Банки защитят клиентов от кибермошенников

Банки будут отслеживать сделки клиентов и запрашивать их согласие на совершение операции, которая покажется сомнительной. Изменения в законодательстве помогут защитить деньги граждан и компаний от кибермошенников. Но банкам придется и самим совершенствовать системы безопасности платежей, а их клиентам внимательно следить за своими счетами.

 

Способы воровства денег стремительно развиваются вместе с технологиями безналичных расчетов. Законодательство едва поспевает. Госдума на заседании 11 октября приняла в первом чтении поправки в Уголовный кодекс, которые устанавливают наказание за хищение средств с банковского счета и электронных денег. Однако первый круг обороны от кибермошенников создается уже на подступах к счетам граждан и организаций.

 

На прошлой неделе комиссия правительства России по законопроектной деятельности одобрила два законопроекта, подготовленных минфином. Одним будет введен запрет на снятие наличных с помощью анонимных электронных средств платежа. С помощью предоплаченных банковских карт мошенники обналичивают украденные деньги.

Второй документ должен выставить заслоны на этапе хищения средств.

 

«Целью законопроекта является защита денежных средств клиентов банков от несанкционированного списания, в том числе с использованием сети Интернет и устройств мобильной связи», — пояснили в пресс-службе минфина. В ведомстве отметили, что в опубликованный проект уже вносятся изменения, но новая версия документа будет представлена общественности после направления его в Госдуму.

 

Пока, как следует из текста законопроекта, для борьбы с похитителями средств призовут самих владельцев счетов и банки. Кредитные организации должны будут отслеживать сделки и запрашивать согласие клиентов на совершение операции, которая покажется сомнительной. Критерии таких операций, как предполагается, разработает ЦБ, а банки смогут дополнять список.

 

Клиент должен подтвердить или отклонить сомнительную операцию течение двух дней после получения уведомления банка. В том случае, когда он сам узнает, что доступ к средствам электронного платежа получили третьи лица, либо утеряны пароль, пин-код, надо будет срочно направить уведомление в банк.

 

Сообщить туда также следует, если деньги уже исчезли со счета. Вот только юридическим лицам, в отличие от граждан, факт несанкционированного списания средств придется доказывать в арбитражном суде.

 

Крупный куш

 

Физические лица, то есть граждане, первыми попали под удар мошенников. Осваивать новое поле деятельности злоумышленники начали с краж из банкоматов и воровства денег с пластиковых карт. Тогда для защиты физлиц в Закон «О национальной платежной системе» уже в 2014 году были внесены изменения.

 

Вместо 30-дневной процедуры расследования случаев исчезновения средств была закреплена обязанность банка возместить сумму, перечисленную со счета без согласия клиента. При этом кредитным организациям предписали уведомлять индивидуальных клиентов о совершении операции, хотя сам порядок уведомления определен не был. Если же человек поймет, что своего согласия на какую-либо операцию он не давал, то должен уведомить об этом банк не позднее дня, следующего за днем получения уведомления о проведении данной операции. Деньги вернут.

По сравнению с гражданами юридические лица, то есть организации, перед лицом кибермошенников фактически остались без законодательной защиты. Злоумышленники тем временем взялись за счета компаний и здесь открыли для себя новые горизонты. В 2016 году было совершено около 300 тысяч несанкционированных операций с использованием платежных карт, эмитированных российскими кредитными организациями. Общая сумма таких операций превысила миллиард рублей.

В то же время на счета юрлиц было совершено только 717 посягательств. Зато общая сумма несанкционированных операций составила почти 2 миллиарда рублей. В половине случаев попытки увести деньги без ведома их владельца удались, приводит данные минфин в пояснительной записке к законопроекту.

Дыры транзакций

Предотвратить только законодательными мерами все случаи несанкционированного списания средств со счетов граждан и юрлиц будет не так-то просто, считают эксперты.

Почву для увода средств создают сами электронные системы платежей. «Все несанкционированные списания средств происходят в рамках дистанционного банковского обслуживания с использованием электронных средств платежа — мобильного банка, банковской карты, интернет-банкинга и других систем», — говорит вице-президент Ассоциации банков России Олег Иванов.

Несанкционированное списание средств может произойти и в случае сбоя системы, и в результате различных видов мошенничества. К тому же могут совершаться фиктивные сделки с участием так называемых фирм-однодневок. В банк для проведения операции предоставляются поддельные документы, говорит начальник аналитического департамента УК «БК-Сбережения» Сергей Суверов. Клиент санкционирует операцию, но она является незаконной.

Даже определить, что такое сомнительная сделка, будет сложно. «В ситуации с физическими лицами есть четкий критерий подозрительности операции — география платежей или нехарактерные получатели платежей. С юридическими лицами ситуация сложнее, — отмечает председатель ассоциации «Электронные деньги» Виктор Достов. — Можно сделать закрытый лист получателей платежей-контрагентов. Тогда сомнительными будут считаться операции, если контрагент отсутствует в этом перечне», — рассуждает эксперт.

Технические сложности могут возникнуть также в процессе уведомления клиентов и подтверждения ими операций. Если для общения банка с физическими лицами законопроектом предусмотрены звонки по телефону или отправка электронных сообщений, то взаимодействие с юрлицами будет определяться условиями договоров. «В отношении юридических лиц подтверждать и отменять операции сложнее. Можно делать подтверждение с помощью электронных ключей. Но когда в организации идет большое количество операций, подтверждать их все будет очень сложно», — говорит Виктор Достов. К тому же каналы, по которым отправляется запрос о подтверждении операции и ответ клиента, также могут быть перехвачены злоумышленниками.

Все сам!

Тем временем алгоритмы выявления сомнительных операций разрабатывают кредитные организации.

«В банке уже действует онлайн-система мониторинга операций. При оценке рисков модель учитывает не только детали конкретного платежа, сессионного события или последовательность операций по конкретному каналу, но и активность клиента в других платежных каналах.

Например, если мы увидим, что за пять минут до проведения операции по карте в Испании клиент совершил операцию по своему мобильному устройству (с полной аутентификацией) с территории России, то данная операция банком будет отклонена, а с клиентом оперативно свяжутся для подтверждения платежа», — рассказали «Российской газете» в пресс-службе одной из крупных кредитных организаций.

Подобные системы использует модель машинного обучения, то есть «искусственный разум», который постоянно переобучается, учитывает опыт предыдущих операций и в доли секунды принимает решение по платежу. Но специалисты призывают граждан и компании самим быть осторожнее в использовании безналичных расчетов.

Пользователей сети Интернет постоянно подталкивают к переходу на разные сайты, оплате ненужных услуг, подключению автоплатежей, говорит Виктор Достов. «Стоит внимательно следить за тем, кому, как и за что платим», — подчеркивает он.

Есть комплекс технических мер. На том компьютере, где установлена программа для совершения дистанционных платежей, не стоит выходить в Интернет. Доступ к этому компьютеру должен иметь только сотрудник, ответственный за проведение платежей. Также необходимо установить системы защиты от взлома программного обеспечения, советуют специалисты.

 

Поделиться: