В среду, 26 сентября, вступил в силу новый закон, позволяющий банкам временно блокировать сомнительные операции по картам, а также приостанавливать действие самих карт на срок до двух рабочих дней. Предполагается, что нововведение поможет защитить россиян от действий мошенников, однако не исключено, что в некоторых случаях последние, напротив, попробуют воспользоваться изменениями в законодательстве. Как будет работать новый механизм и что нужно знать, чтобы не стать жертвой аферистов, — в материале «Известий».
Изменятся сразу несколько действующих законов
Федеральный закон 167-ФЗ был подписан президентом России 27 июня 2018 года и вступает в силу спустя положенные 90 дней. Он предполагает внесение поправок сразу в несколько действующих законодательных актов «в части противодействия хищению денежных средств», указывается в его названии. В том числе изменения затронут законы «О банках и банковской деятельности», «О Центральном банке» и «О национальной платежной системе» — к нему относится большая часть пунктов нового документа.
Его главная задача — обеспечить клиентам отечественных банков (причем как физическим, так и юридическим лицам) дополнительную защиту от кибермошенников.
Новые нормы предписывают финансовым организациям следить за операциями по картам и по умолчанию блокировать те, которые кажутся им сомнительными. В первую очередь речь идет о временной блокировке отдельной операции, но в целом банки вправе временно заблокировать и саму карту.
После этого сотрудники банка обязаны сразу связаться с ее владельцем, сообщить о блокировке и попросить подтвердить совершение операции. Как только подтверждение будет получено, блокировку тут же снимут и средства со счета спишут. Если выяснится, что владелец карты об операции ничего не знал, она будет отклонена. Если же связаться с держателем карты для подтверждения не получится, блокировку всё равно снимут и средства переведут, но только через два рабочих дня.
«Оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента», — говорится в части 5(1) ст. 3 закона «О платежных системах» (пункт вступит в силу 26 сентября).
Для юридических лиц главное новшество заключается в том, что они теперь смогут приостановить операцию по переводу средств уже после того, как было сделано списание. Для этого нужно будет сообщить о несанкционированной операции, после чего банк должен связаться с банком-получателем. Зачисление средств на другой счет будет заблокировано на пять дней, в течение которых получатель платежа должен будет предоставить подтверждающие документы. Об этом говорится в ст. 11 того же «Закона о национальной платежной системе».
Кроме того, всю информацию обо всех попытках получить незаконный доступ к средствам клиентов банки должны будут передавать ЦБ, который для этого создаст собственную базу данных. Информация из нее смогут получать в том числе представители банковского сектора и платежных систем.
Сами меры уже действуют во многих банках
Фактически новый документ узаконивает на федеральном уровне процедуры, которые и без того так или иначе предпринимали большинство крупных банковских организаций.
Так, начальник управления мониторинга электронного бизнеса Альфа-банка Владимир Бакулин в ответ на запрос «Известий» пояснил, что никаких принципиальных изменений в рабочие процессы вносить не потребуется, поскольку в организации «очень давно налажен процесс мониторинга операций наших клиентов». Об этом же изданию заявили и в ВТБ.
— ВТБ действует строго в соответствии с законодательством РФ. Вводимые изменения не окажут существенных изменений на актуальные процессы работы банка. В настоящее время для выявления подозрительных операций ВТБ использует круглосуточный мониторинг платежей, — отмечается в сообщении пресс-службы ВТБ.
В пресс-службе Райффайзенбанка не ответили на запрос «Известий». В Сбербанке изданию пояснили, что компания намерена использовать существующую систему фрод-мониторинга (комментарий был получен после публикации материала). По словам представителей компании, она позволяет выявлять мошеннические операции в абсолютном большинстве случаев.
— Наша система фрод-мониторинга, основанная на искусственном интеллекте, отслеживает подозрительные операции в режиме онлайн и блокирует их по мере необходимости. Мы пресекаем хищение в 97% случаев, — подчеркивают в банке.
Единые критерии разрабатывает ЦБ
По закону общий для всех перечень критериев сомнительных переводов разрабатывает Центробанк. Банки, в свою очередь, должны будут разработать собственные процедуры мониторинга операций, которые, возможно, осуществляются без согласия клиента.
В большинстве случаев, опять же, подобные внутренние процедуры у крупных банков существовали и ранее. В частности, в Альфа-банке говорят, что «таких критериев у банка гораздо больше, чем описано у ЦБ», отмечая, что информация не публикуется в целях безопасности. Пресс-служба ВТБ уточняет, что организация использует около 800 различных правил мониторинга для выявления операций, совершенных без согласия клиентов.
В самом тексте документа указываются только общие принципы — так, процедуры мониторинга, согласно документу, должны быть основаны «на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности)».
Проще говоря, подозрения может (и, скорее всего, будет) вызвать всё, что отличается от обычного поведения владельца. Например, если до сих пор этой картой пользовались только для проведения платежей по безналу или для совершения небольших операций на сумму 100–150 рублей в день, то снятие крупной суммы наличных или просто покупка на большую сумму в магазине (особенно если до этого покупки в нем не совершались) посчитают подозрительными.
Кроме того, никто не отменял и географический фактор: например, если вы только что платили в московском ресторане, а через час кто-то попытался совершить операцию из Индии, с Дальнего Востока или из Европы, этот платеж, скорее всего, заблокируют.
Мошенники тоже пытаются воспользоваться новым законом
Вероятнее всего, мошенники воспользуются лазейкой, связанной с потенциальной угрозой блокировки карты, а также тем, что формально у банков появился дополнительный повод для звонка, рассчитывая на то, что большинство клиентов, даже если слышали о нововведениях, подробно их не изучали.
Их повышенную активность эксперты зафиксировали еще в начале сентября, до вступления закона в силу. Так, эксперты «Российской газеты» описывают сценарий, при котором людям рассылались SMS с угрозой блокировки карты. Отправителем значится Банк России, однако никаких данных по счету в сообщениях не содержится: получателю предлагается лишь номер телефона, по которому нужно позвонить, чтобы узнать подробности (нужно ли говорить, что звонить в этом случае нужно не по указанному в подозрительному сообщении номеру, а для начала в собственный банк).
Похожую схему, при которой злоумышленники пытаются получить информацию о карте, ссылаясь на действие нового (но еще не вступившего в силу) закона в телефонном разговоре, также описывает онлайн-журнал «Т-Ж», издание Тинькофф Банка.
Впрочем, в Сбербанке, в свою очередь, говорят, что не ожидают активизации каких-либо специфических видов мошенничества, связанных со вступлением в силу нового закона.
Тем не менее, помнить о базовых принципах безопасности стоит всегда. В первую очередь, как правило, аферистов интересуют данные, которые можно использовать для получения доступа к средствам: PIN-код, cvc-код, расположенный на обороте, а также пароль из SMS-подтверждения, а вариантов «исполнения» может быть довольно много. Действуя якобы от имени банка или ЦБ, мошенники могут предложить избежать блокировки карты или, наоборот, пригрозить блокировкой на более длительный срок в случае, если клиент откажется предоставлять информацию.
Здесь важно не только знать, что конкретно предусматривает новый закон, но и помнить о соблюдении базовых принципов финансовой безопасности. Например, банки никогда не просят называть PIN-коды, cvc-коды и пароли из телефонных уведомлений — напротив, они не устают напоминать клиентам о том, что делать этого не следует ни при каких обстоятельствах. Если у вас запрашивают эту информацию, есть все основания полагать, что с вами говорит мошенник.
И лучше перестраховаться, чем сообщить лишние данные
Если у вас возникли малейшие подозрения, откажитесь предоставлять информацию — лучше прервать разговор с реальным сотрудником банка, чтобы потом самому перезвонить на «горячую линию» и уточнить информацию, чем из вежливости предоставить доступ к своим деньгам мошеннику.
Кроме того, через два рабочих дня, если не последует реакции от клиента, операция всё равно будет разблокирована — то есть, скажем, если вам угрожают блокировкой на более длительный срок (и речь идет именно о ситуации, предусмотренной этим законом), вероятнее всего, с вами разговаривает мошенник.
Нововведения, правда, имеют и оборотную сторону: помните, что теперь банк по закону не обязан блокировать трансакцию больше чем на два рабочих дня, и не затягивайте с ответом, если вы операцию не совершали. Потому что в случае вашего молчания ее всё равно проведут и денег вы лишитесь.
Способ связи должен оговариваться в договоре с банком, но чаще всего используется стандартизированная схема из нескольких шагов.
— Первое — это, конечно, звонок. Если дозвониться до клиента не удается, то после блокировки карты мы направляем клиенту SMS и e-mail. Сейчас прорабатываем вопрос о добавлении push-уведомлений, — объясняет Владимир Бакулин, начальник управления мониторинга электронного бизнеса Альфа-банка.
В ВТБ используется примерно тот же набор — SMS, push-уведомления, а также сообщения в системе онлайн-банкинга и звонки из контакт-центра. Правда, как уточняют в пресс-службе, при необходимости банк может также запросить у клиента документы для подтверждения операции, прежде чем провести платеж.
В Сбербанке уточнили, что основным способом связи в данном случае является сообщение, которое банк отправляет клиенту — после этого тот сам должен будет связаться со специалистами компании. Входящий телефонный звонок используется только в случае с наиболее подозрительными операциями, при этом в ближайшее время его планируется автоматизировать.
— Уже совсем в скором времени исходящий звонок будет делать робот вместо человека. При таком звонке мы планируем сделать процесс более удобным для клиентов, — говорится в сообщении пресс-службы Сбербанка.
Всё хорошо, но стоит учесть подводные камни
Еще одна зона риска — вероятность если не технических ошибок, то несостыковок, связанных с человеческим фактором. Например, вы действительно могли решиться на большую спонтанную трату (впрочем, возможно, в этом случае блокировка даст вам дополнительное время на то, чтобы еще раз просчитать все за и против). Или заплатили за обед в центре Москвы, откуда прямиком отправились в аэропорт — и через несколько часов уже платили из другого города или даже из другой страны.
Всё это системе может показаться подозрительным, и вы неожиданно обнаружите, что ваша карта оказалась заблокированной в поездке — поскольку пока точно неизвестно, насколько оперативно банки смогут связываться с клиентами после блокировки и окажетесь ли вы в зоне доступа в нужный момент, лучше на всякий случай иметь при себе или вторую карту, или немного наличных. Или предупредить банк о своей поездке заранее — в некоторых организациях сделать это можно через приложение или интернет-банк.
А вот юридическим лицам стоит помнить про пункт 5 статьи 11 закона «О национальной платежной системе» — в нем подчеркивается, что, в случае если банк действовал четко по предусмотренной документом процедуре, никакой ответственности за возможные финансовые потери со стороны клиента он не несет. Поэтому пользоваться новыми возможностями по возврату средств на счет нужно с осторожностью — и внимательно следить за уведомлениями, которые поступают от финансовой организации.