Безопасность карточного бизнеса : бизнес-энциклопедия А. К. Алексанов И. А. Демчев А. М. Доронин В книге дано подробное описание политики безопасности на всех этапах жизненного цикла банковской карты — от цеха, где производится пластиковая заготовка будущей карты, до торговой и сервисной сферы, где карта принимается к оплате. Отдельно рассмотрены международные стандарты PSI DSS и практика их применения. Дана классификация карточных рисков, изложена методика оценки рисков эмитента с использованием мониторинга карточных транзакций. Подробно описаны виды карточного мошенничества и методы его профилактики. Отдельные главы посвящены претензионной работе по операциям с банковскими картами и обеспечению безопасности процессингового центра. Проанализировано действующее российское законодательство, изложена судебная практика с подробным описанием уголовных дел, связанных с карточным мошенничеством, доведенных до суда. Даны общие рекомендации по информационной безопасности корпоративной системы банка как фундамента безопасности карточного бизнеса. Книга ориентирована на сотрудников карточных подразделений, отделов информационной безопасности коммерческих банков, специалистов процессинговых центров, правоохранительных органов, занимающихся уголовными делами по карточному мошенничеству, руководящего персонала супермаркетов, прочих торговых организаций, студентов финансовых вузов. А. К. Алексанов, И. А. Демчев, А. М. Доронин и др Безопасность карточного бизнеса: бизнес-энциклопедия Предисловие Безопасность в любой сфере — тема деликатная, а в сфере банковских карт — особенно. Карточки как инструмент удаленного доступа к банковскому счету по своей природе обречены быть привлекательными для мошенников. Авторам бизнес-энциклопедии «Безопасность карточного бизнеса» удалось соблюсти баланс между максимальной ценностью изложенного материала и сведением к минимуму возможных негативных последствий от освещения профессионалами той или иной темы. Издательство с удовольствием представляет читателям авторский коллектив этой уникальной книги с указанием темы, над которой работал каждый автор. А. К. Алексанов (КБ «Трансинвестбанк») — «Безопасность аппаратной и сетевой инфраструктуры». И. А. Демчев (Банк Москвы) — «Обзор банковских рисков и угроз от мошенничества с платежными картами и их реквизитами. Практические меры по минимизации рисков и ущерба от действий мошенников для банков-эмитентов, банков-эквайреров». А. М. Доронин (Следственный комитет при МВД России) — «Уголовная ответственность за преступления в сфере банковских карт — анализ законодательства, особенности, проблемы расследования, экспертиза поддельных карт, квалификация преступлений, судебная практика, рекомендации, необходимые изменения законодательства», «Приложение 1. Судебно-следственная практика» (оба раздела — в соавторстве с Н. П. Пятиизбянцевым). Е. В. Казакова — «Претензионная работа с картами» (в соавторстве с С. В. Серебряковым). И. Б. Колесов (независимый эксперт) — «Доклиентский цикл и его безопасность» (в соавторстве с С. Е. Фегиной). М. В. Кузин («Газпромбанк») — «PCI DSS и реальная безопасность платежной системы банковских карт», «Оценка рисков эмитента в платежной системе банковских карт с использованием мониторинга транзакций». Н. П. Пятиизбянцев («Газпромбанк») — «Уголовная ответственность за преступления в сфере банковских карт — анализ законодательства, особенности, проблемы расследования, экспертиза поддельных карт, квалификация преступлений, судебная практика, рекомендации, необходимые изменения законодательства», «Приложение 1. Судебно-следственная практика» (оба раздела — в соавторстве с А. М. Дорониным). Г. В. Саенко (Экспертно-криминалистический центр МВД России) — «Приложение 2. Типовая методика исследования информации, находящейся на магнитной полосе платежных карт» (в соавторстве с О. В. Тушкановой). С. В. Серебряков (Связной Банк ЗАО) — «Претензионная работа с картами» (в соавторстве с Е. В. Казаковой), «Физическая безопасность (вопросы проектирования помещений ПЦ и организация доступа в помещения и зоны)». О. В. Тушканова (Экспертно-криминалистический центр МВД России) — «Приложение 2. Типовая методика исследования информации, находящейся на магнитной полосе платежных карт» (в соавторстве с Г. В. Саенко). С. Е. Фегина (независимый эксперт) — «Доклиентский цикл и его безопасность» (в соавторстве с И. Б. Колесовым) М. С. Эмм (НИП «Информзащита») — «Стандарты международных платежных систем (PCI DSS)». А. В. Юрьев (АКБ «Абсолют Банк») — «Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса». А. С. Воронин Руководитель проекта, редактор-составитель Центр исследований платежных систем и расчетов Введение Рядовая сценка из повседневной жизни — кассир супермаркета, принимая банковскую карту к оплате, возвращает ее клиенту, даже не взглянув на подпись на чеке электронного терминала и не сверив ее с подписью на обратной стороне карты. Самое большее, на что хватает усердия и внимания кассового работника магазина, как правило, — проверить дату окончания действия карты. И это только один пример — из торговой сферы, где низкая квалификация кассовых работников, связанная отчасти с высокой текучестью кадров, отчасти — с недостаточным пониманием важности проблемы со стороны руководства — не исключение, а скорее правило. А сколько аналогичных случаев в других сферах, на других этапах сложной технологической и организационной цепочки, которые проходит карточка от производственного цеха до кошелька клиента банка? И даже когда карточка уже дошла до кошелька своего законного держателя, риски не уменьшаются — скорее наоборот. Банковские специалисты знают об одном извечном феномене — сколько ни повторяй клиентам — держателям карт, сколько ни пиши в буклетах, что нельзя в одном кошельке носить карточку и ПИН-код, а тем более записывать его на карточке — клиенты продолжают это делать. Человеческий фактор, увы, способен свести на нет достижения самых современных технологий, усилия многих и многих высококвалифицированных специалистов — производителей карт, которые делают заготовки из высококачественного пластика со специальными защитными элементами (редкий кассир торгового предприятия способен оценить качество пластика, знает защитные элементы); методологические разработки специальных структур МПС, разрабатывающих стандарты безопасности по операциям с картами; усилия законодателей и представителей правоохранительных органов. Спрашивается, для чего тогда нужны качественный пластик, надежные технологии, международные стандарты, адекватное законодательство? Есть очевидная аксиома, известная специалистам по управлению рисками в любом бизнесе, — свести риски к нулю нельзя, но минимизировать — можно и нужно. Это, безусловно, относится и к карточной сфере. Для минимизации рисков и существуют технологии, стандарты, законы и многое другое — все то, чему посвящена эта книга. Современный карточный бизнес существует в очень агрессивной внешней среде. Особенность пластиковой карточки как банковского инструмента удаленного доступа к счету клиента, причем настолько эффективного, что границы между государствами перестали иметь значение, привела к международному размаху карточного мошенничества. Первый раздел книги посвящен его видам (скиммингу, фишингу и т. д.), рискам и угрозам для банка (эмитента и эквайрера), которые влечет за собой мошенническая активность, возможностям предупреждения и противодействия, способам минимизации рисков. В обзоре обобщены и систематизированы наработки ведущих международных платежных систем, российских и иностранных кредитных организаций, практикующих экспертов в области борьбы с карточным мошенничеством. Как известно, ничто так не поощряет преступника, как безнаказанность. На российском правовом поле у представителей правоохранительных органов множество проблем, связанных с несовершенством существующего законодательства, сложности квалификации заведенных уголовных дел по статьям УК в сфере применения платежных карт. И в следующей главе бизнес-энциклопедии все это пунктуально проанализировано. Принципиальная сложность квалификации карточных преступлений заключается в пересечении здесь сразу трех областей знания — уголовного права, гражданского права и специфики карточных технологий. Все вместе это приводит к тому, что уголовное преследование карточных мошенников, даже «пойманных за руку», — достаточно сложная задача. И вместе с тем ее решение возможно, чему свидетельство — дела, дошедшие до суда, и реальные сроки, полученные мошенниками, о которых рассказывается в разделе Приложений. Особняком, на стыке правового поля и технологий, стоят стандарты международных платежных систем, наиболее известные из которых обозначаются аббревиатурой PCI DSS, — они анализируются в специальном разделе книги. Данные стандарты носят обязательный характер для исполнения банками — членами платежных систем, но отношение к ним, и в России, и в мире не однозначное. Позиция многих российских банков основывается на здравом смысле — если стоимость следования стандартам превышает размер возможных потерь, это делает стандарты нецелесообразными. Позиция аудиторов тоже имеет свои серьезные основания — стандарты МПС существуют, и банкам, как членам МПС, следует их исполнять, а в какой степени — зависит от масштаба бизнеса. Обе точки зрения аргументированно представлены в книге. Мониторингу транзакций по платежным картам посвящена следующая глава, в которой, в числе прочего, формулируются задачи мониторинга, дается классификация средств мониторинга транзакций, дается первичный математический аппарат для количественной оценки рисков, основные понятия (инцидент, расследование и др.), примеры мониторинга транзакций. Комплексный подход к проблеме обеспечения безопасности карточного бизнеса можно считать определяющей составляющей успеха дела. Нельзя забывать, что карточная безопасность в банке является элементом безопасности информационной системы банка в целом. В следующем разделе книги даются основные моменты, на которые следует обратить внимание при построении центра информационной безопасности банка, и, в частности, описывается применение специальных систем контроля защищенности класса SIEM. Серьезная задача — физическая безопасность производства пластиковых заготовок. В специальной главе книги рассказывается о внешних и внутренних стандартах безопасности производственных помещений, о порядке производства и доставки в банк заготовок в соответствии со стандартами безопасности международных платежных систем. Отдельное и очень специфическое направление безопасности карточного бизнеса банка — претензионная работа по опротестованным держателями карт операциям. В разделе, посвященном данному вопросу, не дается рекомендаций по деталям претензионного процесса — например, какой код возврата следует выбрать по конкретной операции. Такие специальные сведения даются в соответствующих материалах платежных систем. В ней максимально компетентно описываются основные аспекты претензионной работы, даются рекомендации, как правильно построить работу подразделения, отвечающего за претензионный цикл в современном коммерческом банке. И, наконец, безопасность процессинга — мозгового центра (точнее — одного из многочисленных центров) любой платежной системы. Это один из важнейших участков карточной безопасности и ему посвящены два материала книги, один из которых рассматривает вопросы физической безопасности ПЦ, а другой — безопасность его аппаратной и сетевой инфраструктуры. * * * Очевидно, что обеспечение безопасности карточного бизнеса — проблема, которую невозможно решить раз и навсегда, ее необходимо решать изо дня в день, причем на очень высоком и профессиональном уровне. Это непрерывный процесс со своими индикаторами эффективности и стандартами, управленческими и технологическими проблемами и задачами, налаживанию которого и призвана помочь эта книга. Г. А. Тосунян Президент Ассоциации российских банков, д-р юрид. наук, профессор, заведующий кафедрой банковского права Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации Глава 1 Мошенничество в сфере банковских платежных карт Обзор банковских рисков от мошенничества с платежными картами и их реквизитами. Практические меры по минимизации рисков и ущерба от действий мошенников для банков эмитентов и эквайреров Войны нельзя избежать, ее можно лишь отсрочить к выгоде вашего противника.      Макиавелли, 1502 г. Цель данной главы — дать понимание молодым телом или душой сотрудникам профильных подразделений банка (специализированным службам безопасности карточного бизнеса, специалистам по претензионной работе, сопровождению терминальной сети, торгового эквайринга и пр.) о видах мошенничества с платежными картами, рисками и угрозами для банка, которые влечет за собой мошенническая активность, возможностях по предупреждению и противодействию мошенничеству, минимизации рисков. В обзоре предпринята попытка обобщить и систематизировать наработки ведущих международных платежных систем, российских и иностранных кредитных организаций, практикующих экспертов в области борьбы с карточным мошенничеством. Учитывая появление материала в публичном доступе, в обзор вошла преимущественно открытая информация, знание которой далеко не достаточно для практического использования в мошеннических целях. По этой причине данный труд не претендует на полноту и глубину раскрытия проблематики мошенничества. Вместе с тем разумное снятие завесы секретности с темы карточного «фрода» (от англ. — fraud (обман, мошенничество)) необходимо. Разъяснение принимаемых мер по обеспечению безопасности банковского бизнеса поможет, с одной стороны, вселить уверенность пользователям карт в том, что банки располагают силами и средствами для их защиты, с другой стороны, банковские специалисты сделают это предельно профессионально. В противном случае информационный вакуум заполняют журналисты всех мастей, в большинстве своем ищущие сенсации и тем самым только запугивающие держателей карт. Предлагаемые методы противодействия преступникам действенны и должны быть взяты на вооружение и банкирами, и их клиентами. Что нужно помнить и начинающим специалистам в области карточной безопасности, и менеджерам, от чьих решений зависит финансирование данной области: убытки от мошенничества неизбежны, но в наших силах их минимизировать. Никакая, даже самая передовая, технология не способна на 100 % гарантировать безопасность карточного бизнеса банка. Поэтому недооценка рисков или некомпетентное управление ими в итоге приводят к обогащению преступников за счет банка и/или его клиентов. Наглядным подтверждением служит цифра общемировых потерь от мошенничества в 2009 г. — 5,8 млрд долл. США. В этом же году в России, по данным МВД, потери составили 63 млн руб. Для начала дадим определение, что же такое карточное мошенничество, с чем именно предстоит бороться. Итак, карточное мошенничество — это преднамеренные обманные действия некоторой стороны, основанные на применении технологии банковских карт и направленные на несанкционированное овладение финансовыми средствами, размещенными на карточных счетах держателей карт, или средствами, причитающимися торговым предприятиям за операции по картам. С появлением первых расчетных карт в середине прошлого века появились и люди, профессионально ориентированные поживиться за чужой (банковский/карточный) счет. Преступники, ранее занимавшиеся подделкой банковских чеков, немедленно принялись осваивать новое карточное направление, а эмитенты, в свою очередь, совершенствовали средства защиты. Противостояние меча и щита с переменным успехом продолжается и сегодня. Каждый банк эмитент или эквайрер рано или поздно столкнется со случаем мошенничества по выпущенной им карте или в обслуживаемом им торгово-сервисном предприятии (ТСП), и в интересах банка пребывать в состоянии готовности к этому и во всеоружии. Имеется в виду, что для успешного противодействия преступникам банки должны, прежде всего, располагать компетентными кадрами, помощь в подготовке которых и есть основная задача данной книги. Мошенническая деятельность, так же как и банковский карточный бизнес, делится на эмитентское и эквайрерское направления. Банки-эмитенты принимают на себя риски от несанкционированного использования эмитированных ими карт или платежных реквизитов карт (украденная/потерянная карта, неполученная карта), а также поддельных карт. Банки-эквайреры подвержены рискам при обслуживании карт в ТСП, с которыми установлены договорные отношения в части оказания услуг принятия карт к оплате (поддельные слипы, двойной ввод операций, противоправная деятельность ТСП или отдельных ее сотрудников по совершению операций по украденным или поддельным картам). Однако четко провести зону ответственности за то или иное мошенничество между банком-эмитентом и банком-эквайрером затруднительно: только совместные действия всех участников карточного бизнеса могут построить серьезную преграду криминалу и обезопасить себя и клиента. По этой причине в описании мероприятий по противодействию мошенничеству приводятся рекомендации и для эмитента, и для эквайрера[1 - Классификация и тенденции современного карточного мошенничества были всеобъемлющим образом описаны российским «гуру» платежных технологий И. М. Голдовским в его новой книге: Банковские микропроцессорные карты. М.: Центр исследований платежных систем и расчетов; Альпина Паблишерз, 2010.]. Далее, ограничившись кратким обзором распространенных видов мошенничества, подробнее остановимся на мерах противодействия к ним. Виды мошенничества для кредитной организации — эмитента Утерянные/украденные карты (Lost/Stolen cards) Значительная часть утерянных или украденных карт впоследствии используется злоумышленниками для совершения преступлений. Этот вид мошенничества, имеющий более чем полувековую историю, возник одновременно с началом популяризации первых расчетных карт, но остается актуальным и сегодня. Риски утери или кражи карты неизбежны и непредотвратимы, поскольку кошельки, барсетки и дамские сумочки постоянно воруют, а держатели карт сами теряют их. Обнаруживается факт утери лишь в момент необходимости снова воспользоваться картой. До обнаружения пропажи и блокировки карты в процессинговом центре проходит время, которое играет на руку преступникам. При этом мошенникам известны способы, как оперативно и относительно безопасно использовать карту самим (например, через сообщника в торговом предприятии) или перепродать ее другим мошенникам. Зачастую вместе с картой добычей грабителей становятся документы, удостоверяющие личность держателя карты. В этом тяжелом случае преступники могут выдавать себя за законного владельца карты и с большей вероятностью и безнаказанностью опустошить карточный счет, в том числе и снятием наличных в офисе банка. До момента информирования банка о пропаже карты проходит обычно два-три дня, за которые карта активно используется. Ответственность за эти операции до блокировки карты ложится целиком на держателя. Но и после блокировки украденная/утерянная карта категории Standard/Classic и выше может быть использована для совершения операций ниже суммы floor limit — безавторизаци-онного лимита, или операций с авторизацией через stand-in процессинг[2 - Stand-in процессинг (STIP) — это режим обработки транзакций, когда банк-эмитент поручает ведение баз данных карт и установленных/назначенных эмитентов лимитов, а также проведение авторизации на основе этих данных альтернативному процессинговому центру.] платежной системы. Для ограничения этих возможностей утерянной карты ее номер необходимо разместить в международном стоп-листе. Но для банка-эмитента постановка карты в «стоп-лист» — процедура финансово затратная. Затраты банк вынужден относить либо на собственные расходы, либо переложить на держателя, отдельно тарифицируя эту услугу или взимая штраф за утерю. В зависимости от типа карты и территории вероятного использования эмитент ставит карту в «стоп-лист» по выбранному региону и на определенный срок исходя из разумного баланса стоимости постановки карты в «стоп-лист» и размера ожидаемых потерь. Выбор условий постановки осуществляется на основании информации из заявления клиента: понятно, что если клиент не может найти карту в собственной квартире, то карту достаточно заблокировать в процессинге. Если же кража карты произошла в международном аэропорту, карту надлежит срочно поставить в «стоп-лист» хотя бы в регионе утери. Однако полностью исключить возможность использования карты возможно лишь после постановки карты во все региональные «стоп-листы» на срок либо до изъятия карты либо до окончания ее срока действия. К сожалению, по причине существенных финансовых затрат на данную процедуру рекомендовать ее можно лишь как крайнюю меру в особых случаях. После удачного или неудачного использования украденный пластик может получить вторую жизнь: полоса карты перекодируется, после чего карта снова используется в мошеннических целях. Нужно иметь ввиду, что нередки случаи соучастия в мошенничестве владельца карты, когда он сообщает об утере карты в тот момент как его сообщник снимает по его карте наличные или совершает покупку. Еще одна разновидность мошенничества с украденными и утерянными картами — использование овердрафта по карте. В некоторых европейских странах терминалы самообслуживания, установленные для оплаты услуг на небольшие суммы (например, проезд по платным дорогам), позволяют проводить оплату без авторизации по фиксированным платежными системами лимитам. Этим пользуются мошенники, используя украденные карты. Форма оплаты без авторизации небольших сумм практикуется в супермаркетах, магазинах беспошлинной торговли (на борту самолета), АЗС с самообслуживанием. Эмитенту карты приходит финансовое представление операции, которое он не может опротестовать, если карта не была своевременно поставлена в «стоп-лист». Подлимитные операции по одной карте могут быть многочисленными в течение короткого промежутка времени, что влечет за собой риски крупноразмерных (до нескольких десятков тысяч евро) убытков. Основная причина появления самой возможности мошенничества с украденными и утерянными картами — небрежность держателей банковских карт. Отношение большинства держателей к своим картам гораздо более легкомысленное, нежели к наличным деньгам. Отсюда вытекает и первая по значимости мера противодействия — необходимость обучения клиентов. За их просвещение взялся даже Банк России, выпустив «Памятку о мерах безопасного использования банковских карт» (Приложение к письму Банка России от 2 октября 2009 г. № 120-Т). Мероприятия по противодействию мошенничеству: • обязательное обучение держателей карт правилам безопасного хранения и использования карт: в виде раздаточных материалов, в виде обязательства клиента — условия договора, устное разъяснение при получении клиентом карты, информирование посредством интернет-сайта банка; • корректное позиционирование продуктового ряда: наиболее безопасные дебетовые или электронные карты должны иметь приоритет в розничном распространении и быть ориентированы на рисковые сегменты клиентов; • установка для определенных карточных продуктов ограничения на использование в операциях без он-лайн авторизации; • обеспечение круглосуточной бесперебойной доступности колл-центра посредством специального легко запоминаемого телефонного номера, который всегда свободен для входящего звонка. Принятие звонка от клиента не должно прерываться рекламными или информационными сообщениями автоответчика; • незамедлительно после или во время принятия сообщения от держателя банк должен заблокировать карту от он-лайн авторизации и, при необходимости, принять меры к минимизации рисков проведения подлимитных транзакций — поставить карту в «стоп-лист» платежной системы; • использование фрод-мониторинга. Выявление нетипичной для держателя активности карты; • использование услуги смс-информирования о проведенных авторизациях. Позволяет держателю выявить практически в режиме реального времени несанкционированное использование его карты или ее платежных реквизитов и заблокировать карту, пресечь таким образом дальнейшее ее использование мошенником; • печать на лицевой или оборотной стороне карты цветной фотографии владельца карты. Неполученные карты (Not Received Items) или карты, украденные во время их передачи от банка клиенту Платежные системы подразумевают под «неполученными» карты, которые могли быть украдены при пересылке по почте. Частным случаем можно считать карты, украденные непосредственно в организации, занимающейся распространением карт собственным сотрудникам в рамках зарплатного проекта или своим клиентам в рамках доверенности от банка-эмитента. Основные риски для банка вытекают из того, что похищенные карты персонифицированы на реальных пользователей и являются по сути действующими, даже не смотря на их блокировку от авторизации. При этом на карте отсутствует подпись держателя на полосе для подписи, что дает дополнительное преимущество мошеннику. Вся ответственность за мошенничество в этом случае однозначно лежит на эмитенте. Мероприятия по противодействию мошенничеству. • Направлять персонализированные карты и конверты с ПИН-кодом в раздельных посылках в разное время (если возможно, разными почтовыми службами). Для адресных рассылок использовать только заказные письма. • Блокировать карты на время доставки, активировать карты только по обращению клиента в банк и его идентификации. • Размещать на полосе для подписи фотографическую копию подписи держателя, печатать на лицевой или оборотной стороне карты цветную фотографию владельца карты. • Вводить в действие регламентные и инструктивные документы по процедурам хранения, персонализации, транспортировки, передачи карт, учета заготовок и персонализированных карт на всех стадиях процесса. Поддельные карты (Counterfeit cards, CNTF) или фальсифицированные карты Поддельной называется карта, которая имеет внешние признаки действительной и легально выпущенной, однако печать, эмбоссирование, персонализация и кодирование карты были произведены с нарушением установленных платежной системой правил и не были санкционированы эмитентом. При этом либо печать карты была санкционирована эмитентом, но эмбоссирование или кодирование были произведены без его ведома; либо карта была выпущена с соблюдением всех необходимых правил, но впоследствии была переделана или в ее дизайне были произведены изменения, за исключением изменения подписи держателя или поля (панели) для подписи. Также поддельной считается карта, если на ней присутствуют признаки несоответствия стандартам платежной системы, логотип которой размещен на карте, не соответствуют или отсутствуют защитные признаки. Поддельная карта может быть изготовлена путем физического изменения подлинной или копирования, имитации подлинной. Поддельная карта, переделанная из подлинной, — это утерянная/украденная/перехваченная карта с измененными платежными реквизитами и/или перекодированной магнитной полосой. Первые попытки переделки карт проводились путем срезания эмбоссированных цифр номера карты и переклеивания их местами. Также практиковался метод заглаживания эмбоссированных символов на карте горячим утюгом для выдавливания поверх нового номера карты. Такие подделки определить визуально несложно, поэтому они прокатывались импринтером в торговых организациях в сговоре с продавцом. Для получения действительных номеров карт предпринимались многочисленные, и не всегда безуспешные, попытки подбора программными средствами номера карты и срока действия карты с последующей попыткой проведения операции оплаты через интернет-магазины. Этому риску подвергаются в основном эмитенты, установившие правило последовательной генерации номеров карт. С повсеместным распространением электронных POS-терминалов мошенники переориентировались на перекодирование магнитной полосы, как наиболее технически простой и дешевый способ подделки. Перекодируют полосу чаще на подлинной карте — такая карта не вызывает подозрений при обслуживании в торговой сети. Однако хорошо обученный кассир обязан обратить внимание на несоответствие платежных реквизитов на самой карте и на бумажном чеке, где распечатываются данные с магнитной полосы. Полностью поддельная карта имитирует подлинную платежными реквизитами, дизайном, названием банка-эмитента, защитными признаками платежной системы, кодированием магнитной полосы. Встречаются высококачественные подделки, изготовленные на профессиональном типографском оборудовании и персонализированные промышленными эмбоссерами. Это результат деятельности организованных преступных групп, работающих с международным размахом. Для небанковских специалистов, не имеющих доступа к BIN-Member tables (справочник соответствия БИНов названиям банков), выявить такую подделку весьма проблематично. У кустарно подделанных карт не так много шансов быть принятыми в торгово-сервисной сети и практически нет шансов снять по ним наличные в офисах банков, где и кассиры более профессионально обучены и требуется удостоверение личности. Тем не менее подделки эволюционировали благодаря удешевлению и доступности микропроцессорной техники: мошенники стали использовать карты с магнитной полосой преимущественно для перекодирования информации на ней, т. е. нанесения данных, считанных с легальных карт. Мошенничество, связанное с копированием магнитной полосы карты (часто в совокупности с перехватом ПИН-кода), называется «скимминг» (skimming). Это явление получило в последние годы всемирное распространение, а в некоторых странах Восточной Европы и Юго-Восточной Азии приобрело глобальные масштабы. Мошенничество заключается в том, что магнитная полоса карты копируется с помощью накладки на слот кардридера банкомата (рис. 1.1). ПИН-код копируется накладной клавиатурой (рис. 1.2) или записывается миниатюрной видеокамерой. Злоумышленники используют данные с магнитной полосы для изготовления клона карты и с ее помощью обналичивают деньги. Распознать эти накладки для неспециалиста затруднительно: внешне они имитируют штатные устройства. Скимминг может произойти и в торгово-сервисном предприятии, где кассир или официант в сговоре с преступниками незаметно прокатывает карту через считывающее магнитную полосу мобильное устройство. ПИН-код в этом случае подсматривается «из-за плеча» при обслуживании карты с чипом по процедуре Chip&PIN. Доступ злоумышленников к данным магнитной полосы и ПИН-коду упростил им задачу получения наличных — часто мошенниками для этого используется так называемый «белый пластик». Это заготовки карт с кодированной магнитной полосой, но без каких-либо элементов дизайна. Чтобы «белый пластик» не бросался в глаза случайным прохожим или сотрудникам службы безопасности банка, которые будут просматривать записи с камеры банкомата, на карту наклеивают цветные стикеры, или пластик окрашивают любым доступным способом. Были отмечены нетривиальные случаи использования для скимминга «доработанных» мошенниками POS-терминалов, перехвата информации посредством врезки в коммуникационные каналы связи, взлома баз данных ТСП или банковских процессингов. Чаще всего держатель карты не замечает, где и когда он стал жертвой скимминга, а обнаруживает уже совершенные по его карте мошеннические транзакции. Ответственность за такого рода операции ложится на банк-эмитент. Мероприятия по противодействию мошенничеству: • обучение держателей мерам безопасного обслуживания карт (соблюдение мер, направленных на сохранение конфиденциальности платежных реквизитов карты и ПИН-кода); • миграция на EMV карты и использование правила Chip&PIN (перенос рисков финансовой ответственности на эквайрера за проведение им операции с чтением только магнитной полосы карты); • случайная генерация номеров карт; • проверка CVV (CVC), CVV2 (CVC2) при авторизации, сверка срока действия карты в авторизационном запросе с параметром в базе данных процессинга; • использование фрод-мониторинга авторизационного трафика с возможностью автоматически блокировать карту; • использование услуги смс-информирования о проведенных авторизациях; • установка лимитов снятия наличных денежных средств в банкоматах на ежедневной и ежемесячной основе; • обучение сотрудников ТСП выявлению поддельных карт. Периодические тренинги и практикумы с аттестацией. Вознаграждение со стороны банка-эквайрера сотрудников ТСП за задержанную поддельную карту. Оплата по реквизитам карты Card Not Present (CNP-фрод) Платежная транзакция, совершаемая без предъявления карты, т. е. в условиях, когда в точке совершения транзакции отсутствует не только сама платежная карта, но и ее держатель, называется Card Not Present transaction. Такая транзакция совершается по указанию держателя карты, данному устно или письменно (факс, электронная почта и т. д.). Card Not Present мошенничество основывается на использовании платежных реквизитов банковской карты не ее законным владельцем. Оплату с использованием реквизитов платежного средства практикуют в интернет-магазинах и торговых точках, оформляющих заказы дистанционно через почту, телефон, электронную почту (mail order/telephone order (MO/TO) transaction) или интернет-сайты ТСП, использующие оформление транзакций по правилам электронной коммерции (e-commerce). У ТСП нет возможности проверить принадлежность карты ее законному держателю, нет возможности сличить подпись или проверить удостоверение личности. Серьезных мошенников интересует прежде всего покупка дорогого и легко реализуемого товара по реквизитам краденных банковских карт. Сегодня таким товаром являются компьютерная техника, фото/видео/ аудиотехника, мобильные телефоны и аксессуары к ним, прочие гаджеты. Однако физический товар требует реального адреса для доставки и получить его должно конкретное физическое лицо по предъявлении документа, удостоверяющего личность. Поэтому с точки зрения преступника эта схема рискованна и реализуема только через подставное лицо. Менее требовательные мошенники из числа компьютерных хулиганов довольствуются покупкой софта и мультимедийного контента, доступного для скачивания посредством Интернета, для покупки которых не требуется адрес доставки. Суммы таких операций не превышают 100 долл., но доставляют проблемы эмитенту в случае массового характера. Подобные разовые операции возможно опротестовать претензионными процедурами, массовые случаи могут потребовать предметного разбирательства непосредственно с банком-эквайрером и с привлечением платежных систем, когда торговую точку поставят перед выбором: или прекращать прием карт в оплату или совершенствовать защитные меры. Качественно высокого уровня безопасности в e-commerce операциях позволяет добиться использование протокола 3D Secure, известного также как MasterCard SecureCode и Verified by VISA. Данная технология обеспечивает взаимную аунтентификацию всех участников электронной сделки: держателя карты, ТСП и банка-эквайрера. Однако существенные финансовые затраты на сертификацию для банков-эквайреров являются сегодня сдерживающим фактором для массового продвижения этой технологии. Еще одной разновидностью CNP-фрода являются подписки на периодическое предоставление услуг с регулярной их оплатой (recurring transactions): доступ к сайтам для взрослых, рассылка новостной и рекламной информации и т. п. С держателя карты без предварительного уведомления ежемесячно начинают списывать по нескольку долларов за подобные услуги. Эмитентом такие операции успешно опротестовываются. Актуальны случаи, когда недобросовестные сотрудники турагентств бронируют номера в гостиницах за границей по случайно попавшим в их поле зрения реквизитам карт с целью получения въездных виз клиентам с индивидуальными турами. После получения визы эти лица не утруждают себя отменить бронь номера, и с законного держателя карты гостиница удерживает стоимость проживания за сутки, так называемое «no show fee». Помимо финансовых затрат со стороны банка на фрод-мониторинг, страхование рисков, оплату высококвалифицированных специалистов по претензионной работе мошенничество влечет невосполнимые репутационные риски. Даже сам факт возможности мошенничества является сильным сдерживающим фактором популяризации оплаты товаров и услуг в сети Интернет по банковским платежным картам. По данным НАФИ, лишь 18 % россиян совершают покупки в сети Интернет, 36 % из них используют для оплаты товаров и услуг банковские платежные карты. Webmoney и Яндекс-деньги популярны у 54 и 49 % опрошенных. Мероприятия по противодействию мошенничеству: • обучение держателей карт мерам безопасного обслуживания карт, в частности не передавать реквизиты карты третьим лицам. Рекомендации клиентам использовать для оплаты товаров и услуг в Интернете только специализированные карточные продукты типа «виртуальная карта» (Virtual card); • контроль за транзакционной активностью ТСП, периодическая проверка соответствия деятельности ТСП заявленной им при заключении договора с банком-эквайрером; • выполнение со стороны банка-эмитента и банка-эквайрера требований PCI DSS по сокрытию информации о платежных реквизитах карт в электронных базах данных; • использование фрод-мониторинга авторизационного трафика; • переход участников электронной коммерции на использование протокола 3D Secure. Использование персональных данных третьих лиц в мошеннических целях (ID Theft) Цель ID Theft — получение мошенником дебетовой банковской карты или карты с кредитным лимитом на чужое или подставное лицо. На такой карте отсутствует подпись владельца, что упрощает ее незаконное использование. Финансовые обязательства возникают у третьего лица — законного владельца карты, но фактически убытки несет банк-эмитент, который или не может юридически обоснованно предъявить клиенту счет, или не способен осуществить возврат средств от неплатежеспособного клиента. Дебетовые карты активно используются мошенниками для «отмывания» — обналичивания денежных средств, полученных противозаконным путем. Для получения таких карт используются украденные/утерянные/поддельные документы, удостоверяющие личность, а также подставные заведомо неплатежеспособные лица — финансово неграмотные пенсионеры или студенты, алкозависимые личности и прочие граждане, желательно имеющие легальную регистрацию места жительства. Мошенники подготавливают правильным образом анкету подставного лица, указывают «заряженные» телефоны ложных работодателей, завышают реальный доход, оформляют регистрацию на липовые адреса. Зачастую подставное лицо появляется в банке для подачи документов на оформление карты в компании сопровождающего, представляющегося его родственником или доверенным лицом. Анкета подставного лица с заявлением на выпуск карты (равно как и само лицо с сопровождающим «родственником») может кочевать из банка в банк, выискивая брешь в скоринг-системах. Отдельная разновидность этого мошенничества — перехват счета (Account takeover) — более распространена в европейских странах и США. В этом случае мошенник получает данные о реквизитах карты/счета (например, из оказавшихся в его распоряжении банковских выписок держателя карты), далее следует звонок в банк об изменении домашнего адреса и запрос новой карты с ее доставкой по новому адресу. Мероприятия по противодействию мошенничеству: • детальная проверка анкет потенциальных клиентов для обнаружения несоответствий. Проверка клиентских данных в базах данных бюро кредитных историй, правоохранительных органах, иных источников информации; • профессиональное взаимодействие между службами безопасности банков по выявлению «гастролеров» — мошенников, обращающихся поочередно в разные банки; • разъяснительная работа с лицами, замеченными в регулярном обналичивании больших сумм денежных средств; • использование фрод-мониторинга для выявления фактов обналичивания денежных средств. Критерием для мониторинга являются транзакции на суммы более 300 тысяч рублей; • установка заградительных тарифов за снятие наличных денежных средств, превышающих установленный лимит; • всесторонняя идентификация клиента при принятии заявления о каких-либо изменениях анкетных данных. Виды мошенничества для эквайрера Предприятия, регистрируемые для совершения мошенничества Целью мошенничества является регистрация предприятия в банке на услугу «Торговый эквайринг» с открытием расчетного счета или перечислением на счет в другом банке, совершение ряда операций по утерянным, украденным или/и поддельным картам, получение по операциям возмещения от банка-эквайрера и последующее исчезновение до момента обнаружения мошенничества. В ТСП могут проводиться операции как с использованием POS-терминала, так и импринтера. Последний расширяет возможности мошенников для использования эмбоссированного «белого пластика» без кодированной магнитной полосы. По совершенным операциям банк-эквайрер получает опротестования, которые становятся его убытками. Повышенный риск представляют такие «одноразовые» торговые предприятия в среде Интернет-торговли, где мошенникам нет необходимости использовать реальный пластик. Убытки от их деятельности могут иметь на порядки больший размер. Показателен пример с мошенничеством в бизнесе продажи авиабилетов. ТСП, занимающееся продажей авиабилетов, принимает от клиентов оплату наличными. Далее ТСП оформляет бронь авиабилетов через интернет-ресурсы автоматизированных систем бронирования с оплатой по украденным или поддельным платежным картам. С учетом высокой стоимости авиабилетов данная схема мошенничества остается актуальной. Регистрация фиктивного ТСП может иметь целью сбор платежных реквизитов карт для их последующего использования в мошеннических целях. Для этого удобно подходят технологии телемаркетинга, когда от клиента для оформления покупки требуется передать реквизиты карты через Интернет, факс или телефон. До получения реального товара или услуги дело, как правило, не доходит. В этом плане подозрительными являются заманчивые предложения о продаже ходовых товаров или услуг с несоизмеримыми с реальной ценой товара скидками, о бесплатной рассылке товара с предоплатой по карте клиентом только почтовых затрат. Причина этого вида мошенничества — неспособность банка-эквайрера распознать криминальные цели организации на этапе проверки ее документов до подписания договора на услугу и отсутствие контроля за деятельностью ТСП. Мероприятия по противодействию данному мошенничеству: • комплексная проверка ТСП до подписания договора на предоставление услуги; • мониторинг проводимых в ТСП операций, а также отказов в авторизациях, их причины; • инспекция ТСП посещением сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному ранее. Мошенничество персонала торговой точки Сговор работника ТСП с ворами-карманниками или организованными криминальными структурами с целью получения товара или денежных средств с использованием украденных, утерянных или поддельных карт. Работники ТСП могут пойти на сговор под давлением преступников, контролирующих бизнес ТСП (его владельцев), или «гастролеров». К этому же виду относится мошенничество работника ТСП, связанное с использованием служебного положения: • двойное проведение операции посредством POS-терминала (electronic data capture); • неоднократное копирование торгового слипа и выставление его к оплате (multiple imprints); • ручной ввод на POS-терминале платежных реквизитов карты в отсутствие карты и ее владельца (PAN key entry). Здесь же уместно напомнить о таком старом виде мошенничества, как подделка торговых слипов (altered sales drafts), когда после подписания законным держателем карты слипа работником ТСП изменяется в большую сторону сумма операции, которая без ведома держателя авторизуется. Выявить компрометацию карт в ТСП — организационно сложная задача. Во многих сетевых ресторанах и супермаркетах текучка кадров — явление постоянное, на работу принимаются нерезиденты-мигранты, студенты, временные работники. Низкая оплата труда, правовая и финансовая безграмотность, а также запугивание и шантаж со стороны криминала — причины, по которым сотрудники ТСП начинают сотрудничать с мошенниками. Следует помнить, что работники ТСП являются самым слабым звеном в построении системы безопасности карточного бизнеса. Мероприятия по противодействию данному мошенничеству: • комплексная проверка ТСП до подписания договора на предоставление услуги; • мониторинг за случаями опротестовывания операций из данной ТСП, расследование их причин; • финансовые санкции и зафиксированная договором ответственность ТСП за убытки, связанные с мошенничеством со стороны работников ТСП; • контроль со стороны банка за использованием слипов в ТСП. Подлог платежных документов, передаваемых в банк на оплату Оформление и передача банку-эквайреру платежных документов на оплату за товары или услуги (как фактические, так и несуществующие), реализованные иным ТСП, не имеющим договора с этим банком-эквайрером. Обычно таковыми являются торговые организации, не прошедшие проверку банков-эквайреров по причинам наличия юридических проблем или их негативной репутации. Имеющий договор на эквайринг владелец ТСП за представление к оплате чужих платежных документов получает процент от суммы операций. Понятно, что проверить законность происхождения чужих платежных документов ему не представляется возможным, чем и пользуются мошенники, оформляя операции по украденным и поддельным картам. Такая схема активно работает в течение ограниченного несколькими неделями времени, а затем мошенники переходят под другое легальное ТСП до того, как начнется массовое опротестовывание операций. Мероприятия по противодействию данному мошенничеству: • комплексная проверка ТСП до подписания договора на предоставление услуги; • мониторинг за опротестовываниями операций из ТСП, расследование их причин; • финансовые штрафные санкции и зафиксированная договором ответственность ТСП вплоть до расторжения договора в случае предоставления к оплате платежных документов, оформленных третьими лицами. Перехват счета ТСП (Merchant Account Takeover) Направление в банк-эквайрер мошенниками поддельного извещения от имени ТСП об изменении платежных реквизитов для перечисления денежных средств по договору на услугу торгового эквайринга с указанием номера подставного расчетного счета. Мошенники используют информацию о руководящих лицах торговой организации, подделывают их подписи и печать организации. Далее письменно извещают банк об изменении платежных реквизитов и похищают переведенные денежные средства. Мероприятия по противодействию данному мошенничеству: • настаивать на открытии расчетного счета ТСП в банке-эквайрере; • осуществлять проверку извещений об изменении платежных реквизитов ТСП на предмет соответствия заверяющих подписей образцам подписей, хранимых в банке, а также печати организации; • направить ТСП ответное письмо с подтверждением изменений. Обналичивание Деятельность по обналичиванию денежных средств характеризуется переводом со счета юридического лица на множество текущих счетов физических лиц с последующим снятием наличных в банкоматах. В схемах по обналичиванию широко используются платежные карты, появились зарплатные проекты для фиктивных компаний, основная задача которых — массовое легальное распыление крупных сумм и последующее обналичивание. Признаки деятельности «обнальщиков» следующие: нетипичные переводы со счетов юридических и физических лиц на карточные счета; массовое снятие наличных сразу после таких переводов; одновременное либо за короткий промежуток времени снятие наличных с одной карты в разных регионах; переводы на счета электронных денег. Следует отметить, что контроль за операциями VIP-клиентов банка должен вестись с учетом индивидуальных особенностей их бизнеса и личных привычек. Мероприятия по противодействию данному мошенничеству: • разъяснительная работа с лицами, замеченными в регулярном обналичивании больших сумм денежных средств; • использование фрод-мониторинга для выявления фактов обналичивания денежных средств. Критерием для мониторинга являются транзакции на суммы более 300 тыс. руб.; • установка лимитов выдачи наличных через банкоматы и POS-терминалы ПВН. Иные виды мошенничества Мошенничество с использованием банкоматов «Скимминг» Мы уже упоминали скимминг выше, поговорим о нем подробнее. Для банка-эквайрера скимминг — не меньшая головная боль, чем для несущего финансовую ответственность эмитента, тем более что зачастую эмитент и эквайрер выступают в одном лице в качестве пострадавшего. К сожалению, в большинстве случаев о скимминге эквайрер узнает последним, когда потерпевшие убытки банки-эмитенты вычислили устройство, где были скомпрометированы карты. Реже службам эквайрера или бдительным клиентам удается заметить накладки на банкоматы и ликвидировать их. Но и в этом случае карты, по которым прошли транзакции во время нахождения накладки на банкомате, подлежат блокировке и перевыпуску. Здесь платежные системы являются связующим звеном в оперативном обмене информации между банками по скомпрометированным картам. Для противодействия скиммингу производителями банкоматов предлагаются различные антискимминговые устройства, интегрированные в картридеры (рис. 1.3), и экраны, закрывающие от посторонних глаз клавиатуру для ввода ПИН-кода (рис. 1.4). Антискимминговые устройства делают физически невозможным установку преступниками скимминговых накладок и могут быть оснащены датчиками, останавливающими работу банкомата в случае повреждения слота картридера. Некоторые модели антискимминговых устройств оснащены функцией, называемой Jitter, — неравномерность скорости движения карты в картридере, что затрудняет считывание полосы скимминговой накладкой. Сами банки пытаются организовать защиту своими силами: размещают заставку на банкомате или печатные плакаты с изображением, как должна выглядеть передняя панель банкомата, ставят помехи для мобильных телефонов в зоне размещения банкоматов для противодействия передаче скопированных данных по GPRS-каналу. По данным ассоциации АРЧЕ за первые полгода 2009 г. в России зафиксировано 30 случаев скимминга. Убытки от скимминга составили в 2009 г. 771 млн руб.[3 - июля 2009 г.] Мероприятия по противодействию данному мошенничеству: • периодический обход банкоматов техниками и службой инкассации для обнаружения любых посторонних предметов на лицевой панели; • размещение банкоматов с учетом безопасности для клиентов, техников и инкассаторов; • организация зоны безопасности перед банкоматом; • оборудование банкоматов видеокамерами; • установка антискимминговых устройств; • размещение на заставке банкоматов фотографии штатного картридера; • использование уникальных стикеров для опломбирования клавиатуры банкомата и панели картридера. Снятие наличных по картам, украденным вместе с ПИН-кодом Очень часто сам держатель карты своими действиями компрометирует ПИН-код, выданный к его карте. Проблема заключается в том, что владельцы карт не могут или не хотят запоминать ПИН-код и записывают его на самой карте, в записной книжке, мобильном телефоне или носят конверт с ПИН-кодом в кошельке. Рано или поздно это приводит к тому, что карту и ПИН-код воруют одновременно и с предсказуемым результатом: денежные средства с карты снимаются похитетелем в ближайшем банкомате еще до звонка клиента в банк и блокировки карты. Компрометация ПИН-кода может произойти непосредственно в момент совершения законным держателем операции снятия наличных средств в банкомате или POS-терминале. Посторонний человек, «случайно» оказавшийся рядом, может подсмотреть ПИН-код из-за плеча или на расстоянии с помощью оптических приборов, а похитить саму карту для профессиональных карманников не составляет труда. С ростом количества чиповых карт и введением требования ПИН-кода по картам Maestro компрометация ПИН-кода при его вводе стала актуальной проблемой. Для получения ПИН-кода «не отходя от кассы» мошенники могут представиться сотрудниками банка, к примеру, у неработающего банкомата, и предложить свою помощь в проведении операции. Клиента просят воспользоваться банкоматом и ввести при них ПИН-код. Далее либо владелец карты становится жертвой скимминга, либо карту банально воруют или подменяют. Мероприятия по противодействию мошенничеству: • Обучение держателей карт мерам безопасного обслуживания карт. «Дружественное» мошенничество Использование карты членом семьи, коллегой или другом без разрешения владельца карты. Чаще речь идет о совершенных операциях выдачи наличных сведств через банкомат, которые оспаривает законный держатель карты. Следует отметить, что не исключены варианты сговора держателя и «друга». По данным Национального агентства финансовых исследований (НАФИ), в России 9,9 % держателей карт передавали свою карту третьим лицам, 11,6 % — хранят ПИН-код вместе с картой, 19,8 % — теряли карту, из них 2, 29 % — утрачивают карту вместе с ПИН-кодом. Мероприятия по противодействию мошенничеству: • обучение держателей карт мерам безопасного обслуживания карт; • оборудование банкоматов видеокамерами. «Ливанская петля» (card trapping) Данный вид мошенничества заключается в том, что мошенник помещает в слот картридера банкомата кусок пластиковой ленты, образующий петлю, препятствующую возврату карты. Когда у законного владельца карты не получается получить карту обратно, появляется «доброжелатель» с рекомендацией повторно ввести ПИН-код. Если держатель соглашается, то мошенник подсматривает ПИН-код «из-за плеча». Держатель карту обратно не получает, а мошенник после ухода держателя достает карту за край ленты, приклеенный на внешнюю сторону картридера. Мероприятия по противодействию мошенничеству: • Оборудование банкоматов антискиминговыми накладками на картридер. Подмена или хищение карты При проведении операции по карте в банкомате перед тем, как карта возвращается банкоматом обратно, мошенники отвлекают держателя. При этом карта похищается либо ее подменяют. Мошенники действуют в группе, один отвлекает, другой забирает или меняет карту. PIN-код похищенной карты подсматривается «из-за плеча». Мероприятия по противодействию мошенничеству: • Обучение держателей карт мерам безопасного обслуживания карт. «Щипачество» Мошенничество совершает законный держатель карты. Из лотка для выдачи купюр забирается не вся пачка наличных, а лишь некоторое количество купюр из середины пачки. Банкомат захватывает оставшиеся деньги как «забытые» клиентом. До массовых случаев «щипачества» карточные процессинги отрабатывали такой возврат, как full reversal с зачислением полной суммы невыданных средств на карточный счет клиента. Инкассация банкомата, выявление недостачи и последующее расследование позволяли вычислить мошенника, но к этому моменту средств на счете уже не было, да и доказать факт мошенничества банку весьма проблематично. В настоящее время практика работы с не выданными банкоматом по разным причинам суммами предусматривает их возврат на счета клиентам только после проверки кассой результатов инкассации. Мероприятия по противодействию мошенничеству: • оборудование банкоматов видеокамерами, направленными на лоток выдачи купюр Cash Trapping (накладки на лотке для выдачи наличных) Мошенник размещает накладку над лотком для выдачи наличных. Конструкция накладки такова, что выданные банкоматом купюры захватываются, но держателю карты не выдаются. Когда клиент не дождавшись выдачи наличных уходит, мошенник снимает накладку вместе с задержанными денежными средствами. Мероприятия по противодействию мошенничеству: • оборудование банкоматов видеокамерами, направленными на лоток выдачи купюр. Мошенничество, направленное на сбор информации о платежных реквизитах карт Фишинг (phishing). Фарминг (pharming) Электронные письма, смс-сообщения или телефонные звонки якобы от имени банка, содержащие просьбу сообщить платежные реквизиты банковской карты, ПИН-код или персональные данные клиента, носят название phishing — симбиоз английских слов phone и fishing. Метод действительно напоминает рыбалку: массовой рассылкой вбрасывается большое количество писем-«приманок», далее собираются ответы от тех, кто попался на крючок. Уязвимые места, используемые при фишинге, — человеческий фактор и несовершенство средств аунтентификации клиента банком. Рекомендации для клиентов, как определить письмо, являющееся фишингом, следующие: банки никогда не запрашивают предоставления персональных данных карты, кроме как при личном присутствии клиента в офисе или посредством систем ДБО с обязательной аутентификацией клиента. Кроме того, текст письма может содержать грамматические ошибки, обращение к клиенту неличностное (например, «Уважаемый клиент!»), тон письма тревожный, предостерегающий возникновением проблем (например, «потерей учетных записей») в случае, если клиент не предоставит требуемую информацию. Одна из разновидностей фишинга получила название «фарминг». Клиент, набирая в адресной строке правильный адрес интернет-сайта банка, перенаправляется на сайт, контролируемый мошенниками. Дизайн подставного сайта почти полностью копирует оригинальный банковский и содержит перечень полей для заполнения личными данными. Метод может быть использован как на компьютере клиента с помощью «троянов» (изменяется таблица соответствия DNS имен и IP-адресов), так и непосредственно на DNS сервере интернет-провайдера клиента. Клиент пребывает в уверенности, что пользуется услугами банка и безбоязненно вводит платежные реквизиты. После этого личные данные клиента становятся доступными мошенникам, а клиент перенаправляется на официальный сайт банка. Для профилактики фарминга клиентам надлежит в обязательном порядке рекомендовать использование для доступа и совершения операций в системах ДБО только собственные персональные компьютеры с актуальной обновленной версией антивирусной программы с функциями «антихакер» и «антишпион». В противном случае нет никакой гарантии, что компьютер не заражен шпионскими (spyware) программами, собирающими персональные данные (логины, пароли), или «троянами» изменяющими параметры сетевой защиты и делающими компьютер уязвимым для несанкционированного доступа. Использовать для хранения ключевых данных USB-токенов. Мероприятия по противодействию мошенничеству: • обучение держателей карт мерам безопасного обслуживания карт, в том числе посредством систем ДБО. Клиент должен знать, что банки никогда не просят сказать или выслать им ПИН-код. Адреса сайтов банковских систем ДБО содержат признак использования защищенного канала связи https://; • использование одноразовых динамических паролей для аутентификации клиентов. Фальшивые банкоматы и пункты выдачи наличных Это достаточно экзотичный для России вид мошенничества, но имеющий немало прецедентов в мировой практике. Под видом банкомата устанавливается внешне похожее на банкомат устройство — либо изготовленное кустарно, либо собранное из запчастей. В США законодательно разрешается приобретение банкоматов частным лицам для получения комиссионного дохода, чем также пользуются мошенники. В любом случае устройства устанавливаются с одной целью: скопировать магнитную полосу и ПИН-код. В Турции зафиксированы неоднократные случаи компрометации реквизитов карт туристов в так называемых Post-office — конторах, предлагающих выдачу наличных по банковским картам с минимальной комиссией за операцию. Также надлежит избегать предложений со стороны торговцев обналичить денежные средства через POS-терминал, предназначенный для оформления покупки. Мероприятия по противодействию мошенничеству: • обучение держателей карт мерам безопасного обслуживания карт, в том числе использования банкоматов и пунктов выдачи наличных за границей, принадлежащих местным официальным кредитным организациям. Расположение банкоматов и банковских офисов можно заранее узнать на сайтах банков или сайтах международных платежных систем. Мировая практика противодействия мошенничеству показывает эволюционный характер развития мошеннической активности: наряду с появлением новых видов совершенствуются и адаптируются к новым условиям и старые. Мошенничество — динамичный процесс, требующий постоянного анализа и оперативного принятия ответных мер со стороны банковского сообщества. Однако к настоящему времени средства, которыми располагают банки для защиты своей эмиссии карт с магнитной полосой, оказались исчерпаны. Тяжелые финансовые и репутационные последствия, которые несет за собой скимминг, заставляют платежные системы, кредитные организации и их вендоров работать над продвижением технически совершенных EMV-технологий. Наработана достаточно убедительная статистика, показывающая смещение мошеннической активности от массово переходящих на микропроцессорные карты европейских стран в развивающиеся рынки Восточной Европы, России и страны Азиатского региона. Также благодаря модернизации банкоматной и POS-терминальной сети с поддержкой EMV произошло смещение объемов мошенничества в область транзакций CNP. Обратной стороной медали стало увеличение числа случаев компрометации ПИН-кода при его более частом использовании. Этот пример показывает, насколько важен комплексный подход в решении вопросов обеспечения безопасности, учитывающий интересы и возможности всех участников рынка. В то же время североамериканские эмитенты не спешат в большинстве своем мигрировать на чип, разительного удешевления EMV технологий за последнее десятилетие также не произошло. Можно с большой уверенностью говорить, что и в следующие десять лет карты с магнитной полосой, а также гибридные (с магнитной полосой и микропроцессором), не уйдут со сцены. Это означает, что вопросы безопасности карточного бизнеса для всех его участников останутся по-прежнему актуальными. Как уже говорилось, самостоятельные действия отдельно взятой кредитной организации или процессингового центра по обеспечению собственной безопасности сильно ограничены. Именно поэтому платежными системами разработаны и активно лоббируются меры, направленные на коллективную защиту всех участников индустрии безналичных платежей. Речь идет о единых стандартах платежных систем VISA Inc. и MasterCard Worldwide, определяющих требования по информационной безопасности и средства контроля за их повсеместным применением. Основной стандарт — Payment Card Industry Data Security Standard (PCI DSS), будет подробно описан в данной книге профильными специалистами. В завершение главы — обобщающий итог исходя из опыта защиты от мошенничества для банка-эмитента и банка-эквайрера. Практические меры комплексной защиты банка-эмитента 1. Действующая политика обеспечения безопасности эмиссии карт, устанавливающая обязанности и полномочия всех задействованных в процедурах выпуска и обслуживания банковских карт подразделений банка по защите от мошенничества, распределение зон и степени их ответственности. 2. Действующие процедуры проверки клиентских заявлений на выпуск карт. 3. Действующие регламенты по безопасной транспортировке, хранению, выдаче карт и ПИН-конвертов, уничтожению невостребованных карт и ПИН-конвертов. Обеспечение условия раздельной доставки и хранения карт и ПИН-конвертов. Пересылка карт только в заблокированном от использования виде. 4. Контроль и бухгалтерский учет заготовок карт, а также изготовленных, выданных и уничтоженных карт. 5. Соответствие процедур key-management[4 - Key-management — процедуры управления криптографическими ключами: генерация, хранение, доставка, использование и замена ключей для криптосистем с соблюдением требований обеспечения безопасности.], персонализации карт, печати ПИН-конвертов, хранения заготовок карт требованиям и стандартам международных платежных систем. 6. Использование систем он-лайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в авторизации, блокировка карты, установление лимитов по операциям). 7. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка карты, установление лимитов по операциям). 8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS). 9. Обязательное обучение держателей карт правилам безопасного хранения и использования карт. Бесплатное предоставление держателям карт средств самостоятельного контроля операций (смс-информирование). 10. Обязательное обучение сотрудников банка, задействованных в процедурах выпуска и обслуживания банковских карт, мерам по защите от мошенничества. 11. Перевод эмиссии на микропроцессорные карты с правилом обслуживания Chip&PIN, поддержка протокола 3D Secure на стороне эмитента. 12. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц. 13. Блокировка и перевыпуск скомпрометированных карт банка. 14. Выполнение требований стандартов безопасности карточных систем PCI DSS. Практические меры комплексной защиты банка-эквайрера 1. Действующая политика обеспечения безопасности терминальной сети для обслуживания карт, устанавливающая обязанности и полномочия всех задействованных в процедурах развития и эксплуатации терминальной сети подразделений банка по защите от мошенничества, распределение зон и степени их ответственности. 2. Действующие процедуры проверки заявлений ТСП перед заключением договоров. 3. Периодическая инспекция ТСП — посещение сотрудника банка, проверка на соответствие характера деятельности ТСП заявленному в заявлении. 4. Использование систем он-лайн мониторинга авторизационного трафика с возможностью анализа и принятия решения по подозрительным операциям с целью минимизации рисков (отказ в проведении операции, блокировка терминала). 5. Использование систем мониторинга транзакционной активности по клиринговым сообщениям, в том числе сообщениям претензионного цикла, и принятие решения по подозрительным операциям с целью минимизации рисков (блокировка терминала, блокировка ТСП). 6. Организация мониторинга программной, аппаратной и коммуникационной составляющих банкоматной сети на подверженность мошенническим воздействиям. 7. Соответствие процедур key-management требованиям международных платежных систем, криптозащита информации, передаваемой через публичные коммуникационные сети. 8. Мониторинг оповещений международных платежных систем (Security bulletins, Fraud Reporting: SAFE, FRS, RIS, NMAS, MATCH). 9. Поддержание базы данных ТСП, договоры с которыми были расторгнуты или заявления на обслуживание в банке были когда-либо отклонены. 10. Поддержка протокола 3D Secure на стороне эквайрера, поддержка EMV в банкоматной и POS-терминальной сети. 11. Обязательное обучение работников ТСП правилам приема и обслуживания банковских платежных карт, стандартам безопасности международных платежных систем, выявлению и пресечению попыток использования поддельных и украденных карт. Разъяснение правовой ответственности за соучастие в мошенничестве с платежными картами, персональной ответственности работников ТСП за соблюдение правил банка и УК РФ. 12. Обязательное обучение сотрудников банка, задействованных в развитии и эксплуатации терминальной сети, мерам по защите от мошенничества. 13. Страхование рисков карточного бизнеса банка от мошенничества со стороны третьих лиц. 14. Выполнение требований стандартов безопасности карточных систем PCI DSS. Уголовная ответственность за преступления в сфере банковских карт Потери в сфере платежных банковских карт По нашим оценкам, основанным на анализе данных платежных систем, в 2009 г. потери от криминальных посягательств на финансовые средства в сфере оборота платежных карт во всем мире составили порядка 7 млрд долл. США, в то время как в 2007 г. эти потери составляли 5,8 млрд долл. Во многих странах уделяется большое внимание данной проблеме, созданы специальные полицейские подразделения, нацеленные на борьбу с преступлениями в этой сфере. В данном разделе произведен анализ уголовного и уголовно-процессуального законодательства Российской Федерации, судебно-следственной практики, а также обобщен практический опыт структур банковской безопасности. По данным МВД РФ, потери в сфере банковских платежных карт в 2010 г. составили всего 9 млн руб., в 2009 г. эта цифра составляла 63 млн, а в 2008 г. — 24 млн руб. Однако данные МВД РФ дают далеко не полную картину финансовых потерь. Получить же достоверные цифры потерь в сфере платежных банковских карт в Российской Федерации довольно сложно. Центральный банк такую статистику не ведет. Дело в том, что полной информацией о фактах хищения денежных средств с банковских карт владеют только сами банки. Для того чтобы собрать статистику по всей стране, необходимы какие-либо механизмы. У ЦБ РФ, таких механизмов нет — он ничем не может заинтересовать кредитные организации с целью предоставления информации и при этом абсолютно не может контролировать операции по банковским картам с целью проверки предоставляемых данных. В отличие от ЦБ РФ международные платежные системы имеют в своем распоряжении механизмы получения информации о потерях в банках и давно ведут такую статистику. В России в 2009 г. 88,1 % оборотов по банковским картам составили карты международных платежных систем VISA (61,6 %) и MasterCard (26,5 %). Однако сведения эти носят конфиденциальный характер и крайне редко разглашаются платежными системами. На постоянной основе доступ к этой информации имеют сотрудники банков членов международных платежным систем. Для определения суммы потерь в сфере банковских платежных карт авторами была использована следующая методика: • данные платежных систем VISA и MasterCard (в долларах США) складываются между собой; • на основе данных ЦБ РФ вычисляется доля этих двух крупнейших систем и остальных участников рынка; • сумма потерь увеличивается пропорционально, но при этом считается, что остальные платежные системы несут потери только по украденным и потерянным картам (предполагается, что потери по поддельным картам и в сети Интернет отсутствуют); • вычисляется среднегодовой курс рубля к доллару США и пересчитывается общая сумма потерь в рублях. Данная методика имеет свои минусы и погрешности. Потери международных платежных систем делятся на эмиссионные (потери по картам эмитента) и эквайринговые (потери в терминальной сети эквайрера — ATM, ТСП). Поэтому, с одной стороны, если хищение произошло по российской карте на территории России, то сумма потерь будет учтена как по эмитенту, так и по эквайреру; с другой стороны, если и эмитент и эквайрер — одно лицо, то скорее всего сумма потерь совсем не попадет в отчеты. Несмотря на это более точной методики определения потерь по России авторам в настоящий момент неизвестно, в то же время с ее помощью достаточно хорошо просматривается динамика изменения потерь (табл. 1.1). Полученные данные, основанные на информации платежных систем (ПС), сравним с данными МВД РФ (табл. 1.2). В результате сравнения получим, что латентность (скрытость) хищений составляет порядка 95 %, т. е. из похищенных в 2009 г. по банковским картам россиян или в банкоматах, торгово-сервисных предприятиях 989 млн руб. МВД РФ разыскивало только 63 млн, остальные 926 млн руб., или 33 млн долл. США, были безнаказанно присвоены криминальными элементами. При этом информация о преступлениях до правоохранительных органов не дошла, следовательно, не были возбуждены уголовные дела и злоумышленников никто даже не искал. Если принять во внимание, что в Интернете готовая к использованию поддельная банковская платежная карта стоит в среднем 100–200 долл. США, а похитить с ее помощью можно 1–3 тыс. долл., то получается, что криминальный кардерский бизнес становится очень прибыльным и при этом достаточно безопасным (безнаказанным). Невольно вспоминаются слова Карла Маркса о том, что ни один капиталист не остановится перед совершением любого преступления, если прибыль будет составлять 300 %. Поэтому криминальный мир давно обратил свое внимание на банковские карты. Очень часто имеет место трансграничная преступность, правоохранительные органы во многих странах, в том числе и в России, сталкиваются с международными преступными сообществами. Чтобы противостоять такому мощному криминальному натиску, в стране должна быть построена четкая система противодействия преступным посягательствам, включая законодательную, судебную, исполнительную (правоохранительные органы) ветви власти, коммерческие структуры (банки, процессинговые центры, платежные системы). К сожалению, приходится констатировать, что в России в настоящий момент такой системы нет. В настоящий момент, по данным за 2009 г., в мире наиболее распространены следующие виды хищений в сфере платежных карт: 1) осуществление операций без физического присутствия карты (интернет-платежи) — 41,08 %; 2) операции с использованием поддельных карт — 34,16 %; 3) операции с использованием утраченных (украденных, потерянных) карт — 19,44 %. Таким образом, на данные виды хищений в общей сложности в мире приходится 94,68 % преступлений. В России картина карточных потерь несколько иная. Потери от операций без физического присутствия карты составляют всего 2–3 % (это, вероятнее всего, можно объяснить недостаточной развитостью интернет-торговли), а вот потери в банкоматной сети в 2009 г. составили 38 % от всех потерь. Таким образом, наиболее безопасный с точки зрения технологии банковских карт вид операций — снятие наличных денежных средств в банкоматах — в России по уровню потерь практически соответствует мировому уровню потерь от наиболее рискованных операций в сети Интернет. Соотношение эмиссионных и эквайринговых потерь в 2009 г. составляло 41 и 59 % соответственно (банкоматные потери: 38 %, 62 %). В 2010 г. имеет место тенденция к еще большему увеличению доли эквайринговых потерь — до 70 %. Это говорит о том, то Россия стала благоприятной страной для использования поддельных банковских платежных карт. Наиболее значимые условия, которые этому способствуют, — неэффективность правоохранительной системы и неготовность эквайринговой сети российских банков к приему микропроцессорных (EMV) карт. Количество терминалов (АТМ, POS), способных обслуживать EMV-карты международных платежных систем, в 2010 г. составляло около 65 %, количество EMV-карт — 50 %. Данное положение хорошо характеризует средняя сумма одной мошеннической операции в мире и РФ (табл. 1.3). Как видно из табл. 1.3, цифры по России практически в два раза выше, чем общемировые. Несмотря на относительно высокие цифры потерь от незаконных операций в сфере платежных банковских карт, международные платежные системы не очень обеспокоены данным вопросом в России, так как в общемировых потерях доля России составляет менее 0,5 %. Безусловным лидером по данному показателю являются США — более 40 % и Европа — более 30 %. Криминальная деятельность и Уголовный кодекс Российской Федерации Наиболее распространенные преступления в сфере платежных карт: • незаконное получение конфиденциальной информации; • изготовление поддельных карт; • использование поддельных карт; • незаконное использование подлинных карт; • незаконное использование реквизитов карт. С точки зрения платежных систем и специалистов, занимающихся безопасностью платежных карт, сложилась устоявшаяся терминология в определении незаконной (криминальной) деятельности в данной сфере. Но для того чтобы в Российской Федерации можно было за криминальную деятельность в сфере оборота платежных карт привлечь к уголовной ответственности, необходимо, чтобы ответственность за такие действия была предусмотрена в Уголовном кодексе РФ (УК РФ). Так, ст. 3 УК РФ определяет принцип законности следующим образом. «1. Преступность деяния, а также его наказуемость и иные уголовно-правовые последствия определяются только настоящим Кодексом.» Другими словами международная терминология — кардинг, скимминг, фишинг и т. п. — для осуществления уголовного наказания применяться не может. Необходимо проанализировать криминальную деятельность в сфере платежных карт на соответствие объективной стороне состава преступления по соответствующим статьям УК РФ. Что же можно найти в УК РФ, касающееся банковских карт? Для наглядности сведем действия злоумышленников и статьи УК РФ в табл. 1.4. Для интернет-коммерции из таблицы необходимо исключить этап изготовления поддельных карт (табл. 1.5). Необходимо учитывать, что данные таблицы представляют наиболее типичные преступления и не учитывают всех аспектов противоправных деяний, связанных с рассматриваемой сферой. Например, незаконные операции приобретения товаров с использованием поддельных банковских карт или похищенных реквизитов банковских карт могут сопровождаться легализацией (отмыванием) денежных средств или иного имущества, приобретенных лицом в результате совершения им преступления (ст. 174.1 УК РФ), и др. Юридическая квалификация и виды хищений, совершаемых с платежными картами Понятие, виды и способы совершения хищений в сфере оборота платежных карт Изучение судебно-следственной практики позволило систематизировать виды и способы совершения общественно опасных деяний с использованием платежных карт и дать им уголовно-правовую характеристику. Характерной чертой указанных преступлений является их корыстная направленность, связанная с совершением различного рода хищений, а также причинением имущественного ущерба путем обмана или злоупотребления доверием при отсутствии признаков хищения. Так, в зависимости от обстоятельств преступления, квалифицировать хищения, совершаемые с платежными картами, можно как кражу (ст. 158 УК РФ), мошенничество (ст. 159 УК РФ), а также как причинение имущественного ущерба путем обмана или злоупотребления доверием (ст. 165 УК РФ). «Кража» — ст. 158 УК РФ Кража законодателем определена как тайное хищение чужого имущества. В целом же под хищением в УК РФ понимается совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества[5 - См. примечание к ст. 158 УК РФ в ред. Федерального закона от 8 декабря 2003 г. № 162-ФЗ «О внесении изменений и дополнений в Уголовный кодекс Российской Федерации» (в ред. от 7 апреля 2010 г. № 60-ФЗ) // Собрание законодательства Российской Федерации. 2003. № 50. Ст. 4848.]. Как кражу следует квалифицировать деяния, связанные с использованием платежных карт, в следующих ситуациях: • Совершено хищение денежных средств из банкомата при помощи поддельной платежной карты. • Совершено хищение денежных средств из банкомата при помощи утерянной, украденной или временно выбывшей из владения законного держателя платежной карты: так как зачастую после снятия денег платежная карта возвращается (подбрасывается) обратно. Указанное стало возможным при использовании ПИН-кода держателя карты[6 - Конфиденциальность ПИН-кода утрачивается в результате подсматривания (например, с подобной ситуацией столкнулись следователи Челябинской области при расследовании уголовного дела № 605605 в отношении Л. Б. Рудя) либо в результате небрежности держателя платежной карты. Зачастую ПИН-код записан в записной книжке или в записке, носимой с платежной картой, на самой платежной карте и т. д., например, уголовное дело № 125981, находившееся в производстве следователей г. Егорьевска (Московская область), когда платежная карта потерпевшей была похищена из сумки вместе с ПИН-кодом. Наряду с указанным можно привести пример: уголовное дело № 1-201/2006, рассмотренное в Пожарском районном суде в отношении С. Н. Шаповалова, где платежная карта и записка с ПИН-кодом были похищены из квартиры потерпевшего в ходе квартирной кражи.]. • Хищение путем физического воздействия на банкомат. Например, в уголовном деле № 030410864, возбужденном СУ при УВД по Липецкой области в отношении М. по факту использования «белого пластика», хищение денежных средств из банкомата было квалифицировано как тайное хищение, т. е. как кража. Решение о квалификации деяний в пользу кражи мотивируется тем, что отсутствует лицо, которое вводится в заблуждение, объясняя это тем, что банкомат нельзя ввести в заблуждение. В связи с чем в декабре 2007 г. Пленумом Верховного Суда Российской Федерации были даны следующие разъяснения: «Хищение чужих денежных средств, находящихся на счетах в банках, путем использования похищенной или поддельной кредитной либо расчетной карты следует квалифицировать как мошенничество только в тех случаях, когда лицо путем обмана или злоупотребления доверием ввело в заблуждение уполномоченного работника кредитной, торговой или сервисной организации (например, в случаях, когда, используя банковскую карту для оплаты товаров или услуг в торговом или сервисном центре, лицо ставит подпись в чеке на покупку вместо законного владельца карты либо предъявляет поддельный паспорт на его имя)». Таким образом, хищение чужих денежных средств путем использования заранее похищенной или поддельной кредитной (расчетной) карты, если выдача наличных денежных средств осуществляется посредством банкомата без участия уполномоченного работника кредитной организации, рекомендуется квалифицировать по соответствующей части ст. 158 УК РФ, т. е. как кражу[7 - См. постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51 // Российская газета. 2008. 12 янв.]. С нашей точки зрения, такая позиция судебной власти не совсем корректна. Ошибка заключается в неполном понимании того, что банкомат является частью банковских услуг, предоставляемых банком, аналогичных тем услугам, которые оказываются сотрудниками в помещении банка. И поэтому для квалификации хищений с использованием банковских карт, где именно осуществляется данное деяние — в банкомате или торговом предприятии, — большого значения не имеет, так как определяющим признаком кражи является ее тайный характер, а мошенничества — обман. При несанкционированных держателем банкоматных операциях по поддельным или утраченным картам осуществляется авторизационный запрос. То есть у банка-эмитента через банк эквайрер запрашивается разрешение на получение определенной суммы наличных денежных средств. Если потерпевшим будет признан банк, то говорить о тайном характере хищения, т. е. о краже, некорректно. Банки прекрасно знают, что в данный момент времени по данной карте осуществляется операция получения наличных денежных средств на указанную сумму. Но о том, что эту операцию производит ненастоящий держатель карты, банк не знает. Как раз наоборот, банк на основании номера карты идентифицирует своего клиента и считает, что именно ему оказывается услуга. То есть имеет место хищение путем обмана и необходимо применять ст. 159 УК РФ. В подтверждении данной позиции можно проанализировать хищения с использованием сети Интернет или мобильных средств связи. Практика показывает, что уголовные дела возбуждаются по статье «мошенничество», а не «кража», хотя здесь, как и в случае с банкоматом, злоумышленник использует технические средства (компьютеры, мобильные телефоны и др.), которые нельзя обмануть. Проведенное изучение судебно-следственной практики показало, что наибольшее количество от всех хищений в данной сфере совершено близкими родственниками, знакомыми и коллегами. Такие преступления были отмечены в Ставропольском крае[8 - См., например, уголовное дело № 41368 по обвинению А. П. Кравцовой в краже у своего отца П. С. Кравцова денежных средств путем использования его платежной карты (г. Невинномысск Ставропольского края).], Кемеровской, Московской[9 - См. уголовное дело № 116260 по обвинению Д. Г. Кругловой в краже денежных средств ее бабушки Л. И. Борисовой.], Курганской[10 - См. Уголовное дело № 1-294/07 (Мировой судья И. В. Харченко, г. Курган, Курганская область) по обвинению Л. А. Спиркиной в краже денежных средств с использованием платежной карты А. Г. Домрачевой.], Владимирской и иных областях. Одним из примеров является уголовное дело, возбужденное в отношении Р. О. Колдунова, осужденного судом Кемеровской области по ч. 2 ст. 158 УК РФ, который, находясь в гостях у потерпевшего — своего знакомого, воспользовавшись его отсутствием, похитил платежную карту Сбербанка России «Сберкарт» и совершил по ней хищение денежных средств в банкомате с причинением значительного ущерба. Отметим также, что признаки мошенничества в виде злоупотребления доверием могут иметь место и в случае хищения денежных средств из банкоматов с использованием подлинных карт и ПИН-кодов. Так как совершение хищений по ряду уголовных дел стало результатом злоупотребления доверием законных держателей платежных карт. В пользу необходимости квалификации по ст. 159 УК РФ можно говорить, если деяние совершено со злоупотреблением доверия, это в первую очередь относится к категории «бытовых», «семейных» преступлений. Когда близкие родственники, сожители и другие лица, проживающие на одной территории, не предполагают, что в их отсутствие кто-то из указанных лиц может похитить деньги. Резюмируя изложенное, отметим, что даже при отсутствии единого мнения у юристов о квалификации данного вида хищений санкции за указанные деяния, предусмотренные законодателем в ст. 158 и ст. 159 УК РФ, одинаковы. «Мошенничество» — ст. 159 УК РФ Следующим и одним из самых распространенных на сегодняшний день преступлений в данной сфере является мошенничество, определенное законодателем как хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием[11 - См. ст. 159 УК РФ в ред. Федерального закона от 8 декабря 2003 г. № 162-ФЗ «О внесении изменений и дополнений в Уголовный кодекс Российской Федерации» (в ред. от 7 апреля 2010 г. № 60-ФЗ) // Собрание законодательства Российской Федерации. 2003. № 50. Ст. 4848.]. В традиционном понимании мошеннические действия с платежными картами представляют собой: Приобретение товаров и услуг в торгово-сервисных предприятиях с использованием поддельных платежных карт, в том числе «белого пластика». Из практики расследования уголовных дел видно, что мошенничество выражается в непосредственном контакте с потерпевшим, либо с его представителями, либо с иными связанными с ним лицами с целью обмана или злоупотребления доверием. В практике расследований отмечены факты интернет-мошенничеств, совершенные с использованием реквизитов платежных карт: «Интернет-мошенничество» — ст. 159 УК РФ. Приобретение товаров в интернет-магазинах посредством использования реквизитов платежных карт законных держателей. Перевод денежных средств законного держателя платежной карты в электронные безналичные системы финансовых расчетов в Интернете для дальнейшего их использования или обналичивания. Хищение безналичных денежных средств со счетов держателей платежных карт посредством неправомерного использования Интернета, мобильного банкинга. «Причинение имущественного ущерба путем обмана или злоупотребления доверием» — ст. 165 УК РФ Завершая краткий юридический анализ хищений (ответственность за которые предусмотрена ст. 158, 159 УК РФ), совершенных при помощи платежных карт, хотелось бы обратить внимание и на ст. 165 УК РФ. По данной норме должны квалифицироваться деяния, когда совершается причинение имущественного ущерба собственнику или иному владельцу имущества путем обмана или злоупотребления доверием при отсутствии признаков хищения. Если потерпевшей стороной будет признано торговое предприятие, которое предоставляет услуги, выполняет работы (телефонная компания, гостиница, компания по аренде автомобиля и др.), квалификации по данной статье подлежат телефонные переговоры, проживание в гостинице, аренда автомашины и многое другое, незаконно полученное за счет держателя платежной карты. Так как перечисленные действия, по сути, не образуют состава мошенничества, они должны квалифицироваться по ст. 165 УК РФ[12 - Отметим, что использование реквизитов платежных карт для оплаты интернет-услуг (хостинг, доменные имена, реклама и др.) зачастую сопряжено с подготовкой иных преступлений: распространение детской порнографии, вымогательство, — а равно с противодействием расследованию.]. Предмет и объект данной категории преступлений Предмет и объект мошенничества и кражи, как виды хищений имущества, совершаемых при помощи платежных карт, совпадают. Объект — это общественные отношения, на которые направлено преступное посягательство, в данном случае право собственности; предмет преступления в нашем случае, как правило, денежные средства. Как следует из опыта расследования традиционных краж, предметом хищения является чужое имущество, которое должно быть осязаемым, как вещь. Вместе с тем к имуществу относятся и денежные средства на счетах в кредитных учреждениях, которые с точки зрения гражданского права (ст. 845 ГК РФ) являются правами требования к кредитным учреждениям, а также ценные бумаги (например, вексель) и наличные деньги, которые могут быть непосредственным предметом оборота, являясь ценными сами по себе без необходимости совершения каких-либо дополнительных действий для придания такой ценности (ст. 128 ГК РФ). Один из ключевых вопросов при определении предмета хищения: «Похищен товар или нанесен ущерб при предоставлении услуг, работ держателю карты?» Вместе с тем при различении объектов кражи и мошенничества необходимо обратить внимание на то, что хищение непосредственно платежных карт и платежных документов, по сути не имеющих стоимости, но предоставляющих возможность получения денежных средств, не формирует состава кражи, но является приготовлением к совершению мошенничества. Таким образом, предметом мошенничества может быть не только непосредственно имущество, но и права на него. Добавим, что если мошенничество совершено в форме приобретения права на чужое имущество, преступление считается оконченным с момента возникновения у виновного юридически закрепленной возможности вступить во владение или распорядиться чужим имуществом как своим собственным. В практике встречаются случаи, когда завладение платежными картами, например при краже личных вещей, в ходе грабежа и разбоя, квалифицируется по ст. 158 УК РФ. Данное преступление является малозначительным, так как сами по себе платежные карты имеют небольшую материальную стоимость и в дополнение все платежные карты являются собственностью банка-эмитента, что также написано на самих картах. Одним из дискуссионных вопросов при расследовании хищений в данной сфере является установление предмета преступления. Изначально кажется, что предметом преступления являются похищенные в торговой точке товары (телефоны, ноутбуки, телевизоры и т. п.), так как именно они остаются в распоряжении лица, совершившего хищение. Однако в соответствии с принципами осуществления безналичных расчетов с использованием платежных карт предметом хищения (до приобретения каких-либо товаров) являются денежные средства на банковском счете. Одновременного хищения и товаров в торговой точке, и денежных средств на банковском счете быть не может. При осуществлении хищений через банкоматы предметом посягательства являются непосредственно денежные средства банка, обслуживающего банкомат. В отношении хищений, совершаемых в торговых точках, пояснения требует вопрос, что похищается — имущество магазина либо денежные средства банка и кто должен быть признан потерпевшим. Похищенные товары или обманным путем полученные услуги (например, телефонные переговоры, проживание в гостиницах, аренда автомобилей, оплата такси и др.) также имеют денежную стоимость, так как за них по системе безналичных расчетов были переведены деньги. Установление потерпевшего Безусловно, потерпевшим признается лицо (либо его представитель), которому непосредственно причинен ущерб на момент окончания преступления. Наличие ущерба доказывается установлением причинно-следственной связи между действиями злоумышленника и общественно опасными последствиями. В отличие от других случаев для сферы оборота платежных карт характерно наличие сложной системы взаиморасчетов между кредитными учреждениями и их клиентами. Однако после совершения хищения все дальнейшие возмещения и взаиморасчеты обусловлены гражданско-правовыми отношениями. В этой связи в случае совершения хищения через банкомат и в торговой точке (в том числе через Интернет) потерпевшим может быть любой участник расчетов, так как все они вводятся в заблуждение относительно действий законного держателя карты, к тому же в результате гражданско-правовых отношений реальный ущерб, исходя из конкретных обстоятельств дела, может быть причинен любому участнику. Как быть, если платежная карта, по которой совершено мошенничество, принадлежит иностранному банку? Здесь практика пошла по пути признания потерпевшим банка-эквайрера, так как именно его наличные денежные средства изымаются из банкомата. Более того, если банк-эмитент или банк-эквайрер застраховали свои бизнес-риски, то страховщик в соответствии с договором погасит банку-эмитенту или банку-эквайреру убытки, тем самым нивелируя вопрос их причинения и возмещения. При хищении денежных средств по платежным картам, выпущенным российскими банками, потерпевшими обычно признаются банки-эмитенты. Безусловно банк по каждому случаю проводит проверку (например, сверяет данные о клиенте с видеозаписью с банкомата), а иногда указанные факты устанавливаются в ходе доследственной проверки, проводимой сотрудниками правоохранительных органов. Зачастую факт хищения выявляется при предъявлении кредитным учреждением суммы долга с держателя платежной карты, возникшего из-за преступных действий третьих лиц. Признаки и содержание объективной стороны Проведенный анализ следственной практики позволил выделить следующие виды завладения подлинными платежными картами. Платежные карты выбывают из владения законных держателей, как правило: 1) в результате кражи из квартир, из одежды, личных вещей, с рабочих мест, из автомобиля, раздевалок спортивных клубов и т. п.; 2) в результате «карманных» краж на улице; 3) при совершении грабежа или разбоя; 4) в результате их утери. Завладеть реквизитами подлинных платежных карт мошенники могут при совершении таких деяний, как неправомерный доступ к компьютерной информации (ст. 272 и 273 УК РФ). Также реквизиты оригинальных платежных карт похищаются путем компрометации оригинальных карт (считывание реквизитов персоналом торговых точек с помощью специальных устройств — «скиммеров») либо скрытого считывания с помощью накладок на банкоматы, а также в результате действий хакеров — взломов процессинговых центров или сетей торговых предприятий. Завладев реквизитами платежных карт, лицо совершает хищение, признаки объективной стороны которого позволяют определить его действия как мошенничество или кражу. Практика свидетельствует, что целью завладения либо изготовления подлинных платежных карт, поддельных платежных карт или «белого пластика» является корыстный умысел, направленный на хищение денежных средств. Объективная сторона кражи В начале данного раздела в общих чертах дано понятие кражи, тайность совершения которой обеспечивается тем, что преступные действия должны совершаться в отсутствие владельца похищаемого имущества, а также посторонних наблюдателей. Вместе с тем кража может быть совершена с использованием маскировки. Так, получение денежных средств из банкомата по чужой платежной карте относится к таким случаям. Помимо маскировки, относящейся к активным действиям злоумышленника, кража может быть совершена в случае беспомощного состояния потерпевшего (сон, алкогольное опьянение и др.). Поэтому при исследовании объективной стороны хищения необходимо выявить причинно-следственную связь между реальным ущербом, причиненным собственнику или иному владельцу имущества, и действиями лица, совершившего хищение. Соответственно кража будет считаться оконченной с момента утраты собственником возможности распоряжаться своими денежными средствами. Размер причиненного ущерба как квалифицирующий признак для рассматриваемой категории преступления определяется на общих основаниях. Однако при оценке крупных размеров хищения необходимо учитывать возможность умысла при совершении хищения в крупных размерах путем совершения ряда преступлений. Также сложным является определение преступления как длящегося или продолжаемого. Поэтому конкретный предмет посягательства, на наш взгляд, зависит от определения: 1) момента окончания преступления; 2) признания потерпевшего; 3) определения умысла. 4) избранного мошенником способа (банкомат или торговая точка или расчеты в сети Интернет). Вопрос квалификации предмета хищения тесно связан с проблемой определения потерпевшего. Результаты расследования преступлений показывают, что подавляющее большинство выявляемых преступлений, совершенных в форме снятия наличных денег через банкоматы, совершается с утерянными либо украденными ПИН-кодами и платежными картами. Именно к этой категории относятся многие десятки уголовных дел о «бытовых кражах», в ходе которых незаконно использовались платежные карты родственников, друзей, коллег по работе и знакомых. Из практики видно, что большинство граждан становятся жертвами своей же беспечности. Узнать ПИН-код на сегодняшний день можно, подглядев его из-за спины держателя при снятии им наличных денег через банкомат, в результате оказания помощи по снятию наличных денег через банкомат[13 - Схема достаточно проста: пожилой человек всегда рад помощи, подсказке при наборе соответствующих цифр.], зачастую ПИН-код записан и хранится в кошельке либо ином месте хранения платежной карты, в записных книжках. Как правило, совершение хищений по платежным картам в «бытовых случаях» обычно совершается в близстоящем от места завладения самой платежной картой банкомате, либо рядом с местом проживания, отдыха или работы злоумышленника. Отметим, что в ряде случаев для снятия денежных средств используются банкоматы банков-эмитентов, что упрощает получение необходимой информации в дальнейшем. Объективная сторона мошенничества Как указано ранее, способы совершения мошенничеств в сфере оборота платежных карт можно разделить на три основные группы: Схема достаточно проста: пожилой человек всегда рад помощи, подсказке при наборе соответствующих цифр. 1) с использованием поддельных платежных карт, в том числе «белого пластика», путем совершения покупок в магазинах и снятия денежных средств через банкоматы; 2) с использованием похищенных, найденных подлинных платежных карт путем снятия денежных средств в банкоматах, покупок в магазинах; 3) с использованием реквизитов подлинных платежных карт для совершения операций через Интернет; Существенно также то, что совершение мошенничества путем снятия наличных денег в банкомате по подлинным платежным картам, полученным в распоряжение обманным путем, не отличается от совершения краж, в то время как совершение мошенничеств при покупке товаров имеет свои особенности. К случаям обмана и злоупотребления доверием относится также сговор с персоналом. Характерно, что в случае использования поддельных документов с подлинной платежной картой злоумышленник очень часто выдает себя за иностранного гражданина и, рассчитывая на неподготовленность персонала магазина, предъявляет поддельные документы, которые не могут использоваться для его идентификации в России, например права на вождение автомобиля. Магазинные мошенничества обычно совершаются в составе преступных групп, с разделением ролей и функций. К другой группе относятся хищения средств по платежным картам, не активированным или не полученным их владельцами по системе почтовой связи Российской Федерации. Как правило, хищение возможно в районных узлах связи или из почтового ящика конкретного абонента[14 - Например, уголовное дело № 0671621 по обвинению Н. В. Удовик в хищении денежных средств с использованием служебного положения (Сергиевский район, Самарская область); уголовное дело № 869882 по обвинению Д. М. Хамандритова в хищении денежных средств (г. Исилькуль, Омская область); и др.]. Стоит помнить, что платежные карты по системе почтовой связи направляются лицам, ранее погасившим потребительские кредиты. Высылаемые кредитные карты не активированы, т. е. предоставляются без ПИН-кодов. Для получения ПИН-кода и выражения согласия на использование кредитной линии держатель карты связывается по телефону с банком и сообщает свои персональные данные. Зачастую получатели подобных писем не активируют платежные карты, но хранят их у себя дома или на рабочем месте. Помимо активации неполученных карт с последующим хищением в практике имеются и более сложные случаи. Так, в уголовном деле № 7553 по обвинению И. И. Илюхина, А. А. Тюленева, Н. И. Черниковой в мошенничестве с целью хищения денежных средств с платежных карт мошенническим путем (г. Курск, Курская область) обвиняемые, представляясь сотрудниками банка, получали в свое распоряжение копии документов, удостоверяющих личность потерпевших, их платежные карты, после этого увеличивали по телефону кредитный лимит по похищенным платежным картам с дальнейшим снятием денежных средств в банкоматах. В уголовном деле № 620689 по обвинению Л. В. Житниковой, А. В. Гудкова, О. Н. Слепенькиной в мошенничестве с целью хищения денежных средств с платежных карт (г. Бор, Нижегородская область) обвиняемые покупали у почтальона неактивированные платежные карты, уточняя анкетные данные потерпевших под видом работников социальной или медицинской службы для их дальнейшей активации и снятия денежных средств через банкомат. В практике определенные затруднения вызывают случаи, когда необходимо квалифицировать действия лиц, задержанных либо подозреваемых в неправомерном использовании платежных карт, при наличии незавершенного мошенничества. Так, часто попытки приобретения дорогостоящих товаров по поддельным платежным картам или личным документам пресекаются персоналом магазинов, а подозреваемый предпринимает попытки скрыться с места происшествия. При расследовании такого рода случаев преступное событие необходимо квалифицировать не как сбыт поддельной платежной карты, а как попытку совершения хищения мошенническим путем, поскольку имеющиеся на момент возбуждения материалы свидетельствуют о наличии умысла на завладение чужим имуществом путем обмана и злоупотребления доверием. Квалифицирующие признаки мошенничества в отношении размеров причиненного ущерба аналогичны признакам кражи. Перевод денежных средств со счета, для использования которого выпущена платежная карта, в электронные (безналичные) системы финансовых расчетов в Интернете обычно заканчивается стадией отмывания полученной материальной выгоды путем приобретения товаров, услуг, результатов интеллектуальной деятельности, переуступки прав на средства, находящиеся на счете в системе электронной валюты. Уязвимость преступной схемы состоит в необходимости рано или поздно вывести средства из системы электронных финансовых расчетов в обычный денежный оборот, что осуществляется через определенных операторов указанных систем. В этой связи в зависимости от факта получения либо неполучения платежной карты лицом, на чье имя она выпущена, можно предположить следующие формы преступной деятельности и подозреваемых (рис. 1.5). Объективная сторона причинения имущественного ущерба путем обмана или злоупотребления доверием Признаки причинения имущественного ущерба путем обмана или злоупотребления доверием без признаков хищения могут иметь место в случаях использования реквизитов платежных карт для приобретения результатов интеллектуальной деятельности, которые не являются имуществом с точки зрения гражданского права, например, программного обеспечения. В практике имеются случаи приобретения с помощью скомпрометированных реквизитов платежных карт различных результатов интеллектуальной деятельности, имеющих реальную ценность для компьютерных игроков. После приобретения таких объектов их продают с прибылью обычно в обмен на наличные денежные средства либо через системы электронных платежей в Интернете. Для хищений с «белым пластиком» (помимо снятия денежных средств через банкоматы и проведения операций через электронные торговые терминалы в предприятиях торговли в сговоре с кассиром) характерно совершение операций в торгово-сервисных терминалах самообслуживания — автоматах по продаже автобусных или железнодорожных билетов, счетчиках на автомобильных стоянках, автоматических терминалах на АЗС, телефонах, на платных дорогах и др. При данных операциях существует ограничение по максимальной разрешенной сумме операций, но их размер делает нерентабельным участие в их осуществлении и контроле персонала. Субъект и субъективная сторона хищений, совершаемых в данной сфере Субъектом хищений на общих основаниях признается вменяемое физическое лицо, однако ответственность по ст. 158 УК РФ наступает с 14 лет, а по ст. 159 и 165 УК РФ — с 16 лет. Для любого хищения характерно наличие у виновного прямого умысла, направленного на завладение чужим имуществом с целью обращения в свою пользу или передачу с корыстной целью другим лицам. Виновный всегда осознает общественную опасность своих действий и то, что имущество чужое, предвидит наступление материального ущерба для собственника или иного владельца имущества и желает этого. Соучастие в хищении подразумевает, что соучастники знают о корыстном характере действий исполнителя преступлений, хотя могут иметь и другие побуждения. Более того, в некоторых случаях возможно систематическое вовлечение в преступную деятельность невиновных лиц (например, «дропы», курьеры и т. п.). В отношении хищений в сфере оборота платежных карт применяются все те квалифицирующие признаки, которые характерны для остальных видов хищений. Отметим, что в отличие от краж, большое число мошенничеств, особенно в отношении платежных карт иностранных банков-эмитентов, совершается организованными группами. Вместе с тем организованные группы имеют естественную «специализацию» по неактивированным российским картам или иностранным поддельным картам и «белому пластику», а также преступлениям в Интернете с использованием реквизитов платежных карт без изготовления пластиковых носителей. Для некоторых мошенничеств в сфере оборота платежных карт, а именно тех, что связаны с хищением и активацией платежных карт, характерно их совершение почтальонами, которые не являются специальным субъектом, хотя преступление совершается с использованием служебного положения. При расследовании хищений, совершенных при помощи платежных карт, особенно выпущенных российскими банками, необходима проверка версии совершения преступления с ведома или по поручению законного держателя платежной карты, который в этом случае рассчитывает на возмещение банком его убытков. Субъективная сторона кражи Как уже ранее упоминалось, в большинстве краж в сфере оборота платежных карт субъектами преступления являются родственники и иные лица из ближайшего окружения потерпевшего. Характерно, что значительное количество преступлений обусловлено внезапно возникшим корыстным умыслом и совершается без предварительного планирования и подготовки. В связи с этим характерно и наличие уголовных дел и приговоров с примирением потерпевших и обвиняемого, а также случаев полного возмещения нанесенного вреда. С точки зрения формирующейся при мошенничестве совокупности следов необходимо отметить, что в следственной практике имеется случай задержания преступников по горячим следам по сообщению должностного лица банка о том, что в конкретном банкомате этого банка по определенному адресу в определенное время были сняты деньги с незаконным использованием поддельной кредитной, расчетной карты, выпущенной иностранным банком[15 - Уголовное дело № 1-416/7-2006 по обвинению Н. А. Тихонко и Л. П. Денисова. Архив Замоскворецкого районного суда г. Москвы.]. Возможность отследить данную операцию обусловлена наличием так называемого стоп-листа, т. е. списка номеров платежных карт, по которым операции должны быть приостановлены из-за наличия признаков мошенничества. Субъективная сторона мошенничества При групповом совершении мошенничеств на определенном этапе развития преступной группы характерна диверсификация преступной деятельности и ее вовлеченность в различные области, этапы преступной деятельности. Так, если одна группа совершает мошенничества путем закупки товаров в магазинах, то другая группа с большой степенью вероятности вовлечена в снятие наличных денежных средств через банкоматы. Преступления в сфере оборота платежных карт совершают и традиционные преступные группы. Например, преступная группа может осуществлять хищения платежных карт в гостиницах, метро, на улице и т. п. с оперативным изготовлением поддельных документов путем вписывания в заготовку фамилии, имени и отчества, указанных на карточке. В отличие от краж, большая часть мошенничеств совершается в группе или организованной группе. Однако имеются и исключения, как в уголовном деле № 837430 по обвинению К. Г. Лопатина в хищении денежных средств со счетов иностранных банков, являющихся клиентами международной платежной системы VISA (г. Новокузнецк, Кемеровская область). При построении первоначальных следственных версий необходимо учитывать распространенность мошенничеств с использованием платежных карт группового характера, а также четкое разделение функциональных обязанностей членов преступной группы. Возможна ситуация, когда в пределах региона либо района действует несколько независимых групп, имеющих единого организатора[16 - Уголовное дело № 745401. Следственная часть при ГУ МВД РФ по Дальневосточному федеральному округу.]. В совершении мошенничеств путем приобретения товаров в интернет-магазинах посредством использования реквизитов платежных карт законных держателей, как правило, участвует группа лиц. При этом характерно, что место доставки товаров не совпадает с местом проживания членов преступной группы. Более того, при совершении мошенничеств в отношении иностранных интернет-магазинов имеет место минимум двухзвенная цепочка пересылки товаров: сначала товары доставляются иностранному сообщнику, а затем пересылаются им в адрес российских граждан. В примерной структуре организованной преступной группы — «кардеров» — выделяютя следующие направления деятельности: • получение незаконного доступа и сбор компьютерной информации (реквизиты платежной карты и др.); • хранение и распространение необходимой информации; • производство фальшивых личных документов; • производство поддельных платежных карт; • получение наличных денежных средств в банкоматах; • оплату товаров, услуг в магазинах; • сбыт приобретенных товаров, легализация наличных денежных средств; • перевод электронных суррогатов денежных средств в наличные денежные средства. Обычно некоторая часть этих действий выполняется независимыми друг от друга лицами на условиях предварительной либо последующей оплаты. Так как общение происходит через Интернет, то сохраняется анонимность членов группы, которые не знают реальных имен друг друга и других сведений. С точки зрения объема выполняемых функций в структуре группы можно выделить организатора — наиболее квалифицированное в преступной деятельности лицо, осуществляющее руководство и координацию некоторых членов группы через бригадира. Контроль над бригадиром может обеспечиваться путем выяснения его личности и местожительства. Обычно общение между организатором и бригадиром происходит посредством электронной почты, сервисов мгновенных сообщений и т. п. Бригадир подбирает исполнителей, задачей которых является посещение магазинов и банкоматов для совершения хищений. Выбор цели обусловлен имеющимися источниками информации, например, исходя из того, есть ли сведения о ПИН-коде платежной карты или нет, выбирается торговая точка или банкомат. После подбора исполнителей бригадир запрашивает у организатора помощь в изготовлении поддельных платежных карт и поддельных личных документов либо «белого пластика» и передает необходимые данные об именах исполнителей и даже их фотографии (если избранная схема мошенничества подразумевает раскрытие данных о личности исполнителей). Организатор, получив информацию от бригадира, организует изготовление платежных карт и документов с прямой пересылкой в адрес бригадира. Так, например, организатором определяется тип пластика, на котором должна быть изготовлена карточка, способ подделки. Оплата услуг изготовителя поддельных документов может осуществляться через системы электронных переводов в Интернете или банковских переводов. На этом этапе и в дальнейшем часто используются так называемые «дропы», т. е. лица, которые помогают злоумышленникам путем получения на свое имя товаров с дальнейшей их передачей. Если «дроп» сотрудничает, не осознавая своего участия в преступной деятельности, т. е. используется «втемную», его называют «мулом»[17 - Мул — транслитерация с англ. mule — мул, вьючное животное.]. Пересылка поддельного личного документа, например паспорта иностранного гражданина, и поддельных платежных карт, в том числе «белого пластика», осуществляется через почтовые и курьерские службы, проводников поездов дальнего следования, иных случайных посредников, тайники (например, ячейки камеры хранения на вокзале). Обычно организатор подготавливает не только изготовление поддельных платежных карт, но и получение реквизитов платежных карт, пересылая их затем своему «подрядчику». Помимо реквизитов платежных карт, организатор анализирует доступные данные о балансе (кредитном лимите) скомпрометированных счетов. Баланс устанавливается исходя из типа платежной карты (дебетовая, кредитная), ее класса («стандартная», «серебряная», «золотая» и т. д.), банка-эмитента, обозначенного в реквизитах платежной карты. С учетом того, что указанная информация чаще всего приобретается у третьих лиц, которых организатор не контролирует, для предотвращения неудачных попыток, а равно случаев недобросовестности поставщиков информации организатор организует для бригадира или самостоятельно контакт с так называемым «чекером»[18 - Чекер — транслитерация с англ. checker — контролер, проверяющий.]. Чекер устанавливает, что платежная карта (ее реквизиты) может быть использована, например, путем взлома системы онлайн-доступа к счету, который управляется с помощью платежной карты либо путем совершения малозначительных сделок с использованием таких реквизитов. Чекер может взломать информационную систему интернет-магазина и сделать несколько попыток списания незначительных сумм с интересующего преступников банковского счета. Если в деятельности преступных групп число неудачных попыток (отказов персонала магазина в приеме платежной карты, изъятий платежных карт в банкоматах и торговых точках в связи с внесением их реквизитов в стоп-листы и т. д.) сравнительно мало, можно обоснованно предположить, что в преступной деятельности участвует чекер. Вторая возможная причина — карты имеют высокую степень валидности, т. е. действующие. В случае если чекер не участвует в мошеннической схеме, то часто покупка крупного товара предваряется приобретением недорогих товаров. По прибытии к торговой точке бригадир проверяет работоспособность платежной карты через чекера, отдает исполнителю поддельный личный документ и платежную карту, оговаривает приобретаемое имущество. Таким образом, с точки зрения уголовного закона организатор и бригадир должны привлекаться к уголовной ответственности как организаторы. Чекер, изготовитель поддельных платежных карт и личных документов, продавец реквизитов платежных карт являются пособниками, а исполнители, непосредственно осуществляющие снятие наличных денежных средств в банкоматах и получение товаров в магазинах, должны быть признаны исполнителями. С другой стороны, мошенничество в сфере оборота платежных карт может быть признано длящимся в силу природы его предмета. Так, при совершении покупок в магазинах преступник в течение ограниченного промежутка времени использует одни и те же реквизиты, либо реквизиты нескольких платежных карт попеременно вплоть до исчерпания средств на ней, либо лимитов по списанию средств. Характеристики субъективной стороны причинения имущественного ущерба путем обмана или злоупотребления доверием аналогичны описанным выше признакам хищений. Уголовно-правовая характеристика и способы совершения преступлений, связанных с изготовлением в целях сбыта и сбытом поддельных кредитных или расчетных карт, а также иных платежных документов Статья 187 УК РФ Ответственность за изготовление в целях сбыта и сбыт поддельных расчетных или кредитных карт определена законодателем в ст. 187 УК РФ. В действующей на сегодняшний день редакции рассматриваемая статья выглядит следующим образом. Статья 187. Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов[19 - В ред. Федерального закона от 8 декабря 2003 г. № 162-ФЗ «О внесении изменений и дополнений в Уголовный кодекс Российской Федерации» (в ред. от 7 апреля 2010 г. № 60-ФЗ) // Собрание законодательства Российской Федерации. 2003. № 50. Ст. 4848.] 1. Изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, — наказываются лишением свободы на срок от двух до шести лет со штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет. 2. Те же деяния, совершенные организованной группой, — наказываются лишением свободы на срок от четырех до семи лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет либо без такового. Проведенный нами правовой анализ данной нормы свидетельствует о ее сложной конструкции и неоднозначном толковании практиками и учеными в области уголовного права. Исходя из диспозиции ст. 187 УК РФ для квалификации общественно опасных деяний по данной статье необходимо: • получить исследование специалиста о том, является платежная банковская карта кредитной или расчетной. Установление типа карты важно, так как другие виды платежных банковских карт (например, предоплаченные карты) предметом данного преступления не являются; • установить и доказать умысел на сбыт изготовленных поддельных кредитных, расчетных карт или поддельных платежных документов, не являющихся ценными бумагами. Соблюдая установленный в теории уголовного права порядок изучения состава преступления, начнем его рассмотрение с предмета и объекта. Кредитные, расчетные карты и иные платежные документы как предмет преступного посягательства Выполним анализ предмета и объекта преступления. Предметом рассматриваемого преступления являются поддельные: • кредитные карты; • расчетные карты; • платежные документы, не являющиеся ценными бумагами. Переходя к детальному рассмотрению предмета данного преступления, необходимо отметить, что анализируемая норма является бланкетной (т. е. отсылочной к другим источникам права), в связи с чем определение предмета преступления в рамках ст. 187 УК РФ представляет некую сложность. Так как единственным документом, определяющим содержание предмета рассматриваемого преступления, является Положение Центрального банка Российской Федерации (далее — ЦБ РФ) «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» от 24 декабря 2004 г. № 266-П[20 - Вестник Банка России. 2005. № 17.], то его изучение позволило классифицировать кредитные и расчетные карты следующим образом (рис. 1.6). Представленная на схеме классификация наглядно показывает сущность предмета рассматриваемого преступления. Очевидно, что кредитные и расчетные карты (согласно упомянутому Положению) являются платежными. То есть с их помощью осуществляются платежи между покупателем и продавцом или используются для получения наличных денежных средств. Платежные карты могут быть как банковскими (VISA, MasterCard), так и небанковскими (American Express, Diners Club, JCB и др.). Деление карт на кредитные или расчетные зависит от характера договорных отношений между эмитентом карты и клиентом. В случае наличия кредитного договора операции с использованием карт осуществляются за счет заемных средств, следовательно, такие карты являются кредитными. Кредитная карта предназначена для совершения ее держателем операций, расчеты по которым осуществляются за счет денежных средств, предоставленных кредитной организацией — эмитентом клиенту в пределах установленного лимита в соответствии с условиями кредитного договора. При осуществлении операций за счет собственных средств клиента или предоставленного кредита карты являются расчетными. Расчетная (дебетовая) карта предназначена для совершения операций ее держателем в пределах установленной кредитной организацией — эмитентом суммы денежных средств (расходного лимита), расчеты по которым осуществляются за счет денежных средств клиента, находящихся на его банковском счете, или кредита, предоставляемого кредитной организацией — эмитентом клиенту в соответствии с договором банковского счета при недостаточности или отсутствии на банковском счете денежных средств (овердрафт). На сегодняшний день, помимо банковских кредитных и расчетных карт, существуют еще и предоплаченные банковские карты. Предоплаченная карта предназначена для совершения ее держателем операций, расчеты по которым осуществляются кредитной организацией — эмитентом от своего имени, и удостоверяет право требования держателя предоплаченной карты к кредитной организации — эмитенту по оплате товаров (работ, услуг, результатов интеллектуальной деятельности) или выдаче наличных денежных средств. На рис. 1.6 предоплаченных карт нет в связи с тем, что предметом данного преступления они не являются. Сложность представляет то, что все перечисленные платежные карты внешне одинаковые — т. е. обладают аналогичными реквизитами (магнитной полосой, номером, логотипом банка и платежной системы и т. п.). Соответственно, для точного определения — какой является обнаруженная (изъятая и т. п.) карта, необходимо получить справку об исследовании у специалиста, так как в противном случае карта может оказаться предоплаченной, клубной, дисконтной, идентификационной и т. д. По своей сути банковские карты предназначены для осуществления безналичных расчетов, согласно ч. 3 ст. 861 ГК РФ «безналичные расчеты производятся через банки, иные кредитные организации». Положение № 266-П Банка России регламентирует совершение операций с использованием расчетных, кредитных карт по банковскому счету, отсюда вытекает, что эмиссию (выпуск) расчетных, кредитных банковских карт могут осуществлять только банки (кредитные организации). Причем держатель карты не является ее собственником (при выдаче карт банки их не продают и не дарят), карта остается в собственности банка. Для получения карты клиент должен заключить договор с банком. Расчетные и кредитные карты привязываются к конкретному счету в банке, по стандартным условиям договора между банком и клиентом карту нельзя передавать для совершения операций другим лицам. Соответственно, единственным местом, где держатель может законно получить кредитную или расчетную карту, является какое-либо отделение банка. В ст. 187 УК РФ законодателем прописано, что уголовная ответственность наступает за изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт. Проанализировав правовую базу и практику расследования данных преступлений, рассмотрим понятие подделки кредитных и расчетных карт. Как уже отмечалось выше, основная характеристика платежной карты (какой она является — кредитной или расчетной) определяется не какими-то внешними параметрами (реквизитами, дизайном, защитными элементами и др.), а условиями договора между клиентом и эмитентом. В связи с чем на практике может возникнуть следующая ситуация. В ходе проверочной закупки[21 - См. п. 4 ст. 6 Федерального закона от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» (в ред. от 28 декабря 2010 г. № 404-ФЗ) // Собрание законодательства Российской Федерации. 1995. № 33. Ст. 3349.] приобретены платежные карты, исследование которых подтвердило, что они являются поддельными расчетными картами, однако при проведении доследственной проверки установлено, что подлинные расчетные карты с такими номерами не эмитировались. Можно ли считать такие карты поддельными? Означает ли это, что для подтверждения поддельности кредитной или расчетной карты необходимо наличие банковского договора, который бы определял тип платежной карты, которая была подделана? И в чем общественная опасность при изготовлении таких карт? Ведь по несуществующим картам невозможно провести транзакции. Ответы на перечисленные вопросы содержатся в технологии и принципах функционирования платежных банковских карт. Банковские технологии позволяют с помощью такой поддельной карты совершить подлимитную операцию (т. е. транзакцию, по которой существует определенный предел по сумме, по которой торгово-сервисное предприятие может не запрашивать авторизацию — разрешение на совершение операции). В результате таких операций запрос на авторизацию эмитенту не направляется, но операция оплаты совершается. Такие операции могут проводиться с использованием несуществующих номеров платежных карт, следовательно, договора между клиентом и банком может не быть. На практике возможен вариант подделки карт и, соответственно, проведения по ним подлимитных операций, срок действия которых еще не истек, но договор с клиентом по каким-либо причинам расторгнут и банковский счет закрыт. Для наглядного разъяснения данного утверждения можно провести аналогию с подделкой денежных средств. Например, можно изготовить поддельные денежные знаки, номера и серии которых никогда не выпускались Гознаком, но при достаточно хорошем уровне подделки такие денежные знаки вполне могут быть приняты к обращению. Таким образом, поддельной кредитной или расчетной картой необходимо считать не только копию или имитацию подлинной платежной карты, связанной с каким-либо кредитным договором или с договором банковского счета. Поддельная кредитная или расчетная карта это: а) карта, выпущенная (эмитированная) не эмитентом и не платежной системой, но имеющая такие технические характеристики и/или внешний вид, которые позволили бы ее использование в безналичных расчетах и она может быть воспринята участниками платежной системы в качестве кредитной или расчетной; б) карта, выпущенная эмитентом (платежной системой) и несанкционированно модифицированная таким образом, что делает возможным ее использование в безналичных расчетах и она может быть воспринята участниками платежной системы в качестве кредитной или расчетной. Аналогичного взгляда придерживаются и авторы комментария к Уголовному кодексу под редакцией А. А. Чекалина, В. Т. Томина, В. В. Сверчкова. Они также считают, что перечисленные в диспозиции ст. 187 УК РФ карты должны быть эмитированы не эмитентом, но иметь такие технические характеристики и внешний вид, которые позволили бы их использовать в безналичных расчетах[22 - См.: Комментарий к Уголовному кодексу Российской Федерации (постатейный). 3-е изд., перераб. и доп. / под ред. А. А. Чекалина, В. Т. Томина, В. В. Сверчкова. М.: Юрайт-Издат, 2006.]. На наш взгляд, к предмету преступления можно отнести и «белый пластик», так как его наравне с поддельными картами можно использовать в безналичных расчетах, эквайрером и эмитентом он воспринимается как кредитная или расчетная карта. В завершение отметим, что определения карты — поддельная или подлинная, кредитная или расчетная — являются юридическими, и вывод должен делать следователь. Однако исходя из данного ранее определения поддельной карты (выпущена не эмитентом, но может быть использована в технологии платежной системы как кредитная либо расчетная) необходимую информацию для обоснования такого вывода должны предоставить специалист и эксперт[23 - См. главу 6, посвященную особенностям назначения экспертиз, при расследовании преступлений, совершаемых в сфере оборота платежных карт.]. Составляющие объекта и объективной стороны преступления Целью ст. 187 УК РФ в общем смысле является безопасность осуществления безналичных расчетов. Анализируемая статья практически идентична ст. 186 УК РФ, предусматривающей ответственность за изготовление или сбыт поддельных денег или ценных бумаг, с разницей только в предмете уголовно-правовой защиты наличных и безналичных денежных средств и ценных бумаг. Основной задачей статьи является защита от противоправного изготовления в целях сбыта поддельных кредитных и расчетных карт, а также поддельных платежных документов, не являющихся ценными бумагами. Отметим, что в первую очередь при принятии данной нормы законодателем делался акцент на пресечение незаконной деятельности (в том числе организованных преступных групп) так называемых «фабрик» по изготовлению кредитных и расчетных карт, а также на пресечение таких общественно опасных деяний, как сбыт поддельных кредитных, расчетных карт и платежных документов. Видовым объектом этих преступлений являются общественные отношения, содержание которых составляют права и интересы различных субъектов в различных сферах экономической деятельности: в сфере налогообложения, предпринимательской, кредитно-финансовой, таможенной и других сферах. Непосредственным объектом выступают общественные отношения, складывающиеся в сфере оборота кредитных либо расчетных карт и платежных документов, не являющихся ценными бумагами. Как уже отмечалось, характерной особенностью диспозиции ст. 187 УК РФ является высокая степень бланкетности, вследствие чего при определении признаков состава преступления необходимо использовать нормы других отраслей права (гражданского, банковского и др.). Объективная сторона ст. 187 УК РФ выражена в двух самостоятельных действиях: 1) изготовление в целях сбыта поддельных кредитных либо расчетных карт, а также поддельных платежных документов, не являющихся ценными бумагами; 2) сбыт поддельных кредитных либо расчетных карт и платежных документов, не являющихся ценными бумагами. Ранее достаточно распространенными были следующие способы изготовления поддельных карт: • переклейка — удаление (путем среза) с пластиковой карты острым бритвенным лезвием выпуклых цифр номера счета, которые впоследствии переставлялись таким образом, чтобы получился действующий номер счета; • перебивка — это процесс, при котором с помощью обычного дырокола «выкалываются» цифры с пластиковой карты. Затем полученные цифры переставляются, таким образом, чтобы получить действующий номер счета; с такой карточки можно затем сделать на импринтере механический оттиск на слипе для проведения транзакции; • повторное тиснение — способ помещения действующего номера счета на украденную или утерянную платежную карту. Для этого сначала надо сделать карту гладкой. После этого на отглаженный номер можно с помощью тиснения нанести действующий номер счета. Очевидно, что с развитием современных технологий сегодня вышеперечисленные способы практически не используются. В настоящий момент наиболее распространенными являются следующие виды поддельных кредитных и расчетных карт. 1. Полностью изготовленная поддельная карта — карта, имитирующая настоящую карту, включая внешний вид и запись информации на магнитную полосу. В пластик карты может быть также вмонтирована микросхема, но использование ее при проведении незаконных операций в настоящее время не осуществляется и информация на нее не записывается. Такие карты предназначены для обмана персонала предприятий торговли, принимающего карты, относительно их подлинности и проведения платежных операций в данных торговых предприятиях. 2. Поддельная карта, изготовленная путем частичной подделки. 2.1. Подделка карты, выпущенной законным эмитентом, производителем, платежной системой. 2.1.1. Изготавливается путем изменения эмбоссированных реквизитов карты, например номера. Может использоваться для операций, осуществляемых с помощью импринтера. В этом случае информация, записанная на магнитную полосу и микросхему, не имеет для злоумышленника никакого значения. 2.1.2. Изготавливается путем изменения информации, записанной на магнитную полосу карты. Может использоваться для операций, осуществляемых с помощью электронного терминала. Информация, физически нанесенная на карту (номер, срок действия), отличается от информации, записанной на магнитную полосу. В случае нанесения на карту неполного номера (VISA Electron) возможен подбор реквизитов для магнитной полосы, совпадающих с нанесенными на пластик. 2.1.3. Комбинация двух вышеназванных методов. 2.2. «Белый пластик» — заготовка карты (исходник), не обязательно белого цвета, предназначеная для совершения мошеннических операций, как правило, хищения денежных средств в торговых точках при соучастии кассира (продавца) или в банкоматах, терминалах самообслуживания. В качестве «белого пластика» могут быть использованы любые пластиковые карты со стандартно расположенной магнитной полосой — дисконтные, клубные, идентификационные, подарочные, транспортные, сувенирные, рекламные и т. п. 2.2.1. Изготавливается путем эмбоссирования реквизитов карты (номер, срок действия, имя держателя). Такие карты предназначены для проведения операций с использованием импринтера. В торговом предприятии операции можно совершить только при пособничестве кассира. 2.2.2. Изготавливается путем нанесения информации с подлинных карт на магнитную полосу. Возможно несколько вариантов использования. 2.2.2.1. Проведение операций через электронные торговые терминалы в предприятия торговли. Это возможно в случае сговора с кассиром. 2.2.2.2. Совершение операций в торговых / сервисных терминалах самообслуживания (автоматы по продаже автобусных или железнодорожных билетов, счетчики на автомобильных стоянках, автоматические терминалы на АЗС, телефоны, платные дороги и др.). При совершении данных операций существует ограничение по максимальной разрешенной сумме. 2.2.2.3. Совершение операций через банкоматы. Необходимо знать ПИН-код. Способ изготовления поддельных кредитных или расчетных карт и платежных документов на квалификацию действий виновного не влияет, однако он должен учитываться судом при назначении наказания. Изготовление считается оконченным, если оно совершено в целях последующего сбыта независимо от того, удалось ли осуществить сбыт. Преступление, предусмотренное ст. 187 УК РФ, считается оконченным с момента изготовления в целях сбыта или в случае сбыта хотя бы одной поддельной кредитной или расчетной карты. Качество изготовленной поддельной кредитной и расчетной карты большого значения не имеет. Дело в том, что поддельные платежные карты, даже очень низкого качества, при наличии на них копии информации с подлинной карты позволяют с их помощью изготовить поддельный расчетный (платежный) документ и направить его в банк для оплаты. Однако на практике наиболее часто встречается следующий вариант: • поддельные кредитные или расчетные карты изготовлены третьими лицами по заказу задержанного лица для самостоятельного использования. Как правило, третьи лица, имеющие непосредственное отношение к производству, остаются неустановленными, так как общаются с задержанным лицом посредством сети Интернет и через курьеров; • лицо, у которого обнаружены поддельные карты, является исполнителем (соисполнителем), «торпедой», совершающим покупки по данной карте (картам) за определенное организатором вознаграждение. Как и в первом случае, исполнитель не знает изготовителей поддельных кредитных или расчетных карт. Казалось бы, для квалификации по данной статье (ст. 187 УК РФ) достаточно, чтобы обнаруженные у исполнителя поддельные платежные карты были изготовлены на его имя (паспортные данные) и могли бы быть квалифицированы по совокупности ст. 33 УК РФ (соучастие) и ч. 1 ст. 187 УК РФ. А если в ходе следствия удалось доказать и задокументировать действия организованной группы, то ее действия можно квалифицировать по ч. 2 ст. 187 УК РФ. Однако диспозиция рассматриваемой статьи требует чтобы действия виновных лиц, связанные с изготовлением кредитных либо расчетных карт, преследовали цель их сбыта, т. е. непосредственного их отчуждения (продажи, дарения, обмена и т. п.). Поэтому указанные варианты можно квалифицировать только как приготовление к совершению мошенничества (ст. 159 УК РФ). Сбыт поддельных кредитных либо расчетных карт Непосредственный смысл, заложенный законодателем на момент принятия статьи в понятие «сбыт» поддельных или кредитных карт, состоит в их отчуждении (продаже, перепродаже, обмене, дарении, даче взаймы и т. п.). Судебно-следственная практика идет по тому же пути и не рассматривает в качестве сбыта собственно использование поддельных кредитных или расчетных карт в качестве средств платежа при оплате товаров и услуг. Соответственно действия, заключающиеся в использовании самим изготовителем поддельной карты для получения по ней наличных денежных средств или оплаты товаров и услуг, следует рассматривать в качестве мошенничества либо кражи. Одновременно с этим приобретение заведомо поддельных банковских карт в целях их последующего сбыта образует приготовление к преступлению, предусмотренному ст. 187 УК РФ, поэтому должно квалифицироваться по данной статье и ч. 3 статьи 30 УК РФ. В то же время не является сбытом избавление от поддельных платежных карт и платежных документов посредством их выбрасывания в мусорные контейнеры либо в другом общедоступном месте. Если кто-то приобретает поддельную кредитную или расчетную карту не в банке, то он явно осознает, что она поддельная и предназначена для незаконного доступа к какому-либо банковскому счету с целью хищения находящихся там денежных средств. Иначе любой мошенник, которого задержали в торговом предприятии с поддельной картой при совершении с ее использованием покупок, может заявить, что он сам является жертвой обмана. Будто бы он считал, что приобрел (скорее всего, у неизвестного лица) кредитную карту, с помощью которой рассчитывал осуществить покупки, а его грубо обманули. Данная нелепая ситуация характеризует непонимание многими юристами технологии обращения и оборота платежных карт, того, что карта не является платежным документом и сама по себе ценности не представляет. Нельзя за 100 долларов купить настоящую кредитную карту, по которой доступный лимит будет составлять 1000 долл. Такие предложения содержат некоторые сайты в Интернете, которые как раз и продают поддельные карты. Это все равно, что за 100 руб. купить 1000-рублевую купюру. Более того, собственно по карте невозможно определить, является она кредитной, расчетной или предоплаченной, так как данная характеристика не связана с физическим носителем (кусочком пластика). Если обратиться к Положению ЦБ РФ № 266-П, то видно, что данный признак связан не с физическим носителем, а, как мы уже говорили, с договорными отношениями между банком и клиентом и, как следствие, — с характером банковского счета, доступ к которому обеспечивает карта. Поддельная кредитная или расчетная карта в отрыве от денежных средств, к которым с помощью нее можно получить доступ, не имеет ценности ни для преступников, ни для банков, ни для торговых предприятий. Опасность представляют изготовленные с использованием таких карт и направленные в банки расчетные (платежные) документы. «Изготовление поддельных пластиковых карт (кредитной или расчетной) означает изготовление карты, использование которой связывается с возможностью незаконного получения или незаконного расходования денежных средств»[24 - Практика применения Уголовного кодекса Российской Федерации: комментарий судебной практики и доктринальное толкование (постатейный) / А. В. Наумов; под ред. Г. М. Резника. М.: Волтерс Клувер, 2005.]. Необходимо отметить, что сбытом поддельных банковских карт и платежных документов являются не только действия лиц, занимающихся их изготовлением, но и действия тех, кто в силу определенных обстоятельств стал их обладателем, сознавал это и сбывал. Определение «иные платежные документы» На практике возникает немало споров о том, что следует понимать под иными платежными документами. Перечень этих документов достаточно большой, поэтому в рамках этого параграфа рассмотрим только те платежные документы, которые имеют отношение к преступлениям, совершаемым в сфере оборота платежных банковских карт. Сразу отметим, что платежные карты, в том числе и предоплаченные, не являются платежными документами. Пункт 3.1 Положения ЦБ РФ № 266-П Банка России регламентирует, что «при совершении операции с использованием платежной карты составляются документы на бумажном носителе и (или) в электронной форме (далее — документ по операциям с использованием платежной карты). Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и (или) служит подтверждением их совершения»[25 - Вестник Банка России. 2005. № 17.]. Следовательно, платежный документ — это документ на бумажном носителе и (или) в электронной форме, являющийся основанием для осуществления расчетов по указанным операциям и (или) служащий подтверждением их совершения. Согласно п. 3.3 указанного Положения платежные документы должны содержать следующие обязательные реквизиты: • идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт; • вид операции; • дата совершения операции; • сумму операции; • валюту операции; • сумму комиссии (если имеет место); • код авторизации (если осуществлялась процедура авторизации); • реквизиты платежной карты. Документ по операциям с использованием платежной карты на бумажном носителе дополнительно содержит подпись держателя платежной карты и подпись кассира при его составлении в пункте выдачи наличных (ПВН). В случае использования аналога собственноручной подписи при составлении в ПВН документа по операциям с использованием платежной карты требования о наличии подписи держателя платежной карты и подписи кассира считаются выполненными в отношении копии указанного документа, составленного на бумажном носителе. Таким образом, платежный документ по операциям с платежными картами составляется на бумажном носителе (чек POS-терминала или слип импринтера) и/или в электронном виде и содержит обязательные реквизиты, указанные в Положении ЦБ РФ № 266-П. Является ли документ по операциям с использованием платежной карты платежным документом? В указанном Положении ЦБ РФ прямого ответа на этот вопрос нет. В другом Положении Центрального банка России от 3 октября 2002 г. № 2-П «О безналичных расчетах в Российской Федерации»[26 - Вестник Банка России. 2002. № 74.], точнее в Приложении № 20, встречается понятие «шифр платежного документа». Это условное цифровое обозначение (шифр) оплачиваемого расчетного документа согласно правилам ведения бухгалтерского учета в Банке России или правилам ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации[27 - Положение ЦБ РФ от 3 октября 2002 г. № 2-П «О безналичных расчетах в Российской Федерации».], а в Положении ЦБ РФ от 26 марта 2007 г. № 302-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации»[28 - Вестник Банка России. 2007. № 20–21.] один из кодов данного шифра обозначен как 13 — расчеты с применением банковских карт. Все это позволяет сделать вывод, что документ по операции с использованием банковской карты является платежным документом. Поддельные платежные документы В диспозиции рассматриваемой нормы (ст. 187 УК РФ) наравне с упоминанием о поддельных платежных банковских (расчетных и кредитных) картах содержится упоминание об изготовлении в целях сбыта или сбыте иных платежных документов, не являющихся ценными бумагами, к числу которых относятся: платежное поручение, платежное требование, платежное требование-поручение, дорожные чеки, еврочеки и другие документы. В рамках данного параграфа будут рассмотрены только те платежные документы, которые имеют отношение к преступлениям, совершенным в сфере оборота платежных карт. Рассмотрим, что же является подделкой таких документов. Федеральная таможенная служба определяет поддельные документы как полностью изготовленные фиктивные документы или подлинные документы, в которые внесены искаженные сведения, например, путем исправления или уничтожения части текста, внесения в него дополнительных данных, проставления оттиска поддельного штампа или печати, замены целой страницы на другую с текстом, отличным от исходного, и т. п. (письмо от 30 июня 2005 г. № 01–06/21925). Фонд социального страхования РФ считает, что фиктивные документы — это документы, составленные задним числом от лица организаций и граждан, которые их не подписывали (письмо от 6 апреля 2000 г. № 02–18/05-2322)[29 - Экономика и жизнь. 2000. № 20.]. По мнению некоторых юристов, «действия по подделке или использованию подложного документа весьма разнообразны (исправление или уничтожение части текста, внесение дополнительных данных, проставление чужой подписи, нанесение поддельной печати или штампа, предъявление или представление фальсифицированных документов и т. п.) — данные действия являются юридически равнозначными, каждое из них образует подлог документов»[30 - Щиголев Ю. В. Понятие и основные элементы подлога документов // Правоведение. 1998. № 1. С. 116–123.]. Обратимся к словарям. Подделка (юрид.) документов, см. подлог. Подлог: ложь, извращение и сокрытие истины в формально правильном правительственном или частном акте (например, совершение акта задним числом, составление акта от вымышленного лица и т. д.)[31 - Малый энциклопедический словарь: в 4 т. Т. 3 / Репринтное воспроизведение издания Брокгауза — Ефрона. М.: Терра, 1997.]. Подделка документов — в уголовном праве родовое понятие, обозначающее изготовление подложных документов путем полной фальсификации документа или фальсификации отдельных его элементов. Иногда подделку документов обозначают термином «подлог»[32 - Тихомирова Л. В., Тихомиров М. Ю. Юридическая энциклопедия. 5-е изд., доп. и перераб. / под ред. М. Ю. Тихомирова. М.: 2001.]. Подлог — материализованное (овеществленное) искажение истины, т. е. не соответствующие действительности сведения, выраженные в объективной форме на определенных носителях информации[33 - Там же.]. Фальсификация (лат. — подделывать) — 1) подделывание чего-либо; искажение, подмена чего-либо подлинного ложным, мнимым[34 - Там же.]. На основании изложенного можно сделать вывод, что поддельным платежным документом может быть подлинный платежный документ, в который были внесены несанкционированные изменения. Также поддельным платежным документом может быть и подлинный документ, когда он изготовлен несанкционировано, т. е. вне ведения и без участия держателя карты, в этом случае уместно говорить об интеллектуальном подлоге. Изготовление поддельных платежных документов На практике встречаются следующие способы изготовления поддельных платежных документов. 1. Изготовление на импринтере слипа с использованием поддельной карты. В результате получается бумажный документ, который отличается от подлинного (если бы на том же импринтере был изготовлен платежный документ с использованием подлинной карты) — подпись на слипе не соответствует подписи законного держателя; возможно несоответствие фамилии держателя и, при некачественном изготовлении подделки, расположения отпечатавшихся эмбоссированных символов. Налицо подделка документа. 2. Изготовление на электронном терминале квитанции и электронного платежного документа с использованием поддельной карты (распоряжение держателя заверено собственноручной подписью, ПИН-код не вводится). На квитанции подпись и, возможно, фамилия законного держателя не будут соответствовать истинным. Если электронный платежный документ изготовлен с использованием скопированной второй дорожки с подлинной карты, то он ничем не будет отличаться от подлинного. Данный документ означает распоряжение законного держателя на осуществление платежа. Поскольку держатель такого распоряжения не выдавал, подпись на квитанции не соответствует истинной, то и электронный платежный документ является фиктивным, подложным, т. е. он был подделан. 3. Операция через электронный терминал или банкомат с использованием поддельной карты заверяется ПИН-кодом (на квитанции фамилия держателя не распечаталась). Поскольку ПИН-код в данном случае является аналогом собственноручной подписи, то получаем, что электронный платежный документ подписан аналогом собственноручной подписи[35 - Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (п. 2 ст. 160 ГК РФ), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.] (ч. 3 ст. 847 ГК РФ[36 - Собрание законодательства Российской Федерации. 1996. № 5. Ст. 410.]). Так как законный держатель не подписывал данный электронный платежный документ аналогом собственноручной подписи и не давал распоряжения на проведение операции, то такой документ является поддельным (фиктивным, подложным). Во всех трех рассмотренных ситуациях для изготовления поддельного платежного документа была использована поддельная банковская карта. Представляется логичным, что при использовании поддельного платежного инструмента (карты) всегда будет получен поддельный платежный документ (продукт изготовления). В специальной литературе представлена аналогичная точка зрения: «Фактически в результате применения поддельной банковской карты составляется поддельный платежный документ, включенный в предмет преступления, ответственность за которое установлена ст. 187 УК РФ»[37 - Потапенко Н. УК РФ не успевает за кардингом // ЭЖ-Юрист. 2004. № 13.]. Изготовление поддельных платежных документов возможно в результате несанкционированного использования подлинной платежной карты в результате ее кражи или потери. Платежный документ в данном случае формируется с помощью подлинного платежного инструмента. Но поскольку законный держатель карты не выдавал своего распоряжения на проведение операции и не подписывал собственноручной подписью квитанцию POS-терминала (слип импринтера) или аналогом собственноручной подписи электронный документ терминала или банкомата, то созданные таким образом платежные документы также будут поддельными (фальсифицированными, подложными). В силу специфики организации проведения расчетов при незаконном получении по платежной карте денежных средств в банкомате, а равно при неправомерной оплате товаров и услуг по такой карте в электронной системе расчетов происходит автоматическое создание фиктивных платежных документов. Данный вывод можно сделать при детальном рассмотрении договора об эквайринге. Предметом данного договора со стороны предприятия является обязанность составления документов на бумажном носителе и (или) в электронной форме с использованием платежных банковских карт или их реквизитов при совершении держателями покупок. А со стороны банка-эквайрера — осуществление расчетов с организацией торговли (услуг) по операциям, совершаемым с использованием платежных карт (п. 1.9 Положение ЦБ РФ № 266-П). Иными словами, эквайрер оплачивает предприятию суммы операций с использованием платежных банковских карт за вычетом своей комиссии (торговой уступки). Согласно указанному договору эквайрер несет самостоятельные денежные обязательства перед организацией торговли (услуг) по оплате сумм операций, совершаемых с использованием платежных карт. Это означает, что если организация торговли (услуг), соблюдая все условия договора, составила платежный документ с использованием расчетной или кредитной карты и представила данный документ в банк-эквайрер для оплаты, соответственно у банка возникает обязательство перечислить предприятию денежные средства по документу. Таким образом, изготовление поддельных, в том числе и электронных, платежных документов считается оконченным с момента завершения проведения расчетов по картам (как поддельным, так и подлинным, но незаконно используемым). Факт изготовления подтверждается заверенной банком бумажной копией данного платежного документа. Фактическое использование поддельных документов в качестве настоящих, если подобное деяние совершается в целях хищения чужого имущества, требует дополнительной квалификации как приготовление к хищению, покушение на хищение либо как оконченное хищение чужого имущества. Сбыт подобного поддельного документа считается оконченным с момента принятия его к оплате и производства действий, указывающих на то, что документ был принят в качестве подлинного. В случае же отказа в принятии поддельного документа к оплате действия по его сбыту следует квалифицировать как покушение на сбыт. Преступление, предусмотренное статьей 187 УК РФ, считается оконченным с момента изготовления в целях сбыта хотя бы одного платежного документа. Субъект и субъективная сторона преступления Субъективная сторона преступления, предусмотренного ст. 187 УК РФ, предполагает вину в форме прямого умысла: виновный осознает, что изготавливает или сбывает поддельные банковские карты и платежные документы и желает совершить эти действия. Кроме того, при изготовлении указанных предметов субъективная сторона включает в себя такой обязательный признак, как цель их сбыта. Мотив преступления в качестве обязательного признака субъективной стороны преступления не указан, однако по смыслу статьи им является корысть. Субъект преступления — физическое вменяемое лицо, достигшее 16-летнего возраста. Часть 2 статьи предусматривает наличие такого квалифицирующего признака преступления, как совершение данного общественного деяния организованной группой. Преступление признается совершенным организованной группой, если оно совершено устойчивой группой лиц, заранее объединившейся для совершения одного или нескольких преступлений (п. 3 ст. 35 УК РФ). Совершение преступления организованной группой состоит в тщательном распределении ролей между ее членами: одни обеспечивают наличие необходимого оборудования, для изготовления предметов преступления, другие непосредственно изготавливают их, третьи — занимаются хранением и транспортировкой, четвертые — непосредственно сбывают. Компьютерные преступления в сфере оборота платежных карт Статьи 272 и 273 УК РФ. Понятие, виды и способы совершения преступлений Как показывает практика, реальная необходимость вменения компьютерных преступлений по делам о преступлениях в сфере оборота платежных карт возникает при расследовании сложных и особо сложных уголовных дел, возбужденных по ст. 187, 158 и 159 УК РФ, а именно тех, которые не относятся к так называемым бытовым случаям. Вместе с тем с формальной точки зрения практически любое преступление в сфере оборота платежных карт сопровождается незаконным доступом к компьютерной информации либо ее копированием, модификацией ввиду значительной компьютеризации процессов банковского обслуживания и денежных расчетов в современный период[38 - В качестве исключения можно назвать обслуживание владельцев эмбоссированных платежных карт с помощью импринтера и слипов, но если такая операция проводится с авторизацией, то доступ к счету тоже осуществляется.]. Таким образом, в механизме преступной деятельности компьютерное преступление занимает весьма важную роль, являясь необходимой предпосылкой, этапом подготовки к совершению мошеннических действий либо изготовлению поддельных платежных карт, а также неотъемлемой частью способа совершения мошенничества при использовании банкомата либо совершения покупок в магазинах и интернет-магазинах. В условиях организованного характера преступной деятельности в сфере оборота платежных карт возможность вменения компьютерного преступления нельзя недооценивать. Деятельность организованных преступных групп в данной сфере довольно четко структурирована. Одни преступники занимаются исключительно сбором конфиденциальной информации, содержащейся на платежных картах[39 - Например, именно такие члены транснациональной преступной группы были осуждены в августе 2008 г. по уголовному делу № 152830, расследованному Следственным комитетом при МВД РФ.], другие несут обязанности по изготовлению поддельных платежных карт или «белого пластика»[40 - Впрочем, часто, особенно при изготовлении «белого пластика», подобная «специализация» в группе не наблюдается.]. Отдельная часть группы, обычно наименее квалифицированная и изолированная от костяка, входит в непосредственный контакт с персоналом торговых и сервисных предприятий[41 - См., например, уголовное дело № 167568 (Архив ГСУ при ГУВД Санкт-Петербурга, 2005 г.).], осуществляет снятие наличных денег через банкоматы. В России практически отсутствует практика разоблачения деятельности организованных преступных групп, совершающих преступления в сфере оборота платежных карт[42 - Одним из исключений является уголовное дело № 248100, расследованное Следственным комитетом при МВД РФ (2008 г.).], так как обвиняемые не дают показания на других членов преступной группы, действующих на иных этапах преступной схемы, а иными способами их связь установить чрезвычайно сложно. Более того, играет роль высокая степень конспирации и отсутствие необходимости личных контактов для взаимодействия. Согласно УК РФ в качестве компьютерных преступлений в рассматриваемой ситуации возможна квалификация следующих случаев. 1. Несанкционированный доступ (НСД) — неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. 2. Несанкционированное воздействие (НСВ) — создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами. Как НСД (ст. 272 УК РФ) следует квалифицировать деяния, связанные с использованием платежных карт, в следующих ситуациях: • реквизиты платежной карты скрытно копируются злоумышленником с помощью криминального (скиммингового) оборудования при обслуживании граждан в магазинах, кафе, иных местах, открытых для публичного посещения, при этом возможна запись ПИН-кода либо он просто подглядывается; • реквизиты платежной карты скрытно копируются злоумышленником с помощью криминального (скиммингового) оборудования, размещенного на банкомате, ПИН-код фиксируется скрытно установленной видеокамерой либо накладной клавиатурой[43 - Так называемый скимминг. См., например, уголовное дело № 152830, расследованное Следственным комитетом при МВД РФ, по обвинению Г. Т. Илиева и Ц. Н. Божилова.]; • реквизиты платежной карты копируются злоумышленником в результате внешнего доступа к компьютерной сети торгового или сервисного предприятия, процессингового центра, банка, ПИН-код не копируется (необходимо скомпрометировать криптографические ключи); • реквизиты платежной карты копируются злоумышленником в результате доступа к компьютерной сети торгового или сервисного предприятия, процессингового центра, банка с помощью сообщника; • реквизиты платежной карты копируются злоумышленником в результате взлома существующего или создания фальшивого, обманного интернет-сайта (фишинг); • реквизиты платежной карты копируются злоумышленником в результате доступа к электронным каналам связи. Реквизиты платежной карты копируются злоумышленником в результате использования вредоносного программного обеспечения в торговых терминалах, кассовых решениях, терминалах самообслуживания, банкоматах. Таким образом, НСД особенно характерен для этапа подготовки к «основному» преступлению — мошенническим действиям, однако в практике имеются случаи вменения ст. 272 УК РФ в связи с самим событием «основного» преступления[44 - Например, уголовное дело № 1-686/200467/415, рассмотренное Глазовским городским судом Удмуртской Республики, по обвинению В. Славинскаса в мошенничестве и неправомерном доступе к компьютерной информации.]. НСВ (ст. 273 УК РФ) обычно представляет собой следующее: • создание, распространение и использование программ, модифицирующих программное обеспечение без ведома пользователя, результатом работы которых является копирование реквизитов платежных карт; • создание, распространение и использование программ, управляющих криминальным оборудованием (в частности к ним могут относиться машинные носители), используемым при копировании реквизитов платежной карты[45 - В ходе так называемого скимминга.]; • иное. Как показывает практика, наиболее часто компьютерные преступления, совершаемые в ходе преступной деятельности в области оборота платежных карт, квалифицируются по ст. 272 УК РФ. Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем[46 - Руководящий документ ГТК при Президенте РФ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Военное изд-во, 1992.]. Неправомерным считается доступ к компьютерной информации, если: • субъект не имеет прав доступа к этой информации; • субъект имеет право доступа, но превышает эти права, нарушая установленные правила системы разграничения доступа. При этом по отношению к этой информации должны приниматься меры защиты, ограничивающие к ней доступ, т. е. она должна быть конфиденциальной. При применении ст. 272 УК РФ модификация (переработка) программы для ЭВМ или базы данных должна пониматься как любые изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой язык, за исключением адаптации, т. е. внесения изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя[47 - Подпункт 9 п. 2 ст. 1270 ГК РФ.]. Предмет и объект преступлений Объект компьютерных преступлений — та совокупность общественных отношений, которая складывается по отношению к компьютерной информации и программам для ЭВМ с точки зрения их оборота и использования, сохранения конфиденциальности. Предмет преступления — охраняемая законом компьютерная информация (НСД), а также программа для ЭВМ (НСВ). Объект НСД — неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, т. е. нарушение информационной безопасности информационной системы. Объект НСВ — безопасность информации и оборудования, предназначенного для его обработки, т. е. нарушение целостности и сохранности информационной системы и системы ее информационной безопасности. В отличие от НСД НСВ характеризуется как формальный состав преступления, доказывания связи воздействия на программное обеспечение или создания вредоносного программного обеспечения не требуется, достаточно лишь факта их создания либо попытки их использования. Предметом неправомерного доступа к охраняемой законом компьютерной информации является деяние, повлекшее уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети[48 - Статья 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «информация — сведения (сообщения, данные) независимо от формы их представления».]. Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами[49 - Руководящий документ ГТК при Президенте РФ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Военное изд-во, 1992.]. Неправомерным считается доступ к компьютерной информации, если: • субъект не имеет права доступа к этой информации; • субъект имеет право доступа, но превышает эти права, нарушая установленные правила системы разграничения доступа. При этом по отношению к этой информации должны приниматься меры по защите, ограничивающие к ней доступ. Данная статья УК РФ защищает компьютерную информацию, где бы она ни была представлена. При квалификации противоправных действий по данной статье необходимо учитывать, что компьютерная информация, к которой осуществляется неправомерный доступ, должна защищаться законом. Каким же законом защищается данная информация? Согласно ст. 3 ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»[50 - Российская газета. 2006. 29 июля.] «персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу». В Положении ЦБ РФ от 19 августа 2004 г. № 262-П «Положение об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» говорится, что «при совершении сделок с использованием платежных (банковских) карт идентификация осуществляется на основе реквизитов платежной (банковской) карты, а также кодов (паролей)». То есть информация о номере банковской карты идентифицирует (определяет) для банка держателя (физическое лицо). Следовательно, такая информация является персональными данными и охраняется законом. Неправомерный доступ к такой информации, если она представлена в компьютерном виде и это повлекло ее копирование, будет составлять объективную сторону преступления, предусмотренного ст. 272 УК РФ. Дополнительно необходимо учитывать, что в случае банковских карт имеет место защищаемая законом банковская тайна. Определение банковской тайны дано в ГК РФ и в Федеральном законе от 2 декабря 1990 г. № 395-I «О банках и банковской деятельности»[51 - Ведомости съезда народных депутатов РСФСР. 1990. № 27. Ст. 357.]. Статья 857 ГК РФ. Банковская тайна «1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте». Статья 26 Федерального закона от 2 декабря 1990 г. № 395-1 «0 банках и банковской деятельности» «Кредитная организация… гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов». По смыслу Положения ЦБ РФ № 266-П банковская платежная карта — это инструмент безналичных расчетов, достоверно устанавливающий соответствие между реквизитами платежной карты и соответствующим счетом физического лица, юридического лица, индивидуального предпринимателя (клиента банка). Таким образом, банковская платежная карта указывает на реквизиты банковского счета, а такая информация является банковской тайной. Признаки и содержание объективной стороны Сотрудниками правоохранительных органов г. Ижевска было осуществлено задержание гражданина, использовавшего подделанные банковские карты в организации торговли. Было возбуждено и доведено до суда уголовное дело по ст. 272 УК РФ, при этом использовалась следующая аргументация. Сервер банка эмитента содержит компьютерную информацию — данные карт, данные операций, данные остатка денежных средств на счете и другую служебную информацию, объединенную в базу данных ограниченного пользования, доступ к которой строго регламентирован. Информация, размещенная на сервере, имеет конфиденциальный характер, составляет банковскую тайну, т. е. защищается законом, допуск к ней имеет ограниченный список уполномоченных лиц в соответствии с должностными обязанностями. Авторизация покупки либо выдача наличных денежных средств через банкомат влечет за собой уменьшение платежного лимита, т. е. модификацию (изменение) электронных данных на авторизационном сервере банка-эмитента, а именно содержания базы данных. Несмотря на наличие описанной выше практики, представляется, что доказывание по этой статье может составлять определенную трудность в случае несанкционированного использования банковских карт иностранных эмитентов. Под переработкой (модификацией) программы для ЭВМ или базы данных, как мы уже говорили выше, понимаются любые их изменения, в том числе перевод такой программы или такой базы данных с одного языка на другой. Исключением является адаптация программы, т. е. внесение изменений, осуществляемых исключительно в целях функционирования программы для ЭВМ или базы данных на конкретных технических средствах пользователя или под управлением конкретных программ пользователя[52 - Гражданский кодекс Российской Федерации (часть четвертая) от 18 декабря 2006 г. № 230-Ф3 // Собрание законодательства РФ. 2006. № 52 (ч. 1). Ст. 5496.]. А копирование информации — «перенос информации на другой материальный носитель при сохранении неизмененной первоначальной информации»[53 - Комментарий к Уголовному кодексу Российской Федерации / отв. ред. В. М. Лебедев [Председатель Верховного Суда Российской Федерации].]. Таким образом, объективная сторона НСД формируется за счет следующих обстоятельств совершения преступления: модификации либо копирования информации, защищаемой законом (персональные данные, банковская тайна). Вместе с тем НСД имеет место также при совершении мошенничества без платежной карты с использованием ее реквизитов, например, при совершении покупок в интернет-магазине, так как независимо от способа НСД возникает одно и то же вредное последствие — модификация данных на сервере кредитного учреждения. Упомянутый ранее скимминг может быть квалифицирован не только как НСД, но и как НСВ, так как его осуществление связано с созданием или использованием программ, управляющих работой используемого криминального оборудования, что является законченным преступлением. Субъект и субъективная сторона Субъект преступления по ст. 272 и 273 УК РФ — вменяемое физическое лицо, достигшее 16-летнего возраста. С субъективной стороны преступления характеризуются наличием прямого умысла (осознание неправомерного доступа, предвидение наступления вредных последствий и желание их наступления) или косвенного умысла (осознание неправомерного доступа, предвидение наступления вредных последствий и сознательное допущение их наступления либо безразличное отношение к наступлению последствий). Не признается преступлением доступ к информации без намерения совершить общественно опасное деяние (техническая помощь пользователю не допущенным к ЭВМ работником, выполнение работы за другое лицо с целью ускорения производственного процесса, непроизвольный доступ к информации вследствие ошибки непосредственного пользователя и т. п.). В отличие от широко распространенной точки зрения о том, что субъектом преступления по ст. 272 и 273 УК РФ является специалист, обладающий глубокими знаниями в компьютерной технике и программировании, при совершении хищений в сфере оборота платежных карт субъектом НСД и НСВ (в форме использования программ для ЭВМ в составе оборудования, использованного для совершения преступления) могут быть неквалифицированные физические лица[54 - См., например, уголовное дело № 152 830, расследованное Следственным комитетом при МВД РФ, по обвинению Г. Т. Илиева и Ц. Н. Божилова, которые осуществляли этап подготовки хищения путем компрометации реквизитов платежных карт и ПИН-кодов с использованием накладок на банкоматы.]. Как сказано ранее, обычно компьютерные преступления в рассматриваемой области совершаются на этапе подготовки и совершения хищений с использованием платежных карт. При этом подготовка и совершение обычно производятся разными группами лиц, а также на различных территориях как внутри России[55 - Например, уголовное дело № 248114, расследованное Следственным комитетом при МВД РФ, по обвинению С. И. Комарова, К. В. Васильева.], так и за рубежом[56 - См., например, уголовное дело № 152830, расследованное Следственным комитетом при МВД РФ, по обвинению Г. Т. Илиева и Ц. Н. Божилова.]. Однако в практике имеются случаи, когда изготовление «белого пластика» и снятие наличных денег осуществлялись одним лицом[57 - Например, уголовное дело № 837430, расследованное в городе Новокузнецке Кемеровской области, по обвинению К. Г. Лопатина.]. Например, в указанном ранее деле граждане Болгарии Г. Т. Илиев и Ц. Н. Божилов осуществляли копирование реквизитов платежных карт без снятия наличных денег. Более того, программное обеспечение, управлявшее криминальным оборудованием, находившимся в распоряжении осужденных, обеспечивало конфиденциальность полученных реквизитов, в том числе и от осужденных, за счет шифрования данных. Данное обстоятельство вместе с тем послужило одним из препятствий на пути доказывания того, что копирование данных было фактически осуществлено[58 - Для квалификации преступления недостаточно факта установки криминального оборудования на банкомат или факта наличия в криминальном оборудовании программного обеспечения. Необходимо было доказать факт работоспособности программного обеспечения и оборудования, а также получить из криминального оборудования данные для сравнения с компрометированными реквизитами платежных карт.], что было определено в ходе осмотра с привлечением специалистов ЭКЦ МВД РФ. «Банковская тайна» — ст. 183 УК РФ В случае получения незаконным способом (например, в результате скимминга, покупки через Интернет дампов вторых дорожек или использования фишинга[59 - Термин «фишинг» (phishing) — измененная форма от английских слов Phone (телефон) и Fishing («рыбная ловля»). Он появился в «американском» английском для обозначения новых схем жульничества, служащих для того, чтобы выманивать у пользователей номера их кредитных карт, пароли доступа к банковским счетам и счетам платежных систем. Подробнее см. с. 36, 37.]) сведений, составляющих банковскую тайну (номеров банковских карт), такие действия будут составлять объективную сторону преступления, предусмотренного ст. 183 УК РФ. Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну 1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом — <…> 3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности… Объект преступления — общественные отношения в сфере обращения информации, составляющей банковскую тайну. Данная информация составляет предмет преступного посягательства. Субъективная сторона характеризуется виной в форме прямого умысла. При этом квалифицирующим признаком будет являться корыстная заинтересованность (информация используется для последующего хищения денежных средств), что влечет более тяжкое наказание. Субъект преступления — вменяемое лицо, достигшее 16-летнего возраста. Насколько же законодатель считает данные преступления общественно опасными, какие уголовные наказания за их совершение предусматривает УК РФ? Анализ уголовного законодательства применительно к преступлениям с банковскими картами Общественная опасность Руководствуясь ст. 15 УК РФ «Категории преступлений», мы видим, что по неквалифицированным (часть первая) ст. 158, 159, 183, 272 УК РФ характер и степень общественной опасности определены как преступления небольшой тяжести: умышленные деяния, за совершение которых максимальное наказание, предусмотренное Уголовным кодексом, не превышает двух лет лишения свободы. Часть 1 ст. 273 УК РФ предусматривает максимальное наказание до трех лет лишения свободы, что составляет преступление средней тяжести (умышленные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, не превышает пяти лет лишения свободы). Единственная неквалифицированная (часть первая) ст. 187 УК РФ относится к тяжким преступлениям: умышленные деяния, за совершение которых наказание, предусмотренное Уголовным кодексом, составляет от пяти до десяти лет лишения свободы. Сведем в таблицу максимальные наказания по приведенным статьям и соответствующие категории преступлений (табл. 1.6). Конфликт интересов дознания и следствия Как видим, законодатель не усматривает большой общественной опасности в противозаконных деяниях в сфере банковских карт, кроме ст. 187 УК РФ (фабрики). Только максимально точно квалифицированные преступления признаются тяжкими. Но, чтобы предъявить такое обвинение, следствию необходимо обладать определенными доказательствами, которые можно зачастую получить только в рамках оперативно-следственных мероприятий по уже возбужденному уголовному делу. Первоначальное выявление преступления, как правило, дает основания возбудить уголовное дело только по неквалифицированной части соответствующей статьи УК РФ. И только потом, в ходе расследования уголовного дела, могут появиться доказательства, дающие основания изменить квалификацию на более тяжкую статью УК РФ. В данной ситуации кроются следующие проблемы. Самым распространенным случаем выявления злоумышленников является задержание их на месте совершения преступления: при использовании поддельных платежных карт в торгово-сервисных предприятиях, у банкоматов, при установке (снятии) скимминговых устройств. В таких случаях еще ничего не известно о всей противозаконной деятельности задержанного, если только он на момент задержания уже не находился в оперативной разработке. Обвинение может быть предъявлено только по ч. 1 ст. 158, 159, 183, 272 УК РФ и то скорее всего преступление не будет окончено, а будет установлен только факт покушения. Возбуждение уголовного дела по части первой указанных статей УК РФ влечет за собой следующие особенности. Во-первых, согласно ст. 108 УПК РФ в отношении подозреваемого или обвиняемого в совершении преступления, за которое предусмотрено наказание в виде лишения свободы на срок до двух лет, заключение под стражу в качестве меры пресечения может быть избрано только в исключительных случаях, при наличии одного из следующих обстоятельств: 1) подозреваемый или обвиняемый не имеет постоянного места жительства на территории Российской Федерации; 2) его личность не установлена; 3) им нарушена ранее избранная мера пресечения; 4) он скрылся от органов предварительного расследования или от суда. Заключение под стражу в качестве меры пресечения не может быть применено в отношении подозреваемого или обвиняемого в совершении преступлений, предусмотренных ст. 183 УК РФ при отсутствии обстоятельств, указанных выше в п. 1–4. Иными словами, если отсутствуют обстоятельства, перечисленные в п. 1–4 ч. 1 ст. 108 УПК РФ: подозреваемый имеет постоянное место жительства на территории РФ, личность его установлена (для выполнения первых двух условий достаточно предъявить паспорт), а обстоятельства, указанные в п. 3–4, могут и вовсе отсутствовать (если подозреваемый задержан впервые, никакая мера пресечения в отношении его не избиралась и он ни от кого не скрывался), то подозреваемый должен быть отпущен на свободу. Мера пресечения избирается в виде подписки о невыезде. Таким образом, после этого злоумышленник имеет все возможности предупредить потенциальных сообщников и уничтожить все имеющиеся следы преступления. Вторая особенность при расследовании таких преступлений заключается в том, что по ст. 158 и 159 УК РФ (самые распространенные статьи по данным преступлениям) формы предварительного расследования различаются в зависимости от части применяемой статьи. По уголовным делам о преступлениях, предусмотренных ч. 1 ст. 158 и ч. 1 ст. 159 УК РФ, предварительное расследование производится в форме дознания (ст. 150 УПК РФ), по преступлениям, предусмотренным ч. 2–4 ст. 158 и ч. 2–4 ст. 159 УК РФ, производится предварительное следствие (ст. 151 УПК РФ). В данном случае возникает конфликт интересов между органами дознания и следствия. Дознаватель не заинтересован расследовать преступления по ч. 1 ст. 158 и ч. 1 ст. 159 УК РФ, если существует перспектива, что в результате расследования дело может быть переквалифицировано на другие части указанных статей УК РФ. Так как такое дело ему придется отдать следствию, то получается, что дознаватель работает на кого-то другого, а не на себя. Следователь же не может возбуждать уголовные дела по ч. 1 ст. 158 и ч. 1 ст. 159 УК РФ, так как такие уголовные дела могут быть ему переданы только по письменному указанию прокурора (ст. 150 УПК РФ). Применение статьи 187 УК РФ Казалось бы, перечисленных трудностей можно было бы избежать, применив ст. 187 УК РФ, которая напрямую затрагивает предмет преступления — поддельные кредитные и расчетные карты. Статья 187 УК РФ. Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов 1. Изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, — <…> 2. Те же деяния, совершенные организованной группой… Однако при анализе данной нормы уголовного права можно увидеть, какие сложности возникают при ее практическом применении в области банковских карт. Сразу же бросается в глаза узкий круг предметов преступления: поддельные кредитные и расчетные карты. В уже не раз упоминавшемся Положении ЦБ РФ от 24 декабря 2004 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» в п. 1.5 указано: «Кредитная организация вправе осуществлять эмиссию банковских карт следующих видов: расчетных (дебетовых) карт, кредитных карт и предоплаченных карт». Следовательно, подделка предоплаченных карт не охватывается составом преступления ст. 187 УК РФ, т. е. уголовно ненаказуема и не является преступлением. Другая проблема ст. 187 УК РФ заключается в следующем. Постановлением Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате»[60 - Российская газета. 2008. 1 янв.] хищения денежных средств путем использования похищенной или поддельной кредитной (расчетной) карты (см. п. 13) в банкоматах, пунктах выдачи наличных (ПВН) кредитных организаций, торгово-сервисных предприятиях (ТСП) квалифицированы либо как кража (ст. 158 УК РФ), либо как мошенничество (ст. 159 УК РФ). Таким образом, «сбыт» в ст. 187 УК РФ трактуется только как переход поддельной карты от одного владельца к другому, причем такой переход должен осуществляться вне преступной группы. Если поддельные карты изготавливались не на продажу, а для личного использования, в том числе внутри преступной группы (функции по изготовлению и использованию поддельных карт были разделены между членами группы), то ст. 187 УК РФ не применяется, так как уголовная ответственность предусматривается за изготовление поддельных кредитных, расчетных карт только с целью сбыта. Практически под данную статью стали попадать только так называемые «фабрики». При этом в случае обнаружения такой «фабрики» само по себе изготовление поддельных карт преступлением не будет. Следствию необходимо будет доказать, что поддельные карты изготавливались с целью сбыта либо сбывались и что данные карты являются поддельными. Такая ситуация быстро отразилась на статистике МВД РФ (табл. 1.7), количество возбужденных дел по ст. 187 УК РФ после 2008 г. резко упало, что совершенно не отражает реальное положение дел с количеством поддельных кредитных, расчетных карт, изготавливаемых и используемых на территории России. Постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51 поставило еще ряд вопросов, вызвав этим достаточную неопределенность в вопросах расследования преступлений с использованием поддельных карт. Пункт 14 Постановления ВС РФ от 27 декабря 2007 г. № 51: «Изготовление лицом поддельных банковских расчетных либо кредитных карт для использования в целях совершения этим же лицом преступлений, предусмотренных ч. 3 или ч. 4 ст. 159 УК РФ, т. е. в целях совершить мошенничество»: • с использованием своего служебного положения; • в крупном размере; • организованной группой; • в особо крупном размере «следует квалифицировать как приготовление к мошенничеству». При этом не разъяснено: 1) как квалифицировать изготовление поддельных небанковских расчетных либо кредитных карт, например, American Express, Diners Club, JCB, в тех же целях? 2) как квалифицировать изготовление поддельных банковских расчетных либо кредитных карт в целях «хищения чужих денежных средств», «если выдача наличных денежных средств осуществляется посредством банкомата»? Поскольку в п. 13 этого же Постановления хищение денежных средств с использованием банкоматов квалифицируется не как мошенничество, а как кража. Под данный вид поддельных карт попадает так называемый «белый пластик», использование которого в России в последнее время отмечено во все возрастающих объемах; 3) дополнительно следует отметить, что в связи с тем, что доказать приготовление к хищению денежных средств в крупном или особо крупном размере при изготовлении поддельных банковских расчетных либо кредитных карт иностранных банков эмитентов крайне сложно, так как практически нереально получить от иностранного банка информацию о размере банковского счета, с которого осуществлялось приготовление к хищению денежных средств, то и квалифицировать данным образом такое преступление будет также невозможно. При этом в настоящий момент на территории России довольно распространенным является хищение денежных средств со счетов держателей карт иностранных эмитентов. Далее в п. 14 Постановления ВС РФ от 27 декабря 2007 г. № 51 указано, что «сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, заведомо непригодных к использованию, образует состав мошенничества и подлежит квалификации по соответствующей части статьи 159 УК РФ». Здесь также возникает ряд вопросов. 1. Кто и на каком этапе уголовного преследования определяет, что карта заведомо непригодна к использованию? Понятие поддельной или подлинной кредитной или расчетной карты является юридическим, следовательно, вывод об этом должен делать следователь. Однако следователь не обладает специальными познаниями и самостоятельно сделать вывод о том, что карта поддельная и пригодна к использованию, не может. Помочь следователю в этом вопросе должна экспертиза, которая даст необходимые и достаточные данные для признания карты подлинной или поддельной. Но в настоящий момент в России не создана единая методика осуществления экспертиз поддельных кредитных и расчетных карт. Работы над ней еще только ведутся. Нет даже четкого и единообразного определения понятий «поддельная кредитная», «поддельная расчетная» карта. В России не создана система институтов производства экспертизы поддельных кредитных и расчетных карт. Специалисты экспертно-криминалистических подразделений МВД РФ не обладают всей полнотой информации, необходимой для производства экспертиз. Так как основная информация, на основании которой возможно проведение исследования в отношении подлинности кредитных и расчетных карт, например международных платежных систем VISA и MasterCard, является конфиденциальной и доступной только банкам — членам данных систем. 2. Какие карты являются заведомо непригодными к использованию? Если посмотреть на оборотную сторону международных банковских карт VISA и MasterCard, а именно их подделывают наиболее часто, то можно прочитать следующую надпись: «Not valid unless signed» — «Недействительна без подписи». Правила приема и обработки платежных карт для менеджеров и кассиров торговых точек также гласят, что карты без образца подписи клиента к обслуживанию не принимаются. Следует ли из этого, что изготовление с целью сбыта поддельных кредитных или расчетных карт, даже очень высокого качества, но без подписи держателя не образует состава преступления по ст. 187 УК РФ, так как такие карты будут заведомо непригодными к использованию и в этом случае сбыт таких карт необходимо классифицировать как мошенничество? Как быть с «белым пластиком», с помощью которого, зная ПИН-код, можно похитить денежные средства в банкомате или при сговоре с кассиром без ПИН-кода осуществить операцию оплаты в торгово-сервисном предприятии? 3) Кому могут быть сбыты поддельные кредитные либо расчетные карты, в том числе и заведомо непригодные к использованию, если под сбытом понимать только физическое отчуждение таких карт? Так как банковские карты предназначены для осуществления безналичных расчетов и согласно ч. 3 ст. 861 ГК РФ «безналичные расчеты производятся через банки, иные кредитные организации», а Положение ЦБ РФ № 266-П регламентирует совершение операций с использованием расчетных и кредитных карт по банковскому счету, то отсюда вытекает, что эмиссию (выпуск) расчетных, кредитных банковских карт могут осуществлять только банки (кредитные организации). Причем держатель карты не является ее собственником (при выдаче карт банки их не продают и не дарят), карта остается в собственности банка, держатель является владельцем. Для получения карты клиент должен заключить договор с банком. Расчетные и кредитные карты привязываются к конкретному счету в банке, по стандартным условиям договора между банком и клиентом карту нельзя передавать для совершения операций другим лицам, в случае передачи карты другому лицу происходит нарушение условий договора. Получается, что единственным местом, где держатель может законно получить кредитную или расчетную банковскую карту, является какое-либо представительство банка. Более того, данный факт получения карты — это единственный законный способ ее отчуждения, единственный легитимный способ сбыта (если под сбытом понимать физическое отчуждение карты). Все другие способы сбыта (в смысле отчуждения карты) просто не предусмотрены технологий обращения банковских кредитных и расчетных карт. Поэтому непонятно, о каком обмане приобретателя карты и его роли в качестве потерпевшего может идти речь, если кредитную или расчетную банковскую карту в России можно получить только в банке. «При сбыте поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, лицом, их не изготавливавшим, необходимо осознание факта поддельности предмета преступления»[61 - Комментарий к Уголовному кодексу Российской Федерации (постатейный) / В. К. Дуюнов [и др.]; отв. ред. Л. Л. Кругликов. М.: Волтерс Клувер, 2005.]. Если кто-то приобретает кредитную или расчетную банковскую карту не в банке, то он явно осознает, что она поддельная и предназначена для незаконного доступа к какому-либо банковскому счету с целью хищения находящихся там денежных средств, так как согласно Положению ЦБ РФ № 266-П кредитной или расчетной карте обязательно должен сопутствовать какой-либо договор банка с клиентом (кредитный, банковского счета, др.). Получается нелепая ситуация, о которой мы уже упоминали: лицо, которое использует или сбывает поддельную карту, может заявить, что само является жертвой обмана, так как считало, что приобрело (скорее всего у неизвестного лица) кредитную карту, с помощью которой рассчитывало осуществить покупки, а его грубо обманули — карта оказалась поддельной. Таким образом, легальный сбыт кредитной или расчетной карты, предполагающий ее отчуждение, может быть только в виде выдачи ее кредитной организацией держателю в пользование (владение). Отчуждение поддельных кредитных либо расчетных карт в ином виде может происходить только при их незаконном обороте, когда и сбытчик (продавец), и приобретатель (покупатель) прекрасно осознают, что карты поддельные. Если же были сбыты заведомо непригодные к использованию поддельные карты, то потерпевшим будет лицо, приобретающее поддельные карты, осознающее это, но рассчитывающее, что данные карты являются пригодными для хищения денежных средств. Парадокс ситуации заключается в том, что абз. 3 п. 14 Постановления ВС РФ от 27 декабря 2007 г. № 51 защищает интересы лиц, которые сознательно приобретают поддельные карты. Однако маловероятно, что такое лицо обратится в правоохранительные органы с заявлением о совершении преступления. Подводя итог вышесказанному, можно сделать следующие выводы: 1) согласно действующему законодательству изготовление с целью сбыта и сбыт поддельных предоплаченных платежных (в том числе банковских) карт не является уголовным преступлением; 2) согласно действующему законодательству изготовление поддельных банковских расчетных либо кредитных карт для использования в целях совершения этим же лицом неквалифицированного мошенничества, а также мошенничества группой лиц по предварительному сговору или с причинением значительного ущерба гражданину также не является уголовным преступлением; 3) в связи с трудностью получения информации от иностранных банков невозможно будет квалифицировать как преступное действие изготовление поддельных банковских расчетных либо кредитных карт иностранных банков эмитентов в целях хищения (т. е. приготовление к преступлению) чужих денежных средств в крупном или особо крупном размере. Проведенный выше анализ ст. 187 УК РФ говорит о том, что данная статья крайне редко может применяться для привлечения к уголовной ответственности в сфере обращения банковских платежных карт. Применение статей 158 и 159 УК РФ Таким образом, при использовании поддельных банковских карт для расчетов в предприятиях торговли чаще всего правоохранительными органами возбуждаются уголовные дела по ст. 159 УК РФ (мошенничество), а при использовании таких карт в банкоматах — по ст. 158 УК РФ (кража). Сложность квалификации по ст. ст. 158 (кража) и 159 (мошенничество) УК РФ применительно к сфере платежных карт заключается в пересечении сразу трех областей знания — уголовного права, гражданского права и карточных технологий. Рассмотрим более подробно данные статьи Уголовного кодекса. И кража, и мошенничество являются хищением, им присущи общие признаки, названные в примечании 1 к ст. 158 УК РФ. Под хищением в статьях настоящего Кодекса понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества. Общие признаки хищения: • изъятие имущества; • противоправность изъятия; • изымаемое имущество было чужим для виновного; • изъятие было безвозмездным; • виновный преследовал корыстную цель; • изъятое имущество обращено в пользу виновного или в пользу третьих лиц; • собственнику или иному владельцу причинен ущерб. Причинение ущерба собственнику или иному владельцу является обязательным признаком хищения. Иными словами: нет ущерба — нет и преступления. В случае выявления мошеннических операций по банковским картам в эквайринговой сети многие банки не заявляют о причиненном им ущербе, так как на основании правил платежных систем они получают (в определенных случаях) возмещение по данным операциям и финансовая ответственность возлагается на эмитентов. Проблемы возникают, если эмитентом является иностранный банк. Поскольку нет заявленного ущерба, то правоохранительные органы не возбуждают уголовные дела и уголовное преследование и наказание виновных лиц не осуществляется. Такое положение порождает элемент безнаказанности и способствует высокой латентности в данной преступной среде. УК РФ не определяет, что такое ущерб, но данное понятие есть в Гражданском кодексе РФ (ст. 15. ГК РФ): «ущерб — это расходы, которые лицо, чье право нарушено, произвело или должно будет произвести, а также утрата или повреждение его имущества». Важным обстоятельством при определении ущерба по уголовному делу является момент окончания уголовного преступления. «Мошенничество, т. е. хищение чужого имущества, совершенное путем обмана или злоупотребления доверием, признается оконченным с момента, когда указанное имущество поступило в незаконное владение виновного или других лиц и они получили реальную возможность (в зависимости от потребительских свойств этого имущества) пользоваться или распорядиться им по своему усмотрению»[62 - Постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51. О судебной практике по делам о мошенничестве, присвоении и растрате // Российская газета. 2008. 12 янв.]. В связи с данным определением момента окончания преступления представляется весьма спорной позиция некоторых специалистов, которые квалифицируют деяние не по окончании совершения преступления, а по последующим событиям, не зависящим от виновного лица, делая попытки установить, кому в конечном итоге причинен ущерб и в связи с этим по-разному квалифицируя одно и то же событие[63 - Пластиковые карты / Л. В. Быстров, А. С. Воронин, А. Ю. Гамольский [и др.]. 5-е изд., перераб. и доп. М.: БДЦ-пресс, 2005. С. 321–324.], что противоречит ч. 2 ст. 9 УК РФ. Статья 9 УК РФ. Действие уголовного закона во времени 2. Временем совершения преступления признается время совершения общественно опасного действия (бездействия) независимо от времени наступления последствий. Представляется, что ошибку совершают также и те, кто пытается определить, кому же в результате урегулирования всех гражданско-правовых отношений в конечном итоге причинен ущерб: торговому предприятию, банку-эквайреру, банку-эмитенту, клиенту или страховой компании? Дело в том, что исходя из конкретных обстоятельств дела, правил платежных систем (которые могут меняться, например перенос ответственности), квалификации сотрудников банков по претензионной работе в конечном итоге убытки может понести любой из перечисленных субъектов. Причем в ходе претензионной работы сторона, несущая убытки, может меняться (возврат платежа, повторное представление документа, предарбитраж, арбитраж). При этом виновное лицо давно уже изъяло имущество в свою пользу и не имеет никакого отношения к рассматриваемым событиям. Для понимания указанных аргументов рассмотрим ситуацию с использованием поддельных банковских карт иностранных эмитентов для снятия наличных денежных средств в банкоматах российских эквайреров. С точки зрения банкоматного эквайринга имеет место со стороны банка-эквайрера оказание услуг держателям банковских карт по выдаче наличных денежных средств в случае одобрения данной операции банком-эмитентом. Банк-эмитент проверяет возможность выдачи денежных средств и дает разрешение на проведение операции. На основании этого одобрения банк-эквайрер выдает свои наличные денежные средства держателю карты, обратившемуся за данной услугой. Таким образом, на момент окончания уголовного преступления «хищение чужого имущества… когда указанное имущество поступило в незаконное владение виновного или других лиц и они получили реальную возможность (в зависимости от потребительских свойств этого имущества) пользоваться или распорядиться им по своему усмотрению» похищенными оказываются наличные денежные средства банка-эквайрера. То есть ущерб на момент окончания уголовного преступления нанесен эквайреру. Возмещение им выданной суммы за счет банка-эмитента происходит уже после окончания уголовного преступления в рамках гражданского права (правил платежных систем)[64 - Данная позиция нашла свое подтверждение в судебной практике. См. уголовное дело № 50570 от 31 августа 2007 г., Йошкар-Ола. Эквайринг АТМ.]. Несколько сложнее обстоит дело в случае использования поддельных банковских карт иностранных эмитентов в эквайринговой сети торговых предприятий российских (с точки зрения территориальности) банков, если согласно правилам платежных систем ущерб возлагается на эмитента. Обратимся к классической схеме преступления. Мошенник, используя поддельную банковскую карту, произвел оплату товаров (работ, услуг) в организации торговли (услуг). При стандартном подходе в правоохранительные органы должно поступить заявление от лица, которому нанесен ущерб. Если опираться на технологию расчетов с использованием банковских карт, то получаем следующую ситуацию: предприятие торговли составляет расчетный документ и направляет его в банк-эквайрер, тот в свою очередь через платежную систему адресует его банку-эмитенту. И уже здесь, исходя из договора банковского счета (кредитного или дебетового), норм местного законодательства, наличия договоров со страховыми компаниями и т. п., ущерб может быть нанесен держателю, эмитенту или страховой компании. Если карта была эмитирована иностранным банком, то добиться написания заявления в российские правоохранительные органы практически нереально. Чтобы выполнить требование о заявлении ущерба, рассмотрим ситуацию с мошенническим использованием платежной карты в эквайринговой сети несколько под другим углом, а именно с точки зрения российского гражданского законодательства. Нормативный документ ЦБ РФ № 266-П «Положение об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» не рассматривает все гражданско-правовые вопросы функционирования платежных карт. Более того, комплексное законодательное регулирование по данному вопросу в России отсутствует. Поэтому технология функционирования платежных карт регулируется отдельными договорами. В нашем случае обратим внимание на договор между эквайрером и торгово-сервисными предприятиями (договор об эквайринге). Предметом данного договора со стороны предприятия является составление документов на бумажном носителе и (или) в электронной форме с использованием платежных карт или их реквизитов при совершении держателями покупок; а со стороны эквайрера — осуществление расчетов с организацией торговли (услуг) по операциям, совершаемым с использованием платежных карт (см. п. 1.9 Положения ЦБ РФ № 266-П). Иными словами, эквайрер оплачивает предприятию суммы операций с использованием платежных карт за вычетом своей комиссии (торговой уступки). Согласно условиям данного договора эквайрер несет самостоятельные денежные обязательства перед организацией торговли (услуг) по оплате сумм операций, совершаемых с использованием платежных карт. Это означает, что если организация торговли (услуг), соблюдая все условия договора, составила расчетный документ с использованием платежной карты или ее реквизитов и представила данный документ в банк-эквайрер для оплаты, то у банка возникает обязательство перечислить предприятию денежные средства по документу. Это обязательство не зависит от исполнения другими участниками платежной системы своих обязательств перед эквайрером. Например, если банк-эмитент по каким-либо причинам не перечислил денежные средства эквайреру (например, ввиду переноса ответственности), последний все равно обязан рассчитаться с организацией торговли (услуг). Это позволяет рассматривать договор на эквайринговое обслуживание между банком и предприятием в отрыве от всей остальной платежной системы. Тогда представленная выше классическая мошенническая ситуация будет выглядеть следующим образом. В организации торговли мошенник, выдавая себя за законного держателя банковской карты, составляет расчетный документ. Данный расчетный документ направляется в банк, который перечисляет по нему денежные средства со своего счета на счет предприятия. Умысел злоумышленника направлен на обман банка-эквайрера с тем, чтобы тот за счет своих собственных средств (согласно договору на эквайринговое обслуживание) оплатил товар (услуги) и перечислил денежные средства на счет организации торговли. Таким образом, путем обмана (мошенник не является законным держателем карты) совершается хищение безналичных денежных средств банка-эквайрера, который несет определенные расходы, связанные с оплатой представленного документа, поэтому на основании ст. 15 ГК РФ ему наносится ущерб. Документом, подтверждающим ущерб, будет платеж банка-эквайрера организации торговли (услуг) по операции с платежной картой. Момент окончания преступления — зачисление денежных средств со счета банка-эквайрера на счет торгово-сервисного предприятия: «…преступление следует считать оконченным с момента зачисления этих средств… на счета других лиц, на которые похищенные средства поступили в результате преступных действий виновного»[65 - Постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51. О судебной практике по делам о мошенничестве, присвоении и растрате // Российская газета. 2008. 12 янв. Данная позиция также нашла свое подтверждение в судебной практике. См. уголовное дело № 7013396 от 11 октября 2007 г., Астрахань. Эквайринг ТСП; уголовное дело № 044162 от 11 марта 2008 г., Москва. Эквайринг ТСП; уголовное дело № 248100, Санкт-Петербург. Фабрика «Leroy».]. Еще одной сложной задачей доказывания использования поддельной банковской карты, в случае если сама карта отсутствует, является необходимость получения подтверждающих документов ее несанкционированного использования. Со стороны эмитента банковской карты таким документом обычно является заявление держателя карты. Банку-эквайреру такое заявление получить невозможно, поэтому необходимо использовать для доказательства другие документы, предусмотренные в рамках правил международных платежных систем. Такими документами могут являться чек безопасности (security check), отчет о мошенничестве (fraud report) или возврат платежа (chargeback). 1. Security Check, который формируется из «Запроса в банк-эмитент» и «Ответа из банка-эмитента» о легитимности указанной операции по банковской карте. В связи с тем что документооборот в международных платежных системах осуществляется на английском языке, то прилагаемые документы необходимо перевести на русский язык. Перевод может осуществить сотрудник эквайрера. Пример сопроводительного письма с переводом ответа от банка-эмитента 2. Fraud report (отчет о мошенничестве) платежных систем. В случае необходимости, если этого требуют правоохранительные органы, данный отчет может заверить представитель платежной системы. Примеры 1 2 3) Chargeback — возврат платежа, отказ эмитента от платежа по операции. Пример * * * Итак, в данной главе мы проанализировали действующее законодательство РФ на предмет его актуальности в контексте борьбы с преступлениями в сфере платежных карт и наглядно показали его несовершенство. Вместе с тем даже в таком правовом поле у следственных органов есть возможность заводить дела по карточным преступлениям и доводить их до суда. С российской правоприменительной практикой на примере конкретных уголовных дел читатель может ознакомиться в конце книги (см. Приложение 1). Глава 2 Международные стандарты безопасности Стандарты международных платежных систем: PCI DSS и смежные стандарты В данном разделе описаны стандарты платежных систем, определяющие требования к информационной безопасности, а также политика платежных систем VISA и MasterCard в части контроля и применения. Подробнее всего будет рассмотрен основной стандарт — Payment Card Industry Data Security Standard (PCI DSS), также будут затронуты вопросы смежных стандартов, таких как PA DSS и PCI PED. Стандарт PCI DSS История стандарта В последние годы по всему миру участились случаи взлома банковских информационных систем, а также факты мошенничества и кражи данных держателей карт. Подобная нездоровая тенденция послужила одной из главных причин, побудившей международные платежные системы объединить свои усилия и принять дополнительные меры для защиты своих клиентов. С 2001 г. платежные системы начали разрабатывать собственные программы обеспечения информационной безопасности для снижения рисков мошенничества — в VISA это были программы Cardholder Information Security Program (CISP) и Account Information Security (AIS), в MasterCard была разработана программа Site Data Protection (SDP). В 2004 г. был разработан единый набор требований к безопасности данных — Payment Card Industry Data Security Standard 1.0, объединивший в себе требования ряда программ по безопасности платежных систем VISA Int., MasterCard, American Express, Discover Card и JCB. Впоследствии, в сентябре 2006 г., для развития и продвижения стандарта PCI DSS, был создан специальный Совет по безопасности — PCI Security Standards Council. Основными функциями Совета по безопасности являются разработка и публикация стандартов PCI и всей сопутствующей документации, определение требований к компаниям, планирующим получить сертификацию для проведения аудитов по PCI DSS («QSA») и сканирований («ASV»), осуществление непосредственно самой сертификации, проведение обучающих тренингов для будущих QSA-аудиторов, а также осуществление контроля качества проведенных аудиторами работ. Официальным источником информации о стандартах PCI является сайт Совета по безопасности[66 - www.pcisecuritystandards.com], там можно найти: • ответы на частые вопросы — FAQ; • описание рисков, связанных с каждым требованием стандарта — Navigating PCI DSS Document; • дополнительные материалы и рекомендации Совета по выполнению требований стандарта PCI DSS; • тексты стандартов PCI DSS, PA DSS и PCI PED на различных языках[67 - Перевод стандартов PCI на русский язык доступен на сайте www.pcisecurity.ru]. В свою очередь международные платежные системы принимают отчетность по результатам аудитов и оценивают работу QSA. Обновленная версия стандарта PCI DSS 1.1 вышла в сентябре 2006 г., в ноябре 2008 г. вышла версия 1.2 и текущая версия 2.0 на момент написания книги была принята в ноябре 2010 г. Несмотря на большое количество различных версий, по сути набор требований не претерпел существенных изменений, новые версии стандарта в основном содержали уточнение требований и исправление ошибок. Сферы применения PCI DSS Действие стандарта PCI DSS распространяется на все торгово-сервисные предприятия (merchants) и поставщиков услуг (service providers), работающих с международными платежными системами, т. е. на всех тех, кто передает, обрабатывает и хранит данные держателей карт. В табл. 2.1 проиллюстрированы различные типы данных и требования к ним, которые выдвигает PCI DSS. Также в зависимости от количества обрабатываемых транзакций каждой платежной системой компании присваивается определенный уровень с соответствующим набором требований, которые должны выполняться в обязательном порядке. Это может быть (1) ежегодное прохождение аудита, (2) ежеквартальные сканирования сети или (3) ежегодное заполнение листа самооценки (Self Assessment Questionnaire — специальная анкета, разработанная PCI SSC для самооценки компаний). Требования Стандарта безопасности данных платежных приложений (PA DSS) являются производными от требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) и Процедур аудита безопасности PCI DSS (PCI DSS Security Audit Procedures). Эти документы, с которыми можно ознакомиться на сайте PC PCI, содержат подробное описание требований безопасности данных, которые торгово-сервисные предприятия и сервис-провайдеры должны соблюдать для соответствия стандарту PCI DSS (следовательно, какое приложение платежной системы необходимо использовать для обеспечения соответствия этому стандарту)[68 - Более подробное описание стандарта PA DSS см. далее.]. Стандарт PCI DSS обычно не распространяется на производителей приложений платежных систем, поскольку большинство производителей не выполняют хранение, обработку и передачу данных о держателях карт. Однако поскольку приложения платежных систем используются клиентами для хранения, обработки и передачи данных о держателях карт, а клиенты должны соблюдать требования стандарта PCI DSS, то приложения платежных систем должны соответствовать требованиям стандарта PCI DSS и не нарушать их. Ниже приведены несколько способов использования приложений платежных систем, при которых требования стандарта PCI DSS нарушаются: • хранение данных магнитной полосы карты в сети клиента после авторизации; • использование приложений, для корректной работы которых требуется отключение клиентами программного обеспечения, которое должно применяться для соблюдения требований стандарта PCI DSS (например, антивирусных программ или межсетевых экранов); • использование производителями незащищенных методов подключения к этим приложениям для технической поддержки клиента. При использовании защищенных приложений платежных систем в среде, соответствующей требованиям стандарта PCI DSS, уменьшается вероятность нарушения безопасности, приводящая к компрометации полных данных магнитной полосы, кодов проверки подлинности карты (CAV2, CID, CVC2, CVV2), ПИН-кодов и ПИН-блоков и, в результате, — к осуществлению злоумышленниками мошеннических операций. Описание требований стандарта Все требования стандарта сгруппированы в 12 разделов, объединенных в 6 групп: • построение и поддержание защищенной сети: • требование 1: установка и администрирование конфигурации межсетевых экранов для защиты данных держателей карт; • требование 2: не должны использоваться системные пароли и другие параметры безопасности, установленные производителем по умолчанию; • защита данных держателей карт: • требование 3: должна быть обеспечена защита данных держателей карт при хранении; • требование 4: должно быть обеспечено шифрование передачи данных держателей карт по сетям общего пользования; • реализация программы управления уязвимостями: • требование 5: должно использоваться регулярно обновляемое антивирусное программное обеспечение; • требование 6: должна обеспечиваться безопасность при разработке и поддержке систем и приложений; • реализация мер по строгому контролю доступа: • требование 7: доступ к данным держателей карт должен быть ограничен в соответствии со служебной необходимостью; • требование 8: каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор; • требование 9: физический доступ к данным держателей карт должен быть ограничен; • регулярный мониторинг и тестирование сетей: • требование 10: должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным держателей карт; • требование 11: должно выполняться регулярное тестирование систем и процессов обеспечения безопасности; • поддержание политики информационной безопасности: • требование 12: должна поддерживаться политика, регламентирующая деятельность всех сотрудников. Каждое из 12 общих требований содержит ряд «подтребований» и процедур их проверки, которые, с одной стороны, обеспечивают (как минимум в теории) однообразие контроля требований аудиторам и, с другой стороны, часто детализируют само требование. Также для понимания сути требования и/или процедуры проверки бывает полезно учитывать, в какой группе находится данное требование. Описание требований приведено для версии стандарта PCI DSS 2.0. Построение и поддержание защищенной сети Требование 1: установка и администрирование конфигурации межсетевых экранов для защиты данных держателей карт. Данное обобщенное требование содержит 18 требований и 25 процедур оценки их соответствия, регламентирующих различные аспекты применения межсетевых экранов для защиты сегментов сети, обрабатывающих данные платежных карт, такие как: • сегментация сети на различные зоны безопасности и размещение серверов в них; • необходимость документирования и поддержания актуальности схемы сети, перечня разрешенных протоколов; • настройка конкретных правил фильтрации трафика; • необходимость регламентирования процесса внесения изменений в конфигурации межсетевых экранов; • настройка правил фильтрации трафика на мобильных компьютерах. Обычно реализация данных требований достаточно трудоемка, ввиду того что кроме настройки межсетевого экрана чаще всех приходится менять сегментацию сети, переносить серверы в дополнительные сегменты безопасности, решать вопросы с производительностью межсетевых экранов и определять порты, через которые работают серверы, ранее находившиеся в одном сегменте. Тем не менее при правильной реализации риск несанкционированного доступа в сеть после выполнения всех требований этого раздела существенно снижается. Требование 2: не должны использоваться системные пароли и другие параметры безопасности, установленные производителем по умолчанию. Данное обобщенное требование содержит 23 требования и соответствующие им процедуры оценки, регламентирующие различные аспекты настройки серверов, сетевого оборудования, приложений и баз данных, в частности: • разработка стандартов безопасной настройки, определяющих конкретные параметры безопасности для каждого вида используемых систем; • изменение параметров систем, установленных по умолчанию; • разделение важных функций между различными серверами; • удаление ненужного или неиспользуемого функционала; • регламентация используемых протоколов взаимодействия; • обеспечение безопасного удаленного доступа администраторов для управления системами. Как правило, реализация данного набора требований требует определенного времени как на разработку необходимых параметров безопасности, так и на тестирование их работоспособности и применение на всех системных компонентах. Для большой организации этот процесс может затянуться на несколько месяцев. Но в результате безопасность систем существенно возрастает, особенно в совокупности с правильно настроенным межсетевым экраном и вовремя устанавливаемыми обновлениями безопасности. По сути, реализация требований 1, 2 и 6 в полном объеме могли бы предотвратить более 90 % случившихся взломов систем с последующими утечками данных платежных карт. Защита данных держателей карт Требование 3: должна быть обеспечена защита данных держателей карт при хранении. Данное обобщенное требование содержит 15 требований и соответствующих им процедур оценки, определяющих, как необходимо обрабатывать, хранить и защищать непосредственно данные платежных карт (такие как PAN, TRACK, PINBLOCK и т. п.), в том числе: • необходимо хранить номера карт только в тех местах и в течение такого срока, которые явно определены бизнес-целями; • соблюдать политику по уничтожению номеров карт после истечения срока их обоснованного хранения; • ограничивать доступ сотрудников к номерам карт в приложениях; • маскировать, шифровать, использовать другие способы затруднения получения полного номера карт при хранении; • жесткие запреты хранения критичных данных карт, используемых для авторизации после ее завершения; • управлять криптографическими ключами, используемыми для шифрования данных при хранении. Необходимо отметить следующее: так как стандарт разрабатывался в первую очередь для снижения рисков мошенничества в инфраструктурах торгово-сервисных предприятий и поставщиков сервиса (таких как платежные шлюзы, процессинговые центры и т. п.), вопросы защиты и хранения данных платежных карт в банковских организациях в рамках их выпуска не рассмотрены достаточно подробно. В результате при подтверждении соответствия стандарту в банках, где осуществляется и эквайринг, и выпуск карт на базе решения некоторых вендоров (таких как OpenWay, например), возникает ситуация, при которой в одной базе данных могут храниться критичные данные авторизации как сохраненные в процессе выпуска карт, так и сохраненные после авторизации. В этом случае необходимо рассматривать каждое место хранения данных в привязке к процессу, в рамках которого они возникают, — ведь в стандарте запрещено хранить критичные данные, возникшие только в результате авторизации, но ничего не сказано о данных, возникающих в рамках выпуска карт. Наиболее проблемным при внедрении всего стандарта обычно считается требование 3.4 (приведение номеров карт при хранении к нечитаемому виду путем использования шифрования, маскирования и т. п.), поскольку это требует: • доработки/замены прикладного программного обеспечения, используемого для обработки карт, включая изменение алгоритмов поиска номеров карт, в частности по маске; • обновления базы данных, поскольку, например, в СУБД Oracle шифрование хорошо поддерживается начиная с 10-й версии; • апгрейда оборудования на более производительное, поскольку шифрование требует больших аппаратных ресурсов; • обеспечения шифрования резервных копий баз данных; • серьезной проработки и регламентации вопросов управления ключами шифрования для каждого ПО, которое его поддерживает (включая генерацию, распределение, обеспечение безопасности и уничтожение). Требование 4: должно быть обеспечено шифрование передачи данных держателей карт по сетям общего пользования. Данное обобщенное требование содержит 3 требования и 9 соответствующих им процедур оценки, регламентирующих вопросы шифрования данных платежных карт при передаче их по открытым каналам связи, с использованием программ мгновенного обмена сообщениями (таких как Skype, ICQ и т. п.) и через беспроводные сети. Необходимо заметить, что в рамках данного требования каналы GSM считаются публичными и требуют криптозащиты трафика. И это несмотря на то, что во многих сетях мобильных операторов реализовано шифрование, а, например, каналы FrameRelay считаются достаточно защищенными и не требуют дополнительного шифрования. А с точки зрения используемых алгоритмов для шифрования можно использовать не только сертифицированную российскую криптографию, но также и другие алгоритмы с достаточной криптозащитой (например, AES 256). Реализация данного требования в российских банках обычно вызывает наименьшее количество проблем, поскольку исторически у нас вопросам криптозащиты трафика уделают большое внимание как сами банки, так и регулятор в лице ФСБ. Обычно все каналы связи с филиалами, терминальные сети банкоматов уже защищены с помощью VPN, и это вполне соответствует тому, что требует стандарт PCI DSS. Реализация программы управления уязвимостями Требование 5: должно использоваться регулярно обновляемое антивирусное программное обеспечение. Данное обобщенное требование содержит всего 3 требования и 6 соответствующих им процедур оценки, описывающих особенности применения и управления системами антивирусной защиты. Реализация данных требований обычно не вызывает больших проблем, так как в большинстве организаций уже стоит какая-либо система антивирусной защиты. Реализация требований сводится к правильной настройке системы антивирусной защиты и механизмов протоколирования событий, а также, при необходимости, закупке дополнительных лицензий на серверы, так как в соответствии со стандартом все системные компоненты, потенциально подверженные вирусным атакам, требуют антивирусной защиты. Хотя на практике известны случаи, когда из-за падения производительности ввиду установки антивируса приходилось либо обновлять аппаратную часть серверов, либо менять антивирус на менее требовательный к ресурсам. Требование 6: должна обеспечиваться безопасность при разработке и поддержке систем и приложений. Данное обобщенное требование содержит 24 требования и 32 соответствующие им процедуры оценки, регламентирующие вопросы поддержки и обновления систем и регламентирующие вопросы разработки. Реализация данных требований обычно вызывает серьезные сложности по ряду причин: 1) в большинстве российских компаний обновления безопасности на внутренние серверы, особенно на базы данных, практически никогда не ставились, так как, по мнению администраторов, безопасность обеспечивают внешние межсетевые экраны, а любое обновление может нарушить работоспособность системы, что чревато намного большими проблемами, чем гипотетический взлом. К сожалению, эту логику администраторов вполне понимают и злоумышленники. И, как правило, очень успешно используют уязвимость внутренних серверов для получения доступа к данным пластиковых карт; 2) вендоры прикладного программного обеспечения обычно тестируют совместимость своих приложений с обновлениями операционных систем и баз данных с достаточно большим опозданием, и чаще всего четко прописывают в контрактах на поддержку, с какой именно версией и какими обновлениями операционной системы и базы данных они готовы поддерживать свои приложения, чем ставят своих клиентов в очень неудобное положение — или выполняются требования стандарта, или теряется поддержка вендора для прикладных систем. Впрочем, стандарт безопасности для вендоров PA DSS частично позволяет решить эту проблему, обязывая вендора своевременно тестировать совместимость своих приложений с выходящими обновлениями безопасности. Еще хуже ситуация обстоит с вопросами разработки программного обеспечения. Как правило, если мы говорим о банковской организации, разработка программного обеспечения для него носит характер побочной деятельности. Количество разработчиков обычно небольшое даже по сравнению с количеством ИТ персонала, поддерживающего системы. Когда ПО разрабатывается своими силами, как правило, процессы разработки не документируются, тестовые системы не выделяются в отдельный сегмент сети, сами разработчики принимают участие и в тестировании, и в поддержке систем, уже находящихся в эксплуатации. Все это является нарушением стандарта, требования которого предполагают наличие задокументированных процессов разработки, четко разделенных на стадии, в рамках каждой их которых учитываются вопросы обеспечения ИБ. Разработка и тестирование должны быть явно разделены, тестирование не должно проводиться на реальных номерах карт, изменения в программном обеспечении должны быть утверждены руководством — это лишь небольшая часть требований, которые не всегда выполняются даже в компаниях, профессионально разрабатывающих программное обеспечение, что уж тут говорить о банке с совершенно другой специализацией. Также в ходе разработки необходимо учитывать специальную технику и методы программирования, позволяющие избежать типовых уязвимостей, которые потом могут быть использованы злоумышленниками. Для веб-приложений и этого недостаточно — для дополнительной защиты необходимо устанавливать специальные межсетевые экраны перед веб-серверами или проводить специализированные проверки кода ежегодно. Реализация мер по строгому контролю доступа Требование 7: доступ к данным держателей карт должен быть ограничен в соответствии со служебной необходимостью. Данное обобщенное требование содержит 7 требований и 7 соответствующих им процедур оценки, описывающих необходимость продумывания и документирования минимально достаточных прав доступа для выполнения той или иной работы сотрудникам, а также наличия системы контроля доступа, позволяющей реализовать задуманную политику минимально достаточного доступа. Если в компании есть должностные инструкции и налажена система предоставления доступа через систему заявок, серьезных трудностей с реализацией этих требований обычно не возникает. Требование 8: каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор. Данное обобщенное требование содержит 18 требований и 25 соответствующих им процедур оценки, обеспечивающих две важные задачи безопасности — обеспечение мониторинга действий каждого пользователя в любой системе и снижение риска несанкционированного доступа с использованием чужого пароля. Для этого описаны требования по: • длине, сложности и частоте смены паролей; • использованию двухфакторной аутентификации при удаленном доступе; • автоматической блокировке сеансов работы в случае бездействия пользователя; • хранению паролей в системах в нечитаемом виде; • удалению неиспользуемых учетных записей; • запрету прямого доступа к базам данных, содержащим данные платежных карт для всех пользователей, за исключением администраторов СУБД. Большинство требований достаточно просто реализуются штатными средствами операционных систем и баз данных, а для повышения уверенности, что все системные компоненты будут настроены корректно, настройки, обеспечивающие выполнение этих требований, рекомендуется включать в стандарты конфигурирования (см. Требование 2). Требование 9: физический доступ к данным держателей карт должен быть ограничен. Данное обобщенное требование содержит 20 требований и 28 соответствующих им процедур оценки, регламентирующих вопросы физической защиты серверов и сетевого оборудования: • систем видеонаблюдения и контроля доступа в помещения; • визуальной идентификации посетителей; • учета, контроля перемещения и защиты отчуждаемых носителей, содержащих данные платежных карт; • уничтожения всех видов носителей защищаемой информации, включая жесткие диски, бумажные носители и магнитные ленты. Обычно к моменту принятия решения о внедрении стандарта PCI DSS большинство требований данного раздела в банковской организации уже выполняется. Особенно в случае, если банк занимается выпуском платежных карт самостоятельно — ведь для выпуска платежных карт предъявлены намного более серьезные требования по физической защите помещений. Вместе с требованием 5 (антивирусная защита) это требование является наиболее простым и понятным в реализации. Особенно если сравнивать его с требованием 3 (защита данных платежных карт) и требованием 10 (протоколирование и мониторинг доступа). Регулярный мониторинг и тестирование сетей Требование 10: должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным держателей карт. Данное обобщенное требование содержит 27 требований и 29 соответствующих им процедур оценки, регламентирующих вопросы протоколирования и мониторинга событий, включая особенности: • перечня и состава протоколируемых событий; • удаленного хранения и защиты собранных журналов аудита; • синхронизации времени между источниками событий и системой мониторинга; • периода хранения журналов аудита. Практика показывает, что одна из самых серьезных проблем на пути к соответствию PCI DSS — организация процесса мониторинга событий ИБ. C точки зрения стандарта организовать процесс можно различными способами: централизованно/децентрализованно, средствами автоматизации или без оных и т. п. Для обычного российского банка, имеющего собственный процессинг, организация мониторинга событий информационной безопасности могла бы выглядеть так: • сбор событий автоматизирован; • мониторинг в рабочее время обеспечивает квалифицированный сотрудник из подразделения безопасности; • в ночное время реагирование обеспечивается только на наиболее критичные события, которые поступают дежурному сотруднику и от которого не требуется знаний по ИБ, а требуется реагирование по инструкции (в норме задействуются уже существующие круглосуточные службы поддержки пользователей). Необходимо отметить важные особенности системы мониторинга событий ИБ применительно к задачам обеспечения и поддержания соответствия стандарту. 1. В систему мониторинга должны собираться события ИБ от всех типов ресурсов в области действия стандарта: • операционных систем серверов; • СУБД; • сетевое оборудование; • веб-серверы (если используются для обработки карт); • реже — прикладное ПО обработки карт, если имеющие к информационной безопасности события не регистрируются на других уровнях (например, добавляемая учетная запись не является учетной записью базы данных и выявить ее появление можно только в прикладных журналах или включая аудит на изменение пользовательской таблицы в базе данных). 2. Настройки протоколирования данных ресурсов должны обеспечивать регистрацию (а система мониторинга, в свою очередь, — сбор, обработку и хранение) всех типов событий, приведенных в п. 10.2.1- 10.2.7 стандарта PCI DSS (если имеют смысл для данного типа ресурса), а именно: • доступ к данным платежных карт (специфично для каждой из форм хранения данных — либо файлы, либо объекты базы данных); • успешное использование привилегированных административных полномочий и управление системными объектами (управление учетными записями и их правами, старт/остановка сервисов, конфигурирование сетевого оборудования, изменение параметров аудита, изменение протоколов аудита, изменение реестра операционной системы, изменение словарей и сегментов базы данных, создание/монтирование в операционной системе устройств/каналов и др.); • все события, связанные с работой систем аутентификации (успешный вход в систему, ошибки аутентификации пользователей, ошибки и сбои системы аутентификации); • попытки использования отсутствующих привилегий, т. е. ошибки логического доступа к объектам и функциям систем (например, пользователь базы данных пытается читать данные из словаря, чтобы узнать структуру базы данных, а прав на это у него нет). 3. В систему мониторинга должны также попадать сообщения от специализированных средств защиты (или мониторинг событий от них организуется децентрализованно): • межсетевые экраны; • IDS/IPS; • средства антивирусной защиты; • средства контроля целостности и др. 4. Должен обеспечиваться совокупный период хранения зарегистрированных событий информационной безопасности не менее одного года при включенном уровне протоколирования событий на источниках согласно требованиям 10.2.1-10.2.7 стандарта PCI DSS (см. пункт 2 данного списка). Если хранить такой объем событий в системе невозможно (в связи с их объемом и стоимостью хранилища), нужно продумывать решение по архивированию событий (в ручном или автоматическом режиме). Требование 11: должно выполняться регулярное тестирование систем и процессов обеспечения безопасности. Данное обобщенное требование содержит 9 требований и 23 соответствующих им процедуры оценки, регламентирующие аспекты периодического тестирования защищенности и частично вопросы обнаружения потенциальных несанкционированных вторжений/изменений в системах, в частности: • необходимость ежеквартального (или при изменении конфигурации сети или защищаемых серверов) внешнего сканирования с привлечением сертифицированной организации; платежных систем и расчетов • необходимость ежеквартального (или при изменении конфигурации сети или защищаемых серверов) внутреннего сканирования уязвимостей с использованием специальных программных средств; • выявление несанкционированных беспроводных точек доступа; • выявление несанкционированной активности в сети и/или изменения в файловых системах серверов; • проведение ежегодных (или при изменении конфигурации сети или защищаемых серверов) внутренних и внешних тестов на проникновение. Особенностью выполнения этих требований является то, что банку недостаточно просто провести сканирование или заказать тест на проникновение. Требование считается выполненным только в том случае, если в ходе тестирования/сканирования не было обнаружено серьезных уязвимостей. И при этом были протестированы все серверы/устройства и службы, которые входят в область применения стандарта. Более того, к моменту ежегодной проверки нужно показать, что на протяжении всего прошлого года своевременно проводились сканирования и оперативно устранялись уязвимости (в случае их наличия). Внутренние сканирования и тесты на проникновения могут проводиться любыми квалифицированными сотрудниками — как изнутри компании, так и приглашенными извне, тогда как внешнее сканирование должно проводиться сертифицированной компанией, имеющей статус Approved Scanning Vendor (ASV)[69 - Актуальный список компаний, имеющих статус ASV, доступен на сайте Совета по безопасности www.pcisecuritystandards.org]. Поддержание политики информационной безопасности Требование 12: должна поддерживаться политика, регламентирующая деятельность всех сотрудников. Данное обобщенное требование содержит 36 требований и 39 соответствующих им процедур оценки, регламентирующих аспекты нормативно правового обеспечения информационной безопасности, и организации защиты, включая: • наличие политики безопасности и процедур, описывающих типовые операции обеспечения защиты; • документированное распределение ответственности за различные аспекты обеспечения безопасности, мониторинга и контроля; • наличие программы повышения осведомленности и обучения сотрудников в вопросах обеспечения защиты; • проверку сотрудников на благонадежность перед принятием на работу; • контроль договорных обязательств в части защиты при передаче данных платежных карт сторонним организациям; • документирование и периодическое тестирование и обновление плана реагирования на инциденты безопасности; • обеспечение круглосуточного мониторинга и реагирования на инциденты информационной безопасности. Реализация этих требований (в частности — по документированию) достаточно проста по сути, но может быть несколько трудоемка для организаций со слабой нормативной базой по обеспечению безопасности. В организациях, где процессы управления безопасностью внедрены давно, обычно достаточно небольшой доработки существующей документации для отражения особенностей требования стандарта PCI DSS. Применение компенсационных мер Применимость стандарта и подтверждение его соблюдения Важной особенностью, необходимой для применения стандарта, является понимание различий между выполнением требований стандарта PCI DSS и подтверждением выполнения этих требований. Сам по себе стандарт PCI DSS применим ко всем организациям, обрабатывающим или хранящим данные платежных карт (как минимум — PAN). Сюда входят и банки, выпускающие эти карты, и магазины (в том числе веб-сайты), принимающие эти карты к оплате, и многочисленные сервис-провайдеры, участвующие в этом процессе (платежные шлюзы, агрегаторы платежей и т. п.). Очевидно, что часть требований в том или ином случае просто неприменима: ну откуда, например, у маленького магазина с POS-терминалом возьмутся процессы разработки приложений? При этом сам стандарт остается применимым. И вопросы, связанные, например, с контролем физического доступа к POS-терминалу, должны быть решены. Итак, примем как факт, что если номера карт обращаются в системе — применимые требования PCI DSS нужно выполнять. Теперь обратимся к требованиям платежных систем (в первую очередь VISA и MasterCard), ведь это именно они определяют, что компании должны делать, чтобы с ними работать. Именно они определяют различные способы подтверждения выполнения требований стандарта PCI DSS для различных организаций, сами их классифицируют и определяют штрафные санкции за нарушение их требований. У каждой платежной системы есть своя программа: для VISA — это Account Information Security (AIS) Programme[70 - Подробнее см. далее подраздел «Описание программы Visa AIS».], для MasterCard — это Site Data Protection (SDP) Program[71 - Описание SDP приведено далее в подразделе «Описание программы MasterCard SDP».]. Программы немного различаются, но очевиден единый подход к оценке риска — чем больше данных платежных карт проходит через организацию, тем более жесткие требования к ее проверке на соответствие стандарту. При этом максимальный уровень проверки — это проведение ежегодного аудита с привлечением сертифицированного аудитора QSA, а также проведение ежеквартальных сканирований с привлечением сертифицированной компании ASV. Минимальный уровень проверки — это самостоятельное заполнение опросного листа или даже (в случае с MasterCard для торгово-сервисных организаций 3-го и 4-го уровней) отсутствие каких-либо требований (их определяет банк-эквайрер). Несмотря на то что в принципе подход единый, требования по отчетности и область, которую нужно проверять при аудите, немного разные. Итак, необходимо начать с области применения стандарта PCI DSS. Исходно стандарт PCI DSS разрабатывался в основном для крупных торгово-сервисных организаций (миллионы транзакций в год) и сервис-провайдеров и нацелен на снижение рисков утечки данных «чужих» платежных карт в рамках в основном процессов авторизации. Несмотря на это обстоятельство его требования должны выполнять любые компании, в которых происходит обработка, хранение или передача как минимум PAN. Данную позицию Совет по безопасности PCI (PCI SSC) изложил в своем FAQ. Сложности при выполнении требований стандарта испытывают банки, которые занимаются выпуском платежных карт, их системы, обеспечивающие выпуск карт (особенно в случае, когда они интегрированы с АБС). В большинстве случаев системы разрабатывались без оглядки на требования PCI DSS (такие, как шифрование PAN, протоколирование доступа к PAN и т. п.). Доработка существующих систем (или замена, что может быть даже дешевле) под выполнение требований по безопасности — задача затратная и по времени, и по ресурсам. И для бизнеса не совсем очевидная. С другой стороны, если вспомнить, что контроль применения стандарта PCI DSS лежит на ответственности самих платежных систем, то первоочередная задача по достижению и демонстрации соответствия PCI DSS может быть ограничена. Рассмотрим требования наиболее распространенных платежных систем VISA и MasterCard к области проверки выполнения требований стандарта PCI DSS в регионе CEMEA, которые они доводят до аудиторов QSA: • VISA — в область проверки в ходе ежегодного аудита должны входить как минимум все системы, поддерживающие процессы авторизации платежей, клиринга и сеттлмента (от англ. settlement — урегулирование), а также фрод-мониторинга, разрешения диспутов и поддержки клиентов (колл-центры); • MasterCard — в область проверки в ходе ежегодного аудита должны входить как минимум все системы, поддерживающие процессы авторизации платежей, клиринга и сеттлмента. Таким образом, в ходе ежегодного аудита не требуется проверять выполнение требований стандарта PCI в остальных ИТ-системах банка, не связанных с вышеуказанными процессами (например, системы, поддерживающие выпуск карт, обеспечивающие аналитику по использованию карт и т. п.). При этом должны быть выполнены одновременно следующие условия (так как такие системы классифицируются как Connected Systems, т. е. подключенные системы): • исключаемые из области проверки ИТ-системы должны быть отделены межсетевым экраном (разумеется, правильно сконфигурированным в соответствии с требованиями стандарта); • интерфейс взаимодействия между ИТ-системами, исключаемыми из области проверки, и ИТ-системами, включенными в область проверки, должен обеспечивать достаточный уровень защищенности последних. Должны применяться защитные меры, позволяющие при компрометации любой ИТ-системы, обрабатывающей данные платежных карт и исключенной из области проверки, понизить риск компрометации подключенных к ним ИТ-систем, включенных в область проверки. Особенно интересен тот факт, что не требуется проверять и сети банкоматов (что выглядит странным, так как они участвуют в авторизации непосредственным образом). Стоит заметить, что с учетом опыта последних инцидентов с вирусами на банкоматах МПС (в частности, VISA) рекомендует для снижения подобных рисков реализовать для банкоматов те же защитные меры, что вошли в стандарт PCI DSS, но это именно рекомендации. Члены платежной системы вправе рассмотреть их эффективность, вправе даже привлечь QSA-аудиторов для оценки их выполнения. Но невыполнение банками ряда требований PCI DSS на банкоматах не может быть классифицировано аудиторами как несоответствие стандарту PCI DSS, препятствующее получению сертификата соответствия в рамках определенной самими платежными системами области проведения сертификационного аудита PCI Validation Scope (для сравнения — на Западе аудиторы проверяют и банкоматы тоже). Таким образом, для того чтобы снизить затраты на выполнение требований платежных систем по достижению соответствия PCI DSS, рекомендуется в первую очередь уменьшить область проверки путем правильной сегментации сети и внедрения защитных мер, обеспечивающих безопасность взаимодействия с подключенными системами. При этом необходимо осознавать, что риск компрометации данных платежных карт из систем, исключенных из области проверки, будет несомненно выше, и его необходимо учитывать при планировании и внедрении системы защиты. Вполне разумным шагом выглядит планирование достижения соответствия PCI DSS и в этих системах следующим этапом. Описание программы VISA AIS Применимость стандарта безопасности данных PCI в организациях, работающих с VISA Всем организациям, которые хранят, обрабатывают или передают данные платежных карт VISA, необходимо соответствовать программе AIS. Данная программа применима ко всем платежным каналам, включая розничные, почтовые/телефонные и электронной коммерции. Сюда входят банки-участники VISA, торгово-сервисные предприятия, сторонние процессоры третьей стороны, поставщики шлюзов и сервисов интернет-платежей и другие сторонние поставщики сервисов, такие как сетевые провайдеры, поставщики средств резервного копирования, компании, обеспечивающие веб-хостинг. Обязанность банков-участников VISA — обеспечивать соответствие своих торгово-сервисных предприятий и любых других представителей, используемых для обработки платежей. Инструменты проверки соответствия Программа AIS использует общий для индустрии платежных карт набор инструментов и мер. Участники — торгово-сервисные предприятия и сервис-провайдеры — могут оценить состояние своей безопасности, используя единый процесс проверки для всех компаний, оперирующих пластиковыми картами. Регулятивные нормы программы также позволяют участникам, торгово-сервисным предприятиям и сервис-провайдерам выбрать одного подрядчика и реализовать единый процесс получения соответствия по всем программам безопасности данных платежных карт. Инструменты проверки 1. Опросные листы самооценки — бесплатный конфиденциальный инструмент, который может использоваться для оценки соответствия платежных систем и расчетов стандарту безопасности данных PCI. Опросный лист разбит на шесть разделов, каждый ориентирован на отдельную область безопасности, основанную на требованиях, включенных в PCI DSS. Участники — торгово-сервисные предприятия и сервис-провайдеры — обязаны заполнить все пункты каждого раздела, чтобы определить соответствие. 2. Процедуры сканирования безопасности описывают директивы для проведения сканирования безопасности сети в соответствии с PCI DSS. Этот документ предназначен для организаций, которые должны сканировать свою инфраструктуру для подтверждения соответствия стандарту. 3. Процедуры аудита безопасности — документ, используемый для проверки соответствия организаций, которые должны пройти onsite-аудит. Кто может проверять соответствие? Самооценка. Заполнение листа самооценки может самостоятельно выполняться любой организацией, заинтересованной в соответствии стандарту безопасности данных PCI. Сканирование и onsite-аудит. Сканирование сети и onsite-аудит должны проводиться квалифицированным аудитором систем безопасности (Qualified Security Assessor). Необходимые действия Действия, которые должны быть выполнены, основываются на числе ежегодно хранимых, обрабатываемых и передаваемых учетных данных VISA. В табл. 2.2 приведен перечень действий, обязательных для выполнения в зависимости от числа транзакций. Ответственность за определение уровня своих торгово-сервисных предприятий, основываясь на числе и типе обрабатываемых транзакций, возлагается на банки-эквайреры, которые должны уведомить VISA о новых подключенных ТСП уровня 1 и 2 ежегодно. Определение уровня ТСП основывается на общем объеме транзакций, проведенных в стране или через одного эквайрера в течение года. Объемы транзакций от независимых сущностей ТСП (например, действующих по франшизе или лицензии) могут быть исключены из учитываемого объема в случае, если они не управляются рассматриваемым ТСП. Дополнительно эквайреры должны предоставить VISA отчеты о соответствии по своим ТСП уровней 1, 2 и 3 как минимум дважды в год. VISA оставляет за собой право запросить у эквайрера отправку документации о проверке соответствия по конкретному ТСП. Дата 30 сентября 2009 г. была определена VISA Inc. как крайний срок хранения запрещенных конфиденциальных данных для ТСП уровня 1 и 2. После этой даты платежная система имеет право потребовать от эквайреров подтверждения того, что ТСП уровня 1 и 2 не хранят конфиденциальные данные (такие как данные магнитной полосы, треки, CVV2 или данные PIN) после авторизации транзакции, что является нарушением правил VISA. В отношении эквайреров, не предоставивших МПС до указанной выше даты (30 сентября 2009 г.) форму аттестата соответствия (Attestation of Compliance Form), подтверждающую, что все ТСП уровней 1 и 2 не хранят запрещенных конфиденциальных данных, VISA Inc. имеет право применить соответствующие меры по контролю рисков, вплоть до наложения штрафов. При этом оговаривается, что эта дата (30 сентября 2009 г.) не превалирует над более ранними сроками хранения конфиденциальных данных, определенными в конкретных регионах и соответствующими принудительными программами, установленными ранее (табл. 2.3). Крайний срок проведения аудита соответствия стандарту PCI DSS для ТСП уровня 1 — 30 сентября 2010 г. К этой дате VISA Inc. требовала от эквайреров предоставить форму аттестата соответствия (Attestation of Compliance Form) по каждому ТСП уровня 1, показывающую, что каждое ТСП прошло успешный аудит соответствия PCI DSS. В отношении эквайреров, не предоставивших платежной системе форму аттестата соответствия, подтверждающую, что каждое ТСП уровня 1 прошло проверку соответствия PCI DSS, после этой даты VISA имеет право применить соответствующие меры по контролю рисков, вплоть до наложения штрафов. При этом указанная дата (30 сентября 2010 г.) не превалирует над более ранними сроками хранения конфиденциальных данных, определенными в конкретных регионах и соответствующими принудительными программами, уже введенными в действие. Сервис-провайдеры второго уровня не включаются в список PCI DSS Compliant Service Providers, доступный на сайте VISA. Для включения в данный список сервис-провайдер второго уровня должен пройти процедуры проверки соответствия для первого уровня. Начиная с 1 февраля 2009 г. VISA требует от сервис-провайдеров уровня 1 отправки Attestation of Compliance Form (аттестат соответствия) и раздела «Executive Summary» (результаты проведенного аудита) отчета о соответствии (Report on Compliance, ROC). Сервис-провайдеры уровня 2 отправляют заполненный самоопросник (Self-Assessment Questionnaire, SAQ) версии D. VISA не рассматривает содержимое самоопросника, так как за точность заполнения самоопросника SAQ отвечают эмитенты и эквайреры. В случае компрометации Участник или сервис-провайдер участника, торгово-сервисное предприятие или сервис-провайдер торгово-сервисного предприятия должны немедленно сообщить о подозреваемых или подтвержденных утерянных или похищенных материалах или записях, содержащих данные владельца карты VISA. Если участник знает или подозревает факт нарушения безопасности торгово-сервисного предприятия или сервис-провайдера, он должен принять немедленные меры для расследования этого инцидента и ограничить воздействие на учетные данные владельцев карт. Участник, отвечающий за организацию, пострадавшую от компрометации, должен предоставить VISA всю информацию по инциденту, включая диапазон учетных записей, которые были похищены (или возможно похищены), подробности о пострадавшей организации и действия участника для расследования и рассмотрения причин, которые вызвали компрометацию. Платежная система может потребовать, чтобы участник нанял независимую компанию по информационной безопасности для проведения расследования за счет участника. Описание программы MasterCard SDP Программа MasterCard SDP была разработана, чтобы помочь торгово-сервисным предприятиям (ТСП), сервис-провайдерам — сторонним процессингам (Third Party Processors, TPPs) и организациям хранения данных (Data Storage Entities, DSEs) — упредительно обеспечить собственную защиту и всей платежной системы в целом от угроз компрометации. Ключевой целью реализации программы SDP является обеспечение безопасного хранения ТСП и сервис-провайдерами данных учетных записей MasterCard в соответствии со стандартом безопасности данных в индустрии платежных карт (PCI DSS). ТСП и сервис-провайдерам важно понимать свое положение (классифицировать) в программе MasterCard SDP для определения обязательных процедур подтверждения соответствия. Классификация организаций по уровням приведена в табл. 2.4, сервис-провайдеров — в табл. 2.5. MasterCard оказывает содействие эквайрерам по программе SDP для поддержания безопасной инфраструктуры с торгово-сервисными предприятиями. Эквайеры сами по себе не обязаны проходить процедуры соответствия SDP, но они должны управлять этим процессом для своих ТСП. Эквайреры должны ежеквартально высылать заполненную форму SDP Acquirer Submission and Compliance Status Form[72 - По адресу sdp@mastercard.com]. В нее включен список всех ТСП и сервис-провайдеров (хранящих данные для указанных ТСП), которые должны соответствовать PCI DSS в течение каждого периода действия положения о программе SDP. Для каждого ТСП эквайреры должны предоставить: • название ТСП; • идентификационный номер ТСП (Merchant ID); • код категории ТСП (Merchant category code, MCC); • уровень ТСП (см. выше табл. 2.4); • статус соответствия стандарту; • название каждого сервис-провайдера, хранящего учетные данные MasterCard, работающего с данным ТСП; • количество проведенных транзакций ТСП за предыдущий отчетный период (12 месяцев). 1. Развернуть программу безопасности SDP для всех ТСП в соответствии с расписанием внедрения SDP. 2. Убедиться, что ТСП соответствуют PCI DSS путем использования надлежащих инструментов проверки соответствия, включающие onsite-аудиты безопасности, заполнение самоопросников (the self-assessment questionnaire) и сканирования сети. 3. Зарегистрировать ТСП, как только они докажут свое соответствие требованиям положения о программе SDP. Данный процесс регистрации осуществляется непрерывно в течение года с помощью программы регистрации MasterCard (MasterCard Registration Program, MRP). MasterCard отмечает, что регистрация ТСП, соответствующих SDP, бесплатна в программе регистрации MRP, доступной посредством MasterCard OnLine. Факты о PCI DSS В конце 2010 г. по заказу Cisco аналитическая компания Insight-Express опросила 500 американских руководителей, принимающих решения в области информационных технологий, чтобы выяснить их отношение к стандарту PCI DSS через пять лет после его разработки и в момент выхода его новой, второй версии. В опросе приняли участие ИТ-руководители, отвечающие за соблюдение PCI в организациях сферы образования, финансовых услуг, государственного управления, здравоохранения и розничной торговли США. Исследователи хотели оценить их отношение к стандарту PCI DSS, измерить расходы на его внедрение и выявить проблемы, связанные с соблюдением этих нормативных требований, а также оценить распространение определенных технологий, чтобы лучше понять, чем организации руководствуются при выполнении спецификации PCI DSS. Выяснилось следующее: • 70 % процентов опрошенных считают, что соблюдение стандарта PCI DSS делает их организации более защищенными; • 87 % процентов опрошенных полагают, что требования стандарта PCI DSS необходимы для защиты данных держателей платежных карт; • из всех отраслей лучше всех выполняют требования PCI DSS предприятия розничной торговли и финансовые организации; розничная торговля самым серьезным образом отнеслась к внедрению и реализации этого стандарта; • 67 % процентов опрошенных ожидают, что в течение ближайшего года их расходы на соблюдение стандарта PCI DSS будут возрастать; это значит, что руководители компаний и члены советов директоров считают PCI DSS весьма важной инициативой; • 60 % процентов опрошенных предположили, что усилия по соблюдению стандарта PCI DSS могут стимулировать другие проекты, связанные с сетями и сетевой безопасностью. Отвечая на вопрос о проблемах соблюдения спецификаций PCI DSS, респонденты чаще всего упоминали необходимость обучения сотрудников правильному обращению с данными держателей платежных карт. По мнению 43 % опрошенных, в этой области существуют проблемы. Кроме того, 32 % упомянули о необходимости обновления устаревших систем. По мнению респондентов, из 12 требований PCI DSS труднее всего соблюдать требования к отслеживанию и мониторингу всех случаев доступа к сетевым ресурсам и пользовательским данным (37 %), разработке и поддержке безопасных систем и приложений (32 %) и защите хранимых данных держателей карт (30 %). Еще один интересный отчет Global Security Report 2011 подготовила компания Trustwave, базируясь на данных более чем 200 расследований случаев компрометации данных и около 2300 проведенных тестирований на проникновение (имитаций взлома системы) за 2010 г. по всему миру (но основная масса случаев была зафиксирована в Северной Америке). Как и раньше, данные платежных карт были основной целью злоумышленников в 85 % расследованных случаев. В 8 % случаев целью была конфиденциальная информация компании и около 3 % — сведения, составляющие коммерческую тайну. В целом выводы в отчете приводятся следующие: • более 95 % скомпрометированных организаций не выполняли требования PCI DSS в полном объеме; • почти 98 % организаций нарушали требования, относящиеся к межсетевому экранированию; • 60 % случаев компрометации было выявлено в ходе ежегодного аудита по требованиям PCI DSS. Факты компрометации сами компании выявили не более чем в 20 % случаев, при этом информация о факте компрометации была опубликована в 13 % случаев, а правоохранительные органы привлекались в 7 % случаев. Среднее время между фактом компрометации и его обнаружением составило 156,5 дня, в случае если выявление происходило в рамках ежегодного аудита, и 87,5 дня, 51,5 дня и 28 дней, в случае если источником обнаружения были публикация в прессе, расследование правоохранительных органов и самостоятельное обнаружение соответственно. Эти и многие другие цифры красноречиво говорят о том, что реальный уровень безопасности в организациях, обрабатывающих платежи, в среднем достаточно низок, и даже наличие сертификата об успешном прохождении ежегодного аудита по PCI DSS не дает гарантий того, что требования по безопасности продолжат выполнять после того, как проверка закончится[73 - Источник: http://www.digitaltransactions.net/news/story/2885]. Прочие стандарты PCI PCI PED[74 - Более подробно со стандартом можно ознакомиться на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/ped/index.shtmlСписок программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https:// pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html] Организации индустрии платежных карт разрабатывают общий стандарт, регулирующий в том числе аспекты безопасности устройств ввода ПИН-кодов (PIN entry devices, PEDs). Требования к таким устройствам регламентируют методологию тестирования устройств и процесс утверждения сертифицированных устройств и включают требования по защите ПИН-кодов. Задача PCI PED — удостовериться в том, что устройство, принимающее ПИН-код, обеспечивает защиту чувствительной информации, такой как резидентные ключи, ПИН владельца пластиковой карты и др. Цель требований заключается в обеспечении единого, последовательного и точного стандарта для всех устройств ввода ПИН-кодов по всему миру. Программа тестирования и утверждения устройств ввода ПИН-кодов отражает стандартный набор: • требования безопасности к устройствам; • методологию тестирования; • процесс сертификации и утверждения. PA DSS Требования Стандарта безопасности данных платежных приложений (PA DSS) являются производными от требований Стандарта безопасности данных индустрии платежных карт (PCI DSS) и Процедур аудита безопасности PCI DSS (PCI DSS Security Audit Procedures). Эти документы, с которыми можно ознакомиться на сайте[75 - Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html], содержат подробное описание требований безопасности данных, которые торгово-сервисные предприятия и сервис-провайдеры должны соблюдать для соответствия стандарту PCI DSS (следовательно, какое приложение платежной системы необходимо использовать для обеспечения соответствия этому стандарту). Стандарт PCI DSS обычно не распространяется на производителей приложений платежных систем, поскольку большинство производителей не выполняют хранение, обработку и передачу данных о держателях карт. Однако поскольку приложения платежных систем используются клиентами для хранения, обработки и передачи данных о держателях карт, а клиенты должны соблюдать требования стандарта PCI DSS, то приложения платежных систем должны соответствовать требованиям стандарта PCI DSS и не нарушать их. Ниже приведены несколько способов использования приложений платежных систем, при которых требования стандарта PCI DSS нарушаются: • хранение данных магнитной полосы карты в сети клиента после авторизации; • использование приложений, для корректной работы которых требуется отключение клиентами программного обеспечения, которое должно применяться для соблюдения требований стандарта PCI DSS, например, антивирусных программ или межсетевых экранов; • использование производителями незащищенных методов подключения к этим приложениям для технической поддержки клиента. При использовании в среде, соответствующей требованиям стандарта PCI DSS, защищенных приложений платежных систем уменьшается вероятность нарушения безопасности, приводящая к компрометации полных данных магнитной полосы, кодов проверки подлинности карты (CAV2, CID, CVC2, CVV2), ПИН-кодов и ПИН-блоков и, в результате, к осуществлению хакерами мошеннических операций. PCI DSS и российская действительность Внедрение стандарта PCI DSS в России идет непросто. Во многих банках оно находится в активной фазе[76 - На момент сдачи книги в печать.], но ряд крупных банков еще даже не начинали активных действий по внедрению стандарта. Почему же сложилась такая ситуация — ведь стандарт является обязательным для российских компаний аж с далекого 2007 г.? Автору с 2007 по 2011 г. удалось понаблюдать (с позиции сертифицированного аудитора QSA), как трудно происходит проникновение стандарта в умы и бюджеты банков и сервисных провайдеров в России и странах СНГ. Основных причин возникающих проблем, по мнению автора, несколько. 1. Относительно низкий уровень обеспечения информационной безопасности и управления ИБ в большинстве российских банков по сравнению с банками Западной Европы и США. На момент сдачи книги в печать. Исторически сложилось так, что подавляющее большинство российских банков строили свои системы обеспечения и управления ИБ, ориентируясь в первую очередь на нормативные документы и лучшие практики ФСТЭК, ФСБ, которые были разработаны без учета современного уровня развития информационных технологий и повсеместного проникновения Интернета и мобильной связи. При этом часть современных угроз безопасности остаются «незакрытыми». Перестройка же системы управления безопасностью по новым, процессно-ориентированным западным стандартам менеджмента представляет собой очень сложную задачу. В итоге внедренные суперсовременные системы мониторинга безопасности, анализа защищенности, обнаружения вторжений и т. п., разработанные западными вендорами с прицелом на западные системы менеджмента безопасности, в российских условиях начинают работать с меньшей эффективностью, не так, как было задумано производителем. 2. Многократный перенос сроков внедрения стандарта и отсутствие фактов наложения штрафов за несоответствие стандарту PCI DSS для российских банков в совокупности с небезызвестным российским менталитетом. Совершенно понятна позиция платежных систем, заключающаяся в том, чтобы «не рубить сук, на котором сидишь», т. е не трогать банки, приносящие хороший доход платежной системе. Очевидно, это понимают и банки, позиция руководства которых в этом вопросе может быть довольно резка. «Пусть попробуют штрафануть — уйдем в другую платежную систему», «Пока кого-нибудь из топ 20 не оштрафуют, мы на это деньги тратить не будем», «Да мы входим в правление платежной системы, пусть попробуют нам что-нибудь сказать», «Сроки уже три раза переносили, так и еще перенесут скорее всего» — это реальные высказывания серьезных банков образца 2007–2008 гг. Ближе к 2011 г. большинство банков смирились с необходимостью рано или поздно соответствовать стандарту и начали движение в сторону его изучения и выполнения требований. В неофициальных беседах представители платежных систем также подтверждают, что санкции начнут применять тогда, когда основная масса банков достигнет соответствия стандарту. Да и в нормативных документах сказано, что члены платежных систем МОГУТ быть оштрафованы за нарушение требований программы соответствия. «Могут» не означает «обязательно будут». Вот все и ждут, пока кого-нибудь (видимо, не очень крупного) не оштрафуют в назидание всем и, может быть, даже лишат лицензии. 3. Относительно низкий уровень мошенничества в российском сегменте сети Интернет и отсутствие публичных серьезных утечек информации в процессинговых центрах российских банков. Ни для кого уже не секрет, что существенную часть подпольного карточного бизнеса контролируют выходцы из России и стран СНГ, в первую очередь Украины. До недавнего времени существовало негласное правило не трогать банки в своем регионе — в основном не из патриотических, конечно, убеждений, а исходя из вопросов личной безопасности — ведь достать же могут и правоохранительные органы, и службы безопасности банков, что может быть хуже. Тем более когда через Интернет легко получить доступ к базам данных мерчантов и процессинговых компаний США, Европы. Карточные лимиты у клиентов западных банков побольше, а уровень взаимодействия российских правоохранительных органов с зарубежными далек от совершенства. В результате мошенничество по картам на территории России в основном сводится к скиммингу в банкоматах и получению наличных с использованием поддельных карт. А если и взломают какой процессинг — так не для получения данных платежных карт, а скорее для устрашения и передела нелегального рынка. 4. Относительно низкая степень развития российского рынка эквайринга в целом по сравнению с Европой и США. Количество транзакций по картам в России в несколько раз меньше, чем в Европе, и на порядки меньше, чем в США. Наши крупнейшие торговые сети только доходят до уровня 6 млн транзакций в год и могут быть посчитаны по пальцам одной руки, тогда как безопасность мерчантов 1 уровня (выше 6 млн транзакций в год) в США, которых там насчитываются сотни, — основной приоритет последних четырех лет работы консула по безопасности США. Стандарт PCI DSS, следует признать, во многом был написан именно с учетом специфики работы крупных мерчантов, и в связи с этим иногда возникают сложности при его внедрении в банках, самостоятельно выпускающих карты. Ведь стандарт призван защищать данные платежных карт после авторизации, а что делать с данными платежных карт, эмитированных банком, в стандарте сказано мало. В целом низкий уровень развития эквайринга в торговых сетях приводит к тому, что уровень общих потерь от мошенничества на собственных эквайринговых сетях небольшой, что, конечно, не дает достаточного импульса к внедрению дополнительных мер безопасности и/или внедрению требований стандарта PCI DSS. С учетом всех обстоятельств какой ответ можно дать на главный вопрос: является ли стандарт PCI DSS панацеей от всех бед, связанных с мошенничеством, или, наоборот, отвлекает ресурсы компании и не дает ожидаемого эффекта? Мнения по данному вопросу у экспертов по безопасности и участников рынка различны, порой диаметрально противоположны. Многие представители российского бизнеса считают внедрение стандарта бессмысленной тратой денег, навязанной международными платежными системами. Если банки готовы взять на себя риск, связанный с мошенничеством, считают они, то должны сами определять требования по безопасности. Заниматься этими вопросами серьезно стоит лишь тогда, когда потери от мошенничества составят ощутимый процент от оборота. У представителей западного бизнеса позиция гораздо более активная — они стараются сами войти в Совет по безопасности PCI (PCI SSC) и непосредственно участвовать в развитии стандарта и практике его применения. На текущий момент в Совет по безопасности PCI, помимо пяти платежных систем, входят более 1300 банков и торговых организаций со всего мира, но, к сожалению, российского бизнеса там пока еще незаметно. Также среди специалистов существует мнение, что сама технология авторизации по картам с магнитной полосой в существующем виде ущербна сама по себе, и сколько ее ни защищай, мошенничество все равно будет происходить. И только переход на новые технологии (например, EMV) существенно снизит потери. При этом часто ставится под сомнение эффективность стандарта PCI DSS как инструмента снижения рисков ИБ. С другой стороны, многие известные эксперты по информационной безопасности считают стандарт PCI DSS достаточно современным, содержащим вполне конкретные реализуемые требования и позволяющим достичь определенного минимального уровня безопасности. Многочисленные расследования случаев компрометации данных показали, что компании не выполняли многие требования стандарта на момент компрометации. Конечно, не может быть стопроцентной уверенности в том, что если бы требования стандарта выполнялись, то компрометации бы не произошло. Но ущерб как минимум был бы намного меньше, хотя бы в результате того, что в ходе мониторинга событий ИБ и/или регулярных проверок безопасности, предписанных стандартом, компрометация была бы обнаружена существенно быстрее. В реальности же среднее время обнаружения факта компрометации — более 6 месяцев после взлома, а инициатором расследования часто служат внешние источники, такие как платежные системы, обманутые клиенты или СМИ. Переход на новые технологии авторизации (EMV, 3D Secure и т. п.) может существенно понизить уровень мошенничества по существующим схемам. Но вопросы безопасности инфраструктуры, обеспечивающей прохождение платежей, безопасности разрабатываемых прикладных приложений, разграничение доступа сотрудников, мониторинг и реагирование на инциденты ИБ и прочие вопросы информационной безопасности, изменение технологии авторизации решить не сможет, а как раз для этого и предназначен стандарт PCI DSS. Для переноса интересов преступности из сферы мошенничества с использованием пластиковых карт на другие способы незаконного получения и/или отмывания денег в особо крупных размерах необходимо одновременно и переходить на новые технологии авторизации, и защищать инфраструктуру путем внедрения стандарта PCI DSS, а также разрабатывать защищенные приложения в соответствии со стандартом PA DSS. PCI DSS и реальная безопасность платежной системы банковских карт В 2010 г. компания Verizon Business опубликовала очередной отчет о компрометации данных «2010 Data Breach Investigations Report». В основу исследования, проведенного подразделением Verizon RISK Team совместно с United States Secret Service, легли данные за последние 6 лет о более чем 900 взломах различных автоматизированных систем и свыше 900 млн скомпрометированных элементов данных (compromised records). Основные выводы данного исследования по фактам компрометации данных в 2009 г. следующие: 1) скомпрометированы 143 млн элементов данных; 2) подавляющее большинство (94 %) скомпрометированных данных относится к финансовому сектору, хотя на долю финансовых организаций приходится лишь 33 % от общего числа компаний, принявших участие в исследовании. Организованные преступные группы были задействованы в компрометации в 85 % всех данных; 3) в результате действий сторонних лиц взломы осуществлялись в 70 % случаев, внутренние нарушители были задействованы в 48 % инцидентов. Злоупотребление привилегиями было использовано в 48 % всех атак, взлом (hacking) применялся в 40 % случаев, вредоносное ПО — в 38 %; 4) почти все атаки на данные (98 %) осуществлялись на серверы, на серверы баз данных — 92 %; 5) сложность атак была невысокой в 85 % случаях, а 96 % атак могло быть предотвращено с помощью применения простых и средних по сложности мер защиты; 6) 79 % организаций, к которым применимы требования стандарта PCI DSS, участвовавшие в исследовании, не достигли соответствия его требованиям; 7) данные платежных карт скомпрометированы в 54 % инцидентов и составляют 83 % от общего числа скомпрометированных данных. Результаты других исследований и проведенных расследований также не очень утешительны. Так, в 2005 г. в результате взлома процессингового центра Card Systems Solutions было скомпрометировано 40 млн платежных карт. Компания необоснованно хранила треки (данные с магнитных полос карт) и при этом не защищала их должным образом, в результате международные платежные системы VISA и Ameх отозвали свои лицензии. В 2007 г. хакеры похитили 45 млн записей с данными платежных карт в результате атаки на крупную розничную сеть TJX. В 2008 г. был взломан RBS Worldpay, что привело к компрометации данных 1,5 млн держателей карт. А в 2009 г. злоумышленники получили доступ к более чем 100 млн платежных карт в результате взлома процессингового центра Heartland Payment Systems. Безопасность платежных карт — два пути Очевидно, что данные факты свидетельствуют о существенных уязвимостях применяемых в настоящее время платежных технологий, раз такие массовые атаки и случаи компрометации данных становятся возможны из года в год. Принципиальных решений в этой связи может быть два: 1) замена уязвимых технологий более безопасными; 2) сохранение существующих уязвимых технологий и защита их дополнительными методами и системами. Первый путь связан с миграцией на микропроцессорные карты стандарта EMV для предотвращения несанкционированного копирования (скимминга) магнитной полосы карты (защита от Counterfeit Fraud — 34 % всех потерь в мире за 2009 г.) и посредством внедрения более надежных систем аутентификации держателя карты при проведении операций без присутствия карты (противодействие Card Not Present Fraud — 41 % всех потерь в мире за 2009 г.), причем в последнем случае в ряде решений также может использоваться EMV-карта. Повсеместного перехода на микропроцессорные карты до сих пор не произошло, и хотя уже более 60 стран мира начали процесс миграции, США являются пока единственной страной G20 («Большая двадцатка» наиболее экономически развитых стран мира), официально даже не начавшей его. К настоящему моменту отказ от использования микропроцессорных карт стоит США весьма дорого — так, потери от мошенничества с платежным картами в 2009 г. составили 6,89 млрд долл. США и к 2015 г. могут достигнуть 10 млрд долл. США. По некоторым оценкам стоимость принятия мер по каждому факту компрометации данных платежной карты в США составляет 202 долл. США, так что только в 2008 г. на устранение последствий атак был потрачен 1 трлн долл. США. По оценкам экспертов стоимость миграции на EMV для США составляет 8,6 млрд долл. США, т. е. вполне сопоставима с ежегодными потерями от мошенничества в 6,89 млрд долл. США! Тем не менее США, а вместе с ними и весь остальной мир по требованиям международных платежных систем пошли по второму пути. Второй путь состоит, как мы уже определили выше, в защите существующих уязвимых технологий (прежде всего — платежных карт с магнитной полосой). Для разработки повышенных требований к обеспечению безопасности данных платежных карт в 2006 г. был создан специальный Совет стандартов безопасности индустрии платежных карт (Payment Card Industry Security Standards Council), в который вошли American Express, Discover Financial Services, JCB, MasterCard Worldwide, VISA International. Стандарт Payment Card Industry Data Security Standard (PCI DSS, в настоящий момент версия 2.0, далее — Стандарт) определяет требования безопасности для защиты информации, относящейся к платежной карте, и должен использоваться тогда, когда номер карты хранится, обрабатывается или передается. Приведенные в Стандарте требования[77 - Подробно о требованиях стандарта PCI DSS см. предыдущий раздел книги.] призваны обеспечить безопасность данных платежных карт за счет повышения защищенности автоматизированных систем, в которых эти данные обрабатываются. Соответствие требованиям Стандарта должно означать, что система защищена и компрометация данных в ней произойти не может. Однако вышеназванные компании, в которых были скомпрометированы данные, — Card Systems Solutions, RBS WorldPay, Heartland Payment Systems, — до этого проходили аудит и получили статус соответствия Стандарту. Примечательно, что компании RBS WorldPay и Heartland Payment Systems в марте 2009 г. были исключены VISA из списка соответствующих стандарту, но сразу же заявили, что надеются вновь пройти сертификацию уже в апреле и мае 2009 г. соответственно, и достигли этого соответствия. PCI DSS = безопасность платежных карт? В связи с приведенными фактами возникает ряд вопросов. Во-первых, способен ли Стандарт обеспечить безопасность платежных карт? Во-вторых, почему его внедрение не приводит к уменьшению числа компрометаций и объема скомпрометированных данных? Эти вопросы волнуют в настоящий момент всех специалистов по безопасности в отрасли, они же явились предметом особого рассмотрения в Комитете национальной безопасности палаты представителей США (House of Representatives Committee on Homeland Security) 31 марта 2009 г. в слушаниях на тему «Приводят ли Стандарты безопасности индустрии платежных карт к снижению киберпреступности?» («Do the PCI Standards Reduce Cybercrime?»). Позиция представителей PCI SSC и VISA на слушаниях заключалась в том, что сертифицированная на соответствие требованиям Стандарта организация соответствует этим требованиям на момент сертификации, но в дальнейшем нельзя гарантировать, что это соответствие сохранится. При этом после успешного взлома ранее сертифицированных организаций во всех случаях аудит показал, что организация уже не соответствует требования безопасности. Представители торговых компаний отметили, что следование требованиям Стандарта вовсе не приводит к состоянию уверенности в безопасности данных держателей карт, при этом реализация требований на практике связана с существенными затратами. А поскольку данные платежных карт все равно должны быть обработаны, т. е. как минимум в этот момент они представляются в незашифрованном виде, то компрометация остается возможной. Кроме того, торговые компании США расценивают Стандарт как некую «заплатку» (patch) безопасности, целью которого является перенос потерь на торговые предприятия. Член палаты представителей Иветта Кларк (Yvette Clark) заявила, что выполнение Стандарта не гарантирует безопасности, призвала к его изменению и переходу на новые защищенные технологии, например «ЧИП и ПИН» (Chip&PIN). Председатель слушаний обозначила важную позицию отсутствия метрик эффективности Стандарта, которые в принципе должны быть неотъемлемой его частью. Целью Стандарта является защита данных платежных карт. В случае если такая защита будет обеспечена, логично ожидать снижения киберпреступности, мошенничества с платежными картами — такое снижение может являться объективным измерителем эффективности Стандарта. Если же снижения числа преступлений и объема скомпрометированных данных платежных карт не происходит, очевидно, безопасность данных не обеспечивается. В результате слушаний были сделаны два основных вывода: 1. Стандарт не является достаточным для защиты данных держателей карт и следование его требованиям не обеспечивает в настоящий момент адекватной безопасности. 2. Стандарт скорее переносит бремя ответственности по мошенничеству, чем реально препятствует компрометации данных. В результате слушаний оказалось, что цели заинтересованных сторон различаются. Так, PCI SSC является организацией, обеспечивающей разработку Стандарта и обучение, но не играющей действительной роли в его адаптации и эволюции. Целью платежной системы является продвижение Стандарта среди своих членов. Торговые предприятия стремятся расширить свой бизнес, предоставляя товары и услуги покупателям, и они не только не заинтересованы в реализации требований Стандарта, но и считают его инструментом давления со стороны платежных систем. Особую озабоченность сертифицируемых на соответствие требованиям Стандарта организаций вызывает тот факт, что успешное прохождение сертификации не гарантирует реальной безопасности. На практике часто имеет место такой сценарий развития событий. 1. Торговое предприятие А проходит сертификацию на соответствие Стандарту, что подтверждается QSA (Qualified Security Assessor)[78 - Квалифицированный аудитор систем безопасности (см. предыдущий раздел).]. 2. Через некоторое время торговое предприятие А признается точкой компрометации данных платежных карт после успешной атаки со стороны злоумышленников. 3. PCI SSC выпускает поправки для аудиторов по процедурам проведения оценки на соответствие требованиям Стандарта по результатам данного инцидента. 4. При проверке торгового предприятия А по новым процедурам оно уже не соответствует требованиям. Практика внедрения Стандарта показала, что одного формулирования требований безопасности недостаточно. Внедрение требований, управление требованиями, учет практических аспектов оказались недостаточно продуманными, что и привело к ряду обозначившихся проблем. По результатам исследования, проведенного Society of Payment Security Professionals, почти 24 % организаций, участвовавших в исследовании, потратили более 100 тыс. долл. США в год на оценку и соответствие требованиям Стандарта. А торговые предприятия уровня 1 (Level 1), по оценке Подкомитета, могут столкнуться с необходимостью ежегодных затрат в 18 млн долл. США на внедрение требований Стандарта, что превысит возможные потери от мошенничества. Компания Gartner оценила в 2008 г. затраты для приведения автоматизированной системы к соответствию требованиям Стандарта: уровень 1 — 2,7 млн долл. США, уровень 2 — 1,1 млн долл. США, уровень 3 — 155 тыс. долл. США. По оценке компании UCS (Россия), приведение системы к соответствию Стандарту составило 1 млн долл. США, поддержание соответствия — еще 100 тыс. долл. США ежегодно. Только ежегодные обязательные затраты на проведение аудита, пентеста[79 - Пен-тест (penetration test, pentest) — тест на проникновение.] и четырех ежеквартальных сканирований составят около 1 млн руб. Эти оценки свидетельствуют о том, что при условии превышения стоимости обеспечения безопасности величины потерь от инцидентов такая защита становится нецелесообразной. Организации, вынужденные тратить существенные средства для обеспечения соответствия требованиям Стандарта, будут включать данные затраты в себестоимость, что в конечном итоге скажется на держателях карт, иначе бизнес будет нерентабельным. Недостатки и противоречия PCI DSS Стандарт следует рассматривать относительно цели его создания как инструмент для защиты данных, а не последнюю линию защиты. Практика показывает, что следование Стандарту не обеспечивает достаточной защиты данных платежных карт. Кроме того, сам Стандарт имеет ряд недостатков и противоречий. 1. Попытка сокрытия идентификатора (номера карты) принципиально невыполнима. Безопасность доступа к счету карты не основывается на сокрытии идентификатора, а должна находиться в области усовершенствования процедур и средств аутентификации. Стандарт предназначен для тех организаций и процессов, в которых номер карты передается, обрабатывается или хранится. Номер карты предназначен для обеспечения соответствия счету держателя карты, т. е. является его идентификатором. Безопасность такого доступа обеспечивается процедурами аутентификации держателя карты, которые должны препятствовать несанкционированному доступу к счету. Логично предположить, что для обеспечения безопасности доступа к счету при наличии фактов несанкционированного использования карты как инструмента доступа необходимо усовершенствовать процедуры аутентификации. Такое усовершенствование может включать в себя внедрение механизмов многофакторной аутентификации, например Chip&PIN, CAP-EMV. Однако Стандарт предполагает сокрытие идентификатора (номера карты) как обязательное условие обеспечения безопасности доступа. Очевидно, что принципиально невозможно отказаться от полного сокрытия идентификатора — для проведения транзакции по карте номер необходим, так как является идентификатором счета держателя карты. Рассмотрим возможные действия злоумышленника, имеющего доступ к данным карты или ее реквизитам. Для проведения операции с реальной (физически существующей) картой необходима информация, записанная в чип (для микропроцессорных карт) либо на магнитную полосу. Знания только номера карты явно недостаточно, чтобы изготовить поддельную микропроцессорную карту. Для осуществления операции с использованием магнитной полосы кроме номера карты злоумышленнику дополнительно необходимо получить дату действия карты, код проверки подлинности карты (CVV/CVC) и сервис-код, который у аналогичных типов карт обычно одинаковый. Дату действия карты получить достаточно просто — путем хищения из того же источника, где был похищен сам номер карты, от держателя карты с использованием технологий фишинга, перебором. Код CVV/CVC получить гораздо сложнее — он записан на магнитной полосе карты, хранение данных которой любым участником платежной системы после проведения авторизации запрещено. Таким образом, похитить CVV/CVC при хранении нельзя, так как эти данные просто нигде не должны храниться. С помощью фишинга данный код получить невозможно, поскольку держатель его не знает. При использовании злоумышленником техники перебора всех возможных вариантов кода (три цифры дают 1000 вариантов) современный уровень систем мониторинга транзакций в режиме реального или псевдореального времени позволяет выявить данную атаку на ранней стадии и заблокировать карту. В случае же если эмитент записывает на магнитную полосу карты и код проверки подлинности ПИН (PVV), состоящий из четырех цифр (10 000 вариантов), то задача по подбору злоумышленником кодов безопасности становится существенно более трудоемкой (подобрать нужно комбинацию из семи цифр — 10 000 000 вариантов). Дополнительно необходимо отметить, что с учетом темпов EMV-миграции как со стороны эмиссии, так и со стороны эквайринга, особенно в Европе, и с отменой возможности проведения операции по микропроцессорной EMV-карте в EMV-терминале по магнитной полосе вероятность финансовых потерь в случае компрометации трека снижается с каждым годом. Смещение таких мошеннических операций в мировом масштабе происходит в регионы, где EMV-миграция не начиналась или проходит неактивно. Второй сферой технологии платежных карт, где несанкционированно может быть использован похищенный номер карты, является интернет-коммерция. Действительно, в последнее время в данной области потери во всем мире стремительно возрастают. Сократить их должна безопасная технология проведения платежей 3D Secure, которая предусматривает дополнительную аутентификацию держателя со стороны эмитента. При реализации данной схемы (как со стороны эмитента, так и со стороны эквайрера) знание злоумышленником только номера платежной карты становится недостаточным. Следовательно, для минимизации потерь необходимо дальнейшее развитие технологии 3D Secure, особенно со стороны эмитентов. Однако в данном вопросе необходимо отметить следующие аспекты. Если интернет-транзакция проводится по традиционной схеме, без использования технологии 3D Secure, то для авторизации необходим номер карты, срок ее действия и код проверки подлинности карты CVV2/CVC2 — эти данные могут быть достаточно легко скомпрометированы. Учитывая перенос ответственности за несанкционированные держателями платежных карт операции, эквайреры повсеместно применяют более защищенную технологию 3D Secure, где перечисленных выше данных будет уже недостаточно. Но проблема заключается в трудности привлечения держателей карт для использования данной технологии даже в случае сертификации банка эмитента как 3D Secure. Во-первых, предлагаемые платежными системами методы Verified by VISA — Token Based Authentication и Secure Code — Chip Authentication Program не нашли в настоящий момент широкого распространения среди держателей, так как требуют от последних дополнительных затрат на приобретение оборудования, необходимости посещения банка, затрат на обучение. Во-вторых, если интернет-операция проводится между эквайрером, поддерживающим 3D Secure, и эмитентом, не поддерживающим 3D Secure, либо на 3D Secure, не подписан данный держатель, то согласно требованиям платежных систем уровень безопасности такой транзакции оказывается даже ниже, чем при классической операции. Дело в том, что такая операция может быть осуществлена только по номеру карты и дате ее действия, код проверки подлинности карты CVV2/CVC2 эквайрером может не запрашиваться. При этом, как правило, эмитент проверяет, что введенная дата действия карты больше текущей и в базе данных эмитента срок действия карты не закончился. А для обеспечения возможности работы двух карт одновременно при плановом перевыпуске не сравниваются даты из базы данных и транзакции. Таким образом, для осуществления успешной мошеннической операции необязательно даже знать срок действия карты — достаточно, чтобы он был больше текущей даты. То есть при реализации транзакции с поддержкой 3D Secure только со стороны эквайрера необходимо знать только номер карты и интернет-потери возрастают! Для обеспечения уровня безопасности при таких операциях, равного стандартному, эквайреру необходимо запрашивать код CVV2/CVC2. Для решения проблемы нежелания держателей подписываться на технологию 3D Secure для дополнительной аутентификации держателей, вероятно, нужно использовать технологию мобильной связи как наиболее распространенную и доступную клиентам. Таким образом, при современных технологиях платежных карт номер карты не относится к критически важным данным — проведение несанкционированной операции возможно либо при нарушении требований безопасности, либо при отставании от передовых технологий, таких как EMV и 3D Secure. 2. Стоимость реализации требований Стандарта может превысить величину потерь от нарушения безопасности защищаемых активов, что сделает такую защиту неэффективной и в принципе нецелесообразной. Стоимость защиты должна быть приемлемой и как минимум не превышать убытков в случае ее отсутствия, однако таких оценок при разработке Стандарта не проводилось. 3. Внедрение требований Стандарта потребует дополнительным затрат со стороны эквайреров и торговых предприятий (далее — торговцы), что может привести к замедлению развития бизнеса, если не к полной остановке (например, в российских условиях, где рентабельность и так невелика). Реализацией мер по принуждению к прохождению процедур сертификации на соответствие Стандарту и выдачей сертификатов на его соответствие занимаются платежные системы. Процессинговые центры и эквайреры имеют договорные отношения с платежными системами и вследствие этого обязаны выполнять все требования Стандарта. Торговые предприятия членами платежных систем не являются, гражданско-правовые отношения они имеют только с эквайрерами. Поэтому ответственность за соответствие торговца требованиям Стандарта возложена на эквайрера — т. е. эквайрер считается соответствующим его требованиям, если все его торговцы прошли процедуры сертификации в платежных системах. Кто будет оплачивать расходы по приведению торговца к соответствию требованиям Стандарта? Данные расходы могут состоять из затрат на проведение аудита, пен-теста, ежеквартальных сканирований сети, мероприятий по приведению автоматизированной системы торговца в соответствие с требованиями, в том числе расходы на приобретение оборудования, программного обеспечения (соответствующего, помимо прочего, требованиям стандарта безопасности PA-DSS), принятие в штат или обучение сотрудников. У торговцев в России в настоящий момент нет никаких стимулов соответствовать данному Стандарту. Эквайрер же может понести штрафные санкции, если у его торговца произойдет компрометация данных платежных карт, а торговец окажется несертифицированным. Отсюда следует, что данные расходы, вероятнее всего, будет нести именно эквайрер, поэтому эквайрер будет крайне заинтересован не показывать платежным системам крупных торговцев путем регистрации их в платежной системе как нескольких более мелких. Для небольших торговцев необходимо проходить ежеквартальные сканирования сети и заполнять специальный опросный лист, на основании которого и делается заключение о соответствии требованиям Стандарта. По логике данный опросник должен заполнить сам торговец, так как только он знает, как у него организована защита информации. Но поскольку, как уже отмечалось, торговец не заинтересован в прохождении процедур сертификации, а это как минимум выделение человеческих ресурсов, то скорее всего данный опросный лист будет заполнять сам эквайрер. И здесь возникает интересная ситуация. Если эквайрер ответит на все вопросы «как есть», то, во-первых, это займет с его стороны гораздо больше времени для выяснения истинного положения дел у торговца, а во-вторых, будет вероятность того, что торговец не соответствует требованиям Стандарта. Это, в свою очередь, связано с риском штрафов для эквайрера от платежных систем в случае компрометации данных у торговца и ведет к необходимости приведения сети торговца в соответствие требованиям Стандарта (опять же за счет эквайрера). В случае если эквайрер ответит на вопросы «как надо», то это сэкономит ему существенные ресурсы, а также ликвидирует риск применения штрафных санкций со стороны платежной системы. Таким образом, влияние эквайрера на торговца ограничено: сеть торговца не контролируется эквайрером; сертификация торговца за счет эквайрера приводит к удорожанию эквайринга: дополнительные затраты на сканирование, аудит, сертификацию ПО, увеличивается стоимость транзакции; эквайрер заинтересован понизить уровень торговца для сертификации; существующая схема сертификации торговцев может привести к недостоверным результатам соответствия Стандарту. 4. Существует ряд юридических аспектов в РФ для банков, которые следует отметить. По требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», который в настоящее время носит рекомендательный характер, банки и так внедряют системы защиты данных в соответствии с этими требованиями, причем сами требования принципиально не отличаются от требований Стандарта. Это означает, что общая стоимость защиты различных используемых банком автоматизированных систем еще более возрастет, при этом целесообразность этого не является бесспорной и достаточно обоснованной применительно к российским условиям. 5. После успешного прохождения аудита на соответствие требованиям Стандарта компания, его прошедшая, не получает никаких гарантий безопасности ни от аудиторов, ни от платежных систем. В случае же взлома системы защиты такой компании в дальнейшем статус сертифицированной организации будет, как показывает практика, пересмотрен (отозван). 6. В Стандарте нет метрик, позволяющих судить об эффективности применения его требований. Организация может либо соответствовать Стандарту после прохождения аудита (compliance), либо не соответствовать. 7. Наконец, платежные карты на основе магнитной полосы и традиционные платежи без присутствия карты (с использованием только номера карты, срока действия и кода верификации карты CVC2/CVV2) принципиально уязвимы ввиду уязвимости самих технологий. В связи с этим обеспечить безопасность принципиально уязвимых технологий невозможно. * * * Реализовывать требования Стандарта, очевидно, необходимо, поскольку он носит обязательный характер в соответствии с требованиями международных платежных систем. Тем не менее как сам Стандарт, так и процедуры сертификации на соответствие его требованиям имеют ряд отмеченных недостатков, препятствующих достижению его основной цели — защиты данных платежных карт. В связи с этим более перспективным является другой путь обеспечения безопасности, а именно — не защита существующих уязвимых платежных технологий, требующая дополнительных инвестиций, а миграция на более современные и защищенные технологии, включая EMV и 3D-Secure, на которые участниками рынка уже потрачены значительные средства. Глава 3 Обеспечение безопасности карточного бизнеса Оценка рисков эмитента в платежной системе банковских карт с использованием мониторинга транзакций В соответствии с Положением Банка России от 24 декабря 2004 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» внутрибанковские правила должны содержать систему управления рисками при осуществлении операций с использованием платежных карт, включая порядок оценки кредитного риска, а также предотвращения рисков при использовании кодов, паролей в качестве аналога собственноручной подписи, в том числе при обработке и фиксировании результатов проверки таких кодов, паролей. Платежные карты и риски банка Банковская карта как инструмент для совершения безналичных операций по счету клиента в банке-эмитенте в плане обеспечения безопасности: • может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к счету владельца инструмента; • может быть ненадлежащим образом использована самим клиентом[80 - Подробнее о видах мошенничества с банковскими картами, уголовной ответственности и судебной практике в данной сфере см. раздел «Мошенничество в сфере банковских платежных карт».]. В соответствии с определением, данным в Федеральном законе от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании»[81 - Собрание законодательства Российской Федерации. 2002. № 52 (ч. I) Ст. 5140.] (в ред. от 28 сентября 2010 г. № 243-ФЗ), риск есть вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда. По определениям стандартов ГОСТ Р 51897-2002 «Менеджмент риска. Термины и определения» и ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» оценка рисков — это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающий влияние на информационные системы в рамках допустимых затрат. К системам менеджмента информационной безопасности применимы требования ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Система менеджмента информационной безопасности — часть общей системы менеджмента, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности. Первоначальным этапом является идентификация риска, т. е. процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен; оценка представляет собой общий процесс анализа риска и собственно его оценивание. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости. В результате обмена информации о риске и его осознании может быть принято решение по его обработке, т. е. выборе и осуществлению мер по его модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска). Риск может быть предотвращен в результате принятия решения о «невхождении» в рискованную ситуацию или действия, предупреждающего вовлечение в нее. Если предотвратить риск не удается, его можно перенести, т. е. разделить с другой стороной бремя потерь от него. Снижение риска — это действия, предпринятые для уменьшения вероятности наступления негативных последствий, связанных с риском. При этом уменьшение последствий от события означает ограничение любого негативного последствия конкретного события. После обработки остается риск, называемый остаточным риском. Общие положения по обеспечению информационной безопасности в организациях банковской системы РФ устанавливаются Стандартом Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В соответствии со Стандартом информационная безопасность организации банковской системы РФ есть состояние защищенности интересов (целей) организации банковской системы в условиях угроз в информационной сфере. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов для интересов (целей) организации. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений. Письмо Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» содержит рекомендации по управлению операционным риском в кредитных организациях. Операционный риск — риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства, внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Из данного определения следует, что риск информационной безопасности для банка может быть отнесен к операционному. Следует отметить, что в настоящее время не существует универсальной методики оценки рисков применительно к задачам информационной безопасности. Письмо Банка России от 30 мая 2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» дает определение репутационного риска. В терминах международных платежных систем (МПС) под риском понимается вероятность понести потери или упустить доходы, количественная оценка возможных потерь (упущенной выгоды) вследствие наступления неблагоприятного события. Определим платежную систему банковских карт (ПСБК) как систему обмена транзакциями и взаиморасчетов (клиринга), организованную банком на основе банковских карт. В соответствии с Положением ЦБ РФ № 266-П банк может являться как эмитентом или эквайрером, так одновременно эквайрером и эмитентом. ПСБК представляет собой банковский технологический процесс — технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг. Реализация угроз данному технологическому процессу может принести ущерб как финансовый, так и репутационный, а значит, в отношении указанных рисков необходимо предпринимать меры по их менеджменту. Мошенничество с банковскими картами и риски эмитента Для определения влияния мошеннических операций в ПСБК на банк-эмитент следует оценить следующие риски. 1. Операционный риск. Результатом проведения мошеннических операций чаще всего являются финансовые потери банка или его клиентов. В последнем случае необходимо учитывать риск потери (ухода) клиента, если тот перестанет доверять сервисам, предоставляемым банком. Если банк-эмитент авторизовал мошенническую операцию по карте своего клиента, последний может оспорить данную операцию. В результате банк может быть вынужден (в том числе и по решению суда) возместить средства на счете клиента, поскольку выполнил распоряжение по счету клиента от иного лица, не являющегося владельцем счета. 2. Репутационный риск. Репутации банка может быть нанесен ущерб, если предоставляемые им сервисы будут небезопасными (или казаться таковыми), а принимаемые защитные меры — неэффективными. Следует учитывать мнение о банке в области противодействия мошенничеству в СМИ, среди других банков, МПС, правоохранительных органов и мошенников. 3. Риск непрерывности бизнеса. Мошеннические операции в эквайринговой сети банка могут привести к временному прерывания бизнеса в торгово-сервисном предприятии (ТСП) с высоким уровнем мошенничества (например, как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка. Репутационный риск является, по существу, интегрированным и представляет собой качественную оценку репутации банка, доверия к нему клиентов и партнеров. Риск непрерывности бизнеса связан с нарушением правил ПС при обслуживании банковских карт и не является особенно сложным, чтобы свести его к минимуму. Таким образом, наиболее сложным и значимым является операционный риск, связанный с мошенничеством. Как было отмечено ранее, обработка операционного риска в ПСБК включает в себя проведение мероприятий по его предотвращению, снижению, переносу или принятию, в том числе: 1) соблюдение обязательных требований. Необходимо руководствоваться обязательными требованиями и рекомендациями МПС, международных и российских стандартов, нормативных документов Банка России; 2) страхование рисков. Все большее распространение в России получает практика переноса рисков на страховые компании. Необходимо рассмотреть имеющиеся возможности по страхованию и использовать эту меру совместно с другими; 3) претензионную работу. Качественное проведение претензионной работы позволит уменьшить суммы от мошенничества, относимые на убытки банка, клиентов или страховых компаний; 4) мониторинг. Своевременное выявление мошенничества и принятие адекватных и эффективных мер на основе системы мониторинга в ПСБК должно стать инструментом снижения рисков в ПСБК. Любое лицо, запрашивающее доступ к банковскому счету с целью выполнения финансовой операции и (или) для получения информации о статусе счета, на момент запроса доступа к счету является для банка-эмитента только лицом, совершающим операцию. Поэтому корректность аутентификации лица, совершающего операцию с использованием банковской карты, является важной для обеспечения безопасности проводимой операции. От того, насколько применяемые процедуры позволяют банку-эмитенту карты быть уверенным в том, что операция выполнена с использованием эмитированной банком карты и совершается законным держателем карты, которому карта была выдана на основе договора банка с клиентом, зависит безопасность операции. Таким образом, мошенничество с банковскими картами (т. е. несанкционированный доступ к счету законного держателя карты) по определению относится к операционному риску. Данный риск может быть оценен количественно, поскольку мошенничество всегда связано с несанкционированными операциями по банковскому счету, в ходе которых банковская карта используется как инструмент доступа к нему. Ценность актива, которым является банковский счет клиента — держателя карты, имеет стоимостное выражение, а мошенничество направлено на этот актив. К современным технологическим решениям, используемым для противодействия мошенничеству, относятся системы мониторинга транзакций (СМТ). Постановка задачи мониторинга транзакций Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия со стороны клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для уменьшения рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности ПСБК и должны проводиться в рамках мероприятий по управлению операционным риском в банке. Характерной особенностью современной задачи защиты информации является комплексность защиты. Под комплексностью понимается как решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). МПС MasterCard определяет следующие методы и средства защиты ПС от мошенничества и снижения рисков: юридические аспекты, взаимодействие участников ПС, обучение, аналитическая работа, расследования, отчетность, мониторинг, продукты и сервисы. По результатам исследования, проведенного автором, можно сделать вывод о том, что в смысле обеспечения защиты ПСБК от мошенничества следует говорить об инструментальной комплексности и рассматривать СМТ как один из применяемых инструментов. Далее сформулируем общие требования к СМТ и задачи мониторинга транзакций в ПСБК. 1. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПСБК и принятие решений по подозрительным на предмет мошенничества операциям с целью уменьшения рисков. 2. Система мониторинга транзакций является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК банка. Выбор той или иной СМТ банком-эмитентом должен основываться на анализе существующих рисков. Система должна использоваться для снижения финансовых потерь банка и держателей карт, снижения недовольства клиентов и повышения доверия к банку. В стандарте СТО БР ИББС-1.0-2010 мониторинг информационной безопасности (ИБ) организации банковской системы РФ определяется как постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения. Событием мониторинга в данной терминологии является любое событие, имеющее отношение к ИБ. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели. Исходя из определения ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» мониторинг безопасности информации представляет собой постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации. По терминологии МПС под транзакцией (или операцией) понимается одно из следующих определений: • инициируемая держателем карты последовательность сообщений, вырабатываемых и передаваемых друг другу участниками системы для обслуживания держателей карт, при соблюдении свойств неделимости (должны выполняться все составляющие транзакции или не выполняться ни одна), согласованности (транзакция не нарушает корректности информации в базах данных), изолированности (отдельная транзакция не зависит от других), надежности (завершенная транзакция должна восстанавливаться после сбоя, а незавершенная — отменяться); • единичный факт использования карты для приобретения товаров или услуг, получения наличных денежных средств или информации по счету, следствием которого является дебетование или кредитование счета клиента. В соответствии с ранее приведенным определением мошенническая операция — операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Мониторинг использует набор критериев и признаков (fraudulent pattern), позволяющих идентифицировать и своевременно пресечь несанкционированное использование карты. Таким образом, СМТ в ПСБК являются одним из средств выявления и противодействия мошенничеству с банковскими картами. Существуют обязательные требования МПС к мониторингу, но они являются общими и в настоящее время недостаточными ввиду их принципиальной ориентированности на формирование регулярных отчетов, а не выявление мошенничества в реальном или близком к реальному времени. Классификация СМТ На рис. 3.1 приведена классификация СМТ. По скорости реагирования СМТ предлагается подразделять на следующие классы. 1. Системы реального времени (онлайновые, on-line). Такие системы работают в реальном времени, имеется возможность влиять на результат авторизации операции. 2. Системы псевдореального времени (псевдоонлайновые, pseudoonline). Анализ операций проводится в реальном времени, но нет возможности влиять на результат авторизации. Решение может быть принято только после завершения подозрительной (мошеннической) транзакции. 3. Системы отложенного режима (оффлайновые, off-line). Периодически (ежедневно, еженедельно и т. д.) формируются специальные отчеты, на основе анализа которых принимаются решения. По типу принятия решения делятся на: 1) автоматические. Решение по операции принимается системой автоматически без участия человека. 2) автоматизированные. Система предоставляет уполномоченному сотруднику информацию для принятия им решения по данной транзакции. Классификация по информации, используемой при анализе. 1. Системы, использующие только данные самой транзакции. В анализе учитываются только параметры транзакции — сумма, название торгово-сервисного предприятия (ТСП), категория ТСП, страна и т. д. 2. Системы, привлекающие для анализа историю операций по карте/ТСП. При анализе используется история по прошедшим операциям по данной карте/ТСП. 3. Системы, использующие модели поведения держателей карт и ТСП. Система строит и/или использует модели поведения держателей карт и ТСП. Анализ транзакции проводится в соответствии с имеющейся моделью, на основании отклонения поведения от модели операция признается подозрительной. Классификация по используемому математическому аппарату для анализа. 1. Системы на основе простых логических проверок. Логические проверки включают операции >, <, =, ≠. 2. Системы, использующие статистические методы. К используемым методам относятся методы описательной статистики, корреляционного анализа, регрессионного анализа. 3. Системы, привлекающие методы интеллектуального анализа данных (без использования нейронных сетей). Методы интеллектуального анализа данных (data mining), применяемые в анализе транзакций, могут включать методы классификации и прогнозирования, кластерного анализа, поиска ассоциаций. 4. Системы на основе нейронных сетей. Анализ операций проводится на основе адаптивных схем, построенных на нейронных сетях, что позволяет также выявлять ранее не известные схемы мошенничества. Эти системы являются дорогостоящими и требуют существенных ресурсов для настройки (обучения нейронной сети). Анализируемые транзакции подразделяются на два класса. 1. Эмиссионные. Анализируются транзакции по картам, выпущенным банком. 2. Эквайринговые. Анализируются транзакции в эквайринговой сети банка. Мониторинг транзакций эмитентом Мониторинг транзакций позволяет банкам-эмитентам отслеживать попытки проведения мошеннических транзакций по собственным картам и принимать меры для уменьшения рисков (табл. 3.1). МПС MasterCard рекомендует также осуществлять мониторинг эмитентом следующих событий и параметров: • атаки по сгенерированным номерам карт; • отрицательные результаты проверок кодов верификации карты CVC1 и CVC2; • операции по картам с истекшим сроком действия; • транзакции по неверным номерам карт; • транзакции в возможных точках компрометации; • операции кредитования и отмены авторизации торговой точкой; • списки неиспользуемых карт. Требования МПС относятся прежде всего к мониторингу в отложенном режиме, иные временные варианты мониторинга в настоящий момент не являются обязательными. Кроме того, проведенный автором анализ текущей ситуации с мошенничеством в ПС показывает, что эти меры являются в современных условиях недостаточными. В связи с этим банк-эмитент должен разработать собственную политику управления рисками в ПСБК и выбрать ту СМТ, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. При этом на практике следует добиться допустимого баланса между следующими показателями: • принятие неадекватных решений по ограничению операций для не мошеннических операций; • пропуск мошеннических операций; • число сообщений, генерируемых СМТ, об операциях, не являющихся мошенническими; • величины рисков в ПСБК с учетом работы СМТ и принимаемых на ее основе решений. Несмотря на то что описанные критерии мониторинга являются недостаточными, их применение обязательно. Несоблюдение данного требования и превышение допустимых порогов по уровням мошенничества приводят к штрафам и санкциям со стороны МПС, к ухудшению репутации (увеличению репутационного риска) и в худшем случае прерыванию деятельности в области банковских карт (отзыв лицензии). В связи с этим каждый банк должен учитывать требования МПС в этой области в своей деятельности по снижению рисков в ПСБК, связанных с мошенничеством. Проблема принятия решений при мониторинге Анализ транзакции на предмет ее мошеннического характера основывается на критериях отнесения конкретной транзакции к подозрительной (мошеннической). В случае если транзакция определена как мошенническая, следует выбрать меры реагирования для снижения потерь. Таким образом, для каждой транзакции стоит проблема принятия решения о ее подозрительном (мошенническом) характере и выборе мер противодействия. Принятие решений может основываться на экспертных системах и интеллектуальном анализе данных. Экспертная система (ЭС) — это программное средство, использующее экспертные знания для обеспечения высокоэффективного решения неформализованных задач узкой предметной области. Основу экспертной системы составляет база знаний о предметной области, которая накапливается в процессе построения и эксплуатации ЭС. Накопление и организация знаний — важнейшее свойство всех ЭС. Интеллектуальный анализ данных (английский термин «data mining») (ИАД) — это процесс поддержки принятия решений, основанный на поиске в данных скрытых закономерностей (шаблонов информации). Это процесс обнаружения в сырых данных ранее неизвестных, нетривиальных, практически полезных и доступных интерпретации знаний, необходимых для принятия решений в различных сферах человеческой деятельности. На рис. 3.2 приведены основные методы ИАД. Ранее отмеченные критерии обязательного мониторинга транзакций МПС и существующие методы анализа транзакций позволяют определить требования отнесения операции к подозрительной на предмет мошенничества. В случае выявления такой транзакции следует предусмотреть меры реагирования, которые смогут уменьшить риск от этой и последующих мошеннических транзакций. В случае выявления подозрительной операции банк-эмитент может предпринять следующие меры ограничения негативных последствий: • отказ в авторизации этой подозрительной операции, если технически это возможно (в данном случае речь идет о мониторинге в режиме реального времени в соответствии с приведенной классификацией); • блокировку карты, делающую невозможным совершение последующих операций по ней; • установку ограничений по последующим операциям на величину покупок в ТСП за период, снятия наличных денежных средств в банкоматах и пунктах выдачи наличных (ПВН) за период, общей суммы операций за период; • установку ограничений по последующим операциям на регион использования карты или категорию ТСП; • информирование держателя карты о подозрительной операции, например, посредством SMS-уведомлений. Реализация приведенных мер реагирования зависит от технических возможностей банка-эмитента и принятой политики управления рисками, связанными с мошенничеством в ПСБК. Следует отметить, что сложность принятия решения по подозрительной операции заключается в том, что в случае пропуска мошеннической операции банк-эмитент может понести финансовые потери, в случае установки ограничений операций по карте в результате легальной операции клиента возможно нанесение ущерба репутации, недовольство со стороны клиента и, возможно, его потеря. Особенности мониторинга некоторых операций Некоторые операции являются особенными для мониторинга. Далее будут рассмотрены основные характеристики таких операций. 1. Операции в разных странах в установленный интервал времени. Операции по поддельной карте, используемой в стране, отличной от той, в которой совершает операции сам клиент, могут быть обнаружены с помощью СМТ. Для оценки принципиальной возможности нахождения клиента в двух странах в моменты совершения двух операций необходимо учитывать: • расстояние между городами совершения операции; • минимальное время, за которое можно переместиться между двумя точками проведения операций. Если времени между операциями проходит слишком мало для того, чтобы настоящий держатель переместился из одной точки в другую, то имеет место мошенничество по поддельной карте. 2. Неуспешные мошеннические операции по поддельным картам. Неудачные попытки проведения операций по поддельным картам позволят избежать потерь — факт мошенничества может быть своевременно выявлен СМТ, после чего приняты меры. 3. Операции в банкоматах по зарплатным картам. По настоящее время объем операций получения наличных денежных средств в банкоматах в России составляет большую часть всех операций (свыше 90 %), при этом часто карты выдаются держателям в рамках зарплатных проектов. Поэтому денежные средства часто накапливаются на счете карты, а затем снимаются в банкоматах за небольшой интервал времени. Из-за такого нехарактерного поведения для держателя банковской карты эти операции могут быть расценены как мошеннические, хотя на самом деле таковыми не являются. 4. «Дружественное» мошенничество. Иногда мошеннические операции могут быть совершены лицами, известными держателю карты. В случае если держатель карты не предпринимает должных мер безопасности при хранении и использовании своей карты, к ней могут получить доступ его близкие, родственники или знакомые. Эти люди проводят мошеннические операции и возвращают карту держателю, при этом держатель карты утверждает, что карту никому не передавал, ПИН-код не сообщал и в настоящее время карта находится при нем. Обнаружить такой тип мошенничества можно по следующим признакам: • произведены снятия наличных денежных средств, но не всех доступных на счете, в банкомате; • операции по карте проходят в территориально близких ТСП по отношению к тем, в которых карту использует сам держатель; операции совершенно нехарактерны для держателя карты — например, оплата сервисов в Интернете с использованием реквизитов карты, хотя ранее держатель карты использовал ее только для получения наличных денежных средств в банкоматах. Подходы к оценке рисков В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия (Р ) и тяжесть возможных последствий (ЦенаПотери). РИСК = Р  × ЦенаПотери. Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь. Если переменные — качественные величины, метрическая операция умножения не определена и в явном виде эту формулу применять нельзя. В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза (Р ), уязвимость (Р ), цена потери. При этом Р  = Р × Р , тогда: РИСК = Р × Р × ЦенаПотери. Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов. Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат: • экспертные оценки; • статистические данные; • учет факторов, влияющих на уровни угроз и уязвимостей. Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Однако при реализации такого подхода возникают следующие сложности: • должен быть собран материал о происшествиях; • если информационная система сравнительно невелика и эксплуатирует новейшие элементы технологии, оценки угроз и уязвимостей могут оказаться недостоверными. Оценка рисков в ПСБК Мошеннические операции в ПСБК с точки зрения эмитента могут быть оценены количественно, потому что они связаны с проведением несанкционированных операций по счетам клиентов банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен SFR = Р  × S , (1) где Р  — вероятность проведения мошеннической операции по карте; S — величина доступных средств на счете (в рамках дебетового или кредитного договора банка с клиентом). Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических операций, поскольку величина доступных средств на счете клиента банка известна. На основе анализа особенностей проведения операций по банковской карте в ПСБК автор выделяет ряд необходимых условий для проведения мошеннической операции независимо от типа мошенничества: 1) данные карты должны быть скомпрометированы; 2) скомпрометированные данные использованы для попытки проведения несанкционированной операции; 3) попытка проведения несанкционированной операции была осуществлена. Если все три вышеперечисленных условия выполнены, то результат выполнения операции (в случае проведения операции в режиме реального времени — авторизации) определяется эмитентом. При этом следует учитывать способность эмитента до формирования ответа на авторизационный запрос проводить его проверку на предмет возможного мошенничества (мониторинг в режиме реального времени). Из вышеизложенного следует, что вероятность проведения мошеннической операции Р с учетом формул условной вероятности и (1) можно определить следующим образом: Р  = Р(кпр) × Р(исп|кпр) × Р(поп|кпр-исп) × (1 — Р(обн)), (2) где Р(кпр) — вероятность компрометации данных карт, необходимых для проведения мошеннической операции; Р(исп|кпр) — вероятность использования скомпрометированных данных для проведения операции; Р(поп|кпр-исп) — вероятность проведения несанкционированной операции (успех попытки проведения); P(обн) — вероятность обнаружения несанкционированной операции эмитентом. В соответствии с общепринятой классификацией существуют следующие типы мошенничества: 1) использование украденных или утерянных карт; 2) использование неполученных карт; 3) использование поддельных карт; 4) проведение операции с использованием реквизитов карты без ее присутствия; 5) несанкционированное использование персональных данных держателя карты и информации по счету клиента; 6) другие виды мошенничества. Следует отметить, что последний тип мошенничества относится к таким несанкционированным операциям, тип которых (из 1–5) определить затруднительно. Фактически данный тип используется для информирования МПС о мошенничестве при условии сложности однозначного установления его типа, т. е. в расчетах можно ограничиться типами 1–5, если устранять неоднозначности присвоением известных типов. Далее рассмотрим особенности мошеннических операций типов 1–5 и расчет вероятности успешного проведения мошеннической операции Рмош по формуле (2). Украденные и утерянные карты В соответствии с договором между клиентом и банком ответственность по операциям по украденной/утерянной карте лежит на клиенте до момента уведомления банка об утере/краже. Данный риск является не банковским, а клиентским, поэтому рассчитывать его для банка-эмитента далее не будем. Неполученные карты Данный риск существует для банка в том случае, если технологически предусмотрена возможность получения клиентом карты иная, чем лично в руки. Безопасность получения карты держателем обеспечивается организационными и технологическими мерами (например, активация карты клиентом, отсутствие денежных средств на карте до момента активации). В связи с этим данный тип мошенничества рассматривать при расчете рисков не будем. Поддельные карты Поддельность объекта можно определить по совокупности следующих признаков: • объект обладает характерными качествами подлинного; • не соблюдены правила изготовления объекта (технические или правовые); • цель изготовления или использования поддельного объекта — использование по назначению. Для проведения операции по поддельной карте в ТСП злоумышленник должен представить к оплате карту, внешне похожу на настоящую, чтобы ее «поддельность» не была заметна для кассира. При этом ПИН-код злоумышленнику может не понадобиться, если он не требуется в качестве способа аутентификации держателя такой карты. Мошенническая операция в банкомате может быть проведена только при условии знания злоумышленником ПИН-кода, при этом внешний вид поддельной карты не должен соответствовать оригиналу (может быть использован так называемый «белый пластик»), поскольку визуальная проверка подлинности карты не производится. Из вышеизложенного следует, что при знании ПИН-кода поддельная карта будет использована в банкомате, а если ПИН-код не известен — то в ТСП. В обоих случаях для изготовления подделки нужны данные магнитной полосы карты — трека. Следует отметить, что микропроцессорная карта для обеспечения обратной технологической совместимости содержит также и магнитную полосу. В настоящее время злоумышленники подделывают банковские карты, в основном используя существующие уязвимости карт с магнитной полосой. Также обнаружены и опубликованы уязвимости в технологии EMV, приводящие к компрометации данных карты и ПИН-кода, несанкционированной модификации параметров транзакции. Таким образом, риск по поддельным картам можно рассматривать как сумму двух рисков: с неизвестным злоумышленнику ПИН-кодом и наличием поддельной карты, и поддельной карты с ПИН-кодом, т. е. SFR = SFR + SFR , (3) где SFR — риск по операциям с поддельной картой без знания ПИН-кода; SFR — риск по операциям с поддельной картой при известном ПИН-коде. Определим где Р — вероятность осуществления мошеннической операции по поддельной карте при условии, что злоумышленнику не известен ПИН-код; Р (кпр) — вероятность компрометации данных магнитной полосы карты; Р (исп|кпр) — вероятность использования скомпрометированных данных для проведения операции; Р (поп|кпр исп) — вероятность принятия к оплате поддельной карты; Р (обн) — вероятность обнаружения несанкционированной операции эмитентом. Для проведения операций в ТСП риск по поддельной карте без знания злоумышленником ПИН-кода можно определить следующим образом: Величина S может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа. В случае если злоумышленнику известен ПИН-код Р (кпр) — вероятность компрометации данных магнитной полосы карты и ПИН-кода; Р (исп|кпр) — вероятность использования поддельной карты для проведения операции в банкомате; Р (поп|кпр исп) — вероятность принятия к оплате поддельной карты; Р (обн) — вероятность обнаружения несанкционированной операции эмитентом. Вероятность Р (поп|кпр исп) в формуле (7) равна 1 (поскольку банкомат не осуществляет визуальную проверку подлинности карты) во всех случаях, кроме того, когда поддельная карта с магнитной полосой без чипа, но содержит сервис-код микропроцессорной карты (первая цифра равна 2 или 6) и банкомат оборудован устройством чтения чипа, — в этом случае обслуживания карты банкоматом по магнитной полосе не произойдет. Поэтому формулу (7) можно представить в виде Из формул (1) и (8) следует, что где SFR — риск по поддельной карте при известном злоумышленнику ПИН-коде; S — доступные средства на счете клиента для проведения операций в банкоматах. Величина S может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа. Исходя из формул (3), (6) и (9) риск по поддельной карте рассчитывается следующим образом: Операции без присутствия карты Требования МПС к безопасности операций электронной коммерции формулируются следующим образом: • должна обеспечиваться взаимная аутентификация участников покупки; • реквизиты платежной карты (номер карты, срок действия, коды верификации CVC2/CVV2 и т. п.), используемой при проведении транзакции, должны быть конфиденциальны для ТСП; • невозможность отказа от операции для всех участников транзакции. Первый протокол, удовлетворяющий этим требованиям, — протокол безопасных электронных транзакций Secure Electronic Transaction (SET). Высокая стоимость его реализации и сложность внедрения не позволяют использовать его повсеместно в современных условиях. На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции — 3D Secure. Если операция без присутствия карты проведена без использования защищенного протокола, то ответственность за мошенничество возлагается на обслуживающий банк. Тем не менее до сих пор большая часть операций в Интернете проводится без использования безопасных протоколов. Часто для проведения операции в интернет-магазине достаточно просто номера карты и дополнительно срока действия, кода верификации карты CVC2/CVV2. Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов. Несмотря на запреты МПС, банки-эквайреры и интернет-магазины хранят в своих системах номера карт, сроки действия, CVV2/CVC2, иные данные, используемые при осуществлении транзакций. Исследования, проведенные VISA USA, показали, что в США 37 % ТСП продолжают хранить в своих системах данные по обслуживаемым картам. Интересные данные были представлены сотрудниками компании Trustwave на проводившейся с 14 по 16 сентября 2008 г. конференции MICROS Users Conference в Аннаполисе, США, по результатам анализа 400 инцидентов, связанных с компрометацией данных платежных карт. Основные результаты исследования: • большинство инцидентов (9 из 10) связаны с небольшими ТСП; • только 69 % атак было осуществлено с присутствием карты, т. е. 31 % — без присутствия карты; • наиболее атакуемым звеном технологии является ПО торгового терминала (67 %), далее следуют атаки на интернет-магазины (25 %). Из сказанного можно сделать несколько важных выводов: • возможна компрометация данных банковских карт после проведения легальных операций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов; • если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую операцию, как правило, лежит на эмитенте. Определим Из формул (3) и (11) следует, что риск по операциям с отсутствием карты: Использование данных клиента и информации по счету Риск складывается из: • риска, связанного с использованием персональных данных держателя карты или информации по его счету для открытия нового счета, и • риска, связанного с захватом уже открытого счета. Данный риск можно вывести за рамки применения СМТ. ERD-диаграмма[82 - ERD-диаграмма (Entity-Relationship Diagram) — это диаграмма «сущность — связь» — способ определения данных и отношений между ними, обеспечивающий детализацию хранилищ данных проектируемой системы, включая идентификацию объектов (сущностей), свойств этих объектов (атрибутов) и их отношений с другими объектами (связей).] базы данных мошеннических операций Для регистрации всех фактов, связанных с компрометацией данных и проведением мошеннических операций, автором предлагается обеспечить хранение данных в таблицах базы данных (БД). Предлагаемый формат позволит фиксировать все аспекты, связанные с мошенничеством в ПСБК, что используется для подготовки регулярных отчетов по текущему уровню мошенничества и расчета величин, необходимых для получения количественной оценки рисков (рис. 3.3). Формат хранения данных позволяет учитывать всю информацию, связанную с мошенничеством, которую можно получить в ходе проведения мероприятий по обеспечению безопасности ПСБК, в том числе: • заявления держателей карт по несогласию с проведенными операциями по их картам; • информацию от МПС, сторонних банков, правоохранительных органов, СМИ по фактам компрометации данных и проведению мошеннических операций, связанных с ПСБК банка; • данные по точкам компрометации данных банковских карт; • данные по точкам проведения мошеннических операций с банковскими картами; • данные по объемам мошеннических операций, предотвращенных потерь, страховых возмещений; • данные по скомпрометированным картам в ПСБК. Организация единого хранилища описанных данных часто не обеспечена, поскольку различные подразделения банка занимаются решением вопросов, связанных с безопасностью ПСБК, в рамках своей компетенции и оперируют только частью информации по мошенничеству. Практика позволяет сделать вывод о том, что агрегирование информации по мошенничеству в ПСБК, ее обработка и анализ необходимы в современных реалиях. Далее приводится краткое описание таблиц БД и их назначение. Инцидент. Таблица 3.3 служит для хранения данных по всем событиям, являющимся основанием для проведения расследований как по эмиссии, так и по эквайрингу. Об инциденте может стать известно от МПС, сторонних банков, СМИ, правоохранительных органов, из других источников. Возможно, инцидент не имеет отношения к ПСБК банка в момент получения сообщения о нем, но должен быть зафиксирован для сохранения самого факта его происшествия, что, возможно, понадобится в будущем. Оператор. Оператором является уполномоченный сотрудник, осуществляющий регистрацию инцидентов и расследований. Каждый оператор имеет уникальный идентификатор. Расследование. Результатом расследования должны являться подсчитанные суммы потерь (в том числе предотвращенных), принятые решения. Расследование может инициировать другое расследование, тогда второе можно связать с первым через поле ID master расследования (табл. 3.4). Карта. Карта может относиться к банку или его банку-партнеру (эмиссия). Карточный продукт. Данная таблица содержит описание всех карточных продуктов, эмитируемых банком. Статус карты. В данной таблице отражается текущий статус карты и значимая история изменений статуса для целей создания данной базы (табл. 3.5). Банк. В табл. 3.5 хранятся данные по банку, его филиалам и партнерам, карты которых фигурируют в каких-либо расследованиях. ТСП. Таблица содержит данные по ТСП, находящемуся на эквайринге, по которому проводится расследование. Данная таблица используется только для фиксирования данных по мошенническим операциям в эквайринговой сети банка. Транзакция по карте. Таблица содержит данные по всем операциям по карте, фигурирующей в каком-либо расследовании. Ее формат соответствует стандарту ISO 8583 и содержит данные, описывающие отдельную транзакцию. Следует отметить, что в соответствии с требованиями стандарта PCI DSS хранение ПИН-блоков и данных магнитной полосы карты запрещено, поэтому можно осуществлять, например, хранение признаков их наличия. Правило. Таблица содержит описание правил и критериев мониторинга транзакций в СМТ, по которым принимаются решения о подозрительности транзакций на предмет мошенничества. Сработавшее правило. Если по транзакции срабатывает правило/критерий в СМТ, а транзакция содержит данные, фигурирующие в расследовании, то данные по срабатыванию правила помещаются в эту таблицу. Изменение правила. Изменения параметров существующих правил и критериев мониторинга отражаются в этой таблице. Принятое решение. На основе работы правил и критериев СМТ принимаются решения по ограничению операций по картам. В случаях когда в результате анализа некоторой транзакции правило/критерий выявило подозрительную на предмет мошенничества операцию, данный факт отражается в таблице. Это позволит учитывать предотвращенные потери в результате использования СМТ. Мошенническая операция. Запись в таблице характеризует тип мошенничества по совершенной транзакции. Документ, свидетельствующий о мошенничестве. В ходе проведения расследования могут быть получены различные документы, отражающие информацию по совершенным мошенническим операциям (табл. 3.6). К таким документам могут относиться оповещения МПС, заявления клиентов, объяснительные кассиров (в случае расследования фактов мошенничества в эквайринговой сети банка). Документ «мошенничество». Таблица 3.6 связывает документ, подтверждающий мошенничество, с мошеннической операцией. Расследование «ТСП». Таблица связывает расследование по эквайрингу с ТСП, картой, по которой в ТСП проведены операции, и конкретной мошеннической операцией. Таблица используется только для проведения расследований по мошенничеству в эквайринговой сети банка. Расследование «карта». Таблица связывает расследование по эмиссии с картой, по которой проводится расследование, и конкретной мошеннической операцией. Апробация данного формата доказала его практическую применимость и возможность использования при расчетах рисков в ПСБК. Банк самостоятельно формирует содержимое данной БД на основе практики в области эмиссии (и/или эквайринга), взаимодействия с МПС, правоохранительными органами, сторонними банками, СМИ. Расчет рисков Относительно применения СМТ для выявления мошенничества и принятия решений по подозрительным операциям в соответствии с полученными ранее результатами следует получить значения следующих величин: • риск мошенничества по поддельным картам; • риск мошенничества по операциям без присутствия карты. Установим следующие исходные предположения при получении количественной оценки рисков: • имеется БД совершенных мошеннических операций (как удачных, так и пресеченных, как с наличием ущерба, так и без такового), формат которой соответствует описанной ERD-диаграммой — БДМ; • имеются данные по всем операциям со всеми банковскими картами в ПСБК банка-эмитента — БДО; • по каждой карте банка-эмитента имеются данные по истории всех операций, истории движения средств по счету карты, история изменений статуса карты, история и параметры изменения ограничений операций с картой, дополнительные признаки карты (например, зарплатная или относящаяся к VIP-клиенту); • нет никаких специальных данных по уровню осведомленности держателя карты в вопросах информационной безопасности, соблюдения рекомендаций по безопасному использованию карты; • каждая совершенная клиентом операция по карте увеличивает риск проведения мошеннических операций в дальнейшем за счет увеличения вероятности компрометации данных карты; • вероятности обнаружения мошеннических операций СМТ в ПСБК зависят только от типа мошенничества. Заданы критерии риска для оценивания: • Годовая величина допустимого риска по мошенничеству с поддельными картами: • Годовая величина допустимого риска по мошенничеству без присутствия карты: • Годовая величина затрачиваемых средств на эксплуатацию СМТ: Приемлемые результаты оценивания в соответствии с заданными критериями: Параметры СМТ для выявления мошенничества Р (обн), Р (обн), Р (обн) одинаковы для любой карты эмитента в ПСБК. Анализ современного состояния мошенничества с банковскими картами позволяет сделать ряд выводов о временных характеристиках компрометации данных и проведения несанкционированных операций: • характер использования карты клиентом часто имеет сезонную зависимость, связанную с отпусками и особенностями трудовой деятельности; • карта обычно выпускается сроком на два года; • как правило, скомпрометированные данные банковских карт используются мошенниками в течение года, хотя известны и более продолжительные интервалы времени между компрометацией и использованием данных, вплоть до двух лет; • известны схемы мошенничества, осуществляемые по одному и тому же сценарию в течение нескольких лет (например, компрометация в одной стране, а несанкционированные операции в любой из стран известного множества); • обязательные со стороны МПС критерии мониторинга по эквайрингу устанавливают минимальный временной интервал, равный 90 дням активных операций по ТСП. Таким образом, при расчете вероятностей по формулам (10) и (12) следует учитывать приведенные временные особенности и устанавливать время расчета вероятностей по операциям с картой не менее одного года. Далее мы будем вести расчеты за период времени, равный одному году, если иное не оговорено. Рассмотрим вероятность компрометации данных карты при ее использовании в n операциях в различных устройствах — терминалах ТСП, банкоматах и ПВН. Пусть вероятность компрометации данных при совершении операции есть P (кпр), где i — номер операции. Пусть событие A состоит в том, что данные карты скомпрометированы в результате операции k в любом терминальном устройстве, а событие B — данные скомпрометированы в r-й операции в любом терминальном устройстве, причем k < r. Будем считать события A и B независимыми, т. е. Вероятность того, что данные карты не были скомпрометированы ни в одной операции, можно записать в следующем виде с учетом формулы (14): Исходя из формулы (15) вероятность компрометации данных карты хотя бы в одной операции: Таким образом, для расчета вероятности компрометации данных карты требуется рассчитать значения вероятности компрометации данных карты в каждом использованном терминальном устройстве, что может быть сделано с использованием данных в БДО и БДМ, хранящихся в табл. 3.1, 3.3, 3.6. Расчет может производиться: • по каждому уникальному терминалу; • по категории торгового предприятия (merchant category code — MCC): различные коды ТСП, банкоматы, ПВН; • по стране торгового предприятия; • по категории и стране торгового предприятия; • по категории, стране и городу торгового предприятия. Далее будем вести расчеты по стране и категории торгового предприятия. Например, для расчета вероятности компрометации данных магнитной полосы карты i в некоторой стране за год в торговом предприятии определенной категории подсчитываем число операций, удовлетворяющих данному условию, в результате которых данные оказались скомпрометированы, и общее число операций, а далее с учетом формулы (16) получаем: где W (стр , mcc )(i) — число операций, связанных с компрометацией данных, по картам банка в стране стр и категории торгового предприятия mcc за год; W (стр , mcc )(i) — общее число операций по картам банка в стране стр и категории торгового предприятия mcc за год. Введем следующие обозначения: Обозначим вероятность компрометации данных карты с учетом введенных обозначений и формулы (17) следующим образом: В случае компрометации данных карты они могут быть использованы для совершения мошеннической операции. На основе данных БДМ можно рассчитать условные вероятности использования скомпрометированных в хотя бы одной точке использования карты ее данных: где W (стр, mcc)(i) — число фактов последующего использования скомпрометированных данных в точках использования карты i (страна и категория ТСП); W (стр, mcc)(i) — число компрометаций данных карт в точках (страна и категория ТСП), в которых использовалась карта i. Попытка проведения мошеннической операции может быть пресечена в торговом предприятии, до попадания авторизационного запроса по карте эмитенту. Рассмотрим возможности пресечения проведения мошеннической операции в зависимости от ее типа: • операция по поддельной карте с известным ПИН-кодом в банкомате — в соответствии с формулой (8) вероятность успеха не зависит от способности выявления подделки банкоматом (за исключением упомянутого случая подделки магнитной полосы комбинированной карты и попытки ее использования в банкомате, поддерживающем проведение операций по микропроцессорным картам); • операция по поддельной карте в ТСП — согласно формуле (4) вероятность мошенничества зависит от возможности обнаружения подделки кассиром; • операция без присутствия карты — исходя из формулы (11) вероятность успеха мошенничества зависит от применяемой ТСП схемы безналичных платежей. Проведенный анализ показывает, что в большинстве случаев мошенничества, связанного с подделкой карт крупнейших МПС VISA и MasterCard, можно избежать, если кассир выполняет следующие визуальные проверки карты: • на наличие четырех напечатанных цифр под эмбоссированным номером карты; • на наличие микропечати VISA по периметру логотипа карты VISA; • на наличие голубя на картах VISA и букв «М» и «С» на картах MasterCard, появляющихся при облучении карты ультрафиолетом; • при наклоне карты VISA на голограмме должен появиться летящий голубь, а MasterCard — надпись «MasterCard»; • сравнение номера карты на чеке терминала и на карте; • на наличие эмбоссированных секретных символов на карте (летящие буквы «V» и «M»). Современная практика функционирования ПС показывает, что часто описанные проверки в ТСП не производятся, поэтому МПС отказались от использования эмбоссированных секретных символов, а также некоторых видов микропечати. С учетом изложенных доводов вероятность проведения мошеннической операции по поддельной карте в ТСП с учетом формулы (4) можно, положив P (поп|кпр исп) = 1, рассчитывать по следующей формуле: Следовательно, риск по поддельным картам в ТСП с учетом формулы (20): Рассмотрим проведение мошеннических операций без присутствия карты. Если эквайрер блокирует проведение операций, например, из определенной доменной зоны, то такие попытки эмитенту видны не будут. Так, до недавнего времени сервисы PayPal были недоступны для россиян, фильтрация запросов происходила на основе анализа IP адреса клиента, но с конца 2006 г. ситуация изменилась. Если же клиент попадает на электронную страницу магазина, содержащего логотипы МПС, реквизиты его карты должны быть приняты к оплате по правилам МПС. В случае принятия реквизитов к оплате банк-эквайрер должен обслужить операцию, за исключением случая неподдержки эмитентом схемы 3D Secure при одновременной ее поддержке эквайрером. Эквайрер, применяющий 3D Secure, в принципе может принимать к оплате не только карты эмитентов, поддерживающих данную технологию, но и любые другие. В любом случае оказывается, что если эмитент получает авторизационный запрос по операции без присутствия карты, то самостоятельно принимает решение об одобрении или отклонении ее (с учетом значения индикатора электронной транзакции в запросе авторизации — Electronic Commerce Indicator). На основе изложенных доводов положим в формуле (11) P (поп |кпр исп) = 1, тогда вместо формулы (12) получим Примеры мониторинга операций Далее приведены несколько примеров применения СМТ для выявления мошеннических операций. Мониторинг операций в разных странах с присутствием карты Если совершаются две операции с присутствием карты в разных странах за небольшой интервал времени, то это может свидетельствовать о том, что одна из операций осуществляется по поддельной карте. Оценка принципиальной невозможности для держателя карты перебраться из места совершения первой операции в место совершения второй за время между операциями может быть сделана с учетом географического расстояния между местами совершения операций. В параметрах транзакции в соответствии с ISO 8583 присутствует название города и код страны совершения операции, в свободном доступе имеются географические координаты городов мира, поэтому возможно создание таблицы географических координат городов мира в БД для расчета расстояния между ними. Геодезические задачи решаются на плоскости, если размеры площади невелики. Если исследуемая часть поверхности занимает несколько градусов широты или долготы, то необходимо учитывать и кривизну поверхности — в этом случае можно использовать сферу. Более точно описывает форму Земли не сфера, а эллипсоид. В случае сферической модели Земли расстояние между двумя точками рассчитывается с помощью сферической тригонометрии. Длина дуги большого круга — кратчайшее расстояние между любыми двумя точками, находящимися на поверхности сферы, измеренное вдоль линии, соединяющей эти две точки, и проходящей по поверхности сферы или другой поверхности вращения. Через любые две точки на поверхности сферы, если они не прямо противоположны друг другу, можно провести уникальный большой круг. Две точки разделяют большой круг на две дуги (рис. 3.4). Длина короткой дуги — кратчайшее расстояние между двумя точками. Между двумя прямо противоположными друг другу точками (антиподами) можно провести бесконечное количество больших кругов, но расстояние между ними будет одинаково на любом круге и равно половине окружности круга. В данном случае расчет может быть произведен, например, с использованием сферической теоремы косинусов, причем при использовании радиуса сферы в 6 372 795 м возможна ошибка вычисления расстояния порядка 0,5 %, но в случае маленьких расстояний и небольшой разрядности вычисления использование формулы может приводить к значительным ошибкам, связанным с округлением: Для перевода углового расстояния в метрическое угловая разница умножается на радиус Земли (в данной модели это 6 372 795 м). Для преодоления проблем с небольшими расстояниями может быть использована формула гаверсинусов. В программной среде (в том числе на уровне функций и хранимых процедур БД) легко реализуемым является также и расчет расстояний между двумя точками на поверхности Земли, если принять в качестве модели поверхность эллипсоида. Таким образом, рассчитав расстояние между двумя городами, в которых проводятся две операции по банковской карте, и используя максимальную скорость перемещения между ними (например, скорость гражданского самолета с учетом времени регистрации в аэропорту), можно с использованием временного интервала между операциями выявить принципиальную невозможность перемещения держателя карты из одной точки Земли в другую. Проблемой в данном случае является некорректная регистрация терминальных устройств банками-эквайрерами, что может приводить к ошибкам определения их географического положения. Возможны ошибки следующих типов: • некорректное указание города установки терминального устройства; • ошибки в названии города установки терминального устройства; • некорректное указание страны установки терминального устройства. На практике известны примеры наличия всех отмеченных ошибок, так, вариантов названия города «Санкт-Петербург» в качестве города установки терминальных устройств автором обнаружено более сотни, большая часть из которых подпадает под одну из следующих масок: %S%PET%, %PETER%, SPB%. Ввиду отсутствия контроля со стороны МПС за корректностью указания эквайрером данных регистрации терминального устройства не приходится рассчитывать на решение указанной проблемы. Тем не менее практическое применение отмеченного подхода для выявления мошеннических операций по поддельным картам доказало свою эффективность. Мониторинг операций по картам, использовавшимся в регионе возможной компрометации Практика показывает, что в некоторых регионах мира существуют продолжительное время мошеннические схемы, связанные с компрометацией данных карт (и/или ПИН-кодов) и/или использованием поддельных карт. Например, особое внимание со стороны МПС и банков уделяется операциям в ТСП Азиатско-Тихоокеанского региона, где часто происходит компрометация данных магнитной полосы карты, после чего поддельная карта используется в ряде стран того же региона или мира. В течение нескольких последних лет зафиксированы многочисленные случаи компрометации данных магнитной полосы карты в Таиланде, Тайване, Шри-Ланке, Индонезии, Малайзии, Гонконге, Сингапуре. Несколько фактов проведения мошеннических операций в некоторой стране или группе стран могут свидетельствовать о единой точке компрометации — это может быть терминальное устройство, торговое предприятие, эквайрер, процессинговый центр. Часто бывает сложно быстро установить точные сроки и выявить точку компрометации. Например, уведомление от МПС может содержать информацию о масштабной компрометации данных в некоторый промежуток времени в крупном процессинговом центре (ПЦ), при этом банку рекомендуется предпринять меры по ограничению потерь по своим картам. В таких случаях банк обычно осуществляет блокировку скомпрометированных карт и повторный выпуск их с другими номерами за свой счет. Однако может оказаться, что временной интервал компрометации более длительный. В результате банк сталкивается с проведением мошеннических операций по картам, бывшим в данном ПЦ в другое время. В течение последних нескольких лет действуют мошеннические схемы в Турции и Украине. В Турции выявлен ряд мошеннических ТСП, где держателя карты просят ввести ПИН-код для проведения операции покупки или получения наличных в этом ТСП. Операция часто завершается неудачно, однако злоумышленники осуществляют несанкционированное копирование содержимого магнитной полосы карты и подсматривают ПИН-код. Затем проводятся мошеннические операции получения наличных денежных средств в банкоматах Турции. Как минимум с конца 2004 г. известно о существовании мошеннической схемы, связанной с операциями в банкоматах Украины. В результате использования держателем своей карты в банкомате в Украине высок риск компрометации данных магнитной полосы карты и ПИН-кода. Через некоторое время мошенники используют поддельные карты для проведения операций в банкоматах в различных странах, таких как США, Эстония, Египет, Аргентина, Тунис, Перу. Временной интервал между компрометацией и использованием подделки, как показывает практика, часто не превышает одного года. В СМТ на основе анализа подобных выявляемых схем необходимо создать правила анализа транзакций, отслеживающие использование карт в регионах с высокой вероятностью компрометации данных (и ПИН-кодов). Если затем карта обнаруживается в регионе предполагаемого использования поддельной карты, то происходит срабатывание правила и, в зависимости от его настройки, могут быть установлены ограничения по операциям в автоматическом режиме. Выявление мошеннических операций в сети Интернет В сети Интернет существует множество сервисов, предоставляющих услуги, оплата за которые может осуществляться по реквизитам банковской карты (например, PayPal, AOL, iTunes). При этом для проверки действительности карты при подписке на сервисы осуществляется операция на небольшую сумму по номеру карты и сроку действия. В случае успеха процесс регистрации и подписки продолжается. Злоумышленники могут воспользоваться такими сервисами для проверки действительности карт, реквизиты или данные которых им удалось получить. Такое тестирование карты обычно называют «пробивкой» или «прозвоном». Возможны следующие сценарии поведения злоумышленника. 1. Данные магнитной полосы или реквизиты карты скомпрометированы. Проводится несанкционированная операция «пробивки» номера карты и срока действия для проверки ее статуса. В случае успеха реквизиты используются для проведения операций без присутствия карты (например, в Интернете) либо для изготовления поддельной карты для покупок в ТСП в случае наличия данных магнитной полосы. 2. Данные магнитной полосы скомпрометированы. Изготавливается поддельная карта для проведения операций в ТСП. Проводятся операции в ТСП и «пробивки» для постоянного контроля действительности карты. Следует отметить, что в последнее время «пробивка» используется мошенниками для проверки статуса карт со скомпрометированными данными магнитной полосы и/или ПИН-кодом. Практика выявления точек «пробивки» позволяет формировать в СМТ списки терминалов и эквайреров, по которым могут осуществляться несанкционированные операции проверки статуса карт. Правила анализа транзакций по точкам «пробивки» позволяют выявлять как факты компрометации данных, так и подбор номеров карт и мошенническое тестирование заблокированных по причине компрометации карт. * * * В области противодействия мошенничеству в платежной системе банковских карт (ПСБК) оценка рисков может быть осуществлена количественно, поскольку мошенничество в ПСБК всегда связано с несанкционированными операциями по банковскому счету с использованием банковской карты как инструмента доступа к нему. Количественная оценка возможна на основе собираемой статистики по фактам компрометация данных платежных карт и мошенничеству в ПСБК. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПСБК и принятие решений по подозрительным на предмет мошенничества операциям с целью уменьшения рисков. Система мониторинга транзакций (СМТ) является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК. Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса Основные принципы защиты рабочих станций сотрудников банка В зависимости от того, в каких технических условиях проходит работа сотрудников, которые имеют доступ к информации о клиентах и их картах, способы защиты персональных рабочих компьютеров могут и должны быть различными. К техническим условиям мы относим в первую очередь способы защиты периметра информационной системы (набор инструментов, поставщик решений, внутренние регламенты). При этом высокий статус вендоров решений по безопасности может создавать впечатление, что все надежно защищено, но на практике ситуация выглядит иначе. Часто любой из сотрудников банка имеет физическую возможность войти на любой компьютер под своей учетной записью. Поскольку не все сотрудники хранят свои служебные документы на сетевых дисках, где им положено быть, или хотя бы в своем профиле, а на локальных дисках в общедоступных папках, то к этим документам потенциально имеют доступ все сотрудники. Конечно, можно просто запретить сотрудникам внутренним приказом хранить документы на локальных дисках и уповать на их добросовестность. Но как быть, если в открытом виде хранятся не только документы, а еще и файлы конфигураций или файл «мои пароли. txt»? Чем это грозит? Как это учитывать, если доступ к очень важным системам дается по связке «логин + пароль» с привязкой к статическому IP-адресу? Опять издавать приказы и надеяться, что их будут строго выполнять? Подходы к решению задачи защиты рабочих станций могут быть разными, но большинство специалистов-практиков склоняются к стандартным способам технической реализации. Например, посредством такой утилиты Windows, как «Объект групповой политики» (GPO — Group Policy Object), можно принудительно закрыть другим сотрудникам возможность входа на компьютеры сотрудников, которые работают с данными клиентов. При этом надо учитывать, что USB-токены не являются панацеей (как в данном случае, так и в случае использования их при проведении платежей). Возможность туннелировать трафик USB на компьютер злоумышленника остается всегда, пока сам токен включен в компьютер, и не секрет, что многие специалисты просто оставляют ключ в USB-порту на весь рабочий день. Следующая важная мера — программное обеспечение, не используемое на компьютере, должно быть удалено или отключено, таким образом будет закрыто множество уязвимых мест[83 - На сайте http://www.securitylab.ru/vulnerability (данный ресурс поддерживается компанией Positive Technologies) продемонстрировано, сколько различных подходов можно найти для реализации такого рода уязвимостей.]. Многое из того, что следовало бы сделать, чтобы максимально (полностью не получится никогда) обезопасить рабочие станции сотрудников, можно придумать и самому, для этого всего лишь необходимо исходить из принципа «минимальных привилегий» пользователя для организации доступа, а также здравого смысла во время технической реализации. Использовать настройки поумолчанию не рекомендуется никогда, и это не зависит от того, к чему применяется данное утверждение. Если есть техническая возможность поменять в конфигурационных файлах порты — сделайте это (например, на продакшн-серверах SSH перемещается с 22-го порта на 2002, если он не занят), если сотрудники поддержки могут дойти до компьютера пользователя, например, работают в одном офисе — на компьютере пользователя можно как минимум включить встроенный файрвол на блокировку всех входящих соединений без исключения. Почему без исключений? Да просто потому, что техническая возможность ICMP-туннеля[84 - ICMP-туннель — скрытый канал для передачи данных, организованный между двумя узлами, использующий IP-пакеты с типом протокола ICMP (обычно e^o request, e^o reply). ICMP-туннель используется для обхода запретов на передачу информации на межсетевых экранах.] на компьютер жертвы, т. е. сотрудника, также есть, поэтому, не закрыв пресловутый пинг[85 - Ping — утилита для проверки соединений в сетях на основе TCP/IP.] из-за возможности мониторить, включен ли компьютер (или еще хуже — сервер), может обернуться открытым шеллом[86 - Shell — интерпретатор команд операционной системы.] с возможностью полного управления с компьютера злоумышленника. Что уж говорить про другие незакрытые возможности удаленного воздействия. Можно также использовать уже проверенные временем и постоянно дорабатываемые международные Best practice, которые всегда можно найти на сайте CIS (www.cisemrityorg), причем не только для Windows всех мастей, но и сетевого оборудования, веб-серверов, UNIX, Apple, Check-Point, Oracle и многое другое, даже для прикладного ПО, например Firefox или Opera. Поскольку все приведенные на сайте рекомендации достаточно хорошо и полно описаны, думается, нет смысла их дублировать. Подытоживая, основные принципы можно описать следующим образом: • сегментация — все компьютеры сотрудников процессинга в отдельной подсети (еще лучше, если за отдельным файрволом); • GPO — отдельные, более жесткие настройки ПК, контролируемые через групповые политики, особенно это касается политики паролей к учетным записям; • антивирусное программное обеспечение; • все установленное ПО, как на компьютере пользователя, так и на сервере, должно нести функциональную нагрузку, а если что-то не востребовано для выполнения конкретных служебных задач — смело удаляем; • IP-фильтрация всего трафика. Это, конечно, не очень серьезная защита, но некоторую сложность для потенциальных злоумышленников все-таки составит; • своевременные обновления. Думаю, не лишним будет сказать, что если до официального выхода патча какой-либо уязвимости о ней могут знать единицы, то после выхода патча — все знают, а значит, воспользоваться брешью в безопасности ОС или ПО могут попробовать многие; • и последнее по счету, но не по важности — регулярное испытание на проникновение (пен-тест) и аудит как хостов внутри сети, так и периметра. О последнем пункте расскажем чуть подробнее. Пен-тест — это «испытание на проникновение», другими словами, когда мы ничего не знаем в том хосте, который начинаем сканировать, и пытаемся получить информацию о версии операционной системы, открытых портах, службах на этих портах и т. д., получив такую информацию, мы получаем в свои руки огромное количество потенциальных лазеек, использовав которые можем получить привилегированные права к системе. Дабы обезопасить себя от реальных проникновений, лучше определить уязвимые места самому, чем это сделает кто-то за нас. Под аудитом же мы понимаем как сбор статистической информации о том, что есть в нашей сети, так и мониторинг того, что происходит сейчас или произошло в прошлом, другими словами, сбор и анализ логов с различных источников, их нормализация, агрегация и в итоге корреляция по заданным правилам. За пен-тест и аудит в части сбора статистики отвечают различные сканеры безопасности, хороших из них, на взгляд авторов, не больше пяти, а полнофункциональных вообще один. За сбор логов и их дальнейшую обработку отвечает другой класс систем, так называемые SIEM-решения (Security Information and Event Management). Использование SIEM и сканера безопасности в организации и как это упрощает жизнь В общем виде перед системой контроля защищенности ставятся следующие задачи: • создание внутренних процессов по непрерывному контролю ИТ-инфраструктуры и информационной безопасности; • снижение экономического ущерба из-за недоступности ресурсов и потери конфиденциальной информации; • сокращение издержек на контроль изменений и управление уязвимостями; • внедрение механизмов оценки эффективности ключевых ИТ-про-цессов и ИБ (информационной безопасности). Решение поставленных задач соответствует требованиям следующих международных стандартов в области информационной безопасности: • ISO 27001 в части мониторинга информационных ресурсов, контроля средств защиты, операционных систем и программного обеспечения, выполнения требований политик и стандартов безопасности; • PCI DSS в части мониторинга настроек средств защиты, контроля выполнения требований политик и стандартов безопасности, периодического тестирования средств защиты и выявления уязвимостей. Техническая реализация контроля защищенности сводится ко многим факторам, определяющим само понятие «защищенность». Так, например, наиболее распространенными путями взлома на сегодняшний день являются социальная инженерия[87 - Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Например злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит.] в сочетании с уязвимостями рабочих мест пользователей, использование уязвимостей в Web-приложениях, слабость парольной защиты, а также уязвимости и ошибки конфигурации сетевых устройств, средств защиты периметра и информационных ресурсов в демилитаризованных зонах. Приведем несколько примеров: • Относительно рабочих мест сотрудников: получение сотрудниками по почте или иным способом зараженных (!) файлов с именами типа «Список увольняемых 2010.doc» или «Премиальные выплаты. pdf», а также использование уязвимостей в стопроцентно «дырявом» ПО, к которым без преувеличения можно отнести Web-браузеры, почтовые программы, офисные приложения Microsoft, средства чтения документов в формате PDF, многие IM-клиенты[88 - IM — Instant messenger — способ обмена сообщениями через Интернет и службы мгновенных сообщений (ICQ, QIP и др.).], в том числе популярный ICQ, многие видеокодеки, JAVA-приложения и многие другие, в том числе и сами операционные системы. Крупные вендоры достаточно быстро реагируют на найденные бреши в безопасности своих продуктов, но от момента выхода патчей до момента их установки на компьютеры пользователей проходит продолжительное время. • Относительно веб-приложений: по данным Web Applkation Security Consortium[89 - WASC — консорциум, объединяющий международные группы экспертов, разрабатывающих стандарты безопасности в сфере Интернета.], более 10 % сайтов может быть взломано полностью автоматически, а по данным Positive Tehnologies, порядка трети вебсайтов крупных российских компаний имеет уязвимости высокой степени критичности. • Относительно парольной политики приведем несколько цифр: • больше половины паролей пользователей являются только цифровыми; • около 20 % составляют только символы латинского алфавита в нижнем регистре; • примерно 15 % — символы в нижнем регистре и цифры; • при этом самыми популярными являются пароли от 1 до 7 или 8, пустая строка и легко набираемые комбинации символов на клавиатуре (например, qwerty123). • Относительно сетевых устройств и защиты периметра есть много распространенный недочетов: • маршрутизаторы имеют настройки «по умолчанию»; • файрволы имеют правила с настройкой «any» или вообще «any-to-any»[90 - Настройка host-to-any позволяет с определенного адреса получать возможность соединиться с чем угодно, any-to-host — кому угодно соединиться с определенным адресом, any-to-any — всем адресам со всеми адресами (такой вариант настройки говорит о том, что либо файрвол не нужен вообще в данном случае, либо работает только для введения логов, ничего не блокируя).]. Неконтролируемые настройки на production-серверах[91 - Имеется ввиду ситуация, когда администраторы никак не документируют и ни с кем не согласовывают никаких изменений, которые они проводят на обслуживаемых серверах и приложениях, а когда возникают вопросы «кто?» или «зачем?», то ответов в итоге не поступает.] в ситуации, когда вроде бы и существуют документы, регламентирующие настройки безопасности и политики, но отсутствует техническая возможность их отслеживания. На практике при наличии необходимого и достаточного, казалось бы, ПО от известных вендоров для защиты и нормативных документов вполне реально достичь следующих «технических результатов»: • получить доступ к рабочей станции старшего инженера; • получить доступ к магистральным маршрутизаторам; • получить сетевой доступ к технологической сети; • подобрать пароли к ряду внутренних маршрутизаторов; • получить доступ 15-го уровня к периметровым маршрутизаторам Cisco (аналог root-прав для UNIX и прав администратора в Windows). Это то, что относится к системам контроля защищенности, но помимо этого необходимо еще и осуществлять мониторинг того, что происходит в реальном времени. Задачи системы класса SIEM могут быть сформулированы следующим образом: • осуществление централизованного сбора, обработки и анализа событий из множества распределенных гетерогенных источников событий; • корреляция полученных событий информационной безопасности по заданным правилам; • постоянный контроль соответствия сетевых устройств заданной политике безопасности; • обнаружение в режиме реального времени атак, нарушений политик безопасности и автоматизированное формирование отчетов и рекомендаций по их устранению; • автоматическое создание и рассылка отчетов о состоянии корпоративной сети обслуживающему персоналу, администраторам безопасности и руководству компании; • учет имеющихся информационных активов, анализ рисков, связанных с недоступностью либо потерей целостности этих активов, а также автоматическое принятие решений, основанных на политике безопасности, для защиты информационных активов в случае возникновения угроз; • предоставление инструментария для проведения расследований инцидентов ИБ, формирования отчетности в ходе решения конкретных задач, отслеживания статуса их решения; • хранение в базе данных поступивших событий в течение не менее установленного политикой безопасности срока, возможность быстрого поиска по событиям. Система данного класса предназначена для обеспечения мониторинга и корреляции событий информационной безопасности, мониторинга состояния безопасности корпоративной сети, консолидации рабочего места оператора безопасности, что позволяет снизить общую стоимость владения системой защиты. В первую очередь решением задачи является сбор информации от других подсистем (средств защиты) — систем анализа трафика и обнаружения и предотвращения атак, подсистем межсетевого экранирования, маршрутизаторов, серверного оборудования и операционных систем защищаемых серверов и рабочих станций, антивирусных средств защиты и др., представление ее в унифицированном формате, удобном для восприятия администратором безопасности. Помимо простого сбора, нормализации и визуализации, подсистема позволяет производить интеллектуальный анализ, корреляцию разрозненных событий в соответствии с логикой, заданной внутренними правилами, а также в соответствии с правилами, которые задает оператор или администратор системы безопасности для выявления специализированных действий (злоумышленных действий), которые могут проводиться как легальными пользователями, так и злоумышленниками. Довольно хорошее описание возможностей решений класса SIEM можно прочитать на сайте компании Gartner[92 - www.gartner.com], который с завидной регулярностью обновляет не только описания систем ввиду их постоянного процесса улучшения (не только SIEM[93 - Квадрантом с лидерами по шкале «Полнота видения», т. е. по количеству поддерживаемых систем для быстрого подключения (слева направо) и общим функциональным способностям (снизу вверх) является верхний правый квадрант, соответственно, чем продукт выше и правее, тем его рейтинг выше.]), но и свой рейтинг, приводя сравнения решений различных вендоров в виде наглядных «магических квадрантов»[94 - Полную версию данного документа можно посмотреть по адресу http:// www.gartner.com/ it/content/1380400/1380414/june_30_security_information_mnicolett.pdf, но всегда лучше проверить актуальную версию.] (рис. 3.5). К сожалению, относительно систем контроля защищенности (сканеров) такого отчета нет, по крайней мере такого, который учитывал бы все самые «сканирующие» решения. Например, довольно часто забываются российские разработки, которые порой намного превосходят по функционалу зарубежные аналоги, но не настолько популярны за пределами СНГ. Поэтому здесь необходимо отталкиваться от тех задач, которые планируется решать, и самостоятельно анализировать возможности решений от различных вендоров. Если же оценивать все вышесказанное с точки зрения именно специалиста, на которого возлагается обязанность заниматься вопросами обеспечения реальной защищенности ИС[95 - ИС — информационная система], то как минимум необходимо будет провести работы по подключению всех требуемых источников событий к системе класса SIEM и настроить сканеры безопасности соответствующим образом на серверы и рабочие станции. Работа колоссальная, если в компании большое количество серверов, которые не стандартизированы, большое количество сотрудников, часто находящихся на территориально распределенных объектах. Но если преодолеть трудные первые этапы, результаты будут видны сразу — например, будет видно, что неправомерно используется учетная запись Administrator корневого домена, администраторы сами себе на время раздают особые права, чтобы какую-то информацию «слить» на флешку и т. д. В зависимости от настроек аудита на «источник событий», а также уровня детализации (например, уровни логирования Emergencies и Debug для сетевых устройств, т. е. минимальный и максимальный уровни) при использовании системы возможны следующие варианты анализа и выявления событий: • все попытки изменения конфигураций на маршрутизаторах и других сетевых устройствах с указанием, кто, когда и что изменил. Отслеживание атаки с полной предысторией ее начала и распространения по корпоративной сети или инфраструктуре глобальной сети; • отслеживание попыток соединений с внутреннего оборудования в неразрешенные политикой безопасности места и статистическая информация о разрешенных соединениях между внутренними и внешними хостами — аномалии, повышенная активность разных хостов и др.; • попытки доступа к собственно ресурсам серверов, учет доступа к серверам с административными правами; • анализ запуска на сервере несанкционированных программ, подмена файлов (например, апгрейд) и изменение файлов. Удаление критичных файлов; • мониторинг запуска и остановки служб. Мониторинг запущенных сервисов и приложений, информация о падении или остановке сервиса; • связь попыток доступа с возможным использованием уязвимостей (exploits) внутренней инфраструктуры; • мониторинг доступа к базе данных и анализ подключений — кто подключался и какие способы подключения использовались (например, SSH и telnet); • кто работал с базой данных с администраторскими правами и что сделал; • и многое другое. Немного о ПО для взломов и защите Во всем мире, как специалисты по безопасности, так и те, кому они противостоят, используют множество самых разных вариаций софта, которые автоматизируют многие процессы по обнаружению и/или реализации уязвимостей в различном ПО. Одним из самых распространенных типов реализаций можно без преувеличения назвать Meterpreter, входящий в состав MSF (Metasploit Framework)[96 - www.metasploit.com], который обновляется регулярно и позволяет автоматизировать взломы по известным багам и не закрытым уязвимостям в ПО, причем механизмы эксплуатации так называемых 0day уязвимостей[97 - Уязвимости нулевого дня.] в нем также присутствуют, т. е. специальные инструменты (эксплойты, или exploit), которые реализуют взлом через те уязвимости, которые не закрыты на момент выхода данного эксплойта. Так, например, можно через, скажем, Nmap (мультиплатформенный бесплатный сетевой сканер) просканировать некий пул адресов, подсетей или же конкретный сервер, примерно определить, что на нем есть и какая операционная система используется, а дальше применять эксплойты под уже известные уязвимости. Что уж говорить про версию Metasploit Pro, в которую добавлен WEB 2.0 интерфейс. По понятным причинам никаких конкретных скриптов по использованию данного продукта особо не найдешь, даже долгое время проведя в поисковиках, поскольку даже на сайтах, посвященных безопасности, или хакерских форумах ими не любят делиться. Пожалуй, самый распространенный способ списать деньги со счета клиента — это воспользоваться компьютером того же клиента, точнее того сотрудника, который может такие операции проводить. Схема атаки довольно стандартная и про нее не раз было сказано в Интернете. Бэкдор[98 - Бэкдор, backdoor (от англ. back door, черный ход) — программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: в GNU/Linux — Bash, в Microsoft Windows NT — cmd).] на компьютер жертвы, USB_over_Network share[99 - Различные программы, или утилиты, позволяющие использовать устройство, подключенное в USB-порт удаленного компьютера, как будто оно подключено в USB-порт вашего локального ПК.], Remote control toolkit[100 - Различные утилиты для удаленного управления компьютером по сети. При наличии бэкдора использовать не обязательно, но иногда более удобно.], кейлоггер[101 - Кейлогер, кейлоггер, keylogger (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.] — все что нужно для проведения такой операции. Злоумышленник со своего компьютера запускает приложение клиент-банка, вводит пароль, полученный с помощью кейлоггера, при этом компьютер жертвы используется как шлюз, а при помощи USB_over_Network share злоумышленник имеет доступ к ключу жертвы, чтобы подписывать им платежки. Конечно, в каждом конкретном случае схема может меняться в зависимости от банка, к примеру, но суть одна — получить доступ к компьютеру жертвы, установить канал к ключу и получить пароль, на этом все — можно переводить деньги. Помимо ПО для взлома, полезно иметь еще некий набор средств для проведения расследований инцидентов информационной безопасности — так называемые forensic tool’s[102 - «Компьютерный сборщик судебных улик», иными словами программно-аппаратные средства для сбора информации, скрытой глубоко в операционной системе, с целью получения доказательств о каком-либо неправомерном использовании компьютера.] и специальные программы. Ими активно пользуются все, кто имеет хоть какое-то отношение к безопасности, поскольку нужно не только найти нарушителя информационной безопасности, но еще и доказать, что это именно он сделал это и именно в такое-то время. В данном случае лучшим помощником является Интернет, а точнее — google.com, поскольку где-то 90–95 % всего forensic-софта делается не у нас, а значит, и искать нужно по зарубежным форумам и специализированным сайтам. Или же на конкретных ресурсах, где можно найти, например, отлично работающую утилиту USB History, из названия которой понятно, что она вытаскивает из недр реестра Windows, обрабатывает и сводит в один вид информацию о том, какие USB-устройства и когда были подключены в последний раз[103 - Скачать данную утилиту можно по адресу http://sourceforge.net/projects/usbhistory/. Кроме того, можно найти и комплексное решение, в которое вошли многие признанные утилиты в области расследований инцидентов нарушения ИБ, — например, WinTaylor (http://www.caine-live.net/page2/page2.html).]. Реальная безопасность вместо бумажной Одним из основополагающих принципов построения центра ИБ является уход от «бумажной безопасности», когда отсутствует контроль настроек ИТ-систем, т. е. политики реализованы только в виде регламентирующих документов, а как они реализованы на практике, никто не знает, и когда отсутствует процесс управления защищенностью, ведь новые уязвимости появляются ежедневно и никто в компании не знает, какие есть бреши в их системе. Если быть точнее, то не уход, а переключение осознания того, что если «так написано, значит, оно так и есть», на «если так написано, то надо проверить, исполняется ли». Конечно, сотрудники службы информационной безопасности могут быть в отличных отношениях с админами и полностью им доверять, но это не означает, что нужно отменять принцип «четырех глаз» и делать, как кому-либо удобнее, нежели чем безопаснее. Все мы понимаем, что необходимо искать некий компромисс между безопасностью и производительностью, поскольку это прямо противоположные понятия, но только в том случае, когда мы настраиваем аудит каких-либо объектов, поскольку это напрямую будет способствовать увеличению затрат серверных ресурсов. Поэтому нужно четко понимать, какие именно действия или, проще говоря, события мы хотим увидеть. Использование обеих систем (SIEM и сканер безопасности) в связке позволяет контролировать то, что происходит в сетях, на рабочих станциях, серверах, в базах данных, и оперативно реагировать, если произошло нарушение установленных регламентов и политик или имела место иная внештатная ситуация. Кроме того, две системы позволяют лучше оценить то, каковы могут быть потенциальные последствия вновь обнаруженных уязвимостей. Доклиентский цикл и его безопасность О самом процессе производства банковских карт и его этапах написано немало[104 - Например, см.: Платежные карты: бизнес-энциклопедия. М.: Маркет ДС, 2008.]. Этот раздел в книге хотелось бы посвятить жизненному циклу карточного продукта с момента его рождения и доставки банку-эмитенту с соблюдением мер безопасности. Когда мы говорим о производстве продукта, то следует понимать, что карточный продукт, или продукция, не может быть выпущена на обычной фабрике. И не только потому, что требуется специализированное оборудование, обученный персонал и технологии для ее производства, но и необходимо еще одно важное условие — это должна быть территория с высоким уровнем безопасности. Территория с высоким уровнем безопасности подразумевает хорошо организованный, слаженный комплекс с интегрированными устройствами защиты безопасности и жесткими процедурами допуска. Конечно, эти требования по безопасности придумал не сам производитель пластиковых карт, а международные платежные системы, и остается лишь строго исполнять их. Изначально следует понимать, что для того чтобы добиться высокой степени защиты на производстве банковских карт, необходимо начинать с разработки проекта фабрики, правильного планирования и проектирования производственных зон и участков и, соответственно, организации физического доступа на эти зоны и участки. Итак, существуют внешние и внутренние стандарты безопасности для производственных помещений. Внешние стандарты безопасности означают нахождение производственных помещений на территории, обслуживаемой общественными правоохранительными органами и службами пожарной охраны, МЧС. Как правило, это локальные службы, которые привлекаются по месту нахождения производства. Согласно заключенным договорам на такое обслуживание правоохранительные органы, например, должны приехать по вызову на территорию в случае несанкционированного доступа в течение пяти минут. Независимо от времени реагирования служб пожарной охраны на территории или внутри помещений обязательно выстраиваются системы пожаротушения. Как правило, выбор таких систем определяется возможностями предприятия. Все помещения должны быть оборудованы аварийными системами безопасности против несанкционированного проникновения. Все внешние пункты входов и выходов, включая и те, что предназначены для персонала, обслуживающего персонала и грузов, должны оборудоваться аварийными кнопками и камерами видеонаблюдения с возможностью круглосуточной записи происходящего в режиме реального времени. Аварийные системы поддерживаются запасными источниками питания и в случае отключения основного автоматически в течение десяти секунд переключаются на аварийные и функционируют бесперебойно в течение 72 часов до устранения аварии. Такие меры предосторожности позволяют центру безопасности контролировать все без исключения зоны предприятия как по периметру здания, так и внутри, где находятся сырье и материалы для производства банковских карт, заготовки, сама карточная продукция. Для минимизирования риска незаконного вторжения на территорию производителя внешний периметр здания должен быть защищен специальным ограждением с въездными воротами и проходной, также оснащенными системой сигнализации, управляемые и контролируемые центром безопасности предприятия. Внешние входы и выходы снабжаются электронными устройствами для считывания персональных карт, которые в свою очередь автоматически активируют запирающие механизмы. Сами стены, доступ на крышу здания, окна и двери в обязательном порядке снабжаются датчиками вибрации и магнитными детекторами против вторжения. Внешние вывески на здании не должны указывать или подразумевать, что именно производится внутри данного здания. Внутренние стандарты безопасности подразумевают наличие систем контроля доступа внутри помещения. Одной из наиболее секретных комнат на предприятии является центр управления безопасностью. Вход и выход в такую комнату оснащен шлюзовой камерой со встроенными функциями контроля доступа. В зависимости от финансовых возможностей предприятия функции контроля доступа в таких шлюзовых камерах могут выполнять считывающие устройства, распознающие персону по отпечаткам пальцев, роговице глаза, методом взвешивания или просто пластиковой картой доступа. Система контроля доступа в комнату безопасности программируется по принципу «person-by-person», который обеспечивает невозможность прохода двум сотрудникам одновременно и ограничивает санкционированный доступ персонала. Центр управления безопасностью призван обеспечить на предприятии безопасность помещений, зон и участков, движение материалов, товаров и транспорта, а также наблюдение за сохранностью информации. Внутренние входы и выходы между производственными помещениями, участками и зонами, бытовыми помещениями также снабжены электронными устройствами для санкционированного доступа с помощью персональных карт. Производство заготовок, доставка в банк и хранение Для того чтобы произвести заготовки для банковских карт, необходимо закупить материалы для их производства и доставить на территорию с высоким уровнем безопасности. С этого момента и начинается процедура соблюдения мер безопасности на предприятии. Транспортное средство с материалами пропускают в здание через транспортный шлюз, где и происходит первоначальная разгрузка. Далее транспортное средство покидает территорию, а материал с соблюдением документальных процедур попадает на склад сырья и материалов. С одной стороны, сырье и материалы с точки зрения безопасности никакой ценности (кроме стоимостной) не представляют, но, с другой стороны, жестко прописанные процедуры их приемки исключают саму попытку хищения на раннем этапе производства. Физический контакт между поставщиком материалов и принимающим сотрудником склада предприятия исключается. Все контакты происходят через переговорное устройство, а документы передаются и возвращаются через окно безопасности. Все события записываются системой видеонаблюдения и просматриваются в режиме реального времени сотрудниками службы безопасности предприятия из центра управления безопасностью. Таким образом материал поступает на предприятие, оформляется и ожидает своего часа. Концепция безопасности международных платежных систем основана на административной процедуре исполнения со строгим ревизионным контролем каждой партии продукции, поддерживаемым устройствами физического контроля безопасности, позволяющими постоянно следить за сотрудниками, вовлеченными в производство каждой отдельной партии продукции, и их передвижениями. После получения рабочего задания и его обработки на склад поступает информация о требуемом количестве материала. Ответственный сотрудник склада передает необходимое количество материала на производство в цех печатной продукции через специальный транспортный шлюз-ловушку, тем самым исключая физический контакт между персоналом. Шлюз открывается специальными ключами санкционированным персоналом. Проникновение через транспортный шлюз исключается, так как он является ловушкой, и в случае появления такового срабатывает звуковой сигнал, в том числе и на приборах в центре управления безопасностью с его визуализацией. Все сотрудники компании одеты в специальные костюмы или халаты без карманов, что также исключает вероятность соблазна приобрести на память карточку с запоминающимся или необычным дизайном. После получения изображения на печатном листе пластика полуфабрикат движется в цех ламинирования продукции. На этом этапе также используется транспортный шлюз, как и везде между цехами. И так по цепочке: в цех производства заготовки, нанесения голограмм и подписных панелей, и далее — в цех персонализации и упаковки. Конечный пункт готовой карты — сейф хранения ценностей. Здесь необходимо внести ясность: сейф находится внутри складской зоны и является самостоятельным помещением на складе. Сейф для хранения ценностей является самым секретным помещением на производственных площадях, и поэтому к нему особые требования. Он должен быть выполнен из наливного бетона с металлической конструкцией внутри и толщиной стен не менее 20 см, которые способны обеспечивать прочность и долговечность. Главный сейф необходимо оборудовать укрепленной стальной дверью с логически последовательным двойным механизмом запирания, который требует одновременного двойного контроля доступа. Стены, потолок и пол такой конструкции снабжаются датчиками движения и вибрации. Системы видеонаблюдения и записи обязательны. Как правило, в таких защищенных конструкциях хранится готовая продукция — банковские карты, секретные компоненты для производства карт (такие как голограммы международных платежных систем, панели для подписи, магнитные полосы, чипы, ПИН-конверты и любые другие носители секретной информации). После производства партии заказа бракованные карты и компоненты для их производства уничтожаются в специально отведенной для таких целей комнате с соблюдением всех необходимых мер безопасности. Доступ к такой комнате имеет ограниченный круг сотрудников компании. В соответствии с требованиями безопасности отходы произведенной продукции и брак уничтожаются в присутствии как минимум двух ответственных сотрудников на специальном оборудовании — уничтожителе/измельчителе. Отходы измельченных карт хранятся в мусорных контейнерах, расположенных на охраняемой и защищенной территории, ограниченной от несанкционированного доступа. Таким образом, получился продукт — банковская карта, а полученный брак и его компоненты уничтожены. Наступает самый важный момент в жизни продукта — отпуск продукции клиенту, т. е. банку, а поскольку банковская карта приравнивается по своей значимости к денежным знакам, то и безопасность доставки пластиковых денег должна быть соответствующей. Для доставки продукта в банк используется специализированный автомобиль службы инкассации, так же как и при перевозке денежных знаков. Согласно договору между производителем и службой инкассации автомобили подаются строго по времени и с заранее продуманным маршрутом передвижения от производителя до банка-клиента. Мы уже знаем, что сначала спецавтомобиль для получения продукта по согласованным процедурам попадает на территорию с высоким уровнем безопасности, далее — в транспортный шлюз, а здесь применяется следующий алгоритм: • подготовка отгрузки продукции должна осуществляться под двойным контролем в пределах места хранения товара — сейфе хранения ценностей и в присутствии сотрудника службы безопасности; • отгрузка продукции разрешена только по предварительной договоренности с получателем товара и службой инкассации; • сотрудник службы безопасности уведомляет сотрудника склада о предстоящей отгрузке; • сотрудник службы безопасности направляет водителя в зону отгрузки; • визуальная и звуковая идентификация водителя должна подтверждаться сотрудником службы безопасности; • внешние ворота территории и ворота отгрузки товара открываются и закрываются только с центрального пункта управления безопасностью; • ответственный сотрудник склада оформляет документы на отгрузку через окно безопасности и подтверждает это оформление в пункте управления безопасностью; • производится отгрузка товара и подтверждение отгрузки сотрудниками склада; • сотрудник службы безопасности открывает ворота для выезда водителя из грузового отсека; • все операции по отгрузки товара наблюдаются и записываются системой видеонаблюдения. Банк информирует производителя о доставке продукции и хранит товар до выдачи его уже непосредственно клиенту в сейфе ценностей, выполненном, по таким же требованиям международных платежных систем, как и для производителя. Безопасность центра персонализации Зоны персонализации карт являются закрытыми зонами с санкционированным доступом ограниченного количества сотрудников. Прежде чем произвести персонализацию заготовок карт, необходимо подготовить само задание, для чего предусмотрена специальная комната подготовки задания. Конструктивно такая комната строится из прозрачных композиционных материалов, находится в зоне персонализации и контролируется камерами видеонаблюдения. Стены и потолок в комнате защищены датчиками вибрации и детекторами внутренних перемещений. Информация для персонализации передается от заказчика по защищенным каналам связи с соблюдением процедур, а ключами доступа к информации обладают ответственные сотрудники компании, имеющие специальный допуск. Открывают и готовят задание одновременно не менее двух сотрудников. Далее информация в зашифрованном виде по внутренним сетям компании, не связанным с внешним миром, к определенному времени выполнения такого задания загружается в машину для персонализации. Ответственный сотрудник компании, непосредственно работающий на участке персонализации, проводит свою часть работ по персонализации. После окончания работ готовые карты укладываются в специальные лотки в определенном количестве и пломбируются. Далее лотки с готовой продукцией перемещаются в цех упаковки, а лотки с бракованной продукцией попадают в комнату уничтожения отходов. После произведенной упаковки с инициализацией готовая продукция отправляется в сейф хранения ценностей для отгрузки банку-клиенту. Весь процесс персонализации и движения готовой продукции находится под наблюдением систем видеонаблюдения с записью и хранением информации. Таким образом, жестко прописанные международными платежными системами регламенты и процедуры выполнения работ по персонализации фактически исключают саму возможность утечки информации или готовой продукции. Возможность изготовления дубликатов продукции, с одной стороны, исключается строгим соответствием заказа готовой продукции количеству компонентов на ее производство, отпущенных на складе, а с другой стороны, установленным программным продуктом на оборудовании, производящем персонализацию. Если кратко подвести итог этой части, то физическая безопасность ограничивает доступ на территорию производителя, а логическая безопасность подразумевает проведение организационных мероприятий на предприятии и их соблюдение. Надо сказать, что требования физической и логической безопасности на производстве готовой продукции схожи по своей сути с требованиями, применяемыми банками в своей деятельности. И если возникают какие-то спорные моменты к произведенной продукции у заказчика, то здесь включаются в работу претензионные службы банка-клиента и отделы качества производителя. Глава 4 Претензионная работа в банке Как правило, 99,9 % операций клиентов по банковским картам обрабатываются эмитентами корректно и не вызывают последующих нареканий держателей банковских карт. Тем не менее все же ~0,1 % операций (согласно статистике MasterCard) вызывают несогласие у клиентов и служат основанием для инициации эмитентами операций так называемого претензионного цикла (exception/dispute cycle). Данный раздел ставит своей целью описать основные аспекты претензионной работы по операциям с пластиковыми картами в современном банке. В изложенном материале читатель не найдет советов и рекомендаций о том, какой chargeback reason code (RC) выбрать в конкретной ситуации, так как такие сведения даются в соответствующих материалах платежных систем и на специализированных семинарах. Но здесь будут приведены общие соображения и рекомендации о том, как правильно построить работу подразделения, отвечающего за претензионный цикл в современном коммерческом банке. Общие положения Претензионная работа по картам является наиболее трудной и наименее автоматизируемой частью банковских операций и требует высокой квалификации сотрудников, отвечающих за это направление, подразумевающей очень хорошее владение английским языком и уверенное знание актуальных правил международных платежных систем в части расчетов и претензионного цикла. Следует сразу оговорить, что в настоящем разделе будут рассмотрены аспекты классической претензионной работы по картам VISA и MasterCard (карты эмитента в устройствах сторонних банков — эмиссия и карты сторонних эмитентов в устройствах банка — эквайринг), как наиболее традиционные. Платежные системы Diners Club и American Express, а также on-us операции (в случае когда банк-эмитент и банк-эквайрер — это один и тот же банк) не рассматриваются. Материалы, предлагаемые в настоящем обзоре, базируются на следующих документах: • VISA International Operating Regulations; • MasterCard Chargeback Guide; • Положение ЦБ РФ № 266-П; • Письмо ЦБ РФ № 154-Т. Первые два источника содержат в себе все необходимые и достаточные сведения для успешного ведения претензионного цикла как по эмиссии, так и по эквайрингу. Они должны стать настольными книгами соответствующих специалистов. Кроме того, сотрудникам профильных подразделений следует не реже чем один раз в 2–3 года непременно посещать семинары МПС по претензионному циклу и иметь под рукой раздаточные материалы с них. MasterCard публикует внеочередные изменения, касающиеся претензионной работы, в операционных бюллетенях (Operations Bulletins), а VISA — в специальных письмах для банков-участников (Member Letters). Не будет излишним напомнить, что специалисты, занимающиеся претензионной работой по банковским картам, должны иметь всеобъемлющее представление об основных принципах работы платежных систем, некоторые из которых будут рассмотрены ниже. Расчетный цикл операций по банковским картам Прежде всего следует рассмотреть технологию обработки расчетной информации, поступающей из МПС, поскольку процесс разбора клиентских претензий и собственно претензионная работа очень сильно зависят именно от того, как именно происходят оформление операций (авторизации), последующие расчеты по карточным операциям и списание/зачисление средств на счета клиентов. Также следует принять во внимание такой аспект, как наличие собственного или внешнего процессингового центра (ПЦ). При аутсорсинге процессинговых услуг неизбежно возникают задержки в обработке и предоставлении информации, что в итоге налагает ощутимый отпечаток на технологию приема претензий у клиентов и проведения окончательных расчетов с ними. Наличие у банка собственного ПЦ, наоборот, позволяет генерировать соответствующие сообщения претензионного цикла максимально быстро и оперативно, минимизируя как время обработки заявок, так и сроки возмещения средств держателям карт и торгово-сервисным предприятиям (ТСП). Напомним вкратце, как происходят традиционные операции покупки/оплаты услуг и последующие расчеты по карточным транзакциям. Покупатель с картой приходит в ТСП и при оплате в кассе предъявляет карту. Кассир на электронном терминале (ЭТ) вводит сумму покупки в местной валюте, считывает реквизиты карты (с чипа, магнитной полосы или вводит вручную в исключительных случаях). Далее ЭТ связывается с хостом эквайрера, который перенаправляет запрос в МПС, где происходит направление запроса на хост эмитента. Фронтальная программа эмитента анализирует данные запроса и выдает ответ о возможности совершения покупки. Ответ эмитента (или его уполномоченного агента, например, внешнего ПЦ) по тем же каналам обратно доставляется на хост эквайрера, оттуда — на ЭТ, в результате чего распечатывается чек (в двух экземплярах — один для клиента, другой для ТСП). Предположим, что авторизация прошла успешно, код ответа эмитента — ‘00’ (операция разрешена, подтверждено кодом авторизации). Кассир распечатывает две копии чека ЭТ (transaction information document, TID), один из которых клиент забирает с собой вместе с товаром, а второй остается в ТСП. В некий условный момент времени (как правило, в конце рабочего дня) сотрудник ТСП переводит ЭТ в особый режим разгрузки и передает сводный отчет о выполненных операциях на хост эквайрера. Эквайрер обрабатывает принятые из ТСП данные, формируя из них так называемый исходящий файл (outgoing file), содержащий финансовые требования к эмитентам, и направляет его в МПС. Приняв такой файл, МПС формирует из его данных входящие файлы (incoming files) для эмитентов и дает указание расчетному банку списать соответствующую сумму с корсчета эмитента и зачислить ее на корсчет эквайрера (для упрощения мы не рассматриваем многочисленные комиссии, которыми МПС обкладывает банки на стадиях авторизаций и расчетов). Эмитент на основании данных из полученного входящего файла списывает средства со счета держателя карты, эквайрер на основании зачисления на корсчет зачисляет средства на счет ТСП. Цикл расчетов полностью завершен: у клиента товар на руках, денежные средства списаны с его карточного счета, товар продан и возмещение за него получено безналичным путем на расчетный счет ТСП в банке. Чуть иначе проходят операции выдачи наличных денежных средств в банкомате — держатель сам управляет работой банкомата, кассир отсутствует. В качестве подтверждения своей подлинности клиент вводит персональный идентификационный номер (ПИН), чек не подписывается. В авторизационный запрос добавляется пин-блок, шифруемый с помощью алгоритма 3DES, что гарантирует надежность передачи ПИН-блока по каналам связи. В банкоматных операциях VISA часто используется так называемый механизм SMS (single message system), при котором авторизация и клиринг средств осуществляются единовременно. Оформление претензий клиентов В подавляющем большинстве случаев на этом цикл расчетов заканчивается. Но, как мы уже говорили выше, примерно в 0,1 % случаев держатели карт выражают недовольство либо самим фактом или суммой списания, либо качеством оплаченного товара/услуги или прочими аспектами сделки. В таких случаях клиенты направляют свои претензии в банк-эмитент, что, собственно, и служит основанием и началом претензионного цикла. В настоящее время в обеих МПС наблюдается тенденция к минимизации числа кодов причины (reason code, RC) операций опротестования (chargebacks). Большинство RC совпадают по смыслу в VISA и MasterCard, однако есть и уникальные для каждой из систем RC, зачастую даже противоречащие друг другу по своей сути. На текущий момент принципиальным является следующее различие между стадиями претензионного цикла МПС VISA и MasterCard: в MasterCard в общем случае присутствует так называемое арбитражное опротестование (arbitration chargeback), у VISA же эта фаза отсутствует. Таким образом, в классической схеме (до подачи инцидента в арбитраж МПС) последнее слово в MasterCard остается за эмитентом, в платежной системе VISA — за эквайрером. Следует особо подчеркнуть, что претензия держателя карты может и должна базироваться исключительно на выписке по картсчету клиента и ни на чем ином. То есть претензии должны рассматриваться по факту списания денежных средств со счета клиента, а не на основании авторизационного запроса, пусть даже и успешного. Банковская выписка по счету клиента является официальным документом, на основании которого клиент принимает решение о принятии или опротестовании отраженных в ней операций. К сожалению, очень распространенным является ошибочное мнение, что клиент, недовольный завершением/прохождением операции с картой (например, неудачная попытка получения наличных денег в АТМ), должен обратиться к банку-эквайреру, установившему этот банкомат, и попытаться решить свою проблему самостоятельно. Это в корне неверно, так как в общем случае клиент и сотрудники банка могут разговаривать на разных языках и не иметь возможности понимать друг друга (например, представьте, что в отделение российского банка обратился слепоглухонемой гражданин Китая или Японии, или не владеющий ни русским, ни английским языками). Соответственно, клиент должен обращаться только в свой банк-эмитент, с которым у него заключен договор на обслуживание операций по карте. В современных условиях очень многие банки используют SMS-информирование клиентов обо всех авторизациях по их картам. Очень важно при этом грамотно составить текст сообщения по операции, т. е. в телесообщении не должно содержаться слово «списание», так как это вводит клиентов в заблуждение, потому что на самом деле имеет место всего лишь авторизация, причем, возможно, неуспешная. Приемлемым вариантом можно считать формулировку «оплата товаров и услуг», «получение наличных» и т. д. Надо учитывать тот факт, что если авторизация имела место в пятницу вечером, да еще и накануне праздников (положим — первомайских, 30 апреля), и эмитент работает с МПС не напрямую, а опосредованно (через спонсора или внешний ПЦ), то данные о финансовой транзакции могут поступить в банк 5–6 мая, т. е. с задержкой в неделю. В случае новогодних каникул задержка может составлять 2–3 недели, и эмитентам необходимо доводить такие нюансы до сведения своих клиентов — держателей карт и ТСП. Груз проблемы можно существенно снизить, обеспечив выход на работу в праздничные дни сотрудников, ответственных за прием файлов от МПС или процессингового центра. Итак, краткие предварительные выводы: 1) расчетный цикл инициирует эквайрер, направляя в МПС свои финансовые требования в виде исходящего файла; 2) претензионный цикл по операциям с картами инициирует эмитент, направляя в МПС соответствующее сообщение; 3) претензия может быть инициирована держателем карты только на основании списания средств с его счета. Претензионный цикл, будучи, с одной стороны, наименее автоматизируемым (практически в 100 % случаев — это кропотливый ручной труд), с другой стороны, имеет очень жесткие ограничения по времени. И эмитентам, и эквайрерам отводятся совершенно четко и однозначно детерминированные периоды времени для реализации так же четко предписанных (в правилах МПС) действий. Как правило, все моменты времени (даты) привязываются к некой единой шкале (аналог Гринвичского времени, например), именуемой Central Processing Date (CPD) для VISA или Central Site Business Date для MasterCard. Поскольку цикл расчетов по карточным операциям инициирует эквайрер, днем «X», т. е. датой начала отсчета всех операций претензионного цикла, является дата процессирования (представления в сеть) эквайрером исходной финансовой операции, которую легко получить из ARN (acquirer reference number) — 23-значного числа, являющегося уникальным идентификатором, назначаемым эквайером каждому финансовому сообщению по результатам обработки операции с картой МПС. Структура ARN (ARD, acquirer reference data) Пример ARN: 70400016002012345678907 ^ 70-40001-6-002-01234567890-7 • 70 = IRI (Interchange Rate Indicator): показатель правила расчета interchange • 40 001 = 5 последних цифр BIN эквайрера (первая цифра BIN опускается) • 6 = последняя цифра года даты процессирования, 6 (2006 г.) • 002 = порядковый номер дня в году даты процессирования операции эквайрером. Это трехзначное число, на профессиональном жаргоне именуемое «Юлианская дата» (Julian date), и является точкой отсчета в претензионном цикле в обеих МПС. • 01234567890 = Item Sequence Number (присваивается эквайрером для поиска TID) • 7 = контрольная цифра Для более полной картины отметим, что дата процессирования очень жестко связана с датой совершения исходной операции. Датой совершения операции считается либо дата авторизации (если таковая имела место), либо дата, проставленная в слипе (чеке ЭТ). Согласно требованиям МПС, дата процессирования не может отстоять от даты операции более чем на 30 календарных суток. Меньшие сроки первых представлений (first presentment) варьируются для VISA и MasterCard по типам проведения операций и карточных продуктов. Основные этапы претензионного цикла Итак, держатель на основании информации из выписки направляет претензию в банк-эмитент. Согласно правилам МПС претензия может быть оформлена как в виде собственноручно написанного клиентом заявления, так и в виде заполненной со слов клиента и подписанной представителем банка специальной формы (Expedited Billing Dispute Resolution Form). Во многих банках разрешается отправка заявления на опротестование от держателя по электронной почте или факсу. Автор настоятельно рекомендует своим коллегам также требовать от держателей представления заявлений с претензиями в виде оригинальных документов на бумажном носителе, заверенных собственноручной подписью заявителя. Это пригодится во избежание возможных недоразумений, если дело в итоге дойдет до судебного разбирательства по законам РФ между клиентом и банком (а такое, увы, вполне возможно). Немаловажным является аспект регистрации даты принятия претензии: по законам РФ дата подачи претензии определяется по дате почтового штемпеля, что может послужить предметом недовольства держателей в случае существенной задержки доставки письма в банк. Например, в условиях банка по обслуживанию карт прописано, что срок рассмотрения претензий составляет, предположим, 50 дней. Письмо было отправлено 10-го числа (по дате штемпеля об отправке), а поступило в банк-эмитент 15 дней спустя. В результате у банка формально останется всего 35 суток на урегулирование проблемы, что не вписывается в рабочие диапазоны претензионного цикла МПС. При разработке клиентских документов и тарифов следует учитывать такие моменты. По факту получения банком претензии держателя о несогласии с операцией, отраженной в выписке, как правило, держатель информируется о сроках рассмотрения и урегулирования претензии. МПС рекомендуют сотрудникам банка, ответственным за претензионный цикл, поддерживать контакт с заявителем, общаясь по электронной почте. Сотрудникам подразделения, занимающегося претензионной работой по картам, настоятельно не рекомендуется общаться с клиентами по телефону напрямую. В телефонном разговоре можно неверно принять информацию, что, в свою очередь, станет причиной проигрыша претензионного цикла и финансовых потерь эмитента или недовольства держателя. После того как получено собственноручно написанное держателем карты заявление о несогласии со списанием (именно со списанием) средств с его счета, сотрудник подразделения, ведущего претензионную работу, сталкивается с проблемой выбора соответствующего кода причины опротестования. Важность этого момента в том, что эмитенту дается один-единственный шанс на выбор chargeback RC. В случае ошибки второй попытки не будет, игра закончена. В редких случаях у эмитента появляется право направить chargeback с новым кодом причины по получении сопроводительной документации от эквайрера при повторном представлении. В настоящее время принято делить все коды причин опротестований на пять условных категорий (для удобства запоминания они сгруппированы по первым буквам латинского алфавита): • A — authorization-related (относящиеся к авторизациям); • B — (bad) faith (мошенничество, недобросовестность ТСП); • C — cardholder disputes (собственно претензии держателей карт); • D — documentation problems (ошибки в документации); • E — erroneous processing (ошибки процессирования). Итак, получив заявление клиента, эмитент должен сделать первый и самый важный шаг в претензионном цикле, а именно — выбрать код причины опротестования (chargeback reason code, RC). При этом следует учитывать обстоятельства дела (как проходила операция, режим считывания данных с карты, card imprint) и суть претензии, наличие и содержание изложенных клиентом обстоятельств дела (проф. true nature of dispute). При этом важно соблюсти все требования, предъявляемые платежной системой к эмитенту при выставлении того или иного кода опротестования. Например, если в описании кода сказано, что перед опротестованием клиент должен связаться с торговой точкой и предпринять попытку решить вопрос самостоятельно, то банк обязан рекомендовать клиенту это сделать, так как в случае если разбирательство дойдет до арбитража МПС, факт обращения клиента в торговую точку и результат этого обращения будут учитываться платежной системой при принятии окончательного решения по спорной ситуации. Работа с сопроводительными документами В некоторых случаях эмитенту правилами МПС предписано сначала обязательно выполнить нефинансовую операцию претензионного цикла — запрос копии документа (retrieval request/RR, request for copy/RFC). Как правило, запрос документов необходимо выполнить в случаях, когда подразумевается мошенничество или неблагонадежность торговой точки, в которой произошла спорная операция (преимущественно для карт МПС VISA). Само собой, по банкоматным и другим операциям, где клиент вводит ПИН и/или не подписывает чек (операции в Интернете, заказ товаров и услуг по телефону — МО/ТО операции и прочие Non Face-To-Face), эквайрер не может предоставить копию терминального чека. В этом случае эквайрер имеет возможность предоставить Substitute Transaction Receipt/Substitute Draft, список полей которых строго регламентирован правилами МПС. Запрос копии TID (transaction information document) преследует две цели: с одной стороны, он позволяет эмитенту предъявить клиенту — заявителю претензии копию полученного документа для анализа и возможного отказа от оспаривания операции. С другой — это сигнал эквайреру о том, что еще не поздно добровольно направить в сеть кредитовую операцию, отменяющую спорную. Это позволит избежать опротестования, поскольку число входящих операций chargeback по каждому эквайреру анализируется МПС и может привести к штрафным санкциям в отношении эквайреров при превышении определенного порогового значения, выражаемого в процентном отношении. Получив входящее сообщение RR/RFC, эквайрер имеет ровно 30 календарных дней на его удовлетворение (fulfillment). Это означает, что не позже чем на 30-й день с даты процессирования RR/RFC эквайрер должен направить в сеть МПС сканированную копию соответствующего TID либо документ, его заменяющий (Substitute Transaction Receipt/ Substitute Draft). Важный момент: в случае корректного удовлетворения эквайрером запроса копии для эмитента срок выставления опротестования (chargeback) отсчитывается не от даты процессирования исходной операции, а от даты удовлетворения копии. В случае если же эквайрер ничего не ответит на запрос копии, у эмитента может появиться право выставить операцию опротестования с соответствующим кодом причины (для карт МПС VISA). В настоящее время наблюдается тенденция к сокращению числа RC-опротестований, требующих первоначальный запрос копии, так как в случае повторного представления эквайрер все равно обязан будет прислать сопровождающие документы, подтверждающие правомочность списания денежных средств по спорной операции. В платежной системе VISA весь обмен сопроводительной документацией (как по операциям опротестования, так и по запросам копий) ведется через веб-интерфейс, на служебном сайте VISA OnLine (VOL), в котором есть подраздел VROL (VISA Resolution OnLine). Важный нюанс: для корректной работы VROL необходимо включить (разрешить) всплывающие окна в браузере. На этом же сайте имеется сопроводительная документация о том, как работать с изображениями. Согласно правилам документы должны быть представлены в виде черно-белых сканированных изображений формата. tif с разрешением 200 dpi. В платежной системе MasterCard имеется несколько возможностей для работы с сопроводительной документацией — это MasterCom (отдельная рабочая станция), HubSite (отправка документов по факсу) и сервис OnMail, который можно подключить бесплатно на сайте Mastercardonline.com. Работа через MasterCom целесообразна только тогда, когда ежемесячное число претензий (в терминах количества пересылаемых изображений сопутствующих документов по эмиссии и эквайрингу) банка составляет не менее 2000 единиц, так как этот сервис не бесплатен. Работа же по факсу либо через OnMail удобна при небольшом количестве претензий, требующих отсылки/приема сопроводительной документации. При работе (отправке в сеть МПС финансового сообщения chargeback) с операциями, требующими наличия сопроводительной документации, необходимо всегда устанавливать соответствующее значение (1) в поле наличия документов (document indicator). Игнорирование обязательства/нарушение сроков предоставления сопроводительной документации является фатальной ошибкой, ведущей к проигрышу претензионного цикла как эмитентом, так и эквайрером. Очень часто претензионная работа по конкретным ситуациям вообще заканчивается на этапе запроса копии/ответа на него. Например, эквайрер, получив входящий запрос, связывается с ТСП, получает ответ об отсутствии чека и направляет в сеть операцию, аннулирующую исходную (reversal/refund/credit). И наоборот, держатель карты, получив документ со своей подписью, вспоминает обстоятельства операции и отказывается от своей претензии. Временные диапазоны претензионного цикла Все операции претензионного цикла очень жестко детерминированы по времени. Начиная с момента (даты) совершения сделки, на эмитентов и эквайреров налагаются совершенно четкие требования в части обработки соответствующих финансовых сообщений, которые весьма схожи для платежных систем VISA и MasterCard, но все же имеют некоторые существенные отличия. Так, по правилам платежной системы MasterCard электронные транзакции должны быть представлены в сеть не позже, чем на седьмой календарный день с даты авторизации, по правилам VISA — по картам VISA Electron — не более шести суток, по банкоматным операциям — не более семи суток, по остальным операциям — не более 30 суток. Операции, оформленные с использованием импринтера, — в срок не более 30 суток для обеих МПС. В случае нарушения этих сроков эмитенты имеют право опротестовать такие операции с RC ‘Late Presentment’ (позднее представление). Однако несмотря на это право обе платежные системы настоятельно не рекомендуют эмитентам выставлять chargeback с таким RC, если статус счета карты позволяет списать средства по операции, даже представленной эквайрером с запозданием. Получив претензию держателя о несогласии со списанием средств с картсчета, эмитент для направления в сеть МПС операции опротестования имеет четко определенные временные рамки, зависящие от кода причины опротестования. Минимальные сроки составляют от 45 календарных дней (категория A MasterCard) и до 540 суток (MasterCard). В подавляющем большинстве случаев эмитенту отводится 120 календарных дней на выставление операции опротестования. В МПС VISA большинство кодов причин chargeback имеют сроки 75 и 120 календарных дней. В обеих платежных системах эквайрер имеет ровно 45 суток на выставление в сеть МПС повторного представления (second presentment, representment) с даты процессирования входящего chargeback. В платежной системе MasterCard последний ход в претензионном цикле остается за эмитентом: у него есть право на так называемый арбитражный chargeback в течение 45 суток с даты процессирования эквайером повторного представления, в МПС VISA у эмитентов такого права в настоящее время нет. В обоих случаях, если в результате «классического» претензионного цикла (операция опротестования — повторное представление — (арбитражный chargeback для MasterCard)) оппонентам не удалось разрешить спорную ситуацию, эмитент или эквайрер имеют право подать иск в арбитражную комиссию (компетентный орган МПС в части претензионного цикла). На это и эмитенту и эквайреру обеими МПС отводится 45 календарных дней с даты процессирования последней операции ((арбитражный) chargeback эмитента/повторное представление эквайрера). Non-compliance и Pre-Compliance. Good Faith Letter Платежными системами предусмотрено множество шаблонных, заранее предопределенных RC для опротестования, однако все же иногда бывают случаи, когда ни один из кодов не подходит к ситуации, изложенной в претензии клиента, но есть основание полагать, что ТСП или эквайрер нарушили правила МПС при оформлении операции с картой. В таком случае эмитент имеет право на процедуру Compliance. Все действия, связанные с ситуацией несоответствия ТСП требованиям МПС, тоже жестко детерминированы в плане привязки по времени к дате процессирования эквайрером исходного (оригинального) представления. Также в ведении сотрудников, занимающихся претензионной работой, находится рассмотрение так называемых нетранзакционных претензий клиентов. Это могут быть жалобы на отказ в приеме карты в конкретном ТСП, дискриминационная практика и прочие нарушения, допускаемые торговыми точками при обслуживании банковских карт. В случаях когда у эмитентов или эквайреров уже нет технической возможности работать в рамках претензионного цикла (например, уже истек допустимый срок выставления chargeback), существует возможность попытаться решить проблему, направляя оппоненту так называемое «письмо доброй воли» (Good Faith Letter) с изложением обстоятельств спорного дела и просьбой добровольно вернуть средства или откорректировать ситуацию иным способом. Следует отметить, что для спорных ситуаций между российскими банками всегда существует возможность урегулирования коллизий с использованием механизмов гражданского права РФ, исковой срок давности в котором значительно превышает сроки претензионного цикла МПС и составляет 3 года. Ежедневные процедуры претензионного цикла Поскольку все операции/стадии претензионного цикла осуществляются в карточном бэк-офисе, ежедневные действия для эмитентов и эквайреров состоят из нижеследующих рутинных процедур. Для эквайреров — мониторинг/выявление входящих (поступивших из сети МПС) запросов на предоставление копий, операций опротестования, случаев Pre-compliance/Compliance и арбитражных chargeback (MasterCard); по мере необходимости — направление в сеть финансовых сообщений повторного представления и удовлетворение входящих запросов копий. Для эмитентов — генерация/направление в сеть МПС исходящих запросов копий документов по операциям, операций опротестования (chargeback, arbitration chargeback для MasterCard) и Pre-compliance/ Compliance, мониторинг/выявление входящих ответов на запросы копий документов (RFC fulfillment) и повторных представлений эквайреров. Прежде чем направлять операцию опротестования (chargeback) в сеть МПС, уполномоченному сотруднику банка-эмитента необходимо выполнить следующие мероприятия: • убедиться в том, что по спорной операции не было отмены (или кредитовой транзакции) со стороны эквайрера; • выполнить операцию запроса копии документа в случаях, когда это является необходимым условием выставления chargeback; • в случаях когда запрос копии TID является необходимым условием chargeback, следует обязательно выждать соответствующее время, отведенное эквайреру для удовлетворения запроса, прежде чем выставлять chargeback; • тщательно проверить соответствие выбранного RC преследуемой цели опротестования, а также наличие всей необходимой сопроводительной документации. Ошибки могут обойтись очень дорого и стать причиной недействительности chargeback; • операции опротестования, не требующие сопроводительной документации, могут быть усилены, если приложить документы, подтверждающие правомерность chargeback; • необходимо всегда заполнять вопросник VISA в случаях, когда прилагаются дополнительные сопроводительные документы; • при работе с вопросником VISA убедитесь, что все данные указаны точно и заполнены все необходимые поля; • необходимо сопровождать chargeback документами строго в течение отведенных временных рамок; • передача всех сопроводительных документов претензионного цикла должна осуществляться только через определенные МПС каналы (VROL/MasterCom/HubSite/OnMail). Несоблюдение этого условия служит причиной потери эмитентом права на chargeback и арбитраж; • важно задействовать в работе ресурсы службы клиентской поддержки/контакт-центра банка для уточнения сути претензии клиента при разговоре с держателем карты; • желательно установить с держателем карты контакт через общение по электронной почте с целью минимизации расходов и задержек, связанных с традиционной почтой; • выполнение всех предварительных действий, являющихся необходимыми условиями для соответствующих кодов причин опротестования: например, закрытие счета, постановка карты в стоп-лист, направление в МПС уведомления о факте мошенничества, и т. д. — является критичным; • убедиться в том, что все документы, направляемые от имени эмитента и держателя карты, переведены на английский язык. * * * Претензионный цикл по операциям с банковскими картами МПС VISA и MasterCard является одним из наиболее трудных, сложных и интересных из существующих аспектов банковской деятельности. Здесь требуются высочайшая квалификация, отличное знание английского языка и правил МПС, аналитическое мышление, а кроме того — усидчивость, внимательность и стрессоустойчивость. Для успешного ведения претензионного цикла банкам необходимо разработать и использовать в ежедневных процедурах регламенты обслуживания претензий клиентов (как по эмиссии, так и по эквайрингу), в которых должны быть четко детерминированы процедуры и сроки приема претензий, их рассмотрения и урегулирования в соответствии с актуальными правилами МПС и федеральным законодательством. Глава 5 Обеспечение безопасности процессингового центра Физическая безопасность бюро персонализации Прежде всего следует оговорить такой существенный вопрос, как разделение понятия «услуги процессинга операций по картам» (маршрутизация, авторизация и клиринг) и собственно «персонализация карт». Как правило, все независимые процессоры (в терминологии международных платежных систем MSP, member service provider) предлагают целый пакет услуг, включающий как процессинг, так и персонализацию. Однако требования международных платежных систем (МПС) в части физической безопасности относятся именно к бюро персонализации (БП). Немаловажно отметить, что если банк-спонсор оказывает своим банкам-агентам (аффилиатам) спонсорские услуги, включающие персонализацию карт, к помещениям персонализации банка спонсора МПС предъявляют требования, аналогичные требованиям к независимым бюро персонализации, сертифицированным МПС. Напомним, что всех вендоров, предоставляющих услуги, связанные с банковскими (пластиковыми) картами, можно разделить на следующие большие группы: 1) изготовители карт (Manufacturers); 2) бюро персонализации (БП или third-party personalizers, TPP); 3) провайдеры авторизации и клиринга или независимые процессоры (MSP, member service provider); 4) провайдеры хранения, маршрутизации и обработки данных (DSE, Data Storage Entity, PG — Payment Gateways,) и пр. Определение внешнего периметра Прежде всего следует оговорить, что МПС осуществляют реальную проверку помещений бюро персонализации (БП), высылая специально обученных сотрудников для инспекции на месте. Обычно процедура занимает 2–3 рабочих дня, все расходы оплачивает само БП. Перед тем как вызывать проверяющих, необходимо направить в МПС план расположения БП и заполненный вопросник на английском языке. Вопросник включает такие сведения, как адрес БП, удаленность постов милиции (полиции) и пожарных, к нему прилагается план расположения (можно нарисованный от руки). Согласно концепции МПС физическая безопасность БП разделяется на условные уровни, которые реализованы по принципу «матрешки»: для проникновения в святая святых БП — хранилище — необходимо последовательно пройти через все уровни. Это следующие объекты: 1) внешний периметр (забор или ограда); 2) вход в здание внутри внешнего периметра; 3) вход в помещения БП внутри здания; 4) вход в зону повышенной безопасности (high security area/zone, HSA/HSZ) в пределах БП; 5) вход в хранилище внутри HSZ/HSA. Под внешним периметром обычно подразумевается забор, который должен быть внешней границей БП. Это требование особенно важно для вендоров, являющихся заводами — изготовителями пластика, имеющими у себя соответствующее оборудование и технологические линии именно по производству неэмбоссированного пластика. Поскольку заводы — изготовители пластика производят его в больших количествах, необходимо продумать логистику ввоза/вывоза готовых тиражей пластиковых карт (в том числе, неэмбоссированных) грузовыми автомобилями. В таких случаях необходимо наличие ворот, проходной, бюро пропусков именно на уровне внешнего периметра, а также зоны для загрузки и выгрузки крупногабаритных грузов (GTT, goods/tools trap). Допускается, что внешним периметром БП является само здание. В таких случаях количество уровней безопасности сокращается с 5 до 4 (отсутствует первый, внешняя ограда). Забор или стена внешнего периметра должны быть минимум 2 м высотой. Ворота, ведущие внутрь территории БП, должны контролироваться и управляться из помещения управления безопасностью (SCR, security control room, далее — Мониторная). Ворота внешнего периметра должны быть постоянно закрыты полностью, исключая время впуска/выпуска автомобилей. Внешняя стена здания может считаться периметром, если она препятствует несанкционированному проникновению внутрь. Необходимо вести письменную регистрацию событий, связанных с отключением сигнализации, отражая дату, время, сотрудников, которым необходим доступ, и цели получения доступа к оборудованию. Контейнеры, находящиеся на территории БП и содержащие отходы (включая уничтоженные пластиковые карты), должны располагаться на охраняемой и защищенной от посторонних территории, гарантируя невозможность несанкционированного доступа к их содержимому. Все точки входа на территорию БП должны быть обрудованы: • системой контроля доступа (кард-ридер или биометрия), автоматически активирующей запирающий механизм дверей • системой прохода mantrap («ловушка») со взаимно блокирующимися дверьми, обеспечивающей проход строго по принципу «один за одним» (one by one) для посетителей. Требования к зданию БП Здание БП должно располагаться в районе, обслуживаемом органами общественной и пожарной безопасности, причем время реагирования должно быть практически мгновенным. БП должно быть также оборудовано системой обнаружения вторжения. Система обнаружения вторжения должна быть оборудована резервным источником питания, гарантирующим работу минимум 48 часов в случае отказа основного питания. Все внешние точки входа/выхода на территорию БП, включая грузовые и служебные, должны быть оборудованы смотровым глазком, бронированным стеклом или внешней камерой наблюдения, позволяющими сотрудникам охраны визуально контролировать прилегающие территории. Все внешние входные и выходные двери здания БП, включая запасные, должны быть: • оснащены системой датчиков, соединенных с сигнализацией; • постоянно заперты или контролируемы электронным способом; • усилены, где это возможно, для предотвращения вторжения (стальным листом или материалом эквивалентной прочности, в соответствии с местными требованиями по пожарной и гражданской безопасности). Все точки доступа в здание с крыши должны быть закрыты на замок или иным образом и постоянно управляться изнутри, за исключением случаев проведения необходимых технических работ. Все точки входа/выхода c крыши должны быть оборудованы контактными датчиками с контролем доступа. Любые окна (потолочный свет), люки, каналы вентиляции и системы охлаждения, имеющие выходы за пределы здания, должны быть заварены металлической решеткой, сеткой или металлическими перегородками, делающими невозможным несанкционированное проникновение внутрь. Обозначения и вывески на здании не должны явно или скрытно обозначать, что в нем находится центр персонализации, а также что в нем обрабатываются конфиденциальные данные или есть иная связь с пластиковыми картами. Процедуры доступа в помещения БП Главный вход в БП должен приводить посетителей в тамбур (зона mantrap, которую мы уже упоминали выше) или зону приема, которые не допускают никакого физического контакта между посетителями и принимающим сотрудником или сотрудником охраны. В этой зоне посетители подлежат визуальной проверке; здесь же им выдаются бэджи и карты доступа для прохода на территорию БП. Зона приема — пространство, предназначенное для ограниченного доступа посетителей во время их регистрации у принимающего сотрудника или в ожидании доступа для получения или передачи карт/заготовок. Тамбур — помещение, оборудованное парой взаимно блокирующихся (interlocked) дверей. Любая из дверей тамбура может открыться только при условии закрытости другой двери. Допускается объединение помещений зоны приема и тамбура в одно. Одновременное открытие обеих дверей тамбура возможно только при наступлении чрезвычайных событий (пожар, общая тревога, военные действия и прочее). Внешняя дверь тамбура должна находиться в зоне видимости камеры наблюдения. Эта дверь открывается либо по карте доступа системы контроля доступа (СКД) для прохода сотрудников, либо по команде из мониторной для посетителей/клиентов. Попав в тамбур, посетитель или сотрудник оказывается в замкнутом помещении под наблюдением внутренней видеокамеры, все события регистрируются СКД. Сотрудники обычно сразу проходят на свои рабочие места, открывая вторую дверь тамбура своим пропуском (картой доступа СКД). Посетители же и клиенты оказываются в своеобразной ловушке, у них есть возможность общаться с сотрудником охраны, находящимся за зеркальным стеклом (или однонаправленной видимости) для уточнения цели визита, предъявления документов и получения карты гостя и бэджа посетителя. Выйти из тамбура можно либо обратно (по карте для сотрудников или ожидаемых посетителей; по команде из мониторной — для нежелательных посетителей), либо пройти на территорию БП (по карте сотрудника или посетителя). Пока в тамбуре кто-то присутствует, двери не могут открываться по запросу снаружи (по сигналу с внешнего картридера СКД). В помещения БП допускается проход посетителей, обслуживающего и технического персонала в производственные помещения при условии непрерывного сопровождения уполномоченным сотрудником в течение всего времени пребывания на территории бюро. Сотрудники БП могут проходить в производственные помещения через основной вход или через специальный проход только для сотрудников при условии, что проход в зону повышенной безопасности оборудован тамбуром или шлюзом, электронным методом регистрирующим и контролирующим доступ на индивидуальной основе. Руководители БП должны разработать и обязать сотрудников использовать письменные инструкции по безопасности контроля доступа в служебные помещения. Положения этих инструкций должны четко разъясняться и комментироваться в ходе семинаров по безопасности (не реже чем раз в полгода). Каждые полгода эти инструкции должны анализироваться и обновляться с целью обеспечения их соответствия текущим требованиям и условиям ведения бизнеса. Пройдя тамбур, посетители и сотрудники попадают в комнату ожидания. Сотрудники проходят на свои рабочие места, используя карты доступа СКД, посетители же ожидают своей очереди — передать заготовки карт, получить готовые, обменяться документами и др. Выход из комнаты ожидания возможен либо по карте доступа, либо по команде из мониторной; все события в этом помещении регистрируются камерами наблюдения. Обычно комната ожидания (reception area) сообщается (имеет общие двери) с нижеследующими помещениями БП: • тамбур/зона приема; • помещение приема/передачи (goods/tools trap, GTT); • шлюз для прохода в зону повышенной безопасности (HSA/HSZ); • прочие помещения БП (например, кабинеты руководства, буфет, туалеты, комнаты сотрудников, не работающих в зоне повышенной безопасности). Помещение приема/передачи (goods/tools trap, GTT) GTT служит своеобразным интерфейсом для общения посетителей (клиентов, курьеров) с сотрудниками БП. Основное назначение этого помещения состоит в том, чтобы предотвратить физический контакт между сотрудниками БП и посетителями. Для этого используется уже известный механизм — взаимно блокирующиеся двери и СКД. Возможны два варианта построения GTT: 1) строгий — это два помещения, 3 двери, посетители и сотрудники БП могут находиться каждый только в своих помещениях GTT; 2) более мягкий — одно помещение, две двери (взаимно блокирующиеся), а также использование набора правил обработки событий, именуемого dead man logic: • если в помещении никто не зарегистрирован (СКД), но от датчиков поступил сигнал о движении, должна сработать тревожная сигнализация; • если в помещении зарегистрирована хотя бы одна карта, но нет движения в течение некоторого наперед заданного промежутка времени, также должна сработать сигнализация. Все двери на участке приема/передачи, включая внешнюю, среднюю и внутреннюю двери, должны управляться электронным способом, взаимодействуя друг с другом, т. е. во время открытия любой двери две остальные должны быть надежно закрыты и контролируемы посредством СКД. Необходимо установить систему переговоров («интерком») в обеспечение возможности отождествления прибывающих клиентов. Стена, отделяющая этот участок от HSZ, должна содержать бронированное окно для обмена документацией. Сотрудники охраны или уполномоченные сотрудники БП могут управлять только внешней дверью GTT — после успешной идентификации прибывшего клиента и уведомления соответствующих сотрудников БП о предстоящей операции приема/передачи карт. Две другие двери помещения, средняя и внутренняя, должны контролироваться либо только сотрудниками HSZ, либо ими же совместно с сотрудниками охраны (мониторной) посредством удаленного управления. Особенно важно, чтобы сотрудники охраны не имели возможности единолично управлять работой дверей GTT. С целью предотвращения несанкционированного доступа в зоны повышенной безопасности через помещения участка приема/передачи зона раскладки и упаковки должна быть оборудована внутренним датчиком движения, блокирующим возможность открытия внутренней и средних дверей в случае обнаружения движения в пределах этого помещения. Согласно требованиям МПС в GTT должны быть установлены камеры: 1) внешняя, покрывающая зоны внешней двери участка и разгрузки/ погрузки и прилегающей к ней территории; 2) две камеры внутри зоны упаковки, охватывающие переднюю и заднюю части прибывшего транспорта (для GTT заводов — производителей пластика); 3) одна камера внутри зоны упаковки, передающая изображения операций загрузки/разгрузки; 4) изображения, захваченные камерами, должны передаваться в мониторную, давая возможность сотрудникам охраны контролировать процессы разгрузки/погрузки и надлежащее поведение сотрудников БП; 5) эти же изображения также должны передаваться на монитор, расположенный возле бронированного окна в зоне упаковки, предоставляя сотрудникам HSZ возможность просматривать операции загрузки/погрузки. Описание процедуры приема/передачи карт Лицо, получающее карты, должно быть надлежащим образом идентифицировано сотрудниками охраны в процессе получения доступа на территорию БП. Для того чтобы осуществить передачу или прием материалов, необходимо письменное распоряжение руководителя БП. Клиент (курьер, осуществляющий транспортировку карт и ПИН-конвертов) заранее уведомляет контактное лицо в БП о своем планируемом визите с указанием ФИО и даты/времени визита. Сотрудники охраны БП уведомляют уполномоченного сотрудника HSZ о необходимости произвести прием/передачу груза. Курьер проходит через тамбур в помещение ожидания и в порядке очереди проходит в помещение приема/передачи (GTT). Сотрудники охраны разблокируют внешнюю дверь GTT, предоставляя клиенту возможность открыть ее и пройти в помещение. Когда посетитель (курьер) проходит внешнюю дверь GTT, сотрудники охраны из мониторной блокируют внешнюю дверь. Далее сотрудники БП разблокируют среднюю дверь, предоставляя курьеру доступ к участку упаковки, в котором размещен груз, готовый к передаче (отгрузке). Сотрудники БП через бронированное окно передают курьеру необходимые сопутствующие документы и забирают подписанную им копию, подтверждающую факт получения груза. Посетитель под наблюдением камеры пересчитывает полученные карты и ПИН-конверты и забирает их вместе с сопроводительными документами. Далее посетитель покидает помещение GTT, сотрудник БП блокирует среднюю дверь, а сотрудник охраны разблокирует внешнюю дверь, позволяя посетителю покинуть участок приема/передачи и выйти в помещение ожидания. Все вышеописанные действия должны регистрироваться системами видеозаписи посредством камер слежения. Требования к производственным помещениям (HSZ) БП Производственными помещениями называются участки БП, в которых осуществляются следующие виды деятельности с картами МПС и связанными с ними материалами и компонентами: 1) изготовление (для сертифицированных заводов-производителей) заготовок карт; 2) персонализация карт: эмбоссирование и кодирование магнитной полосы; 3) сортировка и раскладка карт и ПИН-конвертов (компоновка продукции); 4) хранение заготовок и персонализированных карт банков — клиентов БП; 5) передача карт и ПИН-конвертов клиентам; 6) внедрение микропроцессоров; 7) любая комбинация вышеперечисленных видов деятельности. К этим помещениям МПС предъявляют повышенные требования в части безопасности. В них ни при каких условиях не разрешен несанкционированный доступ. Необходимо, чтобы все карточные продукты и их компоненты, хранящиеся в таких помещениях, были постоянно защищены посредством известных устройств безопасности, контролем доступа и применением строгих мер двойного контроля и процедур аудирования. МПС сертифицируют БП или здание на производство карт (для производителей-заводов) при условии, что контролирующие устройства доступа позволяют однозначно отслеживать перемещения персонала, анализировать протоколы доступа к компонентам карточных продуктов, постоянное разделение обязанностей сотрудников, независимость заданий и физическое разделение между несколькими зонами повышенной безопасности. Базовые принципы доступа в производственные помещения БП: • доступ в помещения зоны повышенной безопасности (HSZ) должен быть разрешен только для лиц, которым это действительно нужно с целью выполнения производственных задач; • доступ и проведение работ во всех помещениях зоны возможны только как минимум двумя сотрудниками (dual control). Особо следует отметить, что в составе БП имеется еще одно помещение, не являющееся производственным, — это комната охраны, или так называемая мониторная, которую мы уже упоминали выше. К помещению мониторной МПС предъявляет жесткие требования по безопасности, не менее строгие, чем к хранилищу БП (об этих требованиях будет рассказано ниже). МПС рекомендуют БП иметь следующий минимальный набор производственных помещений в зоне повышенной безопасности HSZ: 1) хранилище (Vault); 2) серверная (Server room); 3) эмбоссерная (Embossing room); 4) комната генерации ключей (Keys room)[105 - Генерацию ключей можно осуществлять в серверной.]; 5) комната распечатки ПИН-конвертов (PIN-mailer room); 6) комната уничтожения (Destruction room); 7) помещение подготовки к приему/передаче: раскладка и упаковка (package room). Все глухие окна в зоне должны быть из небьющегося стекла либо оборудованы стальными решетками; все открывающиеся окна в Зоне должны быть оборудованы контактными датчиками и металлической сеткой, препятствующей передаче материалов из зоны за пределы здания. Каждое помещение зоны должно быть оборудовано датчиком движения, соединенным с системой сигнализации. Все двери помещений зоны должны быть оснащены датчиками и оборудованы доводчиками, звуковыми сигналами, активизирующимися автоматически при открывании двери более чем на 30 с. Доступ к помещениям зоны должен быть только через шлюз или турникет либо другие устройства, уверенно гарантирующие строгое исполнение требования функциональности «проход по одному человеку» (one-by-one) и управляемые посредством логического подхода, биометрии или иными устройствами, обеспечивающими адекватный уровень безопасности. Генерацию ключей можно осуществлять в серверной. Активация входных/выходных дверей датчика СКД должна осуществляться картридером совокупно с работой ПО СКД, гарантирующим невозможность повторного прохода (anti pass-back) — если карта СКД зарегистрирована внутри помещения, невозможно по этой же карте еще раз войти туда же, сначала необходимо выйти. Картридеры должны быть постоянно соединены с сервером, регистрирующим и протоколирующим все события с картами. Факты прохода через устройства контроля доступа и соответствующие им события ПО могут быть зарегистрированы сервером СКД только в конце цикла доступа входа/выхода. Цикл доступа в производственные помещения должен состоять по меньшей мере из следующих действий: 1) активация внешнего картридера; 2) открытие и закрытие первой двери шлюза или входа к турникету; 3) регистрация присутствия человека в шлюзе или помещении с управляемым турникетом; 4) открытие и закрытие второй двери шлюза/помещения с турникетом; 5) регистрация отсутствия человека в шлюзе или помещении с управляемым турникетом; 6) регистрация на сервере факта прохода человека и генерация события, гарантирующего невозможность повторного прохода (anti pass-back). Понятие и описание шлюза Шлюз — это заводская конструкция (в просторечии — «стакан»), предназначенная для обеспечения прохода с соблюдением режимов: 1) проход по одному человеку (one-by-one); 2) невозможность повторного прохода (anti pass-back); 3) контроль веса и объема проходящих лиц (невозможность пронести одним человеком другого на закорках под одеждой) (anti piggy-backing). Согласно действующим требованиям МПС в шлюзе должна быть реализована так называемая мультифакторная аутентификация (карта СКД + биометрия: отпечаток пальца, сканирование радужной оболочки глаза, взвешивание). Требования к помещениям персонализации и распечатки ПИН-конвертов Участки персонализации и рассылки предназначены исключительно для эмбоссирования, кодирования, персонализации карт, внедрения и персонализации микропроцессоров, а также для рассылки продуктов МПС. Для выполнения данных задач могут использоваться отдельные помещения; в этом случае к каждому из них предъявляются следующие требования безопасности. Эти помещения или участки должны быть полностью изолированы и постоянно закрыты, за исключением только доступа и выхода уполномоченных сотрудников. Двери в эти помещениях не должны вести за пределы здания, за исключением пожарных выходов, оборудованных сигнализацией. Необходимо наличие видеокамер наблюдения во всех таких помещениях. Помещение, в котором производится вычисление ПИНов, их генерация и вывод на печать (ПИН-мэйлерная), должно быть отдельным и располагаться в зоне повышенной безопасности. Дверь в это помещение должна быть оборудована СКД на вход и выход, наряду с системой обеспечения невозможности двойного прохода, управляемой сервером, регистрирующим все перемещения. Дверь должна быть оборудована доводчиком, автоматически ее закрывающим. В случае открытия двери более чем на 30 секунд автоматически должен срабатывать тревожный звуковой сигнал. Программное обеспечение (ПО) СКД должно быть реализовано таким образом, чтобы гарантировать проход в помещение строго один за другим и только для уполномоченных сотрудников. Помещение должно быть оборудовано внутренним датчиком движения, который должен активировать систему сигнализации каждый раз, когда последний сотрудник покидает помещение. Программный счетчик, регистрирующий карты СКД на вход и выход, должен протоколировать события с картой по окончании каждого цикла доступа (активация по считыванию карты, открытие и закрытие двери). Необходимо настроить логику ПО СКД в соответствии с набором правил dead man logic. В обоих случаях тревожным оповещением должен быть местный звуковой сигнал. Дополнительно по окончании рабочего времени необходимо направлять сигнал во внешнее охранное подразделение. Необходимо наличие внутренней видеокамеры наблюдения, постоянно соединенной с системой видеозаписи. Поле зрения камеры должно охватывать зону входа в помещение и общий вид производимых действий внутри его. Эта камера не должна иметь возможности изменения фокусировки и масштабирования во избежание попадания конфиденциальных данных, таких как номера и сроки действия карт, в поле зрения сотрудников охраны/SCR. Сотрудники БП, вовлеченные в процедуры генерации, печати и раскладки ПИН-конвертов, не должны привлекаться к работам, связанным с персонализацией, кодированием и эмбоссированием соответствующих карт. Серверная (комната генерации ключей) Требования безопасности к серверной (комнате генерации ключей) аналогичны требованиям к помещению персонализации/распечатки ПИН-конвертов. Хранилище БП Главное хранилище является объектом высшей категории безопасности всего БП. Стены хранилища должны быть изготовлены из армированного бетона (минимум 15 см) или материалов, обеспечивающих аналогичные прочность и стойкость. Ни одна из стен хранилища не должна быть внешней стеной здания. Наличие окон не допускается. Хранилище должно быть оборудовано внутренними датчиками движения и достаточным количеством вибродатчиков, способными обнаруживать и регистрировать сотрясения стен, пола и потолка. Необходимо наличие видеокамеры наблюдения. Хранилище должно быть оборудовано основной усиленной сталью дверью, оснащенной механизмом из двух механических или электронных замков, требующим физического одновременного присутствия минимум двух человек для получения доступа. Открытие двери хранилища должно всегда осуществляться только двумя сотрудниками; необходимо наличие минимум двух замков и хранителей ключа от двери хранилища. Хранилище должно быть постоянно закрыто на дверь и на замок — либо на основную дверь, либо на облегченный дневной вариант («day gate»), за исключением случаев, когда сотрудникам необходимо получить туда доступ по служебной необходимости. Дверь должна быть оборудована автоматически закрывающим ее доводчиком, и в случае ее открытия более чем на 60 с должен автоматически срабатывать тревожный звуковой сигнал — локальный и в мониторной. Каждый факт доступа в хранилище и работа с хранящимися в нем материалами должны регистрироваться в журнале посещений хранилища и подтверждаться минимум двумя сотрудниками. Записи журнала посещения хранилища должны периодически подвергаться ревизии. Если хранилище оборудовано основной стальной дверью и облегченным дневным вариантом, МПС настоятельно рекомендует установить два картридера СКД (на вход и на выход) или комбинацию картридера и кодового замка, работающих согласованно и на расстоянии минимум двух метров друг от друга (слева и справа от дневной двери хранилища). Цель установки такого варианта контроля доступа — возможность активации дневной двери с одновременным блокированием возможности сотрудникам миновать необходимую процедуру доступа только вдвоем. Ключи от двери хранилища должны постоянно храниться в портативном сейфе (secure box) в мониторной под надзором сотрудников охраны или выделенного ответственного сотрудника БП. Ключи доступа к хранилищу или ключи доступа к любой части помещений зоны должны храниться под двойным контролем, это означает, что любые действия по передаче ответственности должны регистрироваться в особом журнале регистрации передачи ключей с указанием необходимых сведений и заверяться подписями двух сотрудников — передающего ключ и принимающего его. Хранители ключей производственных помещений не могут иметь доступа в помещения зоны. При использовании хранилища для хранения нефинансовых карточных продуктов необходимо разделить его на части в обеспечение физического отделения конфиденциальных банковских материалов и данных (таких, как готовые карты, дискеты, ПИН-конверты, технические спецификации и задания на персонализацию карт) от прочих. МПС настоятельно рекомендует разделить хранилище на блоки для отдельного хранения различных продуктов, незаконченных пакетов работ, карт, ожидающих передачи. Также настоятельно рекомендуется примененять тележки-контейнеры («trolley containers») для хранения незаконченных дневных объемов карт. Все коробки с картами должны быть опечатаны, на ящиках необходимо размещать наклейки с указанием типа продукта, уникального идентификатора, количества карт, а также даты последующей необходимой проверки (пересчета карт). Содержимое наклеек должно быть видимым через опечатывающую ящики прозрачную клейкую ленту. Помещение для уничтожения карт и прочих материалов Операции по уничтожению карт должны производиться под двойным контролем в отдельном выделенном помещении, расположенном в зоне. Дверь в это помещение должна быть оборудована датчиками входа/выхода, СКД должна обеспечивать невозможность повторного входа и регистрировать все события на центральном сервере. Дверь должна быть оборудована доводчиком. В случае открытия двери более чем на 30 с должен автоматически включаться звуковой сигнал. СКД должна гарантировать возможность прохода в помещение только уполномоченных сотрудников; помещение следует оборудовать датчиками объема и движения, автоматически включающимися при выходе последнего сотрудника. Обязательно наличие видеокамеры, регистрирующей вход в комнату и обзор процесса уничтожения карт. Запасный выход, датчики, освещение, контроль периметра В рабочее время сигнал от запасных выходов должен поступать либо в мониторную, либо на пульты пункта обслуживания централизованного мониторинга. В нерабочее время срабатывание сигнала датчика запасного выхода должно вызывать дежурный наряд милиции либо сотрудника пункта централизованного мониторинга или мониторной. Датчики внешних дверей БП должны проверяться ежемесячно с регистрацией результатов таких проверок и хранением отчетов минимум в течение года. Тестирование батарей, используемых в генераторах местных звуковых сигналов, должно осуществляться еженедельно. Замена батарей должна осуществляться ежегодно или в соответствии с техническими спецификациями производителя. Источники освещения должны освещать прилегающее к БП пространство, а также входы, зоны парковки и участки загрузки/разгрузки автомобилей. Осмотр источников освещения должен проводиться ежемесячно, результаты подлежат регистрации и хранению. Все внешние стены, окна, двери, прочие точки, через которые возможно попадание внутрь здания, должны быть оборудованы датчиками, позволяющими обнаружить факт вторжения: разбитие стекла, движения и др. Деревья, телефонные мачты, заборы и прочие высокие предметы, расположенные вблизи границы, позволяющей получить доступ к крыше здания, должны быть удалены, перемещены или иным образом лишены возможности предоставить доступ к крыше БП. Камеры наблюдения и видеозапись Внешние камеры слежения должны быть наведены на все точки входа/выхода здания и позволять получать различимые изображения всех лиц, входящих или выходящих из БП. Сотрудники охраны должны визуально контролировать передаваемые камерами изображения в течение рабочего времени. Видеоматериалы (кассеты или файлы) должны храниться в течение минимум 90 календарных суток. Внешние запасные выходы должны быть оборудованы местными звуковыми сигналами и находиться под электронным наблюдением 24 часа в сутки, передавая на мониторы охраны изображение с надписью «Наблюдение за запасным выходом с сигнализацией». Эти двери могут использоваться только в чрезвычайных ситуациях. Необходимо, чтобы видеокамеры контролировали все помещения зоны. Камеры должны быть установлены во всех помещениях зоны. Все работы, выполняемые в зоне, должны регистрироваться посредством камер. Сотрудники должны быть уведомлены, что все их действия регистрируются и ведется видеозапись всех событий. Все камеры, мониторы и видеомагнитофоны должны работать надлежащим образом и выдавать ясные и четкие изображения. Камеры должны быть способны регистрировать события в темноте или темное время суток (в инфракрасном режиме или посредством автоматической подачи освещения в случае тревоги). Мониторы наблюдения и видеомагнитофоны должны располагаться в мониторной (security control room, SCR). Видеокамеры должны быть постоянно соединены с: • мониторами изображения в мониторной; • системой сигнализации; • системой видеозаписи, работающей непрерывно (24 × 7). Данные цифровых видеокамер должны копироваться для резервного хранения еженедельно. Каждое поле зрение камеры должно охватывать все виды деятельности, необходимые для адекватного обеспечения безопасности, — рекомендуемое чередование кадров каждые 3 с; позволять непрерывно контролировать критические участки производства. Все внутренние камеры видеозаписи, как и центральная система видеозаписи, должны быть оборудованы возможностью автоматического включения видеозаписи при наступлении тревожных событий. Видеозаписи должны храниться не менее 90 суток для возможного расследования инцидентов. Комната охраны (мониторная, SCR) Мониторная должна централизовать всю информацию о безопасности здания и сотрудников и регистрировать по меньшей мере: 1) сигналы систем противодействия вторжению, систем безопасности и прочих аналогичных систем; 2) сигналы от камер наблюдения; 3) сигнал кнопки тревожной сигнализации; 4) сигналы компьютерного контроля центрального доступа в помещения БП, регистрируя все перемещения сотрудников и посетителей, товаров, материалов и автомобилей; 5) сигнал пожарной тревоги. Основная роль сотрудников охраны — осуществление постоянного (по крайне мере в рабочие часы) контроля вышеперечисленных пунктов, функционирования систем безопасности, а также поведения людей с целью поддержания высокого уровня безопасности здания, оборудования и сотрудников, а также незамедлительного уведомления руководства о любых отклонениях от норм. Согласно требованиям МПС, SCR является вторым по значимости объектом БП после хранилища! Сотрудник охраны или дежурный сотрудник мониторной должны присутствовать в часы осуществления производственных работ. Однако, в дополнение к функциям охраны, разрешается нагружать сотрудников мониторной такими задачами, как регистрация и первичный прием посетителей БП и ответы на телефонные звонки. По окончании рабочего времени все устройства поддержания безопасности (включая включение/отключение тревожной сигнализации) должны контролироваться электронными средствами, либо собственной (внутренней) системой безопасности, либо внешним охранным предприятием. Это делается для получения уверенности в том, что в случаях выявления несанкционированного вторжения на территорию БП выполняются надлежащие процедуры наряду со своевременным уведомлением тревожного наряда милиции. Необходимо разработать и исполнять четкое разделение обязанностей и разграничение между сотрудниками БП, занятыми на производстве, и сотрудниками охраны, находящимися на дежурстве. Сотрудники охраны не могут быть вовлечены ни в какие виды производственной деятельности БП и не могут иметь доступ в помещения, где хранятся, обрабатываются или используются карточные продукты и относящиеся к ним вспомогательные материалы. Мониторная — одно из наиболее важных помещений всего БП. Мониторная должна быть всегда расположена вне зон ограниченного доступа и повышенной безопасности помещений БП в обеспечение разделения обязанностей и взаимной независимости сотрудников охраны и сотрудников, работающих в зоне повышенной безопасности. Помещение мониторной должно быть сделано из бетонных блоков или иных материалов аналогичной прочности. Мониторная должна быть оборудована внутренним датчиком движения. Дверь в мониторную должна быть оборудована СКД на вход и выход наряду с ПО, контролирующим невозможность двойного прохода (anti pass-back), управляемым ПК и регистрирующим все перемещения. Программный счетчик, регистрирующий карты СКД на вход и выход, должен протоколировать события с картой по окончании каждого цикла доступа (активация по считыванию карты, открытие и закрытие двери). Необходимо настроить логику ПО таким образом, чтобы срабатывал сигнал тревоги при обнаружении движения внутри помещения, в котором никто не присутствует (счетчик карт равен нулю), а также генерировать тревожный сигнал в случаях, когда отсутствует движение в помещении, в котором находится кто-либо (счетчик карт больше или равен 1 — dead man logic). В обоих случаях тревога должна быть в виде местного звукового сигнала с подачей параллельного сигнала в мониторную и внешнюю охранную фирму или ближайший участок милиции. Дверь в помещение должна быть оборудована доводчиком. В случае открытия двери более чем на 30 с должен автоматически срабатывать звуковой сигнал. Система контроля доступа должна быть запрограммирована на доступ строго по схеме «один за одним». Доступ в мониторную должен быть разрешен только ограниченному кругу лиц. Каждый входящий должен полностью проходить цикл входа/выхода. Мониторная должна быть оборудована двумя линиями телефонной связи (одна из которых должна быть сотовой). В помещении мониторной должен быть установлен принтер для обеспечения возможности вывода на печать информации и отчетов о перемещениях сотрудников из системы мониторинга и контроля доступа БП. Мониторы должны непрерывно и в реальном времени отображать сведения о событиях и перемещениях карт доступа. Все камеры наблюдения должны регулярно тестироваться на предмет качества изображения, подаваемого на мониторы. В случае случайного или намеренного отключения камеры на соответствующем дисплее в мониторной должно появляться сообщение «Изображение потеряно», сопровождаемое звуковым сигналом. Следует вести запись таких тестирований и хранить их минимум в течение года. Система видеозаписи должна быть синхронизирована по времени с ПК, протоколирующим все перемещения, входы и выходы. Кроме этого, система видеозаписи должна иметь возможность просмотра записанного видеоматериала без остановки режима обычной записи. Это обеспечивается использованием либо цифрового, либо дополнительного кассетного видеомагнитофона. Необходимо тренировать сотрудников охраны, работающих в мониторной, для выработки навыков эффективной и быстрой работы с СКД и системой хранения видеозаписей с камер слежения. В стене мониторной, являющейся общей с зоной приема или тамбуром БП, должно быть установлено окно обмена, служащее для приема/передачи ключей, карт СКД и документов между сотрудниками охраны и посетителями или сотрудниками БП, работающими в зоне повышенной безопасности, с учетом необходимости минимизировать физический контакт между сотрудниками охраны и посетителями/сотрудниками БП. Окно обмена должно быть заклеено односторонней зеркальной фольгой или иным материалом, не позволяющим видеть снаружи происходящее в мониторной. Тревожные кнопки (duress buttons) Тревожные кнопки должны быть расположены в следующих местах: 1) вход сотрудников/посетителей (mantrap); 2) рабочее место регистрации посетителей, мониторная (SCR); 3) участок обмена заготовками/выдачи карт и ПИН-конвертов (GTT); 4) хранилище (Vault); 5) серверная (Server room); 6) помещение распечатки ПИН-конвертов (Package area). При нажатии тревожной кнопки сигнал должен поступать либо в мониторную, либо в пункт внешней охраны или полиции, либо одновременно в обе инстанции. Необходимо ежеквартально проверять работоспособность тревожных кнопок. Результаты проверок должны протоколироваться и храниться в течение отведенного времени. * * * Физическая безопасность бюро персонализации является одним из фундаментальных условий, гарантирующих состоятельность вендора и надежность хранения материалов и персональных данных клиентов банков. Требования по физической безопасности регулярно пересматриваются платежными системами, как правило в сторону ужесточения. Все сертифицированные БП подлежат ежегодному аудиту на соответствие текущим требованиям к физической безопасности со стороны МПС. Несоблюдение текущих требований влечет к отзыву сертификата соответствия и исключению из списка сертифицированных вендоров. Безопасность аппаратной и сетевой инфраструктуры Общие вопросы организации сетевой безопасности Наряду с организацией физической безопасности процессинговых центров (ПЦ) немаловажную роль играют меры логической и сетевой безопасности. Процессинговый центр можно считать разновидностью современного центра обработки данных (ЦОД), представляющего собой сложную систему взаимосвязанных компонентов, которые взаимодействуют между собой через сетевые инфраструктуры[106 - Конечно, можно рассматривать ПЦ как некую замкнутую единую нераспределенную систему, не имеющую связи с внешними источниками данных, но в этом случае ПЦ не может считаться ЦОДом, поскольку данные не поступают извне, а формируются внутри системы, которая сама же является их потребителем. Подобную систему можно рассматривать лишь как хранилище информации, и к процессинговому центру ее уже отнести нельзя.См. раздел «Международные стандарты безопасности PSI DSS» наст. книги.]. Вместе с тем ПЦ — не только центр обработки данных, но и центр их передачи/получения, вследствие чего встает очень сложная задача в защите передаваемых данных. Несмотря на многолетний опыт проектирования, создания и эксплуатации ПЦ на сегодня не существуют однозначно регламентирующего документа по обеспечению безопасности при организации сетевой инфраструктуры. Хотя существует ряд общих стандартов (таких как, например, PCI DSS, PA DSS[107 - См. раздел «Международные стандарты безопасности PSI DSS» наст. книги.]), которые охватывают значительный объем основных требований. Но надо понимать, что данные стандарты описывают основные тезисы или постулаты безопасности, которые необходимо соблюсти, но не способны охватить все многообразие существующих технологий, протоколов, внутренних региональных стандартов, которые применяются в современном динамичном мире информационных технологий. В качестве примера можно привести неоднозначность в требованиях по алгоритмам шифрования, применяемым в РФ и за рубежом. На территории РФ единственным узаконенным алгоритмом шифрования является стандарт ГОСТ, в то время как в других странах применяется DES, 3DES. И при прохождении сертификации на соответствие требованиям PCI DSS процессинговому центру, использующему алгоритмы ГОСТа, необходимо убеждать международные платежные системы в том, что в РФ используется иной алгоритм шифрования и электронно-цифровой подписи, нежели предусмотренный в стандарте. Также стоит отметить, что не существует однозначных требований по протоколам передачи данных, способам передачи или используемому оконечному оборудованию. Таким образом, каждому ПЦ присуща индивидуальность и некая уникальность. В этой связи можно лишь обобщить то, что присуще большинству ПЦ, и рассмотреть те проблемы, которые затрагивают большинство из них. Процессинговому центру (вне зависимости от того, является ли он самостоятельной организацией или же входит в состав как структурное подразделение финансового института) приходится иметь дело с ограничением несанкционированного доступа к данным карт, персональной информации клиентов банка/банков или к аппаратным средствам шифрования секретных данных (HSM). Существует немало примеров, когда секретная информация различных ПЦ была получена третьими лицами с целью ее использования в преступной деятельности. В результате такой деятельности ущерб, нанесенный ПЦ и финансовым институтам, насчитывал миллионы долларов США. Конечно, однозначно невозможно сказать, что похищенные данные были получены только благодаря брешам в системах сетевой безопасности ПЦ, но в мировой практике существуют примеры использования сетевых уязвимостей для получения и передачи данных по сетям общего пользования. Так, например, в середине 1990-х годов для передачи данных от терминалов самообслуживания (АТМ, CAT) повсеместно использовался алгоритм шифрования DES. Оборудование терминалов (в частности клавиатуры для ввода секретного кода — ПИН-клавиатуры) также было рассчитано на работу только по алгоритму DES. С увеличением тактовых частот вычислительной техники и возможностей программного обеспечения алгоритм DES был взломан за сравнительно небольшой временной интервал. Но оборудование терминалов и процессинговые системы, настроенные на работу по алгоритму шифрования DES, не могли оперативно перестроиться на работу по более стойкому алгоритму 3DES, что и стало причиной использования злоумышленниками зашифрованных данных ПИН-блоков и данных на магнитной полосе. Последующий взлом полученных ПИН-блоков и получение секретного ключа шифрования терминала (Terminal Pin Key) позволяли получить практически неограниченный доступ ко всем счетам клиентов различных банков, которые когда-либо пользовались данным терминалом. Факты незаконного использования данных с магнитной полосы и ПИНов были зафиксированы международными платежными системами (МПС), и в настоящее время по правилам МПС одинарный алгоритм DES уже не может использоваться в терминалах. Это лишь один наглядный пример того, как могут быть использованы бреши в системах сетевой безопасности. В приведенном примере можно было бы сократить степень риска с применением нестойких алгоритмов при шифровании ПИН-блока, если бы канал передачи данных между ПЦ и терминалом был бы зашифрован более стойким алгоритмом шифрования (двойное шифрование: канал передачи данных и шифрование ПИН-блока). Более того, многие терминалы способны самостоятельно шифровать передаваемые данные, пусть даже нестойким алгоритмом шифрования. В любом случае это намного усложнит жизнь злоумышленнику, поскольку помимо транзакционной информации передается и служебная, которую расшифровать намного сложнее, нежели ПИН-блок. Совокупность применения двух методов позволила бы многократно повысить безопасность системы в целом, даже с применением нестойких алгоритмов. Поэтому когда речь заходит о защите ПЦ, в первую очередь тщательно анализируются возможные риски и степень снижения этих рисков при доступе и передаче секретных данных. В данной ситуации необходимо также учитывать тот факт, что построение системы сетевой защиты ПЦ оказывает значительное влияние на рядовой персонал, работающий в ПЦ. Чем больше барьеров защиты, тем сложнее злоумышленнику получить данные, но также и труднее работать в условиях полного ограничения доступа и самим сотрудникам ПЦ. Необходимый баланс между удобством доступа к данным и их безопасностью регламентируется определенным правилами внутри ПЦ. Подразделения сетевой безопасности ПЦ разрабатывают комплекс документации, внутренних правил, согласно которым уполномоченные сотрудники имеют право получать доступ к данным для их обработки. Задача строгого разделения прав пользователей присуща всем ПЦ, и ей уделяется огромное значение. При разделении прав пользуются основным принципом: предоставление прав, необходимых только для выполнения служебных обязанностей. Так, например, сотруднику договорного отдела для выполнения служебных обязанностей доступ к устройству шифрования (HSM) вряд ли будет необходим, но с большой вероятностью понадобится доступ в публичную сеть Интернет для получения дополнительной информации о контрагентах. И наоборот, сотруднику отдела персонализации потребуется доступ к данным магнитной полосы печатаемых карт и вряд ли будет необходим доступ к публичным сетям. Руководствуясь такими правилами, администраторы вычислительных сетей ПЦ совместно с сотрудниками отдела сетевой безопасности устанавливают соответствующие права доступа для каждого из сотрудников. На практике такую политику организовать очень сложно, поскольку за понятием «необходимые права» стоит большое количество различных комплексов: сетевые маршрутизаторы, брандмауэры, операционные системы, базы данных, программные комплексы и т. д. Таким образом, весь комплекс мер, направленных на обеспечение сетевой безопасности, можно условно разделить на несколько уровней: • сетевой уровень; • пользовательский уровень; • уровень приложений. Каждый из перечисленных уровней может пересекаться с другим в некоторой области или быть полностью интегрирован в него. Поэтому в данном контексте разделение довольно условное, поскольку известны системы, где практически все перечисленные выше уровни являют собой единый неделимый комплекс. Но несмотря на этот факт уровни организации сетевой безопасности (барьеры) встречаются во всех ПЦ и их следует рассмотреть более детально. Сетевой уровень безопасности К данному уровню безопасности можно отнести технические средства, позволяющие обеспечить ограничение прохождения данных между различными зонами сети ПЦ. На рис. 5.1 приведен типичный пример сетевой инфраструктуры ПЦ (в том числе может использоваться и при организации сети любого предприятия). В приведенном примере сетевая инфраструктура имеет зональное распределение. Все зоны связаны между собой с помощью сетевых маршрутизаторов, призванных осуществлять перенаправление сетевых пакетов из одной зоны в другую. Также каждая из зон снабжается сетевым брандмауэром (межсетевым экраном), который ограничивает или разрешает прохождение сетевых пакетов между зонами. На практике часто используют совмещение этих двух устройств (маршрутизатор и брандмауэр) в одно, в котором прохождение трафика ограничивается на сетевом интерфейсе маршрутизатора. Все представленные зоны служат для увеличения степени защиты ПЦ в целом, а также для более гибкого управления списками контроля доступа (ACL). Так, например, зона 1 служит для публикации серверных приложений для доступа извне, ее еще называют демилитаризованной зоной (DMZ). К публикуемым приложениям могут относиться, например, службы интернет-банка, службы доступа к электронной почте ПЦ или службы организации коллективного доступа в публичные сети. Доступ к сетевым службам ПЦ извне ограничивается с помощью сетевого экрана, правила которого обеспечивают прохождение только разрешенного трафика (например, по TCP портам 110,25 в случае электронной почты). В зоне 2 расположены серверы ПЦ, обеспечивающие его жизнедеятельность. Там могут находиться серверы баз данных, использующиеся как хранилище в процессе авторизации и последующих клиринговых расчетов. В этой же зоне, как правило, находятся серверы уровня приложений (host), получающие доступ к серверам баз данных и осуществляющие процессирование авторизационных и клиринговых потоков. Также в данную зону могут быть помещены средства сбора лог-информации и серверы управления доступом уровня приложений. Зона 2 является целью любого злоумышленника, поэтому ее защиту разрабатывают самым тщательным образом. Для усиления мер защиты могут использоваться дополнительные межсетевые экраны и/или персональные брандмауэры. На особо важных узлах должны быть включены средства аудита доступа. Основным правилом при настройке политики безопасности серверов в зоне 2 является отключение ненужных служб и процессов, открывающих потенциальные уязвимости в системе. Например, для серверов баз данных необходимо отключать сетевой доступ к операционной системе (ftp, telnet) и разрешать только доступ к базе данных по защищенным протоколам передачи данных (например, IPSEC). Хорошим дополнением к системе безопасности в зоне 2 могут служить системы предупреждения и предотвращения вторжения (IPS/IDS). Они позволяют заблокировать определенные сетевые адреса в случае обнаружения потенциально опасного сетевого трафика (например, сканеры сетевых портов, попытки атаки типа Bruteforce, DDOS-атаки и пр.). Повышенным интересом у злоумышленника могут пользоваться и маршрутизаторы/межсетевые экраны. Для повышения безопасности данные сетевые компоненты могут иметь специальный сетевой интерфейс (management), который используется для проведения настройки оборудования. В штатном режиме этот интерфейс не имеет подключения к какой-либо сети, и конфигурация с других сетевых интерфейсов этого оборудования невозможна. В зоне 3 располагаются рабочие места сотрудников ПЦ. Данная зона также выделена в единую сеть, поскольку управление рабочими местами — задача отнюдь непростая и также требует повышенных мер безопасности. В данной зоне помимо рабочих мест персонала располагается сетевое оборудование ввода/вывода (принтеры, факсы, сканеры и т. д.). Также может быть размещен дополнительный контроллер рабочих мест (domain controller) для повышения отказоустойчивости системы в целом. Доступ сотрудников к тем или иным приложениям управляется на уровне политики безопасности и на уровне межсетевых экранов. Пользовательский уровень безопасности Данный уровень безопасности в ПЦ обеспечивается за счет возможности разделить доступ к тем или иным ресурсам в разрезе пользователя или группы пользователей. Практически в любой современной операционной системе существует возможность разграничить доступ к определенным ресурсам на уровне пользователей. Таким образом, каждый пользователь в сети ПЦ (в том числе и рабочую станцию, и сервер можно отнести к пользователям) имеет определенные права, которые должны быть формализованы и закреплены в письменном виде. Права и полномочия предоставляются каждому сотруднику ПЦ согласно его должностным обязанностям. В случае если сотрудник совмещает несколько обязанностей (например, администратор ЛВС и администратор БД), удобнее оперировать ролями. Каждой роли отводятся определенные полномочия, в рамках которых предоставляется доступ к ресурсам ПЦ. Служебные роли ПЦ могут быть отождествлены с группой пользователей. В роли администратора ЛВС может выступать группа пользователей «администраторы», в роли сотрудников отдела архивных копий — «операторы архивов» и т. д. В каждой из групп может быть несколько пользователей сети, в то же время один пользователь сети может быть наделен несколькими полномочиями. Все сотрудники обязаны иметь учетную запись, с помощью которой осуществляется регистрация в сети ПЦ. Далее эта учетная запись используется для доступа к любым сетевым ресурсам, будь то принтер или база данных. При разработке политики безопасности для сотрудников должно быть установлено правило секретности собственных имени пользователя и пароля при регистрации в сети. Также должен быть установлен запрет на передачу персональных имени пользователя и пароля третьим лицам. В ходе формирования политики должны быть приняты меры по снижению вероятности компрометации паролей: установлены ограничения на минимальную длину пароля, его сложность и частоту смены. Согласно последним данным[108 - http://ru.wikipedia.org/wiki/Bruteforce] рекомендуемая длина пароля может быть принята свыше 8 символов. Существуют и рекомендации по сложности пароля, в которых определяют, что пароль может состоять из строчных и заглавных букв и цифр. Частота смены пароля позволяет уменьшить вероятность его подбора за определенный срок его жизни. Хорошей практикой может служить блокировка учетной записи в случае набора неправильного пароля N раз (как правило, N принимают равным от 3 до 5 раз). В политике учетных записей помимо сотрудников ведется контроль доступа к ресурсам рабочих станций и серверов. Такая политика позволит, например, ограничить доступ к ресурсам в случае подмены сетевого адреса. Отдельно могут быть введены дополнительные средства аутентификации пользователей. Использование сертификатов (цифровых удостоверений) с единым центом сертификации позволит многократно повысить стойкость системы безопасности. Использование двухфакторной аутентификации, в которой пользователь помимо данных учетной записи (имя пользователя, пароль) должен предоставить физический ключ доступа. Он позволит избежать компрометации учетной записи в случае успешной атаки подбора пароля. Физический ключ может быть заменен считывателем биометрических данных пользователя. Еще одним способом, повышающим уровень безопасности ПЦ, является блокировка встроенных учетных записей администратора (root). В этом случае происходит делегирование прав администратора сети другому пользователю, так называемое переименование администратора. В этом случае, если пароль учетной записи «администратор» или «root» будут взломаны, администраторские права предоставлены не будут. Одним из важных моментов при формировании политики безопасности является правило, обязывающее администратора ЛВС производить блокировку учетной записи пользователя в случае его болезни или увольнения. Также должны быть заблокированы гостевые учетные записи, присутствующие по умолчанию в операционных системах и СУБД. Таким образом, пользовательский уровень безопасности вводит дополнительный барьер на пути несанкционированного доступа к ресурсам ПЦ и позволяет проводить разделение ресурсов на основе ролей, описанных в политике безопасности ПЦ. Безопасность уровня приложений Описанные меры безопасности позволяют усилить безопасность в сетевой инфраструктуре ПЦ. Но, как и на любом предприятии, в ПЦ существует прикладное программное обеспечение, на которое возлагается основная функциональная обязанность. Даже если будут приняты все меры по обеспечению безопасности сетевого и пользовательского уровня, брешь в системе безопасности уровня приложений позволит получить доступ к самой важной составляющей ПЦ — данным о платежных картах, к которым в итоге стремится потенциальный злоумышленник. Приведенный выше печальный пример бреши в системе безопасности уровня приложений с терминалами самообслуживания помог злоумышленнику получить данные по платежным картам, причем он не нарушил ни один из периметров защиты самого ПЦ. Таким образом, безопасность уровня приложений можно оценить как один из самых важных пунктов в обеспечении сетевой безопасности ПЦ в целом. Какие меры необходимо принять для снижения такого рода угрозы? На этот вопрос в первую очередь поможет ответить относительно недавно принятый стандарт в области защиты данных PA DSS[109 - Подробно о данном стандарте см. раздел «Стандарты международных платежных систем PCI DSS».]. Данный стандарт описывает предъявляемые требования к программному обеспечению, работающему с данными о платежных картах. После принятия данного стандарта каждый из поставщиков решения для работы с пластиковыми картами обязан будет иметь сертификат соответствия данному стандарту. Данный сертификат должен быть предъявлен в ходе проверки ПЦ на соответствие требованиям PCI DSS. Одним из требований в стандарте является отсутствие данных о платежных картах в открытом виде. К таким данным относятся данные о номерах карт, о сроке их действия и CVC2/CVV2. Также запрещено хранение данных с магнитной полосы и ПИН-блока. Помимо запрета на хранение данных безопасность уровня приложений обеспечивается регулярными критическими обновлениями операционных систем и СУБД. Такие обновления позволяют исправить найденные уязвимости в операционных системах и СУБД. Также необходимо устанавливать обновления программного обеспечения на межсетевых экранах и маршрутизаторах. В случае наличия систем IPS/IDS необходимо проводить обновление сигнатур сетевых угроз. К сожалению, не всегда то или иное обновление может быть безболезненно установлено. В практике любого ПЦ бывали случаи, когда обновление ПО на ключевых узлах приводило к частичной или полной его остановке. Для снижения вероятности такого рода чрезвычайных ситуаций используются тестовые среды, где каждое планируемое обновление должно проходить тщательную проверку и тестирование на совместимость с другими узлами процессинговой системы. Поскольку процессинговые комплексы представляют собой взаимосвязанную систему, тестирование очередного критического обновления на одном из комплексов может происходить длительное время, порой до нескольких недель или месяцев. В данный период, пока обновление находится в стадии тестирования, сотрудниками ПЦ должны быть приняты дополнительные меры по обеспечению безопасности. Например, если найдена уязвимость в интернет-браузере, используемом сотрудниками ПЦ, до момента установки вышедшего обновления сотрудникам отдела сетевой безопасности и администратору ЛВС необходимо принять меры для исключения использования данного рода уязвимости. Одним из вариантов решения может быть выделение специальной рабочей станции, с помощью которой будет осуществлен доступ в публичную сеть. Рабочая станция не должна быть подключена к общей локальной сети. На остальных рабочих местах использование браузера без установленного обновления необходимо запретить. В случае тестирования обновлений на серверных компонентах процессинговых систем необходимо подготовить и провести тесты на тех компонентах, которые подвергаются изменениям. Тесты должны охватывать полный цикл прохождения транзакции, чтобы исключить вероятность сбоев после установки этого обновления на рабочих системах. Еще одним из обязательных требований в обеспечении безопасности ПЦ является необходимость использования антивирусных средств защиты. Антивирусные средства должны быть установлены на всех рабочих станциях и серверах ПЦ без исключений, даже если на данный момент не существует вирусов под определенные операционные системы. Базы данных антивирусного программного обеспечения должны регулярно обновляться и иметь актуальные версии. Отдельное внимание необходимо уделить аудиту доступа к ресурсам (логам) ПЦ. Поскольку ПЦ является сложной взаимосвязанной системой и состоит из различных компонентов, в том числе разных производителей, задача о фиксировании событий доступа к объектам такой системы требует отдельного решения. На современном рынке производителей ПО существует множество решений, которые решают такие задачи. Данные программные продукты помогают осуществить централизованный сбор данных из различных источников, таких как: • различные операционные системы; • СУБД; • сетевые маршрутизаторы и брандмауэры; • антивирусное ПО; • компоненты уровня приложений. Использование таких комплексных решений позволяет сотрудникам службы сетевой безопасности оперативно реагировать на критические инциденты и предотвращать их в дальнейшем. Более того, централизация сбора данных аудита доступа к объектам может помочь в восстановлении хронологии попытки атаки и предупредить ее в дальнейшем. В связи с этим должны быть приняты меры по защите сервера централизованного сбора логов доступа. Логи сервера должны быть защищены от удаления, а их изменение должно быть доступно только тем процессам, которые осуществляют логирование. Для ПЦ хранение логов доступа в режиме онлайн обязательно в течение трех месяцев. После архивации лог-файлов необходимо рассчитать контрольные суммы, которые должны быть документально зафиксированы. Архивные копии записей аудита доступа к ресурсам должны быть записаны на носитель типа «только для чтения» и преданы на хранение. Таким образом, задача обеспечения безопасности в ПЦ является многогранной, а ее комплексное решение требует тщательной проработки всех деталей от логической организации до фактической реализации. Инновационные решения в области обеспечения безопасности ПЦ В современном быстроменяющемся мире техники и технологии довольно трудно предугадать дальнейшее их развитие даже на ближайший год, не говоря уже о десятилетии. Но, тем не менее, основные тенденции в развитии прослеживаются. Так, одним из перспективных направлений в развитии процессинговых услуг на рынке может быть решение, которое давно уже получило всемирное признание в других крупных корпоративных предприятиях. Данное решение уходит своими корнями в период становления компьютерных сетей и систем совместного доступа на базе терминалов. В то время пользователи получали централизованный доступ к вычислительным ресурсам главного компьютера при помощи терминалов удаленного доступа, подключенных к нему по общей шине передачи данных. Каждый пользователь производил регистрацию на центральном компьютере и получал соответствующие права доступа. Как ни странно, но в современной IT-индустрии продолжают существовать такие системы, но выведенные на новый виток развития технологии. В мире процессинговых услуг также известно применение аналогичной технологии. Эта технология получила название «тонкий клиент»[110 - «Тонкие клиенты» для аутсорсинга процессинга, Intelligent Enterprise. Спецвыпуск 1. 2007. http://www.iemag.ru/interview/detail.php?ID=20823&sphrase_id=47700]. В основу этой технологии положен принцип удаленного терминального доступа, когда пользователь, пройдя аутентификацию на центральном компьютере, удаленно получает доступ к его ресурсам в соответствии с предоставленными правами. Передавая информацию от терминала о действиях пользователя (нажатия клавиатуры или действия с мышью), терминал получает в ответ от сервера изменения удаленного экрана пользователя. Использование такого рода подхода позволяет получать безопасный доступ к процессинговым системам. У такого подхода есть множество плюсов, которые могут быть хорошим подспорьем в решении вопросов сетевой безопасности ПЦ. Так, например, данный подход позволяет исключить необходимость защиты рабочих станций от вирусной угрозы, угрозы брешей в безопасности рабочей станции, несанкционированного доступа к данным на сервере. Централизованное управление терминальным доступом, удаленное подключение к открытой сессии пользователей, централизованное администрирование всех пользователей и терминалов облегчает работу администраторов ЛВС. Также есть и экономическая составляющая, при которой установленное на сервер приложение может быть растиражировано между всеми пользователями удаленного доступа без необходимости приобретения дополнительных лицензий (это актуально для крупных ПЦ). Одним из главных преимуществ данной технологии является то, что критические данные, такие как номера карт, авторизационные данные, невозможно сохранить на внешних носителях информации без специальных средств, которые могут быть предоставлены администраторами в исключительных ситуациях. Таким образом, утечка данных из ПЦ сводится практически к нулю. Но данная технология требует повышенной защиты сервера приложений, т. е. все программные компоненты, установленные на сервер приложений, должны быть полностью защищены. Для укрепления защиты передаваемых данных могут быть использованы протоколы шифрования трафика, а также двухфакторная аутентификация на основе USB-ключей. В данном разделе были рассмотрены основные аспекты обеспечения безопасности в сфере процессинговых центров. Разумеется, все перечисленное в данной главе является только обобщением накопленного мировым сообществом опытом создания и эксплуатации процессинговых центров. Необходимо понимать, что каждый ПЦ, как и любое другое предприятие, имеет свои особенности и тонкости и, естественно, что задачи по обеспечению безопасности в том или ином предприятии имеют характерную специфику. Любому ПЦ присуща работа с персональными данными владельцев пластиковых карт, а это означает, что репутация и надежность процессингового центра целиком и полностью зависят от степени безопасности составляющих его систем. Вот поэтому так важно уделять максимум внимания для решения вопросов, связанных с обеспечением не только отказоустойчивости систем при работе в режиме 24 × 7, но и степени защиты доверяемых процессинговому центру данных. Приложения Приложение 1 Судебно-следственная практика Уголовное дело № 7013396 от 11 октября 2007 г., Астрахань. Эквайринг ТСП В 2007 г. в торговых предприятиях г. Астрахани российские банки-эквайреры зафиксировали резкий рост количества незаконных операций по поддельным картам иностранных банков-эмитентов. В августе месяце при попытке расплатиться поддельной картой была задержана молодая женщина, участница преступной группы. Однако уголовное дело возбуждено не было. И только 11 октября 2007 г. по заявлению представителя одной из крупнейших в России процессинговых компаний было возбуждено уголовное дело № 7013396. В результате его расследования в качестве потерпевших были признаны четыре российских банка-эквайрера, выявлена группа лиц, осуществлявшая незаконную деятельность, состоящая из семи человек, которым были предъявлены обвинения. ЗАЯВЛЕНИЕ О ПРЕСТУПЛЕНИИ одного из банков-эквайреров: (Извлечения) Начальнику УСТМ УВД по Астраханской области Сообщаю Вам, что в период с 20 марта 2007 г. по 18 июля 2007 г. в магазине «Столица компьютерная», расположенном по адресу: г. Астрахань, ул. Минусинская, д. 8 (торговый терминал 701386), обслуживаемом «Г…банк» (открытое акционерное общество) (далее — Банк) на основании договора об эквайринговом обслуживании №… от 21 декабря 2004 г. между Банком и ПБОЮЛ ч. А. А., которому принадлежит магазин, неустановленными лицами совершено изготовление поддельных платежных документов, сбыт этих документов и хищение денежных средств при осуществлении операций оплаты в магазине с использованием поддельных кредитных и расчетных карт. 20 марта 2007 г. с использованием расчетной карты платежной системы VISA № 4567350002160626 были осуществлены две операции покупки: 19 050 руб. и 5470 руб. Банк-эмитент Alliance & Leicester PLC (Великобритания) занес данные операции в отчет системы отслеживания подозрительной деятельности торговых предприятий VISA Int. (FRS) как мошеннические (Приложение 4). 11 июля 2007 г. с использованием расчетной карты платежной системы MasterCard № 5416034087903445 были осуществлены пять операций покупки: 23 133 руб., 4200 руб., 32 000 руб., 35 000 руб. и 43 656 руб. Банк-эмитент GE CAPITAL BANK LIMITED (Великобритания) занес данные операции в отчет о мошеннических операциях, совершенных в торговых предприятиях, MasterCard Worldwide (SAFE) как мошеннические (Приложение 5). 18 июля 2007 г. с использованием расчетной карты платежной системы MasterCard № 5420113828910200 были осуществлены три операции покупки: 15120 руб., 15120 руб. и 6460 руб. Банк-эмитент HSBC BANK PLC (Великобритания) занес данные операции в отчет о мошеннических операциях, совершенных в торговых предприятиях, MasterCard Worldwide (SAFE) как мошеннические (Приложение 5). Положение ЦБ РФ № 266-П регламентирует, что при совершении операций с платежными картами составляются документы на бумажном носителе и (или) в электронной форме, данные документы являются основанием для осуществления расчетов. А именно при осуществлении операций с использованием платежных карт формируются документы, являющиеся распоряжением клиента об осуществлении операций по его банковскому счету. В приложении 20 Положения ЦБ РФ № 2-П описание поля 39 платежного ордера дано как «Шифр платежного документа» (проставляется условное цифровое обозначение (шифр) оплачиваемого расчетного документа согласно правилам ведения бухгалтерского учета в Банке России или правилам ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации). А в Положении ЦБ РФ № 205-П один из кодов данного шифра обозначен как «13 — Расчеты с применением банковских карт». Таким образом, при расчетах с применением банковских карт формируются платежные документы. В Письме МНС России от 28 февраля 2002 г. № 03-2-06/543/24-з951 сказано, что данные платежные документы формируются в электронном виде в торговом предприятии покупателем и направляются в процессинговый центр (подразделение, осуществляющее сбор, обработку и рассылку участникам расчетов — кредитным организациям информацию по операциям с платежными картами). Согласно п. 3.3 Положения ЦБ РФ № 266-П платежные документы должны содержать следующие обязательные реквизиты: • идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт; • вид операции; • дату совершения операции; • сумму операции; • валюту операции; • сумму комиссии (если имеет место); • код авторизации (если осуществлялась процедура авторизации); • реквизиты платежной карты. Документ по операциям с использованием платежной карты на бумажном носителе дополнительно должен содержать подпись держателя платежной карты. Таким образом, платежный документ по операциям покупки в торговом предприятии с платежными картами составляется на бумажном носителе: чек торгового ПОС-терминала (или слип-импринтера) и/или в электронном виде и содержит обязательные реквизиты, указанные в Положении ЦБ РФ № 266-П. Поддельным платежным документом может быть подлинный платежный документ, в который были внесены несанкционированные изменения, либо полностью изготовленный платежный документ, в том числе формально подлинный, от лица держателя карты, который не санкционировал или не инициировал изготовление данного документа. То есть подделать документ можно не только технически (техническая подделка), но и интеллектуально — например, когда документ составляется неверным числом, от имени другого лица, когда в документе фиксируется событие, которого не было, и др. При совершении операции в торговом предприятии с использованием поддельной карты изготавливаются на электронном ПОС-терминале бумажная квитанция терминала (чек) и электронный платежный документ. Данные документы являются распоряжением держателя, заверенным собственноручной подписью. В случае оплаты товара поддельной или украденной картой подпись на бумажной квитанции не соответствует подписи законного держателя. Электронный платежный документ изготовлен с использованием скопированной с подлинной карты второй дорожки, он ничем не отличается от подлинного, т. е. формально правильный. Данный документ означает распоряжение законного держателя на осуществление платежа. Поскольку держатель такого распоряжения не выдавал, подпись на квитанции не соответствует истинной, то и электронный платежный документ является фиктивным, подложным, т. е. он был подделан. При использовании поддельного платежного инструмента (карты) всегда получается поддельный платежный документ (продукт изготовления). На основании Договора №… от 21 декабря 2004 г. между Банком и ПБОЮЛ ч. А. А. данные платежные документы были направлены для оплаты из магазина «Столица компьютерная» в Банк, который их оплатил, перечислив денежные средства на счет за вычетом суммы торговой уступки. Так как при оплате товаров в магазине «Столица компьютерная» использовались поддельные расчетные карты, то неустановленными лицами было совершено изготовление с использованием таких карт 10 (десяти) поддельных платежных документов (Приложение 3), сбыт этих документов (направление их для оплаты в Банк) и хищение имущества путем обмана (неустановленные лица выдавали себя за подлинных держателей расчетных карт) в сумме 199 209 (сто девяносто девять тысяч двести девять) руб. В связи с вышеизложенным прошу Вас провести проверку данного факта и по данному факту возбудить уголовное дело. Мне известно об ответственности за заведомо ложный донос в соответствии со ст. 306 Уголовного кодекса Российской Федерации. Приложения: 1. Копия доверенности П. Н. П. на 1 л. в1 экз. 2. Копия договора об эквайринговом обслуживании №… от 21 декабря 2004 г. на 6 л. в 1 экз. 3. Копия электронных платежных документов на 1 л. в1 экз. 4. Отчет системы отслеживания подозрительной деятельности торговых предприятий VISA Int. (FRS) на 1 л. в1 экз. 5. Отчет о мошеннических операциях, совершенных в торговых предприятиях, MasterCard Worldwide (SAFE) на 1 л. в1 экз. Представитель АБ «Г…банк» (ЗАО) (по доверенности) Н.П.П. тел. (495)… Примечание: BIN NAME: JSB G…BANK (CJSC) — наименование банка эквайрера «Г…банк». FOR 11 APR 2007 THRU 24 APR 2007 — период, за который составлен отчет, — с11 апреля 2007 г. по 24 апреля 2007 г. (период занесения в базу данных банками-эмитентами мошеннических операций). MERCHANT NAME — название торгового предприятия — «STOLICA» — «Столица». MERCHANT CITY — город торгового предприятия — ASTRAHAN — Астрахань. FRAUD TYPE — тип мошеннической операции: 6 — карта не присутствует. FRAUD AMOUNT — сумма мошенничества (в рублях). ISSUER BIN — БИН эмитента. PURCHASE DATE — дата операции (мм/дд/гг). ACCOUNT NUMBER — номер карты. Копия верна: Н. П. П. Acq — идентификатор банка-эквайрера (Г…банк). Iss — идентификатор эмитента. Trans Date — дата операции FT — тип мошеннической операции: 04 — подделка; 06 — карта не присутствует. Account Number — номер карты. U. S. Amt — сумма операции в долларах США. Local Amt — сумма операции в локальной валюте. CCD — тип валюты: рубли. Exp — число десятичных знаков, которые нужно отбросить для локальной валюты (сумма операции в локальной валюте выражена в копейках). Merchant — название торгового предприятия «STOLICA» — «Столица». City — город ASTRAHAN — Астрахань. Ctry — страна RUS — Россия. Копия верна: Н. П. П. Обвиняется <…> Ш. С. В., имея умысел на хищение денежных средств ОАО «Г…банк» с использованием поддельных кредитных карт международных платежных систем MasterCard International и VISA, выяснив способы их подделки и порядок их предъявления к оплате в торгово-сервисных предприятиях г. Астрахани, с целью развития данной преступной деятельности и придания ей постоянного характера и масштабности решил в июне 2007 г. организовать преступную группу для совершения преступлений, направленных на хищение денежных средств ОАО «Г…банк» с использованием поддельных банковских карт международных систем. С целью реализации своего преступного умысла, Ш. С. В. решил вовлечь в организованную преступную группу П. В. В., К. А. М. и И. М. М. и иных лиц из числа работников магазинов, в которых установлены POS-терминалы, с использованием которых производится оплата товара по кредитным картам международных платежных систем MasterCard International и VISA, разработал преступный план и определил роли членов организованной преступной группы; при неустановленных следствием обстоятельствах приобрел паспорта на имя Маханова В. С., Фролова Н. Г., паспорт моряка на имя Баудинахуна Р. Д., пластиковые карты и энкодер магнитных карт MSR 206-3 HI серийный номер A012500; приспособил для совершения преступлений предметы, а именно энкодер магнитных карт MSR 206-3 HI серийный номер A012500, портативный компьютер-ноутбук «Acer» «Aspire 5612 WLMi» модель BL50, серийный номер LXATE0J12864800D931601. Реализуя свой преступный замысел, он, Ш. С. В., в один из дней июня 2007 г., предложил П. В. В., К. A. М. и И. М. М. объединиться в организованную преступную группу для совершения данных преступлений, на что последние согласились. С целью функционирования преступной группы Ш. С. A., а также К. A. М. и И. М. М. по указанию Ш. С. A. в июне 2007 г. вовлекли в нее лиц из числа сотрудников магазинов, в которых установлены POS-терминалы, с использованием которых производится оплата товара по кредитным картам международных платежных систем MasterCard International и VISA, а именно М. С. Г., являющегося менеджером отдела «Телефон. ру» магазина «Три кота», расположенного по ул. Вокзальная / Минусинская, 40/8, Кировского района г. Aстрахани; Д. A. A., являющуюся кассиром отдела «Телефон. ру» магазина «Три кота», расположенного по ул. Вокзальная / Минусинская, 40/8, Кировского района г. Aстрахани; И. Н. Р., являющегося администратором магазина «Связной», расположенного по ул. Фиолетова, д. 31, Кировского района г. Aстрахани. Таким образом, в состав организованной преступной группы вошли: Ш. С. В., П. В. В., К. A. М., И. М. М., М. С. Г., Д. A. A., И. Н. Р. Для достижения преступной цели Ш. С. В. была организована схема совершения хищения, которая включала в себя изготовление поддельных кредитных карт международных платежных систем MasterCard International и VISA на имя Матвиенко Aлександра, Aхмедовой Гульсин, Уталиева Марата, Казьмирук Евгения, Кашиной Марины, Кириловой A., Фет Д., предъявление к оплате товара вышеуказанных поддельных кредитных карт сотрудникам магазина, сбыт приобретенного товара и последующее распределение между соучастниками вырученных денежных средств. В соответствии с достигнутой между соучастниками договоренностью и распределенными Ш. С. В. ролями, Ш. С. В. при неустановленных обстоятельствах приобретал информацию, находящуюся на магнитной полосе банковских карт международных платежных систем MasterCard International и VISA, выпущенных иностранными банками, включающую в себя номер карты, срок ее действия, имя держателя карты, после чего, используя портативный компьютер-ноутбук «Acer» «Aspire 5612 WLMi» модель BL50, серийный номер LXATE0J12864800D931601, и установленную на нем программу Magnetic stripe card reader/writer, перепрограммировал полученную информацию, а именно заменил имена держателей кредитных карт на имена Матвиенко Aлександра, Aхмедовой Гульсин, Уталиева Марата, Казьмирук Евгения, Кашиной Марины, Кириловой A., Фет Д. Затем, используя специальное устройство энкодер магнитных карт MSR 206-3 HI серийный номер A012500 для вышеуказанных целей, записывал вышеуказанную информацию на магнитную полосу имевшихся у него кредитных карт, в результате чего соучастники получили возможность распоряжаться денежными средствами, находящимися на не принадлежащих им счетах. Подделав карты вышеуказанным способом, Ш. С. В. вместе с паспортами передал их П. В. В., К. А. М. и И. М. М. Согласно распределенным Ш. С. В. ролям в обязанности П. В. В. входило: использование подделанных Ш. С. В. пластиковых карт в качестве средства платежа при оплате товаров в торгово-сервисных предприятиях г. Астрахани, осуществление контроля за другими участникам преступной группы К. А. М. и И. М. М. При использовании поддельных кредитных карт он в удостоверение своей личности предъявлял паспорт на имя, которое указано в карте, данный ему Ш. С. В., сбывал приобретенный товар на рынках г. Астрахани совместно с соучастниками. Согласно распределенным Ш. С. В. ролям в обязанности К. А. М. входило: использование подделанной Ш. С. В. пластиковой карты в качестве средства платежа при оплате товаров в торгово-сервисных предприятиях г. Астрахани. При этом при использовании поддельных кредитных карт в удостоверение своей личности предъявляла паспорт, данный ей Ш. С. В. на имя, которое указано в карте. Кроме того, К. А. М. подыскивала пособников для совершения преступлений из числа сотрудников торгово-сервисных предприятий, которые способствовали устранению препятствий при совершении преступлений, сбывала приобретенный товар на рынках г. Астрахани совместно с соучастниками. Согласно распределенным Ш. С. В. ролям в обязанности И. М. М. входило: использование подделанной Ш. С. В. пластиковой карты в качестве средства платежа при оплате товаров в торгово-сервисных предприятиях г. Астрахани. При этом при использовании поддельной кредитной карты в удостоверение своей личности предъявляла паспорт, данный ей Ш. С. В. на имя, которое указано в карте. Кроме того, И. М. М. подыскивала пособников для совершения преступлений из числа сотрудников торгово-сервисных предприятий, которые способствовали устранению препятствий при совершении преступлений. Сбывала приобретенный товар на рынках г. Астрахани совместно с соучастниками. Согласно распределенным Ш. С. В. ролям в обязанности М. С. Г. входило: используя свое должностное положение, дать указания кассиру отдела «Телефон. ру» магазина «Три кота», расположенного по ул. Вокзальная / Минусинская, 40/8, Кировского района г. Астрахани, Д. А. А., на получение подделанной Ш. С. В. пластиковой карты в качестве средства платежа при оплате товаров в отделе «Телефон. ру» магазина «Три кота», осуществлять контроль за проведением операции оплаты по представленным кассиру Д. А. А. кредитным картам с использованием POS-терминала, установленного в магазине. Согласно распределенным Ш. С. В. ролям в обязанности Д. А. А. входило: получение подделанной Ш. С. В. пластиковой карты в качестве средства платежа при оплате товаров в отделе «Телефон. ру» магазина «Три кота», расположенного по ул. Вокзальная / Минусинская, 40/8, Кировского района г. Астрахани, с использованием своего служебного положения, проведение операции оплаты по представленным ей К. А. М., И. М. М., П. В. В. кредитным картам с использованием POS-терминала, установленного в магазине. Согласно распределенным Ш. С. В. ролям в обязанности И. Н. Р. входило: используя свое должностное положение, дать указания кассирам магазина «Связной», расположенного по ул. Фиолетова, д. 31, Кировского района г. Астрахани, на получение подделанной Ш. С. В. пластиковой карты в качестве средства платежа при оплате товаров в магазине «Связной», осуществлять контроль за проведением операции оплаты по представленным кассирам кредитным картам с использованием POS-терминала, установленного в магазине. Таким образом, организованная преступная группа, состоящая из Ш. С. В., П. В. В., К. А. М., И. М. М., М. С. Г., Д. А. А., И. Н. Р., сплотившаяся под руководством Ш. С. В., приготовившись к совершению преступлений и изыскав средства, приступила непосредственно к их совершению согласно ранее достигнутому преступному плану и распределенным ролям. Так, Ш. С. В., реализуя преступный умысел организованной преступной группы, направленный на хищение денежных средств с использованием поддельных пластиковых карт, при неустановленных обстоятельствах в мае-июне 2007 г. приобрел информацию, находящуюся на магнитной полосе банковской карты № 5426730030103 международной платежной системы MasterCard International, выпущенной банком THE GOVERIVOR and COMPANY of The BANK of IRELAND (Ирландия), включающую в себя номер карты, срок ее действия, имя держателя карты, после чего, используя портативный компьютер — ноутбук «Acer» «Aspire 5612 WLMi» модель BL50, серийный номер LXATE0J12864800D931601, и установленную на нем программу Magnetic stripe card reader/writer, перепрограммировал полученную информацию, а именно заменил имя держателя кредитной карты № 5426730030103 на имя Казьмирук Евгения. Затем, используя специальное устройство энкодер магнитных карт MSR 206-3 HI серийный номер А012500 для вышеуказанных целей, записал вышеуказанную информацию на магнитную полосу имевшейся у него кредитной карты, в результате чего соучастники получали возможность распоряжаться денежными средствами, находящимися на не принадлежащем им счете. 18 июля 2007 г. Ш. С. В., реализуя преступный умысел организованной преступной группы, направленный на хищение денежных средств с использованием поддельных пластиковых карт, примерно в 14 ч. 50 мин., находясь около отдела «Столица» магазина «Три кота», расположенного по ул. Вокзальная / Минусинская, 40/8, Кировского района г. Астрахани, передал К. А. М., И. М. М и П. В. В. поддельную пластиковую карту международной пластиковой системы MasterCard International № 5426730030103, с помощью которой последние должны были приобрести товары в указанном магазине. Получив поддельную пластиковую карту, К. А. М., И. М. М. и П. В. В., реализуя преступный умысел организованной группы, направленный на хищение денежных средств ОАО «Г…банк» путем обмана, 18 июля 2007 г., примерно в 14 ч. 55 мин., вошли в отдел «Столица» магазин «Три кота», расположенного по ул. Вокзальная/Минусинская, 40/8, Кировского района г. Астрахани, где, предъявив менеджеру К. Д. Ю. поддельную пластиковую карту международной пластиковой системы MasterCard International № 5426730030103, предложили провести оплату выбранного ими ноутбука стоимостью 18 980 руб. К. Д. Ю., введенный в заблуждение и находясь в неведении относительно того, что предъявленная ему К. А. М., И. М. М и П. В. В. к оплате пластиковая карта международной платежной системы MasterCard International № 5426730030103 является поддельной, 18 июля 2007 г. в 15 ч. 02 мин., провел ею по заборнику POS-терминала, установленного в магазине и обслуживаемого ОАО «Г…банк». Получив подтверждение платежной системы MasterCard International о наличии на расчетном счете заявленной к оплате денежной суммы, совершил оплату сотового телефона, в ходе которой ОАО «Г…банк» на счет данной торговой точки, в соответствии с имеющимся договором на обслуживание держателей банковских карт, 18 июля 2007 г. была перечислена сумма в размере 18 980 руб. Получив после оплаты товар, соучастники его реализовывали на различных рынках г. Астрахани, а полученные от продажи денежные средства распределяли между собой. Таким образом, Ш. С. В., являясь организатором организованной преступной группы, действуя в ее составе совместно с П. В. В., И. М. М., К. А. М., используя поддельную пластиковую карту международной платежной системы MasterCard International № 5426730030103, совершил хищение денежных средств на общую сумму 18 980 руб., чем причинил ОАО «Г…банк» материальный ущерб на указанную сумму. То есть в совершении преступления, предусмотренного ч. 4 ст. 159 УК РФ по признакам: мошенничество, т. е. хищение чужого имущества путем обмана, совершенное организованной группой. <…> Ш. С. В., имея умысел на изготовление и сбыт поддельных банковских карт международных платежных систем MasterCard International и VISA, выяснив способы их подделки и порядок их предъявления к оплате в торгово-сервисных предприятиях г. Астрахани, с целью развития данной преступной деятельности и придания ей постоянного характера и масштабности, решил в июне 2007 г. организовать преступную группу для совершения преступлений, направленных на изготовление и сбыт поддельных банковских карт международных платежных систем. С целью реализации своего преступного умысла Ш. С. В. решил вовлечь в организованную преступную группу П. В. В., К. А. М., И. М. М. и иных лиц из числа работников магазинов, в которых установлены POS-терминалы, с использованием которых производится оплата товара по кредитным картам международных платежных систем MasterCard International и VM, разработал преступный план и распределил роли членов организованной преступной группы; при неустановленных следствием обстоятельствах приобрел паспорта на имя Маханова В. С., Фролова Н. Г., паспорт моряка на имя Баудинахуна Р. Д., пластиковые карты и энкодер магнитных карт MSR 206-3 HI серийный номер А012500; приспособил для совершения преступлений предметы, а именно энкодер магнитных карт MSR 206-3 HI серийный номер А012500, портативный компьютер — ноутбук «Acer» «Aspire 5612 WLMi» модель BL50, серийный номер LXATE0J12864800D931601. <… > Так, Ш. С. В. в соответствии с отведенной для него ролью, реализуя преступный умысел организованной преступной группы, направленный на изготовление в целях сбыта и сбыт поддельных банковских карт, при неустановленных обстоятельствах в мае — июне 2007 г. приобрел информацию, находящуюся на магнитной полосе банковской карты № 5420113828910200 международной платежной системы MasterCard International, выпущенной банком HSBC Bank PLC, расположенным London, United Kingdom (Лондон, Объединенное Королевство), включающую в себя номер карты, срок ее действия, имя держателя карты, после чего, используя портативный компьютер — ноутбук «Acer» «Aspire 5612 WLMi» модель BL50, серийный номер LXATE0J12864800D931601, и установленную на нем программу Magnetic stripe card reader/ writer перепрограммировал полученную информацию, а именно заменил имя держателя кредитной карты № 5420113828910200 на имя Мартыновой Надежды. Затем, используя специальное устройство энкодер магнитных карт MSR 206-3 Hl серийный номер А012500 для вышеуказанных целей, записал вышеуказанную информацию на магнитную полосу имевшейся у него кредитной карты с целью ее передачи другим участникам организованной преступной группы для дальнейшего использования в качестве средства платежа при оплате товаров при нижеописанных обстоятельствах. После этого Ш. С. В., реализуя преступный умысел организованной преступной группы, направленный на сбыт поддельной банковской карты международной платежной системы MasterCard International № 5420113828910200 18 июля 2007 г. примерно в 14 ч. 50 мин., находясь около отдела «Столица» магазина «Три кота», расположенного по ул. Вокзальная / Минусинская, 40/8, Кировского района г. Aстрахани, передал карту К. A. М., И. М. М и П. В. В., которые 18 июля 2007 г. примерно в 15 ч. 27 мин. сбыли ее менеджеру отдела «Столица» магазина «Три кота» К. Д. Ю., используя в качестве средства платежа при оплате товара на сумму 36 700 руб. Таким образом, Ш. С. В., являясь организатором организованной преступной группы, действуя в ее составе совместно с И. М. М., К. A. М. и П. В. В., осуществил сбыт поддельной пластиковой карты международной платежной системы MasterCard International № 5420113828910200 кассиру отдела «Столица» магазина «Три кота» К. Д. Ю., используя в качестве средства платежа при оплате товара. Таким образом, своими действиями Ш. С. В. совершил преступление, предусмотренное ч. 2 ст. 187 УК РФ по признакам — изготовление в целях сбыта, сбыт поддельных кредитных карт, совершенные организованной преступной группой. <…> Продолжая реализовывать преступный умысел группы, направленный на легализацию имущества, полученного в результате совершения преступления, т. е. легализацию сотового телефона «Samsung F 300», номер 352551012695298, приобретенного ими в результате совершения 21 июля 2007 г. преступления, а именно хищения путем обмана, Ш. С. В., являясь организатором преступной группы, действуя в ее составе совместно с П. В. В., И. М. М. и К. A. М., продал вышеуказанный сотовый телефон в отдел аудиовидеотехники и средств связи магазина «Детский мир», расположенного по адресу: г. Aстрахань, Ленинский район, ул. Савушкина, д. 46. То есть в совершении преступления, предусмотренного ч. 4 ст. 174.1 УК РФ по признакам — совершение сделок с имуществом, приобретенным лицом в результате совершения им преступления, совершенное организованной группой. Таким образом, преступная группа, состоящая из семи человек, обвинялась в противоправных действиях, квалифицированных следствием по ч. 4 ст. 159 УК РФ (мошенничество, т. е. хищение чужого имущества путем обмана, совершенное организованной группой) — от 5 до 10 лет лишения свободы; ч. 2 ст. 187 УК РФ (изготовление в целях сбыта, сбыт поддельных кредитных карт, совершенные организованной преступной группой) — от 4 до 7 лет лишения свободы; ч.4 ст. 174.1 УК РФ (совершение сделок с имуществом, приобретенным лицом в результате совершения им преступления, совершенное организованной группой) — от 10 до 15 лет лишения свободы. Судебные решения Однако уже в суде первой инстанции прокурор отказался от обвинения по статье 187 УК РФ — изготовление в целях сбыта, сбыт поддельных кредитных, расчетных карт. Постановление (Извлечения) 27 ноября 2008 г. Кировский районный суд г. Астрахани: В ходе судебных прений государственный обвинитель Ф. М. М. не поддержал государственное обвинение по ч. 1 ст. 187 УК РФ. Постановил: Прекратить производство по уголовному делу в отношении Ш. С. В. в части предъявленного ему обвинения по ч. 1 ст. 187, ч. 2 ст. 187 УК РФ (51 эпизод) по основаниям ч. 1 п. 2 ст. 24 УПК РФ — отсутствие состава преступления. Согласно приговору Кировского районного суда г. Астрахани из состава преступной группы были выведены кассиры торговых предприятий. ПРИГОВОР ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ (Извлечения) г. Астрахань 27 ноября 2008 г. Кировский районный суд г. Астрахани рассмотрев в открытом судебном заседании материалы уголовного дела УСТАНОВИЛ: Ш. С. В., П. В. В., К. A. M. и И. М. М., действуя организованной группой, совершили: мошенничество, т. е. хищение чужого имущества путем обмана, покушение на мошенничество, т. е. хищение чужого имущества путем обмана, а также совершили сделку с имуществом, приобретенным в результате совершения ими преступления. М. С. Г. и Д. А. А., действуя группой лиц по предварительному сговору, совершили 4 эпизода мошенничества, т. е. хищения чужого имущества путем обмана, И. Н. Р. совершил мошенничество, т. е. хищение чужого имущества путем обмана, действуя группой лиц по предварительному сговору. Преступления совершены подсудимыми при следующих обстоятельствах. Ш. С. В., имея умысел на совершение хищения денежных средств различных банков, а именно: ОАО «П… банк», ОАО «М… банк», Астраханского отделения №… С…банка, ОАО «Г… банк» — путем обмана и в составе организованной группы путем использования, изготовления и использования поддельных банковских карт международных платежных систем MasterCard International и VISA, выяснив способы их подделки и порядок их предъявления к оплате в торгово-сервисных предприятиях г. Астрахани, с целью развития данной преступной деятельности и придания ей постоянного характера и масштабности, решил в июне 2007 г. организовать преступную группу для совершения таких хищений. С целью реализации своего преступного умысла Ш. С. В. решил вовлечь в организованную преступную группу П. В. В., К. A. M. и И. М. М., разработал преступный план и распределил роли членов организованной преступной группы, при неустановленных обстоятельствах приобрел паспорта на имя Маханова B. C., Фролова Н. Г., паспорт моряка на имя Баудинахуна Р. Д., пластиковые карты и Энкодер (устройство, позволяющее считывать и записывать в электронном виде информацию на пластиковые банковские карты) магнитных карт MSR 206-3 HI серийный номер А012500; приспособил для совершения преступлений предметы, а именно энкодер магнитных карт MSR 206-3 HI серийный номер А012500, портативный компьютер — ноутбук «Асег» «Aspire 5612 WLMi» модель BL50, серийный номер LXATE0J12864800D931601. Реализуя свой преступный замысел, Ш. С. В. в один из дней июня 2007 г. предложил П. В. В., К. A. M. и И. М. М. объединиться в организованную преступную группу для совершения данных преступлений, на что последние согласились. Таким образом, в состав организованной преступной группы вошли: Ш. С. В., П. В. В., К. A. M., И. М. М. Для достижения преступной цели Ш. С. В. была организована схема совершения преступления, которая включала в себя изготовление поддельных кредитных карт международных платежных систем MasterCard International и VISA на имя Матвиенко Александра, Ахмедовой Гульсин, Уталиева Марата, Казьмирук Евгения, Кашиной Марины, Кириловой А., Фет Д., предъявление к оплате товара вышеуказанных поддельных кредитных карт сотрудникам магазина, сбыт приобретенного товара и последующее распределение между соучастниками вырученных денежных средств. В соответствии с достигнутой между соучастниками договоренностью и распределенными Ш. С. В. ролями Ш. С. В. при неустановленных обстоятельствах приобретал информацию, находящуюся на магнитной полосе банковских карт международных платежных систем MasterCard International и VISA, выпущенных иностранными банками, включающую в себя номер карты, срок ее действия, имя держателя карты, после чего, используя портативный компьютер — ноутбук «Асег Aspire 5612 WLMi» модель BL50, серийный номер LXATE0J12864800D931601, и установленную на нем программу Magnetic stripe card reader/writer, перепрограммировал полученную информацию, а именно заменял имена держателей кредитных карт на имя Матвиенко Aлександра, Aхмедовой Гульсин, Уталиева Марата, Казьмирук Евгения, Кашиной Марины, Кириловой A., Фет Д. Затем, используя специальное устройство энкодер магнитных карт MSR 206-3 HI серийный номер A012500 для вышеуказанных целей, записывал вышеуказанную информацию на магнитную полосу имевшихся у него кредитных карт, в результате чего соучастники получали возможность распоряжаться денежными средствами, находящимися на не принадлежащих им счетах. Подделав карты вышеуказанным способом, Ш. С. В. вместе с паспортами передавал их П. В. В., К. A. M. и И. М. М. Согласно распределенным Ш. С. В. ролям в обязанности П. В. В. входило: использование подделанных Ш. С. В. пластиковых карт в качестве средства платежа при оплате товаров в торгово-сервисных предприятиях г. Aстрахани, осуществление контроля за другими участниками преступной группы К. A. M. и И. М. М. При использовании поддельных кредитных карт он в удостоверение своей личности предъявлял паспорт на имя, которое указано в карте, данный ему Ш. С. В., сбывал приобретенный товар на рынках г. Aстрахани совместно с соучастниками. Согласно распределенным Ш. С. В. ролям в обязанности К. A. M. и И. М. М. входило: использование подделанных Ш. С. В. пластиковых карт в качестве средства платежа при оплате товаров в торгово-сервисных предприятиях г. Aстрахани. При этом при использовании поддельных кредитных карт в удостоверение своей личности К. A. M. и И. М. М. предъявляли паспорта, данные им Ш. С. В. на имя, которое указано в карте. Кроме того, К. A. M. и И. М. М. сбывали приобретенный товар на рынках г. Aстрахани совместно с соучастниками. Таким образом, организованная в июне 2007 г. преступная группа, состоящая из Ш. С. В., П. В. В., К. A. M., И. М. М., сплотившаяся под руководством Ш. С. В., приготовившись к совершению преступлений и изыскав средства, приступила непосредственно к их совершению согласно ранее достигнутому преступному плану и распределенным ролям. 18 июля 2007 г. Ш. С. В., реализуя преступный умысел организованной преступной группы, направленный на хищение денежных средств с использованием поддельных пластиковых карт, примерно в 14 ч. 50 мин., находясь около отдела «Столица» магазина «Три кота», расположенного по ул. Вокзальная / Минусинская, 40/8, Кировского района г. Aстрахани, передал К. A. M., И. М. М и П. В. В. поддельные пластиковые карты международной пластиковой системы MasterCard International № 5426730030103 и № 5420113828910200, с помощью которых последние должны были приобрести товары в указанном магазине. Получив поддельные пластиковые карты, К. A. M., И. М. М. и П. В. В., реализуя преступный умысел организованной группы, направленный на хищение денежных средств ОАО «Г…банк» путем обмана, 18 июля 2007 г., примерно в 14 ч. 55 мин., вошли в отдел «Столица» магазина «Три кота», расположенного по ул. Вокзальная / Минусинская, 40/8, Кировского района г. Астрахани, где, предъявив менеджеру К. Д. Ю. поддельную пластиковую карту международной пластиковой системы MasterCard International № 5426730030103, предложили провести оплату выбранного ими ноутбука стоимостью 18 980 руб., и, предъявив поддельную пластиковую карту международной пластиковой системы MasterCard International № 5420113828910200, предложили провести оплату выбранных ими четырех компьютерных мониторов на сумму 30 240 руб. и принтера стоимостью 6460 руб. К. Д. Ю., будучи введен в заблуждение и находясь в неведении относительно того, что предъявленные ему К. A. M., И. М. М и П. В. В. к оплате пластиковые карты международной платежной системы MasterCard International № 5426730030103 и № 5420113828910200 являются поддельными, 18 июля 2007 г. с 15 ч. 02 мин. по 15 ч. 43 мин. провел ими по заборнику POS-терминала, установленного в магазине и обслуживаемого ОАО «Г…банк». Получив подтверждение платежной системы MasterCard International о наличии на расчетном счете заявленной к оплате денежной суммы, совершил оплату указанного выше товара на общую сумму 55 680 руб., в ходе которой ОАО «Г…банк» на счет данной торговой точки, в соответствии с имеющимся договором на обслуживание держателей банковских карт, 18 июля 2007 г. была перечислена эта сумма. <… > Получая каждый раз после мошеннических действий товар, Ш. С. В., П. В. В., И. М. М. и К. A. M. реализовывали его на различных рынках г. Астрахани, а полученные от продажи денежные средства распределяли между собой. Указанными выше действиями подсудимых в общей сложности Поволжскому региональному управлению ОАО «П…банк» причинен ущерб на сумму 1 595 380 руб., Поволжскому региональному управлению ОАО «М…банк» — на сумму 324 445 руб., Поволжскому региональному управлению Астраханского отделения №… «С…банка» — ущерб на 360 360 руб. 20 коп., ОАО «Г…банк» — ущерб на сумму 55 680 руб. Добытое 21 июля 2007 г. в отделе «Телефон. ру» магазина «Три кота», расположенного по ул. Вокзальная / Минусинская, 40/8, Кировского района г. Астрахани, преступным путем имущество — сотовые телефоны «Samsung F 300» № 352551012695298 стоимостью 13 490 руб., «Sony Ericsson К 8101» № 356127043482063 стоимостью 13 990 руб., «Nokia N 73» № 356260042346805 стоимостью 14490 руб., «Nokia № 73» № 355521018096293 стоимостью 11 995 руб., «Nokia № 95» № 352255019038771 стоимостью 33 990 руб. — организованная группа в составе Ш. С. В., П. В. В., К. A. M. и И. М. М., имея целью придать вид правомерного владения денежными средствами, реализовала 21 июля 2007 г. путем финансовой операции — сделки купли-продажи в отдел аудиовидеотехники и средств связи магазина «Детский мир», расположенного по адресу: г. Астрахань, Ленинский район, ул. Савушкина, д. 46. <…> Суд Приговорил Ш. С. В. признать виновным в совершении преступлений, предусмотренных ч. 4 ст. 159, ч. 3 ст. 30, ч. 4 ст. 159, ч. 4 ст. 174.1 УК РФ, и назначить ему по данным статьям наказание: по ч. 4 ст. 159 УК РФ — шесть лет шесть месяцев лишения свободы; по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ — шесть лет шесть месяцев лишения свободы; по ч. 4 ст. 174.1 УК РФ — одиннадцать лет лишения свободы. В соответствии с ч. 3 ст. 69 УК РФ путем частичного сложения назначенных наказаний окончательно Ш. С. В. назначить наказание в виде двенадцати лет лишения свободы с отбыванием наказания в исправительной колонии строгого режима с исчислением срока наказания с 13 октября 2007 г. П. В. В. признать виновным в совершении преступлений, предусмотренных ч. 4 ст. 159, ч. 3 ст. 30, ч. 4 ст. 159, ч. 4 ст. 174.1 УК РФ, и назначить ему по данным статьям наказание: по ч. 4 ст. 159 УК РФ — шесть лет лишения свободы; по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ — пять лет лишения свободы; по ч. 4 ст. 174.1 УК РФ — десять лет лишения свободы. В соответствии с ч. 3 ст. 69 УК РФ путем частичного сложения назначенных наказаний окончательно П. В. В. назначить наказание в виде одиннадцати лет лишения свободы с отбыванием наказания в исправительной колонии строгого режима с исчислением срока наказания с 23 ноября 2007 г. К. А. М. признать виновной в совершении преступлений, предусмотренных ч. 4 ст. 159, ч. 3 ст. 30, ч. 4 ст. 159, ч. 4 ст. 174.1 УК РФ, и назначить ей по данным статьям наказание: по ч. 4 ст. 159 УК РФ — шесть лет лишения свободы; по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ — пять лет лишения свободы; по ч. 4 ст. 174.1 УК РФ — десять лет лишения свободы. В соответствии с ч. 3 ст. 69 УК РФ путем частичного сложения назначенных наказаний окончательно К. A. M. назначить наказание в виде одиннадцати лет лишения свободы с отбыванием наказания в исправительной колонии общего режима. На основании ст. 82 УК РФ отбывание назначенного К. A. M. наказания отсрочить до 2022 г. Контроль за поведением осужденной К. A. M. возложить на уголовно-исполнительную инспекцию по Ленинскому району г. Aстрахани. И. М. М. признать виновной в совершении преступлений, предусмотренных ч. 4 ст. 159, ч. 3 ст. 30, ч. 4 ст. 159, ч. 4 ст. 174.1 УК РФ, и назначить ей по данным статьям наказание: по ч. 4 ст. 159 УК РФ — шесть лет лишения свободы; по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ — пять лет лишения свободы; по ч. 4 ст. 174.1 УК РФ — десять лет лишения свободы. В соответствии с ч. 3 ст. 69 УК РФ путем частичного сложения назначенных наказаний окончательно И. М. М. назначить наказание в виде одиннадцати лет лишения свободы с отбыванием наказания в исправительной колонии общего режима. На основании ст. 82 УК РФ отбывание назначенного И. М. М. наказания отсрочить до 2023 г. Контроль за поведением осужденной И. М. М. возложить на уголовно-исполнительную инспекцию по Ленинскому району г. Aстрахани. М. С. Г. признать виновным в совершении преступлений, предусмотренных ч. 2 ст. 159, ч. 2 ст. 159, ч. 2 ст. 159, ч. 2 ст. 159 УК РФ, и назначить ему по данным статьям наказание: по эпизоду от 15 июля 2007 г. по ч. 2 ст. 159 УК РФ — один год шесть месяцев лишения свободы; по эпизоду от 21 июля 2007 г. по ч. 2 ст. 159 УК РФ — один год шесть месяцев лишения свободы; по эпизоду от 29 июля 2007 г. по ч. 2 ст. 159 УК РФ — один год шесть месяцев лишения свободы; по эпизоду от 2 августа 2007 г. по ч. 2 ст. 159 УК РФ — один год шесть месяцев лишения свободы. В соответствии с ч. 2 ст. 69 УК РФ путем частичного сложения назначенных наказаний окончательно М. С. Г. назначить наказание в виде двух лет лишения свободы с отбыванием наказания в колонии-поселении. Меру пресечения М. С. Г. изменить с подписки о невыезде и надлежащем поведении на заключение под стражу, взяв М. С. Г. под стражу в зале суда. Срок наказания М. С. Г. исчислять с 27 ноября 2008 г. и зачесть М. С. Г. в срок отбывания наказания время содержания под стражей с 22 ноября 2007 г. по 3 декабря 2007 г. года включительно. Д. А. А. признать виновной в совершении преступлений, предусмотренных ч. 2 ст. 159, ч. 2 ст. 159, ч. 2 ст. 159, ч. 2 ст. 159 УК РФ, и назначить ей по данным статьям наказание: по эпизоду от 15 июля 2007 г. по ч. 2 ст. 159 УК РФ — один год шесть месяцев лишения свободы; по эпизоду от 21 июля 2007 г. по ч. 2 ст. 159 УК РФ — один год шесть месяцев лишения свободы; по эпизоду от 29 июля 2007 г. по ч. 2 ст. 159 УК РФ — один год шесть месяцев лишения свободы; по эпизоду от 2 августа 2007 г. по ч. 2 ст. 159 УК РФ — один год шесть месяцев лишения свободы. В соответствии с ч. 2 ст. 69 УК РФ путем частичного сложения назначенных наказаний окончательно Д. А. А. назначить наказание в виде двух лет лишения свободы с отбыванием наказания в колонии-поселении. На основании ст. 82 УК РФ отбывание назначенного Д. А. А. наказания отсрочить до 3 августа 2022 г. Контроль за поведением осужденной Д. А. А. возложить на уголовно-исполнительную инспекцию по Ленинскому району г. Астрахани. И. Н. Р. признать виновным в совершении преступления, предусмотренного ч. 2 ст. 159 УК РФ, и назначить ему по данной статье наказание в виде одного года шести месяцев лишения свободы. В соответствии со ст. 73 УК РФ назначенное И. Н. Р. наказание считать условным с испытательным сроком на один год шесть месяцев. Обязать И. Н. Р. не менять место жительства без уведомления органов внутренних дел, продолжить обучение, ежемесячно являться на регистрацию в уголовно-исполнительную инспекцию по Ленинскому району г. Астрахани, на которую возложить контроль за поведением осужденного. Меру пресечения до вступления приговора в законную силу в отношении Ш. С. В., П. В. В., К. A. M., И. М. М., Д. А. А., И. Н. Р. оставить прежней: Ш. С. В. и П. В. В. — в виде заключения под стражу, К. A. M., И. М. М., Д. А. А. и И. Н. Р. — в виде подписки о невыезде и надлежащем поведении. Исковые требования потерпевшего ОАО «М… банк» удовлетворить, взыскав в солидарном порядке с Ш. С. В., П. В. В., К. А. М., И. М. М. в пользу открытого акционерного общества «М… банк» 312 205 (триста двенадцать тысяч двести пять) руб. Данное решение было рассмотрено в порядке кассации. Кассационное определение (Извлечения) Уголовное дело № 22-349/09 от 5 февраля 2009 г. Судебная коллегия Установила: <… > Изучив материалы дела, проверив доводы кассационного представления и кассационных жалоб, судебная коллегия находит приговор законным, обоснованным и справедливым. <… > Судебная коллегия считает обоснованным и мотивированным также и выводы суда о том, что М. С. Г., Д. А. А. и И. Н. Р. действовали по предварительному сговору группой лиц, а не в составе организованной группы, поскольку, как правильно указал суд в приговоре, каждый из них не знал всех участников организованной группы, не были они посвящены в ее планы, никто из них не знал, когда в следующий раз участники организованной группы придут в магазин для хищения. <… > Судебная коллегия Определила Приговор Кировского районного суда г. Астрахани от 27 ноября 2008 г. в отношении Ш. С. В., П. В. В., К. A. M., И. М. М., М. С. Г., Д. А. А. и И. Н. Р. оставить без изменения, а кассационные жалобы осужденных и их защитников и кассационного представления гособвинителя — без удовлетворения. В 2010 г. дело было рассмотрено в надзорной инстанции. Постановление (Извлечения) 12 октября 2010 г. 44у-105 Президиум Aстраханского областного суда Установил: Приговором Кировского районного суда г. Aстрахани от 27 ноября 2008 г. Ш. С. В…. осужден:… на срок 12 лет с отбыванием в исправительной колонии строгого режима. П. В. В…. осужден:… на срок 11 лет с отбыванием в исправительной колонии строгого режима. К. A. М…. осуждена:… на срок 11 лет с отбыванием в исправительной колонии общего режима… наказание отсрочено до 2022 г. И. М. М…. осуждена:… на срок 11 лет с отбыванием в исправительной колонии общего режима… наказание отсрочено до 2023 г. Постановлением Ленинского районного суда г. Aстрахани от 9 апреля 2009 г. отсрочка отбывания наказания И. М. М. отменена, осужденная направлена в исправительную колонию общего режима для отбывания наказания в виде лишения свободы сроком 11 лет. Этим же приговором осуждены М. С. Г., Д. A. A., И. Н. Р., судебные решения в отношении которых в порядке надзора не пересматривались. <… > Определением судебной коллегии по уголовным делам Aстраханского областного суда от 5 февраля 2009 г. приговор оставлен без изменения. Постановлением Советского районного суда г. Aстрахани от 27 мая 2010 г. по ходатайству адвоката Ж. Т. Н. в интересах осужденного Ш. С. В. о пересмотре приговора в порядке ст. 397 УПК РФ приговор Кировского районного суда г. Aстрахани от 27 ноября 2008 г. в отношении Ш.С. В. изменен: • исключено осуждение Ш. С. В. по ч. 4 ст. 174.1 УК РФ за отсутствием в его действиях состава преступления. Постановлено считать Ш. С. В. осужденным по приговору Кировского районного суда г. Aa-рахани от 27 ноября 2008 г. по ч. 4 ст. 159 УК РФ — к 6 годам 6 месяцам лишения свободы, по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ — к 5 годам 6 месяцам лишения свободы. В соответствии с ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения наказаний Ш. С. В. назначить окончательное наказание 7 лет 6 месяцев лишения свободы с отбыванием в исправительной колонии общего режима. В надзорном представлении первый заместитель прокурора области ставит вопрос об отмене судебных решений в отношении Ш. С. В., П. В. В., К. A. M. и И. М. A. в части осуждения их по ч. 4 ст. 174.1 УК РФ с прекращением производства по делу в этой части за отсутствием в их действиях состава преступления, изменении судебных решений в отношении Ш. С. В. в части осуждения его по ч. 4 ст. 159 УК РФ, а также в части назначения наказания и вида исправительного учреждения в отношении Ш. С. В., П. В. В. в связи с неправильным применением уголовного закона. В обоснование своих доводов указывает, что действия Ш. С. В., П. В. В., К. A. M. и И. М. М. от 21 июля 2007 г. по реализации похищенного имущества на сумму 87 955 руб. квалифицированы судом по ч. 4 ст. 174.1 УК РФ как легализация имущества, приобретенного лицом в результате совершения им преступления, совершенного организованной группой. В соответствии с действовавшей на момент совершения преступления редакцией ч. 4 ст. 174.1 УК РФ уголовная ответственность по данному закону наступала при совершении лицом преступления, предусмотренного ч. 2 и 3 ст. 174.1 УК РФ, и необходимым признаком состава преступления являлось наличие крупного размера, т. е. на сумму, превышающую один миллион руб., в связи с чем действия Ш. С. В., П. В. В., К. A. M. и И. М. М. подлежали квалификации по ч. 1 ст. 174.1 УК РФ. В соответствии с Федеральным законом от 7 апреля 2010 г. «О внесении изменений в отдельные законодательные акты Российской Федерации» уголовная ответственность по ч. 1 ст. 174.1 УК РФ наступает только при наличии крупного размера, который составляет 6 млн руб. В этой связи, в соответствии с положениями ст. 10 УК РФ, прокурор полагает, что в части осуждения Ш. С. В., П. В. В., К. A. M. и И. М. М. по ч. 4 ст. 174.1 УК РФ состоявшиеся судебные решения подлежат отмене с прекращением уголовного дела в связи с отсутствием состава преступления. С учетом изложенного и на основании ст. 58 УК РФ отбывание наказание Ш. С. В. и П. В. В. просит назначить в исправительной колонии общего режима. Кроме этого, указывает, что суд, квалифицировав действия Ш. С. В. по эпизоду от 7 июля 2007 г. по ч. 4 ст. 159 УК РФ, неверно применил уголовный закон и, в нарушение требований ст. 252 УПК РФ, вышел за пределы предъявленного ему обвинения. Изучив доводы надзорного представления первого заместителя прокурора области и надзорных жалоб осужденного и адвоката, проверив материалы дела, президиум Астраханского областного суда считает состоявшиеся судебные решения подлежащими изменению по следующим основаниям. Вывод суда о виновности Ш. С. В. в хищении путем обмана денежных средств Поволжского регионального управления Астраханского отделения №… С…банка в сумме 110 681 руб.; Ш. С. В., П. В. В., К. A. M. и И. М. М. в совершении в составе организованной группы мошенничества, т. е. хищения путем обмана денежных средств Поволжского регионального управления ОАО «П…банк» в сумме 1 595 380 руб., Поволжского регионального управления ОАО «М… банк» — в сумме 324 445 руб., Поволжского регионального управления Астраханского отделения №… С…банка — в сумме 360 360 руб., ОАО «Г…банк» — в сумме 55 680 руб., а также в покушении на хищение путем обмана денежных средств Поволжского регионального управления ОАО «М… банк» — в сумме 101 790 руб. в составе организованной группы, соответствует фактическим обстоятельствам дела и основан на исследованных в судебном заседании доказательствах. <… > Действиям Ш. С. В., П. В. В., К. A. M., И. М. М., связанным с хищением чужого имущества путем мошенничества в составе организованной группы, дана правильная юридическая оценка по ч. 4 ст. 159 УК РФ и ч. 3 ст. 30, ч. 4 ст. 159 УК РФ. <… > Вместе с тем приговор в отношении Ш. С. В., П. В. В., К. A. M., И. М. М. подлежит изменению по следующим основаниям. Как видно из описательно-мотивировочной части приговора, Ш. С. В., П. В. В., К. A. M. и И. М. А. признаны виновными в том, что добытое 21 июля 2007 г. в отделе «Телефон, ру» магазина «Три кота» преступным путем имущество — сотовые телефоны «Самсунг Ф 300» стоимостью 13 490 руб., «Сони Эриксон К 810и» стоимостью 13 990 руб., «Нокиа Н-73» стоимостью 11 995 руб., «Нокиа Н 95» стоимостью 33 990 руб., «Нокиа Н 73» стоимостью 14 490 руб. — всего на общую сумму 87 955 руб. в составе организованной группы, имея целью придать вид правомерного владения денежными средствами, реализовали в этот же день путем финансовой операции — сделки купли-продажи в отдел аудиовидеотехники и средств связи магазина «Детский мир», расположенного по адресу: г. Астрахань, ул. Савушкина, д. 46. Действия Ш. С. В., П. В. В., К. A. M. и И. М. М. в этой части квалифицированы судом по ч. 4 ст. 174.1 УК РФ как совершение других сделок с иным имуществом, приобретенным лицом в результате совершения им преступления, совершенного организованной группой. Между тем, как правильно указано в надзорном представлении, по смыслу ч. 4 ст. 174.1 УК РФ в редакции ФЗ РФ от 21 ноября 2003 г., действовавшей на момент постановления приговора, уголовная ответственность за указанное преступление наступала при совершении лицом преступления, предусмотренного ч. 2,3 ст. 174.1 УК РФ. При этом необходимым признаком состава преступления являлось наличие крупного размера, т. е. совершение сделок на сумму, превышающую 1 млн руб. Таким образом, действия осужденных на момент постановления приговора подлежали квалификации по ч. 1 ст. 174.1 УК РФ. Однако суды первой и кассационной инстанций этих обстоятельств не приняли во внимание. При этом в соответствии с Федеральным законом от 7 апреля 2010 г. «О внесении изменений в отдельные законодательные акты РФ» уголовная ответственность по ч. 1 ст. 174.1 УК РФ наступает только при наличии крупного размера, который составляет 6 млн руб. Как следует из предъявленного органами предварительного расследования обвинения и обстоятельств, установленных судом в приговоре, Ш. С. В., П. В. В., К. A. M. и И. М. М. 21 июля 2007 г. реализовано приобретенное в результате совершения ими преступления имущество на сумму 87 955 руб., что не образует крупного размера. Согласно ст. 10 УК РФ уголовный закон, устраняющий преступность деяния, имеет обратную силу. В отношении Ш. С. В. постановлением Советского районного суда г. Aстрахани от 27 мая 2010 г. приговор приведен в соответствие с действующим уголовным законом, с исключением осуждения Ш. С. В. по ч. 4 ст. 174.1 УК РФ за отсутствием в его действиях состава преступления и назначением ему окончательного наказания по совокупности преступлений, предусмотренных ч. 4 ст. 159 УК РФ и ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, в виде лишения свободы сроком на 7 лет 6 месяцев с отбыванием в исправительной колонии общего режима. Указанное постановление вступило в законную силу и приговор суда в этой части в отношении Ш. С. В. изменению не подлежит. При таких обстоятельствах президиум Aстраханского областного суда приходит к выводу, что судебные решения в части осуждения П. В. В., К. A. M. и И. М. М. по ч. 4 ст. 174.1 УК РФ подлежат изменению, действия осужденных подлежат переквалификации на ч. 1 ст. 174.1 УК РФ в редакции ФЗ РФ от 8 декабря 2003 г. с освобождением осужденных от назначенного по данной статье наказания в связи с декриминализацией преступления. Кроме того, как видно из материалов уголовного дела, органами предварительного расследования по факту хищения 7 июля 2007 г. Ш. С. В. девяти сотовых телефонов его действия, связанные с хищением путем обмана каждого телефона, были квалифицированы как 9 самостоятельных преступлений — по ч. 1 ст. 159 УК РФ. При этом совершение указанных преступлений организованной группой Ш. С. В. не вменялось. Правильно указав о необходимости квалификации действий Ш. С. В. в части хищения девяти сотовых телефонов единым составом, суд первой инстанции неверно пришел к выводу о том, что эти его действия, исходя из единого умысла, направленного на хищение чужого имущества, не требуют отдельной квалификации и подлежат квалификации по ч. 4 ст. 159 УК РФ. Квалифицировав действия Ш. С. В. по девятия эпизодам хищения сотовых телефонов 7 июля 2007 г. единым составом вместе с другими эпизодами хищений, совершенных в составе организованной группы, суд, в нарушение требований ст. 252 УПК РФ, вышел за пределы предъявленного обвинения, ухудшил положение осужденного, что повлияло на назначение ему наказания, в том числе и по совокупности преступлений. В этой связи приговор суда первой инстанции, определение суда кассационной инстанции и постановление Советского районного суда г. Астрахани от 27 мая 2010 г. в отношении Ш. С. В. подлежат изменению. Действия Ш. С. В., связанные с хищением путем обмана 7 июля 2007 г. девяти сотовых телефонов, подлежат переквалификации на ч. 1 ст. 159 УК РФ с назначением за указанное преступление наказания со смягчением наказания, назначенного Ш. С. В. по ч. 4 ст. 159 УК РФ, и окончательного наказания по совокупности преступлений. В связи с изменениями, внесенными в судебные решения, и в силу положений п. «б» ч. 1 ст. 58 УК РФ подлежит изменению вид исправительного учреждения, назначенный П. В. В., отбывание наказания которому следует назначить в исправительной колонии общего режима. На основании изложенного и руководствуясь ст. 408 УПК РФ, президиум Астраханского областного суда Постановил: Приговор Кировского районного суда г. Астрахани от 27 ноября 2008 г., определение судебной коллегии по уголовным делам Астраханского областного суда от 5 февраля 2009 г. в отношении Ш. С. В., П. В. В., К. А. М., И. М. М. и постановление Советского районного суда г. Астрахани от 27 мая 2010 г. в отношении Ш. С. В. изменить: • переквалифицировать действия П. В. В., К. А. М., И. М. М. с ч. 4 ст. 174.1 УК РФ на ч. 1 ст. 174.1 УК РФ в редакции ФЗ от 8 декабря 2003 г., освободить П. В. В., К. А. М., И. М. М. от наказания в связи с декриминализацией преступления. Смягчить наказание, назначенное П. В. В., К. А. М., И. М. М. на основании ч. 3 ст. 69 УК РФ по совокупности преступлений, предусмотренных ч. 4 ст. 159 УК РФ и ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, до 7 лет лишения свободы каждому. Отбывание наказания осужденному П. В. В. назначить в исправительной колонии общего режима. Действия Ш. С. В., связанные с хищением 7 июля 2007 г. девяти сотовых телефонов, в квалифицировать по ч. 1 ст. 159 УК РФ, по которой назначить наказание в виде лишения свободы сроком на 1 год. Смягчить назначенное Ш. С. В. наказание по ч. 4 ст. 159 УК РФ до 6 лет 3 месяцев. На основании ч. 3 ст. 69 УК РФ путем частичного сложения наказаний по совокупности преступлений, предусмотренных ч. 1 ст. 159 и ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, окончательно назначить Ш. С. В. наказание в 7 лет 3 месяца лишения свободы. В остальной части судебные решения оставить без изменения. Комментарии Анализ данного уголовного дела показывает, что признание потерпевшими, которым причинен ущерб, в результате использования поддельных банковских карт иностранных эмитентов в торговых предприятиях российских эквайреров является правомерным. При этом гражданский иск может быть заявлен в рамках уголовного либо гражданского судопроизводства, но может и не заявляться совсем. Например, в рамках данного уголовного дела «М… банк» исковые требования предъявил в рамках уголовного судопроизводства, а ОАО «Г…банк» был заявлен иск в гражданском судопроизводстве к владельцу магазина «Столица компьютерная» ИП ч. А. А., который 21 июля 2008 г. удовлетворил Арбитражный суд Московской области, 15 октября 2008 г. Десятый арбитражный апелляционный суд данное решение оставил без изменения, т. е. решение вступило в законную силу. Другие банки гражданские иски не заявляли. Несмотря на то что организованная группа лиц осуществляла изготовление поддельных кредитных, расчетных карт, государственный обвинитель отказался от вменения ст. 187 УК РФ (изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов), так как отчуждение поддельных карт осуществлялось внутри группы. Также следует отметить, что участие кассиров предприятий в противоправной деятельности при хищении с использованием банковских карт не влечет для них более тяжкой уголовной ответственности, например, по ч. 3 ст. 159 УК РФ — мошенничество, совершенное лицом с использованием своего служебного положения (лишение свободы на срок от 2 до 6 лет). Наиболее тяжкой статьей, вмененной осужденным, являлась ст. 174.1 УК РФ (легализация (отмывание) денежных средств или иного имущества, приобретенных лицом в результате совершения им преступления). Однако действия осужденных, составлявшие состав преступления, по данной статье в настоящее время декриминализированы — не являются преступлением. Практика признания в качестве потерпевших российских банков-эквайреров при использовании в российских торгово-сервисных предприятиях поддельных банковских карт иностранных эмитентов в настоящий момент находит свое подтверждение во множестве судебных решений. Уголовное дело № 044162 от 11 марта 2008 г., Москва. Эквайринг ТСП ЗАЯВЛЕНИЕ Начальнику БСТМ МВД России Сообщаю Вам, что 9 января 2008 г. года в процессинговый центр «Г…банк» (ОАО) поступил звонок из магазина «Видео», расположенного по адресу: Москва, 87-й км МКАД, д. 8, обслуживаемого «Г…банк» (OAO) по договору №… от 30 мая 2007 г. года «О проведении расчетов при реализации товаров (работ, услуг) с использованием банковских карт» между «Г…банк» (OAO) и ООО «ВИДЕО МЕНЕДЖМЕНТ» (Приложение 2), которому принадлежит магазин. Кассир сообщила, что неустановленное лицо для оформления операции оплаты товара предъявило банковскую карту, на которой номер, графически нанесенный на лицевую сторону, не совпадал с номером, считанным с магнитной полосы данной карты и распечатанным на чеке POS-терминала. При проверке по базе данных платежной системы VISA номера карты, считанного с магнитной полосы (№ 4128003361194692), было установлено, что карта с таким номером должна быть эмитирована (выпущена) банком Citibank (South Dakota), N. A., P. O. Box 6055, Sioux Falls, South Dakota 57 117, U. S. A. тел. 800-950-5114 ^0A) как VISA Classic кредитная. В то же время по описанию кассира к оплате была предъявлена карта VISA № 4299077190509406 ООО «Банк Финсервис» (г. Москва, набережная Тараса Шевченко, д. 23 «A», тел. 725-2525). В связи с тем что номер карты, графически нанесенный на карту (№ 4299077190509406), отличался от номера, записанного на магнитной полосе (№ 4128003361194692), и графические реквизиты карты определяли ее как эмитированную «Банком Финсервис», а реквизиты, закодированные на магнитной полосе, — банком Citibank, то данная карта является поддельной кредитной картой. В связи с этим сотрудники процессингового центра попросили операцию покупки отменить, карту изъять, вызвать сотрудников милиции для задержания лица, совершившего операцию оплаты с использованием данной поддельной кредитной карты. Дополнительно сообщаю, что по банковской карте № 4128003361194692 в различных магазинах «Видео» с 7 по 9 января 2008 г. всего было совершено 17 операций на общую сумму 766 257 Семьсот шестьдесят шесть тысяч двести пятьдесят семь) руб., по последней операции на сумму 48 270 (Сорок восемь тысяч двести семьдесят) руб. была совершена отмена платежа, так как кассир магазина обнаружила, что карта поддельная. Копии электронных платежных документов и копии чеков ПОС-терминалов прилагаются (Приложения 3 и 4). Положение ЦБ РФ № 266-П регламентирует, что при совершении операций с платежными картами составляются документы на бумажном носителе и (или) в электронной форме, данные документы являются основанием для осуществления расчетов, а именно при осуществлении операций с использованием платежных карт формируются документы, являющиеся распоряжением клиента об осуществлении операций по его банковскому счету. В Приложении 20 Положения ЦБ РФ № 2-П описание поля 39 платежного ордера дано как «Шифр платежного документа» (проставляется условное цифровое обозначение (шифр) оплачиваемого расчетного документа согласно правилам ведения бухгалтерского учета в Банке России или правилам ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации). А в Положении ЦБ РФ № 205-П один из кодов данного шифра обозначен как «13 — Расчеты с применением банковских карт». Таким образом, при расчетах с применением банковских карт формируются платежные документы. В Письме МНС РФ от 28 февраля 2002 г. № 03-2-06/543/24-з951 сказано, что данные платежные документы формируются в электронном виде в торговом предприятии покупателем и направляются в процессинговый центр (подразделение, осуществляющее сбор, обработку и рассылку участникам расчетов — кредитным организациям информации по операциям с платежными картами). Согласно п. 3.3 Положения ЦБ РФ № 266-П платежные документы должны содержать следующие обязательные реквизиты: • идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт; • вид операции; • дату совершения операции; • сумму операции; • валюту операции; • сумму комиссии (если имеет место); • код авторизации (если осуществлялась процедура авторизации); • реквизиты платежной карты. Документ по операциям с использованием платежной карты на бумажном носителе дополнительно должен содержать подпись держателя платежной карты. Таким образом, платежный документ по операциям с платежными картами составляется на бумажном носителе (чек POS-терминала или слип-импринтера) и/или в электронном виде и содержит обязательные реквизиты, указанные в Положении ЦБ РФ № 266-П. Поддельным платежным документом может быть подлинный платежный документ, в который были внесены несанкционированные изменения, либо полностью изготовленный платежный документ, в том числе формально подлинный, от лица держателя карты, который не санкционировал или не инициировал изготовление данного документа. То есть подделать документ можно не только технически (техническая подделка), но и логически (интеллектуальный подлог) — например, когда документ составляется неверным числом, от имени другого лица, когда в документе фиксируется событие, которого не было, и др. Так как при оформлении операции покупки товара использовалась поддельная кредитная карта, законный держатель не подписывал чек POS-терминала и не давал распоряжения на проведение операции, то такой платежный документ является поддельным (фиктивным, подложным). В результате действий неустановленного лица с использованием поддельной кредитной банковской карты № 4128003361194692 было изготовлено 18 (восемнадцать) поддельных платежных документов, которые были направлены (сбыты) в Г…банк (ОАО), из них 17 (семнадцать) платежных документов были оплачены (произведено перечисление денежных средств со счета «Г…банк» (ОАО) на счет ООО «ВИДЕО МЕНЕДЖМЕНТ»). Таким способом совершено хищение денежных средств в сумме 717 987 Семьсот семнадцать тысяч девятьсот восемьдесят семь) руб. и покушение на хищение денежных средств в размере 48 270 (Сорок восемь тысяч двести семьдесят) руб. В связи с вышеизложенным прошу Вас провести проверку данного факта и по данному факту возбудить уголовное дело. Мне известно об ответственности за заведомо ложный донос в соответствии со ст. 306 УК РФ. Приложения: 1. Копия доверенности П. Н. П. — на 1 л. в1 экз. 2. Копия «Договора о проведении расчетов при реализации товаров (работ, услуг) с использованием банковских карт» — на 6 л. в1 экз. 3. Копия электронных платежных документов по карте № 4128003361194692 — на 1 л. в1 экз. 4. Копии чеков POS-терминалов — на 5 л. в1 экз. 5. Список кассиров предприятия — на 1 л. в1 экз. 6. Диск CD-R80 с аудиозаписью разговора кассира магазина «Видео» и оператора процессингового центра «Г…банк» (ОАО) — в 1 экз. Представитель «Г…банк» (ОАО) (по доверенности) Н.П.П. Приговор (Извлечения) УД № 1-05/10 28 июня 2010 г. г. Москва Преображенский районный суд г. Москвы… Установил: Г. Ю. В., М. Р. А., Ш. А. И. совершили мошенничество, т. е. хищение чужого имущества путем обмана, совершенное организованной группой, а именно: в неустановленное время, но не позднее сентября 2007 г., из корыстных мотивов, связанных с преступным обогащением и с целью совершения тяжких преступлений, Г. Ю. В., Ш. A. И., М. Р. A. и иное лицо объединились в организованную преступную группу, для которой были характерны сплоченность на длительный период преступной деятельности, общий преступный замысел, предварительное планирование преступных действий, подготовка средств реализации преступного замысла, подбор соучастников, распределение ролей и обеспечение мер по сокрытию преступлений, подчинение групповой дисциплине, и разработали план и механизм хищения денежных средств, принадлежащих различным кредитным организациям, с использованием поддельных карт международной платежной системы VISA (ВИЗЛ). Для достижения намеченных преступных целей перечисленные лица самостоятельно изучили действие международной платежной системы VISA и меры защиты, применяемые в указанной платежной системе, разработали схему совершения хищений, которая включала в себя изготовление поддельных пластиковых расчетных карт международной платежной системы VISA, предъявление к оплате вышеуказанных поддельных пластиковых расчетных карт в торговые предприятия, где создан канал коммуникации с процессинговым центром (юридическое лицо или его структурное подразделение, обеспечивающее информационное и технологическое взаимодействие между участниками расчетов по операциям с использованием платежных карт), последующая реализация приобретенных по поддельным пластиковым расчетным картам товаров и распределение между соучастниками вырученных от реализации указанных товаров денежных средств. С целью организации преступной деятельности Г. Ю. В. предоставил место своего жительства — квартиру, расположенную по адресу: г. Москва, ул. Мичуринский проспект, д. 48, кв…., в которой перечисленные лица установили приобретенное за счет объединенных денежных средств оборудование, необходимое для изготовления поддельных пластиковых расчетных карт: • энкодер — прибор, предназначенный для нанесения на магнитную полосу закодированной информации о номере карты, сроке ее действия, коде обслуживания, имени держателя карты, специальной информации, генерируемой эмитентом и используемой для удаленной электронной проверки подлинности карты; • принтер, предназначенный для нанесения изображений и текста на поверхности заготовок пластиковых карт; • эмбоссер — прибор, предназначенный для нанесения путем тиснения и выдавливания идентификационной информации (номера карты, срока действия, имени держателя) на поверхности заготовок пластиковых карт. В этот же период времени Г. Ю. В., действуя с целью реализации общего преступного плана, используя принадлежащий ему компьютер Tsunami Dream (Волна Мечты), установленный в квартире по указанному выше адресу, подключенный к глобальной компьютерной сети Интернет, приобретал у неустановленных лиц путем обращения на интернет-ресурсы, организованные неустановленными лицами с целью оказания помощи развитию преступной деятельности неограниченным кругом лиц по изготовлению поддельных расчетных и кредитных карт, их использованию и сбыту, а также иным преступным посягательствам на чужое имущество с использованием глобальной сети Интернет: www.just-buy.it (сайт «просто купи»), зарегистрированный неустановленными лицами на территории Итальянской Республики, и www.cardingworld.cc (сайт «мир кардинга»), зарегистрированный на территории государства Кокосовые острова, добытые неустановленным способом, предназначенные для размещения на магнитных полосах пластиковых расчетных карт, интерпретируемые платежными системами при совершении финансовых операций закодированные данные пластиковых расчетных карт, принадлежащих иностранным банкам: о номере карты, платежной системе, имени и типе карты, наименовании организации-эмитента и имени держателя карты (если карта именная), специальную информацию, генерируемую эмитентом и используемую для удаленной электронной проверки подлинности карты. Указанные данные он хранил в памяти жесткого диска своего компьютера, а также в памяти принадлежащего неустановленному лицу мультимедийного плеера ipod (айпод) модель А1136. В этот же период времени перечисленные лица получили в установленном порядке в различных кредитных организациях пластиковые расчетные карты. Г. Ю. В. подыскал соучастника в совершении преступлений — А. Д. А., которому разъяснил преступную схему хищения денежных средств, принадлежащих различным кредитным организациям, с использованием поддельных карт международной платежной системы VISA, и определил его ролевые функции: • приобретение электронных изделий и иных товаров с предоставлением в качестве оплаты заведомо поддельных пластиковых расчетных карт в различных торговых организациях, расположенных на территории г. Москвы; • поиск иных лиц, которые также должны приобретать электронные изделия и иные товары с предоставлением в качестве оплаты заведомо поддельных пластиковых расчетных карт в различных торговых организациях; • поиск лиц, которые должны приобретать в установленном порядке пластиковые расчетные карты для последующего изготовления на их основе поддельных пластиковых расчетных карт. А. Д. А., согласившись участвовать в совершении преступлений, также приобрел в установленном порядке в различных кредитных организациях пластиковые расчетные карты. После этого Г. Ю. В. и иное лицо, находясь в квартире, расположенной по указанному выше адресу, применяя энкодер, переносили из памяти принадлежащего ему компьютера указанные выше закодированные данные пластиковых расчетных карт, банками-эмитентами которых являлись иностранные кредитные организации, на магнитные полосы имевшихся у них пластиковых расчетных карт, полученных в установленном порядке, изготавливая таким образом заведомо поддельные пластиковые расчетные карты, предназначенные для немедленной оплаты товаров, работ и услуг путем перечисления средств с текущего счета владельца карты на счет лица, осуществляющего продажу товаров, выполнение работ, оказание услуг в пределах имеющейся на счете суммы, в результате чего соучастники получали возможность распоряжаться денежными средствами, находящимися на не принадлежащих им счетах. С целью исключения возможного выявления указанных преступных действий продавцами и кассирами торговых предприятий, в которых планировалось предъявлять к оплате поддельные пластиковые расчетные карты, перечисленные выше лица составляли сценарии преступных действий и проводили общие репетиции, в ходе которых отрабатывали свои преступные действия, включающие в себя: предъявление к оплате заведомо поддельных пластиковых расчетных карт продавцам и кассирам торговых предприятий, получение незаконно приобретенных путем предъявления к оплате заведомо поддельных пластиковых расчетных карт изделий, выход из торгового предприятия. Товары, приобретенные вышеописанным способом, соучастники реализовывали на различных рынках г. Москвы, а полученные от продажи денежные средства распределяли между собой. Действуя согласно отведенной роли с целью реализации общего преступного замысла, Г. Ю. В. в неустановленное время, но не позднее 7 января 2008 г., получил от М. Р. А. приобретенную последним 25 сентября 2007 г. в установленном законом порядке пластиковую расчетную карту международной платежной системы VISA № 42990771905099406, банком-эмитентом которой является ОАО «Банк Финсервис». На магнитную полосу указанной пластиковой расчетной карты Г. Ю. В. совместно с иным лицом, исполняя отведенные им роли изготовителей поддельных пластиковых расчетных карт, в неустановленное время нанесли с помощью энкодера приобретенные у неустановленных лиц посредством глобальной сети Интернет закодированные данные (о номере карты, сроке ее действия, коде обслуживания, имени держателя карты, специальную информацию, генерируемую эмитентом и используемую для удаленной электронной проверки подлинности карты) пластиковой расчетной карты международной платежной системы VISA № 4128003361194692, банком-эмитентом которой является банк Citibank (South Dakota), N. A., P. O. Box 6055, Sioux Falls, South Dakota 57117.U. S. A. (Сити Банк (Южная Дакота), абонентский ящик 6055, г. Су-Фоле, Южная Дакота 57117, США) (далее — Сити Банк (Южная Дакота)), изготовив поддельную пластиковую расчетную карту. Изготовленную указанным способом заведомо поддельную пластиковую расчетную карту Г. Ю. В. в неустановленное время, но не позднее 7 января 2008 г., передал М. Р. А. Реализуя общий преступный замысел, М. Р. А. и Ш. А. И., зная порядок предъявления пластиковых расчетных карт к оплате в торгово-сервисных предприятиях г. Москвы, где создан канал коммуникации с процессинговым центром, определили место совершения преступления и распределили свои роли. После чего 7 января 2008 г. в 00 час. 23 мин., находясь в магазине ООО «Видео менеджмент», расположенном по адресу: г. Москва, ул. Садовая-Спасская, д. 3, стр. 3, обслуживающимся в соответствии с договором №… от 30 мая 2007 г. «О проведении расчетов при реализации товаров (работ, услуг) с использованием пластиковых расчетных карт» ОАО «Г…банк» (банк-эквайрер — финансовая организация, осуществляющая деятельность по осуществлению расчетов с предприятиями торговли (услуг) по операциям, совершаемым с использованием платежных карт, и осуществлению операций по выдаче наличных денежных средств держателям платежных карт, не являющихся клиентами данной кредитной организации), М. Р. А., выполняя роль покупателя, выбрал совместно с Ш. А. И. неустановленное изделие, реализуемое данным торговым предприятием, стоимостью 24 990 руб. и предъявил к оплате кассиру вышеуказанного магазина С. О. Г. заведомо поддельную пластиковую расчетную карту международной платежной системы VISA № 42990771905099406, выпущенную банком-эмитентом ОАО «Банка Финсервис» России, на магнитном слое которой имелись закодированные данные пластиковой расчетной карты № 4128003361194692, банком-эмитентом которой является банк Сити Банк (Южная Дакота). Ш. А. И., действуя согласно отведенной ему роли, находился в этот момент рядом и наблюдал за окружающей обстановкой с целью своевременного обнаружения обстоятельств, препятствующих совершению преступления. Введенная в заблуждение относительно подлинности пластиковой расчетной карты кассир магазина ООО «Видео менеджмент» С. О. Г., полагая, что предъявленная М. Р. А. пластиковая расчетная карта является подлинной, исполняя свои служебные обязанности, поместила полученную от него поддельную пластиковую расчетную карту в соответствующее гнездо электронного программно-технического устройства ридер POS-терминал, предназначенного для совершения операций с использованием пластиковых расчетных карт, в результате чего: • скопированная информация о карте № 4128003361194692 и запрашиваемая сумма, предназначенная для оплаты товара, в виде электронного файла была направлена в банк-эквайрер — ОАО «Г…банк» и далее, через платежную систему VISA, в банк-эмитент — Сити Банк (Южная Дакота), который в автоматическом режиме осуществил проверку карты на присутствие в списке недействительных (украденных, утерянных, поддельных) карт, а также проверку данных о производимой операции с набором правил для данного клиента (проверка на превышение доступного остатка разрешенных лимитов); • по результату проверки банк-эмитент — Сити Банк (Южная Дакота) направил в виде электронного файла в обратном порядке предприятию торговли ООО «Видео менеджмент» ответ об одобрении операции с предоставлением кода авторизации (здесь и далее: разрешение, предоставляемое эмитентом для проведения операции с использованием пластиковой расчетной карты); • после чего OAO «Г…банк» была произведена оплата выбранного М. Р. A. изделия путем перечисления в соответствии с договором №… денежных средств на расчетный счет ООО «Видео менеджмент» в сумме 24 990 руб. Подписав выданный электронным программно-техническим устройством ридер POS-терминал чек, М. Р. A. и Ш. A. И. забрали незаконно приобретенное изделие стоимостью 24 990 руб., которым они совместно с Г. Ю. В. и иным лицом распорядились неустановленным способом. Таким образом, Г. Ю. В., М. Р. A. и Ш. A. И. путем обмана в составе организованной группы совершили хищение принадлежащих OAO «Г…банк» денежных средств в сумме 24 990 руб., чем причинили ущерб указанному OAO в сумме 24 990 руб. <…> Виновность в совершении вышеописанных преступлений подтверждается следующими исследованными в судебном заседании доказательствами, показаниями потерпевших: • П. Н. П. — представителя КБ «Г…банк» (OAO), допрошенного в судебном заседании и в основном подтвердившего показания, данные им на предварительном следствии, а именно указавшего, что во всех вмененных подсудимым мошеннических действиях в отношении денежных средств «Г…банк» (OAO), в торговых предприятиях, обслуживающихся в соответствии с договором эквайринга, при оплате товаров использовались поддельные банковские расчетные карты. В результате произошли хищения денежных средств, принадлежащих КБ «Г…банк». Кроме того, им была описана процедура оплаты товара в торговой точке по банковской карте, согласно которой покупатель, желающий оплатить товар банковской картой, предъявляет ее кассиру. С помощью электронного терминала формируется платежный документ, направляющийся в банк-эквайрер, т. е. КБ «Г…банк», который оплачивает данную операцию. В дальнейшем данные денежные средства возмещаются КБ «Г…банк» платежной системой. Считает, что КБ «Г…банк» был причинен ущерб, так как денежные средства за приобретаемый в магазине товар переводились со счета КБ «Г…банк». Гражданский иск не заявляет. Суд, оценивая показания потерпевших Ф. и Р., не соглашается с их доводами о том, что ущерб их банкам не причинен, так как денежные средства были возмещены банками-эмитентами. Исходя из смысла закона ущерб, причиненный преступлением, определяется на момент совершения преступления. Судом установлено, и это не опровергают также и данные потерпевшие, что при предъявлении поддельных банковских карт приобретаемый товар оплачивался денежными средствами соответствующего банка-эквайрера. В связи с чем суд делает вывод, что на момент мошеннических действий ущерб нес банк-эквайрер. Приговорил: Г. Ю. В. признать виновным в совершении преступлений, предусмотренных ч. 4 ст. 159 УК РФ, 87 преступлений, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ — 26 преступлений, и назначить ему наказание: по ч. 4 ст. 159 УК РФ, 87 преступлений, — в виде 3 лет лишения свободы без штрафа по каждому преступлению, с применением ст. 64 УК РФ по каждому преступлению; по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ (26 преступлений) в виде 2 лет 6 месяцев лишения свободы без штрафа по каждому преступлению с применением ст. 64 УК РФ по каждому преступлению. На основании ч. 3 ст. 69 УК РФ по совокупности преступлений окончательно назначить Г. Ю. В. наказание путем частичного сложения в виде лишения свободы сроком 3 года 9 месяцев без штрафа с отбыванием наказания в исправительной колонии общего режима с исчислением наказания с 25 января 2009 г., с зачетом содержания под стражей с 2 апреля 2008 г. по 4 апреля 2008 г. М. Р. А. признать виновным в совершении преступлений, предусмотренных ч. 4 ст. 159 УК РФ, 72 преступления, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, 17 преступлений, ч. 1 ст. 187 УК РФ, 2 преступления, ч. 3 ст. 30, ч. 1 ст. 187 УК РФ, 2 преступления, и назначить ему наказание: по ч. 4 ст. 159 УК РФ, 72 преступления — в виде 3 лет лишения свободы без штрафа по каждому преступлению, с применением ст. 64 УК РФ по каждому преступлению; по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, 17 преступлений — в виде 2 лет 6 месяцев лишения свободы без штрафа по каждому преступлению с применением ст. 64 УК РФ по каждому преступлению; по ч. 1 ст. 187 УК РФ, 2 преступления — в виде 2 лет лишения свободы без штрафа по каждому преступлению, с применением ст. 64 УК РФ по каждому преступлению; по ч. 3 ст. 30, ч. 1 ст. 187 УК РФ, 2 преступления — в виде 2 лет лишения свободы без штрафа по каждому преступлению, с применением ст. 64 УК РФ по каждому преступлению. На основании ч. 3 ст. 69 УК РФ по совокупности преступлений окончательно назначить М. Р. А. наказание путем частичного сложения в виде 3 лет 6 месяцев лишения свободы без штрафа с отбыванием наказания в исправительной колонии общего режима с исчислением наказания с 25 декабря 2008 г. с зачетом содержания под стражей с 31 марта 2008 г. по 4 апреля 2008 г. Ш.А. И. признать виновным в совершении преступлений, предусмотренных ч. 4 ст. 159 УК РФ, 72 преступления, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, 17 преступлений, и назначить ему наказание: по ч. 4 ст. 159 УК РФ, 72 преступления — в виде 3 лет лишения свободы без штрафа по каждому преступлению с применением ч. 6.1 ст. 88 УК РФ по каждому преступлению; по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, 17 преступлений — в виде 2 лет 6 месяцев лишения свободы без штрафа по каждому преступлению с применением ч. 6.1 ст. 88 УК РФ по каждому преступлению. На основании ч. 3 ст. 69 УК РФ по совокупности преступлений окончательно назначить Ш. А. И. наказание путем частичного сложения в виде 5 лет лишения свободы без штрафа. В соответствии со ст. 73 УК РФ назначенное наказание Ш. А. И. считать условным с испытательным сроком в течение 3 лет, возложив на осужденного обязанности: в период испытательного срока не совершать правонарушений, не менять своего постоянного места жительства без уведомления специализированного органа, ведающего исполнением наказания, продолжить обучение. Засчитать Ш. А. И. в срок отбытого наказания время содержания под стражей с 1 апреля 2008 г. по 4 апреля 2008 г. С. К. А. признать виновным в совершении преступлений, предусмотренных ч. 4 ст. 159 УК РФ, 19 преступлений, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, 12 преступлений, и назначить ему наказание: по ч. 4 ст. 159 УК РФ, 19 преступлений — в виде 3 лет лишения свободы без штрафа по каждому преступлению с применением ч. 6.1 ст. 88 УК РФ по каждому преступлению; по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, 12 преступлений — в виде 2 лет 6 месяцев лишения свободы без штрафа по каждому преступлению с применением ч. 6.1 ст. 88 УК РФ по каждому преступлению. На основании ч. 3 ст. 69 УК РФ по совокупности преступлений окончательно назначить С. К. А. наказание путем частичного сложения в виде 3 лет 6 месяцев лишения свободы без штрафа. В соответствии со ст. 73 УК РФ назначенное наказание С. К. А. считать условным с испытательным сроком в течение 2 лет, возложив на осужденного обязанности: в период испытательного срока не совершать правонарушений, не менять своего постоянного места жительства без уведомления специализированного органа, ведающего исполнением наказания, продолжить обучение. А. Д. А. признать виновным в совершении преступлений, предусмотренных ч. 4 ст. 159 УК РФ, 9 преступлений, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, 7 преступлений, и назначить ему наказание: по ч. 4 ст. 159 УК РФ, 9 преступлений — в виде 5 лет 3 месяцев лишения свободы без штрафа по каждому преступлению; по ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, 7 преступлений — в виде 5 лет лишения свободы без штрафа по каждому преступлению. На основании ч. 3 ст. 69 УК РФ по совокупности преступлений окончательно назначить A. Д. A. наказание путем частичного сложения в виде 5 лет 6 месяцев лишения свободы без штрафа. В соответствии со ст. 73 УК РФ назначенное наказание A. Д. A. считать условным с испытательным сроком в течение 2 лет, возложив на осужденного обязанности: в период испытательного срока не совершать правонарушений, не менять своего постоянного места жительства без уведомления специализированного органа, ведающего исполнением наказания. Д. A. В. признать виновным в совершении преступлений, предусмотренных ч. 3 ст. 30, ч. 5 ст. 33, ч. 1 ст. 187, ч. 5 ст. 33, ч. 1 ст. 187, ч. 3 ст. 30, ч. 1 ст. 159 УК РФ, 2 преступлений, и назначить ему наказание: по ч. 3 ст. 30, ч. 5 ст. 33, ч. 1 ст. 187 УК РФ — в виде 2 лет лишения свободы без штрафа с применением ст. 64 УК РФ; по ч. 5 ст. 33, ч. 1 ст. 187 УК РФ — в виде 2 лет лишения свободы без штрафа с применением ст. 64 УК РФ; по ч. 3 ст. 30, ч. 1 ст. 159 УК РФ, 2 преступления — в виде 1 года лишения свободы по каждому преступлению. На основании ч. 3 ст. 69 УК РФ по совокупности преступлений, окончательно назначить Д. A. В. наказание путем частичного сложения в виде 2 лет 6 месяцев лишения свободы без штрафа. В соответствии со ст. 73 УК РФ назначенное наказание Д. A. В. считать условным с испытательным сроком в течение 2 лет, возложив на осужденного обязанности: в период испытательного срока не совершать правонарушений, не менять своего постоянного места жительства без уведомления специализированного органа, ведающего исполнением наказания. Избранную в отношении Д. A. В. меру пресечения в виде заключения под стражу отменить и освободить Д. A. В. в зале судебного заседания, засчитав в срок отбытого наказания время нахождения под стражей с 26 апреля 2010 г. по 01 июля 2010 г. Мерой пресечения до вступления приговора в законную силу Г. Ю. В., М. Р. A. оставить заключение под стражей, С. К. A., A. Д. A., Ш. A. И. — до вступления приговора в законную силу оставить подписку о невыезде и надлежащем поведении. Уголовное дело № 152830, Екатеринбург. Скимминговые накладки Обвинительное заключение (Извлечения) Обвиняется: И. Г. Т. и Б. Ц. Н., являясь членами международной организованной преступной группы, действующей с 2005 г. по настоящее время с территории Республики Болгария в странах Европейского Союза и Российской Федерации, деятельность которой была направлена на совершение хищений путем обмана чужих денежных средств в особо крупном размере наличными с банковских счетов законных держателей банковских карт международных платежных систем «Виза Интернейшенэл» (VISA International), «МастерКард» (MasterCard) и российской платежной системы «Юнион Кард» (Union Card) по поддельным пластиковым картам через банкоматы, находящиеся в Испании, Нидерландах и Румынии, в соответствии с отведенной И. Г. Т и Б. Ц. Н. ролью в составе организованной преступной группы, заключающейся в неправомерном доступе к охраняемой законом компьютерной информации путем незаконного копирования данных о персональных идентификационных номерах-кодах (далее по тексту ПИН-кодах) и реквизитах банковских карт с помощью использования специальных программ при микро-ЭВМ, заведомо приводящих к несанкционированному копированию информации, сборе сведений, составляющих банковскую тайну, незаконным способом из корыстной заинтересованности, с целью совершения указанных преступлений в городе Екатеринбурге оформили через российскую туристическую организацию — Общество с ограниченной ответственностью «Аваллон» города Москвы — въездные туристические визы на территорию Российской Федерации на период с 7 мая 2007 г. года по 6 июня 2007 г., и, в неустановленное следствием время, в неустановленном месте и у неустановленных следствием лиц из числа членов этой организованной группы получили для обеспечения своей преступной деятельности следующие предметы и средства: 1. Два комплекта специальных технических средств, предназначенных для негласного получения конфиденциальной информации, имитирующих функциональные детали банкомата уличного использования модели «Винкор Никсдорф Прокеш 2050» (WincorNixdorf Procash 2050), незаконно произведенных неустановленными следствием лицами в неустановленное следствием время и в неустановленном месте, в состав которых входили: а) две внештатные накладки на лицевую панель клавиатуры банкомата с серийными номерами 4361 и 4372, каждая из которых имела программное обеспечение и программно-аппаратный комплекс, состоящий из однокристальной микро-ЭВМ — контроллера, с разработанной неустановленными следствием лицами и установленной в него специальной программой для микроЭВМ, заведомо приводящей к несанкционированному копированию в память микро-ЭВМ информации о ПИН-коде, вводимом в электронно-вычислительную машину (далее по тексту ЭВМ) банкомата законным держателем банковской карты для доступа к своему банковскому счету через систему дистанционного банковского обслуживания; б) две внештатные накладки на устройство для приема карт в банкомат, каждая из которых имела программное обеспечение и программно-аппаратный комплекс, состоящий из однокристальной микро-ЭВМ — контроллера, с разработанной неустановленными следствием лицами и установленной в него специальной программой для микро-ЭВМ, заведомо приводящей к несанкционированному копированию в память микро-ЭВМ информации о содержании второй дорожки магнитной полосы банковской карты, на которой находятся записанные в электронном виде и предназначенные для дальнейшей обработки ЭВМ банкомата сведения о номере банковской карты, сроке ее действия, сервис-коде, а также секретные коды СиВиВи (CVV) и ПиВиВи (PVV), необходимые для проверки реквизитов банковской карты и проведения операций по ней. 2. Элементы питания в количестве 20 штук, последовательно соединенные между собой по три штуки — для работы внештатной накладки на клавиатуру для ввода ПИН-кода и по две штуки — для работы внештатной накладки на устройство для приема банковских карт, с целью их периодической замены. 3. Флеш-карту памяти для переноса скопированной информации. 4. Двухсторонний скотч для приклеивания внештатных накладок к штатным деталям банкомата. 5. Вольтметр для проверки уровня заряда элементов питания, используемых во внештатных накладках. Помимо этого он, И. Г. Т., на свой персональный компьютер (ноутбук) установил специальные программы для ЭВМ, предназначенные для считывания из памяти микро-ЭВМ внештатных накладок несанкционированно скопированной информации о банковских картах и ПИН-кодах. 8 мая 2007 г. он, И. Г. Т., и Б. Ц. Н., реализуя преступный замысел неустановленных следствием лиц, заранее объединившихся в организованную преступную группу, направленный на хищение путем обмана чужих денежных средств в особо крупном размере, находящихся на банковских счетах, с целью сбора из корыстной заинтересованности незаконным способом сведений, составляющих банковскую тайну, путем осуществления неправомерного доступа к охраняемой законом компьютерной информации с помощью использования специальных программ для микро-ЭВМ, заведомо приводящих к несанкционированному копированию информации, под видом туристов прибыли на авиарейсе № 172 из Софии в международный московский аэропорт «Шереметьево-2», после чего в тот же день авиарейсом № СУ 627 вылетели в г. Екатеринбург. 9 мая 2007 г. не позднее 15 ч. И. Г. Т. и Б. Ц. Н., действуя целенаправленно и согласованно в интересах организованной преступной группы, пришли к банкомату модели «Винкор Никсдорф Прокеш 2050» (WincorNixdorf Procash 2050), функционирующему в круглосуточном режиме, предназначенному для обслуживания клиентов со стороны улицы, принадлежащему открытому акционерному обществу (далее по тексту OAO) «С… — банк», имеющему регистрационный номер терминала в сети Интернет AТМ90042, расположенному по адресу: г. Екатеринбург, ул. Вайнера, д. 10, имея при себе специальные технические средства: внештатную накладку на устройство для приема карт в банкомат, внештатную накладку на клавиатуру для ввода ПИН-кода с серийным номером 4372, а также двусторонний скотч. Действуя умышленно и совместно он, И. Г. Т., и Б. Ц. Н., с целью последующего хищения путем обмана чужих денежных средств в особо крупном размере, находящихся на банковских счетах, при помощи двухстороннего скотча, опасаясь быть уличенными, негласно наклеили поверх технологической щели считывателя магнитной полосы банковских карт штатного устройства для приема карт в банкомат внештатную накладку с программно-аппаратным комплексом и установленной в нем специальной программой для микро-ЭВМ, заведомо приводящей к несанкционированному копированию в память микро-ЭВМ информации со второй дорожки магнитной полосы банковской карты, составляющей банковскую тайну. Затем совместными усилиями, сознавая, что их действия незаконные, с этой же преступной целью продавили на несколько миллиметров штатную панель клавиатуры указанного банкомата и, при помощи двухстороннего скотча негласно наклеили на нее внештатную накладку на клавиатуру с программно-аппаратным комплексом и установленной в нем специальной программой для микро-ЭВМ, заведомо приводящей к несанкционированному копированию в память микро-ЭВМ информации о ПИН-коде доступа к банковскому счету законного держателя банковской карты, составляющем банковскую тайну, включив внутреннее питание в обеих накладках для запуска указанных программ. Тем самым он, И. Г. Т., и Б. Ц. Н., действуя совместно в интересах организованной преступной группы, не обладая правами на получение и работу с данной информацией, осуществили неправомерный доступ к компьютерной информации, охраняемой ст. 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», вводимой в ЭВМ банкомата законным держателем банковской карты при наборе на клавиатуре ПИН-кода для доступа к своему карточному банковскому счету, что повлекло несанкционированное копирование информации, выразившееся в переносе в память микро-ЭВМ внештатной накладки на клавиатуру информации о ПИН-кодах, а также содержащейся на машинном носителе — второй дорожке магнитной полосы банковской карты, что повлекло несанкционированное копирование информации, выразившееся в переносе в память микро-ЭВМ внештатной накладки на устройство для приема карт информации о номерах и сроках действия банковских карт, сервис-кодах, секретных кодах СиВиВи (CVV) и ПиВиВи (PVV), необходимых для проведения операций в банкомате, их обработки в процессинговом центре банка-эквайрера, серверах платежной системы, процессинговом центре банка-эмитента через систему дистанционного банковского обслуживания, в результате чего обладателю указанной конфиденциальной клиентской информации ОАО «С… — банк» был причинен ущерб. Для синхронизации скопированной информации о ПИН-кодах доступа к карточным банковским счетам и содержании второй дорожки магнитной полосы банковских карт пользователей банкомата АТМ90042, он, И. Г. Т., и Б. Ц. Н. ввели в устройство для приема карт указанного банкомата свою болгарскую пластиковую небанковскую клубную карту «Пикадили клуб», имеющую № 9702801000207450, используя ее в качестве тестовой операции. После чего в продолжение своих преступных действий, с целью периодической синхронизации скопированной информации о ПИН-кодах доступа и содержании второй дорожки магнитной полосы банковских карт пользователей указанного банкомата в период с 10 по 12 мая 2007 г. он, И. Г. Т., и Б. Ц. Н. неоднократно подходили к этому банкомату и вводили в устройство для приема карт свою болгарскую пластиковую небанковскую клубную карту «Пикадили клуб», имеющую № 9702801000136786, используя в ее качестве тестовой операции, а именно: 10 мая 2007 г. в 23 ч. 08 мин., в 23 ч. 20 мин. 36 с. и в 23 ч. 20 мин. 50 с., в 23 ч. 21 мин., в 23 ч. 22 мин.; 11 мая 2007 г. в 13 ч. 20 мин., в 15 ч. 20 мин., в 21 ч. 56 мин., в 23 ч. 32 мин. 32 с. и в 23 ч. 32 мин. 54 с.; 12 мая 2007 г. в 13 ч. 58 мин. и в 20 ч. 54 мин. Таким образом, за период не позднее 15 ч. 9 мая 2007 г. по 21 ч. 40 мин. 12 мая 2007 г., он, И. Г. Т., и Б. Ц. Н., действуя совместно с единым умыслом, направленным на последующее хищение путем обмана чужих денежных средств с банковских счетов в особо крупном размере, в результате скрытно установленных на банкомат АТМ90042, принадлежащий ОАО «С… — банк» специальных технических средств — внештатных накладок на клавиатуру и на устройство для приема карт в банкомат, и используя специальные программы для микро-ЭВМ, заведомо приводящие к несанкционированному копированию информации, незаконным способом из корыстной заинтересованности собрали сведения о 737 реквизитах банковских карт: <…> … платежных систем «Виза Интернейшенэл» (VISA International), «МастерКард» (MasterCard) и «Юнион Кард» (Union Card), составляющих банковскую тайну на основании ст. 26 Федерального закона от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности», прикрепленных к банковским счетам, на которых в период с 9 по 12 мая 2007 г. на момент проведения последних операций законными держателями банковских карт в указанном банкомате находились денежные средства в особо крупном размере на общую сумму 8 052 999,12 руб. Это позволяло ему, И. Г. Т., Б. Ц. Н. и другим неустановленным следствием лицам, заранее объединившимся в организованную преступную группу, незаконно скопированную информацию о реквизитах банковских карт нанести на магнитную полосу поддельных пластиковых карт. При помощи незаконно скопированного ПИН-кода путем обмана проникнуть в банковскую систему под видом законных держателей банковских карт, получить полноценный неограниченный доступ к распоряжению чужими денежными средствами, находящимися на банковских счетах в указанной сумме, к которым прикреплены банковские карты, и посредством банкомата безвозмездно обратить их в свою пользу или пользу других лиц. 12 мая 2007 г. в 21 ч 40 мин. он, И. Г. Т., и Б. Ц. Н., действуя с единым умыслом, пришли к банкомату АТМ90042, принадлежащему ОАО «С… — банк», расположенному по адресу: г. Екатеринбург, ул. Вайнера, д. 10, и совместными усилиями демонтировали ранее установленные ими внештатные накладки на устройство для приема карт в банкомат и на клавиатуру для ввода ПИН-кода с информацией, незаконно скопированной в микро-ЭВМ, имея намерение воспользоваться ею в целях личного обогащения при проведении операций в банкоматах по поддельным пластиковым картам, однако задуманное хищение не смогли довести до конца по независящим от их воли обстоятельствам, так как 12 мая 2007 г. в 21 ч 45 мин. оба были задержаны сотрудниками милиции. Своими умышленными действиями И. Г. Т. совершил покушение на мошенничество, т. е. хищение чужого имущества путем обмана, совершенное организованной группой, в особо крупном размере, т. е. преступление, предусмотренное ч. 3 ст. 30, ч. 4 ст. 159 УК РФ. <… > Своими умышленными действиями И. Г. Т. совершил неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), повлекший копирование информации организованной группой, т. е. преступление, предусмотренное ч. 2 ст. 272 УК РФ. <… > Своими умышленными действиями И. Г. Т. совершил сбор сведений, составляющих банковскую тайну, незаконным способом из корыстной заинтересованности, т. е. преступление, предусмотренное ч. 3 ст. 183 УК РФ. <… > Своими умышленными действиями И. Г. Т. совершил использование программ для ЭВМ, заведомо приводящих к несанкционированному копированию информации, т. е. преступление, предусмотренное ч. 1 ст. 273 УК РФ. <… > Доказательствами, подтверждающими обвинение… являются: <… > Показания эксперта Т. О. В. — заместителя начальника отдела компьютерных экспертиз и технологий ЭКЦ МВД России, которая пояснила, что в результате проведенных ею судебных экспертиз № 9036 от 20 марта 2008 г. и № 1689 от 8 апреля 2008 г. за период с 9 по 14 мая 2007 г. была получена следовая картина процесса негласного получения конфиденциальной клиентской информации пользователей банкомата AТМ90042, принадлежащего OAO «С… — банк», и банкомата AТМ4146, принадлежащего филиалу OAO «Т..К…банк» в г. Екатеринбурге, отразившегося на журнальных лентах указанных банкоматов, в содержимом файла «доло1105а1» («dolo1105a1»), расположенном на ноутбуке, изъятом в ходе обыска в гостинице «Парк Инн», г. Екатеринбург, и на флеш-накопителе, изъятом в ходе личного досмотра у Б. Ц. Н., в следах работы в ноутбуке специальных программ для ЭВМ: «KOKO», «джиРап» (gRap), «КэйБиДи1» («KBD1»), «Майти_Кли» («Mitu_Cli»), в датах и времени установки и снятия на оба банкомата накладок на картридер и клавиатуру, изъятых при личном досмотре у И. Г. Т. и при осмотре места происшествия с банкомата АТМ4146, в виде фиксации использования небанковских карт болгарского супермаркета «Пикадили», тестовых запусков специальных программ для ЭВМ «KOKO» и «джиРап» («gRap»), проверки работоспособности накладок на клавиатуру и картридер банкомата, их содержимым, скачивание информации с картридера и клавиатуры банкомата АТМ4146, принадлежащего филиалу ОАО «Т…К…Банк» в г. Екатеринбурге и, возможно, с картридера банкомата АТМ90042, принадлежащего ОАО «С…банк», что подтверждается датой и временем создания, сохранения и содержимым файлов «горе1105а1» («gore1105a1») и «доло1105а1» («dolo1105a1»); файла «уор\ доло1105а1» («wor\dolo1105a1») с флеш-накопителя, изъятого в ходе личного досмотра Б. Ц. Н., датой и временем сохранения, содержимым файла «виндоус\систем32\чет\дат» («windows\ system32\chet.dat»); датами и временем сохранения файлов «виндоус\префеч\джирап. икси-31378еа. пф» («windows\prefetch\grap.exe-31378ea3.pf») и «виндоус\префеч\коко. икси-06еф56а0.пф» («windows\prefetch\koko.exe-06ef56a0.pf»). (том № 8, л. д. 296–300) Показания свидетеля Т. О. В. — заместителя начальника отдела компьютерных экспертиз и технологий ЭКЦ МВД России, которая пояснила, что в файле «доло1105а1» («dolo1105a1») в ноутбуке, изъятом в ходе обыска в гостинице «Парк Инн», накладке на картридер банкомата АТМ90042, изъятой в ходе личного досмотра И. Г. Т., и в накладке на картридер банкомата, изъятой при осмотре места происшествия с банкомата АТМ4146 филиала ОАО «Т…К…Банк» в г. Екатеринбурге, за 10,11 и 12 мая 2007 г. имеются сведения об использовании небанковской пластиковой карты № 9702801000136786 и одновременном нажатии на клавиатуре для ввода ПИН-кода клавиш 1234567890 и 0987654321. (том № 10, л. д. 329–332) Показания свидетеля Ш. И. Г. — руководителя экспертной службы ООО «Г. кардсервис», который пояснил, что банковская платежная карта является инструментом безналичных расчетов, достоверно устанавливающим соответствие между номером банковской карты и номером банковского счета клиента, к которому она прикреплена. Для совершения хищения чужих денежных средств с банковского счета под видом законного держателя банковской карты путем снятия наличных денег через банкоматы необходимо нанести на заготовку поддельной пластиковой карты информацию о содержании второй дорожки магнитной полосы банковской карты и одновременно обладать информацией о ПИН-коде. Незаконное копирование вводимого клиентами ПИН-кода и информации с магнитной полосы банковской карты — трека 1 и/или трека 2 осуществляется при помощи использования специальных программ для микро-ЭВМ, записанных в микроконтроллере накладки на клавиатуру и накладки на картридер, устанавливаемых на банкомат. Данные, извлеченные из микроконтроллеров накладок на картридер банкоматов AТМ90042 и AТМ4146, расположенных в г. Екатеринбурге, соответствуют тем сведениям, которые должны присутствовать на треке № 2 магнитной полосы банковской карты в соответствии с требованиями международных платежных систем. Треки, содержащие некорректные символы, могут использоваться в терминалах, которые позволяют совершить операцию без отправки авторизационного запроса на разрешение операции банку-эмитенту карты, т. е. в режиме офф-лайн. (том № 8, л. д. 334–340) Показания свидетеля П. Н. П., начальника сектора платежных систем отдела защиты информационных технологий управления защиты информации службы (департамента) безопасности «Г…банк» (OAO), который пояснил, что в соответствии с поступившим запросом № 17/сч-6077 от 11 апреля 2008 г. на криптографическом модуле произведена генерация значений ПиВиВи по предоставленным в запросе значениям ПИН-кодов и их сравнение со значениями ПиВиВи, записанными на вторых дорожках магнитной полосы банковских карт, эмитированных банком, предоставленных в запросе. Вычисленные и представленные в запросе значения ПиВиВи оказались идентичными. Обладая указанной в запросе информацией о вторых дорожках на магнитной полосе и о ПИН-кодах при проведении операций в банкоматах с использованием поддельных банковских карт, возможно осуществить несанкционированный доступ к банковским счетам с целью хищения денежных средств. (том № 12, л. д. 240–242) Заключение программно-технической судебной экспертизы № 54/3 от 26 июля 2007 г., из выводов которой следует, что представленные на экспертизу накладка на картридер и накладка на клавиатуру к штатным элементам банкомата не относятся. Корпус и печатная плата накладки на клавиатуру изготовлены промышленным способом, монтаж электронных компонентов и доработка клавиатуры выполнены кустарным способом. Накладка на картридер изготовлена кустарным способом, устанавливается в углубление перед штатным картоприемником банкомата. Накладка на картридер и накладка на клавиатуру представляют собой электронные устройства, которые являются частями программно-аппаратного комплекса, предназначенного для получения конфиденциальной информации об учетно-регистрационных данных владельцев банковских карт, копирование которой происходит следующим образом: при нажатии клавиш на клавиатуре происходит запись последовательности их нажатия в память микроконтроллера; при прохождении банковской карты через накладку на картридер информация, содержащаяся на магнитной полосе карты, считывается и регистрируется в памяти микроконтроллера. Оба микроконтроллера позволяют сохранять скопированную информацию и в последующем считывать ее при помощи ПЭВМ со специальным программным обеспечением. (том № 2, л. д. 51–56) Заключение программно-технической судебной экспертизы № 54/8 от 26 июля 2007 г., из выводов которой следует, что представленный на экспертизу ЭВМ (ноутбук) с техническими характеристиками: процессор — «Джениен Интел» («Genuine Intel») T2500 @ 2.000Ггц, 2000Ггц; оперативная память — 1Гб; привод чтения\записи компакт\DVD\RAM дисков — «HL-DT-ST DVDRAM GMA-4082N»; жесткий диск — «Хитачи Тревелста» («HITACHI Travelstar»), модель — «HTS721080G9SA00», серийный номер — «Y4GJWH3E», объем — 80 Гб; видеоадаптер — «Эйти Мобилити Рейдиун» («ATI Mobility Radeon») X1300; сетевая карта, аудиоконтроллер, блютуз-адаптер (Bluetooth-адаптер), Вай-фай-карта (Wi-Fi-карта), модем интегрированы в системную плату, — исправен, является машинным носителем информации, предназначенным для записи и хранения данных, представленных в виде, пригодном для обработки автоматическими средствами при возможном участии человека. В качестве средств для ограничения доступа к информации использовались пароли, установленные на учетные записи операционной системы, а также пароль, установленный на просмотр информации, генерируемой программами специального назначения. При помощи данной ЭВМ осуществлялся доступ к ресурсам сети «Интернет», о чем свидетельствуют заполненные директории, содержащие в себе авторизационные файлы интернет-страниц. Доступ осуществлялся посредством сетевых подключений, взаимодействующих с модемом, встроенным в мобильный телефон, предположительно марки «Нокиа» («Nokia»), и с помощью подключения к беспроводным сетям посредством встроенного в материнскую плату WiFi-контроллера с идентификаторами сети — «нетпоинт» («netpoint») и «водафоун» («vodafone»). При помощи данной ЭВМ осуществлялось общение через сеть Интернет при помощи программы «иБэй-Скайп тм Версион» («eBay — Skype tm Version») 3.0.41.216, позволяющей вести голосовой и текстовый чат — обмен мгновенными сообщениями на болгарском языке. На жестком диске ноутбука обнаружены программы специального назначения: «джиРап. иксе» («gRap.exe»), «КеБиДи1.иксе» («KBD1.exe») и «Р_ПиЕсВикли. иксе» («R_PSWcli.exe»), предназначенные для считывания информации с внешнего микроконтроллера посредством КОМ-порта (COM-порта). В директории «C: \WINDOWS\system32» обнаружена программа специального назначения — «КОКО^». Данный программный продукт предназначен для считывания информации с внешнего микроконтроллера посредством COM-порта и преобразования полученных данных в файл, а также считывания сохраненных данных из файла. Функция отображения информации из файла защищена паролем. В директории «C: \Program Files\xerox\EKBG» обнаружены файлы «доло1105a1» («dolo1105a1») и «горе1105a1» («gore1105a1»), сгенерированные вышеперечисленным программным обеспечением специального назначения. Представленная на экспертизу флеш-карта исправна и является машинным носителем информации. На флеш-карте обнаружены файлы, сгенерированные с помощью программ специального назначения, обнаруженных на жестком диске ноутбука — «dolo1105a1», «gore1105a1». Файлы «gore1105а1», «dolo1105a1» выявлены в ходе проведения анализа флеш-карты на наличие удаленных файлов. Файлы «dolo1105a1», «gore1105a1» идентичны файлам, найденным на жестком диске ноутбука в директории «C: \Program Files\xerox\EKBG». (том № 2, л. д. 173–193) Заключение комплексной судебной экспертизы № 9036э от 20 марта 2008 г. с приложениями, из выводов которой следует, что на представленном на исследование ноутбуке имеются файлы, содержащие информацию, касающуюся изготовления и сбыта банковских платежных карт, а также информация о подключении ноутбука к сети Интернет, файлы, содержащие информацию о контактах пользователя, историю электронной переписки и передаваемых файлов. Также в ноутбуке и на флеш-накопителе имеются файлы, совпадающие по содержанию: файл «dolo1105a1», вероятно, содержащий данные о нажатии клавиш, фиксируемых накладкой на клавиатуру банкомата, и файл «gore1105a1», вероятно, содержащий данные, фиксируемые накладкой на приемник картридера. Для считывания и обработки данных из накладки на клавиатуру банкомата, вероятно, использовались программы «KOKO», «KBD1». Для считывания данных, фиксируемых накладкой на приемник картридера, вероятно, использовались программы «gRap», «Майти_кли» («Mitu_Cli»). На представленном на исследование ноутбуке имеется информация о временных характеристиках одновременной работы программ «gRap» и «KOKO» в период с 29 апреля 2007 г. по 15 ч. 39 мин. 12 мая 2007 г. Помимо этого, программа «gRap» запускалась 9 мая 2007 г. года в 15 ч. 11 мин., 11 мая 2007 г. в 19 ч. 46 мин. и спустя 2 мин.; программа «KOKO» запускалась 9 мая 2007 г. года в 15 ч. 08 мин., 11 мая 2007 г. в 19 ч. 50 мин. и через 2и4 мин. Файлы, содержащие информацию, описанную в заключении эксперта, записаны на компакт-диск однократной записи c номером, нанесенным вокруг посадочного отверстия hQZ70681920B03, являющийся приложением № 5. (том № 10, л. д. 18-228) Протокол осмотра предмета от 12 февраля 2008 г., в ходе которого осмотрен микроконтроллер внештатной накладки на картридер банкомата АТМ90042, принадлежащего ОАО «С… — банк», защищенный паролем против считывания сохраненных в нем данных, с участием специалистов произведен демонтаж микросхемы памяти микроконтроллера, в результате чего обнаружена и извлечена информация о содержании второй дорожки магнитной полосы банковских карт в виде 784 наборов данных из накладки на картридер банкомата AТМ90042, изъятой 13 мая 2007 г. при личном досмотре И. Г. Т. (том № 11, л. д. 20–26) Заключение комплексной судебной экспертизы № 1689э от 8 апреля 2008 г., из выводов которой следует, что внештатные накладки на устройство для приема карт в банкомат и на клавиатуру для ввода ПИН-кода, изъятые в ходе личного досмотра И. Т. Г. и изъятые с банкомата AТМ4146, принадлежащего филиалу OAO «Т…К…Банк» в г. Екатеринбурге, имеют единый источник происхождения и являются двумя аналогичными комплектами, которые относятся к специальным техническим средствам, предназначенным для негласного получения с технических устройств передачи, обработки и хранения конфиденциальной клиентской информации пользователей систем дистанционного банковского обслуживания, в том числе индивидуальных номеров и ПИН-кодов банковских карт. Информация из наборов данных, извлеченных из накладки на клавиатуру банкомата, изъятой в ходе личного досмотра И. Г. Т., соответствует информации, имеющейся на журнальной ленте банкомата AТМ90042 в период с 11 по 12 мая 2007 г. Информация из наборов данных файла «dolo1105a1» соответствует информации, имеющейся на журнальной ленте банкомата AТМ90042 в период с 10 по 11 мая 2007 г. Информация, извлеченная из накладки на картридер банкомата, изъятой в ходе личного досмотра И. Г. Т., соответствует информации, имеющейся на журнальной ленте банкомата AТМ90042 в период с 11 по 12 мая 2007 г. В памяти запоминающего устройства внештатной накладки на устройство для приема карт в банкомат, изъятой в ходе личного досмотра И. Г. Т., и на журнальных лентах банкомата AТМ90042 имеется информация о двух картах болгарского супермаркета «Пикадили» с магнитной полосой: № 9702801000207450 за 9 мая 2007 г. в 15 ч. 20 мин. и № 9702801000136786 неоднократно начиная с 10 по 12 мая 2007 г. Файлы, содержащие информацию, описанную в заключении эксперта, записаны на компакт-диск однократной записи c номером, нанесенным вокруг посадочного отверстия, Hqz706081926a03, являющийся приложением № 8. (том № 11, л. д. 45-264) Протокол осмотра предметов от 10 апреля 2008 г., в ходе которого осмотрены два компакт-диска однократной записи: один — являющийся приложением № 8 к заключению комплексной судебной экспертизы № 1689э от 8 апреля 2008 г., на который в файлы «nakladka_TKB.txt» и «nakladka_Iliev.txt» скопирована информация, извлеченная из памяти микроконтроллеров накладок на клавиатуру банкомата АТМ90042, изъятая 13 мая 2007 г. при личном досмотре И. Г. Т., и банкомата АТМ4146, изъятая 14 мая 2007 г. при осмотре места происшествия; другой — являющийся приложением № 5 к заключению дополнительной программно-технической судебной экспертизы № 9036э от 20 марта 2008 г., на который скопированы файлы «windows\system32\koko.exe» и «program files\xerox\ekbg\dolo1105a1». В процессе осмотра осуществлен запуск программы специального назначения «КОКО» и поочередной загрузки в нее файлов «dolo110581», «nakladka_TKB. txt» и «nakladka_Iliev.txt». После ввода одного и того же пароля вместо символов «Х», отображающих номера введенной комбинации нажатых клавиш ПИН-кода накладки, появились цифры ПИН-кодов. (том № 8, л. д. 301–328) Ответ «Г…банк» (Открытое акционерное общество), г. Москва, исходящий № 29-3/919 от 11 апреля 2008 г., на запрос СК при МВД России, исходящий № 17/сч-6077 от 11 апреля 2008 г., касающийся проверки ПИН-кодов, в котором указано, что в результате произведенных криптографических преобразований установлено соответствие между значениями ПИН-кода и их проверочными значениями ПиВиВи на второй дорожке магнитной полосы банковских карт, что позволяет осуществить неправомерный доступ к банковским счетам законных держателей банковских карт при помощи поддельных пластиковых карт. (том № 11, л. д. 369) Протокол выемки документов от 20 марта 2008 г. в «Г…банк» (Открытое акционерное общество), расположенном по адресу: г. Москва, ул. Новочеремушкинская, д. 63, в ходе которой обнаружены и изъяты выписки с информацией об остатках денежных средств на банковских счетах, соответствующих банковским картам № 4…, эмитированным данным банком, с указанием фамилии, имени и отчества их держателя, на момент завершения операций по указанным картам в период с 9 по 12 мая 2007 г. в банкомате № 90042, установленном в г. Екатеринбурге по адресу: ул. Вайнера, д. 10, принадлежащем ОАО «С… — банк». (том № 6, л. д. 59–65) Приговор (Извлечения) Дело № 1-472/0 г. Екатеринбург 12 августа 2008 г. Ленинский районный суд г. Екатеринбурга… Установил: И. Г. Т. виновен в приготовлении к краже, т. е. тайному хищению чужого имущества, совершенному организованной группой в особо крупном размере, при этом преступление не было доведено до конца по не зависящим от него обстоятельствам; собирании сведений, составляющих банковскую тайну, незаконным способом, из корыстной заинтересованности; неправомерном доступе к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), повлекшем копирование информации, совершенном организованной группой; использовании программ для ЭВМ, заведомо приводящих к несанкционированному копированию информации. Б. Ц. Н. виновен в приготовлении к краже, т. е. тайному хищению чужого имущества, совершенному организованной группой в особо крупном размере, при этом преступление не было доведено до конца по не зависящим от него обстоятельствам; собирании сведений, составляющих банковскую тайну, незаконным способом, из корыстной заинтересованности; неправомерном доступе к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), повлекшем копирование информации, совершенном организованной группой; использовании программ для ЭВМ, заведомо приводящих к несанкционированному копированию информации. <…> Таким образом, за период не позднее 15 ч. 9 мая 2007 г. по 21 час 40 мин. 12 мая 2007 г., т. е. до момента задержания, И. Г. Т. и Б. Ц. Н., действуя совместно с единым умыслом, направленным на последующее тайное хищение чужих денежных средств с банковских счетов в особо крупном размере, в результате работы скрытно установленных на банкомат АТМ90042, принадлежащий ОАО «С… — банк», и банкомат АТМ4146, принадлежащий филиалу ОАО «Т…К…Банк» в г. Екатеринбурге, специальных технических средств — внештатных накладок и используя специальные программы для микро-ЭВМ, заведомо приводящие к несанкционированному копированию информации, незаконным способом из корыстной заинтересованности собрали сведения о реквизитах 1006 банковских карт и ПИН-кодах к ним платежных систем «Виза Интернейшенэл» (VISA International), «МастерКард» (MasterCard) и «Юнион Кард» (Union Card), составляющих банковскую тайну на основании ст. 26 Федерального закона от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности», прикрепленных к банковским счетам, на которых в период с 9 по 12 мая 2007 г. на момент проведения последних операций законными держателями банковских карт в указанном банкомате находились денежные средства в особо крупном размере на общую сумму 10432575,18 руб. Это позволяло И. Г. Т., Б. Ц. Н. и другим не установленным следствием лицам, заранее объединившимся в организованную преступную группу, незаконно скопированную информацию о реквизитах банковских карт нанести на магнитную полосу поддельных пластиковых карт. При помощи незаконно скопированного ПИН-кода тайно проникнуть в банковскую систему под видом законных держателей банковских карт, получить полноценный неограниченный доступ к распоряжению чужими денежными средствами, находящимися на банковских счетах в указанной сумме, к которым прикреплены банковские карты, и, посредством банкомата безвозмездно обратить их в свою пользу или пользу других лиц. Подсудимый И. Г. Т. вину признал полностью… Подсудимый Б. Ц. Н. вину признал полностью… Суд находит неверной квалификацию, данную органами предварительного расследования по действиям подсудимых в отношении двух банкоматов, которые совершенны по вновь возникшему умыслу как самостоятельные преступления, так как из содержания самого обвинения видно, что инкриминируемые преступные действия были начаты в короткий временной промежуток (с 9 по 10 мая 2007 г.) в одном месте (банкоматы, установленные в домах 9 «а» и 10 по ул. Вайнера в г. Екатеринбурге) одним способом (установка считывающих технических устройств), данные обстоятельства свидетельствуют о наличии у подсудимых единого продолжаемого умысла на совершение всех инкриминируемых преступных действий в отношении обоих банкоматов №М90042 и AТМ4146). В соответствии со смыслом действующего законодательства не образует состава мошенничества хищение чужих денежных средств путем использования поддельной кредитной (расчетной) карты, если выдача наличных денежных средств осуществляется посредством банкомата. Непосредственно в обвинении указано, что организованная преступная группа, в состав которой входили подсудимые, осуществляла хищения по поддельным банковским картам через банкоматы, в связи с чем действия подсудимых необходимо переквалифицировать с мошенничества на кражу. В остальной части квалификация действий подсудимых дана верно, подсудимыми не оспаривается, в действиях подсудимых содержится идеальная совокупность преступлений. Действия И. Г. Т. суд квалифицирует по ч. 1 ст. 30 и ч. 4 ст. 158 УК РФ как приготовление к краже, т. е. тайному хищению чужого имущества, совершенному организованной группой в особо крупном размере, при этом преступление не было доведено до конца по не зависящим от него обстоятельствам; по ч. 3 ст. 183 УК РФ — как собирание сведений, составляющих банковскую тайну, незаконным способом из корыстной заинтересованности; по ч. 2 ст. 272 УК РФ — как неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), повлекший копирование информации, совершенное организованной группой; по ч. 1 ст. 273 УК РФ — как использование программ для ЭВМ, заведомо приводящее к несанкционированному копированию информации. Действия Б. Ц. Н. суд квалифицирует по ч. 1 ст. 30 и ч. 4 ст. 158 УК РФ как приготовление к краже, т. е. тайному хищению чужого имущества, совершенному организованной группой в особо крупном размере, при этом преступление не было доведено до конца по не зависящим от него обстоятельствам; по ч. 3 ст. 183 УК РФ, как собирание сведений, составляющих банковскую тайну, незаконным способом из корыстной заинтересованности; по ч. 2 ст. 272 УК РФ — как неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), повлекший копирование информации, совершенный организованной группой; по ч. 1 ст. 273 УК РФ — как использование программ для ЭВМ, заведомо приводящее к несанкционированному копированию информации. Приговорил: Признать И. Г. Т. виновным в совершении преступлений, предусмотренных ч. 1 ст. 30, ч. 4 ст. 158, ч. 3 ст. 183, ч. 2 ст. 272, ч. 1 ст. 273 УК РФ, и назначить ему наказание: по ч. 1 ст. 30 и ч. 4 ст. 158 УК РФ — в виде 3 лет 4 месяцев лишения свободы без штрафа; по ч. 3 ст. 183 УК РФ — в виде 1 года 6 месяцев лишения свободы; по ч. 2 ст. 272 УК РФ — в виде 1 года 6 месяцев лишения свободы; по ч. 1 ст. 273 УК РФ — в виде 1 года лишения свободы со штрафом в размере 50 000 (пятьдесят тысяч) руб. С применением ч. 3 ст. 69 УК РФ путем частичного сложения наказаний окончательно назначить И. Г. Т. наказание в виде лишения свободы сроком на четыре года с отбыванием в исправительной колонии общего режима со штрафом в размере 50 000 (пятьдесят тысяч) руб. Признать Б. Ц. Н. виновным в совершен преступлений, предусмотренных ч. 1 ст. 30 и ч. 4 ст. 158, ч. 3 ст. 183, ч. 2 ст. 272, ч. 1 ст. 273 УК РФ, и назначить ему наказание: по ч. 1 ст. 30 и ч. 4 ст. 158 УК РФ — в виде 3 лет 4 месяцев лишения свободы без штрафа; по ч. 3 ст. 183 УК РФ — в виде 1 года 3 месяцев лишения свободы; по ч. 2 ст. 272 УК РФ — в виде 1 года 3 месяцев лишения свободы; по ч. 1 ст. 273 УК РФ в виде 9 месяцев лишения свободы со штрафом в размере 50 000 (пятьдесят тысяч) руб. С применением ч. 3 ст. 69 УК РФ путем частичного сложения наказаний окончательно назначить Б. Ц. Н. наказание в виде лишения свободы сроком на 3 года 9 месяцев с отбыванием в исправительной колонии общего режима со штрафом в размере 50 000 (пятьдесят тысяч) руб. Фотографии из уголовного дела № 152830 Уголовное дело № 772270 от 8 июля 2008 г., Санкт-Петербург. Вредоносное ПО Diebold (Вредоносное программное обеспечение на банкоматах) Заявление (Извлечения) В отношении противоправных действий в сфере высоких технологий 17 февраля 2008 г. с использованием поддельной расчетной банковской карты № 4874… 3971, эмитированной «Г…банк» (Открытое акционерное общество) (далее — Г..Б (OAO)), в г. Санкт-Петербурге были осуществлены незаконные операции доступа к банковскому счету. Данные операции были заявлены клиентом Г..Б (OAO) — владельцем банковского счета Ж. В. A., зарегистрирован по адресу…, как несанкционированные (Приложение 2). 17 февраля 2008 г. с использованием поддельной карты № 4874…3971: 1) неустановленным лицом (Приложение 4) в банкомате № 401569, принадлежащем Г..Б (OAO) и расположенном по адресу: ул. Пражская, 48/50, в 3 ч. 41 мин. 19 с. осуществлен запрос остатка доступных денежных средств на счете, т. е. совершено незаконное получение сведений, составляющих банковскую тайну; 2) неустановленным лицом (Приложение 5) в банкомате № 401545, принадлежащем Г..Б (OAO) и расположенном по адресу: ул. Кузнецовская, д. 31: 2.1) в 4 ч. 13 мин. 25 с. произведен перевод денежных средств в размере 250 000 (Двести пятьдесят тысяч) руб. на карту № 4874…4818, эмитированную Г..Б (OAO), держателем которой является К. В. Б., зарегистрирован по адресу… Т. е. совершено изготовление поддельного платежного документа, направление (сбыт) его для оплаты в Г..Б (OAO), модификация компьютерной информации, составляющей банковскую тайну (изменение суммы остатка денежных средств на банковском счете), и хищение денежных средств в размере 250 000 (двухсот пятидесяти тысяч) руб.; 2.2) в 4 ч. 13 мин. 58 с. сформировано распоряжение на списание денежных средств в размере 40 000 руб. т. е. совершено изготовление поддельного платежного документа, направление (сбыт) его для оплаты в Г..Б (OAO), модификация компьютерной информации, составляющей банковскую тайну (изменение суммы остатка денежных средств на банковском счете), и хищение денежных средств в размере 40 000 руб. <…> 4) С использованием поддельной расчетной банковской карты № 4874…4818 (К. В. Б.) неустановленным лицом (Приложение 6) в банкомате № 401530, принадлежащем Г..Б (OAO) и расположенном по адресу: ул. Пулковское ш., д. 19, с 4 ч. 15 мин. 58 с. до 4 ч. 27 мин. 01 с. осуществлено снятие наличных денежных средств в сумме 250 000 руб. Дополнительно сообщаем, что от имени Г..Б (OAO) в Ваш адрес ранее направлялись сообщения № 29-3/23 от 15 января 2008 г. и № 29-3/201 от 8 февраля 2008 г. о незаконных операциях по банковским картам игроков «СМ Санкт-Петербург» A. Й., М. Л. и И. С. М. Лица производившие незаконные операции по карточным банковским счетам, A. Й. и И. С. М., имеют сходство с лицами, производившими операции по картам № 4874…4818 и № 4874…3971. Записи с систем видеонаблюдения банкоматов находятся в филиале Г..Б (ОАО) по адресу: г. Санкт-Петербург, ул. Пролетарской Диктатуры, д. 3А. Положение ЦБ РФ № 266-П регламентирует, что при совершении операций с платежными картами составляются документы на бумажном носителе и (или) в электронной форме, данные документы являются основанием для осуществления расчетов. А именно, при осуществлении операций с использованием платежных карт формируются документы, являющиеся распоряжением клиента об осуществлении операций по его банковскому счету. В приложении 20 Положения ЦБ РФ № 2-П описание поля 39 платежного ордера дано как «Шифр платежного документа» (проставляется условное цифровое обозначение (шифр) оплачиваемого расчетного документа согласно правилам ведения бухгалтерского учета в Банке России или правилам ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации). А в Положении ЦБ РФ № 205-П один из кодов данного шифра обозначен как «13 — Расчеты с применением банковских карт». Таким образом, при расчетах с применением банковских карт формируются платежные документы. В Письме МНС РФ от 28 февраля 2002 г. № 03-2-06/543/24-з951 сказано, что данные платежные документы формируются в электронном виде в торговом предприятии покупателем и направляются в процессинговый центр (подразделение, осуществляющее сбор, обработку и рассылку участникам расчетов — кредитным организациям информации по операциям с платежными картами). Согласно п. 3.3 Положения ЦБ РФ № 266-П платежные документы должны содержать следующие обязательные реквизиты: • идентификатор банкомата, электронного терминала или другого технического средства, предназначенного для совершения операций с использованием платежных карт; • вид операции; • дату совершения операции; • сумму операции; • валюту операции; • сумму комиссии (если имеет место); • код авторизации (если осуществлялась процедура авторизации); • реквизиты платежной карты. Документ по операциям с использованием платежной карты на бумажном носителе дополнительно должен содержать подпись держателя платежной карты. В случае использования аналога собственноручной подписи (операции с правильным значением ПИН-кода) при составлении документа по операциям с использованием платежной карты требования о наличии подписи держателя платежной карты считаются выполненными. Таким образом, платежный документ по операциям с платежными картами составляется на бумажном носителе (чек ПОС-терминала или слип-импринтера) и/или в электронном виде и содержит обязательные реквизиты, указанные в Положении ЦБ РФ № 266-П. Поддельным платежным документом может быть подлинный платежный документ, в который были внесены несанкционированные изменения, либо полностью изготовленный платежный документ, в том числе формально подлинный, от лица держателя карты, который не санкционировал или не инициировал изготовление данного документа. То есть подделать документ можно не только технически (техническая подделка), но и логически (интеллектуальный подлог) — например, когда документ составляется неверным числом, от имени другого лица, когда в документе фиксируется событие, которого не было, и др. При операции на банкомате с банковской карты и аутентификацией (проверкой подлинности) клиента по значению ПИН-кода формируется электронный платежный документ (Приложение 7). Поскольку правильное введение ПИН-кода в данном случае является аналогом собственноручной подписи, то электронный платежный документ подписан аналогом собственноручной подписи (ч. 3 ст. 847 ГК РФ). Так как законный держатель не подписывал данный электронный платежный документ аналогом собственноручной подписи и не давал распоряжения на проведение операции, то такой документ является поддельным (фиктивным, подложным). Информация о банковском счете клиента согласно ст. 26 Федерального закона от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности» является банковской тайной, т. е. защищается законом. Изменение информации о доступном остатке денежных средств на счете клиента в результате незаконной операции списания денежных средств с банковского счета является неправомерным доступом к охраняемой законом компьютерной информации, повлекшим ее модификацию. Незаконная операция по запросу доступного баланса денежных средств на карточном банковском счете является сбором сведений, составляющих банковскую тайну. В результате действий неустановленных лиц 12 и 17 февраля 2008 г. с использованием поддельной расчетной банковской карты № 4874…3971 было осуществлено незаконное получение сведений, составляющих банковскую тайну, изготовлено 34 (тридцать четыре) поддельных платежных документа в электронном виде, которые были направлены в Г..Б (ОАО) (сбыты), на основании которых были списаны денежные средства с банковского счета клиента. Таким образом была произведена модификация компьютерной информации, составляющей банковскую тайну, и осуществлено хищение денежных средств на сумму 944 340 (девятьсот сорок четыре тысячи триста сорок) руб. 81 коп. Г..Б (ОАО) является законным владельцем денежных средств (ст. 845 ГК РФ), похищенных со счетов, открытых в банке, и имеет право на защиту своих имущественных прав согласно прим. 1 ст. 158 УК РФ. Также было произведено покушение на изготовление трех поддельных платежных документов в электронном виде и покушение с помощью данных документов на модификацию компьютерной информации, составляющей банковскую тайну, и покушение на хищение денежных средств на сумму 51 300 (пятьдесят одна тысяча триста) руб. В связи с вышеизложенным прошу Вас провести проверку и возбудить по данному факту уголовное дело по ст. 159, 183,187 и 272 УК РФ. Обвинительное заключение (Извлечения) по обвинению: К. Е. В. в совершении преступлений, предусмотренных п. «а», «б» ч. 4 ст. 158; ч. 3 ст. 30, п. «а», «б» ч. 4 ст. 158 УК РФ; ч. 2 ст. 272 УК РФ; ч. 1 ст. 273 УК РФ; ч. 3 ст. 183 УК РФ, Г. А. Б. в совершении преступлений, предусмотренных п. «а», «б» ч. 4 ст. 158; ч. 3 ст. 30, п. «а», «б» ч. 4 ст. 158 УК РФ; ч. 2 ст. 272 УК РФ; ч. 1 ст. 273 УК РФ; ч. 3 ст. 183 УК РФ, П. Н. В. в совершении преступлений, предусмотренных п. «а», «б» ч. 4 ст. 158; ч. 3 ст. 30, п. «а», «б» ч. 4 ст. 158 УК РФ; ч. 2 ст. 272 УК РФ; ч. 1 ст. 273 УК РФ; ч. 3 ст. 183 УК РФ, К. Е. А. в совершении преступлений, предусмотренных п. «а», «б» ч. 4 ст. 158; ч. 3 ст. 30, п. «а», «б» ч. 4 ст. 158 УК РФ; ч. 2 ст. 272 УК РФ; ч. 1 ст. 273 УК РФ; ч. 3 ст. 183 УК РФ. Обвиняется: <… > в том, что он совершил кражу, т. е. тайное хищение чужого имущества организованной группой в особо крупном размере. К. Е. В., имея умысел на хищение денежных средств Открытого Акционерного Общества «Г…банк» (далее по тексту ОАО «Г…банк»), расположенного по адресу: г. Москва, ул. Наметкина, дом 16, корпус 1, через банкоматы ОАО «Г…банк» филиал в г. Санкт-Петербурге (ул. Пролетарской Диктатуры, д. 5), не позднее октября 2007 г. приобрел при неустановленных обстоятельствах у неустановленного лица в неустановленном месте содержащиеся на электронном носителе флеш-накопителе: вредоносную компьютерную программу «test6.exe», вносящую изменения в программу «Agilis», установленную в банкоматах марки «Diebold Opteva 520» и позволяющую копировать информацию о реквизитах банковских карт и персональных идентификационных номерах-кодах (далее по тексту ПИН-код) доступа к банковскому счету законного держателя банковской карты, составляющих банковскую тайну; инструкцию об установке и применении данной вредоносной программы, программу-дешифратор «des.exe»; программы «CC2Bank» и «Bin Lookup», позволяющие определять банк-эмитент; а также специальное устройство «Encodar» с установочной программой «206DDX31.exe» для нанесения необходимой информации на магнитные полосы пластиковых карт; не менее 11 дисконтных пластиковых карт-активаторов, предназначенных для выполнения команд вредоносной программы «test6.exe», позволяющих получать информацию о реквизитах банковских карт и ПИН-кодах клиентов различных банков; не менее 10 дисконтных пластиковых карт без какой-либо информации на магнитных полосах для изготовления подложных банковских карт; стандартный ключ от компьютерного отсека банкомата марки «Diebold Opteva 520», предоставляющий неправомерный доступ к компьютеру с программным обеспечением, обеспечивающим работу банкоматов указанной марки. Преследуя корыстную цель, не позднее октября 2007 г., сообщил эту информацию П. Н. В. и Г. A. Б., а через Г. A. Б. К. Е. A. предложил им войти в состав организованной преступной группы для совершения хищения денежных средств OAO «Г…банк» в особо крупном размере и, получив их согласие, совместно с соучастниками разработал механизм совершения преступления, роль каждого из них в совершении преступления и дальнейшее распределение похищенных денежных средств. Таким образом, К. Е. В. была создана организованная преступная группа, в состав которой помимо него в октябре 2007 г. вошли Г. A. Б., П. Н. В. и К. Е. A. Указанная преступная группа на протяжении всего времени совершения противоправных действий характеризовалась устойчивостью, единством целей и общих корыстных интересов, наличием организатора, четким распределением ролей и функций между соучастниками, разработкой детального плана, тщательной подготовкой и постоянством методов совершения преступления, распределением денежных средств, получаемых от преступной деятельности, в том числе на нужды организованной преступной группы, продолжительностью существования. В соответствии с разработанным К. Е. В. и соучастниками планом совершения преступления и отведенными ролями в период с октября 2007 г. по апрель 2008 г. П. Н. В., используя ключ от компьютерного отсека банкомата, путем свободного доступа неоднократно проникал в компьютерное хранилище банкомата, имеющего серийный номер 562-DC-01475, принадлежащего OAO «Р…банк», расположенного по адресу: г. Санкт-Петербург, ул. Рубинштейна, д. 40/11, через USB-порт процессора «Intel Pentium 4» посредством внешнего магнитного флеш-носителя осуществлял запуск вредоносной программы «test6.exe» в программу «Agilis», тем самым инфицируя ее, после чего через 7-10 дней через картоприемник указанного банкомата посредством пластиковой дисконтной карты-активатора, предназначенной для выполнения команд вируса «test6.exe», совершал запрос на получение наличных денежных средств в произвольном размере, в результате произведенных действий получал кассовый чек с информацией не менее чем на 10 клиентов банков, которые после инфицирования программы «Agilis», произвели какие-либо операции со своими картами, в каждом случае состоящей из двух зашифрованных строк в цифробуквенном виде: первая — из даты и времени произведенной держателем карты операции и 16 символов ПИН-кода, вторая— из 16 символов номера банковской карты и из 20 цифр кода авторизации карты с указанием срока действия банковской карты. После чего Г. А. Б., используя персональный компьютер, имеющий серийный номер GM-0104-REV02, установленный по месту его проживания по адресу: г. Санкт-Петербург, ул. Куп-чинская, д. № 34, корп. № 1, кв. № 59, с установленными на нем не позднее октября 2007 г. компьютерными программами «des.exe», «CC2Bank» и «Bin Lookup», систематически в период с октября 2007 г. по апрель 2008 г. расшифровывал полученные от П. Н. В. данные, содержащиеся в кассовом чеке, устанавливал ПИН-коды и эмитентов карт по первым четырем цифрам, содержащимся в номере банковских карт (БИН), отбирал карты клиентов ОАО «Г…банк», посредством специального устройства «Enkodar» и программы «206DDX31.exe», установленной на указанном персональном компьютере, наносил на не заполненные информацией магнитные полосы дисконтных пластиковых карт расшифрованные данные с кассового чека — номер и код авторизации банковской карты, т. е. изготавливал подложные банковские карты, которые с целью хищения денежных средств Банка в особо крупном размере передавал другим соучастникам и сообщал им ПИН-коды к каждой карте. После чего он (К.), действуя с единым умыслом совместно с Г. А. Б., П. Н. В. и К. Е. А., используя ПИН-коды держателей банковских карт и изготовленные ими подложные банковские карты, в период с 1 декабря 2007 г. по 23 марта 2008 г. совершили тайные хищения денежных средств ОАО «Г…банк» через банкоматы ОАО «Г…банк» филиал в г. Санкт-Петербурге, расположенные в крупных торговых точках города, используя одну подложную карту, а также путем перевода с одной карты на другую, учитывая, что единовременная выдача наличных денежных средств — не более 40 000 руб. и чтобы иметь возможность всем соучастникам одновременно совершать хищения большего количества денежных средств. <…> 16 февраля 2008 г., получив незаконным способом необходимую информацию о банковской карте № 4874…3971 (держатель Ж.), ПИН-код № 2921, изготовил подложную карту с указанными реквизитами, используя которую Г. А. Б. через банкомат № 401545ОАО «Г…банк», установленный в магазине «Карусель» по адресу: г. Санкт-Петербург, ул. Кузнецовская, д. № 31, 17 февраля 2008 г. в 4 час. 13 мин. перевел 250 000 руб. на банковскую карту № 4874…4818 и 17 февраля 2008 г. в период с 4 час. 13 мин. по 4 час. 24 мин. за несколько раз похитил денежные средства на общую сумму 500 000 руб. 12 января 2008 г., получив незаконным способом необходимую информацию о банковской карте № 4874…4818 (держатель К. В. Б.), ПИН-код № 1661, изготовил подложную карту с указанными реквизитами, используя которую он (К.) и П. Н. В. через банкомат № 401530 ОАО «Г…банк», установленный в магазине «Карусель» по адресу: г. Санкт-Петербург, Пулковское ш., д. № 19, после получения сообщения по телефону от соучастников о переводе денежных средств, 17 февраля 2008 г. в период с 4 час. 16 мин. по 4 час. 27 мин. за несколько раз похитил денежные средства на общую сумму 250 000 руб. 16 февраля 2008 г., получив незаконным способом необходимую информацию о банковской карте № 4874…3971 (держатель Ж.), ПИН-код № 2921, изготовил подложную карту с указанными реквизитами, используя которую Г. А. Б. через банкомат № АТМ037 ЗАО «Ю…К…Банк», установленный в магазине «Лента» по адресу: г. Санкт-Петербург, Московское шоссе, дом № 16, 17 февраля 2008 г. в период с 4 час. 48 мин. по 4 час. 59 мин. за несколько раз похитил денежные средства на сумму 1900 евро (по курсу ЦБ РФ на 17 февраля 2008 г. — 68 457 руб. из расчета 1 евро — 36,03 руб.), 2800 долларов США (по курсу ЦБ РФ на 17 февраля 2008 г. — 68 796 руб. из расчета 1 доллар — 24,57 руб.) и 51 000 руб. <… > При этом он (К.) лично создал организованную преступную группу для совершения хищения денежных средств ОАО «Г…банк» в особо крупном размере, являясь ее руководителем, вовлек в преступную деятельность Г. А. Б., П. Н. В. и К. Е. А.; разработал механизм совершения преступления, количество соучастников, определил роль каждого из них в совершении преступления; приобрел у неустановленного лица на электронном флеш-носителе вредоносную компьютерную программу «test6.exe», инструкцию об установке и применении данной вредоносной программы, карты-активаторы, ключ от компьютерного отсека банкомата, которые передал П. Н. В. для инфицирования банкомата, получения данных в зашифрованном виде о банковских картах и ПИН-кодах клиентов ОАО «Г…банк», выбрал для инфицирования банкомат и указал его П. Н. В.; программу-дешифратор ПИН-кодов «des.exe», программы «CC2Bank» и «Bin Lookup», специальное устройство «Encodar» с установочной программой «206DDX31.exe», дисконтные пластиковые карты без какой-либо информации на магнитных полосах, которые передал Г. А. Б. для расшифровки данных, установления эмитента и реквизитов карт, ПИН-кодов клиентов и изготовления подложных банковских карт; назначал дату, время и место совершения хищения денежных средств OAO «Г…банк», действия соучастников координировал и контролировал либо по телефону, либо находясь в непосредственной близости от магазинов, в которых совершались хищения денежных средств, следил за окружающей обстановкой, обеспечивая тем самым безопасность действий соучастников, после чего распределял между соучастниками похищенные денежные средства. При этом из суммы похищенных денежных средств передал Г. A. Б., П. Н. В. и К. Е. A. каждому по 540 000 руб., обратив в свою пользу денежные средства в сумме не менее 2 266 593 руб. Таким образом, он (К.), действуя в составе организованной группы, совместно с Г. A. Б., П. Н. В. и К. Е. A. похитил денежные средства на общую сумму 3 886 753 руб., причинив своими действиями OAO «Г…банк» ущерб в особо крупном размере, т. е. совершил преступление, предусмотренное п. «а», «б» ч. 4 ст. 158 УК РФ, совершил покушение, т. е. умышленные действия, непосредственно направленные на совершение кражи, т. е. тайное хищение чужого имущества организованной группой, в особо крупном размере, при этом преступление не было доведено до конца по не зависящим от него обстоятельствам. <… > 21 марта 2008 г., получив незаконным способом необходимую информацию о банковской карте № 4874…0069 (держатель К. В. Э.), ПИН-код № 9586, изготовил подложную карту с указанными реквизитами, используя которую К. Е. В. и П. Н.В. через банкомат № 401571 OAO «Г…банк», установленный в магазине «Перекресток» по адресу: г. Санкт-Петербург, пр. Комендантский, д. № 33/1, заведомо зная о наличии на карте 1 479 276 руб. и имея умысел на хищение всей указанной суммы, 23 марта 2008 г. в 2 час. 31 мин. осуществил операцию по переводу 800 000 руб. на изготовленную им, т. е. подложную карту № 4874…2511 (держатель Ф. И. A.), ПИН-код № 1089, находящуюся в это время у него (К.) и Г. A. Б., а в 2 час. 35 мин. осуществил запрос на получение денежных средств в сумме 40 000 руб., но преступление не смог довести до конца по не зависящим от него обстоятельствам, так как все операции по указанным двум картам были заблокированы OAO «Г…банк». <… > Таким образом, он (К.), действуя в составе организованной группы, совместно с Г. A. Б., П. Н. В. и К. Е. A. совершил покушение, т. е. умышленные действия, непосредственно направленные на совершение хищения денежных средств на общую сумму 7 197 829 руб., чем причинил бы OAO «Г…банк» ущерб в особо крупном размере, но преступление не смог довести до конца по не зависящим от него обстоятельствам, то есть совершил преступление, предусмотренное ч. 3 ст. 30; п. «а», «б» ч. 4 ст. 158 УК РФ, совершил неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации в системе ЭВМ, повлекший копирование информации, организованной группой. <… > В соответствии с разработанным К. Е. В. и соучастниками планом совершения преступления и отведенными ролями в период с октября 2007 г. по апрель 2008 г. П. Н. В., используя ключ от компьютерного отсека банкомата, путем свободного доступа неоднократно проникал в компьютерное хранилище банкомата, имеющего серийный номер 562-DC-01475, принадлежащего ОАО «Р…банк», расположенного по адресу: г. Санкт-Петербург, ул. Рубинштейна, д. 40/11, через USB-порт процессора «Intel Pentium 4» посредством внешнего магнитного флеш-носителя осуществлял запуск вредоносной программы «test6.exe» в программу «Agilis», тем самым инфицируя ее, после чего через 7-10 дней через картоприемник указанного банкомата посредством пластиковой дисконтной карты-активатора, предназначенной для выполнения команд вируса «test6.exe», совершал запрос на получение наличных денежных средств в произвольном размере, в результате произведенных действий получал кассовый чек с информацией не менее чем на 10 клиентов банка, которые после инфицирования программы «Agilis», произвели какие-либо операции со своей картой, в каждом случае состоящей из двух зашифрованных строк в цифробуквенном виде: первая — из даты и времени произведенной держателем карты операции и 16 символов ПИН-кода, вторая — из 16 символов номера банковской карты и из 20 цифр кода авторизации карты с указанием срока действия банковской карты. При этом К. Е. В. и К. Е. А., находясь рядом с местом совершения преступления, следили за окружающей обстановкой с целью своевременного предупреждения П. Н. В. в случае возможного появления сотрудников милиции или сотрудников банка, обеспечивая тем самым безопасность его действий. После чего, Г. А. Б., используя персональный компьютер, имеющий серийный номер GM-0104-REV02, установленный по месту его проживания по адресу: г. Санкт-Петербург, ул. Куп-чинская, д. № 34, корп. № 1, кв. № 59, с установленными на нем не позднее октября 2007 г. компьютерными программами «des.exe», «CC2Bank» и «Bin Lookup», систематически в период с октября 2007 г. по апрель 2008 г. расшифровывал полученные от П. Н. В. данные, содержащиеся в кассовом чеке, устанавливал ПИН-коды и эмитентов карт, по первым четырем цифрам, содержащимся в номере банковских карт (БИН), отбирал карты клиентов ОАО «Г…банк», посредством специального устройства «Enkodar» и программы «206DDX31.exe», установленной на указанном персональном компьютере, наносил на не заполненные информацией магнитные полосы дисконтных пластиковых карт расшифрованные данные с кассового чека — номер и код авторизации банковской карты т. е. изготавливал подложные банковские карты, которые с целью хищения денежных средств Банка в особо крупном размере передавал другим соучастникам и сообщал им ПИН-коды к каждой карте. Тем самым он (К.), действуя с единым умыслом и совместно с Г. А. Б., П. Н. В. и К. Е. А., не обладая правами на получение и работу с данной информацией, используя специальные технические и программные средства, осуществил неправомерный доступ к компьютерной информации, охраняемой ст. 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», вводимой в ЭВМ банкомата законным держателем банковской карты при наборе ПИН-кода для доступа к своему карточному банковскому счету и совершения операций по банковской карте, что повлекло несанкционированное копирование информации в ЭВМ, выразившееся в переносе на кассовый чек в зашифрованном виде данных о номерах и сроках действия банковских карт, необходимых для проведения операций в банкомате, их обработки в процессинговом центре банка-эквайрера, серверах платежной системы, процессинговом центре банка-эмитента через систему дистанционного банковского обслуживания. Таким образом незаконно получил информацию: 27 ноября 2007 г. — о банковской карте № 4874…0382 (держатель А. Й.) и ПИН-коде № 1980; не позднее 4 декабря 2007 г. — о банковской карте № 4874…0374 (держатель М. Л.) и ПИН-коде № 2688; 12 января 2008 г. — о банковской карте № 4874…4818 (держатель К. В. Б.) и ПИН-коде № 1661; 25 января 2008 г. — о банковской карте № 4874…0363 (держатель М. И. С.) и ПИН-коде № 1379; 29 января 2008 г. — банковской карте № 4874…5692 (держатель В. А. О.) и ПИН-коде № 6349; 16 февраля 2008 г. — о банковской карте № 4874…3971 (держатель Ж. Е. В.), ПИН-коде № 2921; 15 марта 2008 г. — о банковской карте № 4874…0848 (держатель М. М. И.) и ПИН-коде № 2731; 21 марта 2008 г. — о банковской карте № 4874…6893 (держатель И. Н. А.) и ПИН-коде № 7375; 21 марта 2008 г. — о банковской карте № 4874…0069 (держатель К. В. Э.) и ПИН-коде № 9586; 22 марта 2008 г. — о банковской карте № 4874…2511 (держатель Ф. И. А.) и ПИН-коде № 1089. При этом лично он (К.) создал организованную преступную группу для совершения хищения денежных средств OAO «Г…банк» в особо крупном размере, являясь ее руководителем вовлек в преступную деятельность Г. A. Б., П. Н. В. и К. Е. A.; разработал механизм совершения преступления, количество соучастников, роль каждого из них в совершении преступления; приобрел у неустановленного лица на электронном флеш-носителе вредоносную компьютерную программу «test6.exe», инструкцию об установке и применении данной вредоносной программы, карты-активаторы, ключ от компьютерного отсека банкомата, которые передал П. Н. В. для инфицирования банкомата, получения данных в зашифрованном виде о банковских картах и ПИН-кодах клиентов OAO «Г…банк», выбрал для инфицирования банкомат и указал его П. Н. В.; программу-дешифратор ПИН-кодов «des.exe», программы «CC2Bank» и «Bin Lookup», специальное устройство «Encodar» с установочной программой «206DDX31.exe», дисконтные пластиковые карты без какой-либо информации на магнитных полосах, которые передал Г. A. Б. для расшифровки данных, установления эмитента и реквизитов карт, ПИН-кодов клиентов и изготовления подложных банковских карт; действия П. Н. В. координировал и контролировал либо по телефону, либо находясь в непосредственной близости от банкомата «Р…банк», следил за окружающей обстановкой, обеспечивая тем самым безопасность его действий. Таким образом, он (К.), действуя в составе организованной группы, совместно с Г. A. Б., П. Н. В. и К. Е. A. совершил неправомерный доступ к охраняемой законом компьютерной информации в системе ЭВМ, повлекший копирование информации, т. е. совершил преступление, предусмотренное ч. 2 ст. 272 УК РФ; совершил внесение изменений в существующие программы для ЭВМ, заведомо приводящих к несанкционированному копированию информации, а равно использование таких программ. <… > Тем самым он (К.), действуя с единым умыслом и совместно с Г. A. Б., П. Н. В. и К. Е. A., используя специальные технические и программные средства, внес изменения в существующую программу «Agilis», установленную в ЭВМ банкомата OAO «Р…банк», путем запуска вредоносной программы «test6.exe», являющейся компьютерным вирусом, т. е. программой, заведомо приводящей к сбору и передаче компьютерной информации, т. е. к несанкционированному копированию информации, охраняемой ст. 16 Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: 27 ноября 2007 г. — о банковской карте № 4874…0382; не позднее 4 декабря 2007 г. о банковской карте № 4874…0374; 12 января 2008 г. — о банковской карте № 4874…4818; 25 января 2008 г. — о банковской карте № 4874…0363; 29 января 2008 г. — о банковской карте № 4874…5692; 16 февраля 2008 г. — о банковской карте № 4874…3971; 15 марта 2008 г. — о банковской карте № 487 416 313 0 000 848; 21 марта 2008 г. — о банковской карте № 4874…6893; 21 марта 2008 г. — о банковской карте № 4874…0069; 22 марта 2008 г. — о банковской карте № 4874…2511. Таким образом, он (К.) совместно с Г. А. Б., П. Н. В. и К. Е. А. совершил внесение изменений в существующие программы для ЭВМ, заведомо приводящих к несанкционированному копированию информации, а равно использованию таких программ, т. е. совершил преступление, предусмотренное ч. 1 ст. 273 УК РФ, совершил иным незаконным способом сбор сведений, составляющих банковскую тайну, из корыстной заинтересованности, причинив крупный ущерб. <… > Тем самым он (К.), действуя с единым умыслом и совместно с Г. А. Б., П. Н. В. и К. Е. А., используя специальные технические и программные средства, внес изменения в существующую программу «Agilis», установленную в ЭВМ банкомата ОАО «Р…банк», после чего из корыстных побуждений незаконно собрал и получил сведения, 27 ноября 2007 г. — о банковской карте № 4874…0382; не позднее 4 декабря 2007 г. — о банковской карте № 4874…0374; 12 января 2008 г. — о банковской карте № 4874…4818; 25 января 2008 г. — о банковской карте № 487 416 325 5 120 363; 29 января 2008 г. — о банковской карте № 4874…5692; 16 февраля 2008 г. — о банковской карте № 487 415 522 0 003 971; 15 марта 2008 г. — о банковской карте № 4874…0848; 21 марта 2008 г. — о банковской карте № 487 417 325 0 046 893; 21 марта 2008 г. — о банковской карте № 4874…0069; 22 марта 2008 г. — о банковской карте № 4874…2511, составляющие в соответствии со ст. 26 Федерального закона от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности» (в редакции от 30 декабря 2004 г.) банковскую тайну, на основании данной информации изготавливал подложные банковские карты, по которым в последующем совершал хищение денежных средств ОАО «Г…банк» в особо крупном размере. Таким образом, он (К.) совместно с Г. А. Б., П. Н. В. и К. Е. А. совершил иным незаконным способом сбор сведений, составляющих банковскую тайну, из корыстной заинтересованности, причинив банку крупный ущерб в размере 3 886 753 руб., т. е. совершил преступление, предусмотренное ч. 3 ст. 183 УК РФ, совершил преступления, предусмотренные п. «а», «б» ч. 4 ст. 158; ч. 3 ст. 30, пунктами «а», «б» ч. 4 ст. 158 УК РФ; ч. 2 ст. 272 УК РФ; ч. 1 ст. 273 УК РФ; ч. 3 ст. 183 УК РФ. Приговор (Извлечения) Дело № 1-553/09 г. Санкт- Петербург 17 июля 2009 г. Судья Приморского районного суда г. Санкт-Петербурга Установил: подсудимые К. Е. В., Г. А. Б., П. Н. В. и К. Е. А., каждый из них совершил кражу, т. е. тайное хищение чужого имущества, организованной группой в особо крупном размере… Они же (К. Е. В., Г. А. Б., П. Н. В., К. Е. А.), каждый из них, совершили покушение, т. е. умышленные действия, непосредственно направленные на совершение кражи, т. е. на тайное хищение чужого имущества, организованной группой в особо крупном размере, при этом преступление не было доведено до конца по не зависящим от них обстоятельствам… Они же (К. Е. В., Г. А. Б., П. Н. В. и К. Е. А.), каждый из них, совершили неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации в системе ЭВМ, повлекший копирование информации, организованной группой… Они же (К. Е. В., Г. А. Б., П. Н. В. и К. Е. А.), каждый из них, совершили внесение изменений в существующие программы для ЭВМ, заведомо приводящих к несанкционированному копированию информации, а также использовали такие программы… Они же (К. Е. В., Г. А. Б., П. Н. В. и К. Б. А.), каждый из них, совершили сбор сведений незаконным способом, составляющих банковскую тайну, из корыстной заинтересованности, что повлекло причинение крупного ущерба… <…> Приговорил: Признать К. Е. В. виновным в совершении преступлений, предусмотренных п. «а», «б» ч. 4 ст. 158; ч. 3 ст. 30, п. «а», «б» ч. 4 ст. 158; ч. 2 ст. 272; ч. 1 ст. 273; ч. 3 ст. 183 УК РФ и назначить ему наказание: по п. «а», «б» ч. 4 ст. 158 УК РФ, с применением ст. 64 УК РФ — в виде 4 лет лишения свободы со штрафом в размере 50 000 руб.; по ч. 3 ст. 30; п. «а», «б» ч. 4 ст. 158 УК РФ, с применением ст. 64 УК РФ — в виде 4 лет лишения свободы со штрафом в размере 50 000 руб.; по ч. 2 ст. 272 УК РФ — в виде 2 лет лишения свободы; по ч. 1 ст. 273 УК РФ — в виде 1 года лишения свободы со штрафом в размере 20 000 руб.; по ст. 183 ч. 3 УК РФ — в виде 2 лет лишения свободы. На основании ч. 3 ст. 69 УК РФ путем частичного сложения наказаний окончательно назначить К. Е. В. наказание в виде 5 лет лишения свободы со штрафом в размере 100 000 руб. Признать Г. А. Б., П. Н. В., К. Е. А., каждого, виновным в совершении преступлений, предусмотренных п. «а», «б» ч. 4 ст. 158; ч. 3 ст. 30, п. «а», «б» ч. 4 ст. 158; ч. 2 ст. 272; ч.1 ст. 273; ч. 3 ст. 183 УК РФ и назначить каждому из них наказание: по п. «а», «б» ч. 4 ст. 158 УК РФ, с применением ст. 64 УК РФ — в виде 3 лет лишения свободы со штрафом в размере 30 000 рублей; по ч. 3 ст. 30; п. «а», «б» ч. 4 ст. 158 УК РФ, с применением ст. 64 УК РФ — в виде 3 лет лишения свободы со штрафом в размере 30 000 рублей; по ч. 2 ст. 272 УК РФ — в виде 2 лет лишения свободы; по ч. 1 ст. 273 УК РФ — в виде 1 года лишения свободы со штрафом в размере 10 000 руб.; по ст. 183 ч. 3 УК РФ — в виде 2 лет лишения свободы. На основании ч. 3 ст. 69 УК РФ путем частичного сложения наказаний окончательно назначить Г. А. Б., П. Н. В., К. Е. А., каждому из них, наказание в виде 4 лет лишения свободы со штрафом в размере 50 000 руб. В соответствии со ст. 73 УК РФ наказание, назначенное К. Е. В., Г. А. Б., П. Н. В., К. Е. А., считать условным с испытательным сроком 3 года каждому. Взыскать с К. Е. В., Г. А. Б., П. Н. В., К. Е. А., солидарно, в счет возмещения материального ущерба, в пользу ОАО «Г…банк» — 3 886 753 руб. Меры пресечения в виде содержания под стражей, избранные ранее в отношении К. Е. В. и Г. А. Б, — отменить, из-под стражи освободить немедленно, в зале суда. Меры пресечения в виде подписки о невыезде и надлежащем поведении, избранные ранее в отношении П. Н. В. и К. Е. А., — отменить. Фотографии из уголовного дела № 772270 Уголовное дело № 50570 от 31 августа 2007 г., Йошкар-Ола. Эквайринг АТМ Изготовление и использование поддельных кредитных, расчетных карт («белого пластика») иностранных эмитентов для получения наличных денежных средств в банкоматах российских банков. Обвинительное заключение (Извлечения) по обвинению: К. М. С. в совершении преступлений, предусмотренных ч. 2 ст. 210; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» п. «а» ч. 4. 4 ст. 158; т. 158; ч. 2.2 ст. 210, т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 210, ч. 2 т. 158; ч. 2 т. 210, ч. 3 т. 30, п. «а» ст. 158; ч. 2 т. 210, ч. 3 т. 30, п. «а» ст. 158; ч. 2 т. 210, ч. 3 т. 30, п. «а» ст. 158; ч. 2 т. 210, ч. 3 т. 30, п. «а» ст. 158; ч. 2 т. 210, ч. 3 т. 30, п. «а» ст. 158; ч. 2 т. 210, ч. 3 т. 30, п. «а» ст. 158; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187 '; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 с 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 с 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 с 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 с 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 с 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 с. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; п. «а» ч. ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 183 УК РФ; С. А. Д. в совершении преступлений, предусмотренных ч. 2 ст. 210; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 183 УК РФ; В. К. О. в совершении преступлений, предусмотренных ч. 2 ст. 210; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158 ст. 158 ст. 158 ст. 158 ст. 158 ст. 158 ст. 158 ст. 158 ст. 158 ст. 158 ст. 158, п. «а» ч. 4 ст 158; ч. 2 ст. 210, п. «а» 158; ч. 2 ст. 210, п. «а» 158; ч. 2 ст. 210, п. «а» 158; ч. 2 ст. 210, п. «а» 158; ч. 2 ст. 210, п. «а» 158; ч. 2 ст. 210, п. «а 158; ч. 2 ст. 210, п. „а 158; ч. 2 ст. 210, п. „а“ 158; ч. 2 ст. 210, п. „а“ 158; ч. 2 ст. 210, п. „а“ 158; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 87; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст. 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст 87; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 с 187; ч. 2 ст. 210, ч. 2 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; т. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 с т. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п „а“ ч. 4 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. т. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 т. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 т. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 т. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158;. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. „а“ ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 т. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 т. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 т. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а». 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158;. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 т. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 т. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 т. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а». 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158;. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 т. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 т. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 т. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 т. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 т. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 т. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 т. 210, ч. 3 ст. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 т. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 с т. 187; ч. 2 ст. 210, ч. 3 т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 т. 210, ч. 3 ст. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 т. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 с т. 187; ч. 2 ст. 210, ч. 3 т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 с т. 187; ч. 2 с т. 210, ч. 3 с т. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187 УК РФ; П. Р. А. в совершении преступлений, предусмотренных ч. 2 ст. 210; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187 УК РФ; Г. Е. Н. в совершении преступлений, предусмотренных ч. 2 ст. 210; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч.4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 ст. 30, ч. 2 ст. 187; ч. 2 ст. 210, ч. 3 с т. 30, ч. 2 ст. 187 УК РФ; С. С. Ю. в совершении пре ступлений, предусмотренных п. «а» ч. 4 ст. 158; п. «а» ч. 4 ст. 158; п. «а» ч. 4 ст. 158; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 3 ст. 30, п. «а» ч. 4 ст. 158; ч. 3 ст. 30, ч. 2 ст. 187; ч. 3 ст. 30, ч. 2 ст. 187; ч. 3 ст. 30, ч. 2 ст. 187; ч. 3 ст. 30, ч. 2 ст. 187; ч. 3 ст. 30, ч. 1 ст. 158; ч. 3 ст. 30, ч. 1 ст. 158; ч. 3 ст. 30, ч. 1 ст. 158; ч. 3 ст. 30, ч. 1 ст. 187; ч. 3 ст. 30, ч. 1 ст. 187; ч. 3 ст. 30, ч. 1 ст. 187 УК РФ. Обвиняется: К. М. С. <…> в том, что он, преследуя корыстную цель незаконного обогащения, нигде официально не работая и не имея постоянных источников дохода, действуя умышленно, сознавая преступный характер своих действий, в январе 2007 г. по предложению ранее знакомого, находящегося в федеральном розыске за совершение корыстных преступлений, жителя г. Йошкар-Олы Б. В. В., 1978 г. рождения, добровольно вошел в состав преступной, организации с целью незаконного изготовления поддельных банковских карт и совершения с их помощью систематических хищений денежных средств из банкоматов коммерческих банков, и в период с 18 января 2007 г. по 19 декабря 2007 г. совершил ряд тяжких преступлений на территории г. Йошкар-Ола, Чебоксары, Ульяновск, Киров, Канаш и Мелекесского района Ульяновской области при следующих обстоятельствах. Так, в период с января 2007 г. по май 2007 г. жители г. Йошкар-Ола, Республика Марий Эл, К. М. С., С. А. Д., В. К. О., Г. Е. Н. и С. С. Ю. по предложению Б. В. В. с целью получения постоянного дохода и незаконного обогащения путем подрыва основ экономической безопасности и финансовой устойчивости государства, нормального порядка безналичных расчетов в международной банковской сфере и полноценного функционирования рыночных институтов в Российской Федерации и иностранных государствах, объединились в сплоченную организованную преступную группу — преступную организацию и совершили ряд тяжких преступлений путем изготовления и сбыта поддельных банковских карт и совершения тайных хищений денежных средств с использованием поддельных банковских карт из банкоматов коммерческих банков, расположенных в различных регионах Российской Федерации, при следующих обстоятельствах. В период с марта по октябрь 2006 г. Б. В. В., имея высшее радиотехническое образование и будучи выпускником Чувашского техникума и радиотехнического факультета Марийского Государственного технического университета, обладая специальными познаниями и навыками в области компьютерных технологий, телекоммуникаций и в сфере использования банковских пластиковых карт, полученных как во время обучения в высшем учебном заведении, так и в ходе дальнейшей трудовой деятельности, приобрел криминальный опыт применения своих специальных познаний и способностей, участвуя в противоправной деятельности организованной преступной группы Ш. С. О. и А. Л. Л., действовавшей на территории г. Н. Новгород и специализировавшейся на хищении денежных средств и имущества в торгово-сервисных предприятиях и банкоматах с использованием изготавливаемых участниками группы поддельных расчетных банковских карт. Преступная деятельность ее участников заключалась в осуществлении неправомерного до ступа к охраняемой законом информации, составляющей банков скую тайну, по средством использования ЭВМ и электронной сети Интернет, сборе информации о персональных идентификационных номерах рас четных банковских карт, выдаваемых банком-эмитентом истинным держателям, и информации, закодированной на расчетных банковских картах, выпущенных банком-эмитентом, изготовлении поддельных банковских расчетных пластиковых карт на специально приобретенном оборудовании — энкодере, предназначенном для нанесения информации — кодирования на магнитную дорожку пластиковой карты, непосредственном противоправном завладении чужими товарно-материальными ценно стями путем использования поддельных банковских расчетных карт как платежных средств в торгово-сервисных предприятиях и банкоматах. Б. В. В., имея обширные межрегиональные и международные преступные связи в среде «кардеров», т. е. лиц, занимающихся совершением преступлений в сфере изготовления и с быта поддельных банковских карт, являлся одним из организаторов, активным участником преступной группы и основным поставщиком поддельных банковских карт. Б. В. В. собирал информацию, закодированную на расчетных банковских картах, изготавливал поддельные расчетные банковские карты на имена граждан, которых подыскивал вместе с организаторами преступной группы под руководством Ш. С. О. и А. Л. Л., вовлекал этих граждан в совершение преступлений и непосредственно направлял для хищения товарно-материальных ценностей путем использования поддельных банковских карт как платежных средств в торгово-сервисных предприятиях. В период с 3 марта до 18 октября 2006 г. участниками данной организованной преступной группы было совершено более ста тяжких преступлений, в результате которых коммерческим организациям причинен ущерб на сумму около 1 500 000 руб. В октябре 2006 г. деятельность преступной группы была пресечена, ее участники задержаны, однако Б. В. В. скрылся от правоохранительных органов. Находясь в федеральном розыске, используя полученный криминальный опыт и учитывая ошибки, допущенные участниками прежней преступной группы, с целью организации аналогичной преступной деятельности осенью 2006 г. Б. В. В. решил организовать в г. Йошкар-Ола самостоятельную преступную организацию под своим руководством. Используя свой преступный опыт, Б. В. В. избрал схему сбыта поддельных банковских карт, исключающую контакт с продавцами торгово-сервисных предприятий, принимающих банковские карты в качестве средств оплаты товаров, а именно схему получения по поддельным банковским картам непосредственно участниками преступной организации наличных денежных средств из банкоматов коммерческих банков Российской Федерации, оказывающих услуги эквайринга, т. е. обслуживающих держателей банковских пластиковых карт, эмитированных (выпущенных) банками — членами международных платежных систем VISA International и MasterCard International. При этом в целях минимизации риска разоблачения планировал сбывать поддельные пластиковые карты в нескольких регионах Российской Федерации в заранее намеченных банковских учреждениях, где предварительно осуществлялись соответствующие разведывательные мероприятия на предмет выяснения наличия охраны и видеонаблюдения вблизи банкоматов, возможных путей отхода в случае обнаружения. Реализуя свой преступный умысел, Б. В. В., зная способы незаконного получения через сеть Интернет дампов — совокупности информации на магнитной полосе банковской карты, предназначенной для доступа к банковскому счету, и ПИН-кодов — персональных идентификационных номеров истинных держателей карт международных платежных систем VISA International и MasterCard International иностранных коммерческих банков, предназначенных для их аутентификации (отождествления), и технологию нанесения на магнитную дорожку заготовок пластиковых карт указанной информации, тщательно спланировал преступную деятельность создаваемой организации и начал подбор ее участников, которые обладали высокими знаниями пользователей персонального компьютера и хорошо ориентировались в вопросах функционирования платежных электронных систем. Через форумы «кардеров» в сети Интернет, т. е. лиц, занимающихся совершением преступлений в сфере изготовления и сбыта поддельных банковских карт, после соответствующих разведывательных бесед и проверок путем электронной переписки, Б. В. В., находясь в федеральном розыске и скрываясь от правоохранительных органов в г. Йошкар-Ола, в конце 2006 г. познакомился с жителями г. Йошкар-Ола С. А. Д. и К. М. С., являющимися близкими друзьями, студентами факультета информационной безопасности Межрегионального открытого социального института по специальности «Комплексная защита объектов информатизации» и профессиональными компьютерными пользователями, которые имели опыт сбора через сеть Интернет информации о дампах и ПИН-кодах держателей банковских карт международных платежных систем VISA International и MasterCard International иностранных коммерческих банков, и знали технологию нанесения на магнитную дорожку заготовок пластиковых карт указанной информации. В конце декабря 2006 г. при встрече со С. А. Д. и К. М. С. в кафе кинотеатра «Россия» в г. Йошкар-Ола Б. В. В. посвятил их в свои преступные планы и получил согласие участвовать в преступной деятельности в составе преступной организации. Для реализации дальнейших преступных планов Б. В. В., К. М. С. и С. А. Д. стали создавать соответствующую материально-техническую базу и привлекать других соучастников. В целях обеспечения мобильности участников создаваемой преступной организации Б. В. В. вовлек в преступную деятельность ранее знакомого жителя г. Йошкар-Ола В. К. 0., имевшего в распоряжении личные автомашины ВАЗ-21099 регистрационный знак м899ве/12 и ВАЗ-2112 регистрационный знак м222 м с/12, занимавшегося частным извозом и ранее неоднократно выезжавшего с ним в различные регионы Российской Федерации. Кроме того, Б. В. В. предо ставил участникам преступной организации имевшееся у него специальное оборудование для нанесения информации (кодирования) на магнитную дорожку пластиковых карт — энкодер и заготовки пластиковых карт с магнитной полосой, а также ноутбук с соответствующим программным обеспечением для работы с энкодером и проверки валидности, т. е. пригодности изготовленных поддельных карт для совершения хищений денежных средств из банкоматов. С. А. Д. и К. М. С., используя свои персональные компьютеры, через сеть Интернет получали информацию о дампах и ПИН-кодах держателей банковских карт международных платежных си стем VISA International и MasterCard International иностранных коммерческих банков от неустановленных следствием лиц, оплачивая их услуги через безналичную электронную систему денежных переводов «WebMoney». В феврале 2007 г. участники преступной группы Б. В. В., С. А. Д., К. М. С. на автомашине под управлением В. К. О. выехали в г. Казань, где в ООО «Ивелла» по адресу: ул. Бандюжская, д. 3 «а», приобрели крупную партию заготовок пластиковых карт с магнитной полосой для изготовления поддельных банковских карт. Весной 2007 г. в г. Москва в неустановленном следствием месте они приобрели новое оборудование для нанесения информации (кодирования) на магнитную дорожку пластиковых карт — энкодер. Кроме того, периодически обновляли имеющуюся у них компьютерную технику. В целях конспирации для связи между собой участники преступного сообщества использовали номера телефонов сотовой связи, зарегистрированные на других лиц, для чего каждый участник имел от трех до пяти сим-карт и разные мобильные телефоны. Кроме того, участники преступной организации общались между собой с помощью персональных компьютеров и коммуникаторов через сеть Интернет, используя программы обмена сообщениями «QIP» и «mIRC». В апреле 2007 г. участники преступной организации на подставных лиц, непосвященных в их преступные планы, зарегистрировали ООО «Система», от имени которого арендовали офис по адресу: г. Йошкар-Ола, ул. Красноармейская д. 99 «а», где находилось компьютерное и другое оборудование и до октября 2007 г. непосредственно производилось изготовление поддельных банковских карт. В целях получения пакета учредительных документов ООО «Система» и оформления аренды помещения, выполнения функций водителя и непосредственного получения наличных денег по поддельным банковским картам через банкоматы, Б. В. В. вовлек в преступное сообщество своего родственника — жителя г. Йошкар-Ола Г. Е. Н., имевшего в распоряжении личную автомашину Chery SUVT11 («Чери Тигго») регистрационный знак к721сн/12, и его знакомого С. С. Ю., имевшего в распоряжении личные автомашины ВАЗ-21122 и Ford Escape с единым регистрационным знаком р066ва/12. С. С. Ю. впоследствии добровольно прекратил свое участие в преступной организации. В качестве исполнителя на этапе непосредственного получения наличных денег по поддельным банковским картам через банкоматы в октябре 2007 г. К. М. С. и С. А. Д., по согласованию с Б. В. В., привлекли к деятельности преступной организации своего бывшего одноклассника — П. Р. А., также обучающегося в Межрегиональном открытом социальном институте, с которым поддерживали тесные дружеские и доверительные отношения. К. М. С. и Г. Е. Н. также использовали свои личные автомашины, на которых по указанию Б. В. В. оперативно выезжали в различные регионы Российской Федерации для снятия наличных денег по поддельным картам. Повышенная мобильность исполнителей и их беспрекословное подчинение руководителю преступной организации явились решающим фактором привлечения указанных лиц к деятельности преступного сообщества. К маю 2007 г. Б. В. В. были подобраны в се основные участники преступной организации, закуплены заготовки пластиковых карт и специальное оборудование для их программирования, арендовано помещение, составлены планы преступных действий, подобраны и сформированы отдельные группы для их реализации на территории Республики Марий Эл, Чувашской Республики, Ульяновской и Кировской областей и других регионов Российской Федерации. Б. В. В., как организатор преступной организации, разработал специальную методику хищения наличных денег из банкоматов по поддельным банковским пластиковым картам иностранных банков-эмитентов. Снятие денег осуществлялось мобильной группой из двух-трех участников преступной организации. Один из участников группы непосредственно манипулировал поддельными картами в банкомате, а именно: вставлял по очереди в картридер банкомата, т. е. в устройство для чтения карт, вышеуказанные поддельные карты и через интерфейс банкомата, т. е. у стройство ввода/вывода информации, состоящее из монитора, функциональной клавиатуры и криптоклавиатуры, вводил необходимые данные — комбинации цифр, соответствующие суммам, подлежащим снятию, и ПИН-коды истинных держателей карт, после чего совершал тайное хищение денежных средств из диспенсера банкомата, т. е. устройства для хранения и выдачи денежных банкнот. Остальные участники группы, создавая видимость очереди, наблюдали за окружающей обстановкой и при необходимости оповещали о возможной опасности и обеспечивали отход всей группы. Чтобы не привлекать к себе внимания посторонних лиц, участники мобильной группы менялись между собой ролями, и каждый из них за короткий промежуток использовал для хищения денежных средств от 5 до 10 поддельных карт. При этом участники преступной организации отрабатывали навыки быстрого манипулирования с интерфейсом банкомата и в течение одной минуты могли использовать 2–3 карты. Процессинговыми центрами иностранных банков-эмитентов, т. е. специальными аппаратно-программными комплексами, осуществляющими управление информационными потоками и обеспечивающими разграничение прав доступа держателей карт к информационным ресурсам, а также регистрацией и последующей авторизацией (разрешением на использование) банковских карт, сбором, обработкой и хранением сведений о проведенных в банкоматах транзакциях (операциях) с использованием указанных карт, большая часть поддельных карт, используемых участниками преступной организации, была авторизована, в результате чего банкоматами были выданы денежные средства. Данные обстоятельства свидетельствуют о высокой достоверности незаконно получаемой участниками организации информации о банковских картах и их ПИН-кодах. На случай возможных проблемных ситуаций с работниками банковских охранных структур и сотрудниками правоохранительных органов участники преступного сообщества К. М. С. и Г. Е. Н. были снабжены документами прикрытия — удостоверениями членов Ассоциации работников правоохранительных органов, внешне похожими на удостоверения сотрудников милиции. В период с января по декабрь 2007 г., действуя из корыстных побуждений, участники преступной организации совершили 325 тяжких преступлений на территории Республики Марий Эл, Чувашской Республики, Ульяновской и Кировской областей, похитив денежные средства на общую сумму более 3 900 000 руб. В октябре 2007 г. Б. В. В., находясь в федеральном розыске, скрылся из г. Йошкар-Ола, опасаясь задержания сотрудниками правоохранительных органов. Однако участники преступной организации, действуя согласно ранее распределенным ролям, используя отлаженную схему совершения преступлений, продолжили заниматься преступной деятельностью. К. М. С. и С. А. Д., действуя согласно отведенной им роли, продолжили заниматься поиском и покупкой в сети Интернет информации о дампах и ПИН-кодах держателей банковских карт международных платежных систем VISA International и MasterCard International иностранных коммерческих банков, после чего, используя энкодер и компьютерную технику по месту проживания К. М. С. по адресу: г. Йошкар-Ола, ул. Анникова, д. 4, кв. 104, изготавливали поддельные банковские карты. Участники преступной организации В. К. О., П. Р. А. и Г. Е. Н., действуя согласно отведенным им ролям, вместе со С. А. Д. и К. М. С., получая от последнего поддельные банковские карты, продолжили заниматься их сбытом и хищением денежных средств из банкоматов коммерческих банков. В ходе производства обысков по месту жительства участников преступной организации и при о смотрах их личных автомашин было изъято 250 поддельных банковских карт, приготовленных к дальнейшему использованию, энкодер и компьютерная техника с программным обеспечением, а также 183 заготовки пластиковых карт с магнитной полосой. Таким образом, участники преступной организации К. М. С., С. А. Д., В. К. О., Г. Е. Н., П. Р. А. и С. С. Ю. под руководством Б. В. В. объединили сь в преступную организацию для совершения тяжких преступлений путем изготовления поддельных банковских карт и совершения тайных хищений денежных средств с использованием поддельных банковских карт из банкоматов коммерческих банков. Преступная организация под руководством Б. В. В. имела четко по строенную иерархическую структуру, основанную на принципах подчиненности руководителю с осуществлением последним единоличного контроля за деятельностью преступной группы и распределения преступных доходов. Организация носила стабильный, постоянный характер, на протяжении своего существования активно действовала в Республике Марий Эл, Чувашской Республике, Ульяновской и Кировской областях, а также в других регионах Российской Федерации. Все участники преступной организации были заведомо осведомлены о противоправных действиях друг друга и сохраняли тесные связи между собой на почве родственных и дружеских отношений, а также совме стной преступной деятельности. Б. В. В., являясь организатором и координатором преступных действий, разработал схему совершения преступлений, распределял преступные роли, производил изучение условий и механизма получения денежных средств с помощью поддельных пластиковых банковских карт в банкоматах коммерческих банков, рас положенных в различных регионах Российской Федерации. На специально приобретенном специализированном оборудовании Б. В. В. вместе с К. М. С. и С. А. Д. изготовлял поддельные банковские карты, которые впоследствии использовались участниками преступной организации в банкоматах. Лично подыскивал и вовлекал в совершение умышленных корыстных преступлений участников преступной организации, разъяснял им схему преступлений и конкретную роль каждого в данной схеме. Предоставлял в распоряжение членов организации специальное оборудование для нанесения информации (кодирования) на магнитную дорожку пластиковых карт — энкодер и ноутбук для проверки платеже способности поддельных карт. Лично организовывал поездки и выезжал с другими членами организации на места совершения преступлений, непосредственно совершал преступления с использованием поддельных банковских карт в банкоматах, а также организовывал самостоятельные выезды участников преступной организации в различные регионы Российской Федерации. Выдавал участникам преступной организации поддельные карты и получал от них похищенные денежные средства, которые распределял соразмерно роли каждого в преступной схеме. При этом Б. В. В. получал большую часть денежных средств, добытых преступным путем, из которых формировалась общая касса преступной организации. К. М. С. и С. А. Д. являлись непосредственными исполнителями преступных замыслов, согласно отведенной им роли участвовали в разработке схемы совершения хищений денежных средств из банкоматов. Под руководством Б. В. В. и совместно с ним с целью изготовления поддельных банковских карт, предназначенных для дальнейшего использования в банкоматах, занимались поиском и покупкой в сети Интернет у неустановленных следствием лиц информации о дампах и ПИН-кодах держателей банков с ких карт международных платежных систем VISA International и MasterCard International иностранных коммерческих банков. Кроме того, на специально приобретенном оборудовании под руководством Б. В. В. и совместно с ним изготавливали поддельные банковские карты, которые в дальнейшем использовались ими в банкоматах, выезжали на места совершения преступлений и непосредственно совершали преступления с использованием поддельных банковских карт в банкоматах. При непосредственном совершении преступлений К. М. С. и С. А. Д. передавали похищенные денежные средства лидеру преступной организации Б. В. В. для их распределения между ее участниками соразмерно роли каждого в преступной схеме. За указанные преступные действия К. М. С. и С. А. Д. получали от Б. В. В. вознаграждение в зависимости от суммы похищенного. Кроме того, К. М. С. с октября 2007 г., после того как Б. В. В. покинул г. Йошкар-Ола, опасаясь задержания, организовывал выезды участников преступной организации в другие регионы для совершения преступлений, выдавал участникам преступной организации поддельные карты и получал от них похищенные денежные средства, которые распределял соразмерно роли каждого в преступной схеме. В. К. О., Г. Е. Н. и С. С. Ю. являлись исполнителями преступных замыслов согласно отведенной каждому роли. Предоставляли в распоряжение организатора и членов организации личные автомашины, на которых доставляли их к местам совершения преступлений, в том числе в другие города Российской Федерации. Находясь на местах совершения преступлений, согласно отведенной им роли, непосредственно совершали преступления с использованием поддельных банковских карт в банкоматах, следили за окружающей обстановкой с целью предупреждения о возможной опасности, а также обеспечивали своевременное оставление мест преступлений. За указанные преступные действия В. К. О., Г. Е. Н. и С. С. Ю. получали от Б. В. В. вознаграждение в зависимости от суммы похищенного. П. Р. А. являлся исполнителем преступных замыслов согласно отведенной ему роли. Выезжал с остальными участниками к местам совершения преступлений, где непосредственно совершал хищения с использованием поддельных банковских карт в банкоматах, следил за окружающей обстановкой с целью предупреждения о возможной опасности, а также обеспечивал своевременное оставление мест преступлений. За указанные преступные действия П. Р. А. получал от К. М. С. вознаграждение в зависимости от суммы похищенного. Добытые преступным путем денежные средства, из которых формировалась общая касса преступной организации, использовались для покупки в сети Интернет через систему электронных платежей «WebMoney» у неустановленных следствием лиц новой информации о дампах и ПИН-кодах держателей банковских карт международных платежных систем VISA International и MasterCard International иностранных коммерческих банков для оплаты расходов участников преступной организации при выездах и проживании в других регионах России, а также для вложений в деятельность коммерческих фирм, зарегистрированных как на участников преступной организации, так и на подставных лиц. Для совершения хищений денежных средств из банкоматов коммерческих банков в г. Йошкар-Ола Б. В. В. сформировал группу, в которую под его руководством входили участники преступной организации К. М. С. и С. А. Д., а также В. К. О., предоставлявший свою личную автомашину и обеспечивавший мобильность ее участников. Данной группой в различных составах совершено 150 преступлений и похищены денежные средства на общую сумму более 1 050 000 руб. Для совершения хищений денежных средств из банкоматов коммерческих банков в г. Чебоксары Б. В. В. сформировал группу, в которую под его руководством входили участники преступной организации К. М. С. и С. А. Д., а также привлекались в разное время В. К. О., Г. Е. Н. или С. С. Ю., предоставлявшие свои личные автомашины и обеспечивавшие мобильность ее участников. Данной группой в различных составах совершено 82 преступления и похищены денежные средства на общую сумму около 1 000 000 руб. Для совершения хищений денежных средств из банкоматов коммерческих банков в г. Ульяновск и Ульяновской области Б. В. В. сформировал группу, в которую входили участники преступной организации К. М. С., С. А. Д. и В. К. О., а также привлекал Г. Е. Н. или С. С. Ю., предоставлявших свои личные автомашины и обеспечивавших мобильность ее участников. Данной группой в различных составах совершено 14 преступлений и похищены денежные средства на общую сумму 453 000 руб. Продолжая реализовывать преступные планы, К. М. С., по согласованию с Б. В. В., для совершения хищений денежных средств из банкоматов коммерческих банков в г. Кирове сформировал группу, в которую входили участники преступной организации С. А. Д. и П. Р. А., а также В. К. О., предо ставивший свою личную автомашину и обеспечивавший мобильность ее участников. Данной группой совершено 72 преступления и похищены денежные средства на общую сумму 1 310 000 руб. Кроме того, участники данной группы выезжали в г. Канаш Чувашской Республики, где совершили 8 преступлений и похитили денежные средства на общую сумму 129 000 руб. Единая цель организатора и участников преступной организации, распределение ролей между ними, отработанные способы сбора через сеть Интернет информации о дампах и ПИН-кодах, изготовление поддельных карт на специально приобретенном оборудовании, отработанные способы хищения денежных средств из банкоматов, соблюдение мер безопасности и конспирации преступной деятельности, подобранный постоянный со став мобильных преступных групп для совершения преступлений в заранее распределенных между ними регионах, свидетельствуют о высокой степени организации действий каждого участника преступной организации. Сплоченность участников преступного сообщества ярко выражена в их единомыслии, основанном на пренебрежении нормами права, направленном на незаконное приобретение материальных благ, в безусловном разделении ими преступных целей, едином стремлении в полной мере реализовать разработанную Б. В. В. преступную схему и принятии как тех предложенных Б. В. В. специфических, по строенных на знаниях высокотехнологичных компьютерных технологий незаконных средств и методов, которыми избранная цель достигается. Прочные и постоянные связи между участниками преступной организации, стабильность ее состава, длительный период преступных действий, осуществление единой совместной преступной цели, устоявшиеся связи между соучастниками, распределение функций, планирование преступной деятельности, разработка мер конспирации, внутренняя дисциплина свидетельствуют об устойчивости и сплоченности деятельности участников преступной организации. Преступная деятельность участников преступной организации была пресечена в январе 2008 г. после их задержания сотрудниками милиции. Своими действиями К. М. С. совершил преступление, предусмотренное ч. 2 ст. 210 УК РФ, т. е. участие в преступном сообществе (преступной организации)… <…> 21 января 2007 г. около 11 ч 26 мин. К. М. С. и С. А. Д., являясь участниками преступного сообщества под руководством Б. В. В., действуя из корыстных побуждений по указанию последнего, согласно заранее распределенным в преступной схеме ролям, с целью совершения тайного хищения чужого имущества путем использования поддельных банковских карт международных платежных си стем VISA International и MasterCard International иностранных банков-эмитентов, вступили в преступный сговор с неустановленными следствием лицами, не являвшимися участниками преступного сообщества, с целью хищения денежных средств из банкомата № 00144004, установленного в проходной ТЭЦ-1 по адресу: г. Йошкар-Ола, ул. Лобачевского, д. 12, принадлежавшего филиалу ОАО «Б…БАНК» в г. Йошкар-Ола, оказывающему услуги эквайринга. Для реализации совместных преступных планов К. М. С. и С. А. Д., действуя в составе преступной организации с единым преступным умы слом с Б. В. В., передали неустановленным следствием лицам поддельную банковскую расчетную карту международной платежной системы MasterCard International № 6759683416937822, эмитированную National Westminster Bank PLC Великобритания, заранее ими изготовленную в неустановленном следствием месте на специальном оборудовании путем перепрограммирования, т. е. нанесения на магнитную дорожку заготовки пластиковой карты номеров и кодов банковских счетов граждан (дампов), информацию о которых получали через сеть Интернет от неустановленных следствием лиц вместе с персональными идентификационными номерами (ПИН-кодами), предназначенными для аутентификации (отожде ствления) истинных держателей карт. Осуществляя совместный преступный умысел с К. М. С. и С. А. Д., неустановленные следствием лица пришли к банкомату № 00144004, где вставляли в картридер банкомата вышеуказанную поддельную карту и через интерфейс банкомата вводили комбинации цифр, соответствующие суммам, подлежащим снятию, ПИН-код истинного держателя карты и получили из диспенсера банкомата денежные средства в общей сумме 12 500 руб., принадлежавшие филиалу ОАО «Б…БАНК» в г. Йошкар-Ола. Таким образом, совершив тайное хищение чужого имущества, неустановленные лица скрылись с места совершения преступления и передали похищенные денежные средства К. М. С., С. А. Д. и Б. В. В., последний из которых распределил их между участниками преступной организации соразмерно роли каждого в преступной схеме, причинив филиалу ОАО «Б…БАНК» в г. Йошкар-Ола ущерб на указанную сумму. Своими действиями К. М. С. совершил преступление, предусмотренное ч. 2 ст. 210, п. «а» ч. 4 ст. 158 УК РФ, т. е. участие в преступном сообществе (преступной организации); кражу — тайное хищение чужого имущества, совершенную организованной группой… <…> 21 января 2007 г. около 11 ч. 26 мин. К. М. С. и С. А. Д., являясь участниками преступного сообщества под руководством Б. В. В., действуя из корыстных побуждений по указанию последнего, согласно заранее распределенным в преступной схеме ролям, посягая на основы экономической безопасности и установленный порядок безналичных расчетов в международной банковской сфере, с целью сбыта, т. е. введения в оборот поддельных банковских карт международных платежных систем VISA International и MasterCard International иностранных банков-эмитентов путем их использования при совершении тайного хищения чужого имущества, вступили в преступный сговор с неустановленными следствием лицами, не являвшимися участниками преступного сообщества, с целью хищения денежных средств из банкомата № 00144004, установленного в проходной ТЭЦ-1 по адресу: г. Йошкар-Ола, ул. Лобачевского, д. 12, принадлежавшего вилиалу ОАО «Б…БАНК» в г. Йошкар-Ола, оказывающему услуги эквайринга. Для реализации совместных преступных планов К. М. С. и С. А. Д., действуя в составе преступной организации с единым преступным умыслом с Б. В. В., передали неустановленным следствием лицам поддельную банковскую расчетную карту международной платежной системы MasterCard International № 6759683416937822, эмитированную National Westminster Bank PLC Великобритания, заранее ими изготовленную в неустановленном следствием месте на специальном оборудовании путем перепрограммирования, т. е. нанесения на магнитную дорожку заготовок пластиковых карт номеров и кодов банковских счетов граждан (дампов), информацию о которых получали через сеть Интернет от неустановленных следствием лиц вместе с персональными идентификационными номерами (пин-кодами), предназначенными для аутентификации (отождествления) истинных держателей карт. Осуществляя совместный преступный умысел с К. М. С. и С. А. Д., неустановленные следствием лица пришли к банкомату № 00144004, где вставляли в картридер банкомата вышеуказанную поддельную карту и через интерфейс банкомата ввели комбинации цифр, соответствующие суммам, подлежащим снятию, ПИН-код истинного держателя карты и получили из диспенсера банкомата денежные средства, совершив тем самым сбыт указанной карты путем ее использования в качестве инструмента доступа к банковскому счету с целью тайного хищения чужого имущества. Путем использования и введения в оборот поддельной расчетной карты № 6759683416937822 неустановленные следствием лица тайно похитили из вышеуказанного банкомата денежные средства в сумме 12 500 руб., принадлежавшие филиалу ОАО «Б…БАНК» в г. Йошкар-Ола. Таким образом, неустановленные следствием лица, К. М. С., С. А. Д. и Б. В. В. совершили изготовление в целях сбыта и сбыт одной поддельной расчетной банковской карты путем отчуждения нанесенной на ней информации (ее копирование, передачу) и формирования на ее основе электронных расчетных (платежных) документов, которые были направлены в международные платежные системы и кредитные организации для оплаты, т. е. совершили общественно опасное деяние, посягающее на основы экономической безопасности и нормальный порядок безналичных расчетов в международной банковской сфере. Своими действиями К. М. С. совершил преступление, предусмотренное ч. 2 ст. 210, ч. 2 ст. 187 УК РФ, т. е. участие в преступном сообществе (преступной организации); изготовление в целях с быта и с быт поддельных рас четных карт, совершенные организованной группой. <… > Эпизод сбора сведений, составляющих банковскую тайну. В период с 18 января 2007 г. по 18 января 2008 г. К. М. С. и С. А. Д., являясь участниками преступного сообщества под руководством находившегося в федеральном розыске Б. В. В., действуя из корыстных побуждений, по указанию последнего, согласно заранее распределенным в преступной схеме ролям, посягая на основы экономической безопасности и установленный порядок безналичных расчетов в международной банковской сфере, в целях изготовления поддельных расчетных банковских карт международных платежных систем VISA International и MasterCard International, эмитированных иностранными коммерческими банками, и совершения путем их использования систематических тайных хищений денежных средств из банкоматов коммерческих банков в различных регионах Российской Федерации, т. е. введения в оборот поддельных банковских карт, незаконно собирали через систему Интернет сведения, составляющие банков скую тайну. К. М. С. и С. А. Д., используя свои персональные ЭВМ, проживая в г. Йошкар-Ола по адресам: ул. Анникова, д. 4, кв. 104, и пр-т Ленина, д. 71, кв. 1, соответственно, через электронную сеть Интернет незаконно собирали информацию о номерах и кодах доступа к банковским счетам иностранных граждан (дампы), закодированную на магнитных полосах банковских карт международных платежных си стем VISA International и MasterCard International, эмитированных иностранными коммерческими банками, а также сведения о персональных идентификационных номерах (ПИН-кодах), предназначенных для аутентификации (отождествления) истинных держателей указанных карт, обеспечивающих доступ к банковским счетам и авторизацию карт процессинговыми центрами банков-эмитентов. За указанный период К. М. С. и С. А. Д., действуя в составе преступного сообщества, осуществляя единый преступный умысел с Б. В. В., незаконно собрали информацию, закодированную на магнитных полосах около 1000 банковских карт, эмитированных следующими иностранными банками: 1. HSBC Bank PLC, Лондон, Великобритания; 2. Barclays Bank PLC, Лондон, Великобритания; 3. National Westminster Bank PLC, Лондон, Великобритания; 4. Nationwide Building Society, Лондон, Великобритания; 5. Abbey National PLC, Лондон, Великобритания; 6. Lloyds TSB Bank PLC, Лондон, Великобритания; 7. Bank of Scotland PLC, Эдинбург, Шотландия, Великобритания; 8. Co-Operative Bank PLC, Манчестер, Великобритания; 9. Royal Bank of Scotland, Шотландия, Великобритания; 10. Clydesdale Bank Plc, Белфаст, Великобритания; 11. CITIFINANCIAL EUROPE PLC, Великобритания; 12. Alliance and Leicester PLC, Великобритания; 13. MBNA Europe Bank Ltd, Великобритания; 14. BROADCASTLE BANK LTD, Великобритания; 15. Woolwich PLC, Великобритания; 16. NEDCOR BANK LIMITED MEA ZAF, ЮАР; 17. Servizi Interbancari S. P. A., Италия; 18. EUROPAY FRANCE S. A. EUR, Франция; 19. Chase Manhattan Bank, N. A., США; 20. The Governor and Company of the Bank of Ireland, Ирландия; 21. Citibank Europe PLC, Ирландия; 22. Hansabank, Эстония. Незаконно изготовленные на специальном оборудовании путем нанесения (кодирования) на магнитные полосы заготовок пластиковых карт вышеуказанной информации поддельные банковские карты участники преступной организации использовали для совершения хищений денежных средств из банкоматов коммерческих банков, оказывающих услуги эквайринга, расположенных в г. Йошкар-Ола, Чебоксары, Канаш, Киров, Ульяновск и Ульяновской области. В период с января по декабрь 2007 г., действуя из корыстных побуждений, участники преступного сообщества (преступной организации) совершили 320 тяжких преступлений на территории Республики Марий Эл, Чувашской Республики, Ульяновской и Кировской областей и похитили денежные средства на общую сумму более 3 900 000 руб. Своими действиями К. М. С. совершил преступление, предусмотренное ч. 2 ст. 210; ч. 3 ст. 183 УК РФ, т. е. участие в преступном сообществе (преступной организации); сбор сведений, составляющих банковскую тайну, иным незаконным способом, совершенное из корыстной заинтересованности. Судебные решения Приговор (Извлечения) Дело № 2-13 3 сентября 2009 г. г. Йошкар-Ола Верховный Суд Республики Марий Эл… <… > Государственный обвинитель отказался от поддержания указанного обвинения на том основании, что органами предварительного следствия не представлено доказательств участия подсудимых в преступном сообществе, вмененное подсудимым К. М. С. и С. А. Д. обвинение по собиранию сведений о дампах и ПИН-кодах банковских карт не образует со став преступления, предусмотренный ч. 3 ст. 183 УК РФ, и представлены противоречивые доказательства причастно сти С. С. Ю., В. К. О. и С. А. Д. к совершению указанных выше преступлений 25 апреля и 7 августа 2007 г., в судебном заседании противоречия между доказательствами устранить не пред ставилось возможным, до статочных и достоверных доказательств не собрано. В соответствии с ч. 7 ст. 246 УПК РФ полный или частичный отказ прокурора от обвинения влечет за собой прекращение уголовного дела и уголовного преследования полностью или в соответствующей его части. Таким образом, уголовное преследование в отношении К. М. С, В. К. О., С. А. Д., П. Р. А. и Г. Е. Н. части обвинения в совершении преступления, предусмотренного ч. 2 ст. 210 УК РФ, К. М. С. и С. А. Д. — в совершении преступления, предусмотренного ч. 3 ст. 183, УК РФ, подлежит прекращению на основании п. 2 ч. 1 ст. 24, п. 2 ч. 1 ст. 27 УПК РФ за отсутствием состава преступления, уголовное преследование в отношении С. С. Ю. по ч. 3 ст. 30, п. «а» ч. 4 ст. 158 УК РФ, ч. 3 ст. 30, ч. 2 ст. 187 УК РФ по эпизоду от 25 апреля 2007 г. (филиал ОАО «Б…БАНК»), в отношении С. А. Д. и В. К. О. по ч. 3 ст. 30, п. «а» ч. 4 ст. 158, п. «а» ч. 4 ст. 158 УК РФ, ч. 3 ст. 30, ч. 2 ст. 187, ч. 2 ст. 187 УК РФ по эпизодам от 25 апреля 2007 г. (АКБ «Банк М» (ОАО)), от 7 августа 2007 г. (с 00 ч. 05 мин. до 00 ч. 23 мин, с 4 ч. 09 мин. до 4 ч. 17 мин.) подлежит прекращению на основании п. 1 ч. 1 ст. 27 УПК РФ, т. е. за непричастностью к совершению преступлений. На о сновании изложенного и руководствуясь ч. 7 ст. 246, п. 2 ч. 1 ст. 254 УПК РФ, Постановил: Уголовное преследование в отношении К. М. С., В. К. О., С. А. Д., П. Р. А. и Г. Е. Н. в части обвинения в совершении преступления, предусмотренного ч. 2 ст. 210 УК РФ, К. М. С. и С. А. Д. — в совершении преступления, предусмотренного ч. 3 ст. 183 УК РФ, прекратить на основании ч. 1 п. 2 ст. 24, ч. 1 п. 2 ст. 27 УПК РФ за отсутствием состава преступления. Уголовное преследование в отношении С. С. Ю. по ч. 3 ст. 30, п. «а» ч. 4 ст. 158 УК РФ, ч. 3 ст. 30, ч. 2 ст. 187 УК РФ по эпизоду от 25 апреля 2007 г. (филиал ОАО «Б…БАНК), в отношении В. К. О., С. А. Д. — по ч. 3 ст. 30, п. „а“ ч. 4 ст. 158, п. „а“ ч. 4 ст. 158 УК РФ, ч. 3 ст. 30, ч. 2 ст. 187, ч. 2 ст. 187 УК РФ по эпизодам от 25 апреля 2007 г. (АКБ „Банк М“ (ОАО)), от 7 августа 2007 г. (с 00 ч. 05 мин. до 00 ч. 23 мин., с 4 ч. 09 мин до 4 ч. 17 мин.) прекратить на основании п. 1 ч. 1 ст. 27 УПК РФ, т. е. за непричастностью к совершению преступлений. Приговор (Извлечения) Дело № 2-13 г. Йошкар-Ола 3 сентября 2009 г. Верховный Суд Республики Марий Эл… Установил: <…> К. М. С, С. А. Д., В. К. О. совершили тайные хищения чужого имущества в составе организованной группы и покушения на тайные хищения чужого имущества в составе организованной группы. П. Р. А. совершил тайное хищение чужого имущества в составе организованной группы и покушения на тайные хищения чужого имущества в составе организованной группы. Г. Е. Н. совершил покушения на тайные хищения чужого имущества в составе организованной группы. С. С. Ю. оказал содействие в покушении на тайное хищение чужого имущества, совершенное организованной группой, покушения на кражи чужого имущества, покушение на кражу чужого имущества, совершенное группой лиц по предварительному сговору. Суд считает доказанным, что в вышеуказанных банкоматах, принадлежащих филиалу ОАО „Б…БАНК“, использовались поддельные банковские пластиковые карты с целью хищения наличных денежных средств, принадлежащих владельцу банкоматов, установлены суммы похищенных денег и общие суммы денежных средств, на кражу которых покушались подсудимые. <… > Доводы защиты о квалификации действий подсудимых, совершенных в одном городе в течение короткого промежутка времени, как длящегося преступления, являются необоснованными, хотя подсудимыми и был совершен ряд тождественных действий и в ряде случаев имело место продолжаемое преступление в отношении одного собственника денежных средств, но хищение денег из разных источников по смыслу уголовного закона не может образовывать ни длящегося, ни продолжаемого преступления, в соответствии со ст. 17 УК РФ признается совокупностью преступлений. Из протоколов осмотров места происшествия всех банкоматов видно, что на каждом банкомате указан логотип банка, которому он принадлежит, поэтому подсудимые сознавали, какому банку принадлежат наличные деньги, которые они пытаются похитить из банкомата, и желали этого. <… > Сторона защиты по ставила под сомнение законность и обоснованность заключений технико-криминалистических экспертиз, произведенных экспертом Ш. И. Г., на том основании, что в заключении нет сведений о специальности Ш. И. Г., его званиях, лицензии, а также отсутствуют сведения о предупреждении его об уголовной ответственности за дачу заведомо ложного заключения и о разъяснении руководителем ООО „Г… сервис“ ему прав и обязанностей, что является нарушением положений ч. 2 ст. 199, п. 4,5 ч. 1 ст. 204 УПК РФ, в должностные обязанности Ш. И. Г. не входит производство экспертиз. Суд считает, что указанные защитой нарушения уголовно-процессуального закона, допущенные при оформлении заключений технико-криминалистической экспертизы, не являются существенными и не влияют на их законность и обоснованность. В судебном заседании эксперт Ш. И. Г. пояснил, что как на момент проведения экспертиз, так и в настоящее время он занимает должность начальника экспертной службы ООО „Г… сервис“. ООО „Г… сервис“ — процессинговая компания, которая зарегистрирована в международных платежных системах VISA и MasterCard с проведенными соответствующими аудитами на то, чтобы осуществлять такую деятельность по обслуживанию банков, пластиковых карт банков, торгово-сервисных предприятий банков, а также имеет право принимать меры по информационной безопасности для того, чтобы эмитировать карточки от имени других банков. В компании имеется соответствующее оборудование для эмиссии карточек, документация, приведенная в заключении, на основании которых они осуществляют корректную и легальную правильную персонализацию карт. Экспертная служба занимается контролем всех направлений деятельности процессингового центра от авторизации, расчетов, обработки файлов, поступающих из платежной системы либо уходящих в платежную систему, до контроля за выпуском карточек на соответствие требований стандартам платежных систем. В 1994 г. он закончил Балтийский государственный университет по специальности инженер-электромеханик. В 1995 г. поступил на работу в Промышленно-строительный банк г. Санкт-Петербурга, во вновь создаваемый там отдел пластиковых карт. Он посещал семинары платежных систем VISA и MasterCard по безопасности банковских карт, о чем имеются сертификаты. Эти специализированные курсы проводят только платежные системы. Он участник международных конференций, где выступал с лекциями, касающимися темы банковских карт, до этого дела проводил более 80 экспертиз. В государственных экспертных учреждениях подобные экспертизы не проводились. Все постановления о назначении технико-криминалистических экспертиз были переданы ему лично следователем, он же разъяснял ему права и обязанности и предупреждал об уголовной ответственности. В судебном заседании исследованы расписки эксперта, который удостоверил подлинность своей подписи (т. 11 л. д. 118, 161, т. 13 л. д. 3, 175, т. 19 л. д. 92, т. 15 л. д. 107, т. 24 л. д. 56, 124, т. 12 л. д. 120, т. 20 л. д. 180, т. 9л. д. 33, 210, т. 10 л. д. 149, т. 21 л. д. 146, т. 14л. д. 121, т. 16 л. д. 59,187, т. 22 л. д. 166, т. 5 л. д. 176, 225, т. 18 л. д. 53, т. 26 л. д. 40, т. 6 л. д. 45,154), а также представленные им копия диплома, сертификаты платежных систем, один из них о прохождении курса „Обеспечение безопасности операций с платежными картами“. Что касается неразъяснения эксперту прав и обязанностей непосредственно руководителем ООО „Г. сервис“», то ч. 2 ст. 199 УПК РФ возлагает эту обязанность только на руководителя экспертного учреждения, каковым ООО «Г. сервис» не является. Указание на это в постановлениях следователя не свидетельствует о незаконности самих постановлений и произведенных на их основании экспертиз. Следователь в соответствии с положениями ч. 4 ст. 199 УПК РФ разъяснил эксперту его права и ответственность, предусмотренные ст. 57 УПК РФ. Уголовно-процессуальный кодекс РФ не запрещает производство экспертизы экспертами из числа лиц, обладающих специальными познаниями, не состоящих на службе в государственных и негосударственных экспертных учреждениях. Оснований сомневаться в компетентности эксперта и его незаинтересованности в результатах экспертизы не имеется. Не основанными на исследованных доказательствах суд признает доводы защиты о том, что пластиковые карты, захваченные банкоматом, могли быть подменены в банках. Из приведенных выше доказательств видно, что все захваченные карты были изъяты из банкоматов, упакованы и переданы в специальные службы в соответствии с внутрибанковскими правилами. Исследование материалов дела показывает, что подсудимым не вменено использование поддельных банковских карт, захваченных банкоматами, по которым отсутствуют доказательства их применения под судимыми. <… > Суд признает несостоятельными доводы защиты как об одном из оснований признания заключений портретных экспертиз недопустимыми доказательствами — направление на экспертизу копий видеозаписи с регистраторов си стемы видеонаблюдения банкоматов, кроме того, сделанных в отсутствие понятых. Из показаний свидетелей Ш. С. А., Н. С. И., А. А. Н., Н. И. И., Г. М. В., Б. А. В., Ж. В. В., К. Б. Г., К. А. П., являющихся сотрудниками службы безопасности банков, следует, что на регистраторе банкомата запись сохраняется от двух недель до четырех месяцев (в банкоматах с разными системами видеонаблюдения), затем она автоматически стирается новой записью. В силу своих служебных обязанностей они или их подчиненные делали копии записей на жесткие диски компьютеров с целью сохранения и проведения внутрибанковского расследования по факту захвата банкоматами пластиковых карт без необходимых реквизитов, а затем информация видеонаблюдения переписывалась на диски специальными сотрудниками. Посторонние лица к си стеме видеонаблюдения до ступа не имели. Свидетель П. Н. П. пояснил, что видеокамеры в банкоматах устанавливаются для расследования различных спорных и претензионных ситуаций в случае совершения каких-либо операций в банкоматах банка. В дальнейшем диски с видеозаписью были переданы в установленном действующим законодательством порядке сотрудникам правоохранительных органов и в ряде случаев явились основанием для возбуждения уголовных дел. Поскольку запись с регистратора банкоматов производилась до возбуждения уголовного дела и лицами, выполняющими свои должностные обязанности в банках, данный факт не является следственным действием и не требует присутствия понятых. Таким образом, оснований для признания заключений технико-криминалистических экспертиз и портретных экспертиз недопустимыми доказательствами не имеется. Сторона защиты по ставила под сомнение достоверность сведений, полученных из процессинговых центров банков, о произведенных операциях, вменяемых подсудимым, и об опротестованных операциях. Представитель потерпевшего П. Н. П. пояснил, что процессинговые центры — это технологические компании, которые обеспечивают с технической точки зрения обслуживание банковских карт. К процессинговому центру подключаются все терминальные устройства: банкоматы, терминалы торговых точек. Они ведут счета клиентов банковских карт. Все операции, которые осуществляются по картам как с точки зрения банка-эмитента, так и банка-эквайрера проходят через процессинговый центр, он их обрабатывает, проверят подлинность ПИН-кодов, осуществляет формирование платежных документов, смотрит, куда и сколько денег перечислить, с какого счета списать, какому банку отправить, формирует в се эти платежные документы и отправляет в банки. И уже банки, обрабатывая эти документы, непосредственно перечисляют денежные средства со счета на счет либо списывают со счета держателя, отправляют в расчетный банк и т. д. То есть процессинговый центр — это технологическая компания, которая обеспечивает работу всех технологических и технических устройств. Представитель гражданского истца П. И. А. показала, что весь документооборот ведется в электронном виде. Банкомат непосредственно связан с процессинговым центром, т. е. время, дата, операция, номер карты — это отражается параллельно как на чековой ленте, которая находится в банкомате, так и в процессинговом центре, предо ставленные ими данные есть данные сервера процессингового центра. Свидетель А. Е. Н. пояснила, что данные процессингового центра банками не могут быть оспорены. При таком положении оснований ставить под сомнение данные процессинговых центров, запрошенные и приобщенные к делу без нарушений уголовно-процессуального закона, не имеется. Доводы стороны защиты о неправильном признании потерпевшими банков-эквайреров, поскольку деньги были сняты со счетов физических лиц — клиентов иностранных банков, не основаны на законе. В судебном заседании установлено, что умы сел подсудимых был направлен на кражу наличных денег из банкоматов коммерческих банков, оказывающих у слуги эквайринга. Как пояснили представители потерпевших, их банки оказывают услуги эквайринга, т. е. у них заключены договоры с платежными си стемами на обслуживание держателей платежных карт банков-эмитентов. Денежные средства, выдаваемые банком-эквайрером клиентам банка-эмитента, являются собственностью первого банка, и для заполнения банкоматов снимаются со специального корреспонденского счета, т. е. на момент кражи денег из банкомата причиняется ущерб банку-эквайреру. После этого в соответствии с договором через какое-то время банк-эквайрер получает возмещение от банка-эмитента по выданной сумме и комиссию за оказание услуги. Однако транзакции могут быть опротестованы банками-эмитентами, тогда происходит безакцептное списание денег с их счета. Следовательно, предметом хищения в данном случае являются наличные деньги банка, а не безналичные деньги истинных держателей карт. При совершении краж происходило изъятие денег из чужого владения — банка-собственника выдаваемых наличных денег и обращение их подсудимыми в свою пользу или покушение на изъятие этих денег. По части эпизодов имело место оконченное преступление, виновные завладели деньгами и распорядились ими. По другим эпизодам — была изъята только часть денег, которыми они распорядились по своему усмотрению, но их умысел на кражу большей суммы не был доведен до конца по не зависящим от них обстоятельствам. Последующее возмещение банками-эмитентами ущерба банкам, оказывающим услуги эквайринга, происходящее по заключенному договору с платежными системами, не влияет на юридическую оценку действий подсудимых. Действующее гражданское законодательство позволяет взыскать суммы, выплаченные в счет возмещения ущерба, в регрессном порядке с виновных лиц. <… > Суд Приговорил: К. М. С. признать виновным в совершении преступлений, предусмотренных ч. 3 ст. 30, п. «а» ч. 4 ст. 158 УК РФ, п. «а» ч. 4 ст. 158 УК РФ, и назначить наказание: <… > На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения наказаний окончательно назначить наказание в виде лишения свободы на срок 5 лет с отбыванием в исправительной колонии общего режима без штрафа. <… > С. А. Д. виновным в совершении преступлений, предусмотренных ч. 3 ст. 30, п. «а» ч. 4 ст. 158 УК РФ, п. «а» ч. 4 ст. 158 УК РФ, и назначить наказание: На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения наказаний окончательно назначить наказание в виде лишения свободы на срок 5 лет с отбыванием в исправительной колонии общего режима без штрафа… С. А. Д. по ч. 3 ст. 30, п. «а» ч. 4 ст. 158, п. «а» ч. 4 ст. 158, ч. 2 ст. 187, ч. 3 ст. 30, ч. 2 ст. 187 УК РФ по каждому из эпизодов от 25 января 2007 г., от 25 июня 2007 г. с 3 часа 49 мин…. оправдать на основании п. 1 ч. 1 ст. 27 УПК РФ за непричастностью к совершению преступления. В. К. О. признать виновным в совершении преступлений, предусмотренных ч. 3 ст. 30, п. «а» ч. 4 ст. 158 УК РФ, п. «а» ч. 4 ст. 158 УК РФ, и назначить наказание: <… > На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения наказаний окончательно назначить наказание в виде лишения свободы на срок 6 лет с отбыванием в исправительной колонии общего режима без штрафа… В. К. О. по ч. 3 ст. 30, п. «а» ч. 4 ст. 158, п. «а» ч. 4 ст. 158, ч. 2 ст. 187, ч. 3 ст. 30, ч. 2 ст. 187 УК РФ по каждому из эпизодов от 3–4 апреля 2007 г., от 25 июня 2007 г. с 3 ч. 49 мин…. оправдать на основании п. 1 ч. 1 ст. 27 УПК РФ за непричастностью к совершению преступления. Г. Е. Н. признать виновным в совершении преступлений, предусмотренных ч. 3 ст. 30, п. «а» ч. 4 ст. 158 УК РФ, и назначить наказание: <… > На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения наказаний окончательно назначить наказание в виде лишения свободы на срок 4 года с отбыванием в исправительной колонии общего режима без штрафа… Г. Е. Н. по ч. 3 ст. 30, п. «а» ч. 4 ст. 158, п. «а» ч. 4 ст. 158, ч. 2 ст. 187, ч. 3 ст. 30, ч. 2 ст. 187 УК РФ по каждому из эпизодов от 25 июня 2007 г. с 3 ч. 49 мин…, от 9 июля 2007 г. оправдать на основании п. 1 ч. 1 ст. 27 УПК РФ за непричастностью к совершению преступления. П. Р. А. признать виновным в совершении преступлений, предусмотренных ч. 3 ст. 30, п. «а» ч. 4 ст. 158 УК РФ, п. «а» ч. 4 ст. 158 УК РФ, и назначить наказание: <… > На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения наказаний окончательно назначить наказание в виде лишения свободы на срок 3 года 6 месяцев с отбыванием в исправительной колонии общего режима без штрафа. <… > С. С. Ю. признать виновным в совершении преступлений, предусмотренных ч. 5 ст. 33, ч. 3 ст. 30, п. «а» ч. 4 ст. 158 УК РФ, ч. 3 ст. 30, ч. 1 ст. 158 УК РФ, ч. 3 ст. 30, п. «а» ч. 2 ст. 158 УК РФ, и назначить наказание: <… > На о сновании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения наказаний окончательно назначить наказание в виде лишения свободы на срок 5 лет 1 месяц без штрафа. На основании ст. 73 УК РФ наказание считать условным с испытательным сроком в течение 2 лет… Назначить С. С. Ю. наказание по ч. 3 ст. 30, ч. 1 ст. 158 УК РФ по эпизодам от 28 июня 2007 г., от 1 июля 2007 г. с применением ст. 62 УК РФ — по каждому из них в виде лишения свободы на срок 1 год; Освободить его от наказания по ч. 3 ст. 30, ч. 1 ст. 158 УК РФ по эпизодам от 28 июня 2007 г., от 1 июля 2007 г. за истечением сроков давности привлечения к уголовной ответственности на о сновании п. 3 ч. 1 ст. 24 УПК РФ. Взыскать: в пользу филиала ОАО «Б…БАНК» с С. А. Д. и В. К. О. солидарно — 177 200 руб.; с В. К. О. — 47 000 руб.; в пользу филиала АКБ «Банк М» (ОАО) с С. А. Д. и В. К. О. солидарно — 90 500 руб.; с К. М. С. и В. К. О. солидарно — 5500 руб.; с С. А. Д., В. К. О., Г. Е. Н. солидарно — 20 000 руб.; с К. М. С и Г. Е. Н. солидарно — 17 800 руб.; с К. М. С., С. А. Д., В. К. О. и П. Р. А. солидарно — 15 000 руб.; в пользу отделения Марий Эл № 8614 ОАО «С…банк» с К. М. С, В. К. О., Г. Е. Н. и С. А. Д. солидарно 6000 руб.; в пользу ОАО КБ «П…коммерц» с В. К. О., К. М. С. и С. А. Д. солидарно — 15 374 руб.; в пользу ОАО АКБ «В… — Банк» со С. А. Д., К. М. С, В. К. О. и П. Р. А. солидарно — 45 000 руб.; в пользу Чувашского отделения № 8613 ОАО «С…банк» с Г. Е. Н., С. А. Д. и В. К. О. солидарно — 8868 руб. с В. К. О. и С. А. Д. солидарно — 18 000 руб. Кассационное определение Верховный Суд РФ 30 ноября 1910 г. Приговор оставлен без изменения. Фотографии из уголовного дела № 50570 Уголовное дело № 248100, Санкт-Петербург. Фабрика «Leroy» Обвинительное заключение (Извлечения) по обвинению: Р. К. В., С. А. Л., Ш. А. В., С. Д. С., К. А. Л., П. Р. Р. в совершении преступлений, предусмотренных ч. 1,2 ст. 210, ч. 2 ст. 187, ч. 4 ст. 159, ч. 3 ст. 30 ч. 4 ст. 159, ч. 5 ст. 33, ч. 4 ст. 159, ч. 3 ст. 30, ч. 5 ст. 33, ч. 4 ст. 159, ч. 2 ст. 327 УК РФ Обвиняется: Р. К. В. <… > Предварительным следствием собраны достаточные доказательства, дающие основания для предъявления Р. К. В. обвинения в том, что он создал преступное сообщество (преступную организацию) для совершения тяжких или особо тяжких преступлений, руководство таким сообществом (организацией) и участие в преступном сообществе, созданном для получения криминального дохода путем изготовления с целью сбыта и сбыта поддельных кредитных и расчетных карт организованной группой, совершения мошенничества организованной группой при следующих обстоятельствах. С сентября 2004 г., точная дата следствием не установлена, Р., проживая в г. Санкт-Петербурге, стал выполнять действия, направленные на создание преступного сообщества (преступной организации), основной задачей которого стало получение криминального дохода путем совершения ряда тяжких преступлений: изготовление в целях сбыта и сбыт поддельных кредитных либо расчетных карт организованной группой; мошенничество организованной группой. В сентябре 2004 г. Р., являясь студентом Санкт-Петербургского государственного университета информационных технологий, механики и оптики, обладал достаточными знаниями, связанными с программированием и использованием сетей ЭВМ (электронно-вычислительных машин), являлся постоянным пользователем сети Интернет, систематически осуществлял общение посредством электронной почты и интернет-пейджеров (программ мгновенного обмена сообщениями) ICQ (ай-си-кью). Исследуя интернет-ресурсы, в частности сайты и форумы, посвященные мошенничеству в сфере обращения кредитных и расчетных карт, Р. приобрел знания по технологии изготовления поддельных кредитных и расчетных карт. О сознавая общественную опасность своих действий, желая наступления общественно опасных по следствий от незаконной деятельности, по ставил своей целью создать преступное сообщество (преступную организацию) и осуществлять руководство ею, т. е. вовлечь в состав преступной организации лиц из числа своих знакомых — жителей г. Санкт-Петербурга, а также лиц, проживающих в других городах России и за рубежом, осуществляющих преступную деятельность, связанную с незаконным распоряжением денежными средствами, находящимися на банковских карточных счетах; распределить между ними роли при совершении конкретных преступных деяний; принимать решения по планированию конкретных действий соучастников, заниматься общей организацией деятельности общества, материальным и техническим обеспечением процесса изготовления поддельных кредитных и расчетных карт; распределять доходы; разрабатывать меры конспирации и безопасности; требовать их исполнения, а также лично участвовать в изготовлении в целях сбыта и сбыте поддельных кредитных либо расчетных карт и совершении мошенничества. В осуществление своего преступного умысла Р. совершил следующие действия. Исполняя свои намерения, направленные на создание преступного сообщества и руководство им, одновременно активно участвуя в его деятельности, Р. в целях материально-технического обеспечения создаваемого сообщества приобрел оборудование, необходимое для изготовления поддельных кредитных и расчетных карт. 10 сентября 2004 г. Р. в г. Санкт-Петербурге в магазине «Бета комп» приобрел струйный принтер для цветной печати «Epson Stylus C84» («Эпсон Стайлус Ц 84»), серийный номер FBRT 286677, позволяющий осуществлять печать на белом пластике изображений лицевой и оборотной сторон кредитных либо расчетных карт. 14 сентября 2004 г. Р. приобрел в г. Москве в ООО «АСК-ПРИНТ», расположенном по адресу: Пыжевский пер. д. 5, оборудование и расходные материалы для производства пластиковых карт, с и пользованием которого возможно изготовление поддельных кредитных и расчетных карт: пресс-ламинатор на 20 карт серийный номер 021-69590111, вырубщик ручной со скругленными углами для пластика, пластик белый для струйной печати размерами 20 × 25 см в количестве 50 листов, ламинат для пластика размерами 10 × 12 см в количестве 100 листов, ламинат с магнитной полосой «HiCo» («ХайКо») размерами 10 × 12 см в количестве 100 листов. В тот же период времени Р. в неу становленном ме сте приобрел у стройство для чтения и записи магнитной полосы (энкодер) «MSR206-3HL» («Эм-Эс-Эр206-3Эйч-Эл»), серийный номер А009002, с выно сным блоком питания, серийный номер 0403001752R02. Для работы струйного принтера для цветной печати «Epson Stylus C84» («Эп сон Стайлус Ц 84») Р. и спользовал имевшийся в его распоряжении персональный компьютер. Оборудование Р. разместил по неустановленному следствием адресу в г. Санкт-Петербурге. 2 октября 2004 г. Р. К. В., выступив руководителем преступного сообщества и формируя его структуру, для установления преступных связей с лицами, осуществляющими преступную деятельность, связанную с незаконным распоряжением денежными средствами, находящимися на счетах законных держателей кредитных и расчетных карт и заинтересованных в организации производства и последующего применения при совершении преступлений поддельных кредитных и расчетных карт, используя ресурсы Интернета, в частности «Pro-Hack Forum» («Про-Хак Форум»), посвященный мошенничеству в сфере обращения кредитных и расчетных карт, расположенный по адресу: http://forum.pro-hack.ru/index.php?showtopic=129, разместил свое рекламное объявление об изготовлении на заказ и продаже указанных поддельных карт. В качестве обязательного условия производства поддельных карт Р. указал необходимость предоставления ему копий информации (содержания треков), имеющихся на магнитных полосах кредитных либо расчетных карт законных держателей. В целях конспирации и уклонения от возможного привлечения к уголовной ответственности за изготовление в целях сбыта и сбыт поддельных кредитных либо расчетных карт Р. использовал псевдоним «Leroy» («Лерой»), указал для контактов с ним адрес электронной почты: «Leroy2004@mail.ru» («Лерой 2004 собака мэйл. ру») и номер ICQ (ай-си-кью): 711195. Для изготовления поддельных кредитных и расчетных карт Р. подобрал не менее 14 вариантов дизайна лицевой и оборотной сторон карт: «City bank» («Сити банк»), «Raiffesen Bank» («Райффайзен банк»), «Банк Москвы», «Iмpexbank», («Импексбанк») «Инкасбанк», «Absolut bank» («Абсолют банк»), «РБР» («Русский Банк Развития») «Промышленно-строительный банк», «Guta bank» («Гута банк»), «Alfa bank» («Альфа банк»), «Baltica» («Балтийский банк»), «Avtobank nikoil» («Автобанк никойл»), «Lyonnais» («Лионнайс»), «Банк Санкт-Петербург». Указанные варианты дизайна были скопированы Р. из различных источников: с банковских интернет-сайтов, с имевшихся в наличии карт, из электронных писем, полученных посредством электронной почты, относились к платежной системе VISA («Виза») типа VISA Electron («Виза-электрон»). С использованием компьютерной программы для обработки графики Corel Draw («Корел Дроу») Р. подготовил полученные варианты дизайна для возможности внесения персональных данных фиктивных держателей карт, распечатывания их на белом пластике для струйной печати на имеющемся принтере «Epson Stylus C84» («Эпсон Стайлус Ц 84»), при этом сохранил основные реквизиты и элементы защиты, предусмотренные банками-эмитентами для кредитных и расчетных карт. Обладая необходимыми знаниями и навыками по использованию полиграфической техники, компьютерных программ для обработки графики и записи информации на магнитную полосу пластиковых карт, Р. на первоначальном этапе планировал самостоятельно выполнять все технологические циклы при изготовлении карт: разработать вариант дизайна лицевой и оборотной сторон поддельных кредитных и расчетных карт; копировать отдельные защитные элементы, наносимые банками-эмитентами на поверхность подлинных карт с целью предотвращения их подделки; размещать персональные данные на лицевой стороне карт (фамилию и имя фиктивного владельца, номер карты и срок ее действия); непосредственно изготавливать карты на имевшемся у него оборудовании и записывать содержания треков № 1 и 2 на магнитную полосу; используя Интернет, осуществить прием заказов на изготовление поддельных кредитных и расчетных карт; принимать оплату заказов по средством системы электронных платежей «Web-money» («Веб-мани») на подконтрольные ему электронные кошельки, самостоятельно осуществлять отправку заказчикам изготовленных им поддельных карт; сообщать по Интернету заказчикам по средством электронной почты и программ мгновенного обмена сообщений ICQ (ай- си-кью) информацию о номерах поездов, вагонов и данных проводников для получения посылок с поддельными картами. В период создания преступного сообщества (преступной организации) Р., основываясь на информации, полученной в Интернете, знал механизм совершения мошенничества по оплате товаров в торгово-сервисных предприятиях с использованием поддельных кредитных либо расчетных карт. В частности, ему было достоверно известно о том, что для совершения покупки в торгово-сервисном предприятии необходимо использовать поддельную кредитную либо расчетную карту, на магнитной поло се которой должна быть записана копия информации (содержание трека № 2), имеющаяся на карте законного держателя. Поддельная кредитная либо расчетная карта должна быть изготовлена на определенное имя и фамилию фиктивного держателя карты, при этом в содержании трека № 1 записываются те же фамилия и имя фиктивного держателя. Ввиду того что в торгово- сервисном предприятии при оплате покупки по кредитной либо расчетной карте сотрудниками магазина могут быть потребованы к предъявлению документы, удостоверяющие личность, данные о фиктивном держателе карты наносятся на лицевую сторону карты и в содержание трека № 1 на магнитной поло се, в соответствии с наличием поддельного документа, удостоверяющего личность с вклеенной фотографией предъявителя (паспорта гражданина РФ или водительского удостоверения) на ту же фамилию и имя. Таким образом, Р. о сознавал, что по средством размещения в Интернете объявлений об изготовлении поддельных кредитных и расчетных карт он публично предлагает услуги по предоставлению средств совершения преступлений для совершения мошенничества путем оплаты товаров в торгово-сервисных предприятиях с и пользованием поддельных кредитных и расчетных карт. Ознакомившись с размещенным Р. в Интернете объявлением, 9 октября 2004 г. посредством электронной почты к нему обратился житель г. Москвы Ш. А. В. с предложением о совместной преступной деятельности по изготовлению в целях сбыта и сбыту поддельных кредитных либо расчетных карт и совершения мошенничества организованной группой путем оплаты покупок с использованием поддельных кредитных либо расчетных карт в торгово-сервисных предприятиях в различных городах России. С целью конспирации и уклонения от возможного привлечения к уголовной ответственности за изготовление с целью сбыта и сбыт поддельных кредитных либо расчетных карт Ш. использовал псевдоним «Kup» («Куп»), адрес электронной почты: «Kup_land@mail.ru» («Куп_лэнд собака мэйл. ру») и номер ICQ (ай- си-кью): 199422515. Тогда же, в октябре 2004 г., Р. с целью создания структуры преступного сообщества в г. Москве предложил войти в его состав Ш. Ш., осознавая цели и задачи преступного сообщества, направленность преступной деятельности — совершение ряда тяжких преступлений: изготовления в целях сбыта и сбыта поддельных кредитных либо расчетных карт организованной группой; мошенничества организованной группой, добровольно согласился войти в состав его участников для совершения преступлений и получения незаконного дохода. В соответствии с отведенной ему Р. ролью в преступном сообществе, Ш. должен был поставлять Р. информацию — содержание треков № 2, необходимую для записи на магнитные полосы поддельных карт; сообщать персональные данные (фамилию и имя) фиктивных владельцев поддельных кредитных либо рас четных карт; предоставлять в электронном виде фотографии лиц для изготовления поддельных документов, удостоверяющих личность; рекламировать в Интернете качество изготовленных Р. поддельных карт, информировать о результатах совершенных преступлений с использованием изготовленных ими поддельных кредитных либо рас четных карт для своевременного изменения дизайна карт, предпочтительного использования при изготовлении поддельных карт копий информации (содержания треков) определенных банков. Мошенничества по оплате товаров в торгово-сервисных предприятиях с использованием поддельных кредитных либо расчетных карт Ш. должен был совершать как самостоятельно, так и привлекая к деятельности преступного сообщества других лиц. Для обеспечения безопасности и результативности преступной деятельности Ш. Р. взял на себя дополнительную обязанность, обеспечивая допуск к использованию компьютерной программы (так называемого «чекера») по проверке пригодности информации, записанной на магнитные полосы поддельных кредитных либо расчетных карт для оплаты покупок, т. е. по проверке платежеспособности карт непосредственно перед их использованием. С этого времени общение Р. и Ш. стало обоюдным и постоянным. Для обеспечения финансирования деятельности преступного сообщества (преступной организации) Ш. должен был перечислять Р. денежные средства по средством системы электронных платежей «Web-money» («Веб-мани») на подконтрольные последнему электронные кошельки, зарегистрированные на подставных лиц. В июне 2005 г., точная дата следствием не установлена, Ш., в целях создания структуры преступного сообщества — организованной группы, предложил участвовать в деятельности преступного сообщества (преступной организации), созданного Р., ранее знакомому П. Р. Р. П., осознавая цели и задачи преступного сообщества, добровольно согласился войти в состав его участников для совершения тяжких преступлений и получения незаконного дохода. В соответствии с отведенной ему ролью П. должен был осуществлять сбыт поддельных кредитных либо расчетных карт и совершать мошенничества с их использованием, непосредственно совершая оплату товаров в торгово- сервисных предприятиях, используя поддельные кредитные либо расчетные карты; предоставить Ш. свою фотографию для изготовления поддельных документов удостоверяющих личность, приискивать покупателей товаров, приобретенных путем мошенничества. Кроме того, П. должен был сопровождать Ш. в качестве водителя личного автотранспорта при следовании из г. Москвы в другие города России, т. е. доставить Ш. к местам совершения непосредственно последним сбыта поддельных кредитных либо расчетных карт и совершения мошенничества с их использованием при оплате товаров в торгово-сервисных предприятиях с использованием поддельных кредитных либо расчетных карт, «страховать» Ш. на случай обнаружения факта мошенничества сотрудниками магазина и возникновения необходимости увезти его с места совершения преступления, а также осуществлять транспортировку товаров, приобретенных путем мошенничества, к местам сбыта. Начиная с октября 2004 г. Р. с целью создания других структур созданного им преступного сообщества (преступной организации) предложил войти в его со став ряду других неустановленных следствием лиц, проживающих в различных городах России и за рубежом, с целью совершение ряда тяжких преступлений: изготовления в целях сбыта и сбыта поддельных кредитных либо расчетных карт организованной группой; мошенничества организованной группой и получения незаконного дохода. Получив согласие на участие в деятельности преступного сообщества, Р. в период с 2004–2006 гг. о существлял совместную преступную деятельность с рядом структур организованного им преступного сообщества на принципах и условиях, аналогичных совместной преступной деятельности со структурой, возглавленной Ш. А. В. В октябре 2004 г. Р. с целью создания другой структуры преступного сообщества, обеспечивающей отправку заказчикам из г. Санкт-Петербурга в другие города России изготовленных им поддельных кредитных и расчетных карт, предложил войти в его со став ранее знакомым С. Д. С. и А. М. Р., с которыми совместно обучался в средней школе № 102 Выборгского района г. Санкт-Петербурга и поддерживал дружеские отношения. С. и А., осознавая цели и задачи преступного сообщества, добровольно согласились войти в состав его участников для совершения тяжких преступлений и получения незаконного дохода. Получив согласие от С. и А., Р. возложил на них роль курьеров. К преступной обязанности курьеров относилась доставка на железнодорожные вокзалы г. Санкт-Петербурга и отправка через проводников поездов дальнего следования посылок с поддельными кредитными либо расчетными картами в г. Москву и другие города, а также информирование Р. о данных проводников, номерах поездов и вагонов для последующей передачи информации Ш. и другим неустановленным в ходе следствия участникам преступного сообщества. Доставка на железнодорожные вокзалы г. Санкт-Петербурга поддельных кредитных и расчетных карт осуществлялась С. и А. путем совместного выезда на личном автотранспорте: в период с июля 2005 г. по июнь 2006 г. на автомашине ВА3-21 093 г/н К 913 КВ 78, находившейся в пользовании по доверенности у А. М. Р., принадлежавшей его отцу — А. Р. М., а в сентябре 2006 г. на автомашине «Мазда Миата Эм-Икс 5» г/н М 080 НУ 98, принадлежащей С. Д. С. При этом непосредственную передачу посылок проводникам поездов С. и А. осуществляли поочередно, стремясь свести к минимуму возможность передачи одним и тем же участником преступного сообщества посылок одному и тому же проводнику и тем самым привлечь внимание к своей преступной деятельности. По предварительной договоренности за участие в деятельности преступного сообщества по изготовлению в целью сбыта и сбыту поддельных кредитных либо расчетных карт Р. выплачивал С. и А. фиксированную денежную сумму, а также обеспечивал их денежными средствами для оплаты услуг проводников. <…> С целью совершения тяжких преступлений — изготовления в целях сбыта и сбыта поддельных кредитных либо расчетных карт организованной группой и совершения мошенничества организованной группой, в соответствии с отведенной каждому ролью, действуя в составе преступного сообщества, — его участники выполнили следующие действия, направленные на совершение преступлений. 28 августа 2005 г. Ш., используя Интернет, предоставил Р. информацию (трек № 2) реально существующей банковской карты № 4857789328240357, тип карты — credit corporate (кредитная корпоративная), эмитированной банком Bank Card Company, Belgium (Банк Кард Компани, Бельгия). 29 августа 2005 г. Р. изготовил поддельную кредитную карту № 4857789328240357 с логотипом «VISA Electron» («Виза Электрон») на имя DUBROV SERGEY (Дубров Сергей) с дизайном Raiffeisen BANK (Райффайзен банк) и передал ее С. 29 августа 2005 г. С. и А. на личном автотранспорте доставили посылку с картой — коробку из-под компакт-диска на имя вымышленного адресата Смирнова Олега на Московский вокзал г. Санкт-Петербурга, передали ее проводнику вагона № 1 поезда № 1 «Красная стрела» сообщения Санкт-Петербург — Москва. 30 августа 2005 г. Ш. получил посылку с поддельными картами в г. Москве. В период с 30 августа по 3 сентября 2005 г. Ш. и П. осуществили приобретение товаров, используя для оплаты поддельную кредитную карту № 4857789328240357 на имя DUBROV SERGEY (Дубров Сергей): • 1 сентября 2005 г. в магазине «Олимп», ИП «Хакаю А. В.», расположенном по адресу: г. Обнинск, ул. Марк са, д. 34, в 13 ч. 14 мин. — на сумму 24 775 руб.; • 3 сентября 2005 г. в магазине «БИНОМ», ООО «БИНОМ», расположенном по адресу: г. Москва, пр-т Буденного, д. 53, стр. 2, в 16 ч. 31 мин. — на сумму 15 300 руб.; <…> В сентябре 2006 г., точная дата следствием не установлена, Р., осуществляя руководство организованным им преступным сообществом и действуя в его интересах, произвел перераспределение ролей между собой и С., предложив последнему самостоятельно изготавливать поддельные кредитные и расчетные карты. С., являясь активным участником преступного сообщества и действуя в его интересах, добровольно принял предложенные Р. оборудование для изготовления поддельных кредитных и расчетных карт и расходные материалы: • принтер для цветной печати «Epson Stylus C84» («Эпсон Стайлус Ц 84»), серийный номер: FBRT 286677; • пресс-ламинатор на 20 карт, серийный номер 021-69590111; • два ручных вырубщика со скругленными углами для пластика; • расходные материалы для изготовления карт: • белый пластик для струйной печати размером 20 × 25 см; • ламинат для пластика размером 10 × 12 см; • ламинат с магнитной полосой «HiCo» («ХайКо») размером 10 × 12 см; • аппарат для рельефной печати на карточках (эмбо с сер) «WSDM А» («Дабв-Эс-Ди-Эм Аэ») 051218; • аппарат для покраски рельефных изображений на карточках (типпер) «КОВО» ТС-900; • расходные материалы для типпера: • рулон фольги золотого цвета; • рулон фольги серебряного цвета; • рулон фольги черного цвета; • компакт-диск с содержащимся на нем банковским дизайном, записанным в формате компьютерной программы для обработки графики «Corel Drow» («Корел Дроу»), позволяющей вносить и изменять персональные данные держателя карты, ранее находившееся по неустановленному следствием адресу в г. Санкт-Петербурге, Р. и С. перевезли в арендованную последним квартиру, расположенную по адресу: г. Санкт-Петербург, ул. Туристская, д. 36/2, кв. 34, для того чтобы последний освоил выполнение всех технологических циклов при изготовлении поддельных карт и в дальнейшем осуществлял их производство под руководством Р. В указанный период времени Р. приезжал домой к С., где в присутствии последнего изготавливал поддельные кредитные и расчетные карты для заказчиков и обучал данному процессу С. В этих же целях Р. и С. произвели перезапись банковского дизайна, необходимого для изготовления поддельных кредитных и расчетных карт на принадлежащий С. ноутбук «Samsung NP28PRGY03/Ser, s/n 904B93BY400559M» («Самсунг Эн-Пи 28 Пи-Эр-Джи-Вай 03/Сер, эс-эн 904 Би-Вай 400 559 Эм»). В 2006 г. сотрудниками правоохранительных органов проведены оперативно-розыскные мероприятия, в результате которых деятельность организованного Р. преступного сообщества прекращена. 13 июня 2006 г. непосредственно после совершения преступлений в магазине «Энергия», ООО «Энергия-Брянск», расположенном по адресу: г. Брянск, ул. Ульянова, д. 5, по приобретению товара путем списания денежных средств с банковского карточного счета № 4356580005138006 банка «Iberia Cards, Spain» («Айберия Кардз, Испания») с использованием поддельной кредитной карты, Ш. был задержан сотрудниками правоохранительных органов. В числе имевшихся у Ш. при себе вещей и предметов были обнаружены и изъяты поддельная кредитная карта № 4356580005138006 на имя VADIM STEPANOV (Вадим Степанов) с дизайном City bank (Сити банк) и поддельное водительское удостоверение 77 НК № 955646 на имя Степанова Вадима Андреевича. 13 июня 2006 г. в г. Брянске в ходе осмотра автомашины ВА3-21093 г/н К 170 НХ 97, находившейся в пользовании Ш. по доверенности от гражданина Л. В. В., обнаружены и изъяты поддельные кредитные карты № 4356580006268000, 4242018122631015, 4242019031299019 на имя VADIM STEPANOV (Вадим Степанов) с дизайном City bank (Сити банк). 15 июня 2006 г. в ходе обыска по месту жительства Ш. по адресу: г. Москва, ул. Гарибальди, д. 6 кор. 3 кв. 9, обнаружена и изъята поддельная кредитная карта № 4532440217704003 на имя VADIM STEPANOV (Вадим Степанов) с дизайном City Bank (Сити Банк). В период с 3 по 13 апреля 2006 г., в ходе проведения оперативно-розыскных мероприятий С. Р. В., используя Интернет, произвел у Р. заказ на изготовление поддельного паспорта гражданина России и двух поддельных кредитных карт, предоставив информацию (трек № 2) реально существующей карты № 4974017336114143, тип карты — «credit classic» («кредитная классическая»), эмитированной банком BNP Paribas, France («БНП Париба», Франция), и 2 фотографии гражданина Р. Р. X. В период с 12 по 13 апреля 2006 г. Р. изготовил две поддельные кредитные карты № 4974017336114143, 4563191010984258 с дизайном Guta bank («Гута банк») и с логотипом VISA Electron («Виза Электрон») на имя RADZEVICHUS ALEKSANDR (Радзевичус Александр). При этом для изготовления второй поддельной карты Р. по собственной инициативе использовал имевшуюся у него информацию (трек № 2) реально существующей карты № 4563191010984258, тип карты — «credit gold» («кредитная золотая»), эмитированной банком Chinatrast Commercial Bank, Taiwan (Чайнатраст Коммершиал Банк, Тайвань). Используя имевшийся у него утраченный паспорт гражданина России № 4102659689 на имя Р. А. Ю., выданный 7 октября 2002 г. Назиевским отделением милиции Кировского района Ленинградской области, Р. произвел изменение части первоначального содержания документа, удалив из него фотографию Р. А. Ю. и вклеив в него фотографию Р. Р. X. 13 апреля 2006 г. Р. до ставил посылку с картами и поддельным паспортом — почтовый конверт на имя вымышленного адресата Фролова Олега на Московский вокзал г. Санкт-Петербурга, где передал ее проводнику вагона № 12 поезда 37 сообщения Санкт-Петербург — Москва Н. М. Ю. для вручения в г. Москве С. 14 апреля 2006 г. посылка с поддельными картами и паспортом получена сотрудниками правоохранительных органов в г. Москве. <…> 21 сентября 2006 г. в ходе проведения оперативно-разыскных мероприятий С. Р. В. через Интернет произвел у Р. заказ на изготовление четырех поддельных кредитных карт на имя FROLOV PAVEL (Фролов Павел), предо ставил информацию (треки № 2) реально существующих карт: № 4534007758775094,4534007756865004, тип карт — «credit gold» («кредитная золотая»), эмитированных банком Mitsubishi UFJ Nikon, Japan (Мицубиши Ю-Эф-Джи Никон, Япония). 21 сентября 2006 г. Р и С. изготовили четыре поддельные кредитные карты: № 4534005269884009, 4388523009759072 с дизайном РБР (RUSSAN DEVELOPMENT BANK) (Русский Банк Развития) с логотипом VISA Electron («Виза Электрон»); № 4534007758775094, 4534007756865004 с дизайном Bank of Moscow (Moscow Municipal Bank) (Банк Москвы) с логотипом VISA Electron («Виза Электрон») на имя FROLOV PAVEL (Фролов Павел). 21 сентября 2006 г. С. и А. на личном автотранспорте доставили посылку с картами — почтовый конверт на имя вымышленного адресата Пирогова Олега на Московский вокзал г. Санкт-Петербурга, где передали ее проводнику вагона № 6 поезда № 5 сообщения Санкт-Петербург— Москва для вручения в г. Москве С. 22 сентября 2006 г. посылка с поддельными картами получена сотрудниками правоохранительных органов в г. Москве. 28 сентября 2006 г. деятельность преступного сообщества прекращена в связи с задержанием Р., С., С., А. и К. и привлечением их к уголовной ответственности. Преступное сообщество имело четко построенную, жесткую иерархическую структуру, основанную на принципах строгой подчиненности руководителю, с осуществлением последним единоличного контроля над деятельностью всех структурных образований преступного сообщества. Руководство организацией осуществлялось Р. как лично, так и через руководителей структурных подразделений: Ш., С. и других неустановленных следствием лиц, а также с применением Интернета и средств связи. На протяжении всего своего существования участники сообщества действовали целенаправленно и согласованно, дополняя действия друг друга в осуществлении единого преступного умысла, направленного на извлечение незаконного дохода, изготавливали с целью сбыта и сбывали поддельные кредитные и расчетные карты, совершали мошенничество путем предъявления к оплате товаров поддельных кредитных и расчетных карт в г. Санкт-Петербурге, г. Москве, Московской области, в городах Орел, Тула, Вологда, Обнинск, Чебоксары, Казань, Белгород, Старый О скол, Смоленск, Нижний Новгород, Краснодар, Архангельск, Алексин, Киров, Саранск, Тамбов, Волгоград, Ярославль, Рыбинск, Тверь, Владимир, Брянск, Великий Новгород и др. В со став указанной преступной организации кроме Р., входили Ш., П., С., С., А., С., К., Б., а также другие неустановленные след ствием лица. Преступное сообщество отличалось: • стабильностью состава и сплоченностью членов сообщества, построенного по мотивам принадлежности его участников к так называемому «кардерскому» сообществу, т. е. к группировке лиц, ведущих активное общение между собой в глобальной сети Интернет на сайтах и форумах, посвященных мошенничеству в сфере обращения кредитных и расчетных карт, а также основывалось на личных отношениях, обусловленных длительным знакомством между собой участников структур преступного сообщества, тесной связью между собой на почве совместной преступной деятельности по изготовлению с целью сбыта и сбыту поддельных кредитных и расчетных карт, а также совершения мошенничества с их использованием; • полной осведомленностью участников о преступном характере планируемых и совершаемых действий; • наличием в распоряжении значительных денежных средств и технических ресурсов; • единством форм и способов совершения преступных деяний; • тщательностью подготовки и планирования совершения преступлений с определением для каждого из участников групп своих ролей и действий, согласно которым они действовали на различных стадиях совершения преступлений; • подчиненностью рядовых членов сообщества ее руководителям; • соблюдением мер конспирации при осуществлении преступной деятельности; • уверенностью в безнаказанности и неспособности правоохранительных органов выявить и пресечь деятельность сообщества. Члены преступного сообщества Р., Ш., С., А., С., К. в период деятельности преступного сообщества не имели легальных источников дохода, вместе с тем распоряжались значительными суммами денег, приобретая автомашины, дорогостоящую бытовую технику, выезжая на отдых на курорты Краснодарского края и за рубеж. Внутри структурных подразделений преступного сообщества, а также его руководителем Р. велась бухгалтерия, через которую осуществлялось распределение полученных от преступной деятельности доходов, велся учет использованных в преступных целях карт, а также фиксировалась информация о лицах, производивших заказ на изготовление поддельных кредитных и расчетных карт, сведения об отправке выполненных заказов. Для безопасности деятельности и контроля за исполнением своих обязанностей соучастниками в организации применялись методы конспирации и наружного наблюдения, при этом активно использовались автотранспортные средства и современные средства связи, о чем участники преступного сообщества были заведомо осведомлены. В общении в сети Интернет с заказчиками и между собой члены преступного сообщества использовали выработанный в этой среде специальный язык общения — сленг, использовали псевдонимы. Р. выступал под псевдонимами Ricky (Рики) и Leroy (Лерой), Ш. — под псевдонимом Kup (Куп), С. — под псевдонимом Шаман, С. — под псевдонимом BartMen (Бартмен), С. — под псевдонимами Cevall (Севал) и Rampell (Рампелл), К. — под псевдонимами Gordons (Гордонс) и Win (Вин). Кроме того, в общении между собой участники преступного сообщества использовали прозвища: в отношении С. — Синичка, Синица, Синий; в отношении С. — Негр, Мигель, Эфиоп; в отношении К. — Кисель, Барыга; в отношении Б. — Кепка; в отношении А. — Марик, в отношении П. — Руха, Лохматый. В процессе своей деятельности по совершению указанных выше преступлений, которые относятся к категории тяжких, преступное сообщество под руководством Р. постоянно совершенствовало свои навыки в технологии изготовления поддельных карт, приобретало дополнительное оборудование, которое использовалось для изготовления карт. Р. как организатор и руководитель данного преступного сообщества поддерживал связь с различными лицами, занимающимися преступной деятельностью в сфере обращения кредитных и расчетных карт в России и зарубежных государствах. Передача готовых поддельных карт заказчикам производилась как непосредственно самим Р., так и курьерами С. и А. При передаче карт через проводников поездов использовались вымышленные имена. При этом сами карты с целью маскировки вкладывались в коробки для компакт-дисков либо в почтовые конверты между газет. Получение денег за изготовление карт осуществлялось через систему электронных платежей «Web-money», при регистрации в которой не указывались подлинные личные данные. Данный вид общения между заказчиками и членами преступного сообщества исключал их непосредственный контакт и обеспечивал анонимность участников. С целью подделки паспортов путем переклейки фотографий и по следующего использования при совершении мошенничества в торгово-сервисных предприятиях с использованием поддельных кредитных и расчетных карт, также для регистрации на подставных лиц мобильных телефонов участниками преступного сообщества у неустановленных следствием лиц приобретались па спорта граждан России, ранее утраченные их владельцами. <… > В соответствии с избранной им ролью Р. К. В. в корыстных целях создал, организовал и руководил деятельностью преступного сообщества. Лично он вовлек в состав преступной организации С. Д. С., А. М. Р., С. А. Л., К. А. Л., Ш. А. В. и других неустановленных лиц, проживающих в г. Санкт-Петербурге, других городах России и за рубежом, осуществляющих преступную деятельность, связанную с незаконным распоряжением денежными средствами, находящимися на банковских карточных счетах; распределял между ними роли при совершении конкретных преступных деяний; принимал решения по планированию конкретных действий соучастников, занимался общей организацией деятельности общества, материальным и техническим обеспечением процесса изготовления поддельных кредитных и расчетных карт; распределял доходы; разрабатывал меры конспирации и безопасности; требовал их исполнения, а также лично участвовал в совершении конкретных преступлений организованной группой, изготавливая и сбывая поддельные кредитные и расчетные карты, предоставлял тем самым средства для совершения преступлений — мошенничества — другим участникам преступного сообщества, осуществлял подделку паспортов граждан России для использования участниками преступного сообщества при совершении преступлений; осуществлял сбыт товаров, приобретенных путем мошенничества. Ш. А. В., действуя в интересах преступного сообщества, организовал и руководил деятельностью структуры преступного сообщества — организованной группой, вовлек в состав ее участников П. Р. Р. и С. Д. И. Ш. принимал решения, связанные с реализацией конкретных преступлений, лично, совместно с П. и С. совершал конкретные преступления организованной группой: участвовал в процессе изготовления поддельных кредитных и расчетных карт, предоставляя Р. содержания треков № 2 реально существующих банковских карт; сбывал поддельные карты П. и в торгово-сервисных предприятиях, используя их для оплаты приобретаемых товаров; совершал мошенничества с использованием поддельных кредитных и расчетных карт; обеспечивал себя и П. поддельными документами, удостоверяющими личность; осуществлял сбыт приобретенных путем мошенничества товаров, перечислял руководителю преступного сообщества Р. денежные средства по средством си стемы электронных платежей «Web-money» («Веб-мани»); рекламировал в Интернете качество изготовленных Р. поддельных карт, информировал его о результатах совершенных преступлений с использованием изготовленных ими поддельных кредитных и расчетных карт для своевременного изменения дизайна карт, предпочтительного использования при изготовлении поддельных карт копий информации (содержания треков) определенных банков. П. Р. Р., действуя в интересах преступного сообщества, совместно с Ш. совершал конкретные преступления организованной группой: сбывал поддельные карты в торгово-сервисных предприятиях, используя их для оплаты приобретаемых товаров; совершал мошенничества с использованием поддельных кредитных и расчетных карт; осуществлял сбыт приобретенных путем мошенничества товаров, отчитывался перед Ш. за денежные средства, вырученные от реализации проданных товаров. С. Д. И., действуя в интересах преступного сообщества, совместно с Ш. совершал конкретные преступления организованной группой: сбывал поддельные карты в торгово-сервисных предприятиях, используя их для оплаты приобретаемых товаров, и совершал мошенничества с использованием поддельных кредитных и расчетных карт путем до ставки Ш. на личном автотранспорте в торгово-сервисные предприятия в г. Тамбов, Волгоград и Владимир для совершения мошенничества с использованием поддельных кредитных и расчетных карт, транспортировки товаров, приобретенных путем мошенничества, к местам хранения и сбыта. С. Д. С., действуя в интересах преступного сообщества, лично принимал участие в совершении преступлений организованной группой: осуществлял отправку поддельных кредитных и расчетных пластиковых карт в другие города, в частности в г. Москву, через проводников поездов дальнего следования; осуществлял доставку на личном автотранспорте А. в торгово-сервисные предприятия г. Санкт-Петербурга для совершения мошенничества с использованием поддельных кредитных и расчетных карт, обеспечил А. поддельным паспортом гражданина России, полученным от Р.; передавал Р. товары, приобретенные путем мошенничества, для их продажи. А. М. Р., действуя в интересах преступного сообщества, лично принимал участие в совершении преступлений организованной группой: осуществлял отправку поддельных кредитных и расчетных пластиковых карт в другие города, в частности в г. Москву, через проводников поездов дальнего следования; сбывал поддельные карты в торгово-сервисных предприятиях, используя их для оплаты приобретаемых товаров; совершал мошенничества с использованием поддельных кредитных и расчетных карт. В период деятельности преступного сообщества А. осужден 26 сентября 2006 г. Приморским районным судом г. Санкт-Петербурга за совершение преступлений, предусмотренных ч. 1 ст. 187, ч. 2 ст. 327, ч. 3 ст. 30 и ч. 1 ст. 159 УК РФ, к 3 годам лишения свободы условно с испытательным сроком на 3 года по фактам: подделки официального документа — паспорта гражданина РФ; изготовления поддельной расчетной карты и ее сбыта; покушения на мошенничество с использованием поддельной расчетной карты. С. А. Л., действуя в интересах преступного сообщества, организовал и руководил деятельностью структуры преступного сообщества — организованной группой, вовлек в состав ее участников К. А. Л., Б. В. А. и других неустановленных следствием лиц. Он принимал решения, связанные с реализацией конкретных преступлений; лично принимал участие в совершении конкретных преступлений организованной группой: изготавливал и сбывал поддельные кредитные и расчетные карты, предоставлял тем самым средства для совершения преступлений — мошенничества — другим участникам преступного сообщества; осуществлял сбыт приобретенных путем мошенничества товаров, направлял Р. денежные средства и приобретенные товары. К. А. Л., действуя в интересах преступного сообщества, совместно с С. совершал конкретные преступления организованной группой: изготавливал поддельные кредитные и расчетные карты, обеспечивал Б. и других неустановленных участников сообщества поддельными паспортами граждан России, осуществлял сбыт товаров, приобретенных путем мошенничества, отчитывался перед С. за денежные средства, вырученные от реализации проданных товаров. Б. В. А., действуя в интересах преступного сообщества лично и совместно с неустановленными следствием лицами, совершал конкретные преступления организованной группой: сбывал поддельные карты в торгово-сервисных предприятиях, используя их для оплаты приобретаемых товаров; совершал мошенничества с использованием поддельных кредитных и расчетных карт; контролировал совершение преступлений неустановленными участниками структуры преступного сообщества — организованной группы; осуществлял сбыт приобретенных путем мошенничества товаров, отчитывался перед К. и С. за денежные средства, вырученные от реализации проданных товаров. В период деятельности преступного сообщества Б. осужден 27 октября 2005 г. Куйбышевским районным судом г. Санкт-Петербурга за совершение преступлений, предусмотренных ч. 1 ст. 159, ч. 3 ст. 30 и ч. 1 ст. 159 УК РФ, к 2 годам лишения свободы условно с испытательным сроком на 2 года по фактам мошенничества и покушения на мошенничество с использованием поддельной банковской пластиковой карты; 19 апреля 2006 г. Невским районным судом г. Санкт-Петербурга за совершение преступления, предусмотренного ч. 3 ст. 30 и ч. 1 ст. 159 УК РФ, к 1 году лишения свободы условно с испытательным сроком на 3 года по факту покушения на мошенничество с использованием поддельной банковской пластиковой карты. Всего в период с июля 2005 г. по 28 сентября 2006 г. участниками преступного сообщества, как установлено следствием, изготовлены в целях сбыта и сбыты 72 поддельные кредитные и расчетные карты, с использованием которых проведено не менее 168 операций в торгово-сервисных предприятиях по оплате приобретаемых товаров. В результате деятельности преступного сообщества совершены хищения денежных средств в размере 2 782 962,14 руб. <… > Из изложенного следует, что Р. К. В. совершил: создание преступного сообщества (преступной организации) для совершения тяжких или особо тяжких преступлений, руководил этим сообществом (организацией) и участвовал в преступном сообществе (преступной организации), т. е. совершил преступления, предусмотренные ч. 1,2 ст. 210 УК РФ; изготовление в целях сбыта и сбыт поддельных кредитных либо расчетных карт, совершенные организованной группой, т. е. преступление, предусмотренное ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187; ч. 2 ст. 187 УК РФ (37 эпизодов); мошенничество организованной группой, т. е. преступление, предусмотренное ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159; ч. 4 ст. 159 УК РФ (54 эпизода); покушение на мошенничество организованной группой, т. е. преступление, предусмотренное ч. 3 ст. 30, ч. 4 ст. 159; ч. 3 ст. 30, ч. 4 ст. 159; ч. 3 ст. 30, ч. 4 ст. 159; ч. 3 ст. 30, ч. 4 ст. 159; ч. 3 ст. 30, ч. 4 ст. 159; ч. 3 ст. 30, ч. 4 ст. 159 УК РФ (6 эпизодов); подделку и сбыт поддельного документа с целью облегчить совершение другого преступления, т. е. преступление, предусмотренное ч. 2 ст. 327; ч. 2 ст. 327 УК РФ (2 эпизода). Судебные решения Приговор (Извлечения) Дело № 2-05/10 г. Санкт-Петербург 22 июня 2010 г. Санкт-Петербургский городской суд Установил: Р. К. В. и Ш. А. В. создали преступное сообщество для совершения тяжких преступлений и руководили этим сообществом. С. А. Л., С. Д. С., К. А. Л., П. P. P. участвовали в преступном сообществе. <… > Подсудимые Р. К. В. и Ш. А. В. в судебном заседании виновными себя в организации преступного сообщества и руководстве им не признали. Подсудимые С. А. Л., С. Д. С., К. А. Л., П. P. P в судебном заседании виновными себя в участии в преступном сообществе не признали. <… > Изготовление поддельных кредитных и расчетных карт производилось подсудимыми с целью их последующей реализации и за денежное вознаграждение, т. е. с целью сбыта, как и сам сбыт. Данные действия производились участниками организованной группы и в соответствии с отведенной каждому из них ролью. Хотя Ш. А. В. непосредственно не участвовал в технологических операциях по изготовлению поддельных карт, он предоставлял Р. К. В. «дампы» — информацию, необходимую для их изготовления, выполняя тем самым отведенную ему в преступном сообществе роль, т. е. тоже участвовал в изготовлении данных карт. Поэтому указанные выше действия Р. К. В., Ш. А. В. и С. Д. С. суд квалифицирует по ч. 2 ст. 187 УК РФ. Приговорил: Р. К. В. признать виновным в совершении преступлений, предусмотренных ч. 1 ст. 210 УК РФ, ч. 2 ст. 187 УК РФ, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, ч. 5 ст. 33, ч. 4 ст. 159 УК РФ, ч. 4 ст. 159 УК РФ, ч. 2 ст. 327 УК РФ, и назначить наказание в виде лишения свободы: <… > На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения назначенных наказаний окончательно назначить Р. К. В. наказание в виде лишения свободы сроком на 10 лет со штрафом в размере 250 тыс. руб. с отбыванием в исправительной колонии строгого режима. Ш. А. В. признать виновным в совершении преступлений, предусмотренных ч. 1 ст. 210 УК РФ, ч. 2 ст. 187 УК РФ, ч. 4 ст. 159 УК РФ, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, и назначить наказание в виде лишения свободы: <… > На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения назначенных наказаний окончательно назначить Ш. А. В. наказание в виде лишения свободы сроком на 8 лет 6 месяцев со штрафом в размере 200 тыс. руб. с отбыванием в исправительной колонии строгого режима. <… > С. А. Л. по обвинению в совершении преступления, предусмотренного ч. 1 ст. 210 УК РФ, признать невиновным и оправдать в связи с непричастностью к совершению данного преступления. С. А. Л. признать виновным в совершении преступлений, предусмотренных ч. 2 ст. 210 УК РФ, ч. 4 ст. 159 УК РФ, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, и назначить наказание в виде лишения свободы: <… > На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения наказаний окончательно назначить С. А. Л. наказание в виде лишения свободы сроком на 7 лет со штрафом в размере 150 тыс. руб. На о сновании ст. 73 УК РФ считать назначенное С. А. Л. наказание в виде лишения свободы условным с испытательным сроком 3 года. Назначенное С. А. Л. наказание в виде штрафа исполнять реально. Меру пресечения С. А. Л. изменить с заключения под стражу на подписку о невыезде, освободить из-под стражи в зале суда. <… > С. Д. С. признать виновным в совершении преступлений, предусмотренных ч. 2 ст. 210 УК РФ, ч. 2 ст. 187 УК РФ, ч. 4 ст. 159 УК РФ, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, ч. 5 ст. 33, ч. 4 ст. 159 УК РФ, ч. 3 ст. 30, ч. 5 ст. 33 и ч. 4 ст. 159 УК РФ, ч. 2 ст. 327 УК РФ, и назначить наказание в виде лишения свободы: <… > На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения назначенных наказаний окончательно назначить С. Д. С. наказание в виде лишения свободы сроком на 8 лет со штрафом в размере 150 ты с. руб. На основании ст. 73 УК РФ назначенное С. Д. С. наказание в виде лишения свободы считать условным с испытательным сроком на 4 года. Назначенное С. Д. С. наказание в виде штрафа исполнять реально. <… > К. А. Л. признать виновным в совершении преступлений, предусмотренных ч. 2 ст. 210 УК РФ, ч. 4 ст. 159 УК РФ, ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, и назначить наказание в виде лишения свободы: <… > На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения наказаний окончательно назначить К. А. Л. наказание в виде лишения свободы сроком на 7 лет со штрафом в размере 100 тыс. руб. На основании ст. 73 УК РФ считать назначенное К. А. Л. наказание в виде лишения свободы условным с испытательным сроком на 3 года. Назначенное К. А. Л. наказание в виде штрафа исполнять реально. <… > П. Р. Р. признать виновным в совершении преступлений, предусмотренных ч. 2 ст. 210 УК РФ, ч. 4 ст. 159 УК РФ, и назначить наказание в виде лишения свободы: <…> На основании ч. 3 ст. 69 УК РФ по совокупности преступлений путем частичного сложения назначенных наказаний окончательно назначить П. P. P. наказание в виде лишения свободы сроком 6 лет 6 месяцев. На о сновании ст. 73 УК РФ назначенное П. P. P. наказание считать условным с испытательным сроком на 2 года. Меру пресечения П. P. P. изменить с заключения под стражу на подписку о невыезде, освободить из-под стражи в зале суда. Кассационное определение (Извлечения) Дело № 78-О10-121 г. Москва 20 октября 2010 г. Судебная коллегия по уголовным делам Верховного Суда Российской Федерации… Установила: … судебная коллегия полагает, что приговор суда в части осуждения Р. К. В., Ш. А. В. по ч. 1 ст. 210 УК РФ, С. А. Л., С. Д. С., К. А. Л., П. Р. Р. по ч. 2 ст. 210 УК РФ подлежит отмене с прекращением производства по делу в связи с отсутствием в их действиях данного состава преступления. Вместе с тем приведенные в приговоре доказательства свидетельствуют о том, что преступления были совершены осужденными в составе организованной группы. <… > Действия всех осужденных за совершение конкретных преступлений судом квалифицированы правильно. Наказание в сем о сужденным назначено в соответствии с требованиями закона… Определила: Приговор Санкт-Петербургского городского суда от 22 июня 2010 г. в отношении Р. К. В., С. А. Л., Ш. А. В., С. Д. С., К. А. Л., П. Р. Р. изменить. В части осуждения Р. К. В., Ш. А. В. по ч. 1 ст. 210 УК РФ, С. А. Л., С. Д. С., К. А. Л., П. Р. Р. по ч. 2 ст. 210 УК РФ приговор отменить, уголовное дело прекратить в связи с отсутствием в их действиях данного состава преступления, признав за ними право на реабилитацию. В соответствии с ч. 3 ст. 69 УК РФ по совокупности преступлений, предусмотренных ч. 2 ст. 187 УК РФ (5 преступлений), ч. 3 ст. 30, ч. 4 ст. 159 УК РФ (6 преступлений), ч. 5 ст. 33, ч. 4 ст. 159 УК РФ (2 преступления), ч. 4 ст. 159 УК РФ (52 преступления), ч. 2 ст. 327 УК РФ (2 преступления), путем частичного сложения назначенных наказаний назначить Р. К. В. 9 лет лишения свободы с отбыванием наказания в исправительной колонии общего режима. В соответствии с ч. 3 ст. 69 УК РФ по совокупности преступлений, предусмотренных ч. 2 ст. 187 УК РФ (10 преступлений), ч. 3 ст. 30, ч. 4 ст. 159 УК РФ (4 преступления), ч. 4 ст. 159 УК РФ (39 преступлений), путем частичного сложения наказаний назначить Ш. А. В. 7 лет 6 мес. лишения свободы с отбыванием наказания в исправительной колонии общего режима. В соответствии с ч. 3 ст. 69 УК РФ по совокупности преступлений, предусмотренных ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, ч. 4 ст. 159 УК РФ (11 преступлений), путем частичного сложения назначенных наказаний назначить С. А. Л. 6 лет 6 мес. лишения свободы. В соответствии со ст. 73 УК РФ назначенное наказание считать условным с испытательным сроком на 3 года. В соответствии с ч. 3 ст. 69 УК РФ по совокупности преступлений, предусмотренных ч. 2 ст. 187 УК РФ (4 преступления), ч. 3 ст. 30, ч. 5 ст. 33, ч. 4 ст. 159 УК РФ (4 преступления), ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, ч. 5 ст. 33, ч. 4 ст. 159 УК РФ (39 преступлений), ч. 4 ст. 159 УК РФ (4 преступления), ч. 2 ст. 327 УК РФ, путем частичного сложения назначенных наказаний назначить С. Д. С. 7 лет 6 мес. лишения свободы. В соответствии со ст. 73 УК РФ назначенное наказание считать условным с испытательным сроком на 4 года. В соответствии с ч. 3 ст. 69 УК РФ по совокупности преступлений, предусмотренных ч. 3 ст. 30, ч. 4 ст. 159 УК РФ, ч. 4 ст. 159 УК РФ (11 преступлений), путем частичного сложения назначенных наказаний назначить К. А. Л. 6 лет 6 мес. лишения свободы. В соответствии со ст. 73 УК РФ назначенное наказание считать условным с испытательным сроком на 3 года. Исключить из приговора указание о назначении П. Р. Р. наказания в соответствии с ч. 3 ст. 69 УК РФ. Считать его осужденным по ч. 4 ст. 159 УК РФ (15 преступлений) к 6 годам лишения свободы. В соответствии со ст. 73 УК РФ назначенное наказание считать условным с испытательным сроком на 2 года. Исключить из приговора указание о конфискации в доход государства денежных средств с сумме 17 000 рублей и 986 долларов США, изъятых у С. А. Л. В остальной части приговор в отношении Р. К. В., Ш. А. В., С. А. Л., С. Д. С., К. А. Л., П. Р. Р. оставить без изменения, а кассационные жалобы осужденных Р. К. В., Ш. А. В. и кассационное представление государственного обвинителя З. Н. В. — без удовлетворения. Фотографии из уголовного дела № 248100 Приложение 2 Типовая методика исследования информации, находящейся на магнитной полосе платежных карт[111 - Авторы методики — Г. В. Саенко, О. В. Тушканова. Организация-разработчик — Экспертно-криминалистический центр МВД России. При разработке типовой методики использованы печатные материалы, указанные в списке литературы.] Экспертная задача Исследование информации, находящейся на магнитной поло се платежных карт платежных систем VISA и MasterCard Объекты исследования 1. Функции пластиковых карт • Информационная — карты содержат сведения об имени, номере, дате и пр.; • Идентификационная — карты содержат информацию об идентификационных свойствах объекта (фотографию, отпечаток пальца, собственноручную подпись и т. п.) • Обеспечения доступа: • физический и информационный доступ; • доступ к скидкам и льготам (дисконтные, лояльности, бонусные и пр.); • доступ к услугам и товарам (платежные: предоплаченные, кредитные, расчетные). 2. Понятие и основные характеристики платежных карт. Платежная карта — инструмент для совершения ее держателем операций с денежными средствами, находящимися у эмитента, в соответствии с законодательством Российской Федерации и договором с эмитентом. Платежные карты делятся на банковские (эмитент — кредитная организация) и небанковские (эмитент — юридическое лицо, не являющееся кредитной организацией). Платежные карты бывают расчетными, кредитными и предоплаченными. Расчетная (дебетовая) карта предназначена для совершения операций ее держателем в пределах установленной кредитной организацией-эмитентом суммы денежных средств (расходного лимита), расчеты по которым осуществляются за счет денежных средств клиента, находящихся на его банковском счете, или кредита, предоставляемого кредитной организацией-эмитентом клиенту в соответствии с договором банковского счета при недостаточности или отсутствии на банковском счете денежных средств (овердрафт). Кредитная карта предназначена для совершения ее держателем операций, расчеты по которым осуществляются за счет денежных средств, предоставленных кредитной организацией — эмитентом клиенту в пределах установленного лимита в соответствии с условиями кредитного договора. Предоплаченная карта предназначена для совершения ее держателем операций, расчеты по которым осуществляются кредитной организацией — эмитентом от своего имени, и удостоверяет право требования держателя предоплаченной карты к кредитной организации — эмитенту по оплате товаров (работ, услуг, результатов интеллектуальной деятельности) или выдаче наличных денежных средств. 3. Внешний вид и основные реквизиты пластиковых платежных карт с магнитной полосой (рис. П2.1). 4. Формат записи информации на магнитную полосу платежной карты. На магнитную поло су информация записывается в соответствии со стандартом ISO/IEC 7811. Запи сь возможна в двух уровнях намагничивания, обозначаемых как Hi-co и Lo-co. В соответствии с о стандартами платежных с истем первые две дорожки должны быть обязательно заполнены. Информация с третьей дорожки платежными системами не учитывается (рис. П2.2). Алгоритм расчета контрольной цифры номера карточки (Luhn-алгоритм): • последняя с конца цифра номера в расчетах не участвует; • все нечетные позиции номера умножаются на 2 (расчет позиций ведется справа налево); • если результат умножения нечетной цифры на 2 больше, чем 9, то из результата вычитается 9; • четные цифры не преобразовываются; • после преобразования все цифры номера (кроме последней) складываются; • десятки отбрасываются; • последняя (контрольная) цифра номера должна быть = 10 — полученный результат. BIN (идентификационный номер банка) • первые 6 цифр номера карты (для платежных систем VISA и MasterCard); • отвечает за сведения о: • организации-эмитенте; • карточном продукте (кредитная, расчетная, предоплаченная); • в ряде случаев о типе карты (Electron, Classic, Gold и пр.); • данные сведения содержатся: • в электронных базах данных платежных си стем, которые регулярно обновляются и доступны членам платежной системы; • в BIN-table (БИН-таблицах), находящихся в процессинговых центрах, которые ежедневно обновляются и служат для маршрутизации операций по картам сторонних эмитентов в устройствах процессингового центра. Сущность методики 1. Разрешаемые вопросы 1.1. Какая информация имеется на магнитной поло се пластиковой карты, пред ставленной на исследование? 1.2. Если такая информация имеется, то каким образом она может быть интерпретирована в соответствии с правилами платежных систем? 1.3. Соответствует ли информация, записанная на магнитную поло су пластиковой карты, информации, имеющейся в элементах внешнего оформления данной карты? 1.4. Может ли пред ставленная на и с следование пластиковая карта быть воспринята в технологии функционирования платежной системы в качестве кредитной или расчетной (при условии использования информации, записанной на магнитную поло су карты) (на определенную дату или период времени)? 2. Оборудование Картридер — устройство, позволяющее: • считывать информацию с магнитной полосы пластиковой карты в стандарте ISO/IEC 7811; • читать три дорожки магнитной полосы с разной степенью намагниченности (Hi-co и Lo-co). 3. Последовательность действий 3.1. Считать информацию с магнитной полосы пластиковой карты. 3.2. Провести проверку соответствия структуры информации на магнитной полосе пластиковых карт стандартам платежных систем (в соответствии с рис. П2.2). Определить наименование платежной системы. 3.3. Проверить валидность[112 - Валидность — степень соответствия показателя тому понятию, которое он призван отражать.] номера карты: • соответствие количества цифр в номере правилам платежной системы, обозначенной в номере; • наличие BIN в электронных базах платежных систем[113 - Сведения из электронных баз платежных систем можно получить через отдел компьютерных экспертиз и технологий ЭКЦ МВД России либо запросив (через следователя) платежную систему или организацию, занимающуюся обслуживанием платежных карт.]; • соответствие контрольной цифры номера карты значению, рассчитанному по Luhn-алгоритму. 3.4. Получить из электронных баз платежных систем информацию о: • имени продукта; • типе продукта; • наименовании организации-эмитента. 3.5. Провести интерпретацию информации о дате окончания действия карты, сервис-коде и имени держателя карты. Проверить данную информацию на допустимость (с точки зрения смыслового содержания). 3.6. Провести сопоставление информации, имеющейся в элементах внешнего оформления пластиковой карты, с информацией, расположенной на магнитной полосе этой карты. Сопоставлению подлежат следующие реквизиты (при их наличии): • наименование платежной системы; • наименование организации-эмитента; • наименование карточного продукта; • тип карты; • номер карты[114 - В платежной системе Maestro номер в реквизитах внешнего оформления карты может не совпадать с номером, расположенном на магнитной полосе данной карты.]; • имя держателя карты; • дата окончания действия карты. 3.7. Проверить соблюдение условий, необходимых для проведения транзакций с помощью электронного терминала: • наличие информации на первой дорожке магнитной полосы (символ «В», номер карты, символ «^», имя держателя карты, символ «^», срок действия, сервис-код) либо на второй дорожке магнитной полосы (номер карты, символ «=», срок действия, сервис-код) пластиковой карты; • стандарт записи информации ISO/IEC 7811; • номер карты действителен; • дата окончания действия карты не меньше проверяемой; • сервис код позволяет использование карты. Формулирование выводов 1. В зависимости от того, обнаружена информация на магнитной полосе пластиковой карты или нет, вывод по вопросу: «какая информация имеется на магнитной полосе пластиковой карты, представленной на исследование?» — может быть сформулирован следующим образом: 1.1. «На магнитной полосе пластиковой карты, представленной на исследование, имеется следующая информация (спецсимволы, определяющие начало и конец записи, не указывались): первая дорожка: B5486746966883769^IVANOV/IVAN^0910101135470000000000448000000 вторая дорожка: 5486746966483769 = 09101011354704480000; на третьей дорожке информация не обнаружена[115 - Если на третьей дорожке установлено наличие информации, привести ее содержание.]». 1.2. «На магнитной поло се пластиковой карты, представленной на исследование, информации не обнаружено». 2. При ответе на вопрос: «если на магнитной полосе пластиковой карты, представленной на исследование, имеется информация, то каким образом она может быть интерпретирована в соответствии с правилами платежных систем?» — учитывается: • наличие информации на первой и/или второй дорожке магнитной полосы пластиковой карты; • соответствие структуры этой информации стандартам платежных систем; • правила интерпретации информации платежными си стемами; • информация из электронных баз платежных систем. 2.1. В случае если структура информации на первой и/или второй дорожках магнитной полосы соответствует стандартам платежных систем, может быть сделан вывод: «информация, расположенная на магнитной поло се представленной на и с следование пластиковой карты, может быть интерпретирована в соответствии с правилами платежных систем следующим образом: номер карты — 54867469664837; платежная система — MasterCard Worldwide; имя продукта — MasterCard Gold Card; тип продукта[116 - Указывается при наличии информации в электронных базах платежных систем.] — расчетная; наименование организации-эмитента — COMMERCIAL INNOVATION BANK ALFA-BANK; имя держателя[117 - Указывается при наличии информации на первой дорожке магнитной полосы.Кредитная или расчетная указывается в зависимости от типа продукта и устанавливается по электронным базам данных платежных систем. Если информация о типе продукта в базах данных платежных систем не указана, то термин «кредитная/расчетная» может быть заменен на термин «платежная».] — IVAN IVANOV; дата окончания действия карты — октябрь 2009 г.; международная карта, нормальная авторизация, нормальная верификация». 2.2. Если структура информации на первой и/или второй дорожках магнитной полосы не соответствует стандартам платежных си стем, может быть сделан следующий вывод: интерпретировать информацию, расположенную на магнитной поло се представленной на исследование пластиковой карты, в соответствии с правилами платежных систем не представилось возможным по причинам (указывается перечень причин либо дается ссылка на исследовательскую часть заключения эксперта, в которой указан данный перечень). Если информация на первой дорожке магнитной полосы не соответствует информации на второй дорожке магнитной полосы, вывод формулируется относительно каждой дорожки в отдельности. 3. Вывод по вопросу: «соответствует ли информация, записанная на магнитную полосу пластиковой карты, информации, имеющейся в элементах внешнего оформления данной карты?». 3.1. Если при сопоставлении информации о наименовании платежной системы, наименовании организации-эмитента, наименовании карточного продукта, типе карты, номере карты, имени держателя карты, дате окончания действия карты, записанной на магнитную полосу пластиковой карты, с информацией, имеющейся в элементах внешнего оформления, установлено их совпадение, делается следующий вывод: информация, записанная на магнитную полосу пластиковой карты, представленной на и с следование, соответствует информации, имеющейся в элементах внешнего оформления данной карты. 3.2. Если при сопоставлении информации о наименовании платежной системы, наименовании организации-эмитента, наименовании карточного продукта, типе карты, номере карты, имени держателя карты, дате окончания действия карты, записанной на магнитную полосу пластиковой карты, с информацией, имеющейся в элементах внешнего оформления, установлено различие хотя бы в одном реквизите, делается следующий вывод: информация, записанная на магнитную полосу пластиковой карты, представленной на исследование, не соответствует информации, имеющейся в элементах внешнего оформления данной карты. 3.3. Если структура информации на первой и/или второй дорожках магнитной полосы не соответствует стандартам платежных систем или в элементах внешнего оформления карты отсутствуют реквизиты для сравнения, то сопоставление данной информации с информацией, имеющейся в элементах внешнего оформления пластиковой карты, не производится и вывод может быть следующим: сопоставление информации, имеющейся в элементах внешнего оформления пластиковой карты, представленной на исследование, с информацией, расположенной на магнитной полосе этой карты, не проводилось по причинам (указывается[118 - Кредитная или расчетная указывается в зависимости от типа продукта и устанавливается по электронным базам данных платежных систем. Если информация о типе продукта в базах данных платежных систем не указана, то термин «кредитная/расчетная» может быть заменен на термин «платежная».] перечень причин либо дается ссылка на исследовательскую часть заключения эксперта, в которой указан данный перечень). 4. Вывод по вопросу: «может ли представленная на исследование пластиковая карта быть воспринята в технологии функционирования платежной системы в качестве кредитной или расчетной (при условии использования информации, записанной на магнитную полосу карты) (на определенную дату или период времени)?». 4.1. Если исследование показало, что условия, необходимые для проведения транзакций с помощью электронного терминала, соблюдены, делается следующий вывод: представленная на исследование пластиковая карта (указать дату) может быть воспринята в технологии функционирования платежных систем в качестве кредитной/расчетной (при условии использования информации, записанной на магнитную полосу карты). 4.2. Если исследование показало, что для проведения транзакций с помощью электронного терминала не соблюдено хотя бы одно из условий п. 2.3.7, делается следующий вывод: представленная на исследование пластиковая карта (указать дату) не может быть воспринята в технологии функционирования платежных систем в качестве кредитной/расчетной (при условии использования информации, записанной на магнитную полосу карты). Литература Положение Центрального Банка Российской Федерации 24 декабря 2004 г. № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» (ред. от 21 сентября 2006 г.) (Зарегистрировано в Минюсте РФ 25 марта 2005 г. № 6431). Приложение к письму Центрального Банка Российской Федерации от 2 октября 2009 г. № 120-Т «Памятка о мерах безопасного использования банковских карт» Письмо ЦБ РФ от 22 ноября 2010 г. № 154-Т «О рекомендациях по раскрытию информации об основных условиях использования банковской карты и о порядке урегулирования конфликтных ситуаций, связанных с ее использованием» ГОСТ Р ИСО/МЭК 10 373-1-2002 «Карты идентификационные. Методы испытаний. Часть 1. Общие характеристики». ГОСТ Р ИСО/МЭК 10 373-2-2002 «Карты идентификационные. Методы испытаний. Часть 2. Карты с магнитной полосой». ГОСТ Р ИСО/МЭК 7810–2002 «Карты идентификационные. Физические характеристики». ГОСТ Р ИСО/МЭК 7811-2-2002 «Карты идентификационные. Способ записи. Часть 2. Магнитная полоса малой коэрцитивной силы». ГОСТ Р ИСО/МЭК 7811-1-2003 «Карты идентификационные. Способ записи. Часть 1. Тиснение». ГОСТ Р ИСО/МЭК 7811-3-3-2003 «Карты идентификационные. Способ записи. Часть 3. Расположение рельефных символов на картах формата ID-1». ГОСТ Р ИСО/МЭК 7811-6-2003 «Карты идентификационные. Способ записи. Часть 6. Магнитная полоса большой коэрцитивной силы». Материалы конференции «Банковские карты: эффективный бизнес» 2010. Октябрь. Пятиизбянцев Н. П. Банкоматные потери [Доклад] // Материалы семинара «Стратегия защиты пластиковых карт от мошенничества. Анализ рисков в электронном обращении с картами». 2010. Март. Голенищев А. А. Безопасность и управление рисками в бизнесе эквайринга пластиковых карт [Доклад] // Материалы семинара «Стратегия защиты пластиковых карт от мошенничества. Анализ рисков в электронном обращении с картами». 2010. Март. Голенищев А. А. Обзор современных видов мошенничества в России и за рубежом [Доклад] // Материалы семинара «Стратегия защиты пластиковых карт от мошенничества. Анализ рисков в электронном обращении с картами». 2010. Март. Голдовский И. М. Реальная безопасность микропроцессорных карт [Доклад] // Материалы семинара «Реальная безопасность микропроцессорных EMV-карт». 2009. Июнь. Доклад представителя VISA Int. П. Стромского, доклад представителя АРЧЕ Е. Балезина. Термины международной практики безналичных расчетов. М.: Рекон Интернешнл, 2007. ISO 4217, Codes for the representation of currencies and funds. ISO 7810, Identification cards — Physical characteristics. ISO 7811, Identification cards — Recording technique Part 1: Embossing. Part 2: Magnetic stripe. Part 3: Location of embossed characters on ID-1 cards. Part 4: Location of read-only magnetic tracks — Tracks 1 and 2. Part 5: Location of read-write magnetic track — Track 3. ISO 7812, Identification cards — Numbering system, and registration procedure for issuer identifiers. ISO 7813, Identification cards — Financial transaction cards. VISA Interchange Directory (VID). Member Information Directory (MIM — Member Information Manual). VISA Payment Technology Standards Manual. MasterCard. Authorization System Manual. MasterCard. Security Rules and Procedures. Payment Card Industry Data Security Standard (PCI DSS). VISA International Operating Regulations. MasterCard Chargeback Guide. © Коллектив авторов, 2012 © Центр исследований платежных систем и расчетов, 2012 © Московская финансово-промышленная академия, 2012 notes Примечания 1 Классификация и тенденции современного карточного мошенничества были всеобъемлющим образом описаны российским «гуру» платежных технологий И. М. Голдовским в его новой книге: Банковские микропроцессорные карты. М.: Центр исследований платежных систем и расчетов; Альпина Паблишерз, 2010. 2 Stand-in процессинг (STIP) — это режим обработки транзакций, когда банк-эмитент поручает ведение баз данных карт и установленных/назначенных эмитентов лимитов, а также проведение авторизации на основе этих данных альтернативному процессинговому центру. 3 июля 2009 г. 4 Key-management — процедуры управления криптографическими ключами: генерация, хранение, доставка, использование и замена ключей для криптосистем с соблюдением требований обеспечения безопасности. 5 См. примечание к ст. 158 УК РФ в ред. Федерального закона от 8 декабря 2003 г. № 162-ФЗ «О внесении изменений и дополнений в Уголовный кодекс Российской Федерации» (в ред. от 7 апреля 2010 г. № 60-ФЗ) // Собрание законодательства Российской Федерации. 2003. № 50. Ст. 4848. 6 Конфиденциальность ПИН-кода утрачивается в результате подсматривания (например, с подобной ситуацией столкнулись следователи Челябинской области при расследовании уголовного дела № 605605 в отношении Л. Б. Рудя) либо в результате небрежности держателя платежной карты. Зачастую ПИН-код записан в записной книжке или в записке, носимой с платежной картой, на самой платежной карте и т. д., например, уголовное дело № 125981, находившееся в производстве следователей г. Егорьевска (Московская область), когда платежная карта потерпевшей была похищена из сумки вместе с ПИН-кодом. Наряду с указанным можно привести пример: уголовное дело № 1-201/2006, рассмотренное в Пожарском районном суде в отношении С. Н. Шаповалова, где платежная карта и записка с ПИН-кодом были похищены из квартиры потерпевшего в ходе квартирной кражи. 7 См. постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51 // Российская газета. 2008. 12 янв. 8 См., например, уголовное дело № 41368 по обвинению А. П. Кравцовой в краже у своего отца П. С. Кравцова денежных средств путем использования его платежной карты (г. Невинномысск Ставропольского края). 9 См. уголовное дело № 116260 по обвинению Д. Г. Кругловой в краже денежных средств ее бабушки Л. И. Борисовой. 10 См. Уголовное дело № 1-294/07 (Мировой судья И. В. Харченко, г. Курган, Курганская область) по обвинению Л. А. Спиркиной в краже денежных средств с использованием платежной карты А. Г. Домрачевой. 11 См. ст. 159 УК РФ в ред. Федерального закона от 8 декабря 2003 г. № 162-ФЗ «О внесении изменений и дополнений в Уголовный кодекс Российской Федерации» (в ред. от 7 апреля 2010 г. № 60-ФЗ) // Собрание законодательства Российской Федерации. 2003. № 50. Ст. 4848. 12 Отметим, что использование реквизитов платежных карт для оплаты интернет-услуг (хостинг, доменные имена, реклама и др.) зачастую сопряжено с подготовкой иных преступлений: распространение детской порнографии, вымогательство, — а равно с противодействием расследованию. 13 Схема достаточно проста: пожилой человек всегда рад помощи, подсказке при наборе соответствующих цифр. 14 Например, уголовное дело № 0671621 по обвинению Н. В. Удовик в хищении денежных средств с использованием служебного положения (Сергиевский район, Самарская область); уголовное дело № 869882 по обвинению Д. М. Хамандритова в хищении денежных средств (г. Исилькуль, Омская область); и др. 15 Уголовное дело № 1-416/7-2006 по обвинению Н. А. Тихонко и Л. П. Денисова. Архив Замоскворецкого районного суда г. Москвы. 16 Уголовное дело № 745401. Следственная часть при ГУ МВД РФ по Дальневосточному федеральному округу. 17 Мул — транслитерация с англ. mule — мул, вьючное животное. 18 Чекер — транслитерация с англ. checker — контролер, проверяющий. 19 В ред. Федерального закона от 8 декабря 2003 г. № 162-ФЗ «О внесении изменений и дополнений в Уголовный кодекс Российской Федерации» (в ред. от 7 апреля 2010 г. № 60-ФЗ) // Собрание законодательства Российской Федерации. 2003. № 50. Ст. 4848. 20 Вестник Банка России. 2005. № 17. 21 См. п. 4 ст. 6 Федерального закона от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» (в ред. от 28 декабря 2010 г. № 404-ФЗ) // Собрание законодательства Российской Федерации. 1995. № 33. Ст. 3349. 22 См.: Комментарий к Уголовному кодексу Российской Федерации (постатейный). 3-е изд., перераб. и доп. / под ред. А. А. Чекалина, В. Т. Томина, В. В. Сверчкова. М.: Юрайт-Издат, 2006. 23 См. главу 6, посвященную особенностям назначения экспертиз, при расследовании преступлений, совершаемых в сфере оборота платежных карт. 24 Практика применения Уголовного кодекса Российской Федерации: комментарий судебной практики и доктринальное толкование (постатейный) / А. В. Наумов; под ред. Г. М. Резника. М.: Волтерс Клувер, 2005. 25 Вестник Банка России. 2005. № 17. 26 Вестник Банка России. 2002. № 74. 27 Положение ЦБ РФ от 3 октября 2002 г. № 2-П «О безналичных расчетах в Российской Федерации». 28 Вестник Банка России. 2007. № 20–21. 29 Экономика и жизнь. 2000. № 20. 30 Щиголев Ю. В. Понятие и основные элементы подлога документов // Правоведение. 1998. № 1. С. 116–123. 31 Малый энциклопедический словарь: в 4 т. Т. 3 / Репринтное воспроизведение издания Брокгауза — Ефрона. М.: Терра, 1997. 32 Тихомирова Л. В., Тихомиров М. Ю. Юридическая энциклопедия. 5-е изд., доп. и перераб. / под ред. М. Ю. Тихомирова. М.: 2001. 33 Там же. 34 Там же. 35 Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (п. 2 ст. 160 ГК РФ), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом. 36 Собрание законодательства Российской Федерации. 1996. № 5. Ст. 410. 37 Потапенко Н. УК РФ не успевает за кардингом // ЭЖ-Юрист. 2004. № 13. 38 В качестве исключения можно назвать обслуживание владельцев эмбоссированных платежных карт с помощью импринтера и слипов, но если такая операция проводится с авторизацией, то доступ к счету тоже осуществляется. 39 Например, именно такие члены транснациональной преступной группы были осуждены в августе 2008 г. по уголовному делу № 152830, расследованному Следственным комитетом при МВД РФ. 40 Впрочем, часто, особенно при изготовлении «белого пластика», подобная «специализация» в группе не наблюдается. 41 См., например, уголовное дело № 167568 (Архив ГСУ при ГУВД Санкт-Петербурга, 2005 г.). 42 Одним из исключений является уголовное дело № 248100, расследованное Следственным комитетом при МВД РФ (2008 г.). 43 Так называемый скимминг. См., например, уголовное дело № 152830, расследованное Следственным комитетом при МВД РФ, по обвинению Г. Т. Илиева и Ц. Н. Божилова. 44 Например, уголовное дело № 1-686/200467/415, рассмотренное Глазовским городским судом Удмуртской Республики, по обвинению В. Славинскаса в мошенничестве и неправомерном доступе к компьютерной информации. 45 В ходе так называемого скимминга. 46 Руководящий документ ГТК при Президенте РФ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Военное изд-во, 1992. 47 Подпункт 9 п. 2 ст. 1270 ГК РФ. 48 Статья 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «информация — сведения (сообщения, данные) независимо от формы их представления». 49 Руководящий документ ГТК при Президенте РФ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Военное изд-во, 1992. 50 Российская газета. 2006. 29 июля. 51 Ведомости съезда народных депутатов РСФСР. 1990. № 27. Ст. 357. 52 Гражданский кодекс Российской Федерации (часть четвертая) от 18 декабря 2006 г. № 230-Ф3 // Собрание законодательства РФ. 2006. № 52 (ч. 1). Ст. 5496. 53 Комментарий к Уголовному кодексу Российской Федерации / отв. ред. В. М. Лебедев [Председатель Верховного Суда Российской Федерации]. 54 См., например, уголовное дело № 152 830, расследованное Следственным комитетом при МВД РФ, по обвинению Г. Т. Илиева и Ц. Н. Божилова, которые осуществляли этап подготовки хищения путем компрометации реквизитов платежных карт и ПИН-кодов с использованием накладок на банкоматы. 55 Например, уголовное дело № 248114, расследованное Следственным комитетом при МВД РФ, по обвинению С. И. Комарова, К. В. Васильева. 56 См., например, уголовное дело № 152830, расследованное Следственным комитетом при МВД РФ, по обвинению Г. Т. Илиева и Ц. Н. Божилова. 57 Например, уголовное дело № 837430, расследованное в городе Новокузнецке Кемеровской области, по обвинению К. Г. Лопатина. 58 Для квалификации преступления недостаточно факта установки криминального оборудования на банкомат или факта наличия в криминальном оборудовании программного обеспечения. Необходимо было доказать факт работоспособности программного обеспечения и оборудования, а также получить из криминального оборудования данные для сравнения с компрометированными реквизитами платежных карт. 59 Термин «фишинг» (phishing) — измененная форма от английских слов Phone (телефон) и Fishing («рыбная ловля»). Он появился в «американском» английском для обозначения новых схем жульничества, служащих для того, чтобы выманивать у пользователей номера их кредитных карт, пароли доступа к банковским счетам и счетам платежных систем. Подробнее см. с. 36, 37. 60 Российская газета. 2008. 1 янв. 61 Комментарий к Уголовному кодексу Российской Федерации (постатейный) / В. К. Дуюнов [и др.]; отв. ред. Л. Л. Кругликов. М.: Волтерс Клувер, 2005. 62 Постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51. О судебной практике по делам о мошенничестве, присвоении и растрате // Российская газета. 2008. 12 янв. 63 Пластиковые карты / Л. В. Быстров, А. С. Воронин, А. Ю. Гамольский [и др.]. 5-е изд., перераб. и доп. М.: БДЦ-пресс, 2005. С. 321–324. 64 Данная позиция нашла свое подтверждение в судебной практике. См. уголовное дело № 50570 от 31 августа 2007 г., Йошкар-Ола. Эквайринг АТМ. 65 Постановление Пленума Верховного Суда Российской Федерации от 27 декабря 2007 г. № 51. О судебной практике по делам о мошенничестве, присвоении и растрате // Российская газета. 2008. 12 янв. Данная позиция также нашла свое подтверждение в судебной практике. См. уголовное дело № 7013396 от 11 октября 2007 г., Астрахань. Эквайринг ТСП; уголовное дело № 044162 от 11 марта 2008 г., Москва. Эквайринг ТСП; уголовное дело № 248100, Санкт-Петербург. Фабрика «Leroy». 66 www.pcisecuritystandards.com 67 Перевод стандартов PCI на русский язык доступен на сайте www.pcisecurity.ru 68 Более подробное описание стандарта PA DSS см. далее. 69 Актуальный список компаний, имеющих статус ASV, доступен на сайте Совета по безопасности www.pcisecuritystandards.org 70 Подробнее см. далее подраздел «Описание программы Visa AIS». 71 Описание SDP приведено далее в подразделе «Описание программы MasterCard SDP». 72 По адресу sdp@mastercard.com 73 Источник: http://www.digitaltransactions.net/news/story/2885 74 Более подробно со стандартом можно ознакомиться на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/ped/index.shtml Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https:// pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html 75 Список программного обеспечения, успешно прошедшего сертификацию по стандарту PCI PA DSS, можно получить на сайте Совета по безопасности PCI: https://pcisecuritystandards.org/security_standards/vpa/vpa_approval_list.html 76 На момент сдачи книги в печать. 77 Подробно о требованиях стандарта PCI DSS см. предыдущий раздел книги. 78 Квалифицированный аудитор систем безопасности (см. предыдущий раздел). 79 Пен-тест (penetration test, pentest) — тест на проникновение. 80 Подробнее о видах мошенничества с банковскими картами, уголовной ответственности и судебной практике в данной сфере см. раздел «Мошенничество в сфере банковских платежных карт». 81 Собрание законодательства Российской Федерации. 2002. № 52 (ч. I) Ст. 5140. 82 ERD-диаграмма (Entity-Relationship Diagram) — это диаграмма «сущность — связь» — способ определения данных и отношений между ними, обеспечивающий детализацию хранилищ данных проектируемой системы, включая идентификацию объектов (сущностей), свойств этих объектов (атрибутов) и их отношений с другими объектами (связей). 83 На сайте http://www.securitylab.ru/vulnerability (данный ресурс поддерживается компанией Positive Technologies) продемонстрировано, сколько различных подходов можно найти для реализации такого рода уязвимостей. 84 ICMP-туннель — скрытый канал для передачи данных, организованный между двумя узлами, использующий IP-пакеты с типом протокола ICMP (обычно e^o request, e^o reply). ICMP-туннель используется для обхода запретов на передачу информации на межсетевых экранах. 85 Ping — утилита для проверки соединений в сетях на основе TCP/IP. 86 Shell — интерпретатор команд операционной системы. 87 Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Например злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. 88 IM — Instant messenger — способ обмена сообщениями через Интернет и службы мгновенных сообщений (ICQ, QIP и др.). 89 WASC — консорциум, объединяющий международные группы экспертов, разрабатывающих стандарты безопасности в сфере Интернета. 90 Настройка host-to-any позволяет с определенного адреса получать возможность соединиться с чем угодно, any-to-host — кому угодно соединиться с определенным адресом, any-to-any — всем адресам со всеми адресами (такой вариант настройки говорит о том, что либо файрвол не нужен вообще в данном случае, либо работает только для введения логов, ничего не блокируя). 91 Имеется ввиду ситуация, когда администраторы никак не документируют и ни с кем не согласовывают никаких изменений, которые они проводят на обслуживаемых серверах и приложениях, а когда возникают вопросы «кто?» или «зачем?», то ответов в итоге не поступает. 92 www.gartner.com 93 Квадрантом с лидерами по шкале «Полнота видения», т. е. по количеству поддерживаемых систем для быстрого подключения (слева направо) и общим функциональным способностям (снизу вверх) является верхний правый квадрант, соответственно, чем продукт выше и правее, тем его рейтинг выше. 94 Полную версию данного документа можно посмотреть по адресу http:// www.gartner.com/ it/content/1380400/1380414/june_30_security_information_mnicolett.pdf, но всегда лучше проверить актуальную версию. 95 ИС — информационная система 96 www.metasploit.com 97 Уязвимости нулевого дня. 98 Бэкдор, backdoor (от англ. back door, черный ход) — программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: в GNU/Linux — Bash, в Microsoft Windows NT — cmd). 99 Различные программы, или утилиты, позволяющие использовать устройство, подключенное в USB-порт удаленного компьютера, как будто оно подключено в USB-порт вашего локального ПК. 100 Различные утилиты для удаленного управления компьютером по сети. При наличии бэкдора использовать не обязательно, но иногда более удобно. 101 Кейлогер, кейлоггер, keylogger (англ. key — клавиша и logger — регистрирующее устройство) — это программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера. 102 «Компьютерный сборщик судебных улик», иными словами программно-аппаратные средства для сбора информации, скрытой глубоко в операционной системе, с целью получения доказательств о каком-либо неправомерном использовании компьютера. 103 Скачать данную утилиту можно по адресу http://sourceforge.net/projects/usbhistory/. Кроме того, можно найти и комплексное решение, в которое вошли многие признанные утилиты в области расследований инцидентов нарушения ИБ, — например, WinTaylor (http://www.caine-live.net/page2/page2.html). 104 Например, см.: Платежные карты: бизнес-энциклопедия. М.: Маркет ДС, 2008. 105 Генерацию ключей можно осуществлять в серверной. 106 Конечно, можно рассматривать ПЦ как некую замкнутую единую нераспределенную систему, не имеющую связи с внешними источниками данных, но в этом случае ПЦ не может считаться ЦОДом, поскольку данные не поступают извне, а формируются внутри системы, которая сама же является их потребителем. Подобную систему можно рассматривать лишь как хранилище информации, и к процессинговому центру ее уже отнести нельзя. См. раздел «Международные стандарты безопасности PSI DSS» наст. книги. 107 См. раздел «Международные стандарты безопасности PSI DSS» наст. книги. 108 http://ru.wikipedia.org/wiki/Bruteforce 109 Подробно о данном стандарте см. раздел «Стандарты международных платежных систем PCI DSS». 110 «Тонкие клиенты» для аутсорсинга процессинга, Intelligent Enterprise. Спецвыпуск 1. 2007. http://www.iemag.ru/interview/detail.php?ID=20823&sphrase_id=47700 111 Авторы методики — Г. В. Саенко, О. В. Тушканова. Организация-разработчик — Экспертно-криминалистический центр МВД России. При разработке типовой методики использованы печатные материалы, указанные в списке литературы. 112 Валидность — степень соответствия показателя тому понятию, которое он призван отражать. 113 Сведения из электронных баз платежных систем можно получить через отдел компьютерных экспертиз и технологий ЭКЦ МВД России либо запросив (через следователя) платежную систему или организацию, занимающуюся обслуживанием платежных карт. 114 В платежной системе Maestro номер в реквизитах внешнего оформления карты может не совпадать с номером, расположенном на магнитной полосе данной карты. 115 Если на третьей дорожке установлено наличие информации, привести ее содержание. 116 Указывается при наличии информации в электронных базах платежных систем. 117 Указывается при наличии информации на первой дорожке магнитной полосы. Кредитная или расчетная указывается в зависимости от типа продукта и устанавливается по электронным базам данных платежных систем. Если информация о типе продукта в базах данных платежных систем не указана, то термин «кредитная/расчетная» может быть заменен на термин «платежная». 118 Кредитная или расчетная указывается в зависимости от типа продукта и устанавливается по электронным базам данных платежных систем. Если информация о типе продукта в базах данных платежных систем не указана, то термин «кредитная/расчетная» может быть заменен на термин «платежная».