ГРАЖДАНСКО-ПРАВОВАЯ ОТВЕТСТВЕННОСТЬ КРЕДИТНЫХ ОРГАНИЗАЦИЙ ЗА ХИЩЕНИЕ СРЕДСТВ КЛИЕНТОВ С ПРИМЕНЕНИЕМ МЕТОДОВ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ

АННОТАЦИЯ

В статье проводится глубокий анализ правовой природы гражданской ответственности кредитных организаций в случаях несанкционированных транзакций, совершенных под влиянием методов социальной инженерии. Рассматривается фундаментальная коллизия между принципом безотказности банковского обслуживания и необходимостью обеспечения финансовой безопасности клиента. Особое внимание уделено новеллам законодательства (Федеральный закон от 24.07.2023 № 369-ФЗ), трансформирующим механизм распределения рисков между банком и клиентом. Автор обосновывает необходимость перехода от презумпции вины клиента, совершившего волеизъявление под влиянием обмана, к концепции профессиональной ответственности банка за качество антифрод-мониторинга. В работе анализируется проблема идентификации воли плательщика и предлагается доктринальный подход к определению границ фидуциарных обязанностей банка при выявлении признаков «дропперских» операций.

Ключевые слова: Национальная платежная система, социальная инженерия, гражданско-правовая ответственность, Федеральный закон от 27.06.2011 № 161-ФЗ, антифрод-системы, волеизъявление, неосновательное обогащение, ФинЦЕРТ, период охлаждения

В современной цивилистике и правоприменительной практике вопрос распределения убытков, возникающих вследствие хищения денежных средств с банковских счетов граждан, является одним из наиболее острых и дискуссионных. Стремительная цифровизация банковского сектора, безусловно повысившая скорость и доступность финансовых услуг, породила диалектическое противоречие между удобством сервиса и его защищенностью. Ключевым вектором угроз в настоящее время стала социальная инженерия — совокупность психологических методик манипулирования сознанием, целью которых является побуждение жертвы к добровольному совершению юридически значимых действий, направленных на отчуждение имущества. Проблема приобретает критический характер ввиду того, что классические механизмы гражданско-правовой защиты оказываются малоэффективными: формально действия по переводу средств совершаются самим клиентом с использованием аналогов собственноручной подписи, что традиционно рассматривалось судами как основание для освобождения кредитной организации от ответственности. Однако подобный формально-догматический подход, доминировавший в российской юрисдикции на протяжении последнего десятилетия, вступает в конфликт с принципами добросовестности и справедливого распределения профессиональных рисков [1].

Центральной проблемой гражданско-правовой квалификации хищений методом социальной инженерии является дефект волеизъявления. С точки зрения гражданского права, распоряжение денежными средствами на счете является сделкой. Согласно статьям 153 и 154 Гражданского кодекса РФ, для действительности сделки необходима воля субъекта. При социальной инженерии автор сталкивается с парадоксом: волеизъявление (ввод кода подтверждения, использование электронной подписи) наличествует, однако внутренняя воля сформирована под влиянием обмана или заблуждения. Традиционная судебная практика, опираясь на положения ст. 854 ГК РФ и (в старой редакции) ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе»[2], исходила из того, что если клиент сам передал конфиденциальные данные (коды, пароли) третьим лицам или сам инициировал перевод, то банк, исполнивший распоряжение, действовал правомерно. Банк рассматривался исключительно как технологический посредник, обязанный исполнить поручение клиента «точно и в срок» (ст. 849 ГК РФ). В этой парадигме риск убытков полностью возлагался на «неосмотрительного» клиента, что фактически легитимизировало бездействие банковских систем безопасности в отношении явно подозрительных операций [2].

Однако правовая реальность претерпевает фундаментальные изменения, обусловленные осознанием того, что кредитная организация является не пассивным исполнителем, а профессиональным участником рынка, обладающим исключительными техническими возможностями для выявления и предотвращения мошенничества.

Принципиальным моментом в эволюции института ответственности стало принятие Федерального закона от 24.07.2023 № 369-ФЗ, вступающего в силу в июле 2024 года, который вносит существенные изменения в Федеральный закон от 27.06.2011 № 161-ФЗ. Данные новеллы знаменуют собой смену парадигмы с «презумпции вины клиента» на «презумпцию профессиональной осмотрительности банка». Законодатель вводит императивное требование для операторов по переводу денежных средств проверять наличие признаков осуществления перевода без добровольного согласия клиента до момента списания средств. Важнейшим критерием становится наличие информации о получателе средств в базе данных ФинЦЕРТ Банка России о случаях и попытках осуществления переводов без согласия клиента.

Научная новизна данной законодательной конструкции заключается в том, что она фактически устанавливает объективный критерий недобросовестности транзакции, не зависящий от субъективного восприятия клиента в момент совершения перевода. Если счет получателя находится в «черном списке» регулятора, банк обязан приостановить операцию на два дня («период охлаждения»), даже если клиент настаивает на переводе. Игнорирование этого императива влечет за собой прямую гражданско-правовую ответственность: банк обязан возместить сумму операции клиенту в полном объеме в течение 30 дней [3]. Это положение кардинально меняет предмет доказывания в спорах о хищении средств. Ранее истцу (клиенту) приходилось доказывать факт взлома или технического сбоя, что при социальной инженерии было невозможно. Теперь же юридически значимым фактом становится не столько действие клиента, сколько бездействие банка в части сверки реквизитов с базой данных ФинЦЕРТ. Таким образом, законодатель переносит бремя экономических рисков на сторону, способную предотвратить ущерб с наименьшими издержками (концепция cheapest cost avoider), то есть на кредитную организацию.

Тем не менее, остается пласт неразрешенных правовых проблем, требующих глубокого аналитического осмысления. Во-первых, это вопрос о границах ответственности банка при операциях, которые не подпадают под прямые совпадения с базой ФинЦЕРТ, но являются атипичными для профиля конкретного клиента (проблема настройки антифрод-систем). Согласно Положению Банка России № 683-П[4], кредитные организации обязаны обеспечивать уровень защиты информации, соответствующий ГОСТ Р 57580, что подразумевает наличие эффективной системы мониторинга инцидентов.

Возникает вопрос: является ли пропуск банком атипичной операции (например, снятие пенсионером всех накоплений и перевод их на множество карт разных физических лиц в ночное время) ненадлежащим исполнением обязательств по договору банковского счета. С точки зрения ст. 309 и 401 ГК РФ, ответственность предпринимателя (банка) наступает независимо от вины, если иное не предусмотрено законом или договором. Представляется, что договор банковского обслуживания по своей правовой природе включает имплицитную обязанность банка обеспечивать безопасность активов клиента [4]. Если антифрод-система банка настроена некорректно и пропускает очевидно мошенническую транзакцию, это следует квалифицировать как оказание услуги, не отвечающей требованиям безопасности (аналогия закона со ст. 7 и 14 Закона «О защите прав потребителей» [11]). Следовательно, ответственность банка должна наступать не только за игнорирование базы ФинЦЕРТ, но и за игнорирование поведенческих паттернов, явно свидетельствующих о компрометации воли клиента.

Еще одним критическим аспектом является проблема ответственности банка-получателя и феномен «дропперства». Традиционно гражданский иск предъявляется к банку плательщика. Однако в схемах социальной инженерии ключевую роль играет инфраструктура банка, обслуживающего счет мошенника (дропа). Зачастую такие счета открываются с нарушениями процедур идентификации или используются с аномальной активностью сразу после открытия. Долгое время банки-получатели оставались вне зоны гражданской ответственности. Однако формирующаяся практика и новеллы законодательства позволяют ставить вопрос о солидарной ответственности банков. Если банк-получатель допустил открытие счета на подставное лицо или не заблокировал счет при транзитном характере операций (в нарушение  Федерального закона от 07.08.2001 № 115-ФЗ), он фактически содействовал причинению вреда. В этом контексте необходимо расширительное толкование ст. 1080 ГК РФ о совместном причинении вреда. Бездействие банка-получателя в части комплаенс-контроля находится в прямой причинно-следственной связи с утратой средств жертвой [5].

Более того, законодатель вводит механизм отключения дистанционного банковского обслуживания (ДБО) для лиц, чьи счета используются для вывода похищенных средств. Это создает правовую базу для превентивной защиты. Однако здесь возникает коллизия с конституционным правом распоряжения имуществом и ст. 845 ГК РФ. Банки опасаются блокировать операции, опасаясь исков со стороны клиентов-получателей за необоснованное ограничение прав. Разрешение этой коллизии представляется в приоритете публичного интереса (борьба с преступностью) и защите слабой стороны (потерпевшего) над формальным правом на беспрепятственное распоряжение счетом, если есть обоснованные подозрения в его криминальном использовании. Банк должен действовать в рамках стандарта разумной осмотрительности. В случае судебного спора банк, заблокировавший операцию, должен быть освобожден от ответственности, если докажет, что действовал на основании критериев, установленных Банком России [6].

Анализ судебной практики последних лет, в том числе позиции Конституционного Суда РФ, демонстрирует постепенный отход от формализма. В частности, можно отметить тенденцию, когда суды признают кредитные договоры, заключенные под воздействием социальной инженерии, недействительными, если банк не провел надлежащую видеоидентификацию или выдал кредит в ночное время через несколько минут после заявки. Это свидетельствует о расширении доктрины «профессиональной ответственности»: банк, как сильная сторона договора, обязан распознать порок воли клиента. Если банк предоставляет технологии «мгновенного кредита», он несет повышенные риски, связанные с уязвимостью этой технологии для мошенников [7]. Нельзя перекладывать риски несовершенства собственных бизнес-процессов на потребителя.

Критически важным является вопрос о «согласии» клиента на операцию в контексте ч. 15 ст. 9 Федерального Закона от 27.06.2011 № 161-ФЗ (в прежних редакциях)[2]. Банки часто апеллируют к тому, что клиент ввел код из SMS, то есть «согласился». Однако с точки зрения теории права, согласие — это осознанное волевое действие. При социальной инженерии сознание клиента искажено. Необходимо законодательно или через разъяснения Пленума Верховного Суда РФ указать, что ввод аутентификационных данных под влиянием обмана не является надлежащим акцептом распоряжения на перевод, если банк объективно мог и должен был выявить признаки мошеннической активности. Техническая аутентификация не должна подменять собой юридическую авторизацию. Если банк видит, что клиент совершает операцию, противоречащую его экономическим интересам (например, переводит кредитные средства на «безопасный счет» физлица в другом регионе), банк обязан инициировать дополнительную верификацию голосом или через личное присутствие. Отсутствие такой процедуры есть дефект услуги [8, с.56-64].

Сложность представляет и взыскание средств с фактических получателей (дропперов) как неосновательного обогащения (глава 60 ГК РФ). Хотя суды удовлетворяют такие иски, реальное исполнение часто невозможно, так как деньги немедленно уходят по цепочке дальше. Именно поэтому фокус гражданско-правовой ответственности должен смещаться на инфраструктурные узлы — банки. Именно банк обладает ресурсом ликвидности для возмещения вреда. Введение обязательного возврата средств при игнорировании сигналов из базы ФинЦЕРТ, предусмотренное Федеральным Законом от 24.07.2023 № 369-ФЗ, создает экономический стимул для банков совершенствовать свои системы безопасности. Это превращает гражданскую ответственность из инструмента компенсации в инструмент регулирования рынка. Банкам становится выгоднее инвестировать в защиту, чем выплачивать компенсации [9, с.31-38].

В заключение следует отметить, что эффективный механизм гражданско-правовой ответственности кредитных организаций за хищения методами социальной инженерии должен базироваться на трех столпах. Первый — это безусловная ответственность банка за переводы на счета, скомпрометированные в единой системе обмена данными (ФинЦЕРТ). Второй — введение стандарта доказывания для банков, при котором они обязаны подтвердить не просто факт ввода кода клиентом, а факт проведения банком комплексного антифрод-анализа операции с учетом профиля клиента и устройства, с которого осуществляется доступ. Третий — развитие института приостановления операций («период охлаждения») как обязательного элемента процедуры акцепта для рисковых транзакций. Такой подход позволит сбалансировать диспропорцию возможностей между профессиональным участником рынка и потребителем, обеспечив реальную, а не декларативную защиту имущественных прав граждан в цифровую эпоху [10]. Только признание банка субъектом, ответственным за архитектуру безопасности платежей, позволит разорвать порочный круг безнаказанности кибермошенников и восстановить доверие к безналичным расчетам.

Список литературы:

1. Гражданский кодекс Российской Федерации (часть первая) : Федеральный закон от 30.11.1994 № 51-ФЗ // Собрание законодательства РФ. — 1994. — № 32. — Ст. 3301.
2. О национальной платежной системе : Федеральный закон от 27.06.2011 № 161-ФЗ // Собрание законодательства РФ. — 2011. — № 27. — Ст. 3872.
3. О внесении изменений в Федеральный закон «О национальной платежной системе» : Федеральный закон от 24.07.2023 № 369-ФЗ // Собрание законодательства РФ. — 2023. — № 31 (Часть III). — Ст. 5761.
4. Положение об установлении обязательных для кредитных организаций требований к обеспечению защиты информации : [утв. Банком России 17.04.2019 № 683-П : ред. от 18.02.2022] // Вестник Банка России. — 2019. — № 39.
5. ГОСТ Р 57580.1-2017. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер : [утв. и введен в действие Приказом Росстандарта от 08.08.2017 № 822-ст]. — Москва : Стандартинформ, 2017. — 35 с.
6. Определение Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 16.12.2022 № 5-КГ22-127-К2 // Бюллетень Верховного Суда РФ. — 2023. — № 7. — (Документ, закрепивший обязанность банка приостанавливать выдачу кредита при нетипичном поведении клиента).
7. Ефимова, Л. Г. Цифровые технологии в банковской сфере: проблемы гражданско-правового регулирования : монография / Л. Г. Ефимова. — Москва : Проспект, 2022. — 368 с. — ISBN 978-5-392-36263-1.
8. Груздев, В. В. Гражданско-правовое значение «социальной инженерии» в банковской сфере / В. В. Груздев // Хозяйство и право. — 2021. — № 4 (531). — С. 56–64.
9. Иванова, Е. В. Проблема распределения рисков убытков при совершении мошеннических операций с использованием методов социальной инженерии / Е. В. Иванова // Банковское право. — 2023. — № 2. — С. 31–38.
10. Обзор операций, совершенных без согласия клиентов финансовых организаций, за 2023 год [Электронный ресурс] // Банк России : [сайт]. — 2024.
11.  Закон «О защите прав потребителей» от 07.02.1992 N 2300-1 (ред. от 28.12.2025) /[Электронный ресурс] //https://www.consultant.ru/document/cons_doc_LAW_305/  (дата обращения 10.02.2026)
12. Федеральный закон "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" от 07.08.2001 № 115-ФЗ / [Электронный ресурс]  https://www.consultant.ru/document/cons_doc_LAW_32834/ (дата обращения 10.02.2026)