С недавнего времени финансовые организации обязаны вести работу по защите средств клиентов от кибермошенников, отчитываться перед Банком России о зафиксированных кибератаках и возвращать украденные деньги. Такие обязанности наложил на банки новый федеральный закон №167-ФЗ «О противодействии хищению денежных средств», вступивший в силу в конце сентября.
О механизме выявления и блокировки подозрительных операций рассказал заместитель начальника отдела безопасности и защиты информации Тюменского отделения Уральского ГУ Банка России Алексей Нохрин.
– Новый федеральный закон разработан по инициативе и при активном участии Банка России. Алексей Валерьевич, чем вызвана необходимость принятия такого закона, и какие вносятся изменения?
– С ростом популярности банковских карт и электронных средств платежа (онлайн банк, терминалы оплаты услуг и т.д.) растёт и активность мошенников. В 2017 году в результате несанкционированных операций со счетов граждан было похищено около 1 миллиарда рублей, в первом полугодии 2018 года – уже около 700 миллионов рублей. Цель нового закона – защитить деньги клиентов от кибермошенников. Теперь все банки в обязательном порядке должны вести работу по антифроду – т.е. противодействию кибермошенничеству, и сообщать в Банк России о хакерских атаках в отношении как физических, так и юридических лиц. Кроме того, они будут сообщать регулятору, на какую сумму покушались злоумышленники, какую сумму удалось похитить, какую удалось сохранить, и главное – какую сумму в итоге удалось вернуть клиенту.
Важный момент: закон обязывает банки возвращать клиенту деньги, похищенные в результате несанкционированного списания, если клиент сам не сообщал мошенникам свои персональные данные, необходимые для хищения. Также документ определяет действия банков при выявлении подозрительной операции, совершаемой от имени клиента.
– Какие действия должен будет предпринять банк, если посчитает операцию подозрительной?
– По новому закону банк может до списания средств со счёта клиента приостановить исполнение подозрительной операции на срок не более двух рабочих дней. Затем банк должен немедленно связаться с клиентом, чтобы подтвердить такую операцию. Никаких длительных процедур разблокировок и проверок законом не предусмотрено. Клиент просто должен подтвердить своё согласие способом, определённым в договоре с банком. Поэтому, чтобы избежать неудобств, лучше всегда оставаться на связи, особенно за границей.
Если клиент подтвердил операцию – банк незамедлительно продолжает исполнение платежа. Если же связаться с клиентом не удалось, банк должен исполнить операцию по истечении двух рабочих дней после совершения всех описанных действий.
– Уточните, пожалуйста, все-таки будет блокироваться платежная операция или банковская карта?
– Подчеркну, что блокировка карты или средств на счёте клиента не производится. Речь идет о приостановке именно подозрительной платежной операции до получения подтверждения от клиента. Банк может заблокировать и банковскую карту (или он-лайн банк), но для этого нужны серьезные основания – как правило, заявление клиента или нарушение условий договора. Чтобы избежать проблем, советую не полениться и предупредить банк о предстоящей поездке за границу или другой нетипичной для вас операции, например, о переводе необычно крупной суммы.
– Как клиент может подтвердить платежную операцию?
– Общий порядок такого подтверждения определяется договором с банком. Как правило, это стандартный набор данных: ФИО, паспортные данные, контрольный вопрос. Вопросы не должны касаться реквизитов банковской карты, вся необходимая информация у банка есть.
– Каковы эти самые признаки или критерии подозрительности?
– Есть много параметров, чтобы определить нетипичное платёжное поведение клиента. Например, по одной и той же карте расплачиваются в отдаленных друг от друга местах через короткий промежуток времени. Другие примеры – необычная для клиента сумма транзакции, множество переводов с одной карты на другие счета, причем одновременно и на большие суммы. Для банка это повод задуматься о том, что операция совершается без согласия клиента.
Банк России, с учётом информации, полученной от банков, формирует базовый набор критериев подозрительных операций и публикует его на своем официальном сайте. Банки могут этот набор дополнять и уточнять согласно внутренней риск-политике.
– Что вы посоветуете гражданам, чтобы уберечься от мошенничества?
– Главное правило: никогда не сообщайте незнакомым людям данные своей карты (ее номер, коды, срок действия, кодовое слово и т.д.), даже если они представляются работниками банка или госструктур. Если вас под любым предлогом просят сообщить данные о вашей банковской карте – это мошенники. Банк никогда не запрашивает такую информацию.
Если вам предлагают какие-то призы, выплаты, компенсации, сообщают о блокировке карты или ошибочном списании денег, а затем предлагают помочь решить эту проблему, проявите бдительность и не забывайте, что бесплатный сыр бывает только в мышеловке. При любых сомнениях обязательно перезвоните в свой банк по телефону, указанному на оборотной стороне вашей карты, и уточните ситуацию.
PARK72.RU
по материалам Тюменского отделения Уральского ГУ Банка России