«Защита клиентов банков от кибермошенников — наша цель», — Игорь Ефанов, Банк России
В 2017 году со счетов россиян было похищено около 1 млрд рублей. Для защиты клиентов банков от кибермошенников по инициативе Банка России был разработан федеральный закон.
Какова цель нового закона?
— Цель закона — защита денег клиентов банков от кибермошенников, в частности, документ обязывает все кредитные организации вести работу по антифроду — противодействовать кибермошенничеству.
А насколько проблема защиты денег от кибермошенников актуальна сегодня?
— Назову две цифры, и вы все поймете: в 2017 году в результате более чем 300 тыс. несанкционированных операций со счетов граждан было похищено около 1 млрд рублей. Год от года количество покушений на хищения растет. Но тут надо понимать, что мы активно переходим в безналичные платежи: в том же 2017 году объем операций с использованием платежных карт увеличился на четверть по отношению к 2016 году — с 49 трлн рублей до 61 трлн рублей.
Как теперь будут защищаться деньги россиян?
— Один из механизмов, который позволяет защищать деньги клиентов банков на счетах, — это приостановка подозрительных транзакций и блокировка средства платежа в том случае, если у банка возникает подозрение, что контроль над средством платежа захватил мошенник.
Разве банки раньше этого не делали?
— Действительно, многие банки и раньше приостанавливали подозрительные транзакции. То есть принципиально это не новый механизм. Но теперь все банки будут значительно активнее его использовать. По закону, банк обязан незамедлительно связаться с клиентом, если посчитает его транзакцию подозрительной, чтобы подтвердить легитимность этой операции. Никаких длительных процедур разблокировок и проверок не будет. Клиент просто должен подтвердить, что именно он совершает операцию, и она будет совершена.
Критерии подозрительности определены и прописаны?
— Да, Банк России выпустил приказ с их перечнем. Перечислю эти критерии. В первую очередь банк решает вопрос о приостановке операции, если информация о получателе перевода уже содержится в формируемой Банком России базе данных о случаях и попытках хищений. Иными словами, это тот случай, когда получатель платежа уже был уличен в хищении.
Второй признак — совпадение информации о параметрах устройств, используемых для совершения перевода через информационную систему (например, интернет-банк), с информацией о параметрах устройств из базы данных.
Третий признак — несоответствие характера, объема, а также параметров совершаемых транзакций операциям, которые обычно проводит клиент.
То есть, например, человек переводил каждой день по тысяче, и вдруг перевел сто тысяч, это будет подозрительным?
— Есть много параметров, которые позволяют банку определить, что платежное поведение клиента стало нетипично для него — и это повод задуматься о том, что операция может быть подозрительной. Признаком подозрительной транзакции, например, может быть случай, когда по одной и той же карте расплачиваются в отдаленных друг от друга местах через короткий промежуток времени. Это может вызвать подозрение, что злоумышленник сделал копию карты жертвы и пытается через нее обналичить деньги. Другими критериями, например, могут быть нетипичный объем транзакции или множество переводов с одной карты на множество других карт, причем одновременно и на большие суммы.
Если человек понимает, что будет вести себя «нетипично», вы посоветуете ему что-то предпринять?
— Чтобы уменьшить риск приостановки транзакции, можно предупредить свой банк, что в ближайшие дни вы будете совершать покупки за границей или оплачивать по карте крупную для вас покупку.
Не предупредили, а признаки банком выявлены. Обязательно последует блокировка?
— Если банк сочтет, что операция содержит признаки, которые указывают на вероятность ее проведения злоумышленниками, он должен незамедлительно связаться с клиентом для выяснения всех вопросов. А в случае если связаться с клиентом не удалось, банк вправе приостановить такую операцию на срок до двух суток.
Мы прекрасно понимаем, что для банка основная ценность — это клиент. И не ожидаем массовых блокировок карт или счетов. Потому что это не выгодно самим банкам. Им важна лояльность клиентов и уверенность их в том, что деньги в сохранности, что банк обязательно обслужит платеж. Конечно, при условии того, что операции проводятся на законных основаниях.
Что делать клиенту, если его операция приостановлена или заблокирована карта?
— Если операция совершена без ведома клиента, у него есть законное право обратиться в банк с просьбой предпринять меры по блокировке карты или движений по счету. Дальше банк вам расскажет, что нужно сделать, чтобы операции с вашим счетом можно было проводить, но уже в защищенном состоянии. Если операция была проведена, а банк не смог с вами связаться по разным причинам: в отпуск уехали, телефон отключили или смс пропустили, — в любом случае вы обращаетесь в банк. Дальше вступает в силу для физических лиц девятая статья закона «О национальной платежной системе». То есть вы можете предъявлять претензии и требовать возврата денежных средств. Закон обязывает банки возвращать клиенту деньги, похищенные в результате несанкционированного списания, если клиент сам не сообщал мошенникам свои персональные данные, необходимые для хищения.
А юридическим лицам что делать?
— Возврат денежных средств юридическим лицам — одна из новаций закона. До вступления его в силу нередки были случаи, когда банки-получатели денежных средств по взаимной договоренности останавливали зачисление денег на счета, которые использовались для вывода денег. Но даже успев сделать это, они не имели законных оснований вернуть деньги их владельцу. Приходилось использовать очень длинную цепочку судебных решений. Иногда клиент мог ждать возврата денежных средств годами. Сейчас реализуется внесудебная процедура возврата денег в случае, если платеж был совершен без согласия клиента-юридического лица, и деньги не были зачислены на счета, через которые их собирались обналичить.
Как будет аккумулироваться информация о подозрительных операциях?
— Банки должны будут сообщать в Банк России обо всех выявленных несанкционированных операциях. На основании полученной информации регулятор будет разрабатывать дополнительны критерии подозрительных транзакций и сообщать о них всем кредитным организациям, чтобы они могли использовать информацию для противодействия киберхищениям.
Важным нововведением – не в рамках закона, но параллельно с ним — становится то, что банки должны будут сообщать регулятору параметры хакерских атак: на какую сумму покушались злоумышленники, какую сумму удалось похитить, какую удалось сохранить и главное — какую сумму в итоге удалось вернуть клиенту.
Как эта информация будет использоваться?
— Для минимизации рисков кибербезопасности Банк России создал автоматическую систему обмена информацией между банками — АСОИ, позволяющую банкам оперативно сообщать регулятору о киберугрозах и своевременно получать от него рекомендации, как на них реагировать и снижать ущерб. Все банки обязаны подключиться к АСОИ. Участие в АСОИ является дополнительной гарантией устойчивости кредитной организации.
Вы говорили про формирование некой информационной базы, означает ли это, что, попав в этот «черный список», счет будет блокироваться всякий раз, как на него будут переводиться деньги?
— Это не так. Банк России будет делиться с банками информацией об этих счетах не для того, чтобы они сразу их блокировали, а для того, чтобы банки внимательнее реагировали в случаях, когда на эти счета пытаются перевести деньги, то есть связывались с отправителем средств и интересовались, действительно ли он совершает перевод? Если да, перевод тут же совершается. Так что использование определения «черный список» неуместно.