Как защищать граждан от финансовых преступников
В России 25 июля вступает в силу новый закон, обязывающий банки в течение 30 дней возвращать гражданам похищенные аферистами деньги. Правда, не во всех случаях, а только если перевод на мошеннический счет, данные о котором были в специальной базе ЦБ РФ, допустила сама кредитная организация, или если банк не направил клиенту уведомление о транзакции, совершенной без его согласия. Если клиент потерял свою карту и ею воспользовались без его ведома, а владелец сообщил о пропаже заранее, средства тоже будут возвращены. Банки также получают право на два дня — период «охлаждения» — блокировать переводы на подозрительные счета и уведомлять об этом клиентов, чтобы они подтвердили или отклонили операции. Помогут ли новые требования к банкам в борьбе с мошенниками, «МК» выяснил у экспертов.
41-летний житель Воркуты хотел узнать баланс своей карты через сайт коммерческого банка, который ее выпустил. Он зашел на сайт, постарался попасть в личный кабинет и ввел во всплывающее окно смс-код, который прислали на его телефон якобы для подтверждения. После этого вход в личный кабинет почему-то оказался заблокирован. Мужчина решил узнать ситуацию в банке и в быстро выяснил, что у него со счета похитили все находившиеся там деньги — порядка 195 тыс. рублей. В ходе расследования МВД установило, что мошенниками был создан так называемый сайт-двойник банка, и мужчина передал данные от своего личного кабинета киберпреступникам, которые и похитили средства.
Ранее помочь таким пострадавшим в России не было надежды. В банках заявляли, что «клиенты добровольно» и самостоятельно проводили операции и предоставили «третьим лицам» свои персональные данные, и значит сами банкиры никакой ответственности не несут и возвращать ничего не будут.
Банки включают «период охлаждения»
По данным ЦБ РФ, в 2023 году преступники похитили у банковских клиентов 15,8 млрд рублей. Банки смогли вернуть жертвам всего 8,7% от этой суммы. По сравнению с 2022 годом объем операций без согласия клиентов вырос на 11,5%, а число таких транзакций — на треть, до 1,17 млн. Есть и более свежие данные. По информации начальника департамента МВД России Александра Авдейко, за период с января по апрель 2024 года пострадавшим россиянам вернули около 9% из похищенных кибермошенниками 53,7 млрд рублей, ну то есть 5 млрд. рублей. «Мы должны понимать, что из-за того, что деньги уходят за рубеж — организаторы там, то с возмещением у нас пока плохо», — прямо заявил Авдейко в рамках сессии на Петербургском международном юридическом форуме в июне. По его данным, за три года количество IT-преступлений увеличилось на треть: с 2020 по 2023 год их доля по отношению ко всем остальным преступлениям выросла до 34,8%.
Вступающий в силу 25 июля закон призван улучшить статистику возвратов пострадавшим украденных у них средств. Теперь банки обязаны будут проверять денежные переводы клиентов и возмещать им похищенное, в случаях, когда перевод средств на реквизиты аферистов произошел по вине банковских организаций. Важный момент — счет, на который мошенники перевели деньги, должен находится в специальной базе ЦБ РФ, а туда очень быстро попадают сведения, как о прямых счетах преступников, так и о так называемых дропах— счетах, открытых физическими лицами и переданных мошенникам для совершения транзакций или снятия украденных наличных. Как правило, дропами становятся социально уязвимые категории граждан — пожилые люди с маленькой пенсией, студенты в общежитиях, бомжи, имеющие паспорт РФ и желающие заработать лишнюю тысячу рублей «на бутылку»… И когда таких людей спрашивают в полиции, зачем они передали свою карту злоумышленникам, ответ как правило поражает наивностью: «Подумаешь, открыл карточку в банке! А разве нельзя было? Это же не запрещено».
Согласно новому закону, банк, совершивший перевод денег на счет, «засвеченный» в базе ЦБ РФ, должен будет возместить украденные средства в течение 30 дней после получения заявления от пострадавшей стороны. Затем выбивание денег у мошенника становится уже проблемой банка, который может использовать свою службу безопасности, айтишников, юристов для решения этой задачи. Впрочем, чтобы до столь драматических сценариев не дошло, новый закон предусматривает двухдневный период «охлаждения», в течение которого банк не будет переводить деньги на подозрительный счет. О проведении сомнительной операции банк уведомит клиента, а тот, даже если находится под психологическим влиянием мошенников, за два дня такого «охлаждения» может одуматься и отменить перевод.
Эксперты в один голос приветствуют усилия Банка России (именно по его инициативе введены все эти законодательные новации) по борьбе с мошенничеством, в том числе позволяющие проводить профилактику «социальной инженерии». Однако о том, удастся ли защитить карманы граждан в цифровую эпоху только такими действиям, мнения разошлись. «Мера будет эффективной, поскольку существующие инструменты для защиты граждан от переводов мошенникам редко дают результат, а если и дают, то ждать приходится долго, — уверен вице-президент Ассоциации юристов по регистрации, ликвидации, банкротству и судебному представительству Владимир Кузнецов. — В то же время, возложение на банки обязанности по компенсации вреда от мошеннических переводов может негативно повлиять на финансовую устойчивость кредитных организаций. Следовательно, банки будут ужесточать и совершенствовать меры по контролю за переводами, а это может усложнить проведение финансовых операций обычными гражданами».
Основная задача — не просто увеличить компенсации пострадавшим людям, а создать стимулы для банковской системы предотвращать мошеннические операции на стадии попыток их проведения. «Банки будут внимательнее следить за аномальной активностью на счетах клиентов, что позволит минимизировать риски, — полагает исполнительный директор Tehnobit Александр Пересичан. — Помимо проверок подозрительных переводов и двухдневного периода «охлаждения» банки также обязаны отключать доступ к дистанционному обслуживанию дропам — лицам, которые помогают выводить похищенные деньги. Такие меры существенно повысят уровень ответственности банков и заставят их тщательнее проверять транзакции». Выбранный подход, в теории, позволяет создать многоуровневую защиту и усложнить действия мошенников.
Казалось бы, схема — огонь, но есть и подводные камни. Например, если аферисты используют новые счета, которые еще не попали в базу данных, банк может не успеть предотвратить мошенничество. Поэтому после вступления в силу нового закона ситуация не изменится кардинально. Важно понимать, что полная защита возможна лишь при условии постоянного обновления и улучшения антифрод-систем (систем мониторинга и предотвращения мошеннических операций. — «МК»). В условиях, когда мошенники имеют доступ к персональным данным, телефонным номерам и информации о кредитных договорах и вкладах граждан, необходима дополнительная защита, отметил эксперт.
Дропы станут «одноразовыми»
В настоящий момент средний размер похищенной киберпреступниками у россиян суммы составляет примерно 15 тыс. рублей. Как напомнил председатель комиссии по финансовой и информационной безопасности Совета Торгово-промышленной палаты РФ Тимур Аитов, несколько лет назад представители ЦБ РФ предлагали рынку радикальную идею: в любом случае обязать банки возвращать половину похищенной суммы пострадавшим. Вне зависимости от того, перевёл клиент сам мошеннику свои деньги или у него выманили коды подтверждения, банки все равно должны были бы воернуть 50% потерянных средств. Однако прошла она лишь частично. По итогам обсуждений всё стороны поддержали идею главы Комитета Госдумы по финансовому рынку Анатолия Аксакова возвращать всю сумму похищенного целиком, но только в том случае, если перевод был выполнен на уже «засвеченный» счёт, который находится в специальной базе ЦБ РФ — так называемой базе ФинЦЕРТ. С 25 июля этого года именно поправки Аксакова вступают в силу, и банки будут возвращать все средства, если система антифрод у банка не сработала и он перевёл деньги клиента на мошеннический счет.
Ну а гражданам с 25 июля придется писать жалобы в Центробанк с просьбой проверить, есть ли номер счета в базе данных ФинЦЕРТ. Какие возможны варианты? Если номер карты есть, то банк будет обязан железно вернуть человеку 100% суммы; если номера не окажется, то вернуть деньги невозможно — так наверняка ответит пострадавшему коммерческий банк, который и перевел деньги злоумышленникам.
«Ясно, что банки будут стараться блокировать все переводы на счета дропов, сами же дропы станут вынужденно постоянно меняться: придется привлекать все новых и новых людей, а дропы станут как бы «одноразовыми», — предупредил Аитов.
Эксперт напомнил, что для борьбы с дропами уже имеются соответствующие статьи в уголовном кодексе. «Но они практически не работают: я не припомню, чтобы кого-то наказали именно по этим статьям как дропа», — констатировал он. По словам нашего собеседника, вся ситуация в итоге будет определяться тем, кто окажется расторопнее: злоумышленники, которые постоянно будут обновлять базу дропов или органы МВД, которые будут с ними бороться. «До сих пор особых успехов в борьбе с дропами мы не видим, каких-то заметных случаев их наказаний не фиксируем, хотя все это важно, поскольку отпугивает новых «кандидатов» в преступники», — добавил Аитов.
Конечно, найти и наказать виновных в быстротечных киберпреступлениях непросто — полицейским дается на каждый случай 10 дней, не более. Очевидно, здесь важна превентивная работа, например, с многочисленными колл-центрами, в которых сидят злоумышленники и ведут «работу» с потенциальными жертвами. Найти эти центры не так сложно, а эффект от наказания будет значительным. Ну и банкам важно внимательнее следить, кому они раздают свои бесплатные карты.
Персональные данные граждан украдены много раз, но сам по себе доступ к номеру телефона жертвы или адресу его регистрации преступникам многого не даёт. Многочисленные финансовые организации поставили кучу заслонов противоправному уводу средств со счётов: клиентов надёжно идентифицируют и аутентифицируют.
Проблема в том, что клиенты зачастую сами оказываются слишком доверчивыми — особенно пожилые люди, и об этом все знают. А атаки кибермошенников становятся всё более изощренными. Уже появились нападения типа identity theft — кража личности, когда согласия гражданина на выполнение той или иной операции вообще не будет требоваться злоумышленникам. Преступники учатся атаковать именно конкретного человека — собирать полную и обстоятельную информацию о его личности — контактах, месте проживания, счетах, имуществе, родственниках и так далее. Затем, создав «цифрового двойника» гражданина, они полностью жертву обчистят — заберут всю недвижимость, накопления и так далее. Элементы таких атак уже начали появляться: по ТВ идут сюжеты, когда жертву просто выбрасывают на улицу из своей квартиры, а в жилье вламывается с помощью отбойного молотка новый владелец. Юристы и даже представители правоохранительных органов прямо в кадре говорят, что сделать ничего не могут. «Уверен, на самом деле злоумышленников наказать можно: преступный замысел очевиден, все следы незаконной деятельности на лицо: подробные цифровые следы и документы имеются», — подчеркнул Аитов. Пока это редкие случаи, но правоохранительные органы и финансовые регуляторы должны подумать о том, как быстро обучаются киберпреступники и с какими вызовами им придется столкнутся дальше, ведь массовая цифровизация обладает не только преимуществами, но и имеет уязвимости.