Вступил в силу новый порядок возврата переведенных мошенникам денег: какие есть риски
Согласно статистике, которую в конце мая привел ЦБ, в I квартале этого года кибермошенники похитили у россиян 4,3 млрд рублей. Регулятор признает: ситуация остается сложной, несмотря на то что кредитные организации постоянно совершенствуют свои антифрод-системы и продолжают модернизировать свои бизнес-процессы. Чтобы улучшить ее, год назад Госдума приняла поправки в закон «О национальной платежной системе».
Итак, теперь банки должны проверять все переводы денежных средств клиентов и при выявлении подозрительной операции останавливать ее на два дня. За это время банку необходимо связаться с клиентом и убедиться, что тот действительно совершает данный перевод в адрес указанного лица. Каким образом получить легитимное согласие на перевод? Это уже отдельный вопрос. Но если это согласие от клиента не получено, то операция считается мошеннической и информация о ней попадает в черный список, которым банки обмениваются с регулятором. Если же кредитная организация допустила перевод на мошеннические реквизиты из черного списка, то придется вернуть клиенту похищенные средства.
То есть однозначное основание для возврата денежных средств клиенту — перевод по реквизитам из списка мошенников. Речь о базе данных «О случаях и попытках осуществления перевода денежных средств без согласия клиента», которую регулятор составляет на основе информации, полученной от банков и других операторов платежных систем. Они по закону (пункт 4 статьи 27 Федерального закона от 27.06.2011 № 161-ФЗ) обязаны противодействовать переводам, которые совершаются без согласия клиента. Поэтому информацию обо всех таких операциях или их попытках банки и другие операторы платежных систем передают в ЦБ. При этом к сомнительной операции транзакция будет отнесена в таких случаях, как совпадение информации о получателе или параметрах устройств, с помощью которых был совершен перевод, с информацией из базы ЦБ или несоответствии характеристик операции перевода (сумма, время, частота совершения, устройство) характеристикам операций, обычно производимых клиентом.
На практике это будет означать следующее: с 25 июля банки несут финансовую ответственность за хищения денежных средств у своих клиентов, даже если они добровольно перевели деньги «на безопасный счет», «службе безопасности банка» или по поручению «сотрудника МВД». Потому заинтересованность кредитных организаций в системах антифрода и приостановке таких мошеннических операций вырастет кратно. А значит, злоумышленникам потребуются новые дропперы, то есть граждане, которых обманом втягивают в преступные схемы по обналичиванию денежных средств.
Этот тренд начал нарастать еще в 2023 году, до вступления закона было очень много сообщений в СМИ от правоохранительных органов о том, что подростки все чаще вовлекаются в мошеннические схемы. Студенты, пенсионеры, малообеспеченные и финансово неграмотные люди также потенциально могут быть втянуты в преступления такого рода. Например, уже сейчас на сайтах по трудоустройству попадаются объявления об удаленной работе для студентов и пенсионеров в «финансовых организациях», где главной и единственной задачей является перевод крупных сумм денежных средств через свои счета (то есть фактически дробление похищенных средств для последующего их обналичивания). В 2024 году медиа также сообщали о том, что социальные инженеры активно ищут себе «помощников» в локальных чатах — садовых товариществ, школьных, детсадовских, жителей района и т. д. Необходимо также учитывать возможный риск того, что после вступления в силу закона могут появиться новые схемы по вовлечению граждан в дропперство, чтобы удовлетворить потребность в новых клиентах банков, чьи счета еще не были засвечены. На мой взгляд, необходимо вести серьезную просветительскую работу среди населения, чтобы этого риска избежать.
Еще одно опасное место — отсутствие описанного порядка и формы информирования и получения согласия от клиента на перевод денежных средств в случае подозрительной операции. Это также открывает возможность для создания новых сценариев хищений и социальной инженерии. Например, отправка ложных уведомлений клиентам о факте внесения их в черный список ЦБ, попытки убедить перевести деньги на «безопасный счет» или иные предложения по «исключению из базы» клиента могут стать новой вехой мошенничества.
Помимо этого, возможной опасностью является отсутствие четкого безопасного порядка получения согласия от клиента. Это несет риски того, что подозрительные операции могут быть подтверждены мошенниками с использованием социальной инженерии. Ведомый человек действительно может не до конца понимать, что и как он подтвердил. Если в качестве инструмента подтверждения банк выберет, например, код из СМС, то мы вернемся к тем же проблемам, которые пытались решить: в СМС может не быть однозначно читаемых реквизитов и есть риски одобрить мошенническую операцию, СМС можно перехватить техническими средствами, а код в сообщении — выяснить методами социальной инженерии.
Потому четкий и безопасный порядок подтверждения операций (а также технические механизмы его реализации), согласно которому клиент сможет однозначно убедиться в реквизитах перевода перед подтверждением, а банк — быть уверенным в целостности и авторстве полученного согласия, необходимо дополнительно продумывать уже сейчас.
Мнение редакции может не совпадать с точкой зрения автора