Но эксперты считают, что закон немного запоздал
Ведомости от 25.07.24
Банки теперь обязаны приостанавливать переводы на два дня, если информация о получателе средств содержится в базе данных ЦБ о мошеннических операциях – в противном случае банк должен будет вернуть украденные деньги клиенту. Соответствующие поправки в закон о национальной платежной системе заработали с 25 июля. Нововведения направлены на борьбу с дропперами – людьми, через чьи банковские карты – с их согласия или без него – проходят мошеннические операции.
Заморозить на два дня
По новым нормам операции замораживаются даже в том случае, когда человек настаивает на проведении перевода или пытается совершить его повторно в течение двухдневного «периода охлаждения». Банк должен сообщать клиенту, что транзакция приостановлена, указать причины и срок приостановки. За это время человек, находящийся под влиянием злоумышленников, сможет одуматься и не подтверждать перевод. Но если после двух дней охлаждения пользователь все равно совершает ту же операцию, банк уже обязан ее исполнить и финансовую ответственность нести не будет.
Если же банк получил от ЦБ данные, что информация о получателе средств есть в базе мошеннических операций, но провел транзакцию, не ввел «период охлаждения» и не предупредил клиента о возможной опасности кражи денег, ему придется вернуть клиенту всю похищенную сумму в течение 30 календарных дней. Закон работает при пополнении счета через банкомат или переводе через банкомат, но не при снятии наличных, уточняет представитель «Почта банка».
Также с 25 июля заработают правила ЦБ с новыми признаками мошеннических операций – перечень расширен вдвое, до шести критериев. Банк должен будет приостанавливать переводы на счета, по которым ранее уже фиксировал мошеннические операции. Причем даже если пострадавшие не сообщали в банк об обмане и счета злоумышленников не передавались в базу ЦБ, а остались только в собственной базе кредитной организации. Еще одно нововведение – наличие информации о возбуждении уголовного дела против получателя средств. Наконец, банки будут обязаны учитывать данные, поступившие от сторонних организаций. Например, это может быть информация от операторов связи о том, что перед переводом денег зафиксированы нехарактерная для клиента телефонная активность или рост числа входящих sms-сообщений с новых номеров, в том числе в мессенджерах. Но блокировать операции на основе данных от операторов банки обязаны лишь в том случае, если у них есть договор с сотовыми операторами об обмене данными, писал ранее РБК.
Банки еще с 2018 г. обязаны приостанавливать транзакции на счета злоумышленников, сведения о которых получены из базы данных ЦБ, в случаях, когда выявлена нетипичная для клиента операция по сумме перевода, периодичности, времени и месту совершения, а также если зафиксирована попытка осуществить операцию с устройства, которое ранее использовалось злоумышленниками и информация о нем есть в базе данных регулятора. Также банки должны отключать доступ к дистанционному обслуживанию клиентам, которые занимаются выводом и обналичиванием похищенных денег. Их платежные инструменты тоже будут блокироваться, если при информационном обмене между ЦБ и МВД (запущен в октябре 2023 г. – «Ведомости») от правоохранительных органов поступили сведения об участии человека в мошеннической схеме.
Запоздалая мера
Схемы вывода денег мало изменились за последнее время, но в любом случае украденные средства проходят через счета дропперов, говорит советник генерального директора Positive Technologies Артем Сычев. Новые меры позволят как минимум затормозить темпы роста таких преступлений, надеется он. При этом процент хищений, когда с потерпевшего получают наличность, не очень высокий, отмечает он. Но этот закон запоздал и его следовало ввести еще несколько лет назад, считает Сычев.
Злоумышленники активно пользуются доступностью для жертв различных банковских сервисов – кредитов, переводов, привязки кредитных карт в приложениях, – получив доступ к онлайн-банкингу пострадавшего в результате компрометации или фишинга либо воздействовав на него самого техниками социальной инженерии.
«Период охлаждения» и работа антифрод-процедур внутри банков будут эффективны в случае кредитов, которые взяли злоумышленники без согласия человека, полагает руководитель департамента F.A.C.C.T. Fraud Protection Дмитрий Ермаков. Это даст гражданам запас времени, не только чтобы вернуть контроль над личным кабинетом в банковском сервисе, но и выйти из-под воздействия психологических приемов мошенников, еще раз все обдумать, оценить свои действия и в последний момент «соскочить с крючка», поясняет он. Инструменты, которые позволяют совершить операции только после анализа аномалий в действиях или устройствах пользователя на разных этапах формирования и обработки кредитной заявки, также показали свою эффективность, в том числе с попытками удаленно взять кредит от имени клиента, добавляет Ермаков.
Но любые меры будут неэффективны, когда человек под воздействием убеждения, манипуляций мошенников сам отдает деньги любым способом, продолжает Ермаков: предоставляет вход в свой онлайн-кабинет банка, вносит наличные через банкомат, отправляет перевод, неделями следует указаниям преступников по телефону. Также у мошенников остаются инструменты быстрых переводов по номеру карты или по номеру телефона и возможность разрыва цепочки вывода с использованием банкоматов и токенизации карт под предлогом «защищенных ячеек» или «безопасных счетов», добавляет эксперт. Поэтому Ермаков полагает, что необходимы эффективные инструменты централизованного обезличенного обмена данных в режиме реального времени без строгой привязки к конкретной банковской операции, не ограниченные только финансовым сектором.
Как принимались поправки
Еще с 2021 г. ЦБ и банковское сообщество пытались решить проблему социальной инженерии, возврата похищенных у граждан средств и активно обсуждали борьбу с дропперами. Тогда регулятор предлагал изменить механизм возврата похищенных злоумышленниками средств и меры противодействия мошенническим переводам: по задумке ЦБ должен быть установлен конкретный размер суммы для возврата, а банк получателя должен получить возможность проверять операции на признаки мошенничества, как это делает банк отправителя. Кроме того, предполагалось, что банк получателя сможет на пять дней ограничивать дистанционный доступ к счету, если в базе Центробанка есть информация о случаях и попытках перевода средств без согласия владельца этого счета. Чтобы восстановить доступ, владельцу счета необходимо будет прийти в офис банка с паспортом. Но у банкиров возникли возражения по поводу срока «периода охлаждения» и размера обязательной к возврату суммы.
В середине февраля 2022 г. председатель комитета Госдумы по финрынку Анатолий Аксаков сообщил, что в Госдуме разрабатывают законопроект, который разрешит банкам замораживать средства, украденные мошенниками со счетов россиян, и блокировать на срок до месяца счета злоумышленников. Но в мае по настоянию ЦБ «период охлаждения» был сокращен до двух дней.
