Потеря 6,2 млн грн — почему блогерша обвиняет Monobank

Украинская блогер Ксюша Манекен, которая потеряла средства в размере 6,2 млн грн с ФЛП-счета в АО "Универсал Банк" (Monobank) из-за мошенников, планирует отстаивать свои интересы в досудебном порядке в Национальном банке, а при необходимости — в суде. По ее убеждению, банк нарушил сразу четыре законодательные нормы.

Об этом она рассказала на своей странице в Instagram.

Нормы закона, которые нарушил Monobank, допустив кражу

Блогер напомнила, что ситуация произошла 14 октября. С ее ФЛП-счета в АО "Универсал Банк" (Monobank) мошенники списали все средства в размере 6,2 млн грн. Они получили доступ к аккаунту после всего одного push-сообщения — без смс, без Face ID и без кода. В течение часа со счета было осуществлено 19 переводов на крупные суммы — от 200 до 700 тыс. грн каждый.

При этом сама пострадавшая не передавала никаких данных, не сообщала паролей или кодов, однако вместо решения ситуации со стороны банка получила обвинения в свою сторону.

Она подчеркнула, что считает виновным в этой ситуации именно Monobank, который не придерживался ряда требований. Согласно нормам действующего законодательства, ответственность лежит на банке из-за нарушения базовых стандартов безопасности. А именно:

1. Нарушение Постановления НБУ №58 от 28.05.2021 года. Документ требует усиленной аутентификации клиента (Strong Customer Authentication) — минимум два независимых фактора подтверждения (в частности, это может быть пароль и смс или Face ID + код). В данном случае был запрошен только один push.
2. Нарушение закона Украины №361-IX ("О предотвращении и противодействии легализации доходов, полученных преступным путем"). Согласно ему, банк обязан выявлять и останавливать подозрительные операции, особенно когда они превышают 400 тыс. грн или имеют признаки аномальной активности. Во время мошеннического списания было осуществлено 19 переводов за один час, поэтому банк должен был остановить операции для проверки, однако этого не сделал.
3. Нарушение постановления Нацбанка №65 от 19.05.2020 года, регламентирующего порядок финмониторинга. Согласно ему, банк должен был проверить реакцию клиента на нетипичную активность и происхождение операций. Тогда как в этот раз система мониторинга не сработала, чем были нарушены требования AML-контроля (Anti-Money Loundering).
4. Игнорирование внутренних стандартов риск-менеджмента. Все банки имеют алгоритмы, которые анализируют поведение клиента. Поэтому, когда ФЛП, который обычно проводит несколько операций в месяц, вдруг начал осуществлять десятки переводов подряд — система должна была бы требовать дополнительного подтверждения, однако этого сделано не было.

Таким образом, в этой истории было нарушено сразу несколько нормативно-правовых актов: постановление НБУ №58 — защита клиента, закон №361-IX — мониторинг подозрительных операций, постановление №65 — порядок действий банка во время рисковых транзакций, внутренние политики риск-менеджмента по контролю нетипичной активности.

Блогер отметила, что банк не просто не предотвратил кражу, а нарушил прямые обязанности, закрепленные законом. В связи с этим планирует отстаивать свои интересы в НБУ досудебно и в суде.

"И призываю каждого, кто окажется в подобной ситуации, делать то же самое. Общество привыкло оправдывать и обвинять жертв. Система часто защищает учреждение, а не человека. Потому что проще сказать "вы нажали не туда", чем признать собственную халатность. Но пока мы не научимся требовать справедливости, законности и ответственности, банки и дальше будут перекладывать вину на клиентов. Знать свои права — единственная форма самозащиты в системе, где ошибка банка — это "знаю этот кейс, ни один банк бы не справился, сочувствую, держитесь", а ошибка клиента — миллионы потерь", — отметила Ксюша Манекен.

Что заявляли в Monobank после кражи денег

14 октября соучредитель Monobank Олег Гороховский пообещал приложить максимум усилий для возврата денег с получателей. Он отметил, что клиентка в телеграме через фейковую учетную запись передала доступ к своему счету ФЛП и по совету злоумышленников удалила приложение Моно.

Он заявил, что система анализа не считала платежи подозрительными, поскольку они являются типичными для предпринимателей, которые ведут активный бизнес.

"Поскольку приложение было удалено, клиент не получал уведомления о списании средств со счета... В этом кейсе с Оксаной мы прилагаем максимум усилий, чтобы вернуть деньги с получателей. И окажем максимальную помощь правоохранительным органам в поиске преступников. Мы спасаем ежемесячно десятки миллионов гривен наших клиентов, даже когда клиенты ведут себя опрометчиво, но, к сожалению, спасти всех особенно в тех случаях, когда клиент делает все сам под влиянием социальной инженерии мы пока не можем", — добавил Гороховский.

Ранее мы писали, что клиенты ПриватБанка могут сами заботиться о защите банковских карт. А именно — самостоятельно блокировать карты без помощи оператора.

Также сообщали о том, что на днях полиция разоблачила группу мошенников, которые обворовывали интернет-магазины. В результате таких действий предприятий получило убытки на сумму более 700 тыс. грн.