Банки обязали противодействовать кибермошенникам

26 сентября в России вступил в силу 167-ФЗ, направленный на противодействие несанкционированным операциям и защиту клиентов банков от хищения средств кибермошенниками. Ключевой организацией в сложной системе его реализации стал регулятор финансового рынка. Портал «Финансист» расспросил заместителя управляющего Отделением Красноярск Сибирского ГУ Банка России Игоря Ефанова о том, как именно будет применяться закон, что обязаны делать в его рамках банки, и какие плюсы он обеспечивает потребителям финансовых услуг.

- Игорь Николаевич, Федеральный закон № 167 – о чём он? Для чего?

- Прежде всего, основной целью нового закона является защита денег граждан. Все прекрасно понимают, что мы по мере развития всё больше и больше переходим на цифровые технологии, безналичные платежи – прогресс накладывает на нашу жизнь определённые требования и условия.

Насколько эта проблема актуальна, говорят цифры, в прошлом году в результате примерно 300 тысяч кибератак со счетов граждан и юридических лиц было списано порядка миллиарда рублей. Это первый отправной момент, который закладывает основу для данного закона. И второе, в продолжении моих слов необходимо сказать, что в 2016 году объём по операциям пластиковых карт составлял 49 триллионов рублей – цифра немаленькая, а в 2017 году оборот по «пластику» достиг уже 61 триллиона рублей. Увеличение на четверть – динамика показательна.

Так что вопрос кибермошенничества и противодействия ему актуален и вряд ли потеряет актуальность в скором времени. Новый закон условно можно разделить на три основных вектора. 

Первая новация заключается в том, что все банки, все кредитные организации будут работать в области кибермошенничества. 

Если один банк проводит достаточно хорошую работу в этом направлении, а другой – нет, то эффективность данной системы будет нулевая. Для того, что бы система работала отлажено, и взаимодействие происходило эффективно, как раз и необходимо всех игроков обязать заниматься данными проблемами в рамках закона.

Второй вектор – антифрод, задача многогранна, но основным двигателем работы с данным направлением является то, что Центральный Банк становится не только регулятором, но и помощником, организатором по информационному взаимодействию. Создаётся автоматизированная информационная система - АСОИ, которая позволит банкам оперативно сообщать нам о киберугрозах и своевременно получать рекомендации, как на них реагировать и снизить ущерб.

Третье направление облегчает процесс возврата похищенных денег. Очень важный момент. Я думаю, что найдётся не так много людей, среди знакомых которых не было пострадавших от мошенничества или хакерских атак. И вопрос возврата денег в таком случае – он для потребителя услуги всегда первый. При этом, закон в равной степени защищает права и юридических, и физических лиц.

- Кажется, с физическими лицами вопрос был более-менее улажен и ранее?

- Скажем так, частенько складывались ситуации: вот деньги со счёта перевели и даже их не успели обналичить, их поймали на момент перевода, на кор.счёте другого банка, то вопрос возврата этих денег решался очень долго, через судебные инстанции и так далее. Потому что представьте себе, вот в существующих реалиях банку, что бы зачислить обратно средства на счёт клиента, нужно было основание. Потому что банк вообще-то работает по основаниям, тем более, что деньги взять с кор.счёта другого банка и зачислить на счёт клиента, не важно, «физика» или юридического лица. Теперь закон позволяет ввести некоторую досудебную практику – разрешение этого вопроса. Опять же не важно, юридическая ли компания, или физическое лицо, если вы увидели, что у вас произошло несанкционированное списание денежных средств, вы обращаетесь в банк, а у банков теперь есть механизм урегулирования этих вопросов. В конечном итоге, если вы не нарушали условий договора, не передавали никому свои данные, то банк будет обязан вернуть ваши средства.

В рамках этой системы Банк России вводит дополнительные мероприятия, связанные, прежде всего, со специальной отчётностью кредитных организаций, в рамках которой они будут направлять данные об экономических критериях этих самых атак: на какую сумму покушались и какую сумму вернули.

Вообще с позиции банка, клиентская база рассматривается как самый дорогой актив. Банк без клиентов – ничто. Поэтому забота о клиентах стоит во главе угла у любой кредитной организации. Новый закон позволяет урегулировать и систематизировать информацию, и направить работу всех участников рынка на защиту. 

- Как банки будут исполнять закон в реальности по отношению к клиенту и его средствам. 

- Банки теперь имеют право задерживать подозрительный платёж на срок до 2 суток, во время которых может происходить оценка перевода. Есть много параметров, которые позволяют банку определить, что платежное поведение клиента стало нетипично для него – и это повод задуматься о том, что операция может быть подозрительной. Признаком подозрительной транзакции, например, может являться случай, когда по одной и той же карте расплачиваются в отдаленных друг от друга местах через короткий промежуток времени. Это может служить признаком того, что злоумышленник сделал копию карты жертвы и пытается через нее обналичить деньги. Другим критерием, например, может быть нетипичный объём транзакции (конечно, у каждого клиента он своей), еще одним критерием может быть множество переводов с одной карты на множество других карт, причем одновременно и на большие суммы. Или, например, когда со счета юридического лица идут одновременные переводы денег на счета физлиц в разные регионы с невнятным или подозрительным обоснованием платежа.

Банк решает вопрос о приостановке операции, когда он видит, первое, что деньги переводят на те счета, которые попали в базу данных, которую ведет ЦБ, по тем организациям и физическим лицам, которые уже были либо замечены, либо были уличены в хищении средств. Второй критерий – когда устройство, посредством которого происходит перемещение средств, тоже находится в этой же базе. Условно – платежи всегда уходили с айфона, а теперь вдруг неожиданно – с телефона на Андроиде…

- Нормально, можно же поменять телефонный аппарат…

- Конечно. Но тут как раз речь о многофакторном анализе – например, при этом вы вдруг делаете платежи на Кипр или в Таиланд, при этом совершенно не в привычных для вас размерах сумм транзакций. И не переводили вы никогда деньги в 4 утра, вы попросту спите в это время. Соответственно, как вы уже поняли, третий критерий как раз относится к времени и объёмам транзакций. 

- И всё-таки, вот ситуация – банк заблочил именно мою, совершаемую мною, то есть операцию, ну вот так случилось, что она им показалась подозрительной, а у меня просто новый этап в жизни, что дальше делать?

- По закону банк обязан незамедлительно связаться с клиентом, если посчитает его транзакцию подозрительной, чтобы подтвердить легитимность этой операции. Никаких длительных процедур разблокировок и проверок не будет. Клиент просто должен подтвердить, что именно он совершает операцию, и банк тут же завершит операцию. Или допустим, с вами связь не удалось установить, к вам в течение двух суток будут пытаться выйти на контакт. А дальше всё будет зависеть от того, какие условия у вас с банком прописаны в договоре обслуживания.

Именно поэтому, мы постоянно напоминаем, что хорошо бы заранее предупреждать свой банк при поездке за границу, например. Во-первых потому, что бы не удивились новой локации трат и не сработал критерий. Во-вторых, потому что, как раз тут могут быть проблемы с родной связью, поэтому неплохо сообщить альтернативный канал связи.

Кстати, если вы планируете совершить крупную покупку, которая выбивается из вашей обычной колеи, нелишним будет сообщить банку и об этом тоже.

- Мне кажется, сегодня любой разумный человек это понимает. Многие сталкивались уже с бдительностью банков.

- Да. И механизмы не новые. Они все работают давно. Но сейчас они более формализованы и структурированы.

- Хорошо, с этим разобрались. Другой вариант, менее желательный, конечно: мой счёт действительно подвергся атаке и банк своевременно её остановил, заблокировав перевод. Что делать дальше?

- Если действительно операция совершена без вашего ведома, у вас есть законное право на основании девятой статьи закона «О национальной платежной системе» обратиться в банк с просьбой предпринять меры по блокировке карты, если речь идет о карточном платеже. Если это счет физического или юридического лица – о блокировке движений по этому счету. Дальше банк вам расскажет, что нужно сделать для того, чтобы операции с вашим счетом можно было проводить, но уже в защищенном состоянии. 

- Банк не отличился скоростью реакции и ущерб мне таки нанесён, как быть тут?

- Снова та же самая 9 статья. Вы можете предъявить претензию своему банку и требовать от него возврата денежных средств. 

Подчеркну, закон обязывает банки возвращать клиенту деньги, похищенные в результате несанкционированного списания, если клиент не сообщал мошенникам свои персональные данные, необходимые для хищения.