По разным оценкам, объем похищенных денег граждан в России за 2022 год составил от 14 до 15 млрд рублей. По сравнению с предыдущим годом рост составил более 30%. Я связываю эту тенденцию с двумя основными факторами. Во-первых, в период пандемии многие банки и финансовые организации перевели обслуживание клиентов в дистанционный формат, поэтому системы дистанционного банковского обслуживания для физических лиц стали основной мишенью для мошенников. Во-вторых, введение карантина в период пандемии спровоцировало рост бесконтактных способов оплаты торговых сервисов и услуг (CNP-транзакции). Пандемия COVID-19 увеличила спрос клиентов на использование удаленных форматов сервисов.

Основной рост мошеннических транзакций приходится на платежные карты и электронные средства расчетов, что обусловлено смещением вектора активизации мошеннических действий в сторону работы крупнейших маркетплейсов и онлайн-платформ. Почему так произошло? Процесс переориентации бизнеса в условиях санкций осуществлялся в очень короткие сроки, компании просто не успели модернизировать собственные системы информационной безопасности, включая возможности защиты клиентов от мошеннических действий.

И если раньше объектами мошенников чаще становились пожилые люди, преимущественно пенсионного возраста, то сейчас социальный портрет потенциальной жертвы значительно помолодел, как правило, это работающие люди в возрасте от 25 до 45 лет со средним уровнем дохода, активно использующие онлайн-сервисы. Утечка персональных данных может происходить под влиянием как внешних факторов (когда злоумышленники осуществляют взлом клиентской базы в банках, торговых сетях или используют фишинговые рассылки), так и внутренних факторов (когда информация о клиентах передается недобросовестными сотрудниками, имеющими личный финансовый интерес). Зачастую внешние угрозы удается блокировать с использованием систем фрод-мониторинга, а борьба с внутренними угрозами, к сожалению, продолжается постоянно. Например, в 2021 году проводилось расследование утечки персональных данных из СберБанка, в результате которого выяснилось, что данные более пяти тысяч кредитных карт в сеть выгрузил начальник одного из управления прямых продаж. Для этого ему потребовались более десяти часов работы и права администрирования клиентской базы. Аналогичные случаи происходят и в других кредитных организациях, что в большинстве случаев связано с деятельностью недобросовестных сотрудников, основными мотивами которых являются личная выгода, месть, выполнение бизнес-показателей и пр.    

Между тем крупные банки разрабатывают системы борьбы с внутренним мошенничеством, которые по мере изменения «схем» и «сценариев», используемых злоумышленниками, постоянно совершенствуются. Кроме того, в целях предотвращения мошеннических транзакций банки специально вводят лимиты для определенных категорий карт и клиентов, модифицируют DLP-системы информационной безопасности, отвечающие за угрозы утечки информации. Как правило, для выявления недобросовестных сотрудников привлекаются специалисты внутреннего аудита, их задача заключается в выявлении схем потенциальных хищений со счетов клиентов или случаев использования информации о клиентах в целях передачи третьим лицам. В банках должна существовать концепция «нулевого доверия» для персонала, работа которого связана со счетами и личными данными клиентов. Необходимо использовать принцип «Знай своего работника», реализация которого направлена на получение информации об отношении работников финансовой организации к своим служебным обязанностям, наличии у них возможных проблем, в том числе финансовых, имущественных, личных, которые могут потенциально привести к действиям, направленным на нарушение требований к защите информации. Однако универсальных моделей для выявления мошенничества не существует, это всегда долгосрочная работа, которая требует большой ретроспективной оценки информации.

В банках должна существовать концепция «нулевого доверия» для персонала, работа которого связана со счетами и личными данными клиентов

В течение нескольких лет я проводила практические исследования по оценке влияния COVID-19 на деятельность крупнейших кредитных организаций. В результате была разработана адаптивная модель, позволяющая получить оцифрованную оценку операционных рисков, в том числе рисков, связанных с внутренним мошенничеством. Основная особенность разработанной модели заключается в том, что в ее основу заложен портрет не только клиента, но и сотрудника при проведении анализа операций по набору различных критериев. Чем больше набор критериев, тем выше точность модели. Практическое использование модели позволяет существенно снизить трудозатраты банка при выявлении случаев внутреннего мошенничества, что особенно актуально для небольших кредитных организаций, не обладающих автоматизированными системами фрод-мониторинга. Банки должны быть заинтересованы в использовании превентивных мер, с тем чтобы заранее предотвратить возможность обращения клиента в банк в случае мошеннических действий.

В последнее время идут разговоры о компенсации банками клиентам убытков от действий мошенников. На этот вопрос не существует однозначного ответа, поскольку при обращении клиента в банк необходимо установить причину утечки персональных данных. Если клиенты добровольно передают мошенникам данные о своих банковских картах, то в этом случае они нарушают условия договора банковского счета. Встречаются и обратные ситуации, когда деньги похищают со счета без участия клиента, и банку предстоит провести внутреннее расследование причин утечки информации.

Первые шаги в направлении защиты клиентов от потенциального мошенничества в России были приняты в 2022 году, когда вступили в силу сразу несколько нормативных документов, дающих возможность банкам самостоятельно ограничить размер транзакции или совершения определенных операций клиентов. Также вступил в силу документ, обязывающий банки проводить идентификацию всех устройств, с которых осуществляются платежи.

В конце прошлого года разработан законопроект, который должен решить судьбу пострадавших от мошенничества клиентов. Получение компенсации от банка, с одной стороны, решит вопрос внесудебного урегулирования убытков от мошенничества, с другой — повысит стоимость банковских сервисов и продуктов, поскольку сама сумма компенсации будет заложена в расходы по обслуживанию банковского счета. Например, во многих европейских странах уже реализован механизм компенсации убытков по банковским картам, и он успешно работает. Для банковских клиентов действует специальная инструкция по возврату денежных средств, однако в большинстве случаев претендовать на возмещение можно, только если списание денег произошло без участия пострадавшего клиента. В банках и платежных системах США широко используется процедура «chargeback» (обратный платеж), идея которой заключается в том, что, если клиент заплатил за какой-то товар картой, но не получил его, деньги возвращаются на его счет, при этом доказательство истинности транзакции ложится на получателя средств, а не на клиента. Кроме того, в США более 40 лет действует закон, определяющий отсутствие ответственности клиента при использовании его карты в мошеннических целях, а также в случае потери или кражи банковской карты.

Возможно, законодатель в России пойдет по пути комплексного решения данного вопроса по аналогии с компенсацией убытков через систему страхования вкладов. Однако я убеждена, что введение такой инициативы без совершенствования системы фрод-мониторинга в банках не будет иметь успеха. Всегда остаются операционные риски, которым сложно противостоять в различных ситуациях.