19 октября 2022 года Совфед одобрил закон, обязывающий Банк России предоставлять МВД информацию о случаях и попытках переводов денежных средств без согласия клиента.
Документ направлен на борьбу с мошенническими списаниями средств с банковских карт, в том числе с использованием так называемой социальной инженерии.
Он призван улучшить информационное взаимодействие ЦБ и МВД при возбуждении и расследовании уголовных дел в этой сфере.
Оперативный информационный обмен предполагается осуществлять посредством автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России.
Закон обязывает ЦБ на основании полученных от МВД сведений о противоправных действиях предоставлять министерству информацию из своей базы данных о случаях и попытках переводов денег без согласия клиента. Форма и порядок передачи сведений будут определяться межведомственным соглашением.
Закон должен вступить в силу через год после его официального опубликования. Необходимость его принятия правительство РФ объясняет ростом мошеннических операций с использованием банковских карт.
Так, широкое распространение получило мошенничество, связанное с добровольной передачей физлицом сведений (например, номеров платежных карт, кодов, паролей), которые используются преступниками для несанкционированных операций, в том числе денежных переводов без согласия клиента (социальная инженерия).
По статистике МВД, с 2013 года уровень преступности в сфере IT-технологий возрос более чем в 20 раз, причем в 2020 году по отношению к 2019 году — на 73,4%.
По данным Банка России, за 2021 год количество операций по переводу денежных средств без согласия клиента выросло на 33,8% — до 1,035 миллиона операций, а их объем — на 38,8%, до 13,582 миллиарда рублей.
На «социальную инженерию» при этом в 2021 году пришлось 49,4% переводов без согласия клиентов.
Ранее при принятии закона в Думе Председатель Государственной Думы Вячеслав Володин заявил:
«Попытки преступников обманом завладеть средствами, которые граждане хранят на банковских счетах, необходимо пресекать. Только с начала 2022 года с использованием пластиковых карт было совершено более 72 тыс. преступлений. Люди получают десятки звонков в день, мошенники представляются им работниками банков, силовых органов».
Законом предлагается создать механизм информационного взаимодействия Банка России и МВД. МВД будет передавать ЦБ данные о действиях, связанных с попытками перевода денег без согласия клиента. Банк России, в свою очередь, будет предоставлять МВД сведения из базы данных о попытках совершения противоправных операций. Это позволит незамедлительно приступать к проведению оперативно-разыскных мероприятий (сейчас банки иногда только через 30 дней отвечают на запросы МВД по хищениям).
У следствия появится возможность блокировать всю цепочку счетов в рамках одного уголовного дела, что значительно усложнит преступникам поиск каналов для вывода похищенных средств.
Текст закона:
Для эффективного противодействия мошенничеству очень важно не только наладить электронный документооборот с правоохранительными органами и судебной системой, но и создать новую модель уголовно-процессуальных действий для оперативной борьбы с кибермошенничеством. Это позволит ускорить процесс рассмотрения дел о киберпреступлениях и повысить уровень возврата похищенных средств. Об этом 18 октября вице-президент Ассоциации банков России Алексей Войлуков заявил в ходе конференции IT Security Day.
По статистике Банка России, в 2021 году совершено более 1 миллиона операций без согласия клиента на сумму 13,6 млрд рублей, это почти на 40% больше, чем в 2020 году. Доля возврата похищенных средств в 2020 составила 11%, в 2021 году – менее 7%. За первое полугодие 2022 года, несмотря на значительное уменьшение инцидентов в марте-апреле, объемы похищенных средств еще выросли на 4% по сравнению с аналогичным периодом 2021 года. При этом доля возврата уменьшилась до 5%.
Алексей Войлуков отметил, необходимость законодательных изменений в механизм противодействия кибермошенничеству назрела давно.
1 октября Банка России своим Указанием № 6071 сделал обязательным для всех кредитных организаций, которые специализируются на дистанционном банковском обслуживании, соблюдение технологических процедур, с помощью которых проверяется подлинность данных клиента, в том числе, номер абонента и почта. Большинство банков реализовали требования регулятора, так как часть мер были прописаны в №161-ФЗ, а в 2020 году Банк России давал критерии и разъяснения по проверке электронной почты.
«Основной результат от реализации Указания ЦБ – более прозрачный механизм возможности оспаривания мошеннических операций и возможность для клиента выбирать тип доступной операции, которую можно осуществлять удаленно, а также выставлять ограничения в виде лимитов. Самоограничения по лимитам могут помочь при физической утрате карты, а также будут полезны возрастной группе клиентов, когда эти ограничения им помогают выставить родственники. Но в случае получения несанкционированного доступа к личному кабинету с помощью социальной инженерии, эти методы защиты не сработают», — считает Алексей Войлуков.
При этом он обратил внимание, что в СМИ публикуется много статей по ограничению онлайн кредитования, но законодательно этот вопрос не решен. Законодательная инициатива, которую кредитные организации обсуждали с регулятором в совместной рабочей группе, стоит на паузе.
Алексей Войлуков напомнил также, что Ассоциация банков России предложила изменить подход к механизму противодействия мошенникам, позволяющую по заявлению гражданина оперативно блокировать похищенную сумму на счете потенциального мошенника на срок 25 рабочих дней с целью сохранить эти средства от немедленного вывода и дать возможность потерпевшему обратиться в суд для защиты своих прав и вынесения обеспечительных мер на украденную сумму. Но этот механизм пока не согласован Банком России.
На сегодня в Государственную думу внесен законопроект, разработанный совместной рабочей группой, который предлагает отслеживать законность платежей не только банкам-отправителям, но и банкам-получателям.
В него также зашит механизм двухдневного охлаждения. Кредитная организация наделяется правом не проводить 2 дня операции клиента, если у нее есть подозрения, что операция мошенническая. Признаки мошеннических операций кредитная организация может проверить по базе, которую ведет ФинЦЕРТ. В нее поступают данные о всех выявленных мошеннических операциях. ФинЦЕРТ также может запрашивать сведения у участников платежной инфраструктуры.
Если клиент настаивает на платеже, реквизиты которого есть в базе ФинЦЕРТ, банк имеет право два дня не проводить эту операцию.
Алексей Войлуков также подчеркнул важность оперативного взаимодействия по киберинцидентам между кредитными организациями, Банком России, МВД, судебной системой.
«Электронное взаимодействие должно быть не только на уровне простой пересылки документов в электронном виде, но и на уровне процессуальных действий. Следственные и судебные органы должны признавать типовые электронные запросы и ответы банков, для которых не требуется дополнительного акцепта для проведения следственных действий. Технологически вполне возможно обеспечить автоматическое формирование обеспечительных мер в части наложения ареста на счет в украденной сумме. Для этого необходимо внести соответствующие поправки в законодательство, что позволит оперативно выявлять и наказывать мошенников. Главное в борьбе с кибермошенниками — не только самоограничения клиентов, но и быстрота и неотвратимость наказания злоумышленников. Тогда желающих заниматься мошенничеством и пособничать им будет значительно меньше», — уверен Алексей Войлуков.