Правомерность требования полных данных банковской карты при оформлении микрозайма

Передача организациям, выдающим займы, полных реквизитов банковской карты, включая CVV/CVC-код, для зачисления средств

Ваше беспокойство обоснованно: реквизиты банковской карты, особенно трёхзначный код безопасности на её обороте (CVV/CVC), действительно относятся к конфиденциальной информации. Их неправомерное раскрытие может привести к хищению ваших средств. Давайте разберем правовые аспекты этой ситуации.

1. Правовой статус реквизитов банковской карты

Полные реквизиты карты (номер, срок действия, CVV/CVC-код) однозначно относятся к вашим персональным данным, поскольку представляют собой информацию, которая прямо и непосредственно относится к вам как к физическому лицу. Согласно Федеральному закону «О персональных данных», персональные данные — это:

"любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)"

Эти данные обеспечивают доступ к вашему банковскому счёту, поэтому на них также распространяется режим банковской тайны в соответствии с Гражданским кодексом РФ:

"Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте."

Кроме того, законодательство о национальной платёжной системе устанавливает для операторов по переводу денежных средств (банков) прямую обязанность обеспечивать защиту подобной информации от несанкционированного доступа и распространения, что подтверждается Федеральным законом «О национальной платежной системе»:

"Операторы по переводу денежных средств... обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации."
Запрещается также размещать в интернете информацию, позволяющую осуществлять неправомерный доступ к электронным средствам платежа.

Регулятор (Банк России) также неоднократно указывал в своих актах, что такие реквизиты, как ПИН-код и код проверки подлинности карты (CVV/CVC), являются конфиденциальной информацией, используемой для аутентификации держателя карты, и их нельзя требовать для целей, не связанных напрямую с проведением операции по карте.

2. Законность требования CVV/CVC-кода при выдаче займа

Организации, выдающие займы (включая микрофинансовые организации), обязаны соблюдать базовые принципы обработки персональных данных, в частности:

"Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки."

Цель, которую преследует кредитор, — зачислить вам денежные средства. Для совершения операции зачисления (пополнения вашей карты) достаточно номера банковской карты. Иногда для перевода между разными банками может потребоваться указать БИК банка-получателя. Срок действия карты и, в особенности, CVV/CVC-код для зачисления средств не нужны.

Эти реквизиты используются исключительно для списания денежных средств с карты, например, при оплате в интернете. Их запрос со стороны кредитора является явно избыточным по отношению к заявленной цели — выдаче вам займа. Таким образом, требование сообщить срок действия и CVV/CVC-код неправомерно, так как нарушает принцип минимизации данных при их обработке.

3. Риски передачи полных реквизитов карты и механизмы защиты

Передавая полные реквизиты, включая CVV/CVC, вы фактически предоставляете третьему лицу (кредитору) всю информацию, необходимую для совершения операций по списанию средств без вашего непосредственного участия. Это является колоссальным риском.

Даже если сами операции будут оспариваться, вы рискуете тем, что добровольная передача секретных кодов может быть истолкована банком как нарушение вами правил безопасности, что может снять с банка ответственность за операции.

Важным механизмом вашей защиты является процедура, установленная Федеральным законом «О национальной платежной системе»:

"Операторы по переводу денежных средств... обязаны реализовывать мероприятия по противодействию осуществлению переводов денежных средств без добровольного согласия клиента..."
В обязанности банков входит осуществление проверки наличия признаков осуществления перевода без вашего согласия.

При получении уведомления о несогласованной операции вы должны действовать незамедлительно:

"Клиент обязан уведомить оператора по переводу денежных средств о любом случае использования электронного средства платежа без согласия клиента не позднее дня, следующего за днем получения от оператора уведомления о совершенной операции."
При соблюдении этой процедуры и при отсутствии с вашей стороны доказанных нарушений правил безопасности, банк обязан возместить сумму операции, совершенной без вашего согласия.

4. Как законно идентифицировать заёмщика и перечислить средства

Законодательство предусматривает специальные процедуры для удалённого оформления займов. Например, для микрофинансовых организаций (МФО) при заключении договора займа в электронной форме или при дистанционном обслуживании установлена обязанность проводить идентификацию и аутентификацию клиента с использованием государственных информационных систем (ЕСИА и Единая биометрическая система). Согласно Федеральному закону «О микрофинансовой деятельности и микрофинансовых организациях»:

"Микрофинансовая организация в целях заключения договора потребительского займа в электронной форме обязана осуществлять идентификацию или аутентификацию заемщика с использованием государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных"..."
Таким образом, законные механизмы для взаимодействия без требования CVV/CVC-кода существуют и должны применяться.

Выводы и рекомендации

1. Требование назвать CVV/CVC-код и срок действия карты для зачисления вам займа является незаконным и избыточным. Эти данные не нужны для операции пополнения счета. Их запрос создает необоснованный риск хищения всех ваших средств с карты.
2. Никогда и никому не сообщайте CVV/CVC-код, а также ПИН-код от карты. Для получения займа достаточно сообщить только номер карты.
3. Если организация настаивает на предоставлении полных реквизитов вплоть до кода безопасности, настоятельно рекомендуется отказаться от её услуг. Такой подход свидетельствует либо о грубой некомпетентности кредитора в вопросах безопасности, либо о прямых мошеннических намерениях.
4. При выборе кредитора отдавайте предпочтение тем, кто использует легальные методы идентификации (например, через «Госуслуги» или биометрию) и осуществляет перевод по минимально необходимым для этого реквизитам.
5. Если ваши средства всё же были списаны без вашего ведома после контакта с подобной организацией, незамедлительно заблокируйте карту, уведомите банк о несогласованной операции в установленный срок (не позднее дня, следующего за днём получения уведомления о списании) и зафиксируйте факт неправомерного требования реквизитов. В случае серьёзных последствий имеет смысл обратиться за помощью к адвокату для защиты ваших интересов.