Утечка персональных данных из банка: как вести себя клиентам?

Информация об утечках персональных данных появляется в новостных выпусках всё чаще. Если буквально несколько лет назад каждый такой случай бурно обсуждался общественностью, то сегодня повышенного внимания он не получает - событие, скорее, рядовое, нежели «выдающееся». Чаще всего утечки происходят из торговых сетей и заведений общепита, на втором месте «рейтинга» - транспортные и промышленные компании. Банки заботятся о сохранности информации более тщательно, однако это не значит, что они застрахованы от такого происшествия. Что делать, если утечка данных случила в кредитной организации, клиентом которой Вы являетесь? Давайте разбираться!

Для начала развеем популярный миф о том, что банки хранят сведения всех клиентов в «одной сводной таблице». Это не так: данные разбиваются на тысячи файлов, и уж точно не находятся в одной папке. Получается, если утечка всё-таки произойдет, у злоумышленников вряд ли появится доступ к счетам клиентов банка. Особую опасность представляет масштабная утечка - ситуация, когда в открытый доступ попадают целые связки сведений: чем больше информации утекает, тем выше вероятность того, что она будет полезна преступникам.

Утечка каких данных может случиться?

Гипотетически, любых: ФИО клиента, его домашнего адреса, контактного телефона, паспортных данных, сведений о выполненных операциях, данных карт и банковских счетов и т.п.

Как мошенники используют персональные данные людей?

Они находят, а затем объединяют сведения о клиентах банков из разных источников. Благодаря такому подходу составляется портрет гражданина: аферисты узнают, какими сервисами и по какому адресу пользовался человек, какие товары заказывал, находят его аккаунты в социальных сетях и т.д.

Тем не менее даже столь большой объём информации не позволяет преступникам так просто украсть деньги со счёта держателя карты - без его помощи в этом никак не обойтись. Банками создаются довольно сложные программные защиты: технически взломать алгоритмы крайне трудно - для этого требуется дорогостоящее оборудование. 

Мы неоднократно отмечали, что большая часть хищений накоплений с банковских происходит с применением методов социальной инженерии. Преступники выдают себя за сотрудников службы безопасности банка или правоохранительных органов, называют ФИО потенциальной жертвы, упоминают иные её персональные сведения и, ссылаясь на самые разные причины и следствия, убеждают продиктовать информацию для доступа к счёту (код из СМС, CVC, логины и пароли для входа в личный кабинет на сайте банка и т.п.). В некоторых случаях мошенники уговаривают россиян устанавливать на свои гаджеты программы удалённого доступа и  формировать QR-коды для снятия наличных в банкомате.

Часто аферисты отправляют гражданам СМС-сообщения. К примеру, сначала отсылают фейковые уведомления о блокировке карты или списании средств (с указанием номера карты, инициалов ее владельца и другой персональной информации), а после этого связываются с растерянным, встревоженным получателем сообщения и для быстрого решения проблемы (отмены операции, разблокировки и т.п.) требуют кликнуть по ссылке. По классике жанра ссылка оказывается фишинговой: переходя по ней, человек даёт доступ к своим платежным данным и теряет деньги.

Возвращает ли банки деньги, если они исчезли после утечки данных?

Если утечка данных подтверждена (установлена, доказана), то рассчитывать на возвращение накоплений стоит. Важной деталью в этом случае будет являться отсутствие согласия клиента на операцию по списанию средств. Отсутствие согласия - это:

1. отсутствие совершения перевода;
2. отсутствие подтверждение платежа;
3. отсутствие компрометации гражданином данных своей карты.

В случае несанкционированного списания денег со счета следует действовать в соответствии с нормами закона, предполагающими возврат денег в ситуациях, если банк:

1. не прислал уведомление о списании средств;
2. не обеспечил должный уровень безопасности транзакций и счетов (к примеру, если случился технический сбой системы);
3. владел информацией о том, что сведения похищены, однако все равно осуществил платёж;
4. не обратил должного внимания на признаки того, что операции выполняются без ведома клиента (к примеру, одновременно проводятся несколько платежей, произведены нетипичные для клиента операции, выполнены операции на счет лицу, включенному в базу данных Банка России о попытках и случаях осуществления перевода денежных средств без согласия клиента) и не приостановил её выполнение;
5. из-за технического или человеческого факторы допустил ошибку, приведшую к потере финансов клиента.

Напоминаем: если произошло списание денег, в котором клиент фактически участия не принимал (ни с кем не делился паролями,  кодами, данными карты и т.п.), то в течение 24 часов после выполнения такого перевода необходимо сообщить об этом в банк, выполнить блокировку карты и подать заявление на возврат средств.

Заявление будет рассмотрено кредитной организацией: сотрудники установят причины произошедшего и, если подтвердится вина банка (к примеру, будет признана утечка информации), сумма вернётся владельцу счета. Если окажется, что в хищении виноват сам держатель карты, компенсации не будет.

Нужно ли перевыпускать карту в случае утечки данных?

В ситуациях, когда допущена утечка сведений не только о личности клиента, но и о его счетах, банк сам предлагает перевыпустить пластик. Если таких уведомлений гражданин не получал, он может заказать перевыпуск по собственной инициативе. Номер карты, срок действия, CVC-код поменяются, однако счёт останется прежним. Кредитная организация вправе потребовать плату за досрочный перевыпуск платёжного инструмента.