ЦБ обязал банки отчитываться о краже денег с карт клиентов

По информации «Известий», Центробанк направил банкам письма, обязывающие их отчитываться по всем нарушениям и инцидентам, возникающим при переводе денежных средств клиентов. Несоблюдение этого требования повлечет проверку регулятора.

Чтобы мониторить киберпреступность

Центробанк хочет контролировать все нарушения, связанные с переводом денежных средств по разным каналам (банкоматы, терминалы, интернет- и мобильный банкинг, окна в банковском офисе). Для этого регулятор разработал новую форму отчетности «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

В Национальном платежном совете (НПС) «Известиям» пояснили, что новая форма отчетности вводится регулятором в преддверии создания Центра по борьбе с киберпреступностью. Он будет формироваться при НПС. В Совете отметили, что в настоящее время сводной статистики по киберпреступлениям нет, она ведется банками в хаотичном порядке.

— Между тем эти сведения должны аккумулироваться в одном месте, — добавил представитель НПС. — Поэтому ЦБ начал предпринимать конкретные шаги для разрешения ситуации. Кроме того, защиту информации при денежных переводах регламентирует ФЗ «О национальной платежной системе».

Вирусы, скиммеры и официанты

В письмах, разосланных ЦБ (экземпляр есть у «Известий»), говорится, что банки должны фиксировать все случаи, связанные с нарушениями при переводе денежных средств клиентами. Предположим, гражданин расплатился картой в кафе, CVV-код с обратной стороны его «пластика» был списан недобросовестным официантом или администратором, а те потом использовали данные для совершения покупок в интернете. Или, например, клиент пришел в банковский офис, для того чтобы перевести средства в другой город родителям, а операционистка отправила не ту сумму. Фиксироваться должны также случаи скимминга, когда злоумышленники устанавливают на банкоматы специальные устройства, считывающие информацию с чужих банковских карт, а затем благодаря полученным данным похищают деньги.

Так, за I квартал 2012 года в России было зафиксировано 362 случая установки скимминговых устройств на банкоматы, а за II квартал — на 30% больше. При этом за весь 2011 год таких случаев было 397. Банки также должны будут сообщать ЦБ о вирусах, приводящих к сбоям в системах интернет- и мобильного банкинга, о нарушениях в работе платежных терминалов — по сути, обо всех инцидентах, которые привели к потере клиентских денег. Нормы закона «О национальной платежной системе», в соответствии с которыми банки в течение 24 часов будут обязаны возвращать на карты клиентов все средства по всем спорным операциям, вступают в силу только с 1 февраля 2013 года.

О киберпреступности — только на бумаге

Согласно новой форме отчетности, игроки должны будут предоставлять ЦБ таблицу с указанием выявленных нарушений при денежных переводах в бумажном виде. В ней указываются сам факт инцидента, его дата, оператор платежной системы, последствия нарушения (включая сумму ущерба), предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули.

— Банки, заполняя форму, будут вынуждены отслеживать основные «болевые точки», такие как интернет-банкинг, процессинг, — комментирует ведущий эксперт отдела рейтингов кредитных институтов «Эксперт РА» Антон Картуесов. — Заполнение формы в таком формате будет стимулировать кредитные организации более четко структурировать случаи сбоев в платежных системах и в дальнейшем быстрее на них реагировать. К отслеживаемым инцидентам, в частности, относятся вирусные атаки, простои платежных систем, внешние воздействия (например, DDoS-атаки).

Как следует из писем ЦБ, отчетность по денежным переводам должна предоставляться игроками ежемесячно (или по требованию Банка России) не позднее десятого рабочего дня, следующего за отчетным. То есть по итогам августа банки должны будут отчитаться в середине сентября. Некоторые банкиры признались «Известиям», что будут неохотно предоставлять регулятору сведения обо всех нарушениях. О некоторых регулятору, по-видимому, придется узнавать с подачи клиентов — например, когда последуют иски в суды.

Новый повод для проверки от ЦБ

— Никаких последствий для банков (за исключением трудозатрат на подготовку новой формы отчетности и сдачу ее в ЦБ) не будет, если в ходе мониторинга не найдется нарушений, — считает начальник аналитического управления Национального рейтингового агентства Карина Артемьева.

Нововведения ЦБ позволят получить объективную картину специфических отраслевых рисков, тем самым - выработать адекватные меры защиты информации в рамках всей отрасли, защитив платежную систему от излишнего давления со стороны других регуляторов, считает начальник управление безопасности информационных технологий СМП Банка Павел Головлев.

Тем не менее эксперты на условиях анонимности уверяют «Известия», что одной бумажной волокитой процесс не ограничится.

— Непредоставление отчетности повлечет проверки регулятора, которые могут иметь самые разные последствия, — считают они. — ЦБ может обратить внимание на другие сферы деятельности игрока, в том числе уличить его в нарушении богатого на санкции «антиотмывочного» законодательства. Крайняя мера за несоблюдение 115-ФЗ — отзыв лицензии.

В 1997 году в России была введена уголовная ответственность за преступления в сфере компьютерной информации, а в 1998 году в МВД России создано специальное подразделение по борьбе с преступлениями в сфере информационных технологий — Управление «К». Наказание, предусмотренное УК за незаконное получение и использование сведений, составляющих банковскую тайну (ст. 183), а также за неправомерный доступ к компьютерной информации (ст. 272), может составлять до пяти лет лишения свободы. По мнению представителя НПС, эти санкции смогут в полной мере применяться только после того, как нововведения ЦБ заработают на практике. Получить оперативный комментарий ЦБ не удалось.