Електронна пастка: чому не варто йти на пошту з "Дією"

Незважаючи на запевнення Міністерства цифрової трансформації (МЦТ), її улюблене дітище, електронні паспорти, продовжують викликати підозри в експертів. Наприкінці серпня автор цієї замітки вирішив провести нескладний експеримент. Його результати говорять самі за себе. Давайте подивимося, що вдалося нарити.

Нагадаю, що в середині березня 2021 року стався перший і поки що єдиний відомий випадок зловживання е-паспортами. Спочатку зловмисники отримали е-паспорт на ім'я однієї з наших співвітчизниць. Використовуючи цей документ вони оформили в одній з мікрофінансових організацій (МФО) кредит, який успішно привласнили, повісивши його обслуговування на жертву, яка нічого й не підозрювала.

Як саме шахраї змогли зламати додаток "Дія" та заволодіти е-паспортом сторонньої людини, досі залишається невідомим. Ті пояснення, які із шестимісячною затримкою надали Мінцифри і Кіберполіція, повністю суперечать свідченням жертви і, якщо говорити прямо, виглядають, як спроба врятувати репутацію е-паспортів і "Дії".

Єдиний аспект справи, який можна вважати достовірно відомим, це обставини видавання кредиту на, по суті, вкрадені документи.

Усупереч вимогам НБУ, МФО, що провинилася, не звіряла фотографії в е-паспорті з фізіономією заявника. Посилаючись на це, Мінцифри ще в квітні закрила всім одразу МФО можливість використовувати е-паспорти в процесі розгляду заявок на видавання кредиту. Це рішення виглядає, м'яко кажучи, нелогічним.

Важливо

Цифровий апокаліпсис в Україні. Як додаток "Дія" може забрати у вас все

Мало того, що під заборону потрапили і ті МФО, які виконували всі вимоги в частині використання е-паспортів. Найголовніше — заборона виявилася безстроковою.

Знаючи не з чуток, що поштові компанії точно так само ігнорують свої обов'язки в частині звірення клієнтів і документів, які вони висувають, разом із моїм старшим сином ми вирішили задокументувати цю проблему.

Сказано зроблено. Протягом двох тижнів ми відправляли одне одному поштові відправлення, враховуючи невеликі суми грошей, використовуючи послуги Укрпошти, Нової Пошти та Justin. Процедури отримання знімали на камеру, а результати оформили у вигляді невеликого відео.

Три поштові компанії, шість відділень, дев'ять операцій видачі-отримання поштового відправлення. У компанії Justin документи взагалі не питали, у всіх інших випадках я надавав свій електронний паспорт у додатку "Дія". Жодного разу, ні в одному із семи епізодів у мене не попросили опустити маску і показати своє обличчя.

Важливо

Візьми все, я собі ще намалюю! Як "клонувати" е-документи українців і чим це загрожує

"У чому проблема?" — може запитати людина бувала. У разі використання звичайних паспортів співробітники точно так само не звіряють фотографію в документі з його подавцем. Яка різниця, йдеться про паперові документи чи електронні? Різниця є і дуже суттєва.

Перш ніж продовжити, нагадаю, що ідентифікація це процедура надання еталонної інформації про засвідчувальну особу, наприклад, клієнта. Еталонна інформація, як правило, міститься в засвідчувальному документі, який пред'являє засвідчувальна особа.

У процесі ідентифікації повинна відбуватися верифікація пред'явника документа, тобто перевірка його відповідності відомостями, які містить пред'явлений документ. Як правило, верифікація полягає в зіставленні фотографії в документі та зовнішності пред'явника.

Людина прийшла до відділення, показала свій паспорт, показала своє обличчя, отримала поштове відправлення і пішла. Зі свого боку, співробітник відділення зобов'язаний зафіксувати відомості про пред'явлений документ, що посвідчує особу.

Важливо

Думати, як злочинець. Як за 5 кроків зламати "Дію" і вкрасти чужу особистість

Співробітник може сумлінно переписати реквізити наданого документа. Він може порушити регламент і вписати дані, які продиктує клієнт. Нарешті, співробітники можуть (і періодично роблять це) використовувати "ліві" дані.

У будь-якому випадку, зафіксовані ними відомості про засвідчувальні документи не мають доказової сили в разі розгляду суперечливої справи в суді. Наявність у розпорядженні поштової компанії такого роду відомостей не розглядається судами як надійний доказ. Це всього лише свідчення однієї зі сторін суперечки, не більше того.

Традиційна технологія ідентифікації за паперовими документами поміщає в сильну позицію саме клієнта.

Важливо розуміти, що наявність у розпорядженні компанії скан-копії вашого паспорта не є доказом того, що ви взагалі були у відділенні й отримували поштове відправлення.

По-перше, експертиза повинна довести наявність саме вашого власноручного підпису, тобто відсутність підробки. По-друге, суд повинен погодитися прийняти наявність вашого підпису доводом на користь компанії. Усі клопоти, зокрема витрати на експертизу, будуть на стороні саме компанії, а не клієнта.

У разі е-паспортів Мінцифри ситуація розгортається на 180 градусів. Унаслідок пред'явлення е-паспорта в компанії залишається юридично значиме свідчення того, що ідентифікація клієнта дійсно була. Якщо особа, чий е-паспорт пред'явили шахраї, захоче оскаржити свою участь в ідентифікації, доводити це їй доведеться самостійно.

У процесі використання шахраями е-паспортів добрі громадяни опиняються в слабкій позиції. Саме це, власне кажучи, відбулося в поки що єдиному задокументованому разі шахрайських дій з використанням електронного паспорта.

Коли їхня жертва дізналася про наявність у неї кредиту, вона зіткнулася з тим, що й МФО, яка видала кредит, і НБУ, і кіберполіція відмовляються вірити в її версію подій.

У несподіваних труднощів, з якими стикаються шановні компанії у процесі використання е-паспортів Мінцифри, є ще один аспект. Наприкінці липня відбулися кілька вибухів у поштоматах "Нової Пошти".

Унаслідок компанія пообіцяла "впровадити процес повної ідентифікації клієнтів для запобігання ситуації відправлення підозрілих посилок через підставних людей або людей, яких не існує". Причому, пообіцяла це відразу, 29 липня.

На жаль, через півтора місяці, тривіальне завдання звіряти обличчя клієнта з його фотографією так і залишається невирішеним. Мало того, представники компанії Нова пошта навіть не можуть сказати, стільки часу їм знадобиться. Гучні обіцянки по гарячих слідах виявилися "пустушкою". "Ваш дзвінок дуже важливий для нас, не кладіть трубку…"