Банковские счета граждан хотят защитить законом
Комиссия по законопроектной деятельности правительства РФ одобрила законопроект, направленный на противодействие несанкционированным операциям с использованием систем дистанционного банковского обслуживания (ДБО). В Минфине, который является инициатором законопроекта, пояснили, что данная законодательная инициатива призвана обеспечить надежность банковских счетов и повысить доверие к банковской системе в целом.
Проект федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия хищению денежных средств)" внесен Министерством финансов РФ. Предлагается, в частности, дополнить Федеральный закон от 27 июня 2011 г. №161-ФЗ "О национальной платежной системе" новой статьей - "Признаки совершения перевода денежных средств без согласия клиента и порядок действий оператора по переводу денежных средств при их выявлении".
В пресс-службе Министерства финансов РФ пояснили, что инициатива устанавливает механизм по противодействию незаконным переводам денежных средств. "Целью законопроекта является защита денежных средств клиентов банков от несанкционированного списания, в том числе с использованием сети Интернет и устройств мобильной связи", - сообщили в Минфине. По данным пресс-службы министерства, реализация законопроекта позволит снизить количество мошеннических операций, усилить надежность банковских счетов и повысить доверие к банковской системе в целом.
В законопроекте указывается порядок действий банков по возврату денежных средств при получении от плательщика - юридического лица уведомления о списании денежных средств без его согласия. Согласно документу, признаки перевода денег без согласия клиента будут устанавливаться Банком России (Центробанк, ЦБ). "Поскольку перечень основных признаков совершения перевода денежных средств без согласия плательщика не является универсальным, предусматривается право кредитных организаций в зависимости от их деятельности самостоятельно устанавливать дополнительные признаки совершения такого перевода денежных средств в соответствии с требованиями Банка России", - отмечается в законопроекте.
Также предлагается установить обязанность кредитной организации при выявлении признаков перевода денежных средств без согласия плательщика незамедлительно запрашивать подтверждение клиента о возможности исполнения распоряжения.
"В соответствии с законопроектом ЦБ устанавливает некоторые обязательные признаки, при наличии которых денежный перевод должен признаваться подозрительным и может быть заморожен на срок до двух рабочих дней, в течение которых банк-отправитель будет пытаться получить у клиента подтверждение такого платежа. Но даже если в этот срок с клиентом связаться не удастся и банк-отправитель перечислит денежные средства банку-получателю, закон позволяет клиенту опротестовать такой денежный перевод в течение времени, необходимого для завершения взаиморасчетов - обычно это занимает до трех рабочих дней. В этом случае переведенная сумма не будет зачислена на счет получателя до тех пор, пока по опротестованному платежу не будет вынесено судебное решение", - объяснил директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
По информации Банка России, в 2016 г. было совершено около 300 тыс. несанкционированных операций с использованием платежных карт, эмитированных российскими кредитными организациями, на общую сумму более 1 млрд руб. По прогнозам Банка России и экспертов, в 2017-2018 гг. ожидается дальнейший рост числа атак на счета клиентов, в том числе через платежные системы, платформы для оплаты госуслуг, средства мобильной связи и системы дистанционного банковского обслуживания.
Банки уже начали принимать профилактические меры по предотвращению незаконного списания средств со счетов клиентов. Группа ВТБ внедрила онлайн-систему мониторинга операций для выявления мошенничества по дистанционным банковским каналам. "Уже на этапе пилотной эксплуатации система позволила нам снизить сумму потенциального риска от мошеннических угроз более чем в пять раз", - сообщили в пресс-службе банка ВТБ.
ВТБ использует многоуровневую систему защиты при обнаружении подозрительных транзакций, при этом сохраняется высокая степень эффективности проведения платежей. "Уникальность заключается в том, что это полноценная кросс-канальная система онлайн-мониторинга. При оценке рисков модель учитывает не только детали конкретного платежа, сессионного события или последовательность операций по конкретному каналу, но и активность клиента в других платежных каналах", - пояснили в пресс-службе ВТБ. Например, если банк увидит, что за пять минут до проведения операции по карте в Испании клиент совершил операцию по своему мобильному устройству (с полной аутентификацией) с территории России, то данная операция банком будет отклонена, а с клиентом оперативно свяжутся для подтверждения платежа.
В пресс-службе ВТБ пояснили, что система использует модель машинного обучения. "При проведении операций построенная модель в режиме онлайн проводит оценку вероятности мошеннического события, при этом модель постоянно переобучается, учитывая опыт предыдущих операций, что позволяет в доли секунды провести анализ и принять соответствующее решение по платежу", - добавили в ВТБ.
Директор по мониторингу электронного бизнеса Альфа-Банка Алексей Голенищев сообщил, что основные содержательные пункты данного законопроекта уже реализованы банком. Он пояснил, что речь идет о выявлении подозрительных операций, системе оповещения клиентов и коммуникации с ними по дальнейшим действиям.
В "Почта Банке" отметили, что у них также реализованы методики выявления признаков несанкционированных операций и получения согласия клиента на дальнейшее проведение операций.
Алексей Голенищев из Альфа-Банка надеется, что принятие законопроекта улучшит жизнь банкам с правовой точки зрения. "Но это зависит от четкости и корректности юридического трактования, а также от того, насколько полно будут описаны все аспекты и механизмы системы противодействия хищениям и процедуры возврата денежных средств по незаконным операциям", - пояснил он. Основную пользу законопроекта Алексей Голенищев увидел в механизме дополнительного правового обеспечения действий банка, особенно в части возврата несанкционированно списанных денежных средств.
В группе ВТБ также поддерживают усилия правительства РФ по дополнительной защите денежных средств граждан. В пресс-службе Почта Банка отметили, что данная законодательная инициатива обяжет все кредитные организации осуществлять мониторинг подозрительных операций в системах ДБО. "Введение дополнительных мер безопасности платежей и усиление контроля за активностью пользователей усложнит реализацию мошеннических схем", - добавили в Почта Банке.
Рассуждая о перспективах, директор по мониторингу электронного бизнеса Альфа-Банка согласился с прогнозами Банка России по поводу того, что с проникновением платежных сервисов и цифровых услуг, не требующих физического присутствия клиентов, количество атак может вырасти. При этом он упомянул, что это обстоятельство будет стимулировать банки совершенствовать систему безопасности. По словам Алексея Голенищева, Альфа-Банк использует современные и эффективные средства мониторинга и противодействия. В Почта Банке также придерживаются мнения, что с ростом популярности дистанционных каналов банковского обслуживания увеличивается и активность мошенников в этой сфере.
Менеджер по продукту компании "Код безопасности" Александр Колыбельников напомнил о данных, приведенных в обзоре несанкционированных переводов денежных средств за 2016 г., опубликованном Центром мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ Банка России) Главного управления безопасности и защиты информации Банка России.
"По данным Банка России, за отчетный период с использованием платежных карт было совершено более 296,7 тыс. несанкционированных операций на общую сумму 1,08 млрд руб. При этом сохраняется отмеченная в 2015 г. тенденция снижения объема несанкционированных операций в поквартальном разрезе. Доля несанкционированных операций в общем объеме операций составила 0,0021%. При этом нисходящий тренд остался без изменений по сравнению с 2015 г. Учитывая мероприятия, проводимые Банком России в области противодействия киберпреступности в кредитно-финансовой сфере, в условиях общего роста платежей, совершаемых в безналичной форме, Банк России ставит целью удержать показатель доли несанкционированных операций в общем объеме операций, совершенных с использованием платежных карт, ниже уровня 0,0050%", - говорится в отчете.
Александр Колыбельников полагает, что указанная законодательная инициатива призвана упростить работу антифрод-подразделений (подразделений, занимающихся предотвращением мошеннических операций при совершении платежа с помощью банковской карты) в финансовых организациях и предложить им набор готовых признаков мошенничества.
"Насколько эти рекомендации будут применимы зависит не только от самих рекомендаций, но и от нормативно-правового режима и технических средств, используемых в конкретном банке для противодействия мошенничеству", - добавил Александр Колыбельников. Он отметил, что какие-либо минусы в этом подходе сформулировать трудно, за исключением того, что рекомендации, как правило, даются на основе анализа уже произошедших инцидентов, то есть данная инициатива не предотвратит мошенничество полностью.
Дмитрий Кузнецов из Positive Technologies рассказал, что для обнаружения мошеннических платежей банки активно используют системы фрод-мониторинга. При этом, по его словам, сложилась парадоксальная ситуация: банки могут эффективно обнаруживать мошеннические платежи и при этом не вправе таким платежам помешать. "Получив платежное поручение, банк обязан его исполнить, и правовых оснований отказаться переводить деньги у него нет. Все, что банк может сделать для защиты клиента, это ненадолго задержать обработку платежа и попытаться связаться с клиентом, чтобы он мог отменить платеж", - пояснил он.
Как пояснил Дмитрий Кузнецов, часто случается такое, что с клиентом не удается связаться, а если удается, то он не помнит кодовое слово, необходимое для авторизации. "В итоге чаще всего клиент обращается в банк с просьбой отменить платеж, когда платежное поручение уже отправлено банку-получателю, и остановить денежный перевод со стороны отправителя уже невозможно", - добавил он.
По словам Дмитрия Кузнецова, законопроект делает применение систем фрод-мониторинга обязательным и упорядочивает работу с ними. По его словам, подобная инициатива позволяет использовать системы фрод-мониторинга с максимальной эффективностью.