Способы воровства денег стремительно развиваются вместе с технологиями безналичных расчетов. Законодательство едва поспевает.
Госдума на заседании 11 октября приняла в первом чтении поправки в Уголовный кодекс, которые устанавливают наказание за хищение средств с банковского счета и электронных денег. Однако первый круг обороны от кибермошенников создается уже на подступах к счетам граждан и организаций.
В Госдуму внесен подготовленный минфином законопроект о противодействии незаконным операциям с использованием электронных средств платежа. Документ должен выставить заслоны на этапе хищения средств. "Целью законопроекта является защита денежных средств клиентов банков от несанкционированного списания, в том числе с использованием сети Интернет и устройств мобильной связи", - пояснили в пресс-службе минфина. В ведомстве отметили, что в опубликованный проект уже вносятся изменения, но новая версия документа будет представлена общественности после направления его в Госдуму.
Пока, как следует из текста законопроекта, для борьбы с похитителями средств призовут самих владельцев счетов и банки. Кредитные организации должны будут отслеживать сделки и запрашивать согласие клиентов на совершение операции, которая покажется сомнительной. Критерии таких операций, как предполагается, разработает ЦБ, а банки смогут дополнять список.
Клиент должен подтвердить или отклонить сомнительную операцию течение двух дней после получения уведомления банка. В том случае, когда он сам узнает, что доступ к средствам электронного платежа получили третьи лица, либо утеряны пароль, пин-код, надо будет срочно направить уведомление в банк.
Сообщить туда также следует, если деньги уже исчезли со счета. Вот только юридическим лицам, в отличие от граждан, факт несанкционированного списания средств придется доказывать в арбитражном суде.
Физические лица, то есть граждане, первыми попали под удар мошенников. Осваивать новое поле деятельности злоумышленники начали с краж из банкоматов и воровства денег с пластиковых карт. Тогда для защиты физлиц в Закон "О национальной платежной системе" уже в 2014 году были внесены изменения.
Вместо 30-дневной процедуры расследования случаев исчезновения средств была закреплена обязанность банка возместить сумму, перечисленную со счета без согласия клиента. При этом кредитным организациям предписали уведомлять индивидуальных клиентов о совершении операции, хотя сам порядок уведомления определен не был. Если же человек поймет, что своего согласия на какую-либо операцию он не давал, то должен уведомить об этом банк не позднее дня, следующего за днем получения уведомления о проведении данной операции. Деньги вернут.
По сравнению с гражданами юридические лица, то есть организации, перед лицом кибермошенников фактически остались без законодательной защиты. Злоумышленники тем временем взялись за счета компаний и здесь открыли для себя новые горизонты. В 2016 году было совершено около 300 тысяч несанкционированных операций с использованием платежных карт, эмитированных российскими кредитными организациями. Общая сумма таких операций превысила миллиард рублей.
В то же время на счета юрлиц было совершено только 717 посягательств. Зато общая сумма несанкционированных операций составила почти 2 миллиарда рублей. В половине случаев попытки увести деньги без ведома их владельца удались, приводит данные минфин в пояснительной записке к законопроекту.
Предотвратить только законодательными мерами все случаи несанкционированного списания средств со счетов граждан и юрлиц будет не так-то просто, считают эксперты.
Почву для увода средств создают сами электронные системы платежей. "Все несанкционированные списания средств происходят в рамках дистанционного банковского обслуживания с использованием электронных средств платежа - мобильного банка, банковской карты, интернет-банкинга и других систем", - говорит вице-президент Ассоциации банков России Олег Иванов.
Несанкционированное списание средств может произойти и в случае сбоя системы, и в результате различных видов мошенничества. К тому же могут совершаться фиктивные сделки с участием так называемых фирм-однодневок. В банк для проведения операции предоставляются поддельные документы, говорит начальник аналитического департамента УК "БК-Сбережения" Сергей Суверов. Клиент санкционирует операцию, но она является незаконной.
Даже определить, что такое сомнительная сделка, будет сложно. "В ситуации с физическими лицами есть четкий критерий подозрительности операции - география платежей или нехарактерные получатели платежей. С юридическими лицами ситуация сложнее, - отмечает председатель ассоциации "Электронные деньги" Виктор Достов. - Можно сделать закрытый лист получателей платежей-контрагентов. Тогда сомнительными будут считаться операции, если контрагент отсутствует в этом перечне", - рассуждает эксперт.
Технические сложности могут возникнуть также в процессе уведомления клиентов и подтверждения ими операций. Если для общения банка с физическими лицами законопроектом предусмотрены звонки по телефону или отправка электронных сообщений, то взаимодействие с юрлицами будет определяться условиями договоров. "В отношении юридических лиц подтверждать и отменять операции сложнее. Можно делать подтверждение с помощью электронных ключей. Но когда в организации идет большое количество операций, подтверждать их все будет очень сложно", - говорит Виктор Достов. К тому же каналы, по которым отправляется запрос о подтверждении операции и ответ клиента, также могут быть перехвачены злоумышленниками.
Тем временем алгоритмы выявления сомнительных операций разрабатывают кредитные организации.
"В банке уже действует онлайн-система мониторинга операций. При оценке рисков модель учитывает не только детали конкретного платежа, сессионного события или последовательность операций по конкретному каналу, но и активность клиента в других платежных каналах.
Например, если мы увидим, что за пять минут до проведения операции по карте в Испании клиент совершил операцию по своему мобильному устройству (с полной аутентификацией) с территории России, то данная операция банком будет отклонена, а с клиентом оперативно свяжутся для подтверждения платежа", - рассказали "Российской газете" в пресс-службе одной из крупных кредитных организаций.
Подобные системы использует модель машинного обучения, то есть "искусственный разум", который постоянно переобучается, учитывает опыт предыдущих операций и в доли секунды принимает решение по платежу. Но специалисты призывают граждан и компании самим быть осторожнее в использовании безналичных расчетов.
Пользователей сети Интернет постоянно подталкивают к переходу на разные сайты, оплате ненужных услуг, подключению автоплатежей, говорит Виктор Достов. "Стоит внимательно следить за тем, кому, как и за что платим", - подчеркивает он.
Есть комплекс технических мер. На том компьютере, где установлена программа для совершения дистанционных платежей, не стоит выходить в Интернет. Доступ к этому компьютеру должен иметь только сотрудник, ответственный за проведение платежей. Также необходимо установить системы защиты от взлома программного обеспечения, советуют специалисты.