Продолжаем анализировать второй пакет мер по борьбе с кибермошенниками, представленный Минцифры на общественное обсуждение. В этот раз своим видением ключевых моментов документа с нашими читателями делится независимый эксперт Николай Пятиизбянцев. Предлагаем вашему вниманию его анализ законодательных инициатив, предлагаемых к внесению в Федеральный закон от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе».
1. Предлагается часть 3.1 статьи 8 дополнить обязанностью операторов по переводу денежных средств получать из государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий (ГИС ПСсИИиКТ), сведения, предусмотренные абзацами вторым и третьим подпункта 1 пункта 19 статьи 46 Федерального закона от 7 июля 2003 года № 126-ФЗ «О связи» (сведения об абонентских номерах, используемых в целях совершения телефонных вызовов и направления коротких текстовых сообщений, имеющих признаки противоправных действий; а также сведения об абонентских номерах, на которые совершаются телефонные вызовы и направляются короткие текстовые сообщения, имеющие признаки противоправных действий), а также использовать информацию о выявленных на основании части 12 статьи 27 настоящего Федерального закона случаях воздействия вредоносного кода на программное обеспечение, используемое клиентом – физическим лицом в целях осуществления переводов денежных средств (далее – информация о воздействии вредоносного кода)».
То есть банки при выявлении признаков подозрительных операций (без добровольного согласия клиента) будут обязаны использовать информацию от операторов связи об абонентах, с номеров которых осуществляются подозрительные звонки и сообщения и на номера которых такие звонки и сообщения осуществляются.
Также банки должны будут анализировать информацию о фактах заражения устройств клиентов физических лиц вредоносным программным обеспечением (ВПО), подробнее этот момент мы рассмотрим далее.
2. Часть 3.4 той же статьи 8 дополняется правом операторов по переводу денежных средств при получении информации о нахождении абонентского номера клиента в едином реестре абонентских номеров, в отношении которых имеются признаки использования для осуществления противоправных действий, приостановить использование клиентом электронного средства платежа на период нахождения сведений в данном реестре.
То есть если с данного номера осуществлялись мошеннические звонки и указанный номер был занесен в единый реестр, то дополнительно банки заблокируют (приостановят) все карты, а также интернет- и мобильный банк клиенту – владельцу такого телефона.
Если банк получает информацию, что на устройстве клиента установлено ВПО, он должен отказать клиенту в совершении операции с использованием данного устройства, при этом необходимо проинформировать клиента о возможности совершить перевод денежных средств при личном присутствии клиента или его представителя.
В законопроекте об этом не говорится, но вероятно, такую операцию можно совершить не только при личном присутствии, но и с использованием другого устройства клиента, не имеющего признаков установки ВПО, с использованием платежных карт, а также в случае, если клиент отзовет (об этом несколько далее) свое согласие на защиту своего программного обеспечения от воздействия вредоносного кода.
3. Банки должны дополнить свои нормативные документы, регламентирующие процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без добровольного согласия клиента, требованиями по анализу информации о воздействии вредоносного кода и сведений из ГИС ПСсИИиКТ.
4. Вносятся уточнения по финансовой ответственности банков в случае непринятия соответствующих мер, после получения информации из ГИС ПСсИИиКТ. Возмещение суммы перевода денежных средств или операции осуществляется не позднее 30 дней, следующих за днем получения соответствующего обращения клиента. Вводится новое уточнение: к обращению клиента должно быть приложено постановление о возбуждении уголовного дела по факту хищения денежных средств в результате совершения операции без добровольного согласия клиента с указанием метода введения в заблуждение, составляющих сумму перевода денежных средств или операции.
5. Предлагается ввести ограничения для клиентов – физических лиц по количеству платежных карт как в одном банке (не более 5 карт), так и в сумме у всех кредитных организаций (не более 10 карт).
И если контроль в рамках одной кредитной организации не представляет каких-либо затруднений, то как это будет реализовано в рамках всех кредитных организаций страны – абсолютно непонятно. Должна быть создана некая база данных, куда все банки должны направлять на проверку заявления клиентов на открытие платежных карт и получать ответ, можно ли конкретному клиенту выдать новую карту или нет. Кто будет вести такую базу, Банк России, другая организация, на каком правовом основании? В принципе сам запрос вовне, что клиент банка хочет открыть новую карту, является разглашением банковской тайны (сведения о клиенте). На каком основании это будет осуществляться, не ясно.
6. Вводится неоднозначное требование по обязанности банков обеспечить защиту своего программного обеспечения, используемого клиентом – физическим лицом в целях осуществления переводов денежных средств, включая мобильную версию приложения и сайт в информационно-телекоммуникационной сети «Интернет», от воздействия вредоносного кода и осуществлять контроль и выявление случаев воздействия вредоносного кода на такое программное обеспечение. При этом данная защита может быть реализована только при наличии согласия клиента – физического лица, зафиксированного в заключенном с ним договоре.
С одной стороны, банк, предоставивший клиенту платежную карту, обязан в рамках исполнения требований законодательства, в частности, части второй статьи 24.3-1 Федерального закона «О банках и банковской деятельности», до выдачи наличных денежных средств с банковских счетов клиента с использованием банкоматов осуществить проверку на наличие признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов. Одним из таких признаков в соответствии с приказом Банка России ОД-1765 является наличие информации, выявленной кредитной организацией в рамках реализуемой системы управления рисками, связанной с наличием вредоносного программного обеспечения (вредоносных программ) на устройствах абонента – физического лица, с применением которых осуществляется направление запроса на выдачу наличных денежных средств.
Таким образом, согласно п. 2 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных необходима для достижения целей, предусмотренных законом для осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на оператора, и не требует согласия субъекта персональных данных на обработку его персональных данных. То есть банки уже сейчас обязаны выявлять ВПО на устройствах клиентов, и согласия клиентов на это не требуется, а зачем получать такое согласие для защиты переводов денежных средств, непонятно.
При этом, как было указано выше, в случае выявления ВПО на устройстве клиента банк ограничивает переводы денежных средств такого клиента. Но если клиент отзовет свое согласие на защиту, то у банка не будет информации о наличии ВПО, и банк будет обязан разрешить такой перевод, при этом ВПО останется на устройстве клиента. Дополнительный фактор: каким образом клиенты будут давать и отзывать такие согласия? Если через интернет или мобильный банк, то первым действием мошенников при установке ВПО на устройство клиента будет отзыв такого согласия, т. е. мера окажется неэффективной. И что делать банку, если с целью снятия наличных он выявляет ВПО, а с целью перевода денежных средств не имеет права этого делать?
7. Также из законопроекта можно предположить, что обмен информацией с ГИС ПСсИИиКТ о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента банки будут осуществлять через АСОИ ФинЦЕРТ, а об абонентских номерах клиентов, не попадающих в ФинЦЕРТ, – напрямую. Порядок взаимодействия в обоих случаях устанавливается Банком России.
Также читайте мнение по поводу второго пакета мер борьбы с кибермошенниками независимого эксперта Алексея Голенищева.
Фото: ПЛАС
