Клиентские сделки будут отслеживаться банками

Благодаря изменениям в законодательстве, деньги граждан и компаний будут надежно защищены от киберпреступников. Но банки должны будут самостоятельно заниматься совершенствованием систем безопасности платежей, а их клиенты - внимательно отслеживать состояние своих счетов.

Сегодня наблюдается стремительное развитие способов воровства денежных средств, что происходит наряду с развитием технологий безналичных расчетов. А законодательство еле успевает за ними.

11 октября на заседании Госдумы состоялось принятие в первом чтении поправок в Уголовный кодекс, устанавливающих наказание за хищение средств с банковских счетов и электронных денег. Но создание первого круга обороны от кибермошенничеств происходит уже на подступах к счетам граждан и компаний.

На минувшей неделе российской правительственной комиссией по законопроектной деятельности были одобрены два проекта законов, которые подготовил Минфин. Один законопроект запретит снимать наличные при помощи анонимных электронных средств платежа, так как предоплаченные банковские карты помогают мошенникам с обналичиванием украденных денег.

Вторым документом выставляются барьеры на этапе хищения средств. По словам представителя пресс-службы Минфина, цель законопроекта - защитить денежные средства банковских клиентов от несанкционированных списаний, в том числе через Интернет и устройства мобильной связи. Как отметили в главном финансовом ведомстве, в опубликованном проекте уже есть нужные изменения, но новую версию документа общественность увидит после того, как он будет направлен в Госдуму.

Пока, как указано в тексте законопроекта, к борьбе с похитителями денег будут подключены банки и владельцы счетов. Банкам рекомендовано заняться отслеживанием сделок и запросами согласия клиентов на совершение вызывающих сомнения операций. Разработкой критериев этих операций, как задумано, займется ЦБ, а банки будут пополнять этот список.

Клиентам надлежит подтвердить или отклонить вызывающую сомнения операцию, на что им отводится 2 дня после того, как они получат уведомление банка. Если клиент сам узнает о предоставлении доступа к средствам электронного платежа третьим лицам, либо потере пароля, пин-кода, ему нужно будет срочно уведомить об этом банк. То же необходимо сделать при обнаружении списания денег со счета. А вот юрлица, в отличие от граждан, факт несанкционированного списания денежных средств должны будут доказать в арбитражном суде.

Освоение нового поля деятельности началось злоумышленниками с краж из банкоматов и хищения денег с пластиковых карт. Тогда, чтобы защитить граждан, Закон "О национальной платежной системе" в 2014 году был дополнен изменениями. В нем вместо 30-ти дней процедуры расследования фактов хищения средств за банками закрепили обязанность по возмещению суммы, перечисленной со счета в отсутствие согласия клиента. При этом банкам было предписано, чтобы они уведомляли индивидуальных клиентов о том, что операция совершена, но без определения самого порядка уведомления. И если человек поймет, что он не давал согласие ни на какую операцию, ему следовало поставить в известность об этом банк, но не позднее дня, который следовал за днем получения извещения о проведении операции. Деньги банк должен был вернуть.

По сравнению с гражданами юрлицам, перед лицом кибермошенников фактически никто не предоставил законодательную защиту. Тем временем киберворы стали "работать" со счетами компаний, открыв для себя новое поле деятельности. В прошлом году они совершили примерно 300 тыс. несанкционированных операций, используя платежные карты, эмитированные отечественными банками на общую сумму свыше 1 млрд рублей.

Параллельно счета юрлиц столкнулись с 717 посягательствами. Половина случаев связана с успешными попытками увести деньги без ведома их владельцев.

По мнению экспертов, предупредить только с помощью законодательных мера все случаи несанкционированных списаний средств со счетов граждан и юрлиц - задача не простая.

Почва для хищения средств создается самими электронными системами платежей. По словам вице-президента Ассоциации банков России Олега Иванова, каждое несанкционированное списание средств происходит в системе ДБО, при этом преступники пользуются электронными средствами платежа - мобильным банком, банковской картой, интернет-банкингом и другими системами.

Деньги могут оказаться несанкционированно списаны и при сбое системы, и в ходе применения преступниками разных видов мошенничества. К тому же возможно совершение фиктивных сделок с участием фирм-однодневок. По словам начальника аналитического департамента УК "БК-Сбережения" Сергея Суверова, в банк, чтобы провести операцию, мошенники предоставляют поддельные документы, а клиент, в свою очередь, санкционирует, по сути, незаконную операцию.

Да и определение понятия "сомнительная сделка" осложнено. По словам председателя ассоциации "Электронные деньги" Виктора Достова, в ситуации с физлицами существует четкий критерий подозрительного характера операции - обширная география платежей или нехарактерные для отправителя их получатели. Ситуация с юрлицами еще сложнее. Возможно создание закрытого листа получателей платежей-контрагентов, и тогда в категорию сомнительных попадут операции, в случае отсутствия контрагента в этом листе.

С техническими сложностями можно столкнуться и при уведомлении клиентов и подтверждении ими операций. Если для общения банка с физлицами законопроект предусмотрел телефонные звонки или возможность отправить электронное сообщение, то взаимодействие с юрлицами определяют условия договора. По словам Достова, если работать с юрлицами, то тут подтверждение и отмена операции осложнены. Можно подтверждать, используя электронные ключи. Но когда в компании идет множество операций, процесс их подтверждения усложнится. К тому же возможен перехват злоумышленниками каналов, по которым направляется запрос о подтверждении операции и ответ клиента.

Но банки продолжатся трудиться над разработкой алгоритмов выявления сомнительных операций.

В банках уже запущены в действие онлайн-системы мониторинга операций. Оценивая риски, модель принимает во внимание не только конкретный платеж, сессионное событие в деталях или последовательность операций по конкретному каналу, но и клиентскую активность в других платежных каналах.

Допустим, если видно, что за три минуты до проведения операции по карте в Греции клиентом была совершена операция по мобильному устройству (полная аутентификация) с территории

России, то эту операцию банк отклонит, а с клиентом быстро установят связь, чтобы он подтвердил платеж.

Такого рода системы использует "искусственный разум", постоянно переобучающийся, учитывающий опыт прежних операций и в доли секунды принимающий решение по платежу.

По словам Достова, пользователи сети Интернет постоянно получают предложения перейти на разные сайты, оплатить ненужные услуги, подключить автоплатежи. И тут важно внимательно следить за тем, кому, каким образом и за что вы платите.

По словам специалистов, существует целый комплекс мер технического характера. На компьютере с установленной программой для совершения платежей дистанционно, не выходите в Интернет. И работать на таком компьютере должен только тот, кто отвечает за проведение платежей. Не менее важно позаботиться об установке систем защиты от взлома ПО.