Банки и платежные системы получат право блокировать операции по переводу денежных средств со счетов граждан при подозрениях на то, что трансакция является хищением. Такие поправки в закон «О национальной платежной системе» разработала межведомственная рабочая группа при ЦБ, куда помимо представителей регулятора входят представители Федеральной службы безопасности, Министерства внутренних дел, Росфинмониторинга, Федеральной налоговой службы, крупных банков. Об этом «Известиям» рассказал источник, близкий к ЦБ.
Согласно законопроекту, банк/платежная система вправе приостановить операцию по переводу до полной уверенности в том, что транзакция больше не несет рисков хищения. Источник, близкий к ЦБ, поясняет, что регулятора беспокоит объем хищений денег россиян с их банковских счетов и карт. За 2014 год регулятор зафиксировал «более 300 тыс. операций за год на сумму более 3,5 млрд рублей, из которых половины убытка удалось избежать», заявлял в этом месяце замглавы департамента национальной платежной системы Центробанка России Тимур Батырев. По словам источника, ЦБ беспокоит не только масштабы мошенничества, но и латентность этих нарушений: правоохранительные органы возбуждают уголовные дела только по 1–5% общего количества преступлений, связанных с хищением клиентских денег. Активность ЦБ в этом направлении анонсировал 22 апреля замначальника Главного управления безопасности и защиты информации Банка России Артем Сычев, который заявил, что регулятор занимается разработкой законодательных инициатив для борьбы с рисками электронной платежной индустрии.
— В настоящее время законопроект проходит обсуждение в рамках межведомственной группы при Банке России, — сообщили «Известиям» в пресс-службе ЦБ. — Решение о дальнейшей судьбе проекта будет приниматься по его результатам. Законопроект не является самодостаточной мерой для снижения уровня хищений. Это лишь элемент из комплекса мероприятий, направленный прежде всего на формирование законодательной основы для профилактики покушений на хищения денежных средств со счетов клиентов с использованием электронных средств платежа, включая банковские платежные карты. Способствовать снижению темпов роста правонарушений, связанных с неправомерным распоряжением финансовыми средствами, будет также оперативный обмен информацией об инцидентах, связанных с информационной безопасностью, в рамках создаваемого Банком России центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (izvestia.ru/news/584647).
Сейчас банк не вправе отказаться от исполнения платежного решения клиентов, так как на момент его выставления для банка они являются подлинными, поэтому планируется ввести инструменты для предотвращения несанкционированных списаний со счетов клиентов — 90–95% хищений денег происходит именно с карточных счетов россиян, а не классических депозитных. Чтобы увести средства во втором случае, мошенникам нужно взломать личный кабинет в интернет-банке, что сложно в силу его более высокой защиты (одноразовые пароли). При этом украденное с карточных счетов банки обязаны возмещать клиентам с 1 января 2014 года, по закону об НПС (161-ФЗ) — если пострадавший клиент обратился в банк в течение суток.
Правда, законом не предусмотрены четкие сроки возврата денег клиенту, и в данном случае расторопность банка показывает, насколько ему важен клиент. У банков есть 30 дней для того, чтобы провести расследование по факту заявления граждан о несанкционированных списаниях (если речь о трансакциях, совершенных на территории РФ) и 60 дней — в случае с трансграничными операциями. В ходе расследования банки оценивают, насколько тщательно клиент соблюдал правила безопасности. Если установлен факт мошенничества в случае с карточным/депозитным счетом, банк обращается в правоохранительные органы с заявлением о возбуждении уголовного дела.
В Госдуме поддержали законопроект.
— Я положительно отношусь к данной инициативе, потому что проблема действительно серьезна и нужно дать банкам полномочия блокировки переводов, которые вызывают подозрения, — заявил «Известиям» единоросс, зампред думского комитета по экономполитике, инновационному развитию и предпринимательству Виктор Климов. — Конечно, существует риск, что некоторые операции по факту окажутся нормальными, а клиенты испытают неудобства, однако при современном уровне коммуникаций данный вопрос легко будет решить. «Общероссийский народный фронт», кстати, внес важные поправки в правительственный законопроект о скимминге — мы предложили ввести уголовное наказание за кражу персональных данных при установке скиммингового оборудования.
По оценкам экспертов, 57% несанкционированного использования банковских карт клиентов происходит в результате фишинга (кража паролей карт через сайты-подделки) или скимминга (установка на банкоматы банков оборудования, позволяющего считать PIN-код и другие данные владельцев «пластика»).
— Мы поддерживаем законопроект, новация содержит консолидированную позицию участников финрынка и Банка России, — отмечает Наталия Крючкова, директор юридического департамента Национального совета финансового рынка (отраслевое объединение финансовых организаций). — НСФР принимал самое активное участие в его разработке по поручению Артема Сычева из ЦБ и последовательно продвигает предлагаемую модель борьбы с сетевым мошенничеством. Риски от внедрения новации будут минимальными. Признаки совершения несанкционированных операций определяются банками, которые уже довольно давно ведут активную работу по разработке таких признаков. Поэтому риски того, что под приостановление может попасть самая обычная операция, низки. Блокировка может быть применена только до момента зачисления денежных средств на счет получателя, иначе нарушалось бы право собственности получателя.
На текущий момент у банков наработаны типичные сценарии выявления мошенников, говорит руководитель направления по борьбе с мошенничеством Центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов.
— Классический анализ на мошенническую активность проводится по следующим направлениям: банки обладают информацией об актуальных рисках в определенном объеме: о точках компрометации карт (как терминалов и банкоматов, так и интернет-ресурсов), об атаках на интернет-банки. Большинство банков используют системы, способные контролировать профили поведения каждого клиента, и могут оперативно определять операции, не характерные для данного клиента. У банков есть также решения, позволяющие анализировать не только характер операции, но и проводить контроль потенциального наличия и активности вредоносного ПО на устройствах клиентов, — сказал Сизов.
— Карта и сейчас может блокироваться, если в банкомате часто вводится неверный PIN-код, — отмечает начальник аналитического управления банка БКФ Максим Осадчий. — Далее, могут отклоняться многократно повторяемые однотипные авторизации. Например, слишком частое снятие наличных в банкомате или многократно повторяемые покупки на интернет-сайтах за короткий промежуток времени. Может быть отказано в авторизации после перехода из какого-то необычного места, например, виртуального казино. Может быть отказано в авторизации и в случае, если наличные снимаются в разных банкоматах за короткий промежуток времени. Или если страна или город авторизации меняются с временным интервалом, скажем, в 1–2 часа.
По словам первого зампреда Локо-банка Ирины Григорьевой, с вероятностью 99 % не пройдет операция по получению клиентом наличных денег в Испании вечером через банкомат, если утром по этой же карте была операция по снятию наличных денег в Таиланде. Олег Илюхин, директор департамента информационных технологий СДМ-банка, отмечает, что за ориентир «операции, которая может привести к хищениям денег», берутся критерии подозрительности, разработанные Visa и MasterCard: это, например, большое количество трансакций по одной карте в течение небольшого промежутка времени, наличие операций из нескольких разных стран в течение одного дня.
Управляющий директор компании «Инвесткафе» Иван Кабулаев указывает, что большинство крупнейших банков сейчас делают онлайн-проверку: например, если россиянин российской картой пытается расплатиться за границей, его карта может быть даже заблокирована. К типовым операциям повышенного риска может относиться, скажем, оплата российской картой из Нигерии товара на eBay в Англии. Илья Медведовский, гендиректор Digital Security и директор департамента дистанционного банковского обслуживания Бинбанка Александр Новиков добавляют, что новые поправки ЦБ вынудят отстающие в техническом плане банки внедрять системы превентивного анализа транзакций.