Цифровое мошенничество давно перестало быть «банальным обманом». Оно стало инфраструктурой, а в отдельных сегментах – полноценным подразделением теневой экономики, где есть специализация, скрипты, техподдержка, обучение и, что не менее важно, – технологическая дисциплина. Показатели статистики демонстрируют масштаб явления и объясняют, почему в спорах между гражданами и кредитными организациями о списании и переводе денежных средств, совершенных под влиянием обмана через дистанционные сервисы, суды все чаще вынуждены выбирать логику рассмотрения дела: либо сводить анализ к оценке «осмотрительности» клиента и формальной корректности авторизации, либо исходить из того, что в цифровой среде ключевыми барьерами защиты становятся банк как профессиональный участник рынка и его цифровая защита – система мониторинга и управления рисками, признаки подозрительных операций, своевременные блокировки и приостановления, способность распознавать нетипичные сценарии до того, как перевод становится фактически необратимым.
По статистике, в 2024 г. зарегистрировано 765,4 тыс. киберпреступлений, а их доля в общей преступности достигла порядка 40%. Одновременно сообщалось о росте ущерба от дистанционных мошенничеств – до 200 млрд руб.
Еще один показатель, который косвенно иллюстрирует масштаб проблемы, приведен в обзоре Банка России1. Так, объем операций, совершенных без добровольного согласия клиентов, в 2024 г. составил 13 508,04 млрд руб.; благодаря эффективной работе антифрод-процедур кредитных организаций объем предотвращенных мошеннических операций составил 72,17 млн руб. Эти показатели подтверждают, что эффективная антифрод-реакция банков позволяет «сломать» мошеннические сценарии до списания денежных средств со счетов граждан. Вопрос в том, почему в одних случаях она работает, а в других – нет.
Приведу пример из собственной практики.
Спор гражданина с банком возник из бытового сценария, знакомого, к сожалению, многим потерпевшим. Гражданину поступил звонок. Звонившие представились сотрудниками оператора связи и убедили, что необходимо «продлить» или «активировать» его сим-карту. Дальше предположительно последовал набор действий, включая переход по сторонней ссылке. На техническом уровне итог оказался типовым: злоумышленники получили удаленный доступ к телефону абонента. В качестве «проверки корректности связи» они предложили зайти в банковские приложения и убедиться, что «все открывается и работает». Пока внимание абонента удерживалось разговором и псевдоинструкциями, в одном из банков были совершены переводы денежных средств. В материалах дела зафиксировано, что в этот день со счета гражданина произошло неправомерное списание крупной суммы. По данному факту возбуждено уголовное дело, гражданин признан потерпевшим.
Особенность истории заключалась в сравнении поведения двух банков при одних и тех же вводных. Суть в том, что злоумышленникам не удалось провести операции в другом банковском приложении – банк незамедлительно заблокировал указанные действия. Это обстоятельство мы использовали не как попытку навязать ответчику чужой стандарт безопасности, а как практическую иллюстрацию: одни и те же внешние вводные могут восприниматься банками по-разному, поэтому спор нельзя сводить к утверждению о том, что «клиент сам допустил случившееся».
При подготовке к процессу мы детально разобрали, почему операции конкретного дня выглядели подозрительно по признакам, закрепленным регулятором2. Если тезисно, то в течение часа было собрано «комбо повышенной подозрительности»: в результате активности злоумышленников средства с вклада клиента переведены на текущий счет, затем с текущего счета отправлены трем получателям из разных регионов и с разными параметрами, не связанными с обычной финансовой активностью клиента. При этом параллельно в банк направлялись заявки на выдачу кредитов, которые тот, кстати, не одобрил. Особого внимания заслуживал поведенческий профиль клиента, который мы составили и представили суду: за четыре года клиент совершил всего 30 переводов, две трети из которых носили «повторяющийся» характер – совершены в пользу родственников, при этом максимальная сумма перевода в 10 с лишним раз меньше одного из переводов, совершенного злоумышленниками. Даже без доступа к внутренним алгоритмам банка такая цепочка выглядит нетипичной: резкий вывод средств с накопительного счета и их разовый перевод нескольким получателям с одновременными запросами на выдачу кредитов.
Примечательно, что в другом банковском приложении попытки переводов были заблокированы сразу, хотя по своим параметрам они на первый взгляд не выглядели «аномальными»: этим банком клиент пользовался регулярно, а суммы и характер предполагаемых операций укладывались в его обычную финансовую активность и потому формально не должны были автоматически «подсвечиваться» как подозрительные.
В период судебного разбирательства, обсуждая ситуацию с техническими специалистами, я для себя сформулировал гипотезу (подчеркиваю – именно гипотезу): приложение указанного банка могло идентифицировать факт входа в мобильный банк при активном сеансе удаленного доступа к устройству и по этому признаку запускать блокировку. Если это так, становится наглядно, что защищенность клиента в подобных сценариях зависит не только от «правильности» его действий, но и от того, какие цифровые инструменты контроля и распознавания риска внедрены у конкретного банка.
Вернемся в правовое русло. В данной категории споров банки используют типичную линию – вместо обсуждения того, почему система «риск-мониторинга» не отработала очевидно нетипичную операцию, банк зачастую пытается направить внимание суда в плоскость формальной авторизации: вход выполнен с устройства клиента, подтверждение прошло корректно (пин-код, пароли, одноразовые коды) – значит, распоряжение санкционировано и подлежало исполнению. По сути, это представляет собой попытку отождествления аутентификации с доказательством волеизъявления клиента. В рассматриваемом деле эти доводы тоже звучали и были поддержаны судами первой и апелляционной инстанций, сместив акцент на оценку действий истца и на правила дистанционного обслуживания клиентов банка.
Вместе с тем специальное регулирование в сфере переводов без добровольного согласия клиента базируется на предпосылке, что клиент может выступать не источником свободной воли, а инструментом трансляции чужой, полученной путем обмана или злоупотребления доверием. Так, из указанного обзора Банка России следует, что в признаки перевода без добровольного согласия входят случаи, когда согласие получено под влиянием обмана или при злоупотреблении доверием.
Отсюда следует ключевой практический вывод: формальная корректность способа подтверждения операции больше не может автоматически закрывать спор. Если операция подпадает под признаки подозрительности, установленные регулятором, банк обязан отрабатывать риск в режиме «до списания», а не объяснять постфактум, что «коды введены – значит, клиент сам во всем виноват».
Приказ регулятора содержит признак, который для подобных дел особенно удобен именно в роли «доказательного якоря», – это несоответствие характера, параметров или объема операции операциям, обычно совершаемым клиентом, включая время, устройство, сумму, частоту и получателя перевода.
В рассматриваемом случае именно этот признак был центральным: закрытие вклада, крупные суммы, несколько переводов разным получателям из разных регионов за короткое время, с которыми ранее у клиента не было взаимоотношений. При таких вводных ссылкой на «штатность» подтверждения сложно ответить на вопрос, почему антифрод-реакция не случилась до списания денежных средств со счета клиента.
Еще одним типовым приемом банков, который я неоднократно наблюдал в судах, является попытка сместить вектор на истца – гражданина. Зачастую используются такие оценочные категории, как добросовестность, разумность, осмотрительность. Параллельно звучит ссылка на многотомные правила обслуживания: якобы клиент нарушил их тем, что перешел по ссылке, не обеспечил безопасность своих банковских данных.
Но даже на уровне фактов нередко оказывается, что конкретного нарушения, допущенного клиентом, банк представить не может. В нашем деле при анализе правил не нашлось ясного, проверяемого описания того, как именно истец нарушил условия договора: он не сообщал CVC, не диктовал коды, не передавал реквизиты карты. Фактически удаленный доступ был получен посредством технологически простого сценария, который клиент «в моменте» мог и не распознать. Этот момент важен не как оправдание, а как реализм цифровой среды, где формула «сам виноват, что не распознал» становится универсальным ответом на любые пробелы в антифрод-процедурах.
Также следует помнить, что на отношения между банком и физлицом распространяется Закон о защите прав потребителей и это меняет угол оценки условий обслуживания. Договорные правила не могут работать как способ исключить или «обнулить» ответственность там, где она предусмотрена законом. В рассматриваемом деле спор квалифицирован судом как потребительский, что подтверждается категорией требований и взысканием штрафа по правилам п. 6 ст. 13 Закона РФ «О защите прав потребителей» при удовлетворении требований.
Несмотря на комплексный подход в доказывании, суд в иске отказал3. Апелляция4 первоначально оставила решение первой инстанции в силе, фактически согласившись с доводами банка: поскольку подтверждение корректное – значит, распоряжение исходило от клиента, оснований для вмешательства у банка не было. Затем вмешалась кассация5.
Для меня ценность выводов суда кассационной инстанции в этом деле состоит в двух аспектах.
Во-первых, Шестой КСОЮ фактически зафиксировал то, о чем мы говорили с самого начала, но что так и не получило оценки судов нижестоящих инстанций: доводы о нетипичности операций, профиле клиента, совокупности признаков и необходимости проверки до списания были в деле, они были заявлены и развернуты, но в мотивированных актах первой инстанции и апелляции не нашли отражения.
Во-вторых, кассация «развернула фокус», рассмотрев спор сквозь призму мышления банка, причем во многом с его же логикой. Если банк настаивает на стандартах добросовестности и осмотрительности клиента, то к профучастнику финансового рынка эти стандарты тем более применимы. Кассация, по сути, поставила «вопрос ребром»: как действовал банк при оказании дистанционной услуги, какие меры безопасности принял, какие признаки должны были его насторожить и почему он не предпринял того, что разумно ожидать от кредитной организации, когда операция выбивается из обычного поведения клиента?
В итоге апелляционное определение было отменено, дело направлено на новое апелляционное рассмотрение.
И только при новом рассмотрении апелляция удовлетворила исковые требования6.
Резюмируя, отмечу: на мой взгляд, наблюдается адаптация судебной практики к нормам специального регулирования в сфере денежных переводов без добровольного согласия клиентов банков, нивелирующим попытки кредитных организаций ограничиться формулой «авторизация прошла – значит, клиент сам распорядился деньгами», с последующим перечнем нарушенных правил банка со стороны клиента. Природа спора в другом – в действиях банка по защите сбережений и средств клиентов: какие проверки он провел, какие признаки учитывал и какие меры принял до списания денежных средств со счетов клиента. И если этот блок вопросов остается нераскрытым, разбирательство под напором банков неизбежно сводится к ретроспективной оценке поведения потерпевшего, хотя именно банк как профессиональный участник должен объяснить, почему при сочетании признаков риска операция была совершена.
1 См. Обзор операций, совершенных без добровольного согласия клиентов финансовых организаций.
2 Приказ Банка России от 27 июня 2024 г. № ОД-1027.
3 Решение Кировского районного суда г. Уфы РБ от 18 марта 2025 г. № 2-1648/2025.
4 Апелляционное определение Верховного Суда Республики Башкортостан от 15 июля 2025 г. № 33-11994/2025.
5 Кассационное определение Шестого кассационного суда общей юрисдикции от 2 декабря 2025 г. № 8Г-21467/2025.
6 Апелляционное определение Верховного Суда Республики Башкортостан от 3 февраля 2026 г. № 33-2639/2026.
