Помощников хакеров берут на карандаш
Банкам разрешат обмениваться информацией о дропперах
Законодатели намерены разрешить банкам обмениваться информацией о счетах дропперов (лиц, через чьи банковские карты хакеры выводят похищенные средства), а также закрывать им счета. Соответствующий проект принят Госдумой в первом чтении. Эксперты уверены: борьба с дропперами необходима, однако важно не совершить ошибок, которые уже были допущены при введении черного списка отказников—клиентов банков в рамках антиотмывочного закона.
Помочь в борьбе с дропперами должен законопроект, который сейчас готовится ко второму чтению в Госдуме. «В документе предполагается регламентировать обмен банков информацией о счетах так называемых дропперов — физических и юридических лиц, через которые проходят похищенные деньги»,— сообщили “Ъ” в ЦБ, который принимал активное участие в работе над проектом. Обмен информацией согласно проекту предполагается через ФинЦЕРТ (подразделение ЦБ по кибербезопасности), который будет формировать единую базу о хищениях или попытках хищений денежных средств и доводить эту информацию до рынка.
Сейчас борьбу банков с дропперами затрудняет банковская тайна и невозможность отказать клиенту в обслуживании, отмечают участники рынка. Например, банк остановил хищение средств у своего клиента, при этом деньги выводились на счет физлица в другом банке. Есть все основания полагать, что получатель похищенных средств — дроппер. «Однако, точно зная, что на той стороне мошенник, мы не имеем законных прав проинформировать банк получателя о подобном клиенте,— отметил собеседник “Ъ” в крупном банке.— Как и банк получателя, зная о клиенте-дроппере, не вправе в подобной ситуации отказать ему в обслуживании».
Однако в банках считают, что выбор подразделения ЦБ ФинЦЕРТ в качестве центра обмена информацией о дропперах не лучший вариант.
«В ЦБ есть надзорный блок, опасаясь которого многие банки не захотят делиться с ЦБ информацией о попытках хищений денежных средств, в итоге база дропперов будет с пробелами,— отметил руководитель службы ИБ в банке топ-50.— Аккумулировать подобную информацию должна независимая от регулятора организация, например бюро кредитных историй». По словам главы бюро кредитных историй (БКИ) «Эквифакс» Олега Лагуткина, БКИ в принципе готовы взять на себя подобные функции, но на возмездной основе — и даже выступали с такой инициативой, но в отсутствие законодательного урегулирования вопроса она отклика не нашла.
Кроме того, банкам нужны меры воздействия на дропперов в ситуации, когда нет материала для представления информации о них. Такой мерой пока служит черный список по 115-ФЗ. «Сейчас, если скоринговая система банка позволяет выявить дроппера, а технически это возможно, банк часто оформляет отказ на проведение трансакции именно на основании антиотмывочного закона»,— отмечает руководитель направления по борьбе с мошенничеством Центра информационной безопасности «Инфосистемы Джет» Алексей Сизов. «Однако введенный в конце марта механизм реабилитации банковских отказников может негативно повлиять на практику отказов в обслуживании дропперам по 115-ФЗ. Опасаясь гнева регулятора, банки оставят их в покое, и в итоге количество мошенничеств вырастет»,— опасается собеседник “Ъ” в крупном банке.
По мнению главы комитета Госдумы по финрынкам Анатолия Аксакова, необходимо закрепить на законодательном уровне права банков не только тормозить операции, направленные на хищение денежных средств, но и отказывать в обслуживании дропперам. «Проблема есть, и серьезная. Сейчас банки вправе отказывать в проведении операции или в обслуживании клиенту лишь в случае, если его операции являются сомнительными с точки зрения антиотмывочного закона (115-ФЗ),— поясняет он.— Однако подозрение в вовлеченности клиента в мошеннические схемы не всегда подпадает под 115-ФЗ».
По словам партнера BMS Law Firm Тимура Хутова, возможно внести поправки в законодательство, которое даст право отказывать в обслуживании таким клиентам как сомнительным с точки зрения вовлечения в противоправную деятельность.
«То есть по аналогии с отказом в проведении сомнительных операций по 115-ФЗ, где банку не нужно железобетонных доказательств вовлечения клиента в обналичивание денежных средств, достаточно сомнений,— поясняет он.— Однако важно сразу же проработать механизм реабилитации для клиентов, у которых были подделаны карты или которые иным образом были отнесены к дропперам по ошибке». Вводить подобный механизм следует крайне осторожно, чтобы добросовестные клиенты банков не пострадали, соглашается Анатолий Аксаков.
Как банки нашли способ блокировки операций без черных списков
Запуск механизма исключения банковских клиентов-отказников из черного списка привел к новым проблемам. Чтобы не связываться с утомительным процессом реабилитации, банкиры стали все чаще отказывать клиентам, не передавая информацию в Росфинмониторинг. Однако самому клиенту никто не сообщает его статус. В результате выяснить, что происходит, можно только опытным путем, то есть попытавшись провести операцию или открыть счет в других банках. Если клиент в списке, то отказы будут следовать один за другим, причем проходить сложную процедуру реабилитации придется за каждый.