«Цифровые двойники», «кража личности»: банки начнут возвращать людям украденные мошенниками деньги
В России 25 июля вступает в силу новый закон</span, обязывающий банки в течение 30 дней возвращать гражданам похищенные аферистами деньги. правда, не во всех случаях, а только если перевод на мошеннический счет, данные о котором были в специальной базе ЦБ РФ, допустила сама кредитная организация, или если <span class="wp-tooltip" title="кредитно-финансовая организация которая сосредоточивает временно свободные денежные средства (вклады) предоставляет их во временное пользование в виде кредитов (займов ссуд) посредничает во взаимных платежах и расчетах межд не направил клиенту уведомление о транзакции, совершенной без его согласия. Если клиент потерял свою карту и ею воспользовались без его ведома, а владелец сообщил о пропаже заранее, средства тоже будут возвращены. Банки также получают Право на два дня — период «охлаждения» — блокировать переводы на подозрительные счета и уведомлять об этом клиентов, чтобы они подтвердили или отклонили операции. Помогут ли новые требования к банкам в борьбе с мошенниками, «МК» выяснил у экспертов.
фото: ru.freepik.com
41-летний житель Воркуты хотел узнать баланс своей карты через сайт коммерческого банка, который ее выпустил. Он зашел на сайт, постарался попасть в личный кабинет и ввел во всплывающее окно смс-код, который прислали на его телефон якобы для подтверждения. После этого вход в личный кабинет почему-то оказался заблокирован. Мужчина решил узнать ситуацию в банке и в быстро выяснил, что у него со счета похитили все находившиеся там деньги — порядка 195 тыс. рублей. В ходе расследования МВД установило, что мошенниками был создан так называемый сайт-двойник банка, и мужчина передал данные от своего личного кабинета киберпреступникам, которые и похитили средства.
Ранее помочь таким пострадавшим в России не было надежды. В банках заявляли, что «клиенты добровольно» и самостоятельно проводили операции и предоставили «третьим лицам» свои персональные данные, и значит сами банкиры никакой ответственности не несут и возвращать ничего не будут.
Банки включают «период охлаждения»
По данным ЦБ РФ, в 2023 году преступники похитили у банковских клиентов 15,8 млрд рублей. Банки смогли вернуть жертвам всего 8,7% от этой суммы. По сравнению с 2022 годом объем операций без согласия клиентов вырос на 11,5%, а число таких транзакций — на треть, до 1,17 млн. Есть и более свежие данные. По информации начальника департамента МВД России Александра Авдейко, за период с января по апрель 2024 года пострадавшим россиянам вернули около 9% из похищенных кибермошенниками 53,7 млрд рублей, ну то есть 5 млрд. рублей. «Мы должны понимать, что из-за того, что деньги уходят за рубеж — организаторы там, то с возмещением у нас пока плохо», — прямо заявил Авдейко в рамках сессии на Петербургском международном юридическом форуме в июне. По его данным, за три года количество IT-преступлений увеличилось на треть: с 2020 по 2023 год их доля по отношению ко всем остальным преступлениям выросла до 34,8%.
Вступающий в силу 25 июля закон</span призван улучшить статистику возвратов пострадавшим украденных у них средств. Теперь банки обязаны будут проверять денежные переводы клиентов и возмещать им похищенное, в случаях, когда перевод средств на реквизиты аферистов произошел по вине банковских организаций. Важный момент — счет, на который мошенники перевели деньги, должен находится в специальной базе ЦБ РФ, а туда очень быстро попадают сведения, как о прямых счетах преступников, так и о так называемых дропах— счетах, открытых физическими лицами и переданных мошенникам для совершения транзакций или снятия украденных наличных. Как правило, дропами становятся социально уязвимые категории граждан — пожилые люди с маленькой пенсией, студенты в общежитиях, бомжи, имеющие паспорт РФ и желающие заработать лишнюю тысячу рублей «на бутылку»… И когда таких людей спрашивают в полиции, зачем они передали свою карту злоумышленникам, ответ как правило поражает наивностью: «Подумаешь, открыл карточку в банке! А разве нельзя было? Это же не запрещено».
Согласно новому закону, <span class="wp-tooltip" title="кредитно-финансовая организация которая сосредоточивает временно свободные денежные средства (вклады) предоставляет их во временное пользование в виде кредитов (займов ссуд) посредничает во взаимных платежах и расчетах межд, совершивший перевод денег на счет, «засвеченный» в базе ЦБ РФ, должен будет возместить украденные средства в течение 30 дней после получения заявления от пострадавшей стороны. Затем выбивание денег у мошенника становится уже проблемой банка, который может использовать свою службу безопасности, айтишников, юристов для решения этой задачи. Впрочем, чтобы до столь драматических сценариев не дошло, новый закон</span предусматривает двухдневный период «охлаждения», в течение которого <span class="wp-tooltip" title="кредитно-финансовая организация которая сосредоточивает временно свободные денежные средства (вклады) предоставляет их во временное пользование в виде кредитов (займов ссуд) посредничает во взаимных платежах и расчетах межд не будет переводить деньги на подозрительный счет. О проведении сомнительной операции <span class="wp-tooltip" title="кредитно-финансовая организация которая сосредоточивает временно свободные денежные средства (вклады) предоставляет их во временное пользование в виде кредитов (займов ссуд) посредничает во взаимных платежах и расчетах межд уведомит клиента, а тот, даже если находится под психологическим влиянием мошенников, за два дня такого «охлаждения» может одуматься и отменить перевод.
Эксперты в один голос приветствуют усилия Банка России (именно по его инициативе введены все эти законодательные новации) по борьбе с мошенничеством, в том числе позволяющие проводить профилактику «социальной инженерии». Однако о том, удастся ли защитить карманы граждан в цифровую эпоху только такими действиям, мнения разошлись. «Мера будет эффективной, поскольку существующие инструменты для защиты граждан от переводов мошенникам редко дают результат, а если и дают, то ждать приходится долго, — уверен вице-президент Ассоциации юристов по регистрации, ликвидации, банкротству и судебному представительству Владимир Кузнецов. — В то же время, возложение на банки обязанности по компенсации вреда от мошеннических переводов может негативно повлиять на финансовую устойчивость кредитных организаций. Следовательно, банки будут ужесточать и совершенствовать меры по контролю за переводами, а это может усложнить проведение финансовых операций обычными гражданами».
Основная задача — не просто увеличить компенсации пострадавшим людям, а создать стимулы для банковской системы предотвращать мошеннические операции на стадии попыток их проведения. «Банки будут внимательнее следить за аномальной активностью на счетах клиентов, что позволит минимизировать риски, — полагает исполнительный директор Tehnobit Александр Пересичан. — Помимо проверок подозрительных переводов и двухдневного периода «охлаждения» банки также обязаны отключать доступ к дистанционному обслуживанию дропам — лицам, которые помогают выводить похищенные деньги. Такие меры существенно повысят уровень ответственности банков и заставят их тщательнее проверять транзакции». Выбранный подход, в теории, позволяет создать многоуровневую защиту и усложнить действия мошенников.
Казалось бы, схема — огонь, но есть и подводные камни. например, если аферисты используют новые счета, которые еще не попали в базу данных, <span class="wp-tooltip" title="кредитно-финансовая организация которая сосредоточивает временно свободные денежные средства (вклады) предоставляет их во временное пользование в виде кредитов (займов ссуд) посредничает во взаимных платежах и расчетах межд может не успеть предотвратить мошенничество. Поэтому после вступления в силу нового закона ситуация не изменится кардинально. Важно понимать, что полная защита возможна лишь при условии постоянного обновления и улучшения антифрод-систем (систем мониторинга и предотвращения мошеннических операций. — «МК»). В условиях, когда мошенники имеют доступ к персональным данным, телефонным номерам и информации о кредитных договорах и вкладах граждан, необходима дополнительная защита, отметил эксперт.
Дропы станут «одноразовыми»
В настоящий момент средний размер похищенной киберпреступниками у россиян суммы составляет примерно 15 тыс. рублей. Как напомнил председатель комиссии по финансовой и информационной безопасности Совета Торгово-промышленной палаты РФ Тимур Аитов, несколько лет назад представители ЦБ РФ предлагали рынку радикальную идею: в любом случае обязать банки возвращать половину похищенной суммы пострадавшим. Вне зависимости от того, перевёл клиент сам мошеннику свои деньги или у него выманили коды подтверждения, банки все равно должны были бы воернуть 50% потерянных средств. Однако прошла она лишь частично. По итогам обсуждений всё стороны поддержали идею главы Комитета Госдумы по финансовому рынку Анатолия Аксакова возвращать всю сумму похищенного целиком, но только в том случае, если перевод был выполнен на уже «засвеченный» счёт, который находится в специальной базе ЦБ РФ — так называемой базе ФинЦЕРТ. С 25 июля этого года именно поправки Аксакова вступают в силу, и банки будут возвращать все средства, если система антифрод у банка не сработала и он перевёл деньги клиента на мошеннический счет.
Ну а гражданам с 25 июля придется писать жалобы в Центробанк с просьбой проверить, есть ли номер счета в базе данных ФинЦЕРТ. Какие возможны варианты? Если номер карты есть, то <span class="wp-tooltip" title="кредитно-финансовая организация которая сосредоточивает временно свободные денежные средства (вклады) предоставляет их во временное пользование в виде кредитов (займов ссуд) посредничает во взаимных платежах и расчетах межд будет обязан железно вернуть человеку 100% суммы; если номера не окажется, то вернуть деньги невозможно — так наверняка ответит пострадавшему коммерческий <span class="wp-tooltip" title="кредитно-финансовая организация которая сосредоточивает временно свободные денежные средства (вклады) предоставляет их во временное пользование в виде кредитов (займов ссуд) посредничает во взаимных платежах и расчетах межд, который и перевел деньги злоумышленникам.
«Ясно, что банки будут стараться блокировать все переводы на счета дропов, сами же дропы станут вынужденно постоянно меняться: придется привлекать все новых и новых людей, а дропы станут как бы «одноразовыми», — предупредил Аитов.
эксперт напомнил, что для борьбы с дропами уже имеются соответствующие статьи в уголовном кодексе. «Но они практически не работают: я не припомню, чтобы кого-то наказали именно по этим статьям как дропа», — констатировал он. По словам нашего собеседника, вся ситуация в итоге будет определяться тем, кто окажется расторопнее: злоумышленники, которые постоянно будут обновлять базу дропов или органы МВД, которые будут с ними бороться. «До сих пор особых успехов в борьбе с дропами мы не видим, каких-то заметных случаев их наказаний не фиксируем, хотя все это важно, поскольку отпугивает новых «кандидатов» в преступники», — добавил Аитов.
Конечно, найти и наказать виновных в быстротечных киберпреступлениях непросто — полицейским дается на каждый случай 10 дней, не более. Очевидно, здесь важна превентивная работа, например, с многочисленными колл-центрами, в которых сидят злоумышленники и ведут «работу» с потенциальными жертвами. Найти эти центры не так сложно, а эффект от наказания будет значительным. Ну и банкам важно внимательнее следить, кому они раздают свои бесплатные карты.
Персональные данные граждан украдены много раз, но сам по себе доступ к номеру телефона жертвы или адресу его регистрации преступникам многого не даёт. Многочисленные финансовые организации поставили кучу заслонов противоправному уводу средств со счётов: клиентов надёжно идентифицируют и аутентифицируют.
проблема в том, что клиенты зачастую сами оказываются слишком доверчивыми — особенно пожилые люди, и об этом все знают. А атаки кибермошенников становятся всё более изощренными. Уже появились нападения типа identity theft — кража личности, когда согласия гражданина на выполнение той или иной операции вообще не будет требоваться злоумышленникам. Преступники учатся атаковать именно конкретного человека — собирать полную и обстоятельную информацию о его личности — контактах, месте проживания, счетах, имуществе, родственниках и так далее. Затем, создав «цифрового двойника» гражданина, они полностью жертву обчистят — заберут всю недвижимость, накопления и так далее. Элементы таких атак уже начали появляться: по ТВ идут сюжеты, когда жертву просто выбрасывают на улицу из своей квартиры, а в жилье вламывается с помощью отбойного молотка новый владелец. Юристы и даже представители правоохранительных органов прямо в кадре говорят, что сделать ничего не могут. «Уверен, на самом деле злоумышленников наказать можно: преступный замысел очевиден, все следы незаконной деятель на лицо: подробные цифровые следы и документы имеются», — подчеркнул Аитов. Пока это редкие случаи, но правоохранительные органы и финансовые регуляторы должны подумать о том, как быстро обучаются киберпреступники и с какими вызовами им придется столкнутся дальше, ведь массовая цифровизация обладает не только преимуществами, но и имеет уязвимости.
Related posts
About Author
