Журнал ПЛАС » Архив » 2021 » Журнал ПЛАС №10 »

Вадим Уваров: Задача ЦБ — соблюсти баланс между скоростью обмена данными и защитой прав потребителей

В июньском номере журнала «ПЛАС»* мы обсуждали с Вадимом Уваровым, директором Департамента информационной безопасности Банка России, ключевые тренды в сфере безопасности банковского сектора и платежной индустрии. В этот раз предметом нашей беседы стали в том числе такие вопросы, как роль регулятора в противодействии деятельности дропов, социальной инженерии и мошенничеству в целом.

ПЛАС: Собирается ли ЦБ каким-то образом противодействовать так называемым дропам — физлицам, на банковские счета которых преступниками выводятся похищенные денежные средства? В настоящий момент никаких конкретных требований по противодействию этим лицам не существует, кроме требования устанавливать лимиты на снятие средств с карточных счетов в случае, если банк получил информацию о принадлежности конкретного клиента к категории дропов. Рассматривается ли применение к дропам более жестких мер, например, по аналогии с прописанными в 115-ФЗ? Включая запрет на последующее открытие счета в любом банке конкретным лицом, уличенным в ведении деятельности дропа? Ведь большинство случаев вывода похищенных денег по-прежнему связано именно с банковскими картами, на кошельки и т. п. приходится лишь незначительный процент таких операций.

В. Уваров: Банк России уже несколько лет ведет базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента. В нее включаются данные о подозрительных счетах, на которые выводятся похищенные деньги, — так называемых дропах. Эти сведения мы доводим до кредитных организаций. В свою очередь, они обязаны учитывать эту информацию в своих антифрод-системах. Такие меры уже сейчас позволяют противодействовать дропам и помогают частично ограничивать их операции. Требуются ли дополнительные шаги? По мнению Банка России — да, это необходимо. Мы предложили ряд мер, направленных на защиту интересов граждан, и сейчас обсуждаем их с банковским сообществом.

Первое, что необходимо сделать, — изменить механизм возврата похищенных средств. Для случаев, когда банк плательщика не учел нашу информацию в своих бизнес-процессах, а человек раскрыл свои банковские и личные сведения под влиянием злоумышленников, рассматривается вариант возврата клиенту всей похищенной суммы.

Второе — мы хотим усовершенствовать меры противодействия мошенническим переводам. Каким образом это будет происходить? Сейчас операцию на признаки мошенничества проверяет банк плательщика, мы же предлагаем сделать такую проверку обязательной и для второй стороны, то есть для банка получателя. Таким образом будет предусмотрен «двойной контроль». Предполагается, если информация о счете есть в нашей базе о случаях и попытках осуществления переводов денежных средств без согласия клиента, то банк сможет ограничивать дистанционный доступ к нему. При этом все ограничения в отношении такого счета будут проводиться с соблюдением гражданских прав его владельца. Чтобы все-таки распорядиться деньгами, клиенту придется прийти в офис банка с паспортом. Если это действительно злоумышленник, использующий чужой счет, то он не станет обращаться в банк. Мы считаем, что это будет эффективный механизм в противодействии мошенническим переводам денежных средств.

ПЛАС: В настоящее время регулятор активно ужесточает меры в отношении стимулирования контроля фрода в банках, своевременного предоставления банками объективной отчетности и т. п. Таким образом, ответственность банков в отношении мониторинга и контроля фрода растет. Что делается регулятором для дальнейшей оптимизации взаимодействия банков и силовых ведомств?

В. Уваров: Количество пользователей банковских карт с каждым годом растет. На этом фоне больше стало и хищений средств со счетов граждан. По нашим данным, за три квартала 2021 года общая сумма денег, похищенных мошенниками у граждан — клиентов банков, составила свыше 9 млрд рублей. Это более чем на 34% превышает аналогичный показатель предыдущего года. А всего за три квартала этого года без согласия клиентов (физических и юридических лиц) с использованием электронных средств платежа было совершено более 730 тыс. операций.

 

 

В этой ситуации одним из эффективных способов профилактики, выявления и пресечения преступлений в сфере финансового мошенничества с электронными средствами платежа является оперативное взаимодействие Банка России и правоохранительных органов. Сейчас сроки, в которые кредитные организации рассматривают обращения правоохранительных органов по фактам дистанционных хищений, сложно назвать оперативными. Это связано в том числе с ограничениями, заложенными в законодательстве. В итоге своевременное проведение оперативно- разыскных мероприятий становится невозможным, а из-за длительного рассмотрения запросов принятие процессуальных решений затягивается.

И здесь главная задача для нас — соблюсти баланс интересов между скоростью обмена информацией и защитой прав потребителей.

 

 

Поэтому для более эффективного противодействия мошенничеству с банковскими картами мы предложили внести изменения в законодательство (в Федеральный закон № 161-ФЗ «О национальной платежной системе»). Предполагается, что с помощью нашей технологической инфраструктуры — автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России (АСОИ ФинЦЕРТ) — между регулятором и правоохранительными органами будет организован оперативный информационный обмен. Форму и порядок такого взаимодействия предстоит определить на основе двусторонних соглашений между Банком России и МВД. Сейчас предлагаемые изменения проходят межведомственное согласование. Мы рассчитываем, что эти меры повысят эффективность и оперативность взаимодействия Банка России и правоохранительных органов и создадут препятствия для действий злоумышленников.

ПЛАС: Не так давно была выявлена новая схема мошенничества с использованием социальной инженерии на сайте госуслуг. Какие меры, на ваш взгляд, могли бы уберечь наших граждан от мошенничества с использованием госсервисов в целом? Речь идет о преступлениях, связанных с мнимыми предложениями социальных пособий, медицинских услуг и товаров, а также о получении несанкционированного доступа к банковским счетам, платежным инструментам, компрометации паспортных и иных личных данных граждан с последующим оформлением от их лица кредитов, доверенностей и т. п.

В. Уваров: Злоумышленники пользуются недостаточной финансовой грамотностью населения. Более того, мошенники придумывают новые схемы обмана и легенды. Не секрет, что они умело подстраиваются под информационную повестку дня, например, активно используют тему пандемии в контексте разных выплат, компенсаций, пособий, или создают поддельные сайты банков, чтобы узнать данные для входа в личный кабинет (так называемые фишинговые сайты). Вообще мошеннические схемы можно условно разделить на две основные категории: когда клиенту активно предлагают что-то очень заманчивое или его настойчиво запугивают чем-то. Иногда берутся на вооружение оба приема сразу. Какая задача ставится мошенниками? Не дать жертве опомниться. Поэтому они всегда требуют от человека быстрого принятия решений. В любой ситуации необходимо оставаться осторожным, не действовать второпях и всегда проверять информацию. Наш традиционный совет гражданам — быть бдительными и не сообщать свои персональные данные и данные банковских карт посторонним лицам, под каким бы предлогом их ни пытались узнать. Такая защитная реакция должна срабатывать у всех нас каждый раз, когда возникает малейшее подозрение, что вам звонят или пишут злоумышленники. Следуйте этим правилам — и они спасут ваши деньги.

 

 

Чтобы не стать жертвами мошенников на фишинговом сайте, внимательно изучите ресурс, которым собираетесь пользоваться. На фишинговых сайтах, как правило, могут отсутствовать контактные или другие сведения, позволяющие идентифицировать организацию, предоставляющую услуги, данные о такой организации могут отсутствовать и в ЕГРЮЛ, адрес сайта может не совпадать с официальным сайтом реальной организации, а доменное имя — содержать явные ошибки. Также фишинговый сайт может выдать его недавняя регистрация, дату которой можно проверить на одном из специализированных порталов. Бдительность не нужно терять никогда, особенно пользуясь интернетом.

Банк России блокирует мошеннические ресурсы. Только за третий квартал этого года мы направили в адрес регистраторов доменных имен запросы на проведение проверочных мероприятий и снятие с делегирования почти две тысячи (1929) доменных имен, с использованием которых осуществлялась противоправная деятельность. 1 декабря вступил в силу закон, по которому интернет-ресурсы, используемые злоумышленниками для кражи денег у граждан, блокируются по инициативе Банка России во внесудебном порядке. Если раньше на блокировку ресурса уходило несколько недель, то теперь достаточно двух-трех дней.

Мы активно занимаемся финансовым просвещением, в частности, участвуем в разработке образовательных программ для учебных заведений, проводим профилактические мероприятия и онлайн-семинары. У Банка России есть информационно-просветительский портал «Финансовая культура», на котором в доступной, интересной форме публикуются разъясняющие материалы, в том числе по теме мошенничества в финансовой сфере. Но все это не может дать немедленный эффект, культура, в том числе финансовая, формируется постепенно.

 

 

В целом сейчас социальная инженерия — это основная проблема розничного финансового обслуживания. Решить ее можно только комплексно, информируя граждан и одновременно совершенствуя антифрод-системы в банках. Поэтому крайне важна не только работа в этом направлении со стороны регуляторов, но и активная позиция самих банков.

 

* Читайте материал «Вадим Уваров: Борьба с социальной инженерией — дело общее!» в ПЛАС №05 2021

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных