26 сентября 2018 года вступил в силу новый федеральный закон №167-ФЗ «О противодействии хищению денежных средств». Теперь кредитные организации обязаны вести работу по защите средств клиентов от кибермошенников, отчитываться перед Банком России о зафиксированных кибератаках и возвращать украденные деньги. О механизме выявления и блокировки подозрительных операций рассказал заместитель начальника отдела безопасности и защиты информации Отделения Тюмень Уральского ГУ Банка России Алексей Нохрин.
- Новый федеральный закон разработан по инициативе и при активном участии Банка России. Алексей Валерьевич, чем вызвана необходимость принятия такого закона, и какие вносятся изменения?
- С ростом популярности банковских карт и электронных средств платежа (он-лайн банк, терминалы оплаты услуг и т.д.) растет и активность мошенников. В 2017 году в результате несанкционированных операций со счетов граждан было похищено около 1 млрд. рублей, в первом полугодии 2018 г. – уже около 700 млн. рублей. Цель нового закона – защитить деньги клиентов от кибермошенников. Теперь все банки в обязательном порядке должны вести работу по антифроду, т.е. противодействию кибермошенничеству, и сообщать в Банк России о хакерских атаках в отношении как физических, так и юридических лиц. Кроме того, будут сообщать регулятору, на какую сумму покушались злоумышленники, какую сумму удалось похитить, какую удалось сохранить, и главное – какую сумму в итоге удалось вернуть клиенту.
Важный момент: закон обязывает банки возвращать клиенту деньги, похищенные в результате несанкционированного списания, если клиент сам не сообщал мошенникам свои персональные данные, необходимые для хищения. Также документ определяет действия банков при выявлении подозрительной операции, совершаемой от имени клиента.
- Какие действия должен будет предпринять банк, если посчитает операцию подозрительной?
- По новому закону банк может до списания средств со счета клиента приостановить исполнение подозрительной операции на срок не более двух рабочих дней. Затем банк должен немедленно связаться с клиентом, чтобы подтвердить такую операцию. Никаких длительных процедур разблокировок и проверок законом не предусмотрено. Клиент просто должен подтвердить своё согласие способом, определенным в договоре с банком. Поэтому, чтобы избежать неудобств, лучше всегда оставаться на связи, особенно за границей.
Если клиент подтвердил операцию – банк незамедлительно продолжает исполнение платежа. Если же связаться с клиентом не удалось, банк должен исполнить операцию по истечении двух рабочих дней после совершения всех описанных действий.
- Уточните, пожалуйста, все-таки будет блокироваться платежная операция или банковская карта?
- Подчеркну, что блокировка карты или средств на счете клиента не производится. Речь идет о приостановке именно подозрительной платежной операции до получения подтверждения от клиента. Банк может заблокировать и банковскую карту (или он-лайн банк), но для этого нужны серьезные основания – как правило, заявление клиента или нарушение условий договора. Чтобы избежать проблем, советую не полениться и предупредить банк о предстоящей поездке за границу или другой нетипичной для вас операции, например, о переводе необычно крупной суммы.
- Как клиент может подтвердить платежную операцию?
- Общий порядок такого подтверждения определяется договором с банком. Как правило, это стандартный набор данных: ФИО, паспортные данные, контрольный вопрос. Вопросы не должны касаться реквизитов банковской карты, вся необходимая информация у банка есть.
- Каковы эти самые признаки или критерии подозрительности?
- Есть много параметров, чтобы определить нетипичное платежное поведение клиента. Например, по одной и той же карте расплачиваются в отдаленных друг от друга местах через короткий промежуток времени. Другие примеры – необычная для клиента сумма транзакции, множество переводов с одной карты на другие счета, причем одновременно и на большие суммы. Для банка это повод задуматься о том, что операция совершается без согласия клиента.
Банк России, с учетом информации, полученной от банков, формирует базовый набор критериев подозрительных операций и публикует его на своем официальном сайте. Банки могут этот набор дополнять и уточнять согласно внутренней риск-политике.
- Что Вы посоветуете гражданам, чтобы уберечь себя от мошенничества?
- Главное правило: никогда не сообщайте незнакомым людям данные своей карты (ее номер, коды, срок действия, кодовое слово и т.д.), даже если они представляются работниками банка или госструктур. Если вас под любым предлогом просят сообщить данные о вашей банковской карте – это мошенники. Банк никогда не запрашивает такую информацию.
Если Вам предлагают какие-то призы, выплаты, компенсации, сообщают о блокировке карты или ошибочном списании денег, а затем предлагают помочь решить эту проблему, проявите бдительность и не забывайте, что бесплатный сыр бывает только в мышеловке. При любых сомнениях обязательно перезвоните в свой банк по телефону, указанному на оборотной стороне вашей карты, и уточните ситуацию.