Помощников хакеров берут на карандаш

Законодатели намерены разрешить банкам обмениваться информацией о счетах дропперов (лиц, через чьи банковские карты хакеры выводят похищенные средства), а также закрывать им счета. Соответствующий проект принят Госдумой в первом чтении. Эксперты уверены: борьба с дропперами необходима, однако важно не совершить ошибок, которые уже были допущены при введении черного списка отказников—клиентов банков в рамках антиотмывочного закона.

Помочь в борьбе с дропперами должен законопроект, который сейчас готовится ко второму чтению в Госдуме. «В документе предполагается регламентировать обмен банков информацией о счетах так называемых дропперов — физических и юридических лиц, через которые проходят похищенные деньги»,— сообщили “Ъ” в ЦБ, который принимал активное участие в работе над проектом. Обмен информацией согласно проекту предполагается через ФинЦЕРТ (подразделение ЦБ по кибербезопасности), который будет формировать единую базу о хищениях или попытках хищений денежных средств и доводить эту информацию до рынка.

Сейчас борьбу банков с дропперами затрудняет банковская тайна и невозможность отказать клиенту в обслуживании, отмечают участники рынка. Например, банк остановил хищение средств у своего клиента, при этом деньги выводились на счет физлица в другом банке. Есть все основания полагать, что получатель похищенных средств — дроппер. «Однако, точно зная, что на той стороне мошенник, мы не имеем законных прав проинформировать банк получателя о подобном клиенте,— отметил собеседник “Ъ” в крупном банке.— Как и банк получателя, зная о клиенте-дроппере, не вправе в подобной ситуации отказать ему в обслуживании».

Однако в банках считают, что выбор подразделения ЦБ ФинЦЕРТ в качестве центра обмена информацией о дропперах не лучший вариант. «В ЦБ есть надзорный блок, опасаясь которого многие банки не захотят делиться с ЦБ информацией о попытках хищений денежных средств, в итоге база дропперов будет с пробелами,— отметил руководитель службы ИБ в банке топ-50.— Аккумулировать подобную информацию должна независимая от регулятора организация, например бюро кредитных историй». По словам главы бюро кредитных историй (БКИ) «Эквифакс» Олега Лагуткина, БКИ в принципе готовы взять на себя подобные функции, но на возмездной основе — и даже выступали с такой инициативой, но в отсутствие законодательного урегулирования вопроса она отклика не нашла.

Кроме того, банкам нужны меры воздействия на дропперов в ситуации, когда нет материала для представления информации о них. Такой мерой пока служит черный список по 115-ФЗ. «Сейчас, если скоринговая система банка позволяет выявить дроппера, а технически это возможно, банк часто оформляет отказ на проведение трансакции именно на основании антиотмывочного закона»,— отмечает руководитель направления по борьбе с мошенничеством Центра информационной безопасности «Инфосистемы Джет» Алексей Сизов. «Однако введенный в конце марта механизм реабилитации банковских отказников может негативно повлиять на практику отказов в обслуживании дропперам по 115-ФЗ. Опасаясь гнева регулятора, банки оставят их в покое, и в итоге количество мошенничеств вырастет»,— опасается собеседник “Ъ” в крупном банке.

По мнению главы комитета Госдумы по финрынкам Анатолия Аксакова, необходимо закрепить на законодательном уровне права банков не только тормозить операции, направленные на хищение денежных средств, но и отказывать в обслуживании дропперам. «Проблема есть, и серьезная. Сейчас банки вправе отказывать в проведении операции или в обслуживании клиенту лишь в случае, если его операции являются сомнительными с точки зрения антиотмывочного закона (115-ФЗ),— поясняет он.— Однако подозрение в вовлеченности клиента в мошеннические схемы не всегда подпадает под 115-ФЗ». По словам партнера BMS Law Firm Тимура Хутова, возможно внести поправки в законодательство, которое даст право отказывать в обслуживании таким клиентам как сомнительным с точки зрения вовлечения в противоправную деятельность. «То есть по аналогии с отказом в проведении сомнительных операций по 115-ФЗ, где банку не нужно железобетонных доказательств вовлечения клиента в обналичивание денежных средств, достаточно сомнений,— поясняет он.— Однако важно сразу же проработать механизм реабилитации для клиентов, у которых были подделаны карты или которые иным образом были отнесены к дропперам по ошибке». Вводить подобный механизм следует крайне осторожно, чтобы добросовестные клиенты банков не пострадали, соглашается Анатолий Аксаков.