BIS Journal №1(36)/2020

23 марта, 2020

«Развязать руки полиции»

Вначале о статистике по фроду. Так, карточный банкоматный фрод колеблется в пределах нескольких базисных  пунктов (1 базисный  пункт = 0,01%). Тот же фрод, но уже в торгово-сервисных предприятиях, составляет 10 - 14 базисных пунктов. За уровнем фрода жестко следят международные платежные системы, и если фрод превосходит указанные нормативы, скажем, достигает 20-30 базисных пунктов, то эта торговая точка немедленно закрывается – таковы правила международных платежных систем. Что же касается систем дистанционного банковского обслуживания, то там уровень мошеннических транзакций до недавнего времени был существенно занижен. После мер, принятых Банком России по более полному представлению банками статистики мошеннических транзакций, нынешней весной «внезапно» возник годовой прирост преступлений  на уровне 40%, что связано, конечно,  не с ростом числа преступлений, а именно с тем, что ранее не было достоверной статистики.

Что касается пресечения утечек клиентских баз в руки социальных инженеров, то в нашем законодательстве нет даже понятия ответственности за утечки персональных данных (ПД). Иными словами того, кто допустил утечку, наказать практически невозможно. Конечно, сама возможность наказания существует, однако она относится к тем лицам или структурам, которые осуществили неправомерный доступ к базе данных, а это хакеры, которых перед тем, как наказать, нужно еще поймать. Законодатель так сконструировал нормы закона, что наказание за небрежное хранение ПД фактически не предусмотрено. Истории об утечках данных регулярно получают огласку, но нет информации о том, что кто-то понес за это наказание. Сравните эту ситуацию, например, с весьма жесткими параметрами европейского закона GDPR.

Стопроцентная защита ПД на практике – вещь возможная, но труднодостижимая. Залить данные в бетон? Использовать технологии квантовых вычислений?

Между тем, сами банки работают по принципу «вы совершили этот перевод добровольно, поэтому мы ничего не должны вам возвращать». Напомню, что в соответствии со статьей 9 закона «О национальной платежной системе» (161-ФЗ), кредитная организация обязана возвращать деньги, которые были украдены у клиента со счета в ходе противоправной транзакции. Но даже если клиент успевает сообщить банку о такой транзакции в течение одного рабочего дня, как этого требует 161 закон, то до сих пор еще ни один банк деньги, украденные социальными инженерами, не возвратил. Подчеркну, что кредитные учреждения мотивируют свой отказ тем, что клиент совершил операцию добровольно.

Однако следует помнить, что между банком и клиентом заключается договор банковского счета, в соответствии с которым банк обязан выполнять  указания клиента. А если он выполнил указание злоумышленника, значит, он нарушил договор, и пострадавшему человеку остается это доказать.  Некоторым это даже удавалось… Если настырный клиент с неограниченными запасами терпения, средств и времени выходит на уровень кассационной жалобы на решение суда первой инстанции, то на этом этапе суд может принять сторону клиента, потому что ориентируется на постановление Пленума Верховного суда.

Другое дело, что есть и такие граждане, которые добровольно передают ПД злоумышленникам, или даже сами лично дают указания совершить платеж по заданным хакерами реквизитам. Эти граждане действуют как зомби, и это пример, так называемой, социальной инженерии 1 типа (СИ1). С такими гражданами - особая история, противодействовать атакам СИ1 невозможно. Даже если такого зомбированного клиента банк намертво защитит от возможных атак по каналам интернета, он найдет способ перевести деньги, например, физически придет в отделение банка и переведет злоумышленникам все свои сбережения.

И в заключение еще одна важная мысль - цифровые технологии дали мошенникам новый огромный набор специфических возможностей, которые ранее были недоступны. Конечно, противодействовать этим возможностям можно, но только обладая соответствующим цифровым инструментарием. Скажем, такой же инструментарий и возможности должны быть у полицейских. Так же, как банкиры контролируют перемещение финансовых средств, так и полицейские должны иметь возможность контролировать и вмешиваться в совершение платежей, следить за тем, кто именно переводит средства, куда, как, в какие сроки и так далее. Тогда и дело пойдет, и будет, за что спросить. Конечно, такие расширенные возможности (если вдруг будут предоставлены органам МВД) тут же войдут в противоречие с действующим законодательством, в частности, с законом о банковской тайне.

С другой стороны, ПД продолжают поступать на черный рынок, и купить там сегодня можно, что угодно – тоже в явном противоречии с нормами законов. Получается так: преступникам нарушать закон и воровать ПД можно, а борцам с ними нельзя даже позвонить в соседний  банк и назвать фамилию клиента-дропа, который только что снял деньги  в одном из банков и двигается в следующий. Ведь надо перед звонком заручиться у дропа согласием на обработку его ПД…

Смотрите также