Электронная ловушка: почему не стоит идти на почту с "Дией"
Традиционная технология идентификации по бумажным документам помещает в сильную позицию именно клиента. При использовании же мошенниками е-паспортов законопослушные граждане оказываются в слабой позиции.
Несмотря на уверения Министерства цифровой трансформации (МЦТ), ее любимое детище, электронные паспорта, продолжают вызывать подозрения у экспертов. В конце августа автор этой заметки решил провести несложный эксперимент. Его результаты говорят сами за себя. Давайте посмотрим, что удалось нарыть.
Напомню, что в середине марта 2021 года случился первый и пока что единственный известный случай злоупотребления е-паспортами. Сначала злоумышленники заполучили е-паспорт на имя одной из наших соотечественниц. Используя этот документ они оформили в одной из микрофинансовых организаций (МФО) кредит, который успешно присвоили, повесив его обслуживание на ничего не подозревающую жертву.
Как именно мошенники смогла взломать приложение "Дия" и завладеть е-паспортом постороннего человека, до сих пор остается неизвестным. Те объяснения, которые с шестимесячной задержкой предоставили Минцифры и Киберполиция, полностью противоречат показаниям жертвы и, если говорить прямо, выглядят, как попытка спасти репутацию е-паспортов и "Дии".
Единственный аспект дела, который можно считать достоверно известным, это обстоятельства выдачи кредита на, по сути, украденные документы.
Вопреки требованиям НБУ провинившаяся МФО не осуществляла сверку фотографии в е-паспорте с физиономией заявителя. Ссылаясь на это, Минцифры еще в апреле закрыла всем сразу МФО возможность использовать е-паспорта при рассмотрении заявок на выдачу кредита. Это решение выглядит, мягко говоря, нелогичным.
Мало того, что под запрет попали и те МФО, которые выполняли все требования в части использования е-паспортов. Самое главное — запрет оказался бессрочным.
Зная не понаслышке, что почтовые компании точно так же игнорируют свои обязанности в части сверки клиентов и документов, которые они предъявляют, вместе с моим старшим сыном мы решили задокументировать эту проблему.
Сказано — сделано. На протяжении двух недель мы отправляли друг другу почтовые отправления, включая небольшие суммы денег, используя услуги УкрПочты, Новой Почты и Justin. Процедуры получения снимали на камеру, а результаты оформили в виде небольшого видео.
Три почтовые компании, шесть отделений, девять операций выдачи-получения почтового отправления. В компании Justin документы вовсе не спрашивали, во всех прочих случаях я предоставлял свой электронный паспорт в приложении "Дия". Ни разу, ни в одном из семи эпизодов у меня не попросили опустить маску и показать свое лицо.
"В чем проблема?" — может спросить человек бывалый. В случае использования обычных паспортов сотрудники точно так же не сверяют фотографию в документе с его подателем. Какая разница, идет ли речь о бумажных документах или электронных? Разница есть и очень существенная.
Прежде чем продолжить, напомню, что идентификация это процедура предоставления эталонной информации об удостоверяемом лице, например, клиенте. Эталонная информация, как правило, содержится в удостоверяющем документе, который предъявляет удостоверяемое лицо.
В ходе идентификации должна происходить верификация предъявителя документа, то есть проверка его соответствия сведениям, которые содержит предъявленный документ. Как правило, верификация заключается в сопоставлении фотографии в документе и внешности предъявителя.
Так вот, привычная всем нам идентификации клиента с помощью бумажного документа не приводит к появлению юридически значимого свидетельства о самом факте идентификации.
Человек пришел в отделение, показал свой паспорт, показал свое лицо, получил почтовое отправление и ушел. В свою очередь, сотрудник отделения обязан зафиксировать сведения о предъявленном документе, удостоверяющем личность.
Сотрудник может добросовестно переписать реквизиты предоставленного документа. Он может нарушить регламент и вписать данные, которые продиктует сам клиент. Наконец, сотрудники могут (и периодически делают это) использовать "левые" данные.
В любом случае, зафиксированные ими сведения об удостоверяющих документах не имеют доказательной силы в случае рассмотрения спорного дела в суде. Наличие в распоряжении почтовой компании такого рода сведений не рассматривается судами как надежное доказательство. Это всего лишь свидетельство одной из сторон спора, не более того.
Традиционная технология идентификации по бумажным документам помещает в сильную позицию именно клиента.
Важно понимать, что наличие в распоряжении компании скан-копии вашего паспорта не является доказательством того, что вы вообще были в отделении и получали почтовое отправление.
Иными словами, доказательная сила скан-копии равна нулю. Даже наличие собственноручной подписи владельца документа не превращает такую бумажку в улику.
Во-первых, экспертиза должна доказать наличие именно вашей собственноручной подписи, т.е. отсутствие подлога. Во-вторых, суд должен согласиться принять наличие вашей подписи доводом в пользу компании. Все хлопоты, в том числе расходы на экспертизу, будут на стороне именно компании, а не клиента.
В случае е-паспортов Минцифры ситуация разворачивается на 180 градусов. В результате предъявления е-паспорта в компании остается юридически значимое свидетельство того, что идентификация клиента действительно имела место. Если лицо, чей е-паспорт предъявили мошенники, захочет оспорить свое участие в идентификации, доказывать это ему придется самостоятельно.
При использовании же мошенниками е-паспортов добрые граждане оказываются в слабой позиции. Именно это, собственно говоря, произошло в пока что единственном задокументированном случае мошеннических действий с использованием электронного паспорта.
Когда их жертва узнала о наличии у нее кредита, она столкнулась с тем, что и МФО, которое выдало кредит, и НБУ, и киберполиция отказываются верить в ее версию событий.
У неожиданных трудностей, с которыми сталкиваются уважаемые компании при использовании е-паспортов Минцифры, есть еще один аспект. В конце июля произошли несколько взрывов в поштоматах "Новой Почты".
В результате компания пообещала "внедрить процесс полной идентификации клиентов для предотвращения ситуации отправки подозрительных посылок через подставных или несуществующих людей". Причем, пообещала это сразу, 29 июля.
К сожалению, по прошествии полутора месяцев, тривиальная задача сверять лицо клиента с его фотографией так и остается нерешенной. Мало того, представители компании Новая почта даже не могут сказать, столько времени им понадобится. Громкие обещания по горячим следам оказались пустышкой. "Ваш звонок очень важен для нас, не кладите трубку…"