Банковское обозрение (Б.О принт, BestPractice-онлайн (40 кейсов в год) + доступ к архиву FinLegal-онлайн)
FinLegal ( FinLegal (раз в полугодие) принт и онлайн (60 кейсов в год) + доступ к архиву (БанкНадзор)
ЦБ серьезно взялся за аферы социальных инженеров — ключевых источников хищений при переводах денежных средств. Что нового подготовил регулятор для обсуждения экспертным сообществом на этот раз, каковы меры противодействия?
Появится период «охлаждения» — два дня, в течение которых клиент вправе получить обратно свои деньги, украденные злоумышленниками даже в том случае, когда он добровольно перевел средства под воздействием уговоров, но вовремя одумался. Такого раньше в платежной индустрии не было. Хотя Закон № 161-ФЗ «О национальной платежной системе» и раньше обязывал банк вернуть похищенные деньги клиенту, если он вовремя сообщал об этом. Но банки практически никогда этого не делали, мотивируя отказ тем, что клиент добровольно перевел деньги злоумышленнику. Новизна инициативы ЦБ — в том, что возвращать банки будут те средства, которые клиент добровольно отправил мошенникам.
Инициатива потребует осмысления и дискуссий в экспертной среде, возможно, и коррекции платежного законодательства, поскольку ситуация начнет противоречить привычным и прописанным в Законе № 161-ФЗ принципам «окончательности» и «безотзывности» платежа. Ясно также, что подобные новации могут оказаться уязвимыми и повлечь за собой появление новых схем хищений. Преступники очень изобретательны и могут «сыграть» на этих возвратах и отсрочках в переводах — почему нет? По крайней мере, это надо иметь в виду при обсуждении нового законопроекта.
Вторая активно обсуждаемая тема в новации — это база данных подозрительных счетов. Законопроект предусматривает приостановку перевода на два дня, если только деньги отправлены на подозрительный счет из этой базы. Фактически базу подозрительных счетов «О случаях и попытках осуществления перевода денежных средств без согласия клиента» Банк России ведет с 2018 года, но сегодня о ней заговорили в новом контексте — именно в связи с двухдневным периодом «охлаждения» и возврата средств клиенту. Новую инициативу ЦБ большинство экспертов приветствуют. Но у тех, кто слышит об этой базе впервые, тут же возникают вопросы: если они попали каким-то образом в эту «базу дропперов» случайно, каков порядок исключения из этой нее? Не поменяется ли он в связи с принятием нового закона? Пока об этом информации нет. И если, скажем, попадание в базу ошибочное, кто и как будет компенсировать репутационные потери? Поди потом доказывай — льготных кредитов от банков не получишь.
Насторожила граждан еще одна инициатива — уже экспертного совета при ЦБ. Дело касалось обязательной «заморозки» переводов между физическими лицами на сумму свыше 10 тыс. рублей на специальных промежуточных счетах. При этом уже потом для разблокировки перевода отправитель должен был бы пройти дополнительную идентификацию. ЦБ не поддержал эту громоздкую инициативу, а вместо нее заявил о необходимости сосредоточиться именно на идее периода «охлаждения».
Наверное, общим подходом в подобного рода инициативах стала бы возможность дать клиентам действовать системно. Что это значит?
Например, разумно предоставить клиентам возможность самостоятельно настраивать собственный профиль безопасности.
И если клиент, например, новый, то по умолчанию в его профиле изначально установить максимальную степень защищенности. Более опытные клиенты должны иметь возможность самостоятельно устанавливать в своих счетах настройки доступа и взаимодействия (так называемые МАПы — методы аутентификации платежей). Для каких-то счетов с крупными суммами можно исключить удаленный доступ вообще (кроме операций пополнения).
ЦБ в этой части «услышал» экспертов и своим Указанием № 6071-У с 1 октября 2022 года обязал все банки разрешить клиентам самостоятельно устанавливать запрет на онлайн-операции и ограничивать их параметры. Станут ли этим пользоваться клиенты? Будут ли сами банки активно рекомендовать эти услуги клиенту в офисе? Об этом мы скоро узнаем. Пока такие сервисы уже доступны, по крайней мере, в одном крупном банке.
Хотелось бы в продолжение инновационных идей ЦБ дать ему еще одну подсказку, а именно поразмыслить над механизмом двусторонней аутентификации и банка, и клиента. Что имеется в виду?
При звонке или сообщении, которые поступают клиентам из финансового учреждения, сомневающийся человек должен иметь возможность аутентифицировать и сам банк. При этом окончательно убедиться, что звонит ему не «робот», и не мифическая «служба безопасности банка», а злоумышленник. Такая двусторонняя аутентификации, уверен, также снизит успехи социальных инженеров.
По темпам цифровизации и внедрения инноваций банковский сектор России давно занимает лидирующие позиции. Еще в 2020 году, согласно исследованию компании Deloitte, Россия вошла в топ-10 стран по цифровизации банков. Куда направлен вектор инноваций четыре года спустя? Какие подходы к автоматизации финансовых процессов находятся на гребне технологической волны?
Когда наступает банкротство организации или гражданина, это событие, как правило, затрагивает интересы очень и очень многих: самого должника, его контролирующих и аффилированных лиц, реальных и потенциальных контрагентов должника, иных субъектов — в том числе и государства. Поэтому информация о факте возбуждения и ходе дела о банкротстве должна быть публичной, чтобы широкий круг лиц мог соответствующие сведения получить, проанализировать и оценить, например, в контексте собственных рисков продолжения взаимоотношений с должником