Банки теперь обязаны противодействовать кибермошенникам

26 сентября сего года в России вступил в силу 167-ФЗ «О внесении изменений в отдельные законодательные акты РФ в части противодействия хищению денежных средств», направленный на противодействие несанкционированным операциям и защиту клиентов банков от хищения средств кибермошенниками. Ключевой организацией в сложной системе его реализации стал регулятор финансового рынка – Банк России. Как обычно, нововведение сразу породило слухи о том, что теперь-то уж точно банки могут блокировать карты, переводы, счета налево и направо. Разберемся поэтапно, что и как.

По данным ЦБ РФ, в 2017 году в результате примерно 300 тысяч кибератак со счетов граждан и юридических лиц было списано порядка миллиарда рублей.
В 2016 году объем по операциям пластиковых карт составлял 49 триллионов рублей, а в 17 году оборот по «пластику» - уже 61 триллион рублей.

Разумеется, выступая в качестве потребителя банковской услуги, мы желаем быть уверенными в том, что наши деньги не могут украсть, присвоить, «заныкать» и т.п. Нам всем нравится быть защищенными, но при этом зачастую терпеть неудобства ради собственной безопасности или ради безопасности своего кошелька – не готовы. Поэтому в Интернете столько историй с негативной окраской от клиентов банков: «Заблочили карту ни за что, а я всего-то…» Дело в том, что банку всегда проще «пере», нежели чем «недо»: перестраховаться, и не провести подозрительную операцию, прервав ее прямо в процессе.

Но не стоит путать такие действия банка с действиями в рамках 115-ФЗ – во втором случае учреждение подозревает в незаконных действиях вас, в первом – подозревает, что кто-то хочет незаконно нагреться за ваш счет. И если раньше банки в таких случаях полагались на собственные регламенты, теперь действовать таким образом им прямо предписано законом. Банки (а в перспективе и другие поднадзорные ЦБ организации) должны вести фрод-мониторинг клиентских транзакций (то есть выявлять мошеннические транзакции).

Теперь Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.

Форматы и сроки предоставления данных о киберинцидентах теперь стандартизированы: 1 ноября на официальном сайте регулятора был опубликован соответствующий отраслевой стандарт с утвержденными формами и порядками информационного взаимодействия поднадзорных организаций. Возможность использования стандарта согласована с ФСБ России. По мере изменения требований ведомства Банк России будет вносить в разработанный стандарт соответствующие корректировки.

Число целевых хакерских атак на российские банки в первом полугодии 2018 года составило 72 случая - на 80% выше по сравнению с аналогичным периодом прошлого года

В новом законе условно можно выделить три основных значимых момента.

• Первый: все банки обязаны работать в области кибербезопасности и соответствовать ряду критериев, отчитываясь о предпринятых шагах в развитии регулятору. Правда, даже если критерии уже окончательно утверждены, они точно останутся «тайными» для широкой публики по вполне понятной причине. Не ясно также, насколько затратным станет подтягивание всех банков на единый уровень для игроков «поменьше». Ни огромных бюджетов, ни высокой опасности (в том числе и из-за гораздо меньших «долей пирога» рынка), у них, как правило, нет. Ну, тут, как водится, практика покажет.
• Второй «принцип антифрода по-новому» - Центральный Банк создает автоматизированную информационную систему - АСОИ, которая позволит банкам оперативно сообщать регулятору о киберугрозах и своевременно получать рекомендации, как на них реагировать и как снизить возможный ущерб. В рамках этой системы Банк России вводит специальную отчетность кредитных организаций, которая должна содержать информацию об экономических критериях этих самых атак.
• Третий момент – самый «осязаемый» для конечного потребителя, да и для банков, впрочем, тоже: определен механизм приостановки банками незаконных транзакций и возврата денег их законным владельцам, в том числе и юридических лиц. Прямо обозначена обязанность банка при подозрении, что транзакция совершается с целью хищения, без ведома владельца средств, приостанавливать такие операции на срок до двух дней. 

По закону банк обязан выступить инициатором контакта с клиентом – незамедлительно связаться с ним, чтобы подтвердить легитимность этой операции. Если клиент подтверждает, что транзакция совершается им, никаких длительных процедур разблокировок и проверок не будет, обещают в Центробанке. Клиент просто должен подтвердить, что именно он совершает операцию, и банк тут же завершит операцию. Если связь с клиентом установить не удалось – банк должен в течение двух суток пытаться «достучаться». А дальше все будет зависеть от того, какие условия у клиента с банком прописаны в договоре обслуживания.

Подозрительные признаки

В системе заложено много параметров, которые позволяют банку начать подозревать мошенничество.

Итак, что банк может посчитать подозрительным:

• нетипичное платежное поведение клиента: нестандартный объем транзакций, например, необычное время их проведения. Или, допустим, со счета юридического лица идут одновременные переводы денег на счета физлиц в разные регионы с невнятным или подозрительным обоснованием платежа и т.п.;
• резкая смена географической привязки: частая смена городов, другая страна, просто транзакции в отдаленных друг от друга местах в одном населенном пункте через короткий промежуток времени.

Также банк решает вопрос о приостановке операции, когда он видит, что деньги переводят на те счета, которые попали в базу данных ЦБ по организациям и физическим лицам, замеченным либо уличенным в хищении средств.

Или когда устройство, посредством которого происходит перемещение средств, тоже находится в этой же базе. Причем, уверяют спецы, благодаря многофакторному анализу, одной смены Айфона на HTC* будет недостаточно. Ох уж эта «бигдата»!

Рекомендации тут для всех благопристойных и честных держателей денег в банках стандартны, и для думающих людей довольно привычны: сообщайте банку о планируемых крупных покупках, туристических поездках, частых командировках и т.п. 

Возврат средств

Регулятор обещает, что если вдруг незаконное списание все-таки произошло, и вины клиента банка в этом нет – пин-коды, пароли, явки не сообщал, ключ к интернет-банку не давал – вернуть деньги теперь станет намного проще и «физику» и «юрику». Ранее вопрос возврата этих денег решался очень долго, через судебные инстанции, в том числе и потому, что у кредитных организаций попросту не было оснований взять некую сумму с корсчета другого банка и зачислить на счет клиента. Новый закон вроде бы позволяет ввести некоторую досудебную практику, но, как обычно, надо смотреть, как на практике сложится практика. И, акцентируем ваше внимание, все равно будьте готовы доказывать, что вы никоим образом проступку мошенников вольно или невольно не содействовали.

Поскольку закон прямо обязывает банки возвращать клиенту деньги, похищенные в результате несанкционированного списания, если клиент не сообщал мошенникам свои персональные данные, необходимые для хищения.

В общем, с принятием закона, по сути, мало что изменилось для клиентов банков; возможно, сильно изменится для банков, создав им дополнительные затраты человеко-часов и рублей. Работающие ранее процедуры формализованы и структурированы и будут дорабатываться не один месяц. Собственно, как и само направление «антифрод» - прогресс не стоит на месте, хакеры не спят, мошенники придумывают новые схемы. А мы учимся заботиться о безопасности.

*HTC - марка смартфонов, производимых одноименной тайваньской компанией

Материал подготовлен специально для журнала «Эксперт Татарстан»