У Канаді провину за дії шахраїв поклали на постраждалих

У Канаді зафіксовано випадки шахрайства, за яких у недбалості звинувачують самих постраждалих.

Мешканець Дартмута (Нова Шотландія) Шакір Ахамед намагається повернути майже 15 тисяч доларів, які, за його словами, були списані з його кредитної лінії без його згоди — через e-transfer. У TD Canada Trust наполягають: відповідальність лежить на клієнті. Водночас банк не пояснює, як саме виключив версію зламу акаунта.

Історія почалася в липні минулого року. Ахамед був на роботі — він займається нарахуванням зарплат для Канадської берегової охорони в Атлантичних провінціях — коли отримав від банку SMS: кредитна лінія майже досягла ліміту. Він запевняє, що цією лінією не користувався, тому повідомлення одразу здалося тривожним.

Чоловік поїхав у відділення TD і там дізнався деталі: протягом кількох днів з його кредитної лінії пройшли несанкціоновані перекази e-transfer у форматі «accept request». Підсумок — майже мінус 15 тисяч доларів.

Ахамед звернувся до підрозділу банку з боротьби з шахрайством і подав заяву до поліції регіону Галіфакс. Однак через кілька тижнів, каже він, банк надіслав відповідь: компенсації не буде, відповідальність за втрати — на клієнтові.

Коли Ахамед спробував оскаржити рішення, у TD заявили, що операції виконувалися з використанням його IP-адреси, а підтвердження проходило через одноразові коди. Ахамед заперечує: якби це було так, він мав би отримати близько десяти таких кодів, але не отримав жодного — ані через SMS, ані електронною поштою. За його словами, про перекази він дізнався лише через вісім днів після того, як вони почалися.

Суперечка дійшла до Ombudsman for Banking Services and Investments (OBSI). Однак там також не рекомендували TD виплачувати компенсацію, пославшись на те, що вхід в акаунт здійснювався з використанням облікових даних Ахамеда.

Як зазначає CBC News, Go Public запитав TD, яким чином банк перевірив і виключив такі сценарії, як перехоплення IP-адреси, шкідливе ПЗ, захоплення акаунта або інші варіанти кіберкомпрометації — перш ніж покласти відповідальність на клієнта. TD відмовився від інтерв’ю, але в письмовій відповіді повідомив, що одноразові коди надсилалися на телефон Ахамеда, а для завершення операцій використовувався його «звичайний пристрій».

Старший менеджер із корпоративних та громадських зв’язків TD Ешлі Мерфі у заяві наголосила, що банк розуміє, наскільки стресовими бувають ситуації з підозрою на шахрайство, і нагадала про «кілька рівнів захисту», моніторинг та програми інформування клієнтів.

Експерт з кібербезпеки Клаудіу Попа, автор Canadian Cyberfraud Handbook, вважає, що TD так і не показав доказів недбалості з боку клієнта. За його словами, такі ознаки, як IP-адреса або «упізнаний пристрій», самі по собі не доводять, що операції санкціонував саме власник рахунку: підміна пристроїв та інші обхідні схеми цілком можливі.

Ахамед впевнений, що його випадок — не виняток. Гроші, стверджує він, списувалися протягом трьох днів приблизно рівними траншами — по близько 1,5 тисячі доларів — доки сума не наблизилася до 15 тисяч. Одержувачами значилися Kraken (криптовалютна біржа) і Payper (платіжна компанія), а зазначені e-mail адреси він не впізнає.

Перевіривши ці адреси — [email protected] та [email protected] — Ахамед знайшов згадки, що пов’язують їх з іншими історіями про шахрайство щодо клієнтів TD у публікаціях Thorold Today. В одному з випадків минулого літа військовий ветеран Майкл Панетта з Велленда (Онтаріо) втратив майже 10 тисяч доларів.

Після спору TD повернув кошти, але, як повідомлялося, вимагав підписати угоду про нерозголошення. В іншому випадку мешканка Торонто Келлі Інейр втратила 3 тисячі — банк запропонував повернути половину суми, хоча вона наполягала, що має право на повне відшкодування.

Попа ставить питання, чому перекази на користь отримувачів, які вже фігурували в скаргах на шахрайство, не стали для банку приводом для додаткової перевірки — тим паче що перекази повторювалися й ішли один за одним за короткий період. На його думку, банки мають оцінювати, наскільки операція схожа на звичну поведінку конкретного клієнта, і за підозрілих відхилень зв’язуватися з людиною, щоб підтвердити намір.

Ешлі Мерфі, коментуючи таку ідею, зазначила, що клієнти можуть надсилати e-transfer на адреси, пов’язані з криптовалютними та інвестиційними платформами.

Ситуацію, за словами Ахамеда, робить ще болючішою передісторія: за місяць до втрати майже 15 тисяч на його рахунку вже була спроба підозрілого переказу на 1,9 тисячі доларів. Тоді він, стверджує Ахамед, одразу прийшов до відділення, повідомив про транзакцію, і співробітник допоміг повернути гроші, запевнивши, що на акаунт додали додаткові заходи безпеки. Але за місяць списання повторилися — уже на набагато більшу суму.

TD наполягає: «усі розглянуті транзакції були підтверджені двофакторною перевіркою». Ахамед відповідає, що не отримував жодних повідомлень із запитом підтвердження. Він також вказує на проблему, яку обговорюють і фахівці: двоетапна перевірка часто вмикається під час входу з нового пристрою або через новий браузер, але може не спрацювати, якщо доступ до акаунта вже перехоплено.

Попа вважає, що Канаді потрібні жорсткіші механізми захисту споживачів у подібних спорах. Він наводить як приклад Велику Британію, Сінгапур і Австралію, де діють моделі відшкодування, за яких більша частина відповідальності лежить на фінансових організаціях: якщо банк не може довести грубу недбалість клієнта, потерпілому можуть компенсувати втрати, а витрати нерідко ділять між банком-відправником і банком-одержувачем.

Тим часом Канадський центр з боротьби з шахрайством повідомляє, що минулого року канадці заявили про рекордні втрати від шахраїв — 704 мільйони доларів, порівняно з 638 мільйонів у 2024 році. Відомство підкреслює, що реальні суми, ймовірно, вищі: про злочини повідомляє лише 5–10% постраждалих.
Ахамед каже, що видалив мобільний застосунок TD і тепер заходить в акаунт лише з робочого комп’ютера, на якому встановлене посилене програмне забезпечення безпеки. Однак фінансові наслідки нікуди не поділися: за його словами, банк уже почав стягувати платежі за боргом і лише відсотків набігає понад 100 доларів на місяць.