Более трех миллиардов рублей украли мошенники у клиентов российских банков только за один квартал в этом году (июль, август, сентябрь). Это на 20% больше, чем год назад в том же третьем квартале. ЦБ бьет тревогу – надо срочно менять механизм противодействия хищению денег со счетов, иначе это подрывает доверие к дистанционным платежам и к финансовой системе России в целом.
Регулятор начал размышлять о том, как улучшить ситуацию, еще летом, как передает РБК. И вот что он к этому моменту придумал.
Во-первых, ЦБ хочет обязать банки возвращать в обязательном порядке определенную сумму денег клиенту при краже с его счета. Для этого клиенту надо успеть уведомить банк о мошенничестве не позднее следующего дня после получения уведомления о проведенной операции.
«Сейчас, если клиент подтвердил операцию, то есть добровольно верифицировал, например, перевод, то вернуть деньги можно только в рамках обращения в правоохранительные органы и в суд. Банки крайне редко добровольно возвращают клиенту денежные средства. Это скорее исключение, чем правило», – говорит старший преподаватель кафедры банковского дела университета «Синергия» Дмитрий Ферапонтов.
Сколько банк должен будет возвращать обманутым клиентам, пока не ясно. «Справедливым размером для обеих пострадавших сторон – банка и клиента – мог бы быть какой-то процент от украденного. Это будет страховать и от злоупотреблений «пострадавших», желающих по такой схеме обмануть банк», – считает Алексей Дрозд, начальник отдела информационной безопасности «СерчИнформ».
«Скорее всего, речь идет о возврате до 100 тысяч рублей, то есть о хищениях по делам, не относящимся к крупным по уголовным меркам»,
– считает Федор Музалевский, директор технического департамента RTM Group.
Если клиент даже на следующий день не понял, что его обманули, то помочь ему проблематично, добавляет он. «Банковские переводы сегодня осуществляются мгновенно или не более нескольких часов. То есть клиент перевел деньги мошенникам, они сразу перекинули их на другой счет и так далее. Сообщать банку нужно немедленно, как можно скорее, хотя бы по телефону, а затем уже официальное заявление», – отмечает Музалевский.
Второе новшество: если у банка низкий уровень антифрода (механизма по предотвращению хищений), то ему придется вернуть клиенту всю похищенную денежную сумму, даже если она превышает обязательный размер выплат. ЦБ явно хочет заставить нерадивые банки усилить собственные механизмы по предотвращению мошеннических операций.
«Повышение ответственности банков в зависимости от недостатков организации их системы безопасности – чрезвычайно здравая идея. Чем меньше действия предпринял банк, чтобы распознать хищение, тем больше он будет возмещать клиенту. Логика вполне очевидная», – считает Музалевский. Под вопросом остается другой момент – насколько сложно будет клиенту заставить нерадивый банк вернуть всю украденную сумму. Скорее всего, ему придется идти в суд, что в России, как правило, делают немногие, и когда речь идет о воровстве крупных средств.
«Линия поведения банков будет определяться тем, что выгоднее. Если сумма выплат станет выше, чем обеспечение мер безопасности, проще списать эти убытки. Но ЦБ уже не раз показывал решительные действия, отзывая лицензии у банков, которые демонстрируют опасное финансовое поведение. У регулятора теоретически есть возможность ужесточать свои требования относительно рисковых, с точки зрения ЦБ, банков», – говорит Алексей Дрозд.
Третья мера: ЦБ предлагает изменить процедуру подтверждения банками операций. В частности, даже если банк получил согласие клиента на списание определенной суммы, банк получит право заморозить списание денег на счете на один-два рабочих дня и только потом перевести деньги.
Музалевский очень поддерживает эту идею: «Возможность осуществлять переводы с задержкой – одна из причин низкого уровня хищений у юрлиц. Распространение такой практики и на граждан поможет существенно снизить объем краж».
«ЦБ хочет дать россиянам «окно» для принятия решения. Во время совершения мошеннических действий клиент может находиться в стрессе или в пробке и т. п. Если ему дать время подумать, то он может осознать факт мошенничества и отменить финансовую операцию. Это спасает от ситуаций, когда мошенник сразу обналичивает украденное», – объясняет Дрозд.
Это может быть особенно актуально для пожилых людей, которые часто попадают в ловушку мошенников. У них появится один-два дня, чтобы обсудить финансовую операцию со своими родственниками, и во многих случаях уже этого может оказаться достаточным для понимания мошеннических действий и отмены операции.
Оборотная сторона медали состоит в том, что россияне привыкли к моментальным переводам по картам или по системе быстрых платежей, и вряд ли обрадуются получать и передавать деньги на следующий день, считает Музалевский. Готовы ли россияне пожертвовать быстротой и удобством при онлайн-переводах физлицам ради борьбы с набирающими обороты киберпреступниками?
Наконец, четвертое – самое спорное – новшество от Центробанка. Регулятор намерен дать банкам право блокировать на пять рабочих дней все расходные операции по счету получателя средств, информация о котором содержится в базе данных ЦБ о случаях и попытках осуществления переводов денежных средств без согласия клиента. Иными словами, если вы переводите средства на счет, который у ЦБ вызывает подозрения, то банк блокирует этот счет без согласия его владельца.
«Инициатива регулятора – дать банкам законодательную возможность списывать денежные средства по заявлению клиента со счета мошенника-клиента в условиях предоставления мотивированных доказательств. Таким образом, банк получает возможность списывать денежные средства без одобрения своего клиента, если тот заподозрен в мошенничестве, путем «отклонения» перевода»,
– поясняет Дмитрий Ферапонтов.
Проблема, которую, по его словам, предстоит решить – это выработка процедуры оспаривания операции и предоставления полноценных доказательств того, что проведенная операция была осуществлена в ходе мошеннических действий одной из сторон. Кроме того, эти действия приведут к созданию централизованной, актуальной и постоянно обновляемой базы со счетами и реквизитами счетов, которые классифицированы как мошеннические, добавляет собеседник.
Минус в том, что таким образом могут быть заблокированы на пять дней средства не только мошенников, но и обычных людей.
Поэтому потребуется продумать механизм оспаривания попадания в такую «черную базу» не мошенника, а обычного клиента. «Под любые антифрод-действия будут попадать легальные операции. Вопрос в их объеме. Например, тот, кто собирает с сотрудников по 3000 рублей на новогодний корпоратив, вполне может угодить под блокировку. И все же это небольшая плата за возможность снизить огромный объем хищений. Но возможность блокировки счета получателя на какой-то период видится в любом случае не слишком эффективной», – говорит Федор Музалевский.
«Пока эти предложения вызывают много вопросов и требуют более детальной проработки. Следует различать две ситуации: когда человек сам переводит деньги мошенникам и когда он не производит никаких операций и теряет деньги», – говорит Александр Лутай, ИТ-директор «Ланит – Би Пи Эм» (входит в ГК «Ланит»).
По его словам, во втором случае, когда клиент не подтверждал выполнение операции, а мошенники смогли получить его персональные данные (в том числе биометрические), ответственность, конечно, лежит на банке. Значит, банк предпринимает недостаточно усилий, чтобы проверить подлинность клиента, выполнить аутентификацию. Мошенники обманывают непосредственно банк – а значит, банк должен полностью возместить ущерб, считает Лутай.
Когда человек сам переводит деньги мошенникам под влиянием так называемой социальной инженерии, то это уже другое дело. Лутай считает, что кому переводит деньги человек – это уже его зона ответственности, и банк не должен этому препятствовать, но он может проводить просветительские кампании, как быть острожными. Между тем в большинстве случаев человек сам сообщает свои данные мошенникам. В третьем квартале доля таких операций составила 64% от всех операций, совершенных без согласия клиента.
«Если человек стал жертвой мошенника из-за собственной беспечности или безответственности, то в этом случае, на мой взгляд, странно требовать от банка возмещения потерь», – согласен Игорь Додонов, аналитик ФГ «Финам».
Самое удивительное, что мошенники из онлайн могут уйти в офлайн. «Зачастую мошенники путем так называемой социальной инженерии могут побудить людей самостоятельно сходить в отделение банка и снять средства в банкомате или взять кредит, а затем – передать их мошенникам», – говорит Додонов. Ни одна из новых мер ЦБ от такого не страхует.
Зарубежный опыт борьбы с подобного рода мошенниками России не особо поможет. Именно потому, что в России уровень развития платежных инструментов очень высокий. Мы здесь идем впереди планеты всей.
Именно то, что мы можем так быстро и просто совершать финансовые операции, и дает основу для процветания социальной инженерии – самого частого случая операций без согласий клиентов, объясняли ранее в ФинЦЕРТ (подразделении ЦБ).
«Но есть и еще один фактор, почему в России это более острая и громкая проблема – у нас очень плохо развито страхование рисков. Там, где проблема могла быть решена «скучно» через суд или страховую компанию, у нас все выливается в публичное пространство. Поэтому каких-то явных мер, которые мы могли бы перенимать, нет. Разве что сам подход – решать проблему не в одном звене, а на протяжении всей цепочки. То есть для мошенника должно стать проблемой не только обман клиента путем подмены номера, но и получение персональных данных клиентов, и последующий вывод денег», – заключает начальник отдела информационной безопасности «СерчИнформ».
«У нас с мошенниками недостаточно хорошо работает правоохранительная система – хлопнуть их можно и жестко, но почему-то этого не происходит», – добавляет Музалевский.