Компании предупредят о хищениях
ЦБ расписал банкам действия при незаконных списаниях средств
Банк России регламентировал вопросы уведомления банками своих клиентов в случае несанкционированного списания средств с их счетов. В результате клиенты получают возможность оперативно реагировать на случаи неправомерной задержки платежей. Однако необходимость информирования контрагента через Банк России, который пока не имеет возможности круглосуточного отслеживания этой информации, задержит реагирование на реальный вывод средств мошенниками.
Банк России опубликовал проект указания, которое регламентирует обмен уведомлениями между банками при несанкционированных списаниях денежных средств со счетов их корпоративных клиентов. Вступившие в силу в сентябре 2019 года изменения в закон «О национальной платежной системе» определяют общий порядок действий. Если компания сообщает в свой банк о хищении у нее средств, то кредитная организация направляет банку получателя средств уведомление о необходимости притормозить зачисление средств. Банк получателя задерживает средства на корсчете на пять дней, за которые и выясняется истинная природа переводимых денег — были ли они похищены или нет. Если банк получателя зачислил деньги на счет клиента, то он уведомляет об этом банк отправителя.
В проекте указания регулятор как утвердил формы самих уведомлений, так и определил, что направляться они должны «с использованием технической инфраструктуры» Банка России. Однако такой порядок обмена несколько смутил банки. Дело в том, что автоматизированной системой является внедренная летом этого года технологичная платформа для противодействия киберугрозам АСОИ. Но в ней не предусмотрен обмен информацией напрямую между баками — любые сообщения могут передаваться строго через ЦБ. И вот это контролирующее звено может стать самым слабым в цепочке, уверены эксперты. «Может сложиться ситуация, когда банк-отправитель в конце рабочего дня направил уведомление, однако ЦБ своевременно его не передал, и в итоге банк получателя не знал о хищении и зачислил деньги на счет мошенникам»,— рассуждает собеседник “Ъ” в банке топ-100. Сейчас пусть и неофициально, но вопрос решается простым звонком в службу информбезопасности другого банка.
«Если ФинЦЕРТ перейдет на работу в режиме 24/7 и его реакция будет мгновенной (или же будет возможен обмен сообщениями банк-банк напрямую), то это будет рабочий удобный инструмент»,— отмечает глава управления информбезопасности банка «Ренессанс-Кредит» Дмитрий Стуров. Банк России неоднократно заявлял о планах по переходу работы подразделения ФинЦЕРТ (отвечает за кибербезопасность) на работу в круглосуточном режиме, однако пока их не реализовал. Вчера в ЦБ не ответили на запрос “Ъ”, когда планируется переход в режим 24/7 и будет ли предоставлена возможность прямого обмена сообщениями между банками.
С другой стороны, официальность обмена информацией является безусловным плюсом с точки зрения экспертов. «Нередки случаи, когда торможение сомнительных трансакций используется недобросовестными компаниями»,— рассказывает глава КА «Старинский, Корчаго и партнеры» Евгений Корчаго. Например, покупатель оплатил поставку, отправил копию платежки, поставщик отгрузил товар, поясняет он, а покупатель взял и остановил платеж и в итоге деньги так и не дошли. «Чем больше юридически значимых документов, тем проще сторонам доказывать правомерность получения денег»,— отмечает он. Однако получить эти документы клиенты смогут лишь в случае судебного спора. «Банк получателя обязательно проинформирует клиента о приостановке зачисления средств, однако внутреннюю межбанковскую переписку он предъявлять ему не обязан,— отмечает директор юридического департамента Юникредитбанка Наталья Окунева.— Эта информация может быть предоставлена лишь по запросу суда в случае судебного разбирательства».
Стража со взломом
Почему мощная защита банковского сектора от хакерских атак мало помогает гражданам