Федеральный закон 167-ФЗ был подписан президентом России 27 июня 2018 года и вступает в силу спустя положенные 90 дней. Он предполагает внесение поправок сразу в несколько действующих законодательных актов «в части противодействия хищению денежных средств», указывается в его названии. В том числе изменения затронут законы «О банках и банковской деятельности», «О Центральном банке» и «О национальной платежной системе» — к нему относится большая часть пунктов нового документа.
Его главная задача — обеспечить клиентам отечественных банков (причем как физическим, так и юридическим лицам) дополнительную защиту от кибермошенников.
Новые нормы предписывают финансовым организациям следить за операциями по картам и по умолчанию блокировать те, которые кажутся им сомнительными. В первую очередь речь идет о временной блокировке отдельной операции, но в целом банки вправе временно заблокировать и саму карту.
После этого сотрудники банка обязаны сразу связаться с ее владельцем, сообщить о блокировке и попросить подтвердить совершение операции. Как только подтверждение будет получено, блокировку тут же снимут и средства со счета спишут. Если выяснится, что владелец карты об операции ничего не знал, она будет отклонена. Если же связаться с держателем карты для подтверждения не получится, блокировку всё равно снимут и средства переведут, но только через два рабочих дня.
«Оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента», — говорится в части 5(1) ст. 3 закона «О платежных системах» (пункт вступит в силу 26 сентября).
Для юридических лиц главное новшество заключается в том, что они теперь смогут приостановить операцию по переводу средств уже после того, как было сделано списание. Для этого нужно будет сообщить о несанкционированной операции, после чего банк должен связаться с банком-получателем. Зачисление средств на другой счет будет заблокировано на пять дней, в течение которых получатель платежа должен будет предоставить подтверждающие документы. Об этом говорится в ст. 11 того же «Закона о национальной платежной системе».
Кроме того, всю информацию обо всех попытках получить незаконный доступ к средствам клиентов банки должны будут передавать ЦБ, который для этого создаст собственную базу данных. Информация из нее смогут получать в том числе представители банковского сектора и платежных систем.
Фактически новый документ узаконивает на федеральном уровне процедуры, которые и без того так или иначе предпринимали большинство крупных банковских организаций.
Так, начальник управления мониторинга электронного бизнеса Альфа-банка Владимир Бакулин в ответ на запрос «Известий» пояснил, что никаких принципиальных изменений в рабочие процессы вносить не потребуется, поскольку в организации «очень давно налажен процесс мониторинга операций наших клиентов». Об этом же изданию заявили и в ВТБ.
— ВТБ действует строго в соответствии с законодательством РФ. Вводимые изменения не окажут существенных изменений на актуальные процессы работы банка. В настоящее время для выявления подозрительных операций ВТБ использует круглосуточный мониторинг платежей, — отмечается в сообщении пресс-службы ВТБ.
В пресс-службе Райффайзенбанка и Сбербанка на момент публикации материала не ответили на запрос «Известий», однако Сбербанк ранее неоднократно заявлял, что борьба с кибермошенничеством и развитие направленных на это новых технологий, в том числе всевозможных систем мониторинга, — одно из основных направлений в работе банка.
По закону общий для всех перечень критериев сомнительных переводов разрабатывает Центробанк. Банки, в свою очередь, должны будут разработать собственные процедуры мониторинга операций, которые, возможно, осуществляются без согласия клиента.
В большинстве случаев, опять же, подобные внутренние процедуры у крупных банков существовали и ранее. В частности, в Альфа-банке говорят, что «таких критериев у банка гораздо больше, чем описано у ЦБ», отмечая, что информация не публикуется в целях безопасности. Пресс-служба ВТБ уточняет, что организация использует около 800 различных правил мониторинга для выявления операций, совершенных без согласия клиентов.
В самом тексте документа указываются только общие принципы — так, процедуры мониторинга, согласно документу, должны быть основаны «на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности)».
Проще говоря, подозрения может (и, скорее всего, будет) вызвать всё, что отличается от обычного поведения владельца. Например, если до сих пор этой картой пользовались только для проведения платежей по безналу или для совершения небольших операций на сумму 100–150 рублей в день, то снятие крупной суммы наличных или просто покупка на большую сумму в магазине (особенно если до этого покупки в нем не совершались) посчитают подозрительными.
Кроме того, никто не отменял и географический фактор: например, если вы только что платили в московском ресторане, а через час кто-то попытался совершить операцию из Индии, с Дальнего Востока или из Европы, этот платеж, скорее всего, заблокируют.
Вероятнее всего, мошенники воспользуются лазейкой, связанной с потенциальной угрозой блокировки карты, а также тем, что формально у банков появился дополнительный повод для звонка, рассчитывая на то, что большинство клиентов, даже если слышали о нововведениях, подробно их не изучали.
Их повышенную активность эксперты зафиксировали еще в начале сентября, до вступления закона в силу. Так, эксперты «Российской газеты» описывают сценарий, при котором людям рассылались SMS с угрозой блокировки карты. Отправителем значится Банк России, однако никаких данных по счету в сообщениях не содержится: получателю предлагается лишь номер телефона, по которому нужно позвонить, чтобы узнать подробности (нужно ли говорить, что звонить в этом случае нужно не по указанному в подозрительному сообщении номеру, а для начала в собственный банк).
Похожую схему, при которой злоумышленники пытаются получить информацию о карте, ссылаясь на действие нового (но еще не вступившего в силу) закона в телефонном разговоре, также описывает онлайн-журнал «Т-Ж», издание Тинькофф Банка.
В первую очередь, как правило, аферистов интересуют данные, которые можно использовать для получения доступа к средствам: PIN-код, cvc-код, расположенный на обороте, а также пароль из SMS-подтверждения, а вариантов «исполнения» может быть довольно много. Действуя якобы от имени банка или ЦБ, мошенники могут предложить избежать блокировки карты или, наоборот, пригрозить блокировкой на более длительный срок в случае, если клиент откажется предоставлять информацию.
Здесь важно не только знать, что конкретно предусматривает новый закон, но и помнить о соблюдении базовых принципов финансовой безопасности. Например, банки никогда не просят называть PIN-коды, cvc-коды и пароли из телефонных уведомлений — напротив, они не устают напоминать клиентам о том, что делать этого не следует ни при каких обстоятельствах. Если у вас запрашивают эту информацию, есть все основания полагать, что с вами говорит мошенник.
Если у вас возникли малейшие подозрения, откажитесь предоставлять информацию — лучше прервать разговор с реальным сотрудником банка, чтобы потом самому перезвонить на «горячую линию» и уточнить информацию, чем из вежливости предоставить доступ к своим деньгам мошеннику.
Кроме того, через два рабочих дня, если не последует реакции от клиента, операция всё равно будет разблокирована — то есть, скажем, если вам угрожают блокировкой на более длительный срок (и речь идет именно о ситуации, предусмотренной этим законом), вероятнее всего, с вами разговаривает мошенник.
Нововведения, правда, имеют и оборотную сторону: помните, что теперь банк по закону не обязан блокировать трансакцию больше чем на два рабочих дня, и не затягивайте с ответом, если вы операцию не совершали. Потому что в случае вашего молчания ее всё равно проведут и денег вы лишитесь.
Способ связи должен оговариваться в договоре с банком, но чаще всего используется стандартизированная схема из нескольких шагов.
— Первое — это, конечно, звонок. Если дозвониться до клиента не удается, то после блокировки карты мы направляем клиенту SMS и e-mail. Сейчас прорабатываем вопрос о добавлении push-уведомлений, — объясняет Владимир Бакулин, начальник управления мониторинга электронного бизнеса Альфа-банка.
В ВТБ используется примерно тот же набор — SMS, push-уведомления, а также сообщения в системе онлайн-банкинга и звонки из контакт-центра. Правда, как уточняют в пресс-службе, при необходимости банк может также запросить у клиента документы для подтверждения операции, прежде чем провести платеж.
Еще одна зона риска — вероятность если не технических ошибок, то несостыковок, связанных с человеческим фактором. Например, вы действительно могли решиться на большую спонтанную трату (впрочем, возможно, в этом случае блокировка даст вам дополнительное время на то, чтобы еще раз просчитать все за и против). Или заплатили за обед в центре Москвы, откуда прямиком отправились в аэропорт — и через несколько часов уже платили из другого города или даже из другой страны.
Всё это системе может показаться подозрительным, и вы неожиданно обнаружите, что ваша карта оказалась заблокированной в поездке — поскольку пока точно неизвестно, насколько оперативно банки смогут связываться с клиентами после блокировки и окажетесь ли вы в зоне доступа в нужный момент, лучше на всякий случай иметь при себе или вторую карту, или немного наличных. Или предупредить банк о своей поездке заранее — в некоторых банках сделать это можно через приложение или интернет-банк.
А вот юридическим лицам стоит помнить про пункт 5 статьи 11 закона «О национальной платежной системе» — в нем подчеркивается, что, в случае если банк действовал четко по предусмотренной документом процедуре, никакой ответственности за возможные финансовые потери со стороны клиента он не несет. Поэтому пользоваться новыми возможностями по возврату средств на счет нужно с осторожностью — и внимательно следить за уведомлениями, которые поступают от финансовой организации.
Евгения Приемская