Заголовок блога (один заголовок)

Это отдельная подпись к записи в блоге

Преступление, связанное с получением банковской информации и данных кредитных карт

Вход

С повсеместным распространением цифрового банкинга и онлайн-покупок банковская и кредитная информация стала одним из наиболее уязвимых источников для преступных организаций и отдельных лиц. Получив такие данные, как номер карты, срок действия, CVV/CVC-код, имя и фамилия владельца карты, одноразовый код подтверждения, уведомление мобильного банкинга и код подтверждения 3D Secure, преступники могут снимать деньги со счета жертвы, совершать онлайн-покупки, пополнять цифровые кошельки или предоставлять незаконные доходы другим лицам.

Таким образом, кража банковской информации и данных кредитных карт не должна рассматриваться как простое «получение информации о картах» в соответствии с турецким уголовным законодательством. В зависимости от характера инцидента, это неправомерное использование банковских или кредитных карт, незаконное получение персональных данных, несанкционированный доступ к компьютерной системе, мошенничество при отягчающих обстоятельствах, нарушение работы системы или изменение данных, а в некоторых случаях даже отмывание денег .

Статья 245 Уголовного кодекса Турции регулирует преступление, связанное с неправомерным использованием банковских или кредитных карт. Согласно действующему тексту статьи, лицо, получившее или завладевшее банковской или кредитной картой другого лица любым способом и использующее или допускающее ее использование без согласия владельца карты в целях получения выгоды для себя или другого лица, подлежит наказанию в виде лишения свободы на срок от трех до шести лет и судебного штрафа в размере до пяти тысяч дней. Эта же статья отдельно регулирует действия по изготовлению, продаже, передаче, покупке, принятию поддельных банковских или кредитных карт, а также использованию поддельных карт в целях получения выгоды.

Что означает компрометация банковской информации и данных кредитных карт?

Кража банковской информации или данных кредитных карт не ограничивается физической кражей самой карты. Сегодня большая часть информации о картах получается через интернет, телефон, поддельные платежные страницы, методы социальной инженерии или вредоносное программное обеспечение.

Украсть данные банковской карты можно следующими способами:

Примерами мошеннических действий являются фотографирование карты, запись номера карты и CVV-кода, ввод информации о карте на поддельных веб-сайтах, перенаправление на поддельные ссылки, которые выглядят как ссылки на сайты банков или транспортных компаний, звонок от лица, выдающего себя за сотрудника банка, скимминговые устройства, установленные в POS-терминалах или банкоматах, поддельные экраны оплаты в приложениях, взлом учетных записей электронной коммерции, утечки данных, вредоносное ПО и поддельные линии службы поддержки клиентов.

Здесь важно отметить существенное юридическое различие: простое получение информации о карте равнозначно использованию этой информации для получения выгоды . Если злоумышленник получил информацию о карте, но еще не использовал ее, в зависимости от конкретных обстоятельств может применяться преступление, связанное с незаконным получением персональных данных, как это определено в статье 136 Уголовного кодекса Турции, или другие киберпреступления. Однако, если злоумышленник использовал эту информацию для совершения онлайн-покупок, снятия денег, осуществления платежей или предоставления выгоды третьему лицу, может быть совершено преступление, связанное с неправомерным использованием банковских или кредитных карт, как это определено в статье 245 Уголовного кодекса Турции.

Злоупотребление банковскими или кредитными картами в рамках статьи 245 Уголовного кодекса Турции

Статья 245, пункт 1 Уголовного кодекса Турции предусматривает наказание за получение выгоды путем использования чужой банковской или кредитной карты без согласия владельца. Для совершения этого преступления не обязательно, чтобы преступник физически владел картой. Получение информации о карте и ее использование для онлайн-покупок также может рассматриваться в рамках этого закона на практике.

Основные элементы преступления следующие:

Преступник должен обладать банковской или кредитной картой, либо данными карты, принадлежащими другому лицу. Преступник должен незаконно получить или обладать этими картами или данными. Согласие владельца карты должно отсутствовать. Преступник должен использовать карту или поручить ее использование другому лицу. Такое использование должно приносить необоснованную выгоду преступнику или другому лицу.

Например, покупка телефона в интернете с использованием номера кредитной карты, срока действия и CVV-кода другого лица; совершение внутриигровых платежей с помощью карты жертвы; добавление информации о карте в цифровой кошелек и совершение покупок; совершение онлайн-покупок с помощью банковской карты жертвы; и передача скомпрометированной информации о карте другому лицу для использования — все это может рассматриваться в соответствии со статьей 245 Уголовного кодекса Турции.

Статья 245/2 Уголовного кодекса Турции регулирует изготовление, продажу, передачу, покупку или принятие поддельных банковских или кредитных карт, привязанных к банковским счетам, принадлежащим другим лицам. Статья 245/3 Уголовного кодекса Турции предусматривает наказание за получение выгоды с использованием поддельной или фальсифицированной банковской или кредитной карты. В решениях Верховного суда подчеркивается важность элемента изготовления поддельной/копии карты, привязанной к существующему банковскому счету, принадлежащему другому лицу, в контексте статьи 245/2 Уголовного кодекса Турции.

Всегда ли кража информации о кредитных картах подпадает под действие статьи 245 Уголовного кодекса Турции?

Получение информации о банковской карте не всегда является прямым нарушением статьи 245 Уголовного кодекса Турции. В большинстве случаев статья 245 использования и последующего неосновательного обогащения . Если злоумышленник получил только информацию о карте, но не совершил с ее помощью никаких покупок, инцидент следует рассматривать отдельно в соответствии со статьей 245 (попытка неправомерного использования), статьей 136 (незаконное получение персональных данных), статьей 243 (несанкционированный доступ к информационной системе) или статьей 245/A (запрещенные устройства/программы).

Номер карты, срок действия, CVV-код и платежная информация, принадлежащие держателю карты, могут считаться персональными данными. Статья 136 Уголовного кодекса Турции криминализирует незаконное разглашение, распространение или получение персональных данных третьими лицами. Поэтому кража информации о карте из базы данных, ее распространение в социальных сетях или группах Telegram, продажа третьим лицам или незаконное хранение могут рассматриваться не только как преступление против карты, но и как преступление против персональных данных.

Кроме того, если злоумышленник получил доступ к интернет-банкингу, мобильному банкингу, электронной почте или учетной записи электронной коммерции жертвы с целью получения информации о банковской карте, может также применяться статья 243 Уголовного кодекса Турции, касающаяся несанкционированного доступа к информационной системе. Если действия включают изменение, удаление, передачу данных внутри системы или создание недоступности системы, следует также учитывать статью 244 Уголовного кодекса Турции.

Фишинг, поддельные ссылки и мошенничество с использованием технологии 3D Secure

Один из самых распространенных способов получения банковской информации и данных кредитных карт — фишинг. Злоумышленник отправляет жертве сообщение, которое выглядит так, будто оно отправлено законным банком, транспортной компанией, службой электронного правительства, платежным учреждением, торговой площадкой или известным брендом. Сообщение обычно содержит такие фразы, как «ваша карта заблокирована», «ваша отправка находится в обработке», «ваш платеж не завершен», «ваш аккаунт приостановлен» или «обнаружена подозрительная транзакция». Когда жертва переходит по ссылке, она попадает на поддельный экран оплаты или входа в систему и самостоятельно вводит данные своей карты.

В некоторых случаях жертва также вводит код 3D Secure. В такой ситуации банки могут иногда утверждать, что транзакция была одобрена клиентом. Однако сам факт ввода кода 3D Secure не означает, что жертва виновата или что банк полностью освобожден от ответственности в каждом случае. В конкретном случае следует также изучить мошеннический веб-сайт, вводящую в заблуждение информацию на экране, несоответствие суммы транзакции, необычную транзакцию, оповещения службы безопасности банка, лимиты транзакций, систему обнаружения мошенничества, профиль поведения клиента и процессы уведомления.

Например, жертва может думать, что совершает транзакцию на 50 турецких лир, но транзакция на 50 000 турецких лир может быть одобрена через поддельный веб-сайт. В этом случае с точки зрения уголовного права необходимо учитывать мошеннические действия преступника, использование информации о карте, злоупотребление банковской системой и нарушение свободы воли жертвы. В зависимости от характера инцидента, помимо статьи 245 Уголовного кодекса Турции, может также применяться преступление, связанное с мошенничеством при отягчающих обстоятельствах.

Взаимосвязь между статьей 245 Уголовного кодекса Турции и квалифицированным мошенничеством

Операции с использованием информации о кредитных картах не всегда представляют собой один вид преступления. В некоторых случаях злоумышленник напрямую использует данные карты жертвы. В других случаях он обманом заставляет жертву предоставить информацию о карте и код 3D Secure. В этом случае связь между мошенничеством при отягчающих обстоятельствах, как это определено в статьях 245 и 158 Уголовного кодекса Турции, является спорной.

При мошенничестве при отягчающих обстоятельствах преступник обманывает жертву посредством мошеннических действий и получает выгоду для себя или другого лица за счет жертвы или другого лица. Мошенничество, совершенное с использованием информационных систем, банков или кредитных учреждений в качестве инструментов, регулируется как тяжкое преступление. В качестве инструментов при совершении этого преступления могут использоваться интернет-банкинг, поддельные платежные страницы, уведомления мобильного банкинга, инфраструктура электронной коммерции или платежные учреждения.

В случаях кражи данных банковской карты, когда злоумышленник обманывает жертву, используя поддельную ссылку, получает доступ к данным карты и совершает покупки, используя эти данные, может потребоваться оценка как неправомерного использования карты, так и мошенничества при отягчающих обстоятельствах. Однако в уголовном праве определение того, какое преступление будет применено за одно и то же деяние, зависит от таких факторов, как очевидное совпадение преступлений, соотношение частных и общих норм, умысл преступника, тяжесть обмана, способ использования карты и то, как была получена выгода.

Поэтому простого заявления типа «данные моей карты были украдены» недостаточно. В заявлении необходимо подробно описать использованный метод, был ли потерпевший обманут, как была получена информация о карте, как была обеспечена аутентификация 3D Secure, продавца, у которого была совершена транзакция, кто получил платеж и где впоследствии находились деньги.

Что пострадавшему следует сделать в первую очередь?

Любой, кто обнаружил кражу данных своей карты или несанкционированные транзакции, должен немедленно связаться со своим банком. Карту следует заблокировать, подать заявление о спорной транзакции, сообщить о подозрительной транзакции и изменить пароли мобильного и интернет-банкинга (при наличии). Кроме того, банку следует предоставить записи о транзакции, включая продавца, платежную систему, IP-адрес, устройство, дату и время.

Согласно Закону № 5464 о банковских и кредитных картах, эмитенты карт обязаны отвечать на жалобы и возражения держателей карт относительно использования карты в течение двадцати дней с даты подачи заявления, предоставляя обоснованное объяснение. Этот же закон предусматривает, что возражения по выпискам по кредитным картам могут быть поданы в эмитент карты в течение десяти дней с даты платежа.

Владельцы карт также несут ответственность. Согласно статье 16 Закона № 5464, владельцы карт обязаны надежно защищать свою карту и код, пароль или идентификационную информацию, позволяющую ею пользоваться, и незамедлительно уведомлять учреждение, выпустившее карту, в случае ее утери, кражи или совершения какой-либо операции против их воли. Поэтому пострадавшему важно незамедлительно связаться с банком, подать письменное заявление и получить регистрационный номер заявления.

Ответственность банка и возврат средств

Наиболее распространенный вопрос, задаваемый пострадавшими: «С моей карты были сняты деньги без моего ведома; обязан ли банк вернуть эти деньги?» Ответ на этот вопрос зависит от специфики дела. Необходимо выяснить, была ли транзакция совершена с согласия владельца карты, использовалась ли технология 3D Secure, как была получена информация о карте, имела ли место грубая халатность со стороны владельца карты, обнаружил ли банк какие-либо необычные транзакции, сумму транзакции, время транзакции, характер продавца и как быстро был подан запрос на разрешение спора.

Статья 15 Закона № 5464 гласит, что ответственность за использование карты лежит на держателе карты с момента заключения договора и получения карты в собственность, или с момента получения номера карты, если карта не имеет физического присутствия. Однако та же статья также предусматривает, что держатель карты не может нести ответственность за ущерб, возникший в результате неправомерного использования карты при покупке товаров и услуг, совершенных через различные каналы связи или бланки заказов без выдачи чека.

Статья 12 закона ограничивает ответственность держателя карты за ущерб, возникший в результате неправомерного использования, совершенного в течение двадцати четырех часов до уведомления, в случае утери или кражи карты или информации, позволяющей ее использовать; однако это ограничение не применяется в случаях грубой неосторожности, умысла или несоблюдения держателем карты обязанности уведомления.

Таким образом, однозначного и автоматического решения относительно возврата средств банком не существует. В случае отклонения апелляции в банк будут изучены технические записи транзакции, ответы платежного учреждения, записи 3D Secure, информация об IP-адресе и устройстве, профиль поведения клиента, сумма транзакции и меры безопасности банка, а также может быть рассмотрена возможность обращения в арбитражный суд по делам потребителей, суд по делам потребителей или суд общей юрисдикции.

Как подать заявление о возбуждении уголовного дела в прокуратуру?

Любой, чьи банковские или кредитные данные были скомпрометированы, обязан подать заявление в прокуратуру. Согласно статье 245 Уголовного кодекса Турции, преступление, связанное с неправомерным использованием банковских или кредитных карт, не зависит от заявления потерпевшего; однако заявление потерпевшего имеет большое практическое значение для начала расследования, сбора доказательств и установления личности преступника.

В заявлении о возбуждении уголовного дела необходимо подробно описать инцидент в хронологическом порядке и с указанием технических деталей. В нем должны быть четко указаны дата каждой транзакции, способ получения информации о карте, посещенный веб-сайт, ссылка, по которой был осуществлен переход, полученное SMS-сообщение или электронное письмо, компания, у которой была совершена покупка, сумма покупки, дата обращения в банк, результат разрешения спора по транзакции, наличие подозрительного номера телефона или IBAN, а также платежная система, через которую был произведен платеж.

В прокуратуру следует направить запрос на проведение следующих расследований:

Это включает в себя запрос информации о продавце и платежном учреждении, где была совершена транзакция; получение записей виртуальных POS-терминалов, где был обработан платежный ордер; запрос IP-адреса, устройства, браузера и журналов транзакций; проверку адреса доставки и информации о получателе, если товар был доставлен; запрос записей о доставке; запрос соответствующей информации об учетной записи платформы, если был приобретен цифровой продукт; проверку информации о подписке на GSM-телефон, если номер телефона доступен; проведение расследования блокировок и движения денежных средств на счетах, используемых злоумышленником; и запрос записей о мошенничестве у банков и платежных учреждений.

Если у преступника получен доступ к его устройствам, обыск, копирование и изучение компьютеров, телефонов или других цифровых материалов могут рассматриваться в соответствии со статьей 134 Уголовно-процессуального кодекса (УПК). Статья 134 УПК регулирует условия обыска, копирования и изъятия компьютеров, компьютерных программ и файлов: наличие веских оснований для подозрения на основании конкретных доказательств и невозможность получения доказательств иными способами.

Процесс сбора доказательств

Сбор доказательств имеет чрезвычайно важное значение в случаях кражи информации о кредитных картах. Это связано с тем, что преступление часто совершается очень быстро, и преступник пытается скрыть свои цифровые следы. Пострадавшему следует сохранять все записи с самого начала.

Основные доказательства, которые необходимо сохранить, следующие:

SMS-сообщения банка, сообщения 3D Secure, мобильные уведомления, квитанции о транзакциях, выписки по кредитным картам, номера заявлений на оспаривание транзакций, записи звонков в службу поддержки клиентов банка, поддельные ссылки, заголовки электронных писем, переписки в WhatsApp/SMS, скриншоты поддельных веб-сайтов, URL-адреса, скриншоты страниц оплаты, название продавца, название платежного учреждения, информация об отслеживании доставки (если имеется), адрес доставки, номер заказа и сведения о товаре/услуге.

Простого снимка экрана часто недостаточно. Необходимо сохранить полный URL-адрес, информацию о дате и времени, экран оплаты, номер отправленного сообщения, адрес отправителя электронной почты и описание транзакции из банковских выписок. Если мошеннический сайт все еще работает, можно также рассмотреть возможность нотариально заверенной проверки, заключения эксперта или технического расследования.

Ответственность лиц, которые передают или продают информацию о банковских картах

Хотя кража информации о кредитных картах иногда выглядит как индивидуальное ограбление, в большинстве случаев данные собираются организованным образом и продаются третьим лицам. Номера карт, CVV-коды и информация о пользователях могут передаваться через группы в Telegram, торговые площадки в даркнете, поддельные панели управления, утечки баз данных или закрытые цифровые группы.

В этом случае, помимо лица, непосредственно использующего информацию о карте, ответственность могут нести также те, кто собирает, продает, распространяет, передает другим лицам, хранит или способствует использованию этой информации. В зависимости от специфики дела могут применяться статьи 136, 245, 245/A Уголовного кодекса Турции и положения, касающиеся организованной преступности.

Статья 245/А Уголовного кодекса Турции регулирует преступление, связанное с использованием запрещенных устройств или программ. Под действие этой статьи также подпадают устройства для копирования карт, поддельные платежные панели, фишинговые наборы, программное обеспечение для перехвата паролей, вредоносные программы или системы, используемые для сбора информации о картах. Поэтому необходимо уделять внимание не только лицу, использующему карту, но и технической инфраструктуре, которая получает и распространяет информацию о карте.

Аспект Закона о защите персональных данных (KVKK) для компаний и веб-сайтов электронной коммерции

Если происходит утечка информации о кредитных картах с сайта электронной коммерции, платежной инфраструктуры, отеля, страховой компании, медицинского учреждения, платформы подписки или другого оператора данных, дело не ограничивается только уголовным правом. Вступают в силу также вопросы утечки персональных данных и ответственности за их защиту.

В соответствии со статьей 12 Закона № 6698 о защите персональных данных (КВКК), оператор данных обязан принимать необходимые технические и административные меры для предотвращения незаконной обработки персональных данных и незаконного доступа к данным, а также для обеспечения сохранности данных. Согласно решению Совета КВКК от 24 января 2019 года под номером 2019/10, оператор данных должен незамедлительно, но не позднее чем через 72 часа с момента обнаружения утечки данных, уведомить Совет; пострадавшие лица также должны быть уведомлены в кратчайшие разумные сроки.

Таким образом, компания, которая без необходимости хранит информацию о банковских картах, не обеспечивает безопасность своей платежной инфраструктуры, пренебрегает мерами шифрования и авторизации доступа, скрывает утечки данных или не информирует клиентов своевременно, может столкнуться с административными, юридическими и уголовными последствиями.

Права жертв преступлений на получение компенсации

Кража данных банковской карты может привести к финансовым потерям для жертвы. Эти потери могут включать сумму, списанную с карты, стоимость покупок, банковские комиссии, проценты, разницу обменных курсов, потери из-за блокировки счета, а в некоторых случаях и убытки бизнеса. После установления личности злоумышленника жертва может потребовать компенсацию за понесенные финансовые потери.

Кроме того, в случае вины банков, платежных систем, продавцов или операторов данных может быть привлечена к юридической ответственности. Например, если банк не предотвращает необычную и дорогостоящую транзакцию, продавец не использует безопасную платежную инфраструктуру, сайт электронной коммерции незаконно хранит данные карт или оператор данных не принимает необходимые технические и административные меры, потерпевший может иметь право на компенсацию.

В каждом случае преступления, связанного с кредитными картами, компенсация морального ущерба присуждается не автоматически. Однако, если личные данные жертвы были широко распространены, включая раскрытие ее личности и финансовой информации, если ей был нанесен ущерб репутации или если инцидент серьезно повлиял на ее личную жизнь, размер компенсации морального ущерба может определяться в каждом конкретном случае индивидуально.

Защита с точки зрения подозреваемого или обвиняемого

В преступлениях, связанных с банковской информацией и данными кредитных карт, защита также нуждается в техническом анализе. Получение денег на счет, доставка товара, наличие IP-адреса или использование номера телефона сами по себе не всегда могут однозначно доказать умысл преступника. Однако, в совокупности эти данные могут представлять собой веские доказательства.

С точки зрения обороны, важны следующие вопросы:

Кто использовал карту? С какого IP-адреса и устройства была совершена транзакция? Кому был доставлен товар? Является ли ответчик лишь посредником в управлении счетом? Была ли задействована аренда счета или содействие в переводе денег? Получил ли ответчик информацию о карте или от третьей стороны? Существуют ли какие-либо обстоятельства, которые могли бы заставить ответчика полагать, что владелец карты дал согласие? Были ли доказательства получены законным путем? Являются ли банковские и платежные записи полными? На чьем устройстве была одобрена транзакция 3D Secure? Связаны ли адрес доставки и записи с камер с ответчиком?

Кроме того, в некоторых случаях следует проверить, является ли инцидент частноправовым, а не уголовным преступлением. Например, если владелец карты сознательно передал свою карту третьему лицу и дал согласие на транзакцию, но впоследствии возник спор о задолженности, не каждый случай должен автоматически рассматриваться в соответствии со статьей 245 Уголовного кодекса Турции. И наоборот, если владелец карты не давал согласия, а преступник использовал карту для получения выгоды, то уголовная ответственность становится весьма вероятной.

Заключение

Получение доступа к банковской и кредитной информации является одним из наиболее распространенных и серьезных киберпреступлений цифровой эпохи. В результате кражи номеров карт, сроков действия, CVV-кодов, паролей 3D Secure или подтверждений мобильного банкинга может быть нанесен непосредственный ущерб имуществу жертвы. В таких случаях могут рассматриваться различные виды преступлений, включая неправомерное использование банковских или кредитных карт в соответствии со статьей 245 Уголовного кодекса Турции, а также незаконное получение персональных данных, несанкционированный доступ к информационным системам, мошенничество при отягчающих обстоятельствах и использование запрещенных устройств/программ.

Для пострадавшего самое важное — действовать быстро. Необходимо немедленно связаться с банком, заблокировать карту, подать заявление о спорной транзакции, составить отчет о подозрительной транзакции, сохранить все цифровые доказательства и подать подробное заявление в прокуратуру. В заявлении должно быть указано не только «мои данные карты украдены», но и четко указаны дата транзакции, сумма, продавец, платежное учреждение, URL-адрес, SMS, электронная почта, сообщение 3D Secure, записи банковского приложения и все цифровые следы, которые могут помочь идентифицировать преступника.

Для банков и платежных учреждений крайне важны безопасная платежная инфраструктура, мониторинг транзакций клиентов, выявление необычных операций, своевременное реагирование на споры и защита персональных данных. Держатели карт также должны надежно защищать информацию о своих картах и ​​паролях и сообщать банку о любых несанкционированных транзакциях, как только им станет о них известно.

В заключение следует отметить, что кража банковской информации и данных кредитных карт — это не просто техническая проблема безопасности; это многогранный спор, затрагивающий уголовное право, киберправо, банковское право, защиту данных и компенсационное право. Поэтому для потерпевшего и подозреваемого/обвиняемого крайне важно, чтобы процесс проходил без потери доказательств, со своевременным сбором технических документов и с точной правовой классификацией.

Оставить комментарий

Кнопка «Позвонить сейчас»