ЦБ предлагает на два дня останавливать зачисление денег на счета мошенников
Но не все банкиры согласны, что этого срока достаточно, чтобы клиент осознал намерение украсть у него средстваБанк России и банковское сообщество уже больше полугода обсуждают способы борьбы с дропперами – посредниками, через счета которых мошенники затем обналичивают похищенные у граждан деньги. В этот раз Банк России предлагает обязать банки на два дня приостанавливать зачисление денег на счета, которые находятся в базе данных о переводах денег без согласия клиента. Об этом рассказал директор департамента информационной безопасности ЦБ Вадим Уваров в Telegram-канале регулятора.
Сейчас по закону банк может осуществлять перевод в течение трех рабочих дней (но обычно деньги зачисляются мгновенно) – таким образом, предложение регулятора не нарушает действующее законодательство и права добросовестных граждан. Проект предложений подготовлен по итогам многочисленных дискуссий с участниками рынка и учитывает их пожелания, уточнил Уваров.
Проверять операции на признаки мошенничества по задумке ЦБ должны как банк – отправитель средств, так и банк-получатель. Если банк видит, что деньги перечисляют на счет, содержащийся в базе ЦБ, то у него должно быть право приостанавливать доступ владельца такого счета к дистанционному обслуживанию, чтобы деньги не были выведены мгновенно после их поступления, рассказал Уваров в интервью «Известиям». К тому же человек осознает, что стал жертвой мошенников, только спустя некоторое время, когда деньги уже невозможно вернуть, добавил Уваров. По его словам, два дня – это «так называемый период охлаждения, когда у гражданина будет время обдумать и оценить совершаемые действия».
В середине апреля ЦБ уже рекомендовал банкам временно ограничивать онлайн-доступ к счетам, информация о которых есть в базе данных ЦБ о переводах денег без согласия клиента, уведомлять об этом клиентов и указывать им причину.
Точка согласия
Срок в два дня есть в разработанном ассоциацией законопроекте о временной приостановке возможности переводить деньги клиентом со своего счета на счет мошенников, сказал вице-президент Ассоциации банков России (АБР) Алексей Войлуков. Этот срок нужен, чтобы человек мог осознанно принять решение, поговорить со службой безопасности своего банка, со знакомыми и близкими, подъехать в банк, понять, что им манипулировали, и не настаивать на проведении платежа, который он пытался осуществить ранее, пояснил он. Похожей точки зрения придерживается большинство опрошенных «Ведомостями» экспертов.
Зачастую мошенники пытаются обмануть жертв, не давая им время на раздумья, например утверждая, что необходима помощь их близким, – в таком случае два дня приостановки перевода действительно помогут избежать многих случаев мошенничества, считает директор по консалтингу ГК InfoWatch Ирина Зиновкина. Сроки приостановки платежей для физических и юридических лиц должны различаться, отметил заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков.
По опыту работы с жертвами мошенников, большинство из них осознают произошедшее в течение нескольких часов и довольно оперативно начинают взаимодействовать с правоохранителями и банками для решения своей проблемы, сказала директор фонда «За права заемщиков» Евгения Лазарева. По ее словам, приостановка переводов на счета из базы дропперов ЦБ гораздо более гуманная мера, чем приостановка лишь по заявлению пострадавшего – это исключает человеческий фактор и ситуации, когда в силу ряда причин плательщик не хочет исполнять свои обязательства и жалуется на получателя платежа, голословно обвиняя его в мошенничестве.
Вопросы остаются
Не все считают, что обозначенного срока хватит гражданину.
Представитель ВТБ отмечает, что двух дней не всегда достаточно, чтобы клиент банка понял, что его пытался обмануть мошенник, поскольку не всегда клиенты сразу обращают внимание на незапланированные списания и сообщают об этом в финансовые организации. С ним согласен и начальник департамента кибербезопасности банка «Зенит» Олег Волков. По его словам, клиент банка может не иметь доступа к своим счетам в течение некоторого времени, например находиться в больнице или за границей. Поэтому оптимальный срок приостановки переводов на счета дропперов – семь дней, добавил Волков.
Экспертов также беспокоит вопрос попадания счета в базу ЦБ и скорость ее обновления. Как объяснил собеседник «Ведомостей» на рынке информационной безопасности, чтобы какой-либо счет попал в черный список, на него должно быть подано достаточно большое количество жалоб о переводе средств без согласия клиента, эти жалобы должны быть обработаны банками, информация о счете должна дойти до ЦБ и тоже обработана – даже по самым оптимистичным оценкам, этот процесс может занять несколько дней. При этом для мошенников нет никакой проблемы в том, чтобы открыть счет, пользоваться им несколько дней, а затем открыть новый счет.
К тому же скорость проверки по черным спискам по одной операции – значение не постоянное, отметил Плешков из Газпромбанка. На это могут влиять количество реквизитов, общий объем базы, архитектура реализации системы черных списков (в том числе скорости локальной/виртуальной вычислительной сети при физическом разнесении системы фильтрации с базой). Таким образом, теоретически при внедрении схемы проверки реквизитов каждой поступающей клиентской платежной операции по черным спискам ЦБ может вызвать нагрузкой существенную деградацию производительности сервисов онлайн-платежей, отметил эксперт.
Директор департамента информационной безопасности Росбанка Михаил Иванов также напомнил, что на практике встречались случаи попадания в базу данных ФинЦЕРТ (подразделение ЦБ по реагированию на кибератаки) вполне легитимных реквизитов. С этим согласна и Лазарева, которая отметила, что механизм занесения счетов в черный список непрозрачен и попадание туда счетов может быть ошибочным. Поэтому она считает, что должна быть система уведомления тех, кто в базе, а сама база должна быть открытой. Также нужен механизм проверки и «обеления» ошибочно внесенных в базу данных реквизитов, полагает Иванов. В качестве оснований для исключения из списка могут быть, например, ходатайство из прокуратуры или МВД, решение суда, заявление самого владельца счета, предположил Плешков.
Также нужно расширить единый перечень критериев, по которым банки выявляют подозрительные транзакции, и наладить обмен данными о мошенниках, в рамках которого все игроки (правоохранительные органы, банки, сотовые операторы и т. д.) смогут оперативно координировать свои действия, сказал представитель ВТБ.
Росбанк предлагает закрепить за банком-отправителем право временно приостанавливать переводы и платежи, не только основываясь на базе ЦБ, но и принимая во внимание другие признаки мошеннической операции. К тому же банк видит необходимость временно блокировать карты и дистанционное банковское обслуживание, а также ограничивать операции по счету потенциального клиента-дропа на срок до 30 рабочих дней. Это позволит сохранить денежные средства от немедленного вывода и даст возможность потерпевшему обратиться в полицию и суд для вынесения обеспечительных мер на украденную сумму, сказал Иванов.
АБР подготовила законопроект о блокировке переводов или расходов по картам на 25 дней в случаях, когда клиент подозревает получателя средств в мошенничестве, еще в конце 2020 г., писал РБК. Как пояснял Войлуков, механизм должен работать следующим образом: в случае несанкционированного списания средств клиент обращается с заявлением в свой банк. Тот через ФинЦЕРТ и ЦБ передает информацию в банк контрагента. Тот, в свою очередь, замораживает указанную сумму и запрашивает документы, подтверждающие легитимность получения средств. Получатель должен предоставить подтверждение в течение пяти дней. Если этого не происходит, деньги возвращаются на счет отправителя.
ВТБ ранее предлагал разрешить банкам полностью блокировать возможность вывода и снятия средств со счетов дропперов на срок до 30 дней. Как отмечал заместитель председателя правления Анатолий Печатников, с подобной инициативой согласны как участники рынка, так и представители органов власти, но пока на практике она не реализуется.