Стремясь укрепить доверие людей к банковским картам, международные платежные системы в свое время стали предоставлять им гарантии возмещения украденных не по вине держателя карты денег. Много позже, в 2014 г., в России это правило было закреплено законом.
Несмотря на это, банки и страховые компании продолжают предлагать полисы страхования карточных денег, а люди – их покупать: в среднем это делает каждый десятый клиент Сбербанка, а в некоторых банках, например в Московском кредитном банке, такую страховку приобретает каждый третий клиент.
Давайте разбираться, нужно ли страховать банковские карты.
Принцип «без ответственности»
Большинство карточных страховых продуктов во многом дублируют обязательства банков перед владельцем карты за сохранность денежных средств на счете, утверждает гендиректор страхового брокера Mains Group Сергей Худяков. По сути, держатель карты платит значительную часть страхового взноса за то, что и так гарантировано по закону.
Если держатель карты соблюдал все правила безопасности, определенные в договоре с банком, он имеет право на компенсацию украденных средств, подтверждает старший директор департамента управления рисками Visa в России Эвелина Нечипоренко. У международных платежных систем действует принцип Zero liability, или нулевой ответственности, по которому держатель карты не отвечает за несанкционированную операцию, совершенную не по его вине, объясняет она. Правила платежных систем описывают только общие подходы, а далее в каждой стране этот принцип работает в соответствии с местным законодательством, уточняет Нечипоренко.
Банк «обязан возместить клиенту сумму операции, совершенной без согласия клиента», гласит закон «О национальной платежной системе». Но есть два ограничения. Во-первых, держатель карты не должен нарушать правила ее использования, установленные в договоре. Во-вторых, он должен сообщить о незаконности операции на следующий день после того, как банк уведомил его о списании средств. Получить больше времени на подачу жалобы можно, только если банк не уведомил клиента об операции.
Данных о том, как банки компенсируют клиентам украденные с карт деньги, пока нет. ЦБ начал собирать эту статистику начиная с III квартала 2018 г. и обещает поделиться данными позже.
Выплаты в соответствии с законом есть, говорит сотрудник одной из платежных систем. В то же время банки стараются их минимизировать, продолжает собеседник «Ведомостей»: например, они могут указать в договоре, что уведомить банк о незаконной операции (на что дается день) можно лишь в офисе банка. Для тех, кто находится за границей, это условие почти невыполнимо. Другое распространенное требование, которое не всегда легко выполнить, – предоставить документы из правоохранительных органов, рассказывает сотрудник платежной системы. По его словам, премиальному клиенту банки охотнее возместят ущерб – лишь бы его не потерять.
Если клиент обратился за компенсацией в банк-эмитент, тот проводит свое расследование и практически всегда готов возместить утраченные средства, если вина лежит не на нем, поскольку может позже взыскать средства с виновного. Например, мошенническая операция может произойти по вине банка, обслуживающего торговую точку (эквайера), или магазина, объясняет сотрудник платежной системы.
Сами банки размеры выплат клиентам не раскрывают. «Ренессанс кредит» в среднем удовлетворяет 70% требований компенсировать украденное, рассказывает начальник его управления расследования мошенничества Сергей Афанасьев. «Тинькофф банк» удовлетворяет большинство из таких обращений, уверяет его представитель.
Когда закон бессилен
По словам Афанасьева, самые распространенные причины отказа компенсировать украденные деньги связаны с нарушением правил использования карты самими клиентами: например, с записью пин-кода на карточку, а паролей от мобильного- и интернет-банка – в потерянный смартфон. Клиентам приходится отказывать и в том случае, когда они становятся жертвами социальной инженерии, т. е., поддавшись обману мошенников, сообщают им секретные данные – реквизиты карты, одноразовый sms- и пин-код, перечисляет Афанасьев.
Как правило, мошенники выуживают эти сведения, представляясь сотрудниками банка, причем зачастую человек им звонит сам, получив sms о транзакции, которую он не совершал. Злоумышленники могут использовать поддельные китайские сайты с дешевыми товарами, поддельные сервисы переводов с карты на карту, где необходимо вводить все реквизиты карты якобы для совершения операции, также используются ресурсы типа «Авито», на которых человека убеждают передать данные карты, рассказывает директор по мониторингу электронного бизнеса Альфа-банка Алексей Голенищев.
Первый замначальника департамента информационной безопасности ЦБ Артем Сычев называл социальную инженерию «одной из самых больших проблем информбезопасности». Такого же мнения придерживаются практически все опрошенные «Ведомостями» банкиры.
Выходит, что закон не защищает человека от кражи денег с карты одним из самых популярных методов – с помощью социальной инженерии, поскольку в этом случае считается, что ответственность лежит на самом человеке, разгласившем конфиденциальные сведения.
Что покрывает полис
Программы защиты денег на картах различных страховых компаний, которые предлагают клиентам многие банки, также защищают далеко не от всех бед.
Самые распространенные случаи, которые покрывают полисы почти всех страховщиков, – это несанкционированное списание денег с утерянной или похищенной карты, списание денег с карты в результате фишинга или скимминга, ограбление у банкомата с кражей только что снятых наличных, а также передача карты и пин-кода злоумышленникам под угрозой насилия.
Скимминг большинство страховых понимают как копирование данных карты, в том числе с использованием специального устройства на банкомате – скиммера. Как правило, после мошенники изготавливают дубликат карты и снимают с нее средства.
А вот фишинг страховщики трактуют по-разному: часть понимает под ним получение конфиденциальных данных о карте обманным путем в ходе телефонного разговора, обмена сообщениями в интернете, путем заражения системы доменных имен (программа «Альфастрахования» для Райффайзенбанка и «ВТБ страхования»). Другие определяют фишинг как вид интернет-мошенничества с целью получения идентификационных данных пользователей через массовые рассылки электронных писем от имени популярных брендов («Сбербанк страхование» и ВСК) или не дают никакого определения вовсе.
При этом каждая страховая компания требует соблюдения стандартных правил использования платежных карт: не хранить пин-код вместе с картой, прикрывать рукой клавиатуру при наборе пин-кода, не сообщать никому реквизиты карты и секретные коды, присланные в sms для подтверждения онлайн-операций. «ВТБ страхование» добавляет в список запретов использование нелицензионного программного обеспечения, говорит замдиректора Сергей Конкин.
Основная доля мошеннических операций с картами, по данным ЦБ, приходится на транзакции в онлайне, для которых не требуется предъявления физической карты, а достаточно ввести ее реквизиты. Как правило, злоумышленники получают их с помощью той же социальной инженерии (включая фишинг). Но большинство страховщиков считает, что жертва социальной инженерии нарушила правила использования карты, и отказывают в выплате компенсации. Например, в программе «Альфастрахования» для Альфа-банка особо подчеркивается, что держатель карты не должен сообщать сведения о карте и sms-пароли для подтверждения операций в том числе сотрудникам банка.
Но представитель Райффайзенбанка утверждает, что разглашение секретных данных теми, кто был введен в заблуждение, считается страховым случаем в его программе (впрочем, в условиях страхования также есть пункт о том, что держатель карты должен соблюдать правила ее использования). То же говорят представители «Сбербанк страхования» и «Тинькофф страхования», однако подчеркивают, что при этом нужно доказать факт мошеннических действий со стороны третьих лиц. Одновременно в программе «Тинькофф страхования» особо оговорено, что компания не будет компенсировать убытки из-за несанкционированного списания средств, если был введен секретный код для подтверждения операции.
Если мошенники получили доступ к самой карте, например украли ее, то рассчитывать на компенсацию можно только в том случае, если вместе с картой не был утерян пин-код. Ряд страховщиков отдельно покрывают риск передачи карты вместе с пин-кодом под угрозой насилия, однако могут ограничивать время, в течение которого должны быть сняты деньги с карты (например, два часа у «ВТБ страхования»), а также вводить лимиты выплат («РСХБ страхование», «Альфастрахование»).
Получается, по сравнению с возмещением по закону страховка покрывает чуть больше причин потери денег – в частности, когда злоумышленники насильно отобрали карту вместе с пин-кодом или наличные, снятые с застрахованной карты.
Условия страхования
Такое страхование карт стоит относительно недорого: есть программы со страховым взносом 300 руб. в год и суммой возмещения 15 000 руб. (предлагает банк «Восточный»), один из самых дорогих полисов (от Райффайзенбанка) обойдется в 6900 руб., но и страховое покрытие в разы больше – 750 000 руб.
При этом довольно часто страховщики ставят лимиты на выплаты по определенным рискам. Например, у «Альфастрахования» для Альфа-банка лимит по риску кражи снятых в банкомате наличных составляет 40–60% страховой суммы, а если деньги были сняты в период с 23.00 до 07.00, то страховщик готов выплатить не более 10 000 руб. У «РСХБ страхования» лимиты выплат (на уровне 40–60% от страховой суммы) установлены для всех рисков, кроме утраты карты.
Если украли только что снятые в банкомате деньги, то другой важный момент помимо лимитов – время. Например, «Сбербанк страхование» и «ВТБ страхование» готовы компенсировать похищенную наличность, только если ее украли не позднее двух часов после получения. Больше всего времени дает Societe General Insurance – 72 часа.
Большинство компаний предлагают страховку сроком на год без ограничения количества страховых случаев. Но если таковой произошел, то, как правило, сумма возмещения уменьшается на размер ранее произведенных выплат.
В основном банки продают страховки от хищения средств с карт, выпущенных ими самими, реже можно застраховать карты любых российских банков. Страховка покрывает в основном сумму похищенных средств и затраты на перевыпуск карты, на восстановление документов и ключей. Выгодоприобретателем выступает держатель карты или его представитель. Большинство страховщиков готовы компенсировать потери, произошедшие в течение не более 48 часов до момента блокировки карты.
Кому не получить страховку
Получить страховую выплату сложнее, чем компенсацию от банка, предупреждают эксперты.
Если страховой случай произошел, то стоит поспешить сообщить об этом не только банку, но и правоохранительным органам и страховой компании. Большинство отводят на это три рабочих дня, причем сделать это нужно в письменной форме, послабление делается только для тех, кто за границей (они могут сделать это по телефону, а по возвращении на родину у них будут те же самые три дня). Более долгие сроки – редкость: программа от Райффайзенбанка дает 90 рабочих дней на обращение в страховую, зато ставит другие дедлайны – отдать заявление в правоохранительные органы нужно не позднее 48 часов после наступления страхового случая, а также «не позднее 20-го числа следующего месяца» подать заявление в банк о несогласии с проведенной операцией. А «Сбербанк страхование» и вовсе оставляет за собой право отказать в выплате, если держатель карты не уведомил банк о краже в течение 12 часов (даже законом на это отводится больше времени – сутки), исключение – только если страхователь не мог этого сделать по состоянию здоровья. Есть и экзотические условия: у «РСХБ страхования» мошенническое списание денег с использованием украденной или скопированной карты считается страховым случаем, лишь если банк уведомил держателя об операции, а тот не смог связаться с банком в течение суток и предупредить о мошенничестве.
Чтобы получить выплаты, придется собрать большой пакет документов, все страховщики требуют предоставить копии постановлений из правоохранительных органов о возбуждении уголовных дел или об отказе в этом. Возбуждение дела по хищениям с банковских карт может занять несколько месяцев, предупреждает адвокат бюро «Слово и дело» Марат Хужин, получить постановление об отказе также непросто, указывает он. Для правоохранителей хищения с банковских карт неочевидны: закон в полной мере не определяет, какие доказательства достаточны, чтобы считать преступление совершенным, объясняет он.
Также все компании сразу предупреждают, что не будут выплачивать страховку, если убытки возместил кто-то еще. В случае мошеннического списания денег с карты есть вероятность, что убытки покроет эмитент, поэтому страховщики сначала требуют опротестовать транзакцию в банке, выпустившем карту, и дождаться итогов расследования. То есть держатель карты должен попытаться сначала компенсировать потери по праву, установленному законом. В страховую надо будет предоставить итог расследования, проведенного банком.
Как правило, страховые отказывают в выплатах также по тем же основаниям, что и банки-эмитенты, т. е. когда клиент слишком поздно заблокировал карту и не успел вовремя уведомить банк, а также если нарушил правила использования карты, сообщив конфиденциальную информацию. «Иногда мы делаем исключение для пенсионеров, когда страхователь по заблуждению дал информацию о карте либо доступ в кабинет», – говорит директор департамента страхования имущества физических лиц «Альфастрахования» Ирина Карнаева. По ее словам, компания отказывает в выплате в 30% случаев.
Одна из основных причин отказа – это недоказанность противоправных действий третьих лиц, указывает руководитель управления разработки продуктов «Сбербанк страхования» Елена Машицкая.
Получить компенсацию от страховой компании не всегда просто из-за жестких условий, признает Худяков из Mains Group. В договорах прописано большое количество исключений, оговорок и приведены сжатые сроки, в которые надо успеть выполнить все требования страховщика, продолжает он. И даже когда нет проблем с документами, непосредственное получение страхового возмещения занимает длительное время. Из-за этого Худяков сравнивает процедуру возмещения средств с целым квестом, который включает и посещение правоохранительных органов. Такой вид страхования – для тех, кто готов потратить немало времени для получения возмещения, указывает топ-менеджер банка из первой тридцатки.
Выгодный продукт
Сами страховщики не раскрывают статистику сборов и выплат по этому продукту. По словам менеджера по продукту ВСК Александра Спорыхина, его компания заключила в прошлом году 16 000 договоров (работает с четырьмя банками-партнерами), а за все время средний размер премии составил 530 руб., средняя сумма выплат – 67 000 руб. По экспертным оценкам, у продукта страхования карт «очень неплохая убыточность» (соотношение суммы оплаченных убытков к сборам страховых премий. – «Ведомости») – максимум 15%, знает руководитель отдела страхования финансовых рисков АИГ Владимир Кремер. Несмотря на то что банки в ряде случаев обязаны компенсировать украденные средства, продолжает он, поле для страхования денег на карте все равно есть. Например, если человека ограбили сразу после того, как он снял наличные в банкомате, сняли деньги с украденной карты и т. д.