Банк России планирует определить сумму денежных средств, которую банки должны возвращать клиентам-физлицам, ставшим жертвами мошенников, в упрощенном порядке, следует из материалов ЦБ о планах внести изменения в 161-ФЗ «О национальной платежной системе». Они были разосланы участникам банковского рынка от имени директора департамента информационной безопасности ЦБ Вадима Уварова.
С предложениями ознакомился РБК, их подлинность подтвердили три источника на финансовом рынке. Получение материалов подтвердили представители Росбанка и Альфа-банка. О разработке соответствующих изменений в 161-ФЗ Уваров рассказал 2 декабря на международном форуме по борьбе с мошенничеством в сфере высоких технологий AntiFraud Russia.
«Основными предпосылками для внесения изменений в закон являются: наблюдаемая картина по доле возврата денежных средств клиентам, необходимость существенной модернизации механизма противодействия хищению денежных средств и возврата списанных со счетов клиентов денежных средств», — отмечал Уваров. За третий квартал 2021 года мошенники похитили у банковских клиентов путем несанкционированных денежных переводов 3,2 млрд руб., при этом банки вернули клиентам только 7,7% похищенных средств, или меньше 250 млн руб.
Широко распространенное сейчас мошенничество, связанное с добровольной передачей физическим лицом данных (например, номеров платежных карт, кодов, паролей), которые используются преступниками для кражи средств с помощью методов социальной инженерии, «является одной из острых проблем, отрицательно влияющих на уровень доверия населения к дистанционным платежным сервисам и, как следствие, к кредитно-финансовой системе в целом», говорится в справке к поправкам в закон.
Что предлагает ЦБ
Планируется ввести упрощенный порядок возврата денежных средств гражданам, пострадавшим от мошеннической операции, в размере суммы, которую определит Банк России. Для этого гражданин должен уведомить банк о мошенничестве не позднее следующего дня после получения уведомления от банка о проведенной операции. Точную методологию расчета этой суммы ЦБ не раскрывает, отмечая лишь, что она будет посчитана, «исходя из целевого возврата денежных средств гражданам в среднем в 80–90% всех случаев социальной инженерии». Согласно исследованию группы «Тинькофф», в 2020 году мошенники похищали у россиян в среднем 13,9 тыс. руб. за один раз.
Возврат средств в пределах установленной суммы распространяется на все банки, но если у банка низкий уровень антифрода (механизма по предотвращению хищений), то ему придется вернуть клиенту всю похищенную денежную сумму, даже если она превышает этот размер. К низкому уровню будут относиться случаи, когда банки не могут выявить операции, совершенные без согласия клиента, несмотря на получение необходимой информации от ЦБ о мошеннических транзакциях.
Из документа не ясно, в какой степени на процедуре возврата отразится поведение самого клиента банка, когда он под воздействием мошенников самостоятельно переводит им средства. Сейчас по закону банки должны возвращать средства только в тех случаях, когда они не украдены по вине клиента. Два источника РБК в банках также говорят о том, что у рынка пока нет ответа на этот вопрос.
Одновременно с вводом суммы возврата ЦБ предлагает значительно изменить процедуру подтверждения банками операций, если они видят признаки того, что они совершаются в целях мошенничества. В частности, регулятор хочет дать банкам право списывать деньги по ним по истечении одного-двух рабочих дней, даже несмотря на согласие клиента. «Как правило, за два дня клиент осознает, что деньги перечисляются мошеннику, у него появляется возможность отклонить перевод», — объясняется в материалах ЦБ.
Обязанность проверять операции на признаки мошенничества, включая сверку с базой о переводах без согласия клиента, ЦБ предлагает возложить не только на банк гражданина или компании, которые являются инициатором операции по переводу или оплате, но и на банк, где обслуживается получатель этих денег.
ЦБ планирует наделить банки правом блокировать на пять рабочих дней все расходные операции по счету получателя средств, информация о котором содержится в базе данных (ее ведет сам ЦБ) о случаях и попытках осуществления переводов денежных средств без согласия клиента. «Указанный срок необходим клиенту-потерпевшему, правоохранительным органам для обращения в суд для получения законного основания дальнейшего ареста денежных средств и получения судебного решения о возврате денег», — объясняет ЦБ. Блокировать операции банки смогут только на основании сведений о возбуждении уголовных дел.
Помогут ли новые правила
Банк России провел первый раунд консультаций с участниками рынка, по итогам которых получил значительное количество предложений и уточняющих вопросов, рассказал РБК представитель ЦБ: «По результатам обсуждения готовится очередная редакция законопроекта, которая пройдет еще один раунд обсуждения. Пока о конкретных мерах или инструментах говорить преждевременно. Полагаем необходимым максимально учесть мнение участников рынка».
По мнению руководителя направления по противодействию онлайн-мошенничеству Group-IB Павла Крылова, из предложенных ЦБ инициатив поможет увеличить возвраты только мера по установлению их суммы. Директор департамента информационной безопасности Росбанка Михаил Иванов считает, что обязательные возмещения не окажут положительного эффекта на динамику роста мошеннических операций. «В случае принятия данного изменения потенциально возможны случаи злоупотребления со стороны недобросовестных клиентов, которые будут оспаривать ранее совершенные операции и требовать возмещения. Дополнительно проект изменений никак не описывает то, кто и каким образом определяет уровень зрелости «антифрода», — рассуждает Иванов.
Сейчас проблема с возвратами в том, что банк не обязан возмещать средства, если доверчивый клиент поверил мошенникам и выполнил их указания, отмечает советник по специальным проектам коллегии адвокатов А1 Сергей Демкин, при этом похищенные средства выводятся со счетов быстрее, чем клиент приходит в себя и начинает их поиск, а МВД неохотно работает по таким делам. По мнению юриста, ЦБ необходимо сосредоточиться на выработке общих правил и рекомендаций для банков по идентификации потенциальных мошенников. «Также особое внимание надо обратить на перевод денег за рубеж, особенно на Украину», — подчеркнул Демкин.
Эффективна ли заморозка операций
По действующему законодательству банк может заморозить сомнительную операцию максимум на два дня до связи с клиентом. Если он не вышел на связь, то операция возобновляется. Но далеко не все банки этим правом пользуются, говорит директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. Также уже сейчас банки могут приостановить расходные операции по счету на срок до пяти рабочих дней, если клиент сообщает в свой банк о мошеннической операции, напомнил эксперт.
«На практике встречаются случаи, когда при временной приостановке системой мониторинга подозрительного платежа/перевода, имеющего признаки операции без согласия, клиент под влиянием мошенников подтверждает легитимность операции и просит осуществить перевод. Только спустя несколько дней приходит осознание, что клиент стал жертвой мошенников», — отмечает Иванов. Пяти рабочих дней, на которые ЦБ предлагает замораживать счет, недостаточно, чтобы потерпевший клиент успел обратиться в правоохранительные органы, полагает он: «Считаем, что данный срок должен быть увеличен до 30 рабочих дней».
Останавливать перевод на один-два дня, несмотря на согласие клиента, — это хорошая идея с точки зрения антифрода, но у добросовестных клиентов могут появиться проблемы, предупреждает Крылов: «Внедряя подобные меры по предотвращению хищений, банки могут столкнуться с ошибочными блокировками. Тем, у кого стоят хорошие антифрод-системы, беспокоиться не стоит, у них будет низкий процент жалоб, а вот остальные могут получить вал жалоб и обращений».
Автор
Евгения Чернышова
Источник РБК: https://www.rbc.ru/finances/06/12/2021/61a8d4639a79476b808c4eee