Банки будут предотвращать денежные переводы, совершаемые без согласия граждан. Для этого клиент должен самостоятельно выбрать ограничения, которые он хочет наложить, чтобы избежать мошенничества. Установить запрет можно как на все онлайн-операции, так и на отдельные услуги, например переводы, кредитование. Ограничить можно как максимальную сумму одной транзакции, так и лимит на определенный срок.
Чтобы воспользоваться бесплатным сервисом, клиенту нужно написать заявление в свой банк. Форму документа и порядок его направления определяет кредитная организация, разъясняет регулятор. При этом пользователь может отменить запрет или изменить параметры ограничений в любое время.
Предполагается, что мера особенно актуальна для пожилых граждан, поскольку они наиболее подвержены влиянию кибермошенников.
Для дополнительной защиты банки будут проводить идентификацию всех устройств, с которых граждане совершают онлайн-операции. С 1 октября организации обязаны проверять адрес электронной почты клиента, на который банк направляет уведомления и справки об операциях. Также финансовые организации начнут подтверждать телефонный номер абонента, когда тот совершает операции через мобильное приложение.
По данным Центробанка, количество и объем операций без согласия клиентов финансовых организаций в 2021 году увеличился в сравнении с 2020-м. Объем операций составил 13,5 млрд рублей (в 2020-м — 9,7 млрд рублей), а количество возросло с 773 тыс. единиц до 1,035 млн.
— Эта информация указывает на масштабы проблемы, и, на мой взгляд, новые правила смогут уменьшить эти цифры, — говорит начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. — Но стоит понимать, что меры не помогут предотвратить социальную инженерию. От нее помогает только информирование людей.
Изменения в положении Банка России № 683-П сложно назвать нововведением, так как большинство российских банков в той или иной мере уже реализует описанные меры, отмечает архитектор проектов по информационной безопасности R-Vision Артем Гольцов. Однако, по мнению эксперта, хорошо, что эти требования устанавливаются и на законодательном уровне.
Настройка лимитов или запретов на некоторые операции позволяет минимизировать риски при нелегитимных операциях. Но при этом нужно понимать, как клиент банка сможет активировать или деактивировать данные лимиты?
— К примеру, сейчас пользователи мобильного приложения банка могут выставить как лимиты на переводы или снятие денежных средств, так и на возможность использования реквизитов банковской карты при онлайн-покупках. Управление лимитами при помощи приложения является очень удобным инструментом, но в то же время позволяет самому мошеннику деактивировать установленные лимиты, — предупредил Артем Гольцов.
По его словам, у злоумышленников, представляющихся «службой безопасности банка», есть высокие шансы ввести в заблуждение доверчивого клиента и сподвигнуть его на снятие галочки на лимиты в приложении банка.
Что касается подтверждения телефонных номеров и электронных почт, то большинство банков также реализует эти меры. По словам Артема Гольцова, банки собирают цифровой отпечаток мобильного устройства. Это позволяет контролировать установку мобильных банковских приложений на новые гаджеты, но при этом не блокировать их загрузку совсем.
— Чтобы воспользоваться мобильным банком, злоумышленнику необходимо завладеть не только паролем от аккаунта, но еще и перехватить одноразовый код, который является вторым аутентификационным фактором. Но это сложно выполнимая операция, если пользователь хранит пароли в безопасности и не поддается социальной инженерии, — отметил специалист R-Vision.
Бизнес-архитектор Solar webProxy компании «РТК-Солар» Анастасия Хвещеник полагает, что идентификация устройств является серьезным препятствием для злоумышленников.
— Теперь злоумышленникам необходимо получить доступ к устройству жертвы, что на порядок сложнее и требует высоких компетенций в области хакинга, включая применение методов социальной инженерии. Обычные мошенники или хакеры-любители не смогут реализовать подобную атаку, а хакерам высокой квалификации интересны совсем другие задачи, — уверена собеседница.
Специалист «СерчИнформ» Алексей Дрозд считает, что многое будет зависеть от того, как банки реализуют эту меру.
— Судя по всему, каждый банк сам будет решать, насколько серьезно проверять «подлинность» пользователя. Самая строгая процедура — подтверждение личности в офисе, даже в таком раскладе теоретически мошенничество возможно, но оно окажется для злоумышленников сложным и дорогим. К тому же это противоречит тому, чтобы делать банковский сервис удобным, и уменьшит лояльность клиентов, — подчеркнул он.
Разобраться с последствиями обмана и наказать воришек довольно сложно. Оспорить кредитный договор или транзакцию проблемно, поскольку зачастую клиенты добровольно предоставляют доступ к мобильному банку либо переводят деньги мошенникам, отмечает юрист фирмы «Ялилов и Партнеры» Амир Хасанов. По его словам, обычно условия дистанционного банковского обслуживания содержат ряд условий, страхующих банки от различных ситуаций.
— К примеру, один из банков включил условие о том, что он не несет ответственности в случае несанкционированного доступа неуполномоченных лиц к рабочему месту системы, установленному у клиента (включая удаленный сетевой доступ), и ключам шифрования клиента. Такое условие позволяет юристам банков отбиваться от многочисленных исков пострадавших клиентов, — рассказал юрист.
Судебная практика по таким спорам в основном не в пользу потребителей, за исключением немногих ситуаций, где действительно есть вина банка. Такие дела встречались в практике, когда клиенты не заключали договор на дистанционное банковское обслуживание, или если в рамках уголовного дела удалось признать потерпевшим именно банк, а не клиента, добавил Амир Хасанов.
Вернуть денежные средства удается не во всех случаях, соглашается член ассоциации юристов России, эксперт по информационной безопасности Евгения Мешкова
— Например, на сайтах-двойниках мошенники создают ситуацию для оплаты услуг, когда оплата произведена, банк совершил санкционированное списание по поручению пользователя. После опротестования сайт-двойник уже не пользуется доменом, запрос банка о возврате денежных средств не подтверждается, так как отсутствует субъект-мошенник, — указала она.
По мнению собеседницы, для решения проблемы цифровые сервисы могут вести списки доверенных сайтов с доверенными ссылками, постоянно их актуализировать, создавая доверенную среду.
Ранее, в июне 2022 года, ЦБ предложил механизм самозапрета на выдачу кредитов для противодействия мошенникам. Граждане смогут обезопасить себя от ситуации, когда на их имя оформляют кредит или заем.
Для этого клиент должен поставить в бюро кредитных историй специальную отметку «Запрещаю выдавать мне кредит». Это может быть как запрет на выдачу только онлайн-ссуды либо полный запрет на выдачу кредита и займа. Банки и микрофинансовые организации будут проверять наличие самоограничений.
При этом клиент может ставить и снимать галочку столько раз, сколько ему нужно. Если пользователь действительно решит взять ссуду, он отказывается от ограничения и через два дня спокойно получает денежные средства.
«Почему через два дня. Если есть небольшой период «охлаждения», точка разрыва в коммуникации, то, как правило, у человека хватает сообразительности либо он поговорит с друзьями, со знакомыми и поймет, что происходит что-то не то», — разъяснил руководитель Службы по защите прав потребителей и обеспечению доступности финансовых услуг Банка России Михаил Мамута.
Предполагается, что новый механизм позволит снизить риск утечек личных данных граждан, включая «сливы» копий паспортов, логинов и паролей.
Мария Немцева