ЦБ разрешил клиентам банков добровольно ограничивать онлайн-операции
У многих банков уже есть возможность устанавливать лимиты на переводыКлиенты банков смогут самостоятельно устанавливать запрет на онлайн-операции либо ограничивать их параметры – максимальную сумму для одной транзакции или лимит на определенный период времени, следует из указа Банка России. Новая норма начнет действовать с 1 октября этого года.
Установить запрет на дистанционные каналы можно в отношении отдельных услуг, например переводов, онлайн-кредитования, или на все операции, сказал директор департамента информационной безопасности Банка России Вадим Уваров в Telegram–канале регулятора. Также можно будет установить максимальную сумму одной операции или лимит на определенный период времени, например на сутки или на месяц, добавил он.
Банки будут обязаны бесплатно оказывать такие услуги всем клиентам: чтобы воспользоваться бесплатным сервисом, нужно будет написать заявление в свой банк, если у человека есть счета в нескольких банках, необходимо будет написать заявления в каждом из них, пояснил Уваров. При этом отменить запрет или изменить параметры онлайн-операций клиент банка может в любое время без ограничений.
Украдено и возвращено
По данным ЦБ, в I квартале 2022 г. злоумышленники украли у клиентов банков 3,3 млрд руб., что на 14% больше того же периода год назад. Из украденного вернули клиентам всего 6,2%, или 204,2 млн руб., тогда как год назад доля возврата была 7,3%, или 210 млн руб., – этот показатель падает с 2019 г.
В основном деньги крадут с помощью методов социальной инженерии: ее доля составила 52,5%, снизившись с 56,2%. Больше всего мошенники традиционно крадут через мобильный банкинг: им удалось похитить в I квартале 1,66 млрд руб., из которых 72% – методом социнженерии.
Эта мера особенно актуальна для людей, наиболее подверженных влиянию кибермошенников, например, пожилых граждан, говорит Уваров: если был установлен запрет на дистанционные операции, то мошенникам не удастся оформить онлайн-кредит или похитить деньги, даже если они смогли получить доступ к онлайн-банку.
Сейчас банки предлагают клиентам услугу по самоконтролю за расходованием средств по своим картам: возможность самостоятельно устанавливать различные лимиты есть в Сбербанке, ВТБ, Газпромбанке, Альфа-банке, «Тинькофф банке». Этот контроль позволяет устанавливать лимиты в зависимости от: типа операций по карте (запрет на снятие наличных или покупки в интернете), максимальной суммы одной операции (к примеру, когда можно установить ограничение на снятие наличных в размере максимум 1000 руб. за 1 раз), максимальной суммы расходов за определенный период (месяц, неделя) и географии. Но если, например, у Альфа-банка или «Тинькофф банка» услугу можно подключить в приложении, то у Сбербанка для того, чтобы самостоятельно ограничить максимальную сумму операций по карте, надо обратиться в тот офис, где выпущена карта.
В середине июня ЦБ уже предлагал разрешить гражданам самостоятельно устанавливать отметку запрета в своей кредитной истории на выдачу им кредита или займа – неважно, онлайн или в офисе. Россияне смогут бесплатно устанавливать и снимать такой запрет любое количество раз: для этого нужно будет обратиться в Бюро кредитных историй (БКИ), в том числе через портал госуслуг, банк или МФО. Ограничения могут быть разными, предполагал тогда регулятор: по виду кредитора (банк или МФО), способу обращения (дистанционно или офлайн), на все или отдельные виды займов и кредитов. После снятия запрета клиент сможет получить заем или кредит только через два дня. По задумке регулятора, меры помогут предупредить действия социнженеров, которые благодаря психологическому воздействию подталкивают граждан оформить кредит, а потом перечислить средства мошенникам, рассказал представитель ЦБ.
Указ ЦБ помимо самоограничений обязывает банки идентифицировать устройства клиентов при проведении операций с использованием удаленного доступа. Если клиент использует для проведения операций мобильную версию приложения, то банк обязан проверить номер мобильного телефона клиента и использовать полученные сведения при анализе характера, параметров и объема совершаемых операций. Кроме того, банки должны будут подтверждать адреса электронной почты клиентов, на которые им направляются уведомления от банка о совершаемых банковских операциях, справки и выписки, отмечается в документе.
Банки также должны будут информировать ЦБ о выявленных инцидентах защиты информации, принятых мерах и проведенных мероприятиях по реагированию. Кроме того, банки должны сообщить регулятору используемые ими для банковской деятельности, принадлежащие и администрируемые интернет-сайты.
Все это позволит зафиксировать лучшие практики, которые уже применяются в крупных финансовых организациях и помогают существенно снизить риски в области кибербезопасности, считает главный эксперт «Лаборатории Касперского» Сергей Голованов. По его словам, эти меры позволят сократить количество несанкционированных списаний, а также гарантированно предотвратят известные виды инцидентов. Например, злоумышленники больше не смогут проводить операции со своих устройств, если они с помощью социальной инженерии завладели кодами доступа к личному кабинету пользователя.
Но это не может полностью уберечь от проведения транзакции с устройств самого клиента, отметил Голованов, поэтому пользователям крайне важно оставаться бдительными, установить на свои мобильные устройства защитные решения, не переходить по ссылкам и не устанавливать программы по просьбе третьих лиц, даже если на этом настаивают якобы сотрудники службы безопасности.