Банки снизили долю возврата денег, украденных мошенниками

Банки в прошлом году возместили своим клиентам 11,3% от общего объема денежных переводов, проведенных без их согласия. В 2019 году показатель возврата средств был выше — 14,6%. ЦБ работает над мерами по улучшению этого механизма

В 2020 году российские банки вернули своим клиентам — физическим лицам только 11,3% от всего объема украденных мошенниками денег — это 1,1 млрд руб. В 2019-м доля, которую кредитные организации смогли возместить, была больше — 14,6%, или 935,9 млн руб. Об этом говорится в ежегодном обзоре департамента информационной безопасности Банка России.

«Такой уровень данного показателя обусловлен существующими договорными отношениями кредитных организаций со своими клиентами. Кредитные организации не возвращают денежных средств в случае нарушения клиентом условий договора, предусматривающих необходимость сохранения конфиденциальности платежной информации», — объяснили в ЦБ.

Банк России уже работает над мерами по улучшению механизма возврата, сказал журналистам директор департамента информационной безопасности ЦБ Вадим Уваров: «Прежде всего это стимулирование повышения качества антифрод-процедур, в том числе за счет обогащения знаний банков о клиенте. Мы полагаем возможным рассмотреть целесообразность использования технологии device fingerprint (цифровой отпечаток устройства. — РБК), ее стандартизации и возможного использования в системах дистанционного банковского обслуживания». Банк России также планирует изменить на законодательном уровне механизм возврата похищенных средств, но как именно — Уваров не рассказал, отметив лишь, что это «очень непростая история, прежде всего с юридической точки зрения».

Всего в 2020 году физические лица перевели 91,1 трлн руб. через банковские карты, электронные кошельки и т.д., совершив 49,6 млрд транзакций. Мошенникам удалось похитить 9,7 млрд руб., проведя 773 тыс. транзакций. К этим операциям относятся переводы без согласия клиентов со счетов физических и юридических лиц, а также хищения в результате доступа хакеров к банковской инфраструктуре. За год эти показатели выросли на 52,2 и 34% соответственно. Общий объем переведенных средств увеличился на 28,2%, а число операций — на 23,1%. Уваров объяснил это ростом популярности электронных платежей, появлением новых мошеннических сценариев в пандемию, а также тем, что из-за самоизоляции «основными каналами общения с нашими гражданами стали телефон и интернет».

Как мошенники похищают деньги

• Основную часть средств (8,7 млрд руб.) мошенники украли у физических лиц. Средняя сумма одной операции без согласия клиента по их счетам составила 11,4 тыс. руб., у юридических лиц — 347,8 тыс. руб. У юридических лиц злоумышленники похитили 701 млн руб., из них банки возместили своим клиентам порядка 8,7% (88,4 млн руб.).
• Больше всего мошеннических переводов было проведено с помощью методов социальной инженерии (психологические приемы обмана и введения клиентов в заблуждение) — 61,8%. По сравнению с 2019 годом этот показатель снизился на 6,8 п.п.: в Банке России объясняют это ростом осведомленности клиентов о безопасности платежей. Успешность применения таких методов связана с нелегальным оборотом персональных данных, напомнил ЦБ: по его оценке, утечки в большинстве случаев возникают не в банках, а в торгово-сервисных предприятиях, некоммерческих организациях и т.д.
• Больше всего мошенникам удается украсть у физических лиц через каналы дистанционного банковского обслуживания (ДБО) — средняя сумма составляет 27,8 тыс. руб., через банкоматы и платежные терминалы в среднем похищают 15,2 тыс. руб., при операциях без присутствия карты (например, оплата в интернете) — 7,2 тыс. руб.
• Основная часть операций без согласия клиентов — физических лиц совершена при оплате товаров и услуг в интернете: 585,3 тыс. транзакций на 4,2 млрд руб. Из этих средств банки вернули клиентам 813,4 млн руб., или 19,2%.
• На втором месте по частоте использования мошенниками — мобильные приложения и сайты банков. Через них мошенники украли 3,8 млрд руб., проведя 136,1 тыс. операций. Здесь зафиксирована самая высокая доля социальной инженерии — порядка 80%. «Это объясняется целевым характером атак, который, в свою очередь, обусловлен потенциально более высоким «доходом» злоумышленника (объем остатка на клиентских счетах, доступных в ДБО, может существенно превышать размер средней сделки в интернете)», — объясняется в докладе. В этих случаях банки вернули клиентам всего 136,5 млн руб., или 3,6%. ЦБ также отметил значительный рост числа хищений кредитных денег, оформленных мошенниками от имени клиента с помощью мобильных приложений или сайтов банков. «Обычно это суммы в несколько десятков тысяч рублей. И говорить о том, что это какая-то большая проблема с точки зрения сумм, наверное, не стоит. Нас здесь пугает прежде всего увеличение количества таких инцидентов», — пояснил первый замдиректора департамента ЦБ Артем Сычев.
• Банковские карты использовались без согласия клиента в банкомате или терминале 48,7 тыс. раз, таким способом мошенники похитили 740,4 млн руб. Банки вернули клиентам 9% украденных средств (66,4 млн руб.).

Получается ли у мошенников получить доступ к счетам

В прошлом году банки сообщили в ЦБ о 581 инциденте, связанном с несанкционированным доступом к их информационной инфраструктуре, на общую сумму порядка 46 млн руб. В 2019 году было зафиксировано 973 таких инцидента на общую сумму 103,8 млн руб.

В большинстве случаев доступ получали сотрудники самих кредитных организаций. Объем ущерба в результате таких хищений составил порядка 9 млн руб. Еще 130 случаев хищения произошли в результате компьютерных атак, сумма хищений составила почти 32 млн руб.

Кроме того, в прошлом году произошли четыре компьютерные атаки и два случая несанкционированного доступа к ПО банкоматов, в результате чего было похищено 2,8 млн и 1,2 млн руб. соответственно. Такие объемы хищений говорят о низкой результативности действий мошенников, отмечает ЦБ.

Можно ли возвращать больше похищенных денег

Хищения происходят в основном из-за невнимательности и доверчивости самих клиентов, этим и объясняется столь низкая доля возвратов, говорит партнер юридической фирмы «Рустам Курмаев и партнеры» Дмитрий Клеточкин. «Банк обязан возместить клиенту сумму операции, о которой клиент не был должным образом информирован и которая была совершена без его согласия, но методы социальной инженерии основаны именно на получении этого согласия, что по факту снимает с банка ответственность», — объясняет юрист. С учетом развития технологий и уровня идентификации клиентов в большинстве банков клиент, по мнению банка, многократно подтверждает операцию, а значит, добровольно переводит деньги мошенникам, добавляет управляющий партнер AVG Legal Алексей Гавришев.

Еще одна причина — отсутствие должной координации действий правоохранительных органов в разных регионах, продолжает Клеточкин: «Например, если деньги похитили у жителя Москвы, звонили из Мордовии, деньги переведены на счет жителя Хабаровска, а обналичены в Сыктывкаре, то расследование и поиск преступников могут сильно затянуться. И это в самом простом случае, который не предполагает трансграничных переводов».

Действующий механизм возврата похищенных средств в основном направлен против устаревшего вида мошенничества через подделывание банковских карт и их использование в банкоматах и терминалах, отметил Гавришев. По его мнению, логично было бы внести изменения, которые обязывали бы банк возвращать средства клиенту и приостанавливать их использование до окончательного разбирательства. Однако, предупреждает эксперт, такие изменения приведут к ужесточению политики идентификации со стороны банков и могут в перспективе ограничить работу дистанционных каналов обслуживания (сайтов и приложений).

Изменение механизма возврата средств, особенно похищенных средствами социальной инженерии, не поможет ситуации, не соглашается Дмитрий Клеточкин: «Мошенникам это вряд ли помешает, они знают, что деньги похищены, и будут стараться максимально быстро их вывести далее и обналичить, а вот честным гражданам будет сложнее жить».