Эксперты рассказали, можно ли защитить клиентов банков от аферистов.
В сентябре Банк России предложил ужесточить контроль за пополнением банковских карт через банкоматы. Регулятор считает, что финучреждениям следует усилить внимание к таким операциям, так как их часто используют мошенники. Злоумышленники применяют схемы, провоцирующие потенциальных потерпевших пополнять их счета. В случае вступления новых требований в силу контрольные процедуры будут применяться ко всем входящим платежам, включая переводы через терминал. Однако на практике банки порой сами потворствуют расцвету разного рода мошенничеств, не блокируя счета со странной активностью. А если факт кражи и установлен, то клиенту чаще всего отказывают в возврате денег. Почему банки зачастую становятся на сторону финансовых аферистов, а не их жертв, разбирался «МК».
Сами виноваты?
В конце августа у москвички Юлии С. была украдена сумка со всеми вещами, включая телефон и кошелек с платиновой картой одного крупного и позиционирующего себя как «продвинутого в сфере IT» банка. Заблокировать карту она сразу не смогла, так как доступ к телефону тоже был потерян. Ночью преступники перевели с карты на неизвестный электронный кошелек 15 тыс. рублей. В процессе перевода они вводили смс-код, который банк прислал на телефон своей клиентке. Примечательно, что в банке почувствовали неладное, так как сразу после проведения транзакции заблокировали карту из-за подозрений на мошенничество. Утром Юлия написала заявление в полицию, позвонила в банк и объяснила, что случилось. Рассмотрев ситуацию, банк отказал своей клиентке в возврате средств. Финучреждение просит ее доказать, что код вводила не она сама, а мошенники, а сделать это непросто.
Конечно, беспечность Юлии вызывает много вопросов. В частности, специалистов удивило отсутствие блокировки на телефоне: преступники смогли беспрепятственно прочитать смс-код и перевести деньги на сторонний кошелек только по этой причине. Но это не отменяет того факта, что женщина оказалась потерпевшей и жертвой воров. Банк же, вместо того чтобы войти в положение своей клиентки, занял позицию: «У тебя украли? Сама виновата!»
39-летняя Ирина М., живущая в Подмосковье и работающая в столице на руководящей должности в отделе маркетинга небольшой компании, летом 2018 года покупала авиабилеты в Крым, чтобы навестить живущих там родителей. Она зашла на сайт, очень похожий на страницу популярного агрегатора авиабилетов. В момент, когда она оплачивала билеты, на сайте выпала «ошибка», при этом деньги с карты списались. Ирина тут же поняла, что стала жертвой мошенников. Она обратилась в банк, полицию и отечественную платежную систему, с карты которой украли деньги. Сделала все так, как должна была по закону, но деньги ей все равно не вернули. В платежной системе сказали, что банк сам принимает решение об отмене операции. В полиции начали пересылать заявление из одного подразделения в другое. Но даже формальной отписки от них за три минувших года так и не пришло. «Перевод и оплата поступили сразу, тем самым банк не вправе отозвать платеж и вернуть денежные средства», — комментирует ситуацию Владимир Тарасов, член Ассоциации юристов России. Деньги были списаны со счета по поручению клиента и отправлены на счет мошенников. Банк в данном случае оценил действия плательщика как правомерные: клиент сам согласился перевести деньги, подтвердил перевод.
Получается, что и в первом, и во втором примере банк просто-напросто умывает руки и снимает с себя ответственность за законность платежа. Насколько это оправданно?
Как рассказала Татьяна Петренко, генеральный директор некоммерческой организации «Юристы-волонтеры Pro Bono Россия», со стороны банка есть возможность отследить или приостановить операции от клиентов в следующих случаях:
– Если ранее были жалобы на мошенническую деятельность контрагентов.
– Если операция вызывает подозрения. Банк России снабдил банки определенным списком характеристик возможной мошеннической деятельности со счетами клиентов, по которым они могут ориентироваться. Эти рекомендации постоянно обновляются.
– Если необычно большая сумма переводится, а это нехарактерно для плательщика.
– Если клиент расплатился картой, условно говоря, в Сочи, а через минуту произошло снятие наличных с его счета в Москве.
По мнению юриста, в приведенных примерах мерами безопасности пренебрегли сами клиенты, и банк, указывая на группу неоднозначных фактов, имел законное право отказать в возврате. Не ставя под сомнение этот вывод юриста, все же поневоле задаешься вопросом: так на чьей же стороне банки – своих клиентов, которые приносят им деньги и прибыль, или финансовых мошенников, которые этих клиентов грабят?
«Мы из службы безопасности вашего банка»
В июне этого года 30-летняя москвичка Олеся Ц. получила кредит по заявке, которую не отправляла. По просьбе позвонивших ей мошенников, представившихся «специалистами службы безопасности», она доехала до банка, сняла выданные в кредит 300 тыс. рублей в банкомате и по требованию злоумышленников через другой банкомат в «одном торговом центре» внесла по 15 тыс. рублей на счета, прикрепленные к разным номерам телефонов. Мошенники из «службы безопасности» говорили, что переведенные деньги будут «замораживаться» на счетах телефонов и далее пойдут в счет оплаты долга.
Это распространенный сценарий афер, осуществленных с помощью социальной инженерии. Злоумышленники часто убеждают своих жертв под разными предлогами снять деньги с карты, а потом внести их на «специальный» счет через банкомат или терминал другого банка – якобы для спасения средств. «Специальный» счет на самом деле, естественно, принадлежит преступникам. Таким образом, банк жертвы не может даже отследить, куда ушли деньги, так как последнее, что делал с ними клиент в поле зрения банка, – снимал их с карты в банкомате.
Как пояснил директор департамента информационной безопасности МКБ Вячеслав Касимов, осуществлять мониторинг входящих платежей достаточно сложно, поскольку классическая модель поведения мошенника выглядит так: он получает информацию о карте пострадавшего и уже следующим шагом снимает его деньги. Эта же модель характерна для обычных клиентских операций, например покупок в интернет-магазинах. Все, что остается в таких случаях банку, – это либо использовать механизм задержки зачислений, что для конкурирующих за каждого клиента финучреждений неприемлемо, либо использовать получаемые от специального подразделения Банка России – Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере («ФинЦЕРТ») – сведений о злоумышленниках. Но, как правило, они быстро теряют актуальность, поскольку преступники стараются на каждый случай использовать новых получателей и новые карты, отмечает эксперт.
Уничтожить «дропов»
Но так ли беспомощны банки в ситуации с мошенниками и действительно ли они ну совсем не могут им ничего противопоставить? Неужели никто не замечает подозрительные транзакции или странную активность на счете, где, условно говоря, еще вчера лежало 2 копейки, сегодня поступило 5 млн рублей, а потом их перевели за границу?
По мнению Сергея Менделеева, генерального директора InDeFi Bank, подобные истории будут продолжаться до тех пор, пока банки не начнут наказывать за открытие счетов физическим лицам — «дропам». «Дропами» называют людей, согласных за небольшую плату оформить на себя обычную банковскую карту, которую затем они передают мошеннику. Как правило, «дропы» — опустившиеся личности (пьяницы, бомжи) или сильно нуждающиеся в деньгах люди, к примеру, студенты, которые просто не понимают, что их вводят в заблуждение.
Необходимо разработать определенные критерии допустимого разрешенного оборота по банковским счетам и картам всех типов для разных категорий граждан, то есть отслеживать резкие изменения количества средств на счете за определенные периоды, включая операции внесения, снятия и перевода денег другим лицам. «Иначе злоумышленники так и будут прогонять через счета 18-летних жителей деревни Пырловка Мухосранского района по нескольку миллионов рублей в день без возможности потом что-либо предъявить финансовому посреднику», — считает Сергей Менделеев. Эксперт советует перенимать европейский опыт: «Зашел к тебе на счет миллион – будь любезен прийти и пояснить, а что это за деньги вообще такие, превышающие годовой бюджет твоего села? А не давать возможность через 5 минут снять их в банкомате в Москве, прикрыв лицо маской от ковида».
Но банкам введение таких ограничений невыгодно, поскольку они получают процент со всех платежей и переводов. Значит, необходимо вмешиваться регулятору и устанавливать строгие нормы резервирования для клиентов с подозрительным оборотом по картам и счетам. И если банк позволяет своим клиентам «шалить», логично будет иметь возможность привлекать банк соответчиком по искам обманутых по подобным схемам бабушек. «Уверяю, банки вмиг пересмотрят свои взгляды, как это случилось лет десять назад в отношении компаний-однодневок с липовыми директорами, — уверен эксперт. — На мой взгляд, такие меры со стороны ЦБ были бы гораздо эффективнее, чем заставлять нормальных клиентов «танцевать с бубном» перед банкоматом, чтобы внести свои кровные на свою же карту».
Не вернуть награбленное
Глава ЦБ РФ Эльвира Набиуллина в недавнем интервью сделала акцент как раз на том, что банки сегодня возвращают мало похищенных средств, так как мошенники быстро выводят полученные деньги. По данным регулятора, во втором квартале 2021 года злоумышленники украли с банковских счетов россиян более 3 млрд руб., совершив свыше 236,9 тыс. денежных переводов без согласия клиентов. Банки вернули только 7,4% украденных средств. Почему так мало? «Средства, которые возвращают, состоят, главным образом, из переводов, совершенных нелегитимно по вине банка, плюс из заблокированных средств подозрительных транзакций, которые успели «заморозить», — объясняет Федор Музалевский, директор технического департамента RTM Group. — Если у жертвы деньги со счета в банке А перевели в банк Б, при этом жертва сама выполнила все действия по переводу, а из банка Б эти деньги сняли через банкомат, то такие средства банк не может вернуть вообще — у него их просто нет».
Возможности возврата денег напрямую связаны со скоростью проведения транзакций. Больше всего возвратов по счетам юрлиц. Там деньги могут какое-то время «висеть» на корсчете, и есть возможность среагировать. У физлиц, напротив, переводы осуществляются мгновенно и сразу цепочками, то есть через несколько банков последовательно. Возможность возврата появится только тогда, когда у банка будет время для блокировки денег, полагает эксперт. А это уже задержка в переводе. Далеко не все клиенты банка готовы ждать, пока их платежи обработают. «В сложившейся ситуации делать банки крайними не самая лучшая идея, — уверен Музалевский. — Лучше самим клиентам проявлять бдительность, установить себе лимит по карте и не болтать по телефону со службой безопасности». Но сколько лет уже таким советам, а объем краж со счетов россиян год от года только растет. Может быть, регулирующим органам не стоит уповать на один лишь уровень финансовой грамотности граждан, а установить определенные правила игры для самих банков, чтобы они как минимум разделяли ответственность за те средства, которые уводят у законопослушных клиентов мошенники?
Спасение — в антифроде
Банк России пытается придумать новые способы для защиты кошельков россиян от преступников. Все эксперты приветствуют инициативу ЦБ РФ по ужесточению контроля за пополнением банковских карт через банкоматы, но по-разному оценивают эффективность предложенных мер. «Решение ЦБ распространить антифрод на все операции, совершаемые через внесение наличных, оправданно, — говорит Юрий Твердохлеб, доцент кафедры «Регулирование деятельности финансовых институтов» факультета финансов и банковского дела РАНХиГС. — Данная мера в значительной степени осложнит жизнь мошенникам, которые вынуждают людей вносить деньги через терминалы и банкоматы с функцией наличного приема». Антифрод — это система мониторинга и предотвращения мошеннических операций, которая в режиме реального времени проверяет каждый платеж, прогоняя его через десятки, а порой и сотни фильтров.
Однако другие специалисты указывают на риски принятия ограничительных мер без их глубокой проработки. Ужесточение правил может ударить по тем, кто эти правила и так соблюдает, а преступники моментально найдут эффективные средства их обходить. «Необходим системный подход к вакханалии, творящейся на рынке платежей физических лиц, — утверждает Сергей Менделеев. — Мы же прекрасно понимаем, что для 99% людей не нужны переводы более 50 тысяч рублей. Ну так давайте ограничим максимальный объем данной суммой по умолчанию, а если клиенту необходимы большие объемы, пусть заполнит лично заявление в отделении банка, укажет, для чего ему необходимы такие операции, оставит все анкеты, и после рассмотрения службой безопасности банка ему откроют дорогу на вывод любых сумм». Такое ограничение сделает бессмысленным попытки мошенников «разводить» рядовых граждан на подобного рода операции. Аналогичные меры можно применить и в отношении пополнений счетов и карт наличными.
«Нужно исходить из простой предпосылки о том, что обмануть можно абсолютно любого человека, — продолжает Сергей Менделеев. — В моей практике встречались обманутые депутаты Госдумы, именитые ученые, опытные генералы». Поэтому, полагает эксперт, не стоит сваливать работу по противодействию мошенникам только на банки или только на граждан. Необходимо создать систему таким образом, чтобы она препятствовала даже страстному желанию клиента банка быть обманутым.