Денежные переводы попали под сомнение

До сих пор большинство споров о хищении средство с использованием социальной инженерии решалось в пользу кредитных организаций, ведь с их стороны платеж совершал сам клиент, который вводил все реквизиты и указанный в SMS-сообщении пароль. То есть банк не знал и не мог знать, что пользователь находится под влиянием аферистов, а операция проводится без его реально добровольного волеизъявления.

Вступивший в силу 25 июля федеральный закон предусматривает комплекс мер по пресечению таких преступлений. Их основной станет черный список, в который Банк России обещает включать реквизиты лиц и организаций, заподозренных в хищении чужих средств. 
В свою очередь, банкам предписывается приостанавливать переводы в пользу таких лиц и уведомлять об этом клиента. Предполагается, что, получив предупреждение о риске мошенничества, гражданин в течение 2 дней (так называемый период охлаждения) должен трезво осознать происходящее. Дальнейшее молчание будет квалифицироваться как отказ от платежа. «Но если спустя 2 дня клиент все-таки решит сделать перевод на подозрительный счет, то банк обязан незамедлительно исполнить такое поручение и финансовую ответственность за это нести не будет», — поясняют нововведения в пресс-службе регулятора. Тогда как кредитным организациям, совершившим перевод в пользу предполагаемых злоумышленников до истечения «периода охлаждения», придется за свой счет возместить причиненный клиенту ущерб.
Также банки должны будут самостоятельно выявлять сомнительные операции и их получателей, в том числе с помощью собственных антифрод-систем и на основе информации, получаемой от других организаций. Например, когда онлайн-операция проводится с уже участвовавшего в мошенничестве гаджета, клиент совершает нетипичный для него перевод (по сумме, периодичности, времени и месту) или оператор связи зафиксировал и уведомил кредитную организацию о нехарактерной для пользователя активности (звонках, росте числа входящих SMS-сообщений с новых номеров, в том числе в мессенджерах). Кроме того, банки будут включать в собственные черные списки лиц, в отношении которых возбуждены уголовные дела о мошенничестве. Причем сообщить об обвиняемых и представить подтверждающие документы сможет любой желающий.
Такие сомнительные операции также должны блокироваться, но «период охлаждения» на них не распространяется. И если предупрежденный о рисках клиент подтвердит перевод, банк обязан будет его исполнить.

Закон предусматривает блокировку счетов и карт всех попавших в черный список. В первую очередь эти меры затронут обманом вовлеченных в аферу так называемых дропперов: «Школьники и студенты оформляют свою карту, отдают ее мошенникам, и, соответственно, всё это используется для выведения средств, обналичиваются похищенные деньги», — убеждена глава регулятора Эльвира Набиуллина.
По словам директора департамента информационной безопасности Банка России Вадима Уварова, в базе данных регулятора «уже тысячи таких счетов, и в самое ближайшее время они столкнутся с блокировкой».
Хотя оказаться подозреваемым может и добросовестный гражданин или компания: согласно инструкции, для этого достаточно, чтобы хотя бы один клиент заявил в свой банк, что пытался перевести им средства без собственного волеизъявления. Регулятор заявляет о проведении «дополнительной проверки», но нормативными актами она не предусмотрена. Более того, все требования исходят из «презумпции вины»: кредитным организациям важнее заблокировать случайного получателя, чем пропустить перевод и возмещать возможный ущерб. «Теперь банкам необходимо не только бороться с кражей средств со счетов клиентов, но и, если есть малейшие сомнения в проводимой клиентом операции, применять к ней дополнительные меры защиты», — отмечают в ВТБ.
Кроме того, как не урегулирована и процедура исключения из черного списка лиц, доказавших свою добросовестность, или исправившихся дропперов. В пресс-службе регулятора журналисту «НП» пояснили, что соответствующее заявление рассматривается в течение 15 рабочих дней, но по каким критериям чиновники будут оценивать добропорядочность заявителя, неизвестно. Также в Банке России не смогли указать срок хранения записей в черном списке. Это грозит тем, что студент или даже школьник, по наивности ставший дроппером, до конца дней своих не сможет совершать финансовые операции.
Регулятор признает риски, в том числе попадания в базу данных крупных законопослушных компаний, получающих онлайн-платежи. У кредитных организаций уже запросили белые списки клиентов, которые не будут включаться в черный. Но результаты такого анализа, как и содержание самой базы, по сути, засекречены.
Новый закон может привести и к злоупотреблениям — заведомо ложным сообщениям о якобы опасных транзакциях. А приостановление деятельности компании даже на 3 недели, выделенные для рассмотрения заявления об исключении из черного списка, может обернуться миллионными и даже миллиардными убытками. Вопрос же ответственности за случайные или намеренные ошибки не урегулирован. Советник Lidings Дмитрий Кириллов напоминает, что при надлежащем исполнении обязанностей по блокировке перевода и передаче данных об адресате платежа регулятору оператор (банк) не будет нести ответственность за причиненные клиенту убытки.
«В то же время за неисполнение этих требований к кредитной организации могут применить целый спектр мер, вплоть до ограничения деятельности. Также ей может грозить административный штраф до полумиллиона рублей. В свою очередь, если сообщение о проведении несанкционированной операции было заведомо ложным, пострадавший от блокировки может попытаться взыскать с такого заявителя причиненные убытки», — полагает юрист.

Вадим Уваров убежден, что с 25 июля у кредитных организаций появился серьезный стимул более эффективно защищать клиентов от мошенников: «Они будут отвечать собственным рублем и возмещать клиентам деньги, если не приостановили перевод. Мы будем следить, как банки исполняют новый закон».
Но эксперты обращают внимание, что нередко под воздействием социальной инженерии граждане снимают накопления и отдают деньги мошенникам наличными. А значит, все меры по блокировке переводов против этих способов хищения бессильны. Для этого банки должны вести прямой человеческий диалог с клиентом: «Только за прошлый год мы «расколдовали» больше 3 тыс., спасли 3,2 млрд рублей. Человеку нужен человек. Это намного важнее, чем все правила и автоматизированные системы», — заявил на сессии Петербургского международного юридического форума управляющий директор департамента безопасности ПАО «Сбербанк» Никита Кудряшкин.
В ВТБ также убеждены, что полностью искоренить хищения пока не удастся. «Преступники используют различные методы обмана и часто применяют их одновременно. Из-за действующих ограничений по сумме операций и суточному лимиту они ведут жертву от одного канала обслуживания к другому», — пояснили в пресс-службе банка.