Суд взыскал 470 млн рублей с процессинговой компании UCS

Он счел, что мошенники похитили деньги у банка «Кузнецкий» потому, что UCS нарушила условия договора
Вряд ли деньги «Кузнецкого» снимали вручную – для этого пришлось бы нанять не одного дропа/ М. Стулов/ Ведомости

Арбитражный суд Москвы взыскал с процессинговой компании UCS 470 млн руб., посчитав, что по ее вине мошенники похитили у банка «Кузнецкий» эти средства, следует из материалов картотеки арбитражных дел.

В августе 2015 г. мошенники, используя платежные карты MasterCard, выпущенные банком «Кузнецкий», сняли из банкоматов других банков 470 млн руб. Мошенники использовали платежную систему ОРС, в которую тогда входило более 200 банков и которая позволяла снимать наличные по картам международных платежных систем по более низким ставкам. UCS же является операционным и платежным клиринговым центром ОРС.

Это типичный случай мошеннической атаки «отмена транзакции», рассказывает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. По его словам, схема атаки очень проста: мошенник, используя карту банка-эмитента, снимает наличные в банкомате − эти деньги принадлежат банку, обслуживающему банкомат (эквайеру). Сразу после этого, продолжает Кузнецов, сообщник мошенника направляет в платежную систему требование об отмене операции. «Из-за отмены операции сумма на карточном счете не изменяется, так что мошенники могут повторять эту двухходовку снова и снова, пока не надоест», – говорит он. При этом у эмитента возникнет долг перед эквайером на сумму, равную сумме снятой наличности.

Суд указал, что транзакции в платежной системе ОРС осуществляются в соответствии с правилами MasterCard, а согласно им право на отмену операции в режиме реального времени имеет только банк-эквайер (т. е. владелец банкомата), а банк-эмитент (в нашем случае – «Кузнецкий») мог отменить операцию только по истечении семи календарных дней, но ответчик UCS, несмотря на это, провел операцию отмены от имени «Кузнецкого». Суд также указывает, что ОРС, в которую входил «Кузнецкий», направила незадолго до атаки на него уведомление UCS, что расходный лимит для банка составляет 3,4 млн руб. (та сумма, которой банк был готов рискнуть в случае массового проведения операций).

Комиссия для снятия наличных

20-40% дохода мошенников получают дропы – лица, нанятые для снятия наличных в банкоматах, следует из презентации замначальника Главного управления безопасности и защиты информации ЦБ Артема Сычева

Когда мошенники сняли первую сотню тысяч рублей, остаток, имеющийся на корсчете эмитента, уменьшился на эту сумму, а после отмены операции восстановился, хотя у эмитента возникла фактическая задолженность перед эквайером на сотню тысяч, говорит эксперт по информационной безопасности. С каждой следующей мошеннической операцией остаток на корреспондентском счете то уменьшался, то восстанавливался, объясняет он. С точки зрения UCS то же самое происходило с расходным лимитом, в то время как на самом деле задолженность эмитента постоянно росла и могла расти неограниченно, считает он. Ответчик «не обеспечил должного контроля за расходными лимитами», резюмирует суд.

Обычно мошенники делают по 5−10 подходов к банкомату, каждый раз снимая максимально возможную сумму (200 000 руб., 40 купюр номиналом 5000 руб., − больше просто не помещается в диспенсер банкомата), рассказывает Кузнецов. По его мнению, особенность данного случая в том, что за сутки было сделано более 3000 таких операций, а общая сумма достигла почти 470 млн руб. Судя по сумме и количеству операций, продолжает он, мошенникам пришлось за короткий срок опустошить более 200 банкоматов, принадлежащих разным банкам. Это тоже типичный способ вывода средств, когда к мошеннической операции привлекается большое количество рядовых исполнителей (так называемые дропы), указывает он. И добавляет, что вручную выполнить такое количество операций отмены платежа невозможно даже физически, так что можно уверенно утверждать, что действовал не сотрудник, а хакеры, которые предварительно получили доступ к инфраструктуре банка.

«По нашим сведениям, по возбужденным уголовным делам проводятся следственные действия, которые еще не завершены», – говорит представитель НКО «ОРС». Собеседник «Ведомостей», близкий к одной из сторон, указывает, что первые задержания по этому делу прошли еще осенью. Комментарии МВД в понедельник вечером получить не удалось.

С решением суда ОРС полностью согласна, говорит ее представитель: «Поскольку именно неправомерные действия UCS привели к возникновению такого значительного ущерба». В случае обжалования решения суда первой инстанции ОРС готова и далее защищать и аргументировать в суде свою позицию, предупредил он.

Из материалов дела следует, что ОРС сразу после инцидента заплатила банкам, из чьих банкоматов украли деньги, 470 млн руб., а иск к UCS компания подала 2 ноября 2015 г. По словам человека, близкого к одной из сторон, «Кузнецкий» не мог компенсировать банкам ущерб, поскольку у него не было таких средств (его активы, по данным «Интерфакс-ЦЭА», на конец I квартала составили 4,3 млрд руб., банк занимает 351-е место по этому показателю), для ОРС это был больше вопрос репутации.

Представитель UCS на запрос не ответил.

Представитель «Кузнецкого» указал «Ведомостям», что с решением суда банк согласен: банк обратился в суд в связи с тем, что UCS ненадлежащим ненадлежащим образом исполнила свои обязательства: «Банк имел статус третьего лица, при этом материальный ущерб банку причинен не был. Факт использования инфраструктуры банка отсутствовал, что подтверждается выводами экспертного исследования, проведенного правоохранительными органами, а также экспертным заключением, представленным банком в Арбитражный суд г. Москвы».

Согласно принципам уголовного судопроизводства компенсировать причиненный вред должен преступник, говорит Кузнецов. Если хакеров не поймают, то компенсировать вред некому, если их поймают, то таких денег у них все равно уже нет, рассуждает он. «Поэтому ОРС, руководствуясь желанием компенсировать полученный ущерб, поступила именно так, как я советую поступать всем своим знакомым: представила дело как нарушение правил проведения платежных операций компанией UCS и перевела инцидент в плоскость гражданского судопроизводства, где ущерб возмещает тот, кто по итогам судебных разбирательств оказался «сильнее неправ», – заключает он.