Айтишник из Беларуси Сергей уже больше года судится с банком Pekao S.A. из-за блокировки счёта, а также «киберинцидента», который привел к исчезновению средств. Историю рассказывает канал о финансах в Польше Złoty dzik.
Айтишник из Беларуси Сергей уже больше года судится с банком Pekao S.A. из-за блокировки счёта, а также «киберинцидента», который привел к исчезновению средств. Историю рассказывает канал о финансах в Польше Złoty dzik.
Кроме того, Сергей направил официальные жалобы в Urząd Ochrony Danych Osobowych (UODO), Rzecznik Praw Obywatelskich (RPO) и Генеральную инспекцию финансовой информации (GIIF).
Сергей и его супруга легально живут в Польше с 2021 года. Оба работают в ИТ — на международном рынке в сфере финтеха, в том числе с клиентами из США. Все доходы официальные, налоги платят в Польше.
Осенью 2022 года банк Pekao в одностороннем порядке заблокировал сначала личный, а потом и фирмовый счета Сергея, сославшись на «санкции ЕС». При этом банк не предоставил правового обоснования, ограничившись формальным уведомлением, что «действует в рамках ограничительных мер для граждан Беларуси и России, у которых совокупная сумма депозитов превышает 100 тысяч евро».
Сергей отмечает, что санкционные документы ЕС касаются конкретных лиц и организаций, связанных с поддержкой войны, и он к этим категориям не относится. Также у него есть аудиозапись разговора с сотрудником банка, который говорит, что указание о блокировке поступило из центрального офиса, а у сотрудников отделения нет информации о причинах: «Нам просто пришло распоряжение, мы его исполняем. Нам распечатали текст про санкции, мы его и выдаём клиенту».
По словам Сергея, эта запись подтверждает, что блокировка была произведена без индивидуальной проверки, что является нарушением принципов законности и прозрачности обработки данных по GDPR.
— Я инженер с высокой квалификацией. 100 000 евро — это меньше моего годового дохода, поэтому на практике получается, что подобное ограничение фактически запрещает мне работать в Польше на рынок США. Логику такого ограничения я не понимаю. Когда изучал санкционные документы, там было чётко указано, что санкции вводятся против конкретных организаций и граждан Беларуси и России, которые прямо связаны с поддержкой войны или финансированием соответствующих режимов.
В моём случае ситуация выглядит абсурдно: польское правительство официально пригласило меня и мою супругу работать в Польше по визе Poland Business Harbour (PBH), а затем появились ограничения, которые фактически делают невозможной нашу профессиональную деятельность в Польше.
Первое время блокировка не выглядела критичной: основная часть бытовых расходов шла со счёта супруги — аренда жилья, школа, повседневные траты.
Однако позже у Сергея закончились злотые, и он столкнулся с тем, что не может даже оплатить бензин на заправке. Банк заблокировал возможность конвертации валюты и переводов между его собственными счетами в Pekao.
Сергей начал переводить средства на счёт жены, чтобы пользоваться деньгами и не превышать лимит в 100 000 евро, о котором банк писал в уведомлениях.
Именно в этот момент произошла фишинговая атака. Мошенники получили доступ к счёту супруги Сергея, дождались, пока на него поступит значительная сумма, и в течение двух суток вывели около 200 тысяч злотых.
Сергей и его жена ранее работали в компании, которая поставляла решения на базе искусственного интеллекта для крупных американских банков, и хорошо знакомы с тем, как должны работать антифрод-системы.
Система безопасности Pekao должна была сработать сразу:
— Уже на этапе резкого увеличения лимитов счёт должен был быть автоматически заблокирован и должна была начаться проверка. Даже если этого не произошло, после начала неестественных транзакций система antifraud обязана была остановить операции, — говорит Сергей.
Ранее, по его словам, при попытке изменить лимиты даже на небольшие суммы служба безопасности всегда звонила и требовала подтверждение. В случае его жены никаких звонков не было.
По словам Сергея, схема выглядела так: когда он начал переводить деньги, его жене стали приходить SMS о якобы необходимости растаможки посылок. Она действительно заказывала мелкие товары на AliExpress, и суммы в сообщениях совпадали с её реальными тратами.
— Жена заказывала мелкие товары на AliExpress — в основном нитки и другую недорогую мелочёвку на суммы порядка 5–10 злотых. Мы только недавно переехали в Польшу и плохо понимали, как здесь работают процедуры доставки и растаможки. В какой-то момент ей пришло сообщение о том, что для получения посылки необходимо пройти процедуру растаможки и оплатить соответствующий сбор. Здесь возникает отдельный вопрос: откуда у мошенников была информация, позволяющая выстроить социальную атаку так, чтобы суммы в сообщениях совпадали с реальными тратами жены. На этот вопрос может ответить только проверка со стороны UODO (Urząd Ochrony Danych Osobowych) — в контексте того, как работала система безопасности и кто имел доступ к данным.
Сообщение содержало ссылку. Жена перешла по ней. В этот момент система мошенников получила сигнал о том, что появился «активный клиент», и дальнейшая атака была запущена — открылась фишинговая страница.
После этого мошенники установили у себя приложение Pekao и начали процедуру подключения её аккаунта. Затем ей позвонили якобы «из банка» и попросили продиктовать код. Из-за слабого знания польского языка она ввела код на фальшивом сайте. Так мошенники получили полный доступ, отключили уведомления, увеличили лимиты и дождались, пока на счёт поступит крупная сумма. После этого в течение двух суток средства были выведены.
Жена узнала о хищении только когда попыталась расплатиться — карты уже были заблокированы. Никаких уведомлений от банка не было. В итоге было подано заявление в полицию.
Сейчас существует два дела: уголовное — по факту мошенничества и гражданское — против банка Pekao из-за возможной халатности, которое уже больше года рассматривается в суде Гданьска.
После произошедшего Сергей фактически на год прекратил профессиональную деятельность. Он не заключал контракты и отказался от работы, поскольку не понимал своего правового статуса и рисков. Это, по его словам, классический пример chilling effect, когда человек вынужден отказаться от реализации своих законных прав из-за правовой неопределённости и страха последствий.
— Если к украденным 200 тысячам злотых добавить утраченный доход, общий экономический ущерб составляет от 600 до 800 тысяч злотых.
После всех событий Сергей и его жена закрыли счета в Pekao и перешли в банк PKO. Однако даже на этом этапе возникли проблемы.
При подписании документов о закрытии счетов Pekao отказался самостоятельно переводить остатки средств и обязал выполнять перевод через интернет-кабинет. На счетах осталась небольшая сумма — непереводимый остаток в несколько злотых, который технически невозможно было перевести из-за минимального лимита операции.
Несмотря на подписанное заявление о закрытии счёта, банк не закрывал его около месяца и продолжал начислять плату за обслуживание, так как на счетах оставалось несколько злотых. В итоге образовался отрицательный баланс, и Сергею начали приходить сообщения с требованиями погасить задолженность.
Позже банк просто закрыл счёт без каких-либо уведомлений.
— Понимаете, мы с женой хотели жильё купить и нам чуть-чуть не хватало — нужно было брать кредит. Pekao нам в этом кредите отказал, но деньги остались на счетах. А потом, когда случилась вся эта история, у нас первые мысли были — покинуть территорию Польши. Но с этим тоже оказалась проблема, потому что были вопросы легализации и образования детей.
Сергей не утверждает прямое соучастие банка в хищении, однако считает, что совокупность фактов указывает как минимум на грубую халатность:
— Изменение критических параметров, отключение уведомлений, вход с нового устройства, ночные операции — всё это в любой банковской системе должно автоматически вызывать блокировку. Здесь не сработало ничего.
По его словам, именно это (и необоснованная блокировка счетов) стало причиной гражданского иска к Pekao и обращений в надзорные органы.
— Для оценки ситуации полезны отчёты FATF о системах противодействия отмыванию денег и финансированию терроризма, а также собственные списки банков (UHRC) стран с повышенным риском. Клиенты из таких стран могут сталкиваться с ограничениями при установлении отношений с банками из-за санкций, геополитического риска, слабого регулирования или нестабильной ситуации.
Генеральный инспектор финансовой информации выпустил Коммуникацию № 73, где подчеркнул, что отказ в установлении или прекращении отношений не может основываться только на принадлежности клиента к «группе повышенного риска». Согласно указаниям Европейского органа банковского надзора, процедуры были смягчены для беженцев из третьих стран, а любое решение банка должно базироваться на индивидуальной оценке риска клиента.
Европейские и польские правила требуют, чтобы банки проводили индивидуальную оценку риска для всех клиентов. В случае отказа клиент может обратиться к GIIF.
RPO сообщает, что из-за многочисленных жалоб клиентов, которым банки отказывали в установлении отношений, вопрос был передан GIIF для разъяснения мер по отказу от автоматических решений. Уполномоченный не может вмешиваться в работу частных банков, но следит за соблюдением прав граждан и информирует надзорные органы о проблемах.
Банки обязаны применять меры финансовой безопасности в соответствии с Законом AML и директивой ЕС 2015/849, принимая решения на основе индивидуального анализа, а не автоматических списков стран.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.