Участившиеся случаи мошенничества с денежными переводами заставили регуляторов пересмотреть существующую систему противодействия таким преступлениям и внедрить с середины 2024 года новые правила возврата украденных средств и предотвращения сомнительных операций. У кредитных организаций появятся новые обязательства перед клиентами, а у мошенников, согласно замыслу, станет меньше пространства для манёвра. Будет ли эффективной эта система и защитит ли она граждан?
Изменения к федеральному закону «О национальной платёжной системе» (в части совершенствования механизма противодействия хищению денежных средств) вступят в силу 25 июля этого года. Согласно предыдущим нормативам, банки обязаны были вернуть деньги обманутому клиенту, если хищение произошло не по его вине. Иными словами, если он сам сообщил мошеннику свои данные (номер карты и имя владельца, трёхзначный код с оборотной стороны или СМС-код), то банк не обязан возвращать украденные деньги.
С июля правила изменятся.
Банки обяжут задерживать переводы на подозрительные счета на два дня. За этот период клиент должен подтвердить или отказать в проведении перевода. Если же перевод на такой счёт банк не заблокирует, а человек поймёт, что находился под психологическим влиянием злоумышленника, банк будет обязан вернуть ему деньги. Информация о подозрительных счетах (и отправителя, и получателя), с которой должны сверяться банки, аккумулируется в специальной базе «О случаях и попытках осуществления перевода денежных средств без согласия клиента». Реестр ведут и постоянно пополняют Банк России и МВД. На начало 2023 года он содержал десятки тысяч счетов.
Таким образом власти намерены усилить борьбу с так называемой социальной инженерией – психологическим манипулированием людьми с целью получения конфиденциальной информации. А основным инструментом в этой борьбе становятся антифрод-системы – специальные программные комплексы для предотвращения мошеннических транзакций.
Как отмечается в пояснительной записке к документу, необходимость изменений продиктована участившимися случаями мошенничества. Как пишут авторы закона, совокупный объём операций, совершённых с использованием социальной инженерии, в 2021-м превысил 13,5 млрд рублей, в то время как годом ранее он составлял 9,8 млрд рублей. В Ассоциации российских банков (АРБ) «Октагону» предоставили более свежие данные, согласно которым в 2022 году эта сумма превысила 14 млрд, а в 2023-м (без учёта четвёртого квартала) – почти 12 млрд рублей.
Доля возвращённых гражданам по действующим правилам средств в 2023 году была крайне невысокой, хотя и увеличилась по сравнению с началом года. Если в начале прошлого года, по сведениям АРБ, было возвращено 4 процента от похищенного объёма, то по состоянию на конец третьего квартала – 5,5 процента.
Всего 819 тыс. незаконных операций зафиксировано за три квартала минувшего года.
– Для банковского сектора сам факт такого объёма финансовых преступлений несёт большие материальные и репутационные риски. Это в том числе проявляется в снижении доверия населения к банкам и финансовой системе, – комментирует ситуацию консультант правового департамента АРБ, заведующая кафедрой банковского дела Московского государственного юридического университета Людмила Ефимова.
Защита репутации, по словам эксперта, обернётся для банков новыми расходами. Они должны будут не только выявлять операции, имеющие признаки их совершения без добровольного согласия клиентов, но и противодействовать им: приостанавливать перевод, предоставлять клиенту информацию об отказе, обращаться в Банк России с заявлением об исключении из базы подозрительных счетов в случае, если клиент подтвердит операцию.
Всё это, по убеждению Людмилы Ефимовой, потребует изменения программного обеспечения банков, платёжных приложений, корректировки алгоритма взаимодействия сотрудников банков с клиентами.
«Выполнение указанных организационных мероприятий серьёзно усложнит работу банков и увеличит трудозатраты, что, безусловно, может привести к удорожанию банковских продуктов».
Людмила Ефимова
заведующая кафедрой банковского дела МГЮА
Впрочем, специалисты полагают, что говорить об ощутимом росте издержек для банков не приходится, поскольку антифрод-системы активно используются ими не первый год. Для их перенастройки и «докрутки», по мнению эксперта по кибербезопасности Алексея Курочкина, достаточно иметь штат грамотных программистов, дефицита которых в банках, особенно крупных, не наблюдается. Дополнительным стимулом для совершенствования архитектуры безопасности, с его точки зрения, способны стать штрафы, которые кредитные организации по аналогии с провайдерами, дающими доступ к запрещённым сайтам, могут начать получать от регуляторов за нарушение новых правил.
– Издержки банков, на мой взгляд, едва ли сильно увеличатся: нужно будет всего лишь сопоставить одну базу данных с другой, – соглашается с такой позицией старший инвестиционный консультант ФГ «Финам» Тимур Нигматуллин.
Так или иначе, получается, что в основе борьбы с мошенниками лежит база подозрительных счетов. Если совершается перевод на счёт, которого в реестре нет, платёж уйдёт безвозвратно. Возникает вопрос: кто кого опережает – регуляторы, пополняющие базу, или мошенники, открывающие всё новые и новые счета? Как говорит Алексей Курочкин, во всех преступных сферах деятельности злоумышленники всегда опережают тех, кто пытается им противостоять, и IT не исключение:
– Мошенники часто меняют счета, открывают их на подставных лиц. Теперь они просто будут делать это ещё быстрее.
«Да, транзакции должны сверяться с живыми списками, которые должны обновляться в режиме реального времени. Но завтра мошенники найдут другое подставное лицо и откроют счёт на него. Это неостановимый процесс».
Алексей Курочкин
эксперт по кибербезопасности
Людмила Ефимова также обращает внимание на то, что прописанная в новых правилах процедура взаимодействия банка с клиентом после приостановки его операции занимает время, в течение которого мошенник может успеть открыть в любом банке новый счёт и перенаправить туда денежные средства, по крайней мере от других плательщиков.
– Пополнение базы данных Банка России путём внесения в неё нового счёта мошенника, вероятно, произойдёт после фиксации правоохранительными органами случаев пополнения указанного счёта посредством переводов, совершённых без добровольного согласия плательщиков. За это время мошенник может дополнительно открыть любое количество других новых счетов, – предполагает профессор.
По утверждению экспертов, у клиентов остаются два старых проверенных метода самозащиты. Первый – не держать все яйца в одной корзине и доверять средства проверенным временем банкам.
– Чем крупнее банк, тем у него крупнее служба IT и больше возможностей для роста. Маленькие банки используют сторонние разработки, которые развиваются не так быстро. То есть из соображений безопасности стоит держать деньги в крупных банках, и лучше в разных, – объясняет Алексей Курочкин.
Второй механизм для частных клиентов предлагают сами банки – это страховка от мошенников, которая может содержать различные страховые случаи, но, как правило, распространяется на все виды карт (кредитные и дебетовые) и защищает от рисков, связанных с разного рода махинациями. Это и кража денег с карты после её утраты или потери, добровольное разглашение владельцем своих данных под влиянием социальной инженерии, подделки и другие аферы. После того как изменения законодательства вступят в силу, казалось бы, необходимость в таком инструменте частично отпадёт. Однако новые правила не покрывают всего спектра рисков, поэтому, как замечает Тимур Нигматуллин, услуга может сохранить актуальность:
«Сегодня эти продукты содержат очень сложные для исполнения условия, и, как правило, они невыгодны для среднестатистического пользователя. Если условия страховки включают переводы только на счета реестра, то смысл в них отпадает. Если в них будет содержаться более широкий спектр случаев, то они останутся».
Людмила Ефимова указывает на ещё одну потенциальную трудность в ходе реализации новых правил. Во избежание мошенничества в превентивных целях могут блокироваться счета добропорядочных граждан, что грозит повлечь за собой значительное скопление «отказников».
– Как следует поступить, если Банк России откажется исключить сведения о плательщике и его электронном средстве платежа из базы данных, а суд откажется удовлетворить требования клиента банка о разблокировке операций по счёту? На счёте могут оказаться значительные денежные средства, которые следует вернуть клиенту. Пока этот вопрос не решён законодательством, – заключает эксперт.