Вернуть банковские платежи от социальных инженеров: Банк России перенимает практику Великобритании?
Выступая на конференции «AntiFraud Russia – 2021» 2 декабря, директор департамента информационной безопасности Банка России Вадим Уваров заявил, что регулятор собирается усовершенствовать процедуры возврата денег, похищенных мошенниками с банковских счетов физических лиц. Уваров также добавил, что в настоящее время участники рынка активно обсуждают соответствующие предложения Центробанка.
Вадим Уваров
Содержание статьи
Предложения Банка России
Предмет обсуждения сделался понятней в понедельник, 6 декабря. В распоряжении РБК оказалась копия документа, разосланного банкам в конце недели за подписью Вадима Уварова. Регулятор напомнил, что объем похищенных средств только за III квартал 2021 года составил 3,2 миллиарда рублей, из которых кредитные организации вернули клиентам не более 7,7%. И предложил банкам обсудить целесообразность следующих изменений в Законе 161-ФЗ «О национальной платежной системе»:
- По заявлению клиента, поданному в течение 1 суток с момента платежа в пользу мошенника, банк обязан будет выплатить установленную компенсацию;
- Размер компенсации предполагается рассчитать как среднюю величину от всех потерь в 80-90% случаев хищений с применением социальной инженерии (13900 рублей в 2020 году по оценкам группы Тинькофф);
- Если получателем похищенных средств окажется лицо, о котором регулятор уже сообщал кредитным организациям, отправивший платеж банк будет обязан возместить клиенту полную сумму украденного, а не только компенсацию;
- Банки-эмитенты (отправители платежей) получат право приостанавливать на 2 дня одобренные клиентом подозрительные операции, если они будут соответствовать установленным ЦБ РФ признакам;
- Продавцы (ТСП), получающие платежи, будут проверяться обслуживающими их банками-эквайерами по базе Банка России;
- Банки-эквайеры получат право блокировать все списания по счетам подозрительных лиц на 5 дней.
Реакция банков и экономистов
Что вполне ожидаемо, предложение о выплатах компенсаций было встречено банковским сообществом в штыки. Так, председатель Ассоциации российских банков Гарегин Тосунян заявил, что считает абсурдным намерение возложить на банки материальную ответственность за мошенничество третьих лиц.
Гарегин Тосунян
А директор департамента информационной безопасности Росбанка Михаил Иванов высказал мнение, что правом на компенсацию могут воспользоваться держатели карт в мошеннических целях.
Михаил Иванов
Доцент кафедры «финансовые рынки» РЭУ им. Г.В. Плеханова Максим Марков сообщил ИА Regnum, что по меньшей мере три пункта концепции выглядят не проработанными.
- Потерявшим крупные суммы жертвам мошенников компенсация в 10 — 20 тысяч рублей никак не поможет;
- Не определена специфика мошенничества с применением социальной инженерии, ее отличия от других операций, совершенных без согласия клиента;
- Массовая приостановка платежей по формальным признакам сократит число транзакций, вызовет отток клиентов, и негативно скажется на индустрии безналичных платежей в целом.
Социальная инженерия и платежи без согласия
Как в приведенных РБК фрагментах, так и тексте Закона 161-ФЗ есть многочисленные отсылки к определенным Центробанком признакам операций, совершенных без согласия клиента. Эти критерии установлены регулятором в приказе от 27 сентября 2018 года № ОД-2525.
Всего признаков три:
- Получатель идентифицирован как злоумышленник по соответствующей базе данных ЦБ РФ;
- Устройство доступа к платежным интерфейсам идентифицировано как принадлежащее злоумышленнику, параметры устройств также хранятся в базе данных регулятора;
- При платеже замечено нетипичное платежное поведение клиента: несоответствие места, времени, параметров устройства, суммы, периодичности, получателей платежа.
База данных Центробанка пополняется с 2018 года, банки, платежные агрегаторы и сервисы кошельков обязаны предоставлять для нее сведения согласно указанию 4926-У. Но события 2020 — 2021 годов явно показывают, что злоумышленники регистрируют торговые счета и вербуют посредников — дропов в промышленных масштабах. В результате чего использование централизованной базы мошенников по меньшей мере неэффективно.
Что касается поведенческих признаков, то они пригодны для выявления мошеннических операций в случае потери или хищения электронных средств идентификации (карт, паролей). Для пресечения социальной инженерии они явно не годятся, поскольку жертвы совершают платежи добровольно, со своих устройств, и не меняя поведенческих паттернов.
Между тем регулятор не только относит социальную инженерию к операциям без согласия клиентов, но и констатирует ее значительную долю от общего числа таких хищений (63,8% в 2020 году, 41% в 2021 году, согласно «Обзору отчетности об инцидентах информационной безопасности при переводе денежных средств» за III квартал 2021 года).
Налицо терминологическая путаница. Связанная с тем, что российское законодательство вообще не определяет операции, совершенные без согласия клиента. Как? А вот так. Термин был легализован в 2011 году, в первой редакции Закона 161-ФЗ, без определения. А до этого применялся де-факто в клиентских соглашениях банков.
Неавторизованные транзакции в западном законодательстве
Чтобы разобраться, обратимся к исходному англоязычному понятию «unauthorized electronic fund transfer» (неавторизованная транзакция). United States Code, параграф § раздел 1693a(12) относит к этой категории три ситуации:
- Электронным средством идентификации воспользовалось другое лицо, которому держатель карты не давал на это разрешения;
- Держатель карты или его сообщник совершили операцию с мошеннической целью;
- Кредитная организация допустила ошибку.
Где в этом перечне социальная инженерия? Нет ее, и это вполне понятно. Потому что с точки зрения западного уголовного права это мошенничество с использованием электронных средств связи, или Wire fraud, закон United States Code, 941.18, раздел 1343. В России аналогичной нормы нет, есть только статья 159.3. Уголовного кодекса, «Мошенничество с использованием электронных средств платежа».
Мошенничество с авторизованными принудительными платежами
Ситуации, при которых жертвы добровольно переводят деньги мошенникам с помощью карт и онлайн-банкинга, на Западе хорошо известны с 2017 года, и обозначаются устоявшимся термином «authorized push payment fraud» (мошенничество с авторизованными принудительными платежами, или мошенничество с приложениями).
Большинство публикаций по этой теме происходит из Великобритании. Финансовый регулятор Financial Conduct Authority (FCA) опубликовал в 2018 году доклад «Authorised push payment fraud – extending the jurisdiction of the Financial Ombudsman Service» (Мошенничество с приложениями — расширение полномочий службы финансового омбудсмена).
Столкнувшись с 2017 — 2019 годах с быстрым ростом «authorized push payment fraud», британский регулятор платежных систем Payment Systems Regulator (PSR) разработал «Contingent Reimbursement Model Code for Authorised Push Payment Scams» (CRM, кодекс модели добровольного условного возмещения). окончательная редакция была принята в мае 2019 года. На сегодняшний день CRM подписали 18 банков, в том числе HSBC, Barclays, Lloyds Bank. Все эти организации добровольно обязались компенсировать своим клиентам платежи, переведенные финансовым мошенникам.
По прошествии двух лет стало ясно, что практика применения Кодекса далека от идеала. Гарет Шоу (Gareth Shaw), руководитель издания «Which?», сообщил в ноябре 2021 года, что большинство банков — подписантов возвращают клиентам от 18 до 64% потерянных средств.
Оценка целесообразности
Предложения Банка России выглядят как попытка перенести в нормативную плоскость российского права практику Кодекса CRM. Но с точки зрения защиты потребителей банковских услуг куда больше пользы принесла бы норма, обязывающая банки расследовать спорные операции с электронными средствами платежа. По аналогии с американским «Fair Credit Billing Act», узаконившим чарджбэк в 1974 году.
Не все так просто и с контролем банков-эквайеров над продавцами. Существенная доля интернет-эквайринга, в особенности высокорискового, реализуется через операторов услуг информационного обмена (агрегаторов). Именно они заключают договора с ТСП, выясняют их владельцев и бенефициаров.
Для реального контроля конечных мерчантов Центробанку придется взять на карандаш непосредственно агрегаторов. Либо ввести драконовские штрафы для обслуживающих их эквайеров, по примеру VISA, Mastercard и других Международных платежных систем.
Ущемление прав, гарантированных законом
В заключение редакция НЭС хотела бы заметить следующее. Закон 161-ФЗ «О национальной платежной системе» в статье 9, пунктах 11 и 15 устанавливает, что если клиент заявляет банку об операции без его согласия в течение суток с момента платежа, и при этом не нарушил условия использования электронного платежного средства, то банк обязан возместить клиенту сумму операции полностью. Если новелла Центробанка предлагает заменить полный возврат незначительной компенсацией, то это серьезное ущемление прав потребителей банковских услуг.
С уважением, НЭС - Чарджбэк Блог