Антисоциальная инженерия. Кто защитит деньги банковских клиентов?
На внедрение антимошеннических мер российским кредитным организациям Банк России дал почти 5 месяцев. Уже к августу у банковских клиентов появится шанс бесплатно получить антивирусные программы и антифрод-системы для выявления подозрительных звонков. Хотя с большой вероятностью новые рекомендации, как и многие предыдущие, даже крупнейшие кредитные организации страны проигнорируют.
Рекомендации Центробанка для кредитных организаций по борьбе с кибермошенниками увидели свет на днях. Бо́льшая часть подписанного заместителем главы Банка России Германом Зубаревым документа посвящена проведению просветительской работы — распространению по всем каналам (от офисов до экранов банкоматов) информации о рисках. Особое внимание в документе уделено поддержке социально уязвимых категорий: пожилых граждан, инвалидов и так далее.
Новое предложение — внедрение двухфакторной аутентификации при совершении транзакций в банкоматах. Сразу несколько мер связано с защитой от телефонного и кибермошенничества. Так, предлагается предоставить клиентам антивирусные программы и антиспам-системы, в том числе путем встраивания их в мобильные приложения. Для выявления используемых злоумышленниками телефонных номеров банкам следует наладить информационный обмен с операторами связи.
Впервые Банк России вводит меры по профилактике дропперства — вовлечения не являющихся преступниками граждан в мошенническую деятельность. По данным регулятора, за небольшое вознаграждение студентам, безработным, а порой даже школьникам и пенсионерам предлагают провести платежи через свой счет, снять деньги в банкомате и совершить иные на первый взгляд законные операции. Приведя друга, они получают дополнительную премию.
«При этом человек может даже не подозревать, что его вовлекли в преступную схему», — констатируют представители регулятора. Поэтому в новых рекомендациях в первую очередь предписывается проводить информационно-просветительскую кампанию — «формировать негативный образа дропа и профилактику вовлечения в дропперство».
Также регулятор рекомендует банкам разработать сценарии для бесед сотрудников с клиентами при возникновении подозрений, что человек находится под влиянием мошенников и может лишиться денег. Все опрошенные «Новым проспектом» участники рынка не пожелали комментировать этот вопрос. Но неофициально некоторые эксперты заявили, что не исключают использование подобных скриптов самими преступниками.
Хорошо забытое старое
Большинство включенных в новые рекомендации мер повторяют постулаты, отраженные в аналогичной «методичке» двухлетней давности. В частности, уже не впервые банкирам предлагают хотя бы ежеквартальное SMS- или Push-информирование не менее 80% клиентов и так далее.
Причем многие кредитные организации не соблюдают эти предложения. Например, второй по величине банк — ВТБ — уже много лет не может внедрить ни двухфакторную аутентификацию онлайн-платежей, ни механизм ограничения дистанционно переводимых сумм. Не всегда банки соблюдают даже обязательные предписания регулятора («Новый проспект» писал об этом в статье «Пассивные пособники аферистов»).
Однако потребители остаются без защиты: Банк России жалобы частных клиентов де-факто игнорирует, признавая право кредитных организаций самостоятельно определять любые средства защиты.
Не подобру, так поздорову
Юристы подтверждают, что методические рекомендации Банка России не носят обязательного характера и не предусматривают ответственности за нарушение. «Но, скорее всего, большинство кредитных организаций исполнит эти рекомендации», — убеждена доцент кафедры криминалистики Московского государственного юридического университета Марина Милованова.
По мнению управляющего партнера Skif Consulting Дмитрия Демиденко, рекомендации скорее задают общие принципы и ориентиры применения нормативных актов регулятора (указаний, инструкций и положений). «Но банки стараются им следовать не столько из-за угрозы каких-либо санкций, сколько из здравого смысла и общей полезности для отрасли. В случае споров неисполнение методических рекомендаций может быть одним из аргументов в пользу клиента, но вряд ли станет основанием для принятия решения. Равно как нарушающий обязательные требования банк никакие регулярные просветительские рассылки от наказания не спасут», — полагает эксперты.
Вместе с тем практика свидетельствует, что неисполнение или даже пассивное отношение кредитных организаций к рекомендациям регулятора чревато самыми серьезными последствиями: служители Фемиды, по существу, презюмируют вину банков в обмане их клиентов мошенниками.
В пользу потребителей ситуация изменилась в октябре 2022 года, когда Конституционный суд России предписал при рассмотрении таких споров учитывать добросовестность и осмотрительность кредитных организаций. То есть они должны, с одной стороны, быстро исполнять поручения клиентов, в том числе поданные дистанционно (через мобильные приложения, интернет-сервисы и другие), с другой — обязаны сомневаться в разумности таких действий потребителя. В первую очередь повышенные меры предосторожности следует предпринимать, когда оформленный дистанционно кредит незамедлительно перечисляется в пользу третьих лиц.
На сегодняшний день принято уже не меньше сотни решений, подтверждающих пассивную вину банков в обмане клиента. Одним из лидеров по количеству таких взысканий остается банк «Хоум кредит», дело с участием которого рассматривали служители конституционной Фемиды. Например, на него возложили ответственность за три кредита на 1,2 млн рублей, дистанционно оформленные Ириной Рощупкиной: нарушением Верховный суд России признал отправку подтверждающего SMS с использованием латиницы.
Другой потребитель, Ирина Ильина, получила сообщение с кодом для подписания кредитного договора на русском языке, но служители Фемиды пришли к выводу, что «банк не проявил должной внимательности и осмотрительности, поскольку, действуя разумно и добросовестно, мог и должен был принять меры к предотвращению перечисления денег со счета истицы третьим лицам».
В неосмотрительности уличили и ВТБ. «Немедленное перечисление денежных средств третьему лицу и их формальное зачисление на открытый в рамках кредитного договора счет само по себе не означает, что денежные средства были предоставлены именно заемщику», — заключил суд, удовлетворяя иск Елены Колосковой.
Клиент всегда виноват?
Участники рынка пассивно относятся к рекомендациям регулятора. Так, по мнению президента Финстар банка Геннадия Салыча, в целом кредитные организации должны предоставлять решения, с технической точки зрения гарантирующие максимальную безопасность проводимых операций.
«Но это не снимает ответственности и с пользователей наших услуг, нередко по неосторожности или неосмотрительности предоставляющих мошенникам необходимую информацию. Чтобы не попасться на эти уловки, клиенты должны не только обладать определенной финансовой грамотностью, но и критическим мышлением», — убежден глава Финстар банка.
В пресс-службе «Сбера» заявили, что «комплексно подходит к вопросу защиты сохранности денежных средств своих клиентов, регулярно совершенствуя систему кибербезопасности». В том числе в банке внедрили сервис проверки входящих звонков, умный автоответчик и применяют систему фрод-мониторинга. Но о реализации новых рекомендаций регулятора не сообщили.
Другие опрошенные журналистом «Нового проспекта» кредитные организации, в том числе банк «Хоум кредит», также уклонились от комментариев.
По данным Банка России, в минувшем году без согласия клиентов ежемесячно совершалось более 84 тыс. операций на 1,3 млн рублей. Примерно 44% — с использованием социальной инженерии. Добровольно банки вернули (возместили) только 4,4% похищенных средств.