Глава департамента ЦБ: нужно минимизировать ущерб клиентов банков из-за злоумышленников
На фоне роста активности кибермошенников Банк России предложил усовершенствовать механизм возврата похищенных преступниками средств. Процесс будет упрощен, а суммы возврата банками средств, похищенных мошенниками у граждан, должны увеличиться. О мерах регулятора по защите интересов вкладчиков и кредиторов в интервью ТАСС рассказал директор департамента информационной безопасности Банка России Вадим Уваров.
— Вадим Александрович, с чем связана необходимость внесения таких поправок и что планируете изменить в существующем механизме возврата похищенных средств?
— Проблема мошенничества очень актуальна, злоумышленники используют все более изощренные схемы и сценарии для кражи денег у граждан, ущерб от их действий растет. В среднем в квартал мошенники крадут около 3 млрд рублей. А по нашим предварительным оценкам, совокупный размер подобных краж за весь 2021 год будет больше, чем в прошлом году, когда мошенники похитили примерно 9 млрд рублей. Для справки: средний чек кражи за 2020 год, по данным Банка России, составил чуть больше 11 тыс. рублей. Решение проблемы кибермошенничества — один из наших приоритетов. Для этого мы предлагаем ряд мер, направленных на защиту интересов граждан. Первое — изменить механизм возврата похищенных средств. Второе — усовершенствовать меры противодействия мошенническим переводам.
— Можете подробней рассказать о мерах?
— Что касается мер противодействия злоумышленникам, то предполагается, что не только банк плательщика, как это происходит сейчас, но и банк получателя платежа будет проверять операцию на признаки мошенничества. Если говорить образно, то было одно плечо, а станет два. Мы ведем базу о случаях и попытках осуществления переводов денежных средств без согласия клиента и предоставляем кредитным организациям данные из этой базы. Банк получателя платежа сможет ограничивать дистанционный доступ к счету, если информация о таком счете есть в этой базе.
Отмечу, что доступ к счету получателя будет ограничиваться с соблюдением гражданских прав его владельца. То есть он сможет распорядиться деньгами, но для этого нужно будет прийти в офис банка с паспортом. Однако зачастую за счетом получателя, на который в результате мошеннической операции поступают деньги, стоят дропперы — лица, использующие чужие счета для вывода и снятия похищенных денег. Очевидно, что обращаться в банк по счету другого лица, карту которого они эксплуатируют в противоправных целях, они не станут.
А если говорить о мерах по усовершенствованию возврата, то сейчас обсуждается возврат денежных средств в случае, если банк плательщика не учел нашу информацию в своих бизнес-процессах.
— Все же деньги будут возвращаться в пределах какой-то ограниченной суммы или в объеме суммы, ушедшей со счета жертвы мошенников?
— По действующему законодательству клиент банка вправе рассчитывать на возмещение денег в полном размере, если он не нарушил условия договора — не передал злоумышленникам банковские сведения (СМС-код, номер платежной карты и др.). Одновременно мы видим, что широкое распространение получает мошенничество, преимущественно телефонное, когда граждане добровольно раскрывают банковские сведения злоумышленникам. И в этой ситуации, если человек нарушил условия договора и предоставил информацию о своих персональных данных, ПИН-коде, номере карты или счета, то он этого права лишается. Это негативно влияет на доверие потребителей к дистанционным платежным сервисам.
Мы проанализировали ситуацию и предлагаем рассмотреть возможность возврата похищенных средств гражданам, даже если мошенничество произошло с использованием методов социальной инженерии. Обсуждается возможность безусловного возврата всей похищенной суммы, если банк не учел в своих бизнес-процессах информацию, полученную от нас и содержащуюся в базе о случаях и попытках осуществления переводов денежных средств без согласия клиента.
— Когда это может быть внедрено и какая нормативно-правовая база для этого нужна?
— Для практической реализации наших мер потребуется внесение изменений в отдельные статьи закона "О национальной платежной системе" (ст. 8 и 9). Мы рассчитываем на скорейшее принятие поправок, чтобы минимизировать ущерб клиентов финансовых организаций от действий злоумышленников.
— Какие ведомства отрасли могут быть вовлечены во всю эту работу?
— Нововведения затронут банковское сообщество, поэтому основной упор делается на обсуждение мер с участниками рынка. Мы также запросим мнение представителей федеральных органов исполнительной власти и других заинтересованных сторон, чтобы получить их экспертную оценку. В целом мы открыты для диалога по этой теме.
— Как рынок отреагировал на предлагаемые регулятором изменения в ходе первого раунда консультаций и какие предложения со стороны банковского сообщества ЦБ планирует учесть в готовящейся сейчас редакции законопроекта?
— По итогам первого этапа обсуждений с кредитными организациями мы получили значительное количество предложений, вопросов и мнений, над которыми сейчас работаем. Для нас было вполне ожидаемо, что рынок активно отреагирует на наши инициативы.
Здесь еще раз хочу обратить внимание, что мы исходим прежде всего из защиты прав и законных интересов граждан. Я думаю, что это не последний этап обсуждений, и мы благодарны рынку за обратную связь.
— Вы отметили, что ЦБ намерен существенно увеличить долю возвращенных средств, похищенных с применением методов социальной инженерии. Получается, что потребитель может перестать быть бдительным, ведь, что бы он ни сделал, он всегда будет получать свои деньги?
— Наши инициативы только обсуждаются, и сейчас сложно точно сказать, в каком виде будут они приняты. В любом случае это не панацея от мошенничества, и гражданам, безусловно, нужно быть бдительными и осторожными. Мошенники постоянно придумывают новые способы хищений, поэтому надо всегда внимательно относиться к своим личным и финансовым данным.
— Будут ли предусмотрены какие-то меры, которые позволят вернуть деньги, ушедшие на счета мошенников в иностранные банки за пределы РФ?
— Мошенничество в основном происходит, когда вся цепочка от перевода до снятия похищенных средств замкнута на банках на территории России. Трансграничные мошеннические операции не так широко распространены. Тем не менее, если банк допустил такую операцию, то возвращать он их должен из собственных средств. Дальнейшая работа идет в рамках претензионный работы платежной системы, которая носит трансграничный характер. Если такая операция попадает под правила международной платежной системы, то банк сможет компенсировать свои убытки.
— Появится ли какая-то дополнительная нагрузка на банки и что выиграют граждане от нововведений?
— Банки в той или иной степени заинтересованы в инициативах, способствующих решению проблемы с мошенничеством, так как от нее страдают и их клиенты тоже. Предлагаемые меры, по нашему мнению, не повлекут существенной нагрузки на кредитные организации, зато серьезно усложнят жизнь злоумышленникам, которые наживаются на наших гражданах. Решение проблемы мошенничества позволит укрепить доверие потребителей к финансовой системе.
— И последний вопрос, который не могу не задать. Всю прошлую неделю обсуждалась хакерская атака на один из российских банков. Что в итоге произошло? Высказывались версии чуть ли не о взломе системы Банка России.
— Никакого взлома платежной системы Банка России не было. Инцидент, о котором вы говорите, почти годичной давности, он произошел в феврале 2021 года. Тогда ФинЦЕРТ выявил подозрительную активность по платежам одного из банков в платежной системе Банка России, и наша дежурная служба сразу же связалась с этим банком, остановила платежи и далее совместно с ним предпринимала усилия для локализации инцидента. Выяснилось, что злоумышленники атаковали кредитную организацию, получив доступ к ее компьютерной сети, и смогли сформировать во внутренней банковской системе фиктивные платежные поручения.
Оперативное выявление происшествия ФинЦЕРТом позволило минимизировать потери банка. Более того, большую часть денежных средств удалось заблокировать и создать условия для возврата. По итогам разбора инцидента мы выпустили для банков информационный бюллетень. Кроме того, сценарий, составленный на основе этого события, был использован в киберучениях.