Дискуссия на форуме 16 февраля оказалась необычной по формату. В начале встречи ее модератор Анатолий Аксаков, председатель Комитета Госдумы по финансовому рынку, сообщил, что будет ставить вопросы как «представитель народа, который не особо разбирается в кибертехнологиях», а основными спикерами сессии оказались банкиры из Сбера и ВТБ, а вовсе не глава Банка России Эльвира Набиуллина, которая реагировала на реплики участников встречи, обозначая позиции регулятора.

Номер с подменой: что мешает борьбе с вымогателями

Анатолий Аксаков отметил, что в мире фиксируется ежегодный рост кибератак на 15%, и если в 2015 году расходы на устранение и предотвращение угроз составляли 3 трлн долларов, то, по прогнозам, к 2025-му они вырастут до 10,5 трлн. Модератор задал вопрос: почему продолжаются звонки мошенников, при том что подмена номеров законодательно запрещена в РФ?

Станислав Кузнецов (Сбербанк) и Анатолий Аксаков (Госдума)

Станислав Кузнецов, заместитель председателя правления Сбербанка, порадовал сообщением, что ФСИН удалось навести порядок в тюрьмах, на долю которых приходилось раньше около 40% мошеннических звонков. Теперь более 95% телефонных вымогательств совершаются с территории Украины.

«Четыре оператора телекома полностью соблюдают букву закона, но другие несколько сотен компаний, особенно региональные, допускают нарушения, продолжая торговать без документов десятками телефонных номеров и даже предоставляя их на две недели бесплатно, — сообщил спикер. — Роскомнадзор начал штрафовать такие телекомы. Очень большую работу проводит прокуратура».

Конфликт интересов — в основе бизнеса

Эльвира Набиуллина не видит перелома, но результаты есть: удалось избежать «взрывного роста мошеннических услуг, падает успешность атак», хотя объем ущерба пока растет. Чтобы добиться прогресса, надо объединить усилия и внутри сектора, и с правоохранителями, а также ускориться, как это было в период борьбы с фальшивомонетчиками, считает глава ЦБ.

Однако Анатолий Аксаков полагает, что банки и компании «стремятся предоставлять как можно больше финансовых услуг, но поменьше тратиться на защиту при работе «”в цифре”, и такой конфликт интересов создает проблему».

Вадим Кулик (ВТБ)

В этой связи от модератора «досталось» заместителю председателя правления ВТБ Вадиму Кулику. Но сам банкир не видит здесь конфликта интересов: цель банка — прибыль, а убытки клиентов ее сокращают, пояснил он и отметил ряд ключевых аспектов проблемы. Среди них: множество способов получить сведения о физлице-клиенте, например можно отправить в банк письмо с любого адреса e-mail, подписанное якобы клиентом, либо выудить информацию о клиенте, создав фальшивый сайт по продаже пиццы.

Необходима база телефонных номеров, из которой будет понятно, какой номер точно принадлежит финансовой организации. Также, по его мнению, операторы связи должны нести повышенную ответственность за доставку конфиденциальной информации, а банки — получить право блокировать подозрительные операции в онлайне. Для этого в том числе нужны точечные изменения в законодательстве, отметил Вадим Кулик.

Госбанки плюс ЦБ: киберрешения для всех  

Станислав Кузнецов заверил, что платформа Сбера на 99% эффективна по отношению к антифроду, а количество звонков на номера клиентов удалось уменьшить в 15–20 раз. Но мошеннические звонки «перетекают» к другим участникам рынка, и вымогатели могут вернуться, вооруженные новыми технологиями. Так уже бывало: до 2020 года воровали деньги в основном через транзакции, затем — через схему «транзакции плюс кредиты». «Вопрос к антифроду: мониторить только транзакции или кредиты тоже? Затем жилье... В конце 2022-го возник новый тренд — транзакции и терроризм, поджигают наши офисы», — сообщил зампред Сбербанка.

Еще одна проблема — дропперы, которых, по словам Станислава Кузнецова, в РФ не менее полумиллиона. Деньги обналичивают в банкоматах или офисах, затем через криптобиржи переводят в биткоины и отправляют за границу, суммы рекордные. Задача законодателей — ввести требование, чтобы на криптобиржах предъявляли паспорта.

Станислав Кузнецов (Сбербанк)

«Мы готовы делиться технологиями с коллегами из других банков, создать единый автоматизированный подход для всех на безвозмездной основе. И лучше, если работу возглавит ЦБ», — заявил Станислав Кузнецов. Причем решение о бесплатном доступе к информации принято еще в мае 2022 года.

«Нейросети — онлайн-ресурс, содержащий разные классы данных, подтвержденных и нет, для моделирования “на лету” искусственным интеллектом. Объединив нейросети Сбербанка и ВТБ, мы получим моделирование на уровне 99–100%. И это получит весь рынок. Причем можно не открывать эти данные другим участникам. Мы технологически и финансово к этому готовы, это одна из важных задач на 2023 год», — сказал Вадим Кулик.

Нацеленность на прибыльность во многих коммерческих организациях довлеет, не у всех участников рынка есть опыт, специалисты и базы данных, поэтому необходимы единые стандарты борьбы с социальной инженерией, иначе атаки «дойдут до всех» участников рынка, уверена Эльвира Набиуллина. Она пообещала обсудить с ФинЦЕРТом возможности использования инфраструктуры для обмена информацией.

Жаркие баталии по вопросу компенсаций

Еще один вопрос, который поднял Анатолий Аксаков и который вызвал споры: о возмещении понесенного клиентом ущерба или его части.

Станислав Кузнецов готов к ответственности, если банк виноват в том, что не защитил клиента, но не в ситуации, когда «клиент после всех предупреждений самостоятельно снял деньги и отнес мошенникам». «Мы должны использовать возможности 115-ФЗ для “замораживания” средств на 10 суток, чтобы помочь эти деньги вернуть, — сказал банкир. — Технологии уже отработаны с судами. Когда клиенты дают нам доверенность, мы обеспечиваем им возврат по их вине понесенных убытков за переводы и транзакции. Очень надеемся на 161-ФЗ “О национальной платежной системе”, нужно скорее его принимать. Вооружите нас инструментами, чтобы мы могли на два дня блокировать средства и возвращать их клиентам».

Вадим Кулик не видит для банка возможности запретить клиентам проводить сомнительные операции: «Если у организации есть подтверждения, что клиент был многократно предупрежден, не понимаю справедливость возмещения». В такой ситуации ничто не помешает гражданину, например, отказаться от выплаты кредита под предлогом, что он взят под давлением, считает банкир.

Владимир Комлев (НСПК)

Позицию банков относительно того, что клиенты должны осознавать свои действия, поддержал и глава НСПК Владимир Комлев: «Иначе сформируется представление: сколько бы я ни перевел денег, мне все возместят».

Закон и штраф — гарантии порядка

Эльвира Набиуллина уверена, что банки должны отвечать перед клиентами, поскольку только они могут создать необходимые системы защиты. «Перелома в вопросе мы не достигнем, если не будет возмещения ущерба со стороны банков. Это стимулирует участников рынка более активно заниматься антифродом», — считает она. Также, по ее мнению, актуальна и идея страхования от киберрисков.

«Нужно принимать 161-ФЗ, чтобы замораживать деньги, переведенные на счет мошенника (если он фигурирует в базе данных ЦБ) на двое суток, чтобы человек одумался. А счет нужно блокировать», — отметила председатель Центробанка. Анатолий Аксаков пообещал провести такие поправки в ходе весенней сессии.

Блокировка карт самими банками стала другой горячей темой обсуждения. Вадим Кулик рассказал об эксперименте ВТБ по блокировке в течение одного дня 119 тыс. карт дропперов, причем никто из попавших в черный список не обратился с жалобой, рассказал он. Анатолий Аксаков не согласился с ним: «Вдруг среди них окажутся добросовестные лица? Есть много обращений о незаконной блокировке».  

Глава ЦБ в этом вопросе оказалась скорее на стороне банкиров: «Мы не хотим, чтобы пострадали добросовестные участники. Нужно думать о том, как выстроить систему, позволяющую быстро восстанавливать права добросовестных клиентов в случае реализации минимизированной ошибки».

Эльвира Набиуллина (ЦБ РФ)

Еще один способ противодействия мошенничеству, который поддерживают и в Центробанке, и в Госдуме, — самозапрет на кредитование, чтобы человек мог обезопасить себя от несанкционированной выдачи.

Анатолий Аксаков также заметил, что, по оценкам Лаборатории Касперского, из банков и крупных компаний утекло 1,5 млн клиентских данных, а «штрафы за утечку с оборота в размере 3% заставят компании задуматься о внедрении систем кибербезопасности». К осени будут совмещены информационные системы обмена данными между МВД и организациями, добавил в перечень мер модератор.

Эльвира Набиуллина считает, что с учетом формирования законодательной и информационной базы перелом в ситуации с социальной инженерией возможен уже в 2023 году для крупнейших банков, но по системе в целом — «не позже трех лет». Признаком оздоровления станет снижение ущерба населению в абсолютном выражении.

НСПК: в глобальном контуре

Не оставил без внимания «обыватель Аксаков» и деятельность НСПК, задав Владимиру Комлеву вопрос о том, сработают ли технологические решения, включая объединенные усилия крупнейших банков, чтобы обезопасить граждан от воровства их денег.

«Я в этом более чем уверен», — ответил глава НСПК. Уровень мошеннических транзакций в карточных программах снизился более чем в два раза, показатели остаются низкими в платежной системе «МИР», как это было и до ухода Visa и Mastercard, даже при том, что вдвое выросли объемы, отметил он. 

Анатолий Аксаков поинтересовался, не приведет ли отсутствие конкуренции к ухудшению ситуации.

«Российский стандарт мошенничества (и для карт, и для СБП) установлен на уровне 0,5 базисных пункта, это максимум одна мошенническая операция на 20 тыс. Он поддерживается участниками, объективно показатель в 2021-2022 годах (и нормативно, и по факту) у нас сейчас 5-6 раз ниже, чем в наиболее развитых западных странах, где картами пользуются в больших объемах, — сообщил Владимир Комлев. — Для СБП внедрены специфические стандарты безопасности. Наши директивы, инструкции и правила взаимодействия между участников полностью учтены. Не все банки успевают в срок “докручивать” собственные системы, но сама по себе СБП безопасна».

Также НСПК остается одним из учредителей PCI Security Standards Council и разработчиков международного стандарта PCI DSS 4.0, и покидать организацию не собирается, сообщил спикер. Такое взаимодействие позволяет сохранять передовые позиции. При этом реализуется замещение импортных элементов, в большей степени — аппаратного шифрования, сказал Владимир Комлев.