В ЦБ намерены вынести проблему социальной инженерии на обсуждение правительства с перспективой законодательно ввести блокировку банковских карт дропперов — владельцев счетов, используемых при выводе средств. Также предлагается проработать комплекс мер по борьбе с несанкционированным выводом средств при компьютерном взломе клиента или объекта платежной системы. Но эксперты считают преждевременным говорить о таких мерах, поскольку ЦБ сейчас не обладает достоверными данными об объеме мошеннических операций.
Рисунок: Виктор Чумачев, Коммерсантъ
Как стало известно “Ъ”, на прошедшем 20 сентября заседании консультационного совета по вопросам развития национальной платежной системы с участием главы Банка России Эльвиры Набиуллиной первый замглавы департамента информационной безопасности ЦБ Артем Сычев представил доклад о необходимости повышения эффективности предотвращения мошенничеств в платежной индустрии.
Одной из главных мер, как следует из презентации (есть у “Ъ”) и что подтвердили участники встречи, является необходимость вынести на правительственный уровень решение проблем социальной инженерии с использованием похищенных баз данных граждан. По данным ЦБ, в 2018 году 97% (1,34 млрд руб.) несанкционированных операций с использованием платежных карт было совершено с применением методов социальной инженерии.
По словам господина Сычева, главным «поставщиком» сведений для мошенников, выманивающих у физлиц данные карт для хищения средств, являются базы госорганизаций. Утечка из банков — малая доля, заверил он.
Бороться с проведением операций без согласия клиента предлагается и путем внесения поправок в закон 161-ФЗ, проработав возможность приостановления использования электронного средства платежа получателя (карты, электронного кошелька), на счет которого были зачислены похищенные средства. То есть фактически господин Сычев сообщил о планах проработать возможность внесения поправок, предложенных самими банками (см. “Ъ” от 20 августа). Со своей стороны, он пообещал внести поправки в положение ЦБ 672-П, которыми будет определен порядок реализации мероприятий по противодействию переводов денежных средств без согласия клиента при выявлении компьютерных атак, направленных на клиентов банков или объекты платежной инфраструктуры.
Эксперты называют предложенные меры «разумными». Сейчас весьма распространенная ситуация, когда идет взлом каналов дистанционного банковского обслуживания (ДБО) того же банка, однако похищаются деньги клиента, говорит эксперт RTM Group Евгений Царев. «При этом взыскать с кредитной организации похищенное нереально, любые попытки изменить ситуацию — благо»,— подчеркивает он.
В то же время, не имея полной картины о реальном объеме мошенничеств, предлагать какие-либо меры — преждевременно, а согласно представленным господином Сычевым данным, сейчас у ЦБ ее нет, утверждают участники рынка.
В информационном обмене через ФинЦЕРТ, по данным ЦБ, участвуют все 415 банков и 41 НКО/РНКО. При этом количество попыток хищений (успешных и отклоненных) любой кредитной организации пропорционально числу клиентов. Однако, согласно представленным ЦБ данным, за один и тот же период времени (предположительно, первое полугодия 2019 года) Тинькофф-банк, у которого 9,5 млн клиентов-физлиц, направил в ФинЦЕРТ 54 тыс. сообщений, а Сбербанк с 92,1 млн частных клиентов — лишь 26,8 тыс. и т. д. «Судя по цифрам, ЦБ не видит реальной картины, так как ряд крупных игроков передают информацию в ограниченном объеме, например, только об успешных атаках,— полагает собеседник “Ъ” в банке из топ-10.— Поэтому небольшие кредитные организации, сообщающие ЦБ обо всех фродовых операциях, обошли по количеству сообщений лидеров рынка».
Причина подобных разрывов — сложность автоматизации процесса информирования. «Для системы "Фид-Антифрод" протокол API появился недавно, в ручном же режиме в масштабах крупного банка информировать обо всех фродовых операциях нереально,— говорит собеседник “Ъ” на банковском рынке.— Потому ряд игроков не направляют сообщения о попытках фрода при переводах через ДБО или с карты на карту». В то же время, по главы управления статистического анализа банка «Ренессанс Кредит» Сергея Афанасьева, для качественной борьбы с мошенничеством нужна информация не только об успешных мошенничествах, но и о попытках, причем по разным каналам. В ЦБ не ответили на запрос “Ъ” о намерении изменить подход к сбору данных.