Как банки защищают наши сбережения от мошенников и нашей глупости

По данным Центробанка РФ, 9,8 млрд рублей за 2020 год похитили у россиян кибермошенники! Чаще всего преступники пользуются методами «социальной инженерии». Мошенники создают «легенды» официальных обращений, используют психологические приемы, цитируют законы, напоминают об ответственности. Причем все делается по телефону. Мошенники представляются сотрудниками правоохранительных органов и служб безопасности банков, разыгрывают целые «спектакли».

Мы подробно писали, как у преступников получается выудить из людей огромные суммы денег. Например, клиент банка «Урал ФД» был обманут на 1,5 млн рублей. В первый день он взял кредит в банке «Урал ФД» — 700 тыс. рублей. А во второй день снял со своего депозита в этом же банке 800 тыс. рублей. Все средства перевел мошенникам через банкомат «Тинькофф». Одна из читательниц после выхода публикации обратилась к журналисту Properm.ru со справедливыми вопросами: «А как же банки? Почему банк «Урал ФД» спокойно смотрел, что человек берет кредит, равный примерно его депозиту? И даже не поинтересовался, в чем дело? Почему вообще решение о кредите принято в такое короткое время? А на следующий день после того, как взял кредит, он пришел за депозитом в этот же банк, и это никого не смутило? Почему?»

Действительно, никто из сотрудников банка не заподозрил неладное, служба безопасности никак не отреагировала на как минимум нелогичные действия клиента. Разбираемся, как должны действовать банки. И как они действуют — по их же данным. Мы направили вопросы на основе этого кейса в:

• банк «Урал ФД»,
• «Сбербанк»,
• «Альфа-банк»,
• ВТБ,
• банк «Открытие»,
• Россельхозбанк.

В качестве эксперта и основателя правил в этой сфере взяли, конечно же, Центробанк РФ.

Информация — лучшее средство защиты

В ответах банки отметили, что постоянно работают «по противодействию мошенникам». С чего начинается такая работа? Мы думаем, что с информирования. Смотрим главные страницы сайтов всех банков. Они очень похожи по набору ссылок, рекламы и рубрик меню. Есть ли у них информация про кибербезопасность, кнопки «Осторожно мошенники!», рубрики «Финансовая грамотность» или какие-то другие, которые должны «просвещать» клиентов по вопросам безопасности, уберечь от мошенников?

Вопросы, которые Properm.ru направил в банки, касались алгоримов работы сотрудников и регламентов безопасности при выдаче кредита, снятии средств с депозита.

Вот вопросы, которые получили банки:

1. Если к вам придет человек, желающий взять крупный кредит в банке, какого регламента безопасности придерживаются в таких случаях сотрудники банка? Принимаются ли решения в течение нескольких часов? Или всё же несколько дней? Есть ли здесь какие-то регламенты безопасности? Они внутренние или Центробанка РФ?
2. Взяв в один день кредит, на следующий день человек приходит за своим депозитом. Вам показались бы подозрительными такие операции? Какого регламента безопасности, если он есть, придерживаются в таких случаях сотрудники банка?
3. Какие условия по проверке безопасности банковских операций банк соблюдает при выдаче кредита/снятии депозита?
4. При каких условиях банковские операции покажутся сотрудникам банка подозрительными? И каковы тогда должны быть действия сотрудников? На что ориентируется банк? На инструкции Центробанка РФ? Или свои, ведомственные, инструкции? Или подход индивидуальный, и каждый сотрудник на месте принимает решение, ориентируясь на своё мнение?

Не все банки и не на все вопросы ответили. Для удобства полученную информацию разделим на части: условия безопасности, которые должны обеспечить банки при получении клиентами кредитов/снятии денег с депозитов и общие условия безопасности.

Кредиты/депозиты

На первый блок вопросов, связанных с безопасностью при получении кредитов, снятии средств с депозитов, пресс-службы ответили, что банки действуют на основании внутренних нормативных документов, составленных на основе действующего законодательства РФ, в том числе, инструкций и требований Центрального Банка».

Пресс-служба банка ВТБ сообщила, что «для однозначной идентификации клиента и защиты средств при операциях применяются современные технологии, которые соответствуют стандартам, принятым в мировой практике. В отделениях все операции со счетами проводятся только после подтверждения личности их владельца».

Банк «Урал ФД» ответил, что «осуществляет свою деятельность на протяжении более 30 лет» и «действует строго в рамках законодательства РФ и нормативных документов Центрального Банка России». Однако именно клиент Урал ФД пострадал от мошенников.

Например, вот как действуют сотрудники при подозрительных операциях в банке «Открытие». По закону банк не может отказать в возврате депозита клиенту, прошедшему процедуру идентификации личности. В данном случае отношения между банком и клиентом регулируются подписанным договором вклада, наличие других, в том числе, кредитных договоров у клиента, не может быть препятствием.

«В то же время, — пояснила пресс-служба банка «Открытие», — сотрудник банка может попросить клиента уточнить причину досрочного возврата депозита и обратить внимание на поведение клиента, присутствие рядом с ним иных лиц, поступки которых могут рассматриваться как оказание влияния на клиента».

В этом случае сотрудник ставит в известность специалистов соответствующих подразделений банка, при необходимости вызывается полиция либо Росгвардия. В банке «Открытие» были зафиксированы случаи, когда подобная бдительность сотрудников помогла предотвратить мошеннические действия третьих лиц, которые пытались принудить клиентов банка снять деньги с депозитов, чтобы оплатить ими товары и услуги по завышенным ценам либо «передать деньги родственникам, попавшим в беду».

По данным Центробанка РФ, такие действия сотрудников банков правильные. В Центробанке отмечают, что при подозрительных операциях сотрудники банков вообще должны руководствоваться 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

Общие условия безопасности

По данным Центробанка РФ, кредитные организации определяют и устанавливают внутренние регламенты по безопасности при совершении платежных операций, продаже финансовых продуктов и предоставлении услуг, руководствуясь общими нормативными документами и рекомендациями Центрального банка, Федеральными законами, ГОСТами.

В ВТБ пояснили, что «только если сам клиент сообщает злоумышленникам свои персональные данные или добровольно совершает какие-либо операции по их указанию, то может стать жертвой мошенников». Для предотвращения таких ситуаций ВТБ создал на сайте раздел по финансовой безопасности с описанием основных видов мошенничества и советами по минимизации потенциальных рисков для клиентов. «Мы также просим незамедлительно оповещать банк обо всех попытках мошенников получить доступ к персональным данным», — прокомментировали в пресс-службе.

В банке «Открытие» добавили, что «при проведении любой операции, в том числе, выдаче кредита (после завершения процедуры анализа заявки и принятия положительного решения) либо возврате депозита, банк в обязательном порядке проводит идентификацию личности клиента — проверку подлинности паспорта либо доверенности, соответствие фотографии на документе. А при необходимости могут быть проведены дополнительные проверки».

По данным Центробанка РФ, проведение любой банковской операции четко регламентировано действующим законодательством РФ. Критерии подозрительных зафиксированы в документах — положениях, письмах и инструкциях Центробанка. В банках существуют регламенты отработки подобных ситуаций. Выполнение этих регламентов зависит от сотрудников, которые общаются с клиентами.

По данным Центробанка, существуют системы информационного обмена Банка России с кредитными организациями: «ФИД-АнтиФрод» и система Банка России по обработке инцидентов АСОИ ФинЦЕРТ. К данным системам подключены все работающие в России банки. К концу 2020 года в системе «ФИД-АнтиФрод» было накоплено более 43 тыс. уникальных признаков операций, совершенных без согласия клиентов. Знание этих признаков и консультации специалистов Банка России помогает банкам пресекать активность злоумышленников и совершенствовать свои внутренние системы защиты от кибермошенничества и преступных действий злоумышленников.

Банк России выступил с рядом мер и инициатив для снижения количества мошенничеств. Во-первых, ужесточение ответственности для мошенников и дисквалификация для сотрудников банков, допустивших, к примеру, утечку персональных данных или сведений, составляющих банковскую тайну.

Введение риск-профиля финансовых организаций — тоже новшество. Оно позволит понимать, насколько банки готовы противостоять инцидентам в сфере информационной безопасности, а также учитывать, в какой степени у них хватает ресурсов для покрытия возможного ущерба. Центробанк предлагает не останавливаться только на технических вопросах обеспечения информационной безопасности.

«Чрезмерно погружаясь в технические детали, можно не заметить принципиальных проблем, которые действительно могут возникнуть у финансовой организации, но находятся не в зоне технических специалистов, а на уровне руководства. Проблемы могут быть разными: хищение денежных средств, нарушение устойчивости работы информационной инфраструктуры, непредоставление важного и нужного сервиса клиентам. Предметом оценки является способность финансовой организации обеспечить непрерывность, бесперебойность и операционную надежность своего функционирования», — пояснили в пресс-службе Центробанка журналисту Properm.ru.

С введением риск-профиля надзорный процесс со стороны Банка России перестанет быть привязан к оценке чисто технических составляющих. В центре внимания окажется готовность финансовой организации противостоять угрозам, ее реальная защищенность.

С этой целью Банк России начал проводить киберучения. Киберучения проводятся в формате моделирования атак определенного типа и отслеживания последовательности действий служб информационной безопасности. При выявлении серьезных проблем будут приниматься меры реагирования. Проверки проводятся не по единой для всех схеме, с учетом особенностей бизнес-процессов и технологий конкретных финансовых организаций.

Центробанк предлагает обязать банки ограничивать ряд операций по желанию клиента. Представляется, что такая мера должна распространяться на всех клиентов банков и других организаций. Технологически такой функционал уже реализован у ряда банков. Мера действенна в случаях, когда клиента финансовой организации провоцируют дистанционно совершить действия с его счетами в пользу злоумышленников, а также в случае оформления злоумышленниками онлайн-займов с использованием персональных данных клиента.

В федеральном законодательстве планируют добавить возможность добровольного ограничения доступа населения к каналам дистанционного банковского обслуживания (ДБО). Клиент самостоятельно сможет определять формат своего общения с кредитной организацией. Например, отключиться от всех каналов ДБО либо запретить совершать определенные операции от своего лица — например, перевод с карты. Это тоже поможет своевременно реагировать на угрозы мошенничества.