Инициатива Центробанка направлен на то, чтобы жертвы мошенничества могли вернуть украденные у них деньги быстрее и без суда. Однако насколько это вообще реализуемо в российской практике? И будет ли это адекватным заставить банки возвращать деньги, которые их клиенты потеряли по невнимательности? Мы расспросили наших экспертов и готовы сделать выводы.
Содержание статьи
- 1 Возвращать украденное: что предложил ЦБ2 Заставить банки платить?3 Кто вообще виноват в кражах?4 Что делать клиентам?
Возвращать украденное: что предложил ЦБ
Россияне уже не первый год жалуются на настоящую эпидемию банковского мошенничества. Стоит лишь указать где-то номер телефона, как на него поступает звонок из фальшивого «колл-центра», где якобы сотрудник службы безопасности банка (Центробанка, МВД и т.д.) взволнованным голосом сообщает, что со счета в банке воруют деньги.
Практически во всех случаях мошенники используют методы социальной инженерии, чтобы обходить системы защиты от банков. То есть, по факту жертва сама раскрывает мошеннику все данные своей карты, свои персональные данные, коды из смс-сообщений или вообще самостоятельно переводит деньги на якобы «безопасный счет». Недавно мошенники пошли еще дальше, теперь жертв уговаривают набрать кредитов и перевести их на «защищенные счета», чтобы выбрать весь кредитный лимит. В крайних случаях жертвы даже продают квартиры.
Жертвами мошенников становятся все – и пожилые пенсионеры, и молодежь, и профессоры из МГУ, и программисты. По статистике, лишь за III квартал 2021 года мошенники более 256 тысяч раз пытались вывести деньги с карт, и в 41% случаев данные этих карт им передавали сами жертвы. С помощью методов социальной инженерии было проведено 105 тысяч атак – и это лишь за 3 месяца.
За квартал мошенник похитили у россиян 3,2 миллиарда рублей, но вернуть удалось всего лишь 7,7% от этой суммы. С этим явно нужно что-то делать, и Центробанк не так давно предложил целый комплекс мер по борьбе с банковским мошенничеством:
ввести упрощенный порядок возврата денег тем, кто пострадал от мошенничества. Центробанк намерен ввести определенный порог суммы, которую должны будут возвращать банки из своих средств – она составит примерно 80-90% от украденной суммы (которая составляет около 13,9 тысяч рублей); если у банка не все в порядке с антифрод-защитой (механизм по предотвращению хищений), то он будет обязан вернуть вообще всю похищенную сумму, даже если она будет выше лимита возмещения; изменить процедуру подтверждения банком операций, если он заподозрит мошенничество. Центробанк намерен дать право банкам списывать деньги со счета не сразу, а в течение 1-2 рабочих дней. Это будет применяться даже к тем операциям, которые одобрил клиент (ведь он мог согласиться с переводом, не понимая сути операции); заставить банки проверять операции на признаки мошенничества, сверяясь с базой переводов без согласия клиента; разрешить банку блокировать расходные операции по счету на срок в 5 рабочих дней, если на этот счет пытались перевести деньги без согласия клиента.
Из пяти предложений ЦБ вполне логичны третье, четвертое и пятое – по сути, они не потребуют от банка чего-то сверхъестественного (только настроить свои информационные системы и отладить антифрод-защиту). Но вот предложение заставить банки возмещать сумму украденных денег выглядит вовсе не так однозначно.
Заставить банки платить?
Идея Центробанка заключается в том, что банки должны будут за свой счет возмещать своим клиентам украденные мошенниками суммы – в пределах определенного лимита. Такая формулировка поставила слишком много вопросов:
- что в данном случае считать мошенничеством – несанкционированный доступ к счету или использование методов социальной инженерии? как планируется защищаться от фиктивных сообщений о мошенничестве – если кто-то решит так заработать за счет банка? как будет оцениваться качество антифрод-системы банка – то есть, от чего будет зависеть, получит клиент всю украденную сумму или сумму в определенном размере? как вообще будут расследоваться такие случаи?
Другими словами, не до конца понятно, какие случаи мошенничества подпадут под планируемый механизм компенсаций, а какие – нет. Ведь формально, если клиент отправляет деньги со своего счета или диктует кому-то код из смс, он соглашается с транзакцией, а значит банк не виноват в краже.
Опрошенные нами эксперты соглашаются, что предложение выглядит не очень хорошо проработанным. Так, по словам доцента Финансового университета Оксаны Васильевой, стоит различать мошенничество, произошедшее по вине банка и кражи, в которых виноват сам клиент:
У меня двоякая точка зрения по данному конкретному вопросу. С одной стороны, если персональные данные лица действительно оказались в руках злоумышленников по причине уязвимости систем банка или он иным образом повлиял на это, то, разумеется, банк должен быть как минимум тоже привлечен к ответственности за подобный казус. И тем самым он обязан возместить ущерб, нанесенный его клиенту.
Однако, при условии, что данные личности оказались на руках у мошенников не по вине банка, то никакой обязанности о возмещении денег на него возложено быть не может. Ибо банк может привести в довод главное основание — это договор, который подписывает держатель банковской карты. Там четко прописано, что он не имеет права передавать кому-либо данные по своей карте. Если договор нарушен, банк снимает с себя всякую ответственность за последствия. Банки сообщают, что деньги клиентам они вернут лишь в том, случае, если человек докажет свою непричастность к мошеннической операции. Но в большинстве случаев человек сам оказывается виноват в том, что случайно сообщил данные мошенникам.
Оксана Васильева, к. ю. н, доцент Департамента правового регулирования экономической деятельности Финансового университета при Правительстве РФ.
Поэтому, считает эксперт, возмещать ущерб должны сами мошенники по решению суда, а вычислять и привлекать их к ответственности – работа полиции.
Другие эксперты тоже посчитали идею неоднозначной. Например, финансовый аналитик Николай Неплюев указывает на то, что не до конца понятен механизм компенсаций клиентам с низкой финансовой грамотностью и тем, кто инсценировал кражу своих денег – банки просто будут не в состоянии распознать и отделить друг от друга такие случаи. А когда в дело вступает социальная инженерия, предотвратить мошенничество становится практически невозможно. Поэтому сначала нужно думать именно о предотвращении, а не о компенсациях.
О том, что банки не должны отвечать за ошибки клиентов, говорит и эксперт в области права в ИТ Евгений Царев. По его словам, клиенты банков сами часто теряют бдительность, но делать «крайним» именно банк – незаконно:
Ответственность банков за похищенные средства, очевидно, должна быть. Но делать ответственным того, кто не может помешать факту мошенничества — крайне неэффективная мера. В случаях социальной инженерии, например, вины банка нет фактически никакой — клиент сам, нарушая все ИБ-требования банка, отдает мошенникам деньги.
Безусловно, косвенная вина финансовой организации может быть при утечке данных. Однако, не имея доказанного факта утечки, делать банк «крайним» — мягко говоря, незаконно. Гораздо логичнее было бы дать возможность банкам, например, задерживать подозрительные платежи и передавать друг другу требования о задержке (например, по заявлению клиента). И тогда уже, при нарушении этой процедуры, взыскивать с недобросовестного банка средства. Вариант задержки перевода, например, на сутки, вне зависимости от подозрений также снизит поток хищений. Но на это должна быть воля клиентов, а ее ожидать не приходится.
Менее одного процента клиентов банков ставят сами себе ограничения на ежедневные переводы — никто не хочет себя ограничивать. В этой ситуации, опять же, заставлять банки нести ответственность — как минимум, незаконно.
С введением схем компенсации банками похищенных сумм, как справедливо отмечено, возрастет объем мошенничества уже по отношению к банкам. В целом, идея заставлять банки платить — видится как перекладывание с больной головы правоохранительных органов (в том числе, ФСИН) на условно здоровую — банки.
Евгений Царев, управляющий RTM Group, эксперт в области права в ИТ.
Иногда вина за кражу действительно частично лежит на банке, говорит консультант по стратегическому развитию Григорий Пахомов, но и в этом случае срабатывает скорее человеческий фактор. Эксперт рассказывает – иногда клиентские данные продают недобросовестные сотрудники банков, но чаще это просто некомпетентность. Например, руководитель выгружает из системы банка данные клиентов (под своим доступом), чтобы сделать «прозвон» – но кто-то может скопировать файл и передать его злоумышленникам.
Решать проблему мошенничества эксперт советует техническими способами – например, внедрить в приложение банка модуль, который выявлял бы входящие вызовы с подменного номера. Кстати, нечто похожее уже запускают операторы – но пока в весьма ограниченных масштабах.
Кто вообще виноват в кражах?
Основная вина за украденные в результате мошенничества деньги лежат на собственно мошенниках – с этим не поспорить. Но вот могут ли банки как-то противодействовать атакам злоумышленников?
На самом деле, мошенничество может быть разным:
- мошенники получают базу данных с картами клиентов. Это либо утечка из банка, либо работа программ-троянов, либо сбор через фишинговые сайты. Но чтобы перевести деньги с карт жертв на счета мошенников, обычно нужен доступ к телефону и код из смс – поэтому, имея лишь данные карт, украсть деньги сложно. Самый сложный вариант – «угнать» сим-карту через перевыпуск у оператора; мошенники «заговаривают» жертву, чтобы выманить из нее данные карты, коды из смс и другую информацию. Иногда – уговаривают еще и отправить сам перевод; мошенники взламывают личный кабинет в онлайн-банке клиента и оформляют на него кредит. В худшем случае кредит успевают вывести на другие счета; новые и нестандартные способы – например, смс-бомберы, которые «забрасывают» клиента сотнями сообщений, и последующий звонок якобы из банка. Жертву просят просто сделать скриншот, но на самом деле на него попадает код из смс на оформление микрозайма.
Если мошенничество связано с недостаточной защищенностью банковских систем, то виноват будет только банк – соответственно, он должен будет вернуть клиенту все украденные деньги самостоятельно. Как правило, такие ситуации не доходят и до суда – банки стараются «замять» дело без лишней огласки, и выплачивают компенсации клиентам.
Если же деньги были украдены с помощью методов социальной инженерии, то виноват, увы, будет сам клиент. Дело в том, что условия договора запрещают клиенту разглашать конфиденциальные данные – реквизиты карты (включая код безопасности) или код из смс-сообщения. Поэтому списание денег в этом случае не является несанкционированным – ведь клиент как раз сам его санкционировал, сообщив код мошеннику. А если человек сам перевел деньги, то тут даже спорить не о чем – никакого нарушения в действиях банка нет.
С другой стороны, банк обязан иметь антифрод-систему – она как раз должна выявлять массовые зачисления с разных карт на один счет, и блокировать этот счет хотя бы для проверки. Также банк должен насторожиться, если кто-то долго пытается списать деньги с карты без кода из смс – это тоже может быть попытка мошенничества.
Спорными могут быть ситуации, когда мошенники получают доступ в личный кабинет в онлайн банке – были случаи, когда жертве оформляли кредит, но не успевали его вывести. В этом случае полиция даже не посчитала это преступлением – ведь деньги не были украдены. Но если мошенники получили доступ в личный кабинет без «содействия» самого клиента, это может говорить о проблемах в системе безопасности банка – и здесь вполне можно рассчитывать на компенсацию.
Что делать клиентам?
Банки уже давно поняли, что мошенничество – тенденция опасная, но они предпочли пойти иным путем. Практически каждому клиенту банка вместе с картой активно навязывают страховку на случай мошенничества. На первый взгляд, идея отличная – за небольшие деньги (до 100 рублей в месяц) клиенту гарантируется возврат украденных денег. Но при ближайшем рассмотрении все оказывается сложнее.
Например, Сбербанк обещает компенсировать ущерб в таких случаях:
- интернет-мошенничество – переводы через поддельные сайты, списание денег через фишинговые сайты или зараженные вирусами компьютеры; ограбление – если клиент снял деньги в банкомате, а потом в течение 2 часов его ограбили; незаконное использование похищенной карты – если карту украли и списали с нее деньги, или же списали деньги с найденной карты; кража данных с карты – если мошенники украли или выманили данные карты; некоторые другие ситуации, компенсация судебных расходов и т.д.
Однако в документе с официальным перечнем страховых случаев и исключений из него, говорится, что если клиент сам нарушил правила пользования картой, это не является страховым случаем:
Соответственно, банк (точнее, страховая компания) получает достаточно обширное поле для маневра – при желании можно оказать в выплате практически в любой ситуации из распространенных, обвинив клиента в несоблюдении правил.
Поэтому страхование – не панацея, и клиенты должны сами защищать свои деньги на карте:
- не сообщать никому срок действия карты и код безопасности, не диктовать коды из смс; не верить в звонки от «службы безопасности банка» или от «МВД» – почти всегда это мошенники; не устанавливать сторонние программы на смартфон, если это просит сделать звонящий по телефону (через программу с удаленным доступом можно похитить деньги с карты); оплату в неизвестных интернет-магазинах проводить с виртуальной карты, по которой установлен незначительный лимит; настроить лимиты на оплату в интернете, на снятие наличных и другие; если есть подозрение, что карта скомпрометирована – заблокировать ее и перевыпустить; по максимуму использовать двухфакторную аутентификацию – когда вход в приложение или в личный кабинет на сайте возможет только при правильно введенном пароле и коде из смс.
Конечно, это не спасет от самых изощренных способов мошенничества. Но если соблюдать даже эти простые правила, в случае кражи денег с карты виноватым, скорее всего, окажется банк (ведь от самого клиента мошенники не получат нужные им данные).