Банкиры предлагают блокировать «пластик» клиента, если онлайн-перевод вызывает подозрения

«Опубликовал в интернете объявление о продаже какой-то вещи, потенциальный покупатель предложил перевести деньги на карту». Так обычно начинается рассказ лишившихся денег на банковских счетах и картах. После этого звонящий под разными предлогами просит продиктовать ему код из поступившей смс, которая дает доступ к онлайн-кабинету в банке либо подтверждает перевод средств. И если доверчивый продавец соглашается, итог печальный – с его счета деньги молниеносно исчезают.

Истории о мошенниках пополнились случаями, когда держателям карт звонили якобы из службы безопасности банков, сообщали о подозрительных операциях по счету и предлагали спасти деньги. Для этого чаще всего также требовалось продиктовать код из смс-сообщения. Люди соглашались – у них не возникало сомнений в том, что общаются они с представителем банка. Звонок поступал с его официального номера, а звонивший знал персональные данные, остаток по счету и последние операции. Это технически возможно с использованием технологии подмены номеров.

По такой схеме лишилась своих денег на карте ВТБ жительница подмосковного города Щелково Татьяна. По ее словам, звонившие назвали ей реальные покупки по счету, ее персональные данные и рассказали о якобы подозрительной операции по списанию денег, которую можно остановить с помощью кода из смс. «Когда сейчас рассказываешь об этом, трудно представить, что можно поверить в это и продиктовать код», – говорит Татьяна. Она считает, что тут не обошлось без социальной инженерии, то есть искусства без технического воздействия управлять действиями человека, используя его слабости. «Как иначе можно объяснить, что взрослый, осведомленный о таких мошенничествах человек поддался на уловку мошенников», – удивляется она.

О применении злоумышленниками социальной инженерии говорилось и в отчете за 2018 год ФинЦЕРТа – структуры Центробанка РФ. Мошенникам за прошлый год удалось украсть с карт россиян 1,38 млрд рублей, что на 44% больше, чем годом ранее. Увеличилась и сумма средней потери почти на 10% – с 3030 рублей до 3320, говорилось в отчете. Выросло и число несанкционированных транзакций. В 2018 году их оказалось на 31,4% больше, чем годом ранее, – 417 тысяч против 317 тысяч. При этом россияне стали чаще пользоваться картами – за 2017 год операций по ним было 24 млрд, а в 2018 году стало на 35% больше – 32 млрд.

Большая часть хищений со счетов граждан происходит потому, что мошенники получили прямой доступ к электронным средствам платежа либо побудили владельца самостоятельно перевести деньги путем обмана или злоупотребления доверием с использованием методов социальной инженерии.

Банковское сообщество готовит свои предложения по борьбе с таким мошенничеством. Обсудить их планируется 27 августа на заседании комитета по информационной безопасности в Ассоциации банков России (АБР). На сайте ассоциации опубликованы предложения, разрешающие банку–получателю средств блокировать их, если у него возникнут подозрения в легитимности операции и совершении ее без согласия отправителя.

Таким образом, блокировать деньги будет не банк пострадавшего, а тот, где открыт счет у злоумышленников. В случае подтверждения операции отправителем банк должен незамедлительно разблокировать карту. Если же подтверждения не последует, то заморозка продлится два дня. До 30 дней ее могут продлить, если появится пострадавший и предоставит талон-уведомление, подтверждающий его обращение в полицию.

При этом открытым остается вопрос, будут ли банки блокировать карту или только замораживать спорную сумму. Какими будут критерии подозрительности, в материалах к обсуждению пока не говорится. Однако осенью 2018 года Центробанк, который собирает данные о случаях несанкционированных списаний, назвал три признака. Подозрение у банка должна вызвать нетипичная для клиента операция, например, из-за места ее совершения или суммы. Также банк должен насторожиться из-за перевода денег человеку, данные о котором уже есть в этой базе, либо если он произведен с того же устройства, которое уже засветилось на незаконной операции.

Впрочем, это не первая попытка решить проблему с похищением денег с карт. В прошлом году банки получили право приостанавливать операцию по отправке денег со счета, если у них возникнут сомнения в том, что она совершается с согласия клиента. Также они могут отказать в денежном переводе, если заподозрят, что это отмывание преступных доходов или финансирование терроризма. Такое право им дает «антиотмывочный» 115‑ФЗ.

Предлагаемые сейчас изменения должны осложнить мошенникам вывод средств по «купленным» картам, считают авторы инициативы. Вице-президент ассоциации Алексей Войлуков объяснял журналистам, что клиент обычно сообщает в банк о хищении уже после того, как деньги ушли с его счета. Благодаря поправкам в законодательство банк-получатель сможет блокировать средства до того, как мошенники снимут их с карты. «Изменения позволят заблокировать электронное средство платежа мошенника, на счет которого ранее были зачислены денежные средства по операциям, соответствующим признакам осуществления мошеннического перевода. Данная норма серьезно осложнит вывод похищенных средств», – согласен директор департамента информационной безопасности Росбанка Михаил Иванов. Возможность блокировки средств банком-получателем в целом может помочь в противодействии мошенничеству, считает он. Но обсуждаемые предложения – только один из элементов комплексного решения этого вопроса, подчеркнул Михаил Иванов.

Однако в ЦБ сомневаются, что предложенные меры окажутся действенными. По статистике, «вывод похищенных средств осуществляется в первые часы после перевода, в то время как получение талона КУСП (книга учета сообщений о происшествиях) может существенно превышать отмеченный срок». «Таким образом, увеличение срока блокировки средств на расчетном счете клиента может иметь обратный эффект, когда банки будут применять соответствующие меры после вывода злоумышленником похищенных средств», – указали в пресс-службе регулятора.

С этим согласен и юрист из юркомпании «Глазунов и Семенов» Вадим Паутов. Деньги мошенники выводят с карты быстро, в течение часа с момента поступления, потерпевший вряд ли успеет обратиться в полицию и банк в течение этого времени, считает он. Кроме того, недоумение у него вызывает предложение блокировать карту на 30 рабочих дней.

«Предварительное следствие по подобным делам, как правило, длится несколько месяцев, в связи с чем необходимо урегулировать вопрос о продлении блокировки», – считает он. Блокировка на 30 дней недостаточна, так как в таких случаях правоохранительные органы могут неоднократно принимать решения и об отказе в возбуждении уголовного дела, и об отмене таких постановлений, говорит адвокат из юркомпании BMS Law Firm Александр Иноядов.

Еще один момент – сейчас банки отказывают в возврате средств клиенту, потому что он сам пошел на поводу у мошенников, сообщил им секретный код и подтвердил операцию. Такой ответ дал банк и Татьяне из Щелково.

Вадим Паутов отмечает, что сейчас практика складывается не в пользу клиентов, потерявших деньги. «У банка-отправителя отсутствуют какие-либо правовые основания для возврата денежных средств, конечного бенефициара установить достаточно сложно. Кроме того, когда речь идет не о большой сумме, владельцы денежных средств редко обращаются в полицию. Уголовные дела возбуждаются, но зачастую остаются нераскрытыми», – говорит он.

По мнению Александра Иноядова, основной проблемой в расследовании является установление виновных лиц и сбор доказательств причастности к хищению. Это требует не только слаженной работы правоохранительных органов по расследованию уже совершенных преступлений, но и их профилактики.

Юристы опасаются перегибов при реализации закона, если он будет принят. Управляющий партнер консалтинговой группы «Дивиус» Иван Гусев считает возможными ситуации, когда банки будут перестраховываться и не пропускать платежи по любой причине. В этом случае хождение по банкам может превратиться из редкой процедуры ввиду достаточно хорошей цифровизации в ежедневные походы как на работу, считает он. В подтверждение Иван Гусев напоминает про недовольство клиентов банков блокировками счетов из-за подозрений в отмывании преступных доходов или финансировании терроризма (115‑ФЗ). Недовольство связано не только с блокировкой средств по не всегда понятным клиенту причинам, но и с попытками банков получить комиссию за возврат средств с «замороженного» счета. Весной 2019 года Верховный суд РФ при рассмотрении спора клиента с банком заявил о недопустимости таких комиссий.

Иван Гусев считает, что решением проблемы могло бы стать дополнительное подтверждение операции по телефону. «У одного из банков суммы перевода от 1 млн руб. требуют обязательного подтверждения по телефону с называнием кодового слова и персональных данных. Это удобно. Возможно, именно такой вариант разрешения проблемы может стать правильным и логичным. Как вариант, блокировка операций от определенной суммы на неизвестные банку, то есть ни разу не проводимые им счета», – полагает юрист.