Qiwi позволяет верифицировать кошельки на чужие данные без дополнительной проверки
Всем привет.
Так получилось, что был взломан мой аккаунт в Госуслугах. Сам вино��ат, двухфакторки не стояло, а пароль был хоть и уникальным, но никогда не менялся. Побродив по логам обнаружил, что кто-то логинился в разные МФО, Теле-2, Единый ЦУПИС и Киви.
Со всеми организациями я оперативно связался, сообщил о ситуации, кредит на меня оформить пытались, но все МФО отказали, т.к. не были переданы сканы документов. На всякий случай на попытку взятия микрозаймов я написал заявление в полицию. В принципе, отделался легким испугом, паспорт в ближайшее время буду менять, но общение с техподдержкой Киви доставило много хлопот.
Выясняю какие кошельки на меня зарегистрировали
Для начала я пытался выяснить есть ли на мои данные какие-либо кошельки. Я никогда не пользовался Киви, и по сути быть их не должно. Обратился в техподдержку, мне предложили написать заявление и прислать селфи с паспортом для получения данной информации. Так как мои данные уже скомпрометированы, не очень хотелось отправлять подобные фото. Спросил об альтернативных методах верификации. Предложил им, чтобы я пришел в офис Киви в Казани и они там мне выдали данную информацию.
Техподдержка начала ссылаться на внутренние регламенты
После длительной переписки, я решил узнать на горячей линии ЦБ РФ насколько законны требования техподдержки. Выяснил, что я могу запрашивать данные о зарегистрированных на меня счетах в отделении банка и слать селфи с паспортом не обязательно. После этого снова позвонил в Киви и сообщил им об этом.
Оказалось, что я таки могу получить информацию лично, но только в Москве.
Несмотря на отказ, на следующий день я все-таки поехал в казанский офис и написал заявление на выдачу информации о счетах зарегистрированных на мои данные. Его у меня спокойно приняли и сказали ждать ответ.
После получения ответа
После новогодних праздниов ответ пришел. На мое имя есть два кошелька. Но номера телефонов, естественно, не мои и мне не принадлежат.
В ответ я сообшил, что кошельки я не регистрировал и попросил историю операций по ним, для предоставления в полицию. Киви отказал. Вот так вот, мошенники имеют право на банковскую тайну, несмотря на то что кошельки оформлены на меня
Кошельки по моему заявлению вскоре удалили, направил также запрос на отзыв персональных данных и задал последние вопросы и получил потрясающие ответы.
Впечатляет. Киви говорит, что я сам несу ответственность за сохранность личных данных. Это действительно так. Но в свою очередь они подтверждают, что при верификации кошельков им достаточно просто валидных (бьющихся через СМЭВ) номера, серии и ФИО. Учитывая как хорошо текут паспортные данные в нашей стране, получить эту информацию не очень сложно. А затем верифицировать кошельки пачками без дополнительной проверки наличия документа у верифицирующего.
Выводы
Данный пост попытка обратить внимание на "слабые места", нежели жалоба.
Я не юрист, не понимаю насколько законно Киви ссылается на упрощенную идентификацию в 115-ФЗ, моих знаний хватило найти вот это.
1.12. Упрощенная идентификация клиента - физического лица проводится одним из следующих способов:
1) посредством личного представления клиентом - физическим лицом оригиналов документов и (или) надлежащим образом заверенных копий документов;
2) посредством направления клиентом - физическим лицом [...] следующих сведений о себе: фамилии, имени, отчества (если иное не вытекает из закона или национального обычая), серии и номера документа, удостоверяющего личность, страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации, и (или) идентификационного номера налогоплательщика, и (или) номера полиса обязательного медицинского страхования застрахованного лица, а также абонентского номера клиента - физического лица, пользующегося услугами подвижной радиотелефонной связи;
3) посредством прохождения клиентом - физическим лицом авторизации в единой системе идентификации и аутентификации при использовании усиленной квалифицированной электронной подписи или простой электронной подписи при условии, что при выдаче ключа простой электронной подписи личность физического лица установлена при личном приеме, с указанием следующих сведений о себе: фамилии, имени, отчества (если иное не вытекает из закона или национального обычая), страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации.
И вроде как пункты 2 и 3 подходят под мой случай, но я не понимаю применимы ли они конкретно при верификации кошельков. Считается ли это открытием счета? Если да, то упрощенная идентификация здесь уже неприемлима.
Мне кажется абсурдным сам факт того, что на твое имя можно спокойно верифицировать Киви-кошелек и от твоего имени производить любые операции. Никто не потребует даже скан паспорта, я уже молчу о подтверждении, что номер телефона принадлежит тебе.
Плюс ко всему, все это время Киви отбрабатывает твои персональные данные без твоего согласия.
А если ты вдруг чудом узнал, что кошельки на твое имя есть, получить выписку по операциям невозможно. Банковская тайна мошенников она тоже священна.
По данному вопросу планирую проконсультироваться с юристом насколько правомерна верификация кошельков таким способом и обратиться в суд.