Основная претензия к закону — он обязывает банки возмещать клиенту сумму операций, совершенных без его согласия. Кроме того, в законе очень большое внимание уделяется «уведомлению». Банк должен уведомлять клиента о совершаемых операциях, а клиент банк — об «утрате электронного средства платежа и (или) его использовании без согласия клиента». А физическим лицам банк должен вернуть сумму мошеннической транзакции в любом случае, если только не докажет, что клиент «нарушил порядок использования электронного средства платежа».

При этом появляется множество вопросов. Что означает «согласие»? Можно ли считать согласием электронную или обычную подпись, пин-код? Как уведомлять клиента и как доказать, что уведомление было отправлено, если клиент это отрицает?

Представители банков, заполнившие зал до отказа, выстроились в очередь, чтобы высказать свое возмущение. Исполнительный директор АРБ Тимур Аитов утверждал, что в свое время представители и банков, и платежных систем согласились, что такие меры нужны для популяризации безналичных операций. Но собравшиеся были иного мнения. «Если закон действительно вступит в силу в этом виде, придется закрывать банк», — примерно так звучало «крайнее» заявление. «Проще будет вообще отказаться от ДБО, благо, закон хоть это право банку оставляет», — мнение едва ли не большинства.

В такой ситуации действительно хочется, как на Диком Западе, осуществлять все расчеты за толстыми банковскими стенами, передавая деньги в сундуках

Ситуация и правда непростая. Во взаимоотношениях в рамках ДБО участвует множество сторон — банк, клиент, мошенник, производитель системы ДБО, регулятор, правоохранительные органы. И к каждой из них хватает вполне обоснованных претензий. Клиенты не соблюдают элементарные правила безопасности рабочих мест. Производители систем ДБО оставляют «дыры» в защите. Правоохранительным органам не хватает сотрудников с нужными компетенциями, законодательство не позволяет осудить мошенников, а судьи не понимают, что такое «хостинг».

В такой ситуации действительно хочется, как на Диком Западе, осуществлять все расчеты за толстыми банковскими стенами, передавая деньги в сундуках. Но если оставить панику — что действительно делать банку?

Прежде всего нужно понять масштаб проблемы. По оценкам компании Group-IB, объем хищений в системах ДБО российских банков в прошлом году составил около 900 млн долларов. При этом 80% этих денег были похищены у юридических лиц, а средний размер одного хищения у них, по оценкам разных экспертов, — от 800 тыс. до 4 млн рублей. Специалисты утверждают, что стоимость расследования компьютерного преступления значительно ниже, но, пожалуй, ловля преступников — дело все-таки не банка. Альтернативой может быть обеспечение улучшенной информационной безопасности, на что и рассчитывает закон: повышение технологической защищенности клиентских мест ДБО; организационные меры вроде получения банком подтверждения законности перевода с помощью телефонного звонка получателю. Хакеры «обирают» в первую очередь слабо защищенных. Кроме того, можно застраховать платежи в системах ДБО. Причем, чтобы не отпугнуть клиента, банку лучше брать эти затраты на себя.

Но основную работу придется выполнять банковским юристам, поскольку закон говорит про уведомления «в предусмотренной договором форме». То есть нужно грамотно составить договор, описав, что такое согласие клиента и в какой форме должны передаваться уведомления. А это многими банками уже сделано. То есть ответ на вопрос «Что делать?» может быть: «Ничего». Но лучше — все возможное.