств.

В начале данного раздела в общих чертах дано понятие кражи, тайность совершения которой обеспечивается тем, что преступные действия должны совершаться в отсутствие владельца похищаемого имущества, а также посторонних наблюдателей. Вместе с тем кража может быть совершена с использованием маскировки.

Так, получение денежных средств из банкомата по чужой платежной карте относится к таким случаям. Помимо маскировки, относящейся к активным действиям злоумышленника, кража может быть совершена в случае беспомощного состояния потерпевшего (сон, алкогольное опьянение и др.).

Поэтому при исследовании объективной стороны хищения необходимо выявить причинно-следственную связь между реальным ущербом, причиненным собственнику или иному владельцу имущества, и действиями лица, совершившего хищение. Соответственно кража будет считаться оконченной с момента утраты собственником возможности распоряжаться своими денежными средствами.

Размер причиненного ущерба как квалифицирующий признак для рассматриваемой категории преступления определяется на общих основаниях. Однако при оценке крупных размеров хищения необходимо учитывать возможность умысла при совершении хищения в крупных размерах путем совершения ряда преступлений.

Также сложным является определение преступления как длящегося или продолжаемого.

Поэтому конкретный предмет посягательства, на наш взгляд, зависит от определения:

1) момента окончания преступления;

2) признания потерпевшего;

3) определения умысла.

4) избранного мошенником способа (банкомат или торговая точка или расчеты в сети Интернет).

Вопрос квалификации предмета хищения тесно связан с проблемой определения потерпевшего.

Результаты расследования преступлений показывают, что подавляющее большинство выявляемых преступлений, совершенных в форме снятия наличных денег через банкоматы, совершается с утерянными либо украденными ПИН-кодами и платежными картами.

Именно к этой категории относятся многие десятки уголовных дел о «бытовых кражах», в ходе которых незаконно использовались платежные карты родственников, друзей, коллег по работе и знакомых.

Из практики видно, что большинство граждан становятся жертвами своей же беспечности. Узнать ПИН-код на сегодняшний день можно, подглядев его из-за спины держателя при снятии им наличных денег через банкомат, в результате оказания помощи по снятию наличных денег через банкомат[13], зачастую ПИН-код записан и хранится в кошельке либо ином месте хранения платежной карты, в записных книжках.

Как правило, совершение хищений по платежным картам в «бытовых случаях» обычно совершается в близстоящем от места завладения самой платежной картой банкомате, либо рядом с местом проживания, отдыха или работы злоумышленника.

Отметим, что в ряде случаев для снятия денежных средств используются банкоматы банков-эмитентов, что упрощает получение необходимой информации в дальнейшем.

Как указано ранее, способы совершения мошенничеств в сфере оборота платежных карт можно разделить на три основные группы:

Схема достаточно проста: пожилой человек всегда рад помощи, подсказке при наборе соответствующих цифр.

1) с использованием поддельных платежных карт, в том числе «белого пластика», путем совершения покупок в магазинах и снятия денежных средств через банкоматы;

2) с использованием похищенных, найденных подлинных платежных карт путем снятия денежных средств в банкоматах, покупок в магазинах;

3) с использованием реквизитов подлинных платежных карт для совершения операций через Интернет;

Существенно также то, что совершение мошенничества путем снятия наличных денег в банкомате по подлинным платежным картам, полученным в распоряжение обманным путем, не отличается от совершения краж, в то время как совершение мошенничеств при покупке товаров имеет свои особенности.

К случаям обмана и злоупотребления доверием относится также сговор с персоналом. Характерно, что в случае использования поддельных документов с подлинной платежной картой злоумышленник очень часто выдает себя за иностранного гражданина и, рассчитывая на неподготовленность персонала магазина, предъявляет поддельные документы, которые не могут использоваться для его идентификации в России, например права на вождение автомобиля.

Магазинные мошенничества обычно совершаются в составе преступных групп, с разделением ролей и функций.

К другой группе относятся хищения средств по платежным картам, не активированным или не полученным их владельцами по системе почтовой связи Российской Федерации. Как правило, хищение возможно в районных узлах связи или из почтового ящика конкретного абонента[14].

Стоит помнить, что платежные карты по системе почтовой связи направляются лицам, ранее погасившим потребительские кредиты. Высылаемые кредитные карты не активированы, т. е. предоставляются без ПИН-кодов.

Для получения ПИН-кода и выражения согласия на использование кредитной линии держатель карты связывается по телефону с банком и сообщает свои персональные данные. Зачастую получатели подобных писем не активируют платежные карты, но хранят их у себя дома или на рабочем месте.

Помимо активации неполученных карт с последующим хищением в практике имеются и более сложные случаи. Так, в уголовном деле № 7553 по обвинению И. И. Илюхина, А. А. Тюленева, Н. И. Черниковой в мошенничестве с целью хищения денежных средств с платежных карт мошенническим путем (г. Курск, Курская область) обвиняемые, представляясь сотрудниками банка, получали в свое распоряжение копии документов, удостоверяющих личность потерпевших, их платежные карты, после этого увеличивали по телефону кредитный лимит по похищенным платежным картам с дальнейшим снятием денежных средств в банкоматах. В уголовном деле № 620689 по обвинению Л. В. Житниковой, А. В. Гудкова, О. Н. Слепенькиной в мошенничестве с целью хищения денежных средств с платежных карт (г. Бор, Нижегородская область) обвиняемые покупали у почтальона неактивированные платежные карты, уточняя анкетные данные потерпевших под видом работников социальной или медицинской службы для их дальнейшей активации и снятия денежных средств через банкомат.

В практике определенные затруднения вызывают случаи, когда необходимо квалифицировать действия лиц, задержанных либо подозреваемых в неправомерном использовании платежных карт, при наличии незавершенного мошенничества. Так, часто попытки приобретения дорогостоящих товаров по поддельным платежным картам или личным документам пресекаются персоналом магазинов, а подозреваемый предпринимает попытки скрыться с места происшествия. При расследовании такого рода случаев преступное событие необходимо квалифицировать не как сбыт поддельной платежной карты, а как попытку совершения хищения мошенническим путем, поскольку имеющиеся на момент возбуждения материалы свидетельствуют о наличии умысла на завладение чужим имуществом путем обмана и злоупотребления доверием.

Квалифицирующие признаки мошенничества в отношении размеров причиненного ущерба аналогичны признакам кражи.

Перевод денежных средств со счета, для использования которого выпущена платежная карта, в электронные (безналичные) системы финансовых расчетов в Интернете обычно заканчивается стадией отмывания полученной материальной выгоды путем приобретения товаров, услуг, результатов интеллектуальной деятельности, переуступки прав на средства, находящиеся на счете в системе электронной валюты. Уязвимость преступной схемы состоит в необходимости рано или поздно вывести средства из системы электронных финансовых расчетов в обычный денежный оборот, что осуществляется через определенных операторов указанных систем.

В этой связи в зависимости от факта получения либо неполучения платежной карты лицом, на чье имя она выпущена, можно предположить следующие формы преступной деятельности и подозреваемых (рис. 1.5).

Признаки причинения имущественного ущерба путем обмана или злоупотребления доверием без признаков хищения могут иметь место в случаях использования реквизитов платежных карт для приобретения результатов интеллектуальной деятельности, которые не являются имуществом с точки зрения гражданского права, например, программного обеспечения. В практике имеются случаи приобретения с помощью скомпрометированных реквизитов платежных карт различных результатов интеллектуальной деятельности, имеющих реальную ценность для компьютерных игроков. После приобретения таких объектов их продают с прибылью обычно в обмен на наличные денежные средства либо через системы электронных платежей в Интернете.

Для хищений с «белым пластиком» (помимо снятия денежных средств через банкоматы и проведения операций через электронные торговые терминалы в предприятиях торговли в сговоре с кассиром) характерно совершение операций в торгово-сервисных терминалах самообслуживания — автоматах по продаже автобусных или железнодорожных билетов, счетчиках на автомобильных стоянках, автоматических терминалах на АЗС, телефонах, на платных дорогах и др. При данных операциях существует ограничение по максимальной разрешенной сумме операций, но их размер делает нерентабельным участие в их осуществлении и контроле персонала.

Субъектом хищений на общих основаниях признается вменяемое физическое лицо, однако ответственность по ст. 158 УК РФ наступает с 14 лет, а по ст. 159 и 165 УК РФ — с 16 лет.

Для любого хищения характерно наличие у виновного прямого умысла, направленного на завладение чужим имуществом с целью обращения в свою пользу или передачу с корыстной целью другим лицам. Виновный всегда осознает общественную опасность своих действий и то, что имущество чужое, предвидит наступление материального ущерба для собственника или иного владельца имущества и желает этого.

Соучастие в хищении подразумевает, что соучастники знают о корыстном характере действий исполнителя преступлений, хотя могут иметь и другие побуждения. Более того, в некоторых случаях возможно систематическое вовлечение в преступную деятельность невиновных лиц (например, «дропы», курьеры и т. п.).

В отношении хищений в сфере оборота платежных карт применяются все те квалифицирующие признаки, которые характерны для остальных видов хищений.

Отметим, что в отличие от краж, большое число мошенничеств, особенно в отношении платежных карт иностранных банков-эмитентов, совершается организованными группами. Вместе с тем организованные группы имеют естественную «специализацию» по неактивированным российским картам или иностранным поддельным картам и «белому пластику», а также преступлениям в Интернете с использованием реквизитов платежных карт без изготовления пластиковых носителей.

Для некоторых мошенничеств в сфере оборота платежных карт, а именно тех, что связаны с хищением и активацией платежных карт, характерно их совершение почтальонами, которые не являются специальным субъектом, хотя преступление совершается с использованием служебного положения.

При расследовании хищений, совершенных при помощи платежных карт, особенно выпущенных российскими банками, необходима проверка версии совершения преступления с ведома или по поручению законного держателя платежной карты, который в этом случае рассчитывает на возмещение банком его убытков.

Как уже ранее упоминалось, в большинстве краж в сфере оборота платежных карт субъектами преступления являются родственники и иные лица из ближайшего окружения потерпевшего.

Характерно, что значительное количество преступлений обусловлено внезапно возникшим корыстным умыслом и совершается без предварительного планирования и подготовки. В связи с этим характерно и наличие уголовных дел и приговоров с примирением потерпевших и обвиняемого, а также случаев полного возмещения нанесенного вреда.

С точки зрения формирующейся при мошенничестве совокупности следов необходимо отметить, что в следственной практике имеется случай задержания преступников по горячим следам по сообщению должностного лица банка о том, что в конкретном банкомате этого банка по определенному адресу в определенное время были сняты деньги с незаконным использованием поддельной кредитной, расчетной карты, выпущенной иностранным банком[15]. Возможность отследить данную операцию обусловлена наличием так называемого стоп-листа, т. е. списка номеров платежных карт, по которым операции должны быть приостановлены из-за наличия признаков мошенничества.

При групповом совершении мошенничеств на определенном этапе развития преступной группы характерна диверсификация преступной деятельности и ее вовлеченность в различные области, этапы преступной деятельности. Так, если одна группа совершает мошенничества путем закупки товаров в магазинах, то другая группа с большой степенью вероятности вовлечена в снятие наличных денежных средств через банкоматы. Преступления в сфере оборота платежных карт совершают и традиционные преступные группы. Например, преступная группа может осуществлять хищения платежных карт в гостиницах, метро, на улице и т. п. с оперативным изготовлением поддельных документов путем вписывания в заготовку фамилии, имени и отчества, указанных на карточке.

В отличие от краж, большая часть мошенничеств совершается в группе или организованной группе. Однако имеются и исключения, как в уголовном деле № 837430 по обвинению К. Г. Лопатина в хищении денежных средств со счетов иностранных банков, являющихся клиентами международной платежной системы VISA (г. Новокузнецк, Кемеровская область).

При построении первоначальных следственных версий необходимо учитывать распространенность мошенничеств с использованием платежных карт группового характера, а также четкое разделение функциональных обязанностей членов преступной группы.

Возможна ситуация, когда в пределах региона либо района действует несколько независимых групп, имеющих единого организатора[16].

В совершении мошенничеств путем приобретения товаров в интернет-магазинах посредством использования реквизитов платежных карт законных держателей, как правило, участвует группа лиц. При этом характерно, что место доставки товаров не совпадает с местом проживания членов преступной группы. Более того, при совершении мошенничеств в отношении иностранных интернет-магазинов имеет место минимум двухзвенная цепочка пересылки товаров: сначала товары доставляются иностранному сообщнику, а затем пересылаются им в адрес российских граждан.

В примерной структуре организованной преступной группы — «кардеров» — выделяютя следующие направления деятельности:

• получение незаконного доступа и сбор компьютерной информации (реквизиты платежной карты и др.);

• хранение и распространение необходимой информации;

• производство фальшивых личных документов;

• производство поддельных платежных карт;

• получение наличных денежных средств в банкоматах;

• оплату товаров, услуг в магазинах;

• сбыт приобретенных товаров, легализация наличных денежных средств;

• перевод электронных суррогатов денежных средств в наличные денежные средства.

Обычно некоторая часть этих действий выполняется независимыми друг от друга лицами на условиях предварительной либо последующей оплаты. Так как общение происходит через Интернет, то сохраняется анонимность членов группы, которые не знают реальных имен друг друга и других сведений.

С точки зрения объема выполняемых функций в структуре группы можно выделить организатора — наиболее квалифицированное в преступной деятельности лицо, осуществляющее руководство и координацию некоторых членов группы через бригадира. Контроль над бригадиром может обеспечиваться путем выяснения его личности и местожительства. Обычно общение между организатором и бригадиром происходит посредством электронной почты, сервисов мгновенных сообщений и т. п.

Бригадир подбирает исполнителей, задачей которых является посещение магазинов и банкоматов для совершения хищений. Выбор цели обусловлен имеющимися источниками информации, например, исходя из того, есть ли сведения о ПИН-коде платежной карты или нет, выбирается торговая точка или банкомат.

После подбора исполнителей бригадир запрашивает у организатора помощь в изготовлении поддельных платежных карт и поддельных личных документов либо «белого пластика» и передает необходимые данные об именах исполнителей и даже их фотографии (если избранная схема мошенничества подразумевает раскрытие данных о личности исполнителей).

Организатор, получив информацию от бригадира, организует изготовление платежных карт и документов с прямой пересылкой в адрес бригадира. Так, например, организатором определяется тип пластика, на котором должна быть изготовлена карточка, способ подделки.

Оплата услуг изготовителя поддельных документов может осуществляться через системы электронных переводов в Интернете или банковских переводов. На этом этапе и в дальнейшем часто используются так называемые «дропы», т. е. лица, которые помогают злоумышленникам путем получения на свое имя товаров с дальнейшей их передачей. Если «дроп» сотрудничает, не осознавая своего участия в преступной деятельности, т. е. используется «втемную», его называют «мулом»[17]. Пересылка поддельного личного документа, например паспорта иностранного гражданина, и поддельных платежных карт, в том числе «белого пластика», осуществляется через почтовые и курьерские службы, проводников поездов дальнего следования, иных случайных посредников, тайники (например, ячейки камеры хранения на вокзале).

Обычно организатор подготавливает не только изготовление поддельных платежных карт, но и получение реквизитов платежных карт, пересылая их затем своему «подрядчику». Помимо реквизитов платежных карт, организатор анализирует доступные данные о балансе (кредитном лимите) скомпрометированных счетов. Баланс устанавливается исходя из типа платежной карты (дебетовая, кредитная), ее класса («стандартная», «серебряная», «золотая» и т. д.), банка-эмитента, обозначенного в реквизитах платежной карты.

С учетом того, что указанная информация чаще всего приобретается у третьих лиц, которых организатор не контролирует, для предотвращения неудачных попыток, а равно случаев недобросовестности поставщиков информации организатор организует для бригадира или самостоятельно контакт с так называемым «чекером»[18].

Чекер устанавливает, что платежная карта (ее реквизиты) может быть использована, например, путем взлома системы онлайн-доступа к счету, который управляется с помощью платежной карты либо путем совершения малозначительных сделок с использованием таких реквизитов. Чекер может взломать информационную систему интернет-магазина и сделать несколько попыток списания незначительных сумм с интересующего преступников банковского счета.

Если в деятельности преступных групп число неудачных попыток (отказов персонала магазина в приеме платежной карты, изъятий платежных карт в банкоматах и торговых точках в связи с внесением их реквизитов в стоп-листы и т. д.) сравнительно мало, можно обоснованно предположить, что в преступной деятельности участвует чекер. Вторая возможная причина — карты имеют высокую степень валидности, т. е. действующие.

В случае если чекер не участвует в мошеннической схеме, то часто покупка крупного товара предваряется приобретением недорогих товаров. По прибытии к торговой точке бригадир проверяет работоспособность платежной карты через чекера, отдает исполнителю поддельный личный документ и платежную карту, оговаривает приобретаемое имущество.

Таким образом, с точки зрения уголовного закона организатор и бригадир должны привлекаться к уголовной ответственности как организаторы. Чекер, изготовитель поддельных платежных карт и личных документов, продавец реквизитов платежных карт являются пособниками, а исполнители, непосредственно осуществляющие снятие наличных денежных средств в банкоматах и получение товаров в магазинах, должны быть признаны исполнителями.

С другой стороны, мошенничество в сфере оборота платежных карт может быть признано длящимся в силу природы его предмета. Так, при совершении покупок в магазинах преступник в течение ограниченного промежутка времени использует одни и те же реквизиты, либо реквизиты нескольких платежных карт попеременно вплоть до исчерпания средств на ней, либо лимитов по списанию средств.

Характеристики субъективной стороны причинения имущественного ущерба путем обмана или злоупотребления доверием аналогичны описанным выше признакам хищений.

Уголовно-правовая характеристика и способы совершения преступлений, связанных с изготовлением в целях сбыта и сбытом поддельных кредитных или расчетных карт, а также иных платежных документов Статья 187 УК РФ

Ответственность за изготовление в целях сбыта и сбыт поддельных расчетных или кредитных карт определена законодателем в ст. 187 УК РФ.

В действующей на сегодняшний день редакции рассматриваемая статья выглядит следующим образом.

Проведенный нами правовой анализ данной нормы свидетельствует о ее сложной конструкции и неоднозначном толковании практиками и учеными в области уголовного права.

Исходя из диспозиции ст. 187 УК РФ для квалификации общественно опасных деяний по данной статье необходимо:

• получить исследование специалиста о том, является платежная банковская карта кредитной или расчетной. Установление типа карты важно, так как другие виды платежных банковских карт (например, предоплаченные карты) предметом данного преступления не являются;

• установить и доказать умысел на сбыт изготовленных поддельных кредитных, расчетных карт или поддельных платежных документов, не являющихся ценными бумагами.

Соблюдая установленный в теории уголовного права порядок изучения состава преступления, начнем его рассмотрение с предмета и объекта.

Выполним анализ предмета и объекта преступления. Предметом рассматриваемого преступления являются поддельные:

• кредитные карты;

• расчетные карты;

• платежные документы, не являющиеся ценными бумагами.

Переходя к детальному рассмотрению предмета данного преступления, необходимо отметить, что анализируемая норма является бланкетной (т. е. отсылочной к другим источникам права), в связи с чем определение предмета преступления в рамках ст. 187 УК РФ представляет некую сложность. Так как единственным документом, определяющим содержание предмета рассматриваемого преступления, является Положение Центрального банка Российской Федерации (далее — ЦБ РФ) «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» от 24 декабря 2004 г. № 266-П[20], то его изучение позволило классифицировать кредитные и расчетные карты следующим образом (рис. 1.6).

Представленная на схеме классификация наглядно показывает сущность предмета рассматриваемого преступления.

Очевидно, что кредитные и расчетные карты (согласно упомянутому Положению) являются платежными. То есть с их помощью осуществляются платежи между покупателем и продавцом или используются для получения наличных денежных средств. Платежные карты могут быть как банковскими (VISA, MasterCard), так и небанковскими (American Express, Diners Club, JCB и др.).

Деление карт на кредитные или расчетные зависит от характера договорных отношений между эмитентом карты и клиентом. В случае наличия кредитного договора операции с использованием карт осуществляются за счет заемных средств, следовательно, такие карты являются кредитными.

Кредитная карта предназначена для совершения ее держателем операций, расчеты по которым осуществляются за счет денежных средств, предоставленных кредитной организацией — эмитентом клиенту в пределах установленного лимита в соответствии с условиями кредитного договора.

При осуществлении операций за счет собственных средств клиента или предоставленного кредита карты являются расчетными.

Расчетная (дебетовая) карта предназначена для совершения операций ее держателем в пределах установленной кредитной организацией — эмитентом суммы денежных средств (расходного лимита), расчеты по которым осуществляются за счет денежных средств клиента, находящихся на его банковском счете, или кредита, предоставляемого кредитной организацией — эмитентом клиенту в соответствии с договором банковского счета при недостаточности или отсутствии на банковском счете денежных средств (овердрафт).

На сегодняшний день, помимо банковских кредитных и расчетных карт, существуют еще и предоплаченные банковские карты.

Предоплаченная карта предназначена для совершения ее держателем операций, расчеты по которым осуществляются кредитной организацией — эмитентом от своего имени, и удостоверяет право требования держателя предоплаченной карты к кредитной организации — эмитенту по оплате товаров (работ, услуг, результатов интеллектуальной деятельности) или выдаче наличных денежных средств.

На рис. 1.6 предоплаченных карт нет в связи с тем, что предметом данного преступления они не являются.

Сложность представляет то, что все перечисленные платежные карты внешне одинаковые — т. е. обладают аналогичными реквизитами (магнитной полосой, номером, логотипом банка и платежной системы и т. п.).

Соответственно, для точного определения — какой является обнаруженная (изъятая и т. п.) карта, необходимо получить справку об исследовании у специалиста, так как в противном случае карта может оказаться предоплаченной, клубной, дисконтной, идентификационной и т. д.

По своей сути банковские карты предназначены для осуществления безналичных расчетов, согласно ч. 3 ст. 861 ГК РФ «безналичные расчеты производятся через банки, иные кредитные организации». Положение № 266-П Банка России регламентирует совершение операций с использованием расчетных, кредитных карт по банковскому счету, отсюда вытекает, что эмиссию (выпуск) расчетных, кредитных банковских карт могут осуществлять только банки (кредитные организации).

Причем держатель карты не является ее собственником (при выдаче карт банки их не продают и не дарят), карта остается в собственности банка. Для получения карты клиент должен заключить договор с банком. Расчетные и кредитные карты привязываются к конкретному счету в банке, по стандартным условиям договора между банком и клиентом карту нельзя передавать для совершения операций другим лицам.

Соответственно, единственным местом, где держатель может законно получить кредитную или расчетную карту, является какое-либо отделение банка.

В ст. 187 УК РФ законодателем прописано, что уголовная ответственность наступает за изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт.

Проанализировав правовую базу и практику расследования данных преступлений, рассмотрим понятие подделки кредитных и расчетных карт.

Как уже отмечалось выше, основная характеристика платежной карты (какой она является — кредитной или расчетной) определяется не какими-то внешними параметрами (реквизитами, дизайном, защитными элементами и др.), а условиями договора между клиентом и эмитентом. В связи с чем на практике может возникнуть следующая ситуация.

В ходе проверочной закупки[21] приобретены платежные карты, исследование которых подтвердило, что они являются поддельными расчетными картами, однако при проведении доследственной проверки установлено, что подлинные расчетные карты с такими номерами не эмитировались. Можно ли считать такие карты поддельными? Означает ли это, что для подтверждения поддельности кредитной или расчетной карты необходимо наличие банковского договора, который бы определял тип платежной карты, которая была подделана? И в чем общественная опасность при изготовлении таких карт? Ведь по несуществующим картам невозможно провести транзакции.

Ответы на перечисленные вопросы содержатся в технологии и принципах функционирования платежных банковских карт. Банковские технологии позволяют с помощью такой поддельной карты совершить подлимитную операцию (т. е. транзакцию, по которой существует определенный предел по сумме, по которой торгово-сервисное предприятие может не запрашивать авторизацию — разрешение на совершение операции). В результате таких операций запрос на авторизацию эмитенту не направляется, но операция оплаты совершается. Такие операции могут проводиться с использованием несуществующих номеров платежных карт, следовательно, договора между клиентом и банком может не быть.

На практике возможен вариант подделки карт и, соответственно, проведения по ним подлимитных операций, срок действия которых еще не истек, но договор с клиентом по каким-либо причинам расторгнут и банковский счет закрыт.

Для наглядного разъяснения данного утверждения можно провести аналогию с подделкой денежных средств. Например, можно изготовить поддельные денежные знаки, номера и серии которых никогда не выпускались Гознаком, но при достаточно хорошем уровне подделки такие денежные знаки вполне могут быть приняты к обращению.

Таким образом, поддельной кредитной или расчетной картой необходимо считать не только копию или имитацию подлинной платежной карты, связанной с каким-либо кредитным договором или с договором банковского счета.

Поддельная кредитная или расчетная карта это:

а) карта, выпущенная (эмитированная) не эмитентом и не платежной системой, но имеющая такие технические характеристики и/или внешний вид, которые позволили бы ее использование в безналичных расчетах и она может быть воспринята участниками платежной системы в качестве кредитной или расчетной;

б) карта, выпущенная эмитентом (платежной системой) и несанкционированно модифицированная таким образом, что делает возможным ее использование в безналичных расчетах и она может быть воспринята участниками платежной системы в качестве кредитной или расчетной.

Аналогичного взгляда придерживаются и авторы комментария к Уголовному кодексу под редакцией А. А. Чекалина, В. Т. Томина, В. В. Сверчкова. Они также считают, что перечисленные в диспозиции ст. 187 УК РФ карты должны быть эмитированы не эмитентом, но иметь такие технические характеристики и внешний вид, которые позволили бы их использовать в безналичных расчетах[22].

На наш взгляд, к предмету преступления можно отнести и «белый пластик», так как его наравне с поддельными картами можно использовать в безналичных расчетах, эквайрером и эмитентом он воспринимается как кредитная или расчетная карта.

В завершение отметим, что определения карты — поддельная или подлинная, кредитная или расчетная — являются юридическими, и вывод должен делать следователь. Однако исходя из данного ранее определения поддельной карты (выпущена не эмитентом, но может быть использована в технологии платежной системы как кредитная либо расчетная) необходимую информацию для обоснования такого вывода должны предоставить специалист и эксперт[23].

Целью ст. 187 УК РФ в общем смысле является безопасность осуществления безналичных расчетов.

Анализируемая статья практически идентична ст. 186 УК РФ, предусматривающей ответственность за изготовление или сбыт поддельных денег или ценных бумаг, с разницей только в предмете уголовно-правовой защиты наличных и безналичных денежных средств и ценных бумаг.

Основной задачей статьи является защита от противоправного изготовления в целях сбыта поддельных кредитных и расчетных карт, а также поддельных платежных документов, не являющихся ценными бумагами. Отметим, что в первую очередь при принятии данной нормы законодателем делался акцент на пресечение незаконной деятельности (в том числе организованных преступных групп) так называемых «фабрик» по изготовлению кредитных и расчетных карт, а также на пресечение таких общественно опасных деяний, как сбыт поддельных кредитных, расчетных карт и платежных документов.

Видовым объектом этих преступлений являются общественные отношения, содержание которых составляют права и интересы различных субъектов в различных сферах экономической деятельности: в сфере налогообложения, предпринимательской, кредитно-финансовой, таможенной и других сферах.

Непосредственным объектом выступают общественные отношения, складывающиеся в сфере оборота кредитных либо расчетных карт и платежных документов, не являющихся ценными бумагами.

Как уже отмечалось, характерной особенностью диспозиции ст. 187 УК РФ является высокая степень бланкетности, вследствие чего при определении признаков состава преступления необходимо использовать нормы других отраслей права (гражданского, банковского и др.).

Объективная сторона ст. 187 УК РФ выражена в двух самостоятельных действиях:

1) изготовление в целях сбыта поддельных кредитных либо расчетных карт, а также поддельных платежных документов, не являющихся ценными бумагами;

2) сбыт поддельных кредитных либо расчетных карт и платежных документов, не являющихся ценными бумагами.

Ранее достаточно распространенными были следующие способы изготовления поддельных карт:

• переклейка — удаление (путем среза) с пластиковой карты острым бритвенным лезвием выпуклых цифр номера счета, которые впоследствии переставлялись таким образом, чтобы получился действующий номер счета;

• перебивка — это процесс, при котором с помощью обычного дырокола «выкалываются» цифры с пластиковой карты. Затем полученные цифры переставляются, таким образом, чтобы получить действующий номер счета; с такой карточки можно затем сделать на импринтере механический оттиск на слипе для проведения транзакции;

• повторное тиснение — способ помещения действующего номера счета на украденную или утерянную платежную карту. Для этого сначала надо сделать карту гладкой. После этого на отглаженный номер можно с помощью тиснения нанести действующий номер счета.

Очевидно, что с развитием современных технологий сегодня вышеперечисленные способы практически не используются.

В настоящий момент наиболее распространенными являются следующие виды поддельных кредитных и расчетных карт.

1. Полностью изготовленная поддельная карта — карта, имитирующая настоящую карту, включая внешний вид и запись информации на магнитную полосу. В пластик карты может быть также вмонтирована микросхема, но использование ее при проведении незаконных операций в настоящее время не осуществляется и информация на нее не записывается. Такие карты предназначены для обмана персонала предприятий торговли, принимающего карты, относительно их подлинности и проведения платежных операций в данных торговых предприятиях.

2. Поддельная карта, изготовленная путем частичной подделки.

2.1. Подделка карты, выпущенной законным эмитентом, производителем, платежной системой.

2.1.1. Изготавливается путем изменения эмбоссированных реквизитов карты, например номера. Может использоваться для операций, осуществляемых с помощью импринтера. В этом случае информация, записанная на магнитную полосу и микросхему, не имеет для злоумышленника никакого значения.

2.1.2. Изготавливается путем изменения информации, записанной на магнитную полосу карты. Может использоваться для операций, осуществляемых с помощью электронного терминала. Информация, физически нанесенная на карту (номер, срок действия), отличается от информации, записанной на магнитную полосу. В случае нанесения на карту неполного номера (VISA Electron) возможен подбор реквизитов для магнитной полосы, совпадающих с нанесенными на пластик.

2.1.3. Комбинация двух вышеназванных методов.

2.2. «Белый пластик» — заготовка карты (исходник), не обязательно белого цвета, предназначеная для совершения мошеннических операций, как правило, хищения денежных средств в торговых точках при соучастии кассира (продавца) или в банкоматах, терминалах самообслуживания. В качестве «белого пластика» могут быть использованы любые пластиковые карты со стандартно расположенной магнитной полосой — дисконтные, клубные, идентификационные, подарочные, транспортные, сувенирные, рекламные и т. п.

2.2.1. Изготавливается путем эмбоссирования реквизитов карты (номер, срок действия, имя держателя). Такие карты предназначены для проведения операций с использованием импринтера. В торговом предприятии операции можно совершить только при пособничестве кассира.

2.2.2. Изготавливается путем нанесения информации с подлинных карт на магнитную полосу. Возможно несколько вариантов использования.

2.2.2.1. Проведение операций через электронные торговые терминалы в предприятия торговли. Это возможно в случае сговора с кассиром.

2.2.2.2. Совершение операций в торговых / сервисных терминалах самообслуживания (автоматы по продаже автобусных или железнодорожных билетов, счетчики на автомобильных стоянках, автоматические терминалы на АЗС, телефоны, платные дороги и др.). При совершении данных операций существует ограничение по максимальной разрешенной сумме.

2.2.2.3. Совершение операций через банкоматы. Необходимо знать ПИН-код.

Способ изготовления поддельных кредитных или расчетных карт и платежных документов на квалификацию действий виновного не влияет, однако он должен учитываться судом при назначении наказания.

Изготовление считается оконченным, если оно совершено в целях последующего сбыта независимо от того, удалось ли осуществить сбыт.

Преступление, предусмотренное ст. 187 УК РФ, считается оконченным с момента изготовления в целях сбыта или в случае сбыта хотя бы одной поддельной кредитной или расчетной карты.

Качество изготовленной поддельной кредитной и расчетной карты большого значения не имеет. Дело в том, что поддельные платежные карты, даже очень низкого качества, при наличии на них копии информации с подлинной карты позволяют с их помощью изготовить поддельный расчетный (платежный) документ и направить его в банк для оплаты.

Однако на практике наиболее часто встречается следующий вариант:

• поддельные кредитные или расчетные карты изготовлены третьими лицами по заказу задержанного лица для самостоятельного использования. Как правило, третьи лица, имеющие непосредственное отношение к производству, остаются неустановленными, так как общаются с задержанным лицом посредством сети Интернет и через курьеров;

• лицо, у которого обнаружены поддельные карты, является исполнителем (соисполнителем), «торпедой», совершающим покупки по данной карте (картам) за определенное организатором вознаграждение.

Как и в первом случае, исполнитель не знает изготовителей поддельных кредитных или расчетных карт.

Казалось бы, для квалификации по данной статье (ст. 187 УК РФ) достаточно, чтобы обнаруженные у исполнителя поддельные платежные карты были изготовлены на его имя (паспортные данные) и могли бы быть квалифицированы по совокупности ст. 33 УК РФ (соучастие) и ч. 1 ст. 187 УК РФ. А если в ходе следствия удалось доказать и задокументировать действия организованной группы, то ее действия можно квалифицировать по ч. 2 ст. 187 УК РФ.

Однако диспозиция рассматриваемой статьи требует чтобы действия виновных лиц, связанные с изготовлением кредитных либо расчетных карт, преследовали цель их сбыта, т. е. непосредственного их отчуждения (продажи, дарения, обмена и т. п.). Поэтому указанные варианты можно квалифицировать только как приготовление к совершению мошенничества (ст. 159 УК РФ).

Непосредственный смысл, заложенный законодателем на момент принятия статьи в понятие «сбыт» поддельных или кредитных карт, состоит в их отчуждении (продаже, перепродаже, обмене, дарении, даче взаймы и т. п.).

Судебно-следственная практика идет по тому же пути и не рассматривает в качестве сбыта собственно использование поддельных кредитных или расчетных карт в качестве средств платежа при оплате товаров и услуг.

Соответственно действия, заключающиеся в использовании самим изготовителем поддельной карты для получения по ней наличных денежных средств или оплаты товаров и услуг, следует рассматривать в качестве мошенничества либо кражи.

Одновременно с этим приобретение заведомо поддельных банковских карт в целях их последующего сбыта образует приготовление к преступлению, предусмотренному ст. 187 УК РФ, поэтому должно квалифицироваться по данной статье и ч. 3 статьи 30 УК РФ.

В то же время не является сбытом избавление от поддельных платежных карт и платежных документов посредством их выбрасывания в мусорные контейнеры либо в другом общедоступном месте.

Если кто-то приобретает поддельную кредитную или расчетную карту не в банке, то он явно осознает, что она поддельная и предназначена для незаконного доступа к какому-либо банковскому счету с целью хищения находящихся там денежных средств. Иначе любой мошенник, которого задержали в торговом предприятии с поддельной картой при совершении с ее использованием покупок, может заявить, что он сам является жертвой обмана. Будто бы он считал, что приобрел (скорее всего, у неизвестного лица) кредитную карту, с помощью которой рассчитывал осуществить покупки, а его грубо обманули. Данная нелепая ситуация характеризует непонимание многими юристами технологии обращения и оборота платежных карт, того, что карта не является платежным документом и сама по себе ценности не представляет. Нельзя за 100 долларов купить настоящую кредитную карту, по которой доступный лимит будет составлять 1000 долл. Такие предложения содержат некоторые сайты в Интернете, которые как раз и продают поддельные карты. Это все равно, что за 100 руб. купить 1000-рублевую купюру. Более того, собственно по карте невозможно определить, является она кредитной, расчетной или предоплаченной, так как данная характеристика не связана с физическим носителем (кусочком пластика). Если обратиться к Положению ЦБ РФ № 266-П, то видно, что данный признак связан не с физическим носителем, а, как мы уже говорили, с договорными отношениями между банком и клиентом и, как следствие, — с характером банковского счета, доступ к которому обеспечивает карта.

Поддельная кредитная или расчетная карта в отрыве от денежных средств, к которым с помощью нее можно получить доступ, не имеет ценности ни для преступников, ни для банков, ни для торговых предприятий. Опасность представляют изготовленные с использованием таких карт и направленные в банки расчетные (платежные) документы. «Изготовление поддельных пластиковых карт (кредитной или расчетной) означает изготовление карты, использование которой связывается с возможностью незаконного получения или незаконного расходования денежных средств»[24].

Необходимо отметить, что сбытом поддельных банковских карт и платежных документов являются не только действия лиц, занимающихся их изготовлением, но и действия тех, кто в силу определенных обстоятельств стал их обладателем, сознавал это и сбывал.

На практике возникает немало споров о том, что следует понимать под иными платежными документами.

Перечень этих документов достаточно большой, поэтому в рамках этого параграфа рассмотрим только те платежные документы, которые имеют отношение к преступлениям, совершаемым в сфере оборота платежных банковских карт.

Сразу отметим, что платежные карты, в том числе и предоплаченные, не являются платежными документами.

Пункт 3.1 Положения ЦБ РФ № 266-П Банка России регламентирует, что «при совершении операции с использованием платежной карты составляются документы на бумажном носителе и (или) в электронной форме (далее — документ по операциям с использованием платежной карты). Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и (или) служит подтверждением их совершения»[25].

Следовательно, платежный документ — это документ на бумажном носителе и (или) в электронной форме, являющийся основанием для осуществления расчетов по указанным операциям и (или) служащий подтверждением их совершения.

Согласно п. 3.3 указанного Положения платежные документы должны содержать следующие обязательные реквизиты:

• идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт;

• вид операции;

• дата совершения операции;

• сумму операции;

• валюту операции;

• сумму комиссии (если имеет место);

• код авторизации (если осуществлялась процедура авторизации);

• реквизиты платежной карты.

Документ по операциям с использованием платежной карты на бумажном носителе дополнительно содержит подпись держателя платежной карты и подпись кассира при его составлении в пункте выдачи наличных (ПВН).

В случае использования аналога собственноручной подписи при составлении в ПВН документа по операциям с использованием платежной карты требования о наличии подписи держателя платежной карты и подписи кассира считаются выполненными в отношении копии указанного документа, составленного на бумажном носителе.

Таким образом, платежный документ по операциям с платежными картами составляется на бумажном носителе (чек POS-терминала или слип импринтера) и/или в электронном виде и содержит обязательные реквизиты, указанные в Положении ЦБ РФ № 266-П.

Является ли документ по операциям с использованием платежной карты платежным документом? В указанном Положении ЦБ РФ прямого ответа на этот вопрос нет.

В другом Положении Центрального банка России от 3 октября 2002 г.

№ 2-П «О безналичных расчетах в Российской Федерации»[26], точнее в Приложении № 20, встречается понятие «шифр платежного документа». Это условное цифровое обозначение (шифр) оплачиваемого расчетного документа согласно правилам ведения бухгалтерского учета в Банке России или правилам ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации[27], а в Положении ЦБ РФ от 26 марта 2007 г. № 302-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации»[28] один из кодов данного шифра обозначен как 13 — расчеты с применением банковских карт.

Все это позволяет сделать вывод, что документ по операции с использованием банковской карты является платежным документом.

В диспозиции рассматриваемой нормы (ст. 187 УК РФ) наравне с упоминанием о поддельных платежных банковских (расчетных и кредитных) картах содержится упоминание об изготовлении в целях сбыта или сбыте иных платежных документов, не являющихся ценными бумагами, к числу которых относятся: платежное поручение, платежное требование, платежное требование-поручение, дорожные чеки, еврочеки и другие документы.

В рамках данного параграфа будут рассмотрены только те платежные документы, которые имеют отношение к преступлениям, совершенным в сфере оборота платежных карт. Рассмотрим, что же является подделкой таких документов.

Федеральная таможенная служба определяет поддельные документы как полностью изготовленные фиктивные документы или подлинные документы, в которые внесены искаженные сведения, например, путем исправления или уничтожения части текста, внесения в него дополнительных данных, проставления оттиска поддельного штампа или печати, замены целой страницы на другую с текстом, отличным от исходного, и т. п. (письмо от 30 июня 2005 г. № 01–06/21925).

Фонд социального страхования РФ считает, что фиктивные документы — это документы, составленные задним числом от лица организаций и граждан, которые их не подписывали (письмо от 6 апреля 2000 г. № 02–18/05-2322)[29].

По мнению некоторых юристов, «действия по подделке или использованию подложного документа весьма разнообразны (исправление или уничтожение части текста, внесение дополнительных данных, проставление чужой подписи, нанесение поддельной печати или штампа, предъявление или представление фальсифицированных документов и т. п.) — данные действия являются юридически равнозначными, каждое из них образует подлог документов»[30].

Обратимся к словарям.

На основании изложенного можно сделать вывод, что поддельным платежным документом может быть подлинный платежный документ, в который были внесены несанкционированные изменения.

Также поддельным платежным документом может быть и подлинный документ, когда он изготовлен несанкционировано, т. е. вне ведения и без участия держателя карты, в этом случае уместно говорить об интеллектуальном подлоге.

На практике встречаются следующие способы изготовления поддельных платежных документов.

1. Изготовление на импринтере слипа с использованием поддельной карты.

В результате получается бумажный документ, который отличается от подлинного (если бы на том же импринтере был изготовлен платежный документ с использованием подлинной карты) — подпись на слипе не соответствует подписи законного держателя; возможно несоответствие фамилии держателя и, при некачественном изготовлении подделки, расположения отпечатавшихся эмбоссированных символов. Налицо подделка документа.

2. Изготовление на электронном терминале квитанции и электронного платежного документа с использованием поддельной карты (распоряжение держателя заверено собственноручной подписью, ПИН-код не вводится).

На квитанции подпись и, возможно, фамилия законного держателя не будут соответствовать истинным. Если электронный платежный документ изготовлен с использованием скопированной второй дорожки с подлинной карты, то он ничем не будет отличаться от подлинного. Данный документ означает распоряжение законного держателя на осуществление платежа. Поскольку держатель такого распоряжения не выдавал, подпись на квитанции не соответствует истинной, то и электронный платежный документ является фиктивным, подложным, т. е. он был подделан.

3. Операция через электронный терминал или банкомат с использованием поддельной карты заверяется ПИН-кодом (на квитанции фамилия держателя не распечаталась).

Поскольку ПИН-код в данном случае является аналогом собственноручной подписи, то получаем, что электронный платежный документ подписан аналогом собственноручной подписи[35] (ч. 3 ст. 847 ГК РФ[36]). Так как законный держатель не подписывал данный электронный платежный документ аналогом собственноручной подписи и не давал распоряжения на проведение операции, то такой документ является поддельным (фиктивным, подложным).

Во всех трех рассмотренных ситуациях для изготовления поддельного платежного документа была использована поддельная банковская карта. Представляется логичным, что при использовании поддельного платежного инструмента (карты) всегда будет получен поддельный платежный документ (продукт изготовления). В специальной литературе представлена аналогичная точка зрения: «Фактически в результате применения поддельной банковской карты составляется поддельный платежный документ, включенный в предмет преступления, ответственность за которое установлена ст. 187 УК РФ»[37].

Изготовление поддельных платежных документов возможно в результате несанкционированного использования подлинной платежной карты в результате ее кражи или потери. Платежный документ в данном случае формируется с помощью подлинного платежного инструмента. Но поскольку законный держатель карты не выдавал своего распоряжения на проведение операции и не подписывал собственноручной подписью квитанцию POS-терминала (слип импринтера) или аналогом собственноручной подписи электронный документ терминала или банкомата, то созданные таким образом платежные документы также будут поддельными (фальсифицированными, подложными).

В силу специфики организации проведения расчетов при незаконном получении по платежной карте денежных средств в банкомате, а равно при неправомерной оплате товаров и услуг по такой карте в электронной системе расчетов происходит автоматическое создание фиктивных платежных документов. Данный вывод можно сделать при детальном рассмотрении договора об эквайринге. Предметом данного договора со стороны предприятия является обязанность составления документов на бумажном носителе и (или) в электронной форме с использованием платежных банковских карт или их реквизитов при совершении держателями покупок. А со стороны банка-эквайрера — осуществление расчетов с организацией торговли (услуг) по операциям, совершаемым с использованием платежных карт (п. 1.9 Положение ЦБ РФ № 266-П). Иными словами, эквайрер оплачивает предприятию суммы операций с использованием платежных банковских карт за вычетом своей комиссии (торговой уступки).

Согласно указанному договору эквайрер несет самостоятельные денежные обязательства перед организацией торговли (услуг) по оплате сумм операций, совершаемых с использованием платежных карт. Это означает, что если организация торговли (услуг), соблюдая все условия договора, составила платежный документ с использованием расчетной или кредитной карты и представила данный документ в банк-эквайрер для оплаты, соответственно у банка возникает обязательство перечислить предприятию денежные средства по документу.

Таким образом, изготовление поддельных, в том числе и электронных, платежных документов считается оконченным с момента завершения проведения расчетов по картам (как поддельным, так и подлинным, но незаконно используемым). Факт изготовления подтверждается заверенной банком бумажной копией данного платежного документа.

Фактическое использование поддельных документов в качестве настоящих, если подобное деяние совершается в целях хищения чужого имущества, требует дополнительной квалификации как приготовление к хищению, покушение на хищение либо как оконченное хищение чужого имущества.

Сбыт подобного поддельного документа считается оконченным с момента принятия его к оплате и производства действий, указывающих на то, что документ был принят в качестве подлинного.

В случае же отказа в принятии поддельного документа к оплате действия по его сбыту следует квалифицировать как покушение на сбыт.

Преступление, предусмотренное статьей 187 УК РФ, считается оконченным с момента изготовления в целях сбыта хотя бы одного платежного документа.

Субъективная сторона преступления, предусмотренного ст. 187 УК РФ, предполагает вину в форме прямого умысла: виновный осознает, что изготавливает или сбывает поддельные банковские карты и платежные документы и желает совершить эти действия.

Кроме того, при изготовлении указанных предметов субъективная сторона включает в себя такой обязательный признак, как цель их сбыта.

Мотив преступления в качестве обязательного признака субъективной стороны преступления не указан, однако по смыслу статьи им является корысть.

Субъект преступления — физическое вменяемое лицо, достигшее 16-летнего возраста.

Часть 2 статьи предусматривает наличие такого квалифицирующего признака преступления, как совершение данного общественного деяния организованной группой.

Преступление признается совершенным организованной группой, если оно совершено устойчивой группой лиц, заранее объединившейся для совершения одного или нескольких преступлений (п. 3 ст. 35 УК РФ).

Совершение преступления организованной группой состоит в тщательном распределении ролей между ее членами: одни обеспечивают наличие необходимого оборудования, для изготовления предметов преступления, другие непосредственно изготавливают их, третьи — занимаются хранением и транспортировкой, четвертые — непосредственно сбывают.

Компьютерные преступления в сфере оборота платежных карт

Как показывает практика, реальная необходимость вменения компьютерных преступлений по делам о преступлениях в сфере оборота платежных карт возникает при расследовании сложных и особо сложных уголовных дел, возбужденных по ст. 187, 158 и 159 УК РФ, а именно тех, которые не относятся к так называемым бытовым случаям. Вместе с тем с формальной точки зрения практически любое преступление в сфере оборота платежных карт сопровождается незаконным доступом к компьютерной информации либо ее копированием, модификацией ввиду значительной компьютеризации процессов банковского обслуживания и денежных расчетов в современный период[38].

Таким образом, в механизме преступной деятельности компьютерное преступление занимает весьма важную роль, являясь необходимой предпосылкой, этапом подготовки к совершению мошеннических действий либо изготовлению поддельных платежных карт, а также неотъемлемой частью способа совершения мошенничества при использовании банкомата либо совершения покупок в магазинах и интернет-магазинах.

В условиях организованного характера преступной деятельности в сфере оборота платежных карт возможность вменения компьютерного преступления нельзя недооценивать. Деятельность организованных преступных групп в данной сфере довольно четко структурирована. Одни преступники занимаются исключительно сбором конфиденциальной информации, содержащейся на платежных картах[39], другие несут обязанности по изготовлению поддельных платежных карт или «белого пластика»[40]. Отдельная часть группы, обычно наименее квалифицированная и изолированная от костяка, входит в непосредственный контакт с персоналом торговых и сервисных предприятий[41], осуществляет снятие наличных денег через банкоматы. В России практически отсутствует практика разоблачения деятельности организованных преступных групп, совершающих преступления в сфере оборота платежных карт[42], так как обвиняемые не дают показания на других членов преступной группы, действующих на иных этапах преступной схемы, а иными способами их связь установить чрезвычайно сложно. Более того, играет роль высокая степень конспирации и отсутствие необходимости личных контактов для взаимодействия.

Согласно УК РФ в качестве компьютерных преступлений в рассматриваемой ситуации возможна квалификация следующих случаев.

1. Несанкционированный доступ (НСД) — неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

2. Несанкционированное воздействие (НСВ) — создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.

Как НСД (ст. 272 УК РФ) следует квалифицировать деяния, связанные с использованием платежных карт, в следующих ситуациях:

• реквизиты платежной карты скрытно копируются злоумышленником с помощью криминального (скиммингового) оборудования при обслуживании граждан в магазинах, кафе, иных местах, открытых для публичного посещения, при этом возможна запись ПИН-кода либо он просто подглядывается;

• реквизиты платежной карты скрытно копируются злоумышленником с помощью криминального (скиммингового) оборудования, размещенного на банкомате, ПИН-код фиксируется скрытно установленной видеокамерой либо накладной клавиатурой[43];

• реквизиты платежной карты копируются злоумышленником в результате внешнего доступа к компьютерной сети торгового или сервисного предприятия, процессингового центра, банка, ПИН-код не копируется (необходимо скомпрометировать криптографические ключи);

• реквизиты платежной карты копируются злоумышленником в результате доступа к компьютерной сети торгового или сервисного предприятия, процессингового центра, банка с помощью сообщника;

• реквизиты платежной карты копируются злоумышленником в результате взлома существующего или создания фальшивого, обманного интернет-сайта (фишинг);

• реквизиты платежной карты копируются злоумышленником в результате доступа к электронным каналам связи.

Реквизиты платежной карты копируются злоумышленником в результате использования вредоносного программного обеспечения в торговых терминалах, кассовых решениях, терминалах самообслуживания, банкоматах.

Таким образом, НСД особенно характерен для этапа подготовки к «основному» преступлению — мошенническим действиям, однако в практике имеются случаи вменения ст. 272 УК РФ в связи с самим событием «основного» преступления[44].

НСВ (ст. 273 УК РФ) обычно представляет собой следующее:

• создание, распространение и использование программ, модифицирующих программное обеспечение без ведома пользователя, результатом работы которых является копирование реквизитов платежных карт;

• создание, распространение и использование программ, управляющих криминальным оборудованием (в частности к ним могут относиться машинные носители), используемым при копировании реквизитов платежной карты[45];

• иное.

Как показывает практика, наиболее часто компьютерные преступления, совершаемые в ходе преступной деятельности в области оборота платежных карт, квалифицируются по ст. 272 УК РФ.

Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем[46].

Неправомерным считается доступ к компьютерной информации, если:

• субъект не имеет прав доступа к этой информации;

• субъект имеет право доступа, но превышает эти права, нарушая установленные правила системы разграничения доступа.

При этом по отношению к этой информации должны приниматься меры защиты, ограничивающие к ней доступ, т. е. она должна быть конфиденциальной.

При применении ст. 272 УК РФ модификация (переработка) программы для ЭВМ или базы данных должна пониматься как любые изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой язык, за исключением адаптации, т. е. внесения изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя[47].

Объект компьютерных преступлений — та совокупность общественных отношений, которая складывается по отношению к компьютерной информации и программам для ЭВМ с точки зрения их оборота и использования, сохранения конфиденциальности. Предмет преступления — охраняемая законом компьютерная информация (НСД), а также программа для ЭВМ (НСВ).

Объект НСД — неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, т. е. нарушение информационной безопасности информационной системы.

Объект НСВ — безопасность информации и оборудования, предназначенного для его обработки, т. е. нарушение целостности и сохранности информационной системы и системы ее информационной безопасности. В отличие от НСД НСВ характеризуется как формальный состав преступления, доказывания связи воздействия на программное обеспечение или создания вредоносного программного обеспечения не требуется, достаточно лишь факта их создания либо попытки их использования.

Предметом неправомерного доступа к охраняемой законом компьютерной информации является деяние, повлекшее уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети[48].

Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами[49].

Неправомерным считается доступ к компьютерной информации, если:

• субъект не имеет права доступа к этой информации;

• субъект имеет право доступа, но превышает эти права, нарушая установленные правила системы разграничения доступа.

При этом по отношению к этой информации должны приниматься меры по защите, ограничивающие к ней доступ.

Данная статья УК РФ защищает компьютерную информацию, где бы она ни была представлена.

При квалификации противоправных действий по данной статье необходимо учитывать, что компьютерная информация, к которой осуществляется неправомерный доступ, должна защищаться законом. Каким же законом защищается данная информация?

Согласно ст. 3 ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»[50] «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу».

В Положении ЦБ РФ от 19 августа 2004 г. № 262-П «Положение об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» говорится, что «при совершении сделок с использованием платежных (банковских) карт идентификация осуществляется на основе реквизитов платежной (банковской) карты, а также кодов (паролей)». То есть информация о номере банковской карты идентифицирует (определяет) для банка держателя (физическое лицо). Следовательно, такая информация является персональными данными и охраняется законом. Неправомерный доступ к такой информации, если она представлена в компьютерном виде и это повлекло ее копирование, будет составлять объективную сторону преступления, предусмотренного ст. 272 УК РФ.

Дополнительно необходимо учитывать, что в случае банковских карт имеет место защищаемая законом банковская тайна.

Определение банковской тайны дано в ГК РФ и в Федеральном законе от 2 декабря 1990 г. № 395-I «О банках и банковской деятельности»[51].

По смыслу Положения ЦБ РФ № 266-П банковская платежная карта — это инструмент безналичных расчетов, достоверно устанавливающий соответствие между реквизитами платежной карты и соответствующим счетом физического лица, юридического лица, индивидуального предпринимателя (клиента банка). Таким образом, банковская платежная карта указывает на реквизиты банковского счета, а такая информация является банковской тайной.

Сотрудниками правоохранительных органов г. Ижевска было осуществлено задержание гражданина, использовавшего подделанные банковские карты в организации торговли. Было возбуждено и доведено до суда уголовное дело по ст. 272 УК РФ, при этом использовалась следующая аргументация.

Сервер банка эмитента содержит компьютерную информацию — данные карт, данные операций, данные остатка денежных средств на счете и другую служебную информацию, объединенную в базу данных ограниченного пользования, доступ к которой строго регламентирован. Информация, размещенная на сервере, имеет конфиденциальный характер, составляет банковскую тайну, т. е. защищается законом, допуск к ней имеет ограниченный список уполномоченных лиц в соответствии с должностными обязанностями. Авторизация покупки либо выдача наличных денежных средств через банкомат влечет за собой уменьшение платежного лимита, т. е. модификацию (изменение) электронных данных на авторизационном сервере банка-эмитента, а именно содержания базы данных.

Несмотря на наличие описанной выше практики, представляется, что доказывание по этой статье может составлять определенную трудность в случае несанкционированного использования банковских карт иностранных эмитентов.

Под переработкой (модификацией) программы для ЭВМ или базы данных, как мы уже говорили выше, понимаются любые их изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой. Исключением является адаптация программы, т. е. внесение изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя[52]. А копирование информации — «перенос информации на другой материальный носитель при сохранении неизмененной первоначальной информации»[53].

Таким образом, объективная сторона НСД формируется за счет следующих обстоятельств совершения преступления: модификации либо копирования информации, защищаемой законом (персональные данные, банковская тайна).

Вместе с тем НСД имеет место также при совершении мошенничества без платежной карты с использованием ее реквизитов, например, при совершении покупок в интернет-магазине, так как независимо от способа НСД возникает одно и то же вредное последствие — модификация данных на сервере кредитного учреждения.

Упомянутый ранее скимминг может быть квалифицирован не только как НСД, но и как НСВ, так как его осуществление связано с созданием или использованием программ, управляющих работой используемого криминального оборудования, что является законченным преступлением.

Субъект преступления по ст. 272 и 273 УК РФ — вменяемое физическое лицо, достигшее 16-летнего возраста.

С субъективной стороны преступления характеризуются наличием прямого умысла (осознание неправомерного доступа, предвидение наступления вредных последствий и желание их наступления) или косвенного умысла (осознание неправомерного доступа, предвидение наступления вредных последствий и сознательное допущение их наступления либо безразличное отношение к наступлению последствий).

Не признается преступлением доступ к информации без намерения совершить общественно опасное деяние (техническая помощь пользователю не допущенным к ЭВМ работником, выполнение работы за другое лицо с целью ускорения производственного процесса, непроизвольный доступ к информации вследствие ошибки непосредственного пользователя и т. п.).

В отличие от широко распространенной точки зрения о том, что субъектом преступления по ст. 272 и 273 УК РФ является специалист, обладающий глубокими знаниями в компьютерной технике и программировании, при совершении хищений в сфере оборота платежных карт субъектом НСД и НСВ (в форме использования программ для ЭВМ в составе оборудования, использованного для совершения преступления) могут быть неквалифицированные физические лица[54].

Как сказано ранее, обычно компьютерные преступления в рассматриваемой области совершаются на этапе подготовки и совершения хищений с использованием платежных карт. При этом подготовка и совершение обычно производятся разными группами лиц, а также на различных территориях как внутри России[55], так и за рубежом[56]. Однако в практике имеются случаи, когда изготовление «белого пластика» и снятие наличных денег осуществлялись одним лицом[57].

Например, в указанном ранее деле граждане Болгарии Г. Т. Илиев и Ц. Н. Божилов осуществляли копирование реквизитов платежных карт без снятия наличных денег. Более того, программное обеспечение, управлявшее криминальным оборудованием, находившимся в распоряжении осужденных, обеспечивало конфиденциальность полученных реквизитов, в том числе и от осужденных, за счет шифрования данных. Данное обстоятельство вместе с тем послужило одним из препятствий на пути доказывания того, что копирование данных было фактически осуществлено[58], что было определено в ходе осмотра с привлечением специалистов ЭКЦ МВД РФ.

В случае получения незаконным способом (например, в результате скимминга, покупки через Интернет дампов вторых дорожек или использования фишинга[59]) сведений, составляющих банковскую тайну (номеров банковских карт), такие действия будут составлять объективную сторону преступления, предусмотренного ст. 183 УК РФ.

Объект преступления — общественные отношения в сфере обращения информации, составляющей банковскую тайну. Данная информация составляет предмет преступного посягательства.

Субъективная сторона характеризуется виной в форме прямого умысла. При этом квалифицирующим признаком будет являться корыстная заинтересованность (информация используется для последующего хищения денежных средств), что влечет более тяжкое наказание.

Субъект преступления — вменяемое лицо, достигшее 16-летнего возраста.

Насколько же законодатель считает данные преступления общественно опасными, какие уголовные наказания за их совершение предусматривает УК РФ?

Анализ уголовного законодательства применительно к преступлениям с банковскими картами

Руководствуясь ст. 15 УК РФ «Категории преступлений», мы видим, что по неквалифицированным (часть первая) ст. 158, 159, 183, 272 УК РФ характер и степень общественной опасности определены как преступления небольшой тяжести: умышленные деяния, за совершение которых максимальное наказание, предусмотренное Уголовным кодексом, не превышает двух лет лишения свободы. Часть 1 ст. 273 УК РФ предусматривает максимальное наказание до трех лет лишения свободы, что составляет преступление средней тяжести (умышленные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, не превышает пяти лет лишения свободы). Единственная неквалифицированная (часть первая) ст. 187 УК РФ относится к тяжким преступлениям: умышленные деяния, за совершение которых наказание, предусмотренное Уголовным кодексом, составляет от пяти до десяти лет лишения свободы.

Сведем в таблицу максимальные наказания по приведенным статьям и соответствующие категории преступлений (табл. 1.6).

Как видим, законодатель не усматривает большой общественной опасности в противозаконных деяниях в сфере банковских карт, кроме ст. 187 УК РФ (фабрики). Только максимально точно квалифицированные преступления признаются тяжкими. Но, чтобы предъявить такое обвинение, следствию необходимо обладать определенными доказательствами, которые можно зачастую получить только в рамках оперативно-следственных мероприятий по уже возбужденному уголовному делу.

Первоначальное выявление преступления, как правило, дает основания возбудить уголовное дело только по неквалифицированной части соответствующей статьи УК РФ. И только потом, в ходе расследования уголовного дела, могут появиться доказательства, дающие основания изменить квалификацию на более тяжкую статью УК РФ.

В данной ситуации кроются следующие проблемы. Самым распространенным случаем выявления злоумышленников является задержание их на месте совершения преступления: при использовании поддельных платежных карт в торгово-сервисных предприятиях, у банкоматов, при установке (снятии) скимминговых устройств. В таких случаях еще ничего не известно о всей противозаконной деятельности задержанного, если только он на момент задержания уже не находился в оперативной разработке. Обвинение может быть предъявлено только по ч. 1 ст. 158, 159, 183, 272 УК РФ и то скорее всего преступление не будет окончено, а будет установлен только факт покушения. Возбуждение уголовного дела по части первой указанных статей УК РФ влечет за собой следующие особенности.

Во-первых, согласно ст. 108 УПК РФ в отношении подозреваемого или обвиняемого в совершении преступления, за которое предусмотрено наказание в виде лишения свободы на срок до двух лет, заключение под стражу в качестве меры пресечения может быть избрано только в исключительных случаях, при наличии одного из следующих обстоятельств:

1) подозреваемый или обвиняемый не имеет постоянного места жительства на территории Российской Федерации;

2) его личность не установлена;

3) им нарушена ранее избранная мера пресечения;

4) он скрылся от органов предварительного расследования или от суда.

Заключение под стражу в качестве меры пресечения не может быть применено в отношении подозреваемого или обвиняемого в совершении преступлений, предусмотренных ст. 183 УК РФ при отсутствии обстоятельств, указанных выше в п. 1–4.

Иными словами, если отсутствуют обстоятельства, перечисленные в п. 1–4 ч. 1 ст. 108 УПК РФ: подозреваемый имеет постоянное место жительства на территории РФ, личность его установлена (для выполнения первых двух условий достаточно предъявить паспорт), а обстоятельства, указанные в п. 3–4, могут и вовсе отсутствовать (если подозреваемый задержан впервые, никакая мера пресечения в отношении его не избиралась и он ни от кого не скрывался), то подозреваемый должен быть отпущен на свободу. Мера пресечения избирается в виде подписки о невыезде. Таким образом, после этого злоумышленник имеет все возможности предупредить потенциальных сообщников и уничтожить все имеющиеся следы преступления.

Вторая особенность при расследовании таких преступлений заключается в том, что по ст. 158 и 159 УК РФ (самые распространенные статьи по данным преступлениям) формы предварительного расследования различаются в зависимости от части применяемой статьи. По уголовным делам о преступлениях, предусмотренных ч. 1 ст. 158 и ч. 1 ст. 159 УК РФ, предварительное расследование производится в форме дознания (ст. 150 УПК РФ), по преступлениям, предусмотренным ч. 2–4 ст. 158 и ч. 2–4 ст. 159 УК РФ, производится предварительное следствие (ст. 151 УПК РФ). В данном случае возникает конфликт интересов между органами дознания и следствия. Дознаватель не заинтересован расследовать преступления по ч. 1 ст. 158 и ч. 1 ст. 159 УК РФ, если существует перспектива, что в результате расследования дело может быть переквалифицировано на другие части указанных статей УК РФ. Так как такое дело ему придется отдать следствию, то получается, что дознаватель работает на кого-то другого, а не на себя. Следователь же не может возбуждать уголовные дела по ч. 1 ст. 158 и ч. 1 ст. 159 УК РФ, так как такие уголовные дела могут быть ему переданы только по письменному указанию прокурора (ст. 150 УПК РФ).

Казалось бы, перечисленных трудностей можно было бы избежать, применив ст. 187 УК РФ, которая напрямую затрагивает предмет преступления — поддельные кредитные и расчетные карты.

Однако при анализе данной нормы уголовного права можно увидеть, какие сложности возникают при ее практическом применении в области банковских карт. Сразу же бросается в глаза узкий круг предметов преступления: поддельные кредитные и расчетные карты. В уже не раз упоминавшемся Положении ЦБ РФ от 24 декабря 2004 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» в п. 1.5 указано: «Кредитная организация вправе осуществлять эмиссию банковских карт следующих видов: расчетных (дебетовых) карт, кредитных карт и предоплаченных карт». Следовательно, подделка предоплаченных карт не охватывается составом преступления ст. 187 УК РФ, т. е. уголовно ненаказуема и не является преступлением.

Другая проблема ст. 187 УК РФ заключается в следующем. Постановлением Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате»[60] хищения денежных средств путем использования похищенной или поддельной кредитной (расчетной) карты (см. п. 13) в банкоматах, пунктах выдачи наличных (ПВН) кредитных организаций, торгово-сервисных предприятиях (ТСП) квалифицированы либо как кража (ст. 158 УК РФ), либо как мошенничество (ст. 159 УК РФ). Таким образом, «сбыт» в ст. 187 УК РФ трактуется только как переход поддельной карты от одного владельца к другому, причем такой переход должен осуществляться вне преступной группы. Если поддельные карты изготавливались не на продажу, а для личного использования, в том числе внутри преступной группы (функции по изготовлению и использованию поддельных карт были разделены между членами группы), то ст. 187 УК РФ не применяется, так как уголовная ответственность предусматривается за изготовление поддельных кредитных, расчетных карт только с целью сбыта. Практически под данную статью стали попадать только так называемые «фабрики». При этом в случае обнаружения такой «фабрики» само по себе изготовление поддельных карт преступлением не будет. Следствию необходимо будет доказать, что поддельные карты изготавливались с целью сбыта либо сбывались и что данные карты являются поддельными.

Такая ситуация быстро отразилась на статистике МВД РФ (табл. 1.7), количество возбужденных дел по ст. 187 УК РФ после 2008 г. резко упало, что совершенно не отражает реальное положение дел с количеством поддельных кредитных, расчетных карт, изготавливаемых и используемых на территории России.

Постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51 поставило еще ряд вопросов, вызвав этим достаточную неопределенность в вопросах расследования преступлений с использованием поддельных карт.

Пункт 14 Постановления ВС РФ от 27 декабря 2007 г. № 51:

«Изготовление лицом поддельных банковских расчетных либо кредитных карт для использования в целях совершения этим же лицом преступлений, предусмотренных ч. 3 или ч. 4 ст. 159 УК РФ, т. е. в целях совершить мошенничество»:

• с использованием своего служебного положения;

• в крупном размере;

• организованной группой;

• в особо крупном размере

«следует квалифицировать как приготовление к мошенничеству».

При этом не разъяснено:

1) как квалифицировать изготовление поддельных небанковских расчетных либо кредитных карт, например, American Express, Diners Club, JCB, в тех же целях?

2) как квалифицировать изготовление поддельных банковских расчетных либо кредитных карт в целях «хищения чужих денежных средств», «если выдача наличных денежных средств осуществляется посредством банкомата»? Поскольку в п. 13 этого же Постановления хищение денежных средств с использованием банкоматов квалифицируется не как мошенничество, а как кража. Под данный вид поддельных карт попадает так называемый «белый пластик», использование которого в России в последнее время отмечено во все возрастающих объемах;

3) дополнительно следует отметить, что в связи с тем, что доказать приготовление к хищению денежных средств в крупном или особо крупном размере при изготовлении поддельных банковских расчетных либо кредитных карт иностранных банков эмитентов крайне сложно, так как практически нереально получить от иностранного банка информацию о размере банковского счета, с которого осуществлялось приготовление к хищению денежных средств, то и квалифицировать данным образом такое преступление будет также невозможно. При этом в настоящий момент на территории России довольно распространенным является хищение денежных средств со счетов держателей карт иностранных эмитентов.

Далее в п. 14 Постановления ВС РФ от 27 декабря 2007 г. № 51 указано, что «сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, заведомо непригодных к использованию, образует состав мошенничества и подлежит квалификации по соответствующей части статьи 159 УК РФ».

Здесь также возникает ряд вопросов.

1. Кто и на каком этапе уголовного преследования определяет, что карта заведомо непригодна к использованию?

Понятие поддельной или подлинной кредитной или расчетной карты является юридическим, следовательно, вывод об этом должен делать следователь. Однако следователь не обладает специальными познаниями и самостоятельно сделать вывод о том, что карта поддельная и пригодна к использованию, не может. Помочь следователю в этом вопросе должна экспертиза, которая даст необходимые и достаточные данные для признания карты подлинной или поддельной. Но в настоящий момент в России не создана единая методика осуществления экспертиз поддельных кредитных и расчетных карт. Работы над ней еще только ведутся. Нет даже четкого и единообразного определения понятий «поддельная кредитная», «поддельная расчетная» карта. В России не создана система институтов производства экспертизы поддельных кредитных и расчетных карт. Специалисты экспертно-криминалистических подразделений МВД РФ не обладают всей полнотой информации, необходимой для производства экспертиз. Так как основная информация, на основании которой возможно проведение исследования в отношении подлинности кредитных и расчетных карт, например международных платежных систем VISA и MasterCard, является конфиденциальной и доступной только банкам — членам данных систем.

2. Какие карты являются заведомо непригодными к использованию?

Если посмотреть на оборотную сторону международных банковских карт VISA и MasterCard, а именно их подделывают наиболее часто, то можно прочитать следующую надпись: «Not valid unless signed» — «Недействительна без подписи». Правила приема и обработки платежных карт для менеджеров и кассиров торговых точек также гласят, что карты без образца подписи клиента к обслуживанию не принимаются. Следует ли из этого, что изготовление с целью сбыта поддельных кредитных или расчетных карт, даже очень высокого качества, но без подписи держателя не образует состава преступления по ст. 187 УК РФ, так как такие карты будут заведомо непригодными к использованию и в этом случае сбыт таких карт необходимо классифицировать как мошенничество? Как быть с «белым пластиком», с помощью которого, зная ПИН-код, можно похитить денежные средства в банкомате или при сговоре с кассиром без ПИН-кода осуществить операцию оплаты в торгово-сервисном предприятии?

3) Кому могут быть сбыты поддельные кредитные либо расчетные карты, в том числе и заведомо непригодные к использованию, если под сбытом понимать только физическое отчуждение таких карт?

Так как банковские карты предназначены для осуществления безналичных расчетов и согласно ч. 3 ст. 861 ГК РФ «безналичные расчеты производятся через банки, иные кредитные организации», а Положение ЦБ РФ № 266-П регламентирует совершение операций с использованием расчетных и кредитных карт по банковскому счету, то отсюда вытекает, что эмиссию (выпуск) расчетных, кредитных банковских карт могут осуществлять только банки (кредитные организации). Причем держатель карты не является ее собственником (при выдаче карт банки их не продают и не дарят), карта остается в собственности банка, держатель является владельцем. Для получения карты клиент должен заключить договор с банком. Расчетные и кредитные карты привязываются к конкретному счету в банке, по стандартным условиям договора между банком и клиентом карту нельзя передавать для совершения операций другим лицам, в случае передачи карты другому лицу происходит нарушение условий договора. Получается, что единственным местом, где держатель может законно получить кредитную или расчетную банковскую карту, является какое-либо представительство банка. Более того, данный факт получения карты — это единственный законный способ ее отчуждения, единственный легитимный способ сбыта (если под сбытом понимать физическое отчуждение карты). Все другие способы сбыта (в смысле отчуждения карты) просто не предусмотрены технологий обращения банковских кредитных и расчетных карт.

Поэтому непонятно, о каком обмане приобретателя карты и его роли в качестве потерпевшего может идти речь, если кредитную или расчетную банковскую карту в России можно получить только в банке.

«При сбыте поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, лицом, их не изготавливавшим, необходимо осознание факта поддельности предмета преступления»[61]. Если кто-то приобретает кредитную или расчетную банковскую карту не в банке, то он явно осознает, что она поддельная и предназначена для незаконного доступа к какому-либо банковскому счету с целью хищения находящихся там денежных средств, так как согласно Положению ЦБ РФ № 266-П кредитной или расчетной карте обязательно должен сопутствовать какой-либо договор банка с клиентом (кредитный, банковского счета, др.).

Получается нелепая ситуация, о которой мы уже упоминали: лицо, которое использует или сбывает поддельную карту, может заявить, что само является жертвой обмана, так как считало, что приобрело (скорее всего у неизвестного лица) кредитную карту, с помощью которой рассчитывало осуществить покупки, а его грубо обманули — карта оказалась поддельной.

Таким образом, легальный сбыт кредитной или расчетной карты, предполагающий ее отчуждение, может быть только в виде выдачи ее кредитной организацией держателю в пользование (владение). Отчуждение поддельных кредитных либо расчетных карт в ином виде может происходить только при их незаконном обороте, когда и сбытчик (продавец), и приобретатель (покупатель) прекрасно осознают, что карты поддельные. Если же были сбыты заведомо непригодные к использованию поддельные карты, то потерпевшим будет лицо, приобретающее поддельные карты, осознающее это, но рассчитывающее, что данные карты являются пригодными для хищения денежных средств. Парадокс ситуации заключается в том, что абз. 3 п. 14 Постановления ВС РФ от 27 декабря 2007 г. № 51 защищает интересы лиц, которые сознательно приобретают поддельные карты. Однако маловероятно, что такое лицо обратится в правоохранительные органы с заявлением о совершении преступления.

Подводя итог вышесказанному, можно сделать следующие выводы:

1) согласно действующему законодательству изготовление с целью сбыта и сбыт поддельных предоплаченных платежных (в том числе банковских) карт не является уголовным преступлением;

2) согласно действующему законодательству изготовление поддельных банковских расчетных либо кредитных карт для использования в целях совершения этим же лицом неквалифицированного мошенничества, а также мошенничества группой лиц по предварительному сговору или с причинением значительного ущерба гражданину также не является уголовным преступлением;

3) в связи с трудностью получения информации от иностранных банков невозможно будет квалифицировать как преступное действие изготовление поддельных банковских расчетных либо кредитных карт иностранных банков эмитентов в целях хищения (т. е. приготовление к преступлению) чужих денежных средств в крупном или особо крупном размере.

Проведенный выше анализ ст. 187 УК РФ говорит о том, что данная статья крайне редко может применяться для привлечения к уголовной ответственности в сфере обращения банковских платежных карт.

Таким образом, при использовании поддельных банковских карт для расчетов в предприятиях торговли чаще всего правоохранительными органами возбуждаются уголовные дела по ст. 159 УК РФ (мошенничество), а при использовании таких карт в банкоматах — по ст. 158 УК РФ (кража).

Сложность квалификации по ст. ст. 158 (кража) и 159 (мошенничество) УК РФ применительно к сфере платежных карт заключается в пересечении сразу трех областей знания — уголовного права, гражданского права и карточных технологий.

Рассмотрим более подробно данные статьи Уголовного кодекса.

И кража, и мошенничество являются хищением, им присущи общие признаки, названные в примечании 1 к ст. 158 УК РФ.

Под хищением в статьях настоящего Кодекса понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества.

Общие признаки хищения:

• изъятие имущества;

• противоправность изъятия;

• изымаемое имущество было чужим для виновного;

• изъятие было безвозмездным;

• виновный преследовал корыстную цель;

• изъятое имущество обращено в пользу виновного или в пользу третьих лиц;

• собственнику или иному владельцу причинен ущерб.

Причинение ущерба собственнику или иному владельцу является обязательным признаком хищения. Иными словами: нет ущерба — нет и преступления. В случае выявления мошеннических операций по банковским картам в эквайринговой сети многие банки не заявляют о причиненном им ущербе, так как на основании правил платежных систем они получают (в определенных случаях) возмещение по данным операциям и финансовая ответственность возлагается на эмитентов. Проблемы возникают, если эмитентом является иностранный банк. Поскольку нет заявленного ущерба, то правоохранительные органы не возбуждают уголовные дела и уголовное преследование и наказание виновных лиц не осуществляется. Такое положение порождает элемент безнаказанности и способствует высокой латентности в данной преступной среде.

УК РФ не определяет, что такое ущерб, но данное понятие есть в Гражданском кодексе РФ (ст. 15. ГК РФ): «ущерб — это расходы, которые лицо, чье право нарушено, произвело или должно будет произвести, а также утрата или повреждение его имущества».

Важным обстоятельством при определении ущерба по уголовному делу является момент окончания уголовного преступления. «Мошенничество, т. е. хищение чужого имущества, совершенное путем обмана или злоупотребления доверием, признается оконченным с момента, когда указанное имущество поступило в незаконное владение виновного или других лиц и они получили реальную возможность (в зависимости от потребительских свойств этого имущества) пользоваться или распорядиться им по своему усмотрению»[62]. В связи с данным определением момента окончания преступления представляется весьма спорной позиция некоторых специалистов, которые квалифицируют деяние не по окончании совершения преступления, а по последующим событиям, не зависящим от виновного лица, делая попытки установить, кому в конечном итоге причинен ущерб и в связи с этим по-разному квалифицируя одно и то же событие[63], что противоречит ч. 2 ст. 9 УК РФ.

Представляется, что ошибку совершают также и те, кто пытается определить, кому же в результате урегулирования всех гражданско-правовых отношений в конечном итоге причинен ущерб: торговому предприятию, банку-эквайреру, банку-эмитенту, клиенту или страховой компании? Дело в том, что исходя из конкретных обстоятельств дела, правил платежных систем (которые могут меняться, например перенос ответственности), квалификации сотрудников банков по претензионной работе в конечном итоге убытки может понести любой из перечисленных субъектов. Причем в ходе претензионной работы сторона, несущая убытки, может меняться (возврат платежа, повторное представление документа, предарбитраж, арбитраж). При этом виновное лицо давно уже изъяло имущество в свою пользу и не имеет никакого отношения к рассматриваемым событиям.

Для понимания указанных аргументов рассмотрим ситуацию с использованием поддельных банковских карт иностранных эмитентов для снятия наличных денежных средств в банкоматах российских эквайреров.

С точки зрения банкоматного эквайринга имеет место со стороны банка-эквайрера оказание услуг держателям банковских карт по выдаче наличных денежных средств в случае одобрения данной операции банком-эмитентом. Банк-эмитент проверяет возможность выдачи денежных средств и дает разрешение на проведение операции. На основании этого одобрения банк-эквайрер выдает свои наличные денежные средства держателю карты, обратившемуся за данной услугой. Таким образом, на момент окончания уголовного преступления «хищение чужого имущества… когда указанное имущество поступило в незаконное владение виновного или других лиц и они получили реальную возможность (в зависимости от потребительских свойств этого имущества) пользоваться или распорядиться им по своему усмотрению» похищенными оказываются наличные денежные средства банка-эквайрера. То есть ущерб на момент окончания уголовного преступления нанесен эквайреру. Возмещение им выданной суммы за счет банка-эмитента происходит уже после окончания уголовного преступления в рамках гражданского права (правил платежных систем)[64].

Несколько сложнее обстоит дело в случае использования поддельных банковских карт иностранных эмитентов в эквайринговой сети торговых предприятий российских (с точки зрения территориальности) банков, если согласно правилам платежных систем ущерб возлагается на эмитента.

Обратимся к классической схеме преступления. Мошенник, используя поддельную банковскую карту, произвел оплату товаров (работ, услуг) в организации торговли (услуг). При стандартном подходе в правоохранительные органы должно поступить заявление от лица, которому нанесен ущерб. Если опираться на технологию расчетов с использованием банковских карт, то получаем следующую ситуацию: предприятие торговли составляет расчетный документ и направляет его в банк-эквайрер, тот в свою очередь через платежную систему адресует его банку-эмитенту. И уже здесь, исходя из договора банковского счета (кредитного или дебетового), норм местного законодательства, наличия договоров со страховыми компаниями и т. п., ущерб может быть нанесен держателю, эмитенту или страховой компании. Если карта была эмитирована иностранным банком, то добиться написания заявления в российские правоохранительные органы практически нереально.

Чтобы выполнить требование о заявлении ущерба, рассмотрим ситуацию с мошенническим использованием платежной карты в эквайринговой сети несколько под другим углом, а именно с точки зрения российского гражданского законодательства.

Нормативный документ ЦБ РФ № 266-П «Положение об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» не рассматривает все гражданско-правовые вопросы функционирования платежных карт. Более того, комплексное законодательное регулирование по данному вопросу в России отсутствует. Поэтому технология функционирования платежных карт регулируется отдельными договорами. В нашем случае обратим внимание на договор между эквайрером и торгово-сервисными предприятиями (договор об эквайринге).

Предметом данного договора со стороны предприятия является составление документов на бумажном носителе и (или) в электронной форме с использованием платежных карт или их реквизитов при совершении держателями покупок; а со стороны эквайрера — осуществление расчетов с организацией торговли (услуг) по операциям, совершаемым с использованием платежных карт (см. п. 1.9 Положения ЦБ РФ № 266-П). Иными словами, эквайрер оплачивает предприятию суммы операций с использованием платежных карт за вычетом своей комиссии (торговой уступки). Согласно условиям данного договора эквайрер несет самостоятельные денежные обязательства перед организацией торговли (услуг) по оплате сумм операций, совершаемых с использованием платежных карт. Это означает, что если организация торговли (услуг), соблюдая все условия договора, составила расчетный документ с использованием платежной карты или ее реквизитов и представила данный документ в банк-эквайрер для оплаты, то у банка возникает обязательство перечислить предприятию денежные средства по документу. Это обязательство не зависит от исполнения другими участниками платежной системы своих обязательств перед эквайрером. Например, если банк-эмитент по каким-либо причинам не перечислил денежные средства эквайреру (например, ввиду переноса ответственности), последний все равно обязан рассчитаться с организацией торговли (услуг). Это позволяет рассматривать договор на эквайринговое обслуживание между банком и предприятием в отрыве от всей остальной платежной системы. Тогда представленная выше классическая мошенническая ситуация будет выглядеть следующим образом.

В организации торговли мошенник, выдавая себя за законного держателя банковской карты, составляет расчетный документ. Данный расчетный документ направляется в банк, который перечисляет по нему денежные средства со своего счета на счет предприятия. Умысел злоумышленника направлен на обман банка-эквайрера с тем, чтобы тот за счет своих собственных средств (согласно договору на эквайринговое обслуживание) оплатил товар (услуги) и перечислил денежные средства на счет организации торговли. Таким образом, путем обмана (мошенник не является законным держателем карты) совершается хищение безналичных денежных средств банка-эквайрера, который несет определенные расходы, связанные с оплатой представленного документа, поэтому на основании ст. 15 ГК РФ ему наносится ущерб. Документом, подтверждающим ущерб, будет платеж банка-эквайрера организации торговли (услуг) по операции с платежной картой.

Момент окончания преступления — зачисление денежных средств со счета банка-эквайрера на счет торгово-сервисного предприятия: «…преступление следует считать оконченным с момента зачисления этих средств… на счета других лиц, на которые похищенные средства поступили в результате преступных действий виновного»[65].

Еще одной сложной задачей доказывания использования поддельной банковской карты, в случае если сама карта отсутствует, является необходимость получения подтверждающих документов ее несанкционированного использования. Со стороны эмитента банковской карты таким документом обычно является заявление держателя карты. Банку-эквайреру такое заявление получить невозможно, поэтому необходимо использовать для доказательства другие документы, предусмотренные в рамках правил международных платежных систем. Такими документами могут являться чек безопасности (security check), отчет о мошенничестве (fraud report) или возврат платежа (chargeback).

1. Security Check, который формируется из «Запроса в банк-эмитент» и «Ответа из банка-эмитента» о легитимности указанной операции по банковской карте. В связи с тем что документооборот в международных платежных системах осуществляется на английском языке, то прилагаемые документы необходимо перевести на русский язык. Перевод может осуществить сотрудник эквайрера.

2. Fraud report (отчет о мошенничестве) платежных систем.

В случае необходимости, если этого требуют правоохранительные органы, данный отчет может заверить представитель платежной системы.

3) Chargeback — возврат платежа, отказ эмитента от платежа по операции.

Итак, в данной главе мы проанализировали действующее законодательство РФ на предмет его актуальности в контексте борьбы с преступлениями в сфере платежных карт и наглядно показали его несовершенство. Вместе с тем даже в таком правовом поле у следственных органов есть возможность заводить дела по карточным преступлениям и доводить их до суда. С российской правоприменительной практикой на примере конкретных уголовных дел читатель может ознакомиться в конце книги (см. Приложение 1).