

СОБЛАЗН «ЛЕГКИХ ДЕНЕГ»
Несложно подсчитать, что доходность этой незаконной деятельности начинает обгонять доходность наркоторговли и незаконного оборота оружия. Привлекательности кибермошенничества способствует тот факт, что законодательство не в должной мере препятствует преступной деятельности в сфере компьютерного мошенничества.
В федеральном законе «О национальной платежной системе» позиционируется двусторонняя связь с клиентом, что, при наличии других норм законодательства, привносит ряд сложностей. Банк должен уведомить клиента о платеже и получить его подтверждение легитимности операции. В то же время банк обязан провести платеж в установленные сроки. При этом законодатель до настоящего момента не дал банкам возможности увеличить этот временной промежуток.
В связи с изложенным у мошенников сформировалось ощущение безнаказанности, возможности получения «лёгких денег». Наблюдается массовое распространение инструментария для этого и вовлечение в преступную деятельность новых участников.
ПРОБЕЛЫ В ЗАКОНАХ – ЛАЗЕЙКИ ДЛЯ ЗЛОУМЫШЛЕННИКОВ
Уголовный кодекс Российской Федерации разрабатывался до 1996 года, когда материальные нормы права не учитывали возможности существования виртуальных денег. Поэтому диспозиции ст. 159 в единстве с требованиями ст.ст. 272 и 273 требуют значительной корректировки.
В настоящее время Верховный Суд внёс в Государственную думу РФ законопроект о детализации понятия мошенничества. Несмотря на это, рассматриваемые диспозиции ст. 159.3 «Мошенничество с платежными картами» и ст. 159.6 «Мошенничество в сфере компьютерной информации» не учитывают ряд возникших после 1996 года обстоятельств. В итоге облегчён вывод финансовых средств в теневой оборот, наносится ущерб государству.
В целом в банковской системе риски, связанные с проведением платежей, растут. В то же время, приняв закон «О национальной платежной системе», законодатели переложили всё бремя ответственности на банки. При наличии признаков вины клиента в инциденте при проведении платежа именно банк, оставаясь наедине с Фемидой, вынужден доказывать, что платёж был санкционированным.
Статистика банковского сообщества свидетельствует, что атакам подвергаются все пользователи, и «толстые», и «тонкие» клиенты. Статистика атак показывает: их интенсивность не снижается. В последние несколько лет наблюдается рост количества инцидентов по разным типам ДБО. Значит, сформировалась «высокотехнологичная» преступная среда, которая специализируется на хищениях средств в системах ДБО, устоялся и рынок смежных криминальных услуг.
НОРМ МНОГО, НО НЕДОСТАТОЧНО
Перечень законодательных актов, регулирующих ДБО, довольно велик.
В первую очередь, это Конституционные принципы равенства защиты всех форм собственности (ст. ст. 8, 35, 55 Конституции Российской Федерации).
Законодательство Российской Федерации, регулирующее банковскую деятельность:
Законодательство Российской Федерации, регулирующее институты банковской, коммерческой и служебной тайны, конфиденциальности персональных данных, тайны связи, средств электронной- цифровой подписи (электронной подписи), электронных средств платежа и др.:
Положения Банка России, регулирующие услуги ДБО:
ВНУТРЕННИЕ И ВНЕШНИЕ ФАКТОРЫ РИСКОВ
Но, несмотря на наличие такого большого количества документов, риски продолжают оставаться очень высокими.
Внутренние факторы возникновения рисков связаны, прежде всего, с несоблюдением законодательства РФ. В том числе требований идентификации клиентов, изучения их документации и установления выгодоприобретателей (лиц, в чьих интересах они действуют). Практика банковской деятельности показывает, что риски возникают из-за несоблюдения принципа «знай своего клиента», в результате чего среди клиентов оказываются дроперы.
Кроме того, к сожалению, федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» в России работает лишь частично. Отмывать деньги на Западе почти невозможно, у человека обязательно спросят, каков источник этих средств. У нас дроперы обходят ограничения, выводя не всю сумму сразу, а разделяя её на ряд платежей.
Второй фактор – несоответствие внутренних документов организации законодательству РФ, а также неспособность своевременно приводить свою деятельность и документы ДБО, в соответствие с изменениями законодательства.
Мало кто из банковского сообщества внёс изменения в нормативные документы, связанные с тем, что с 1 июля 2012 года утрачивает силу старый федеральный закон №1-ФЗ «Об электронной цифровой подписи». Понятно, что на это есть объективные причины, но появление нового фактора риска никто не отменит.
Следующий фактор – неэффективная организация работы ДБО, которая приводит к ошибочным действиям персонала, участвующего в дистанционном банковском обслуживании. Отсутствие внутреннего контроля влечет рост операционных рисков, которые, в свою очередь, повышают вероятность проведения мошеннических операций.
Не проверил операционист входящий документ на признаки мошенничества, подписал операционист вместо клиента, и получается, что совершил ошибку банк. Раньше банки в большинстве случаев могли переложить подобные операционные риски на клиента. Но теперь законодатель однозначно запретил делать так.
Ещё один фактор – нарушение кредитной организацией условий договоров, связанных с ДБО. И, наконец, следует отметить недостаточную проработку технологических, организационных и других вопросов при разработке и внедрении новых технологий и условий осуществления ДБО.
Есть и внешние факторы возникновения рисков. Это, прежде всего, несовершенство правовой системы и отсутствие надлежащего правового регулирования. Встречаются противоречия в самом законодательстве РФ, оно подвержено изменениям. Далеки от совершенства методы государственного регулирования и надзора.
Имеют место и некорректные применения законодательства иностранного государства, норм международного права. Законодатели пока не повернулись лицом к названной проблеме. Видимо, до той поры, пока в банковской системе не случится по указанным причинам каких-либо чрезвычайных происшествий.
В учебнике криминалистики за 1969 год была такая фраза: «Волна, связанная с хищением денежных средств с использованием компьютеров, захлестнула США. В СССР это невозможно». Если обратиться к истории, то в новой истории России тоже появились поддельные авизо. Вначале эта проблема была решена с помощью факсов, затем электронной почты, далее – отчуждаемых ключевых носителей. Но и более совершенные технические устройства тоже можно взломать. Мошенникам удаётся идти на шаг впереди. Только определенные организационные меры могут помочь избежать банковской системе реализации рисков.
НЕЙТРАЛИЗОВАТЬ УГРОЗЫ
Поэтому частью решения проблемы могут быть следующие меры. Они довольно понятные и простые. Нужно провести стандартизацию банковских операций ДБО (порядки, процедуры, технологии осуществления). Обязательно распределить зоны ответственности кредитной организации и клиента. Банк при необходимости должен уметь документально подтвердить факт предупреждения клиента о возможных уловках мошенников. Например, собственноручной подписью клиента в соответствующем документе.
Внутри банка должен быть установлен внутренний порядок согласования заключаемых договоров ДБО, отличающихся от стандартизированных и типовых. Иначе появятся лазейки для киберпреступников. В обязательном порядке должен проводиться анализ влияния факторов риска на показатели деятельности ДБО, причём на постоянной основе.
При этом работники правового направления должны перманентно осуществлять мониторинг изменений законодательства РФ, касающегося ДБО. И, наконец, банк должен выполнять требования стандартизации комплекса документов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».
К мерам стандартизации действий должно относиться своевременное информирование клиентов ДБО о требованиях безопасности, выполнение которых обязательно для предотвращения хищений денежных средств злоумышленниками. Также банкам нужно разработать типовые рекомендации по обеспечению информационной безопасности системы ДБО. Разработка типового порядка разбора инцидентов позволит оперативно получить всю необходимую информацию для передачи в территориальные подразделения «К» органов внутренних дел.
Требуется разработать и типовой порядок взаимодействия с территориальными подразделениями «К» органов внутренних дел при разборе инцидентов. В банке должна существовать примерная схема неотложных мероприятий при разборе инцидентов и типовой порядок взаимодействия с банками – конечным получателем и транзитным.
Банки должны обмениваться информацией о дроперах, без этого невозможно оперативно и эффективно реагировать на инциденты. Такая площадка информационного обмена для банков уже создана на базе Ассоциации российских банков. Объединение начиналось несколькими банками, теперь их более 220. Все кредитные организации должны вступить в этот «клуб» и передавать коллегам информацию о мошеннических операциях, попытках хищения средств. Только совместно банки смогут своевременно останавливать группировки кибермошенников.
ТИПОВЫЕ ДОКУМЕНТЫ – ОСНОВА БЫСТРОГО РЕАГИРОВАНИЯ
Банки должны разработать типовые формы документов, в частности, заявлений – что сделать, чтобы остановить платеж, вернуть средства. Ведь среагировать нужно в считанные часы. Типизация поможет действовать быстро в инертной банковской системе.
Банк должен разработать типовые формы следующих документов:
Все перечисленные материалы можно включить в регламент или в договор с клиентом. Отказ клиента сотрудничать с банком в расследовании произошедшего согласно установленному порядку поможет банку выиграть возможное судебное разбирательство.
СПАСЕНИЕ ВО ВЗАИМОДЕЙСТВИИ
Кредитная организация должна типизировать порядок сбора сведений о выявлении инцидентов ДБО, связанных с хищениями денежных средств. В первую очередь следует определить вредоносный код и его воздействие, которое фальсифицирует предоставление услуг ДБО. Затем нужно выявить воздействие на объекты информационной инфраструктуры, используемые в ДБО для осуществления переводов денежных средств, в результате которого эти услуги становятся временно или вообще недоступными. Следующий шаг заключается в обнаружении нарушений конфиденциальности информации, необходимой для осуществления электронных платежей – подтверждающей право клиентов ДБО распоряжаться денежными средствами. За этим должно следовать выявление обстоятельств компрометации ключевой информации СКЗИ, используемых в ДБО.
Далее необходимо выявить факты осуществления переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами. Причины могут быть две. Первая – нарушение конфиденциальности информации, подтверждающей при проведении электронного платежа право клиентов ДБО распоряжаться денежными средствами. Вторая – компрометация ключевой информации СКЗИ, используемых при осуществлении переводов денежных средств. Также устанавливается факт воздействия вредоносного кода, приводящего к осуществлению переводов денежных средств путём использования искажённой информации, а именно распоряжений клиентов, пользующихся данной формой ДБО.
В заключение следует документально зафиксировать невозможность предоставления услуг перевода денежных средств в платежной системе в течение 3 часов и более.
Сейчас банковским сообществом ведётся активная работа по объединению усилий всех заинтересованных сторон. Организовано взаимодействие служб и специалистов информационной безопасности банков. Банк России, осуществляя надзор и регулирование платёжной системы, осознаёт необходимость участия в этой работе и активно поддерживает усилия банковского сообщества по противодействию преступности в ДБО. МВД России предоставило ряд рекомендаций по сопровождению уголовных дел по хищениям в ДБО.
Пока статистика по результатам обращений клиентов в органы МВД такова: уголовные дела возбуждаются примерно в 8% случаев, в 27% случаев проводятся проверки, в 10% – полиция отказывает в возбуждении уголовных дел. В 55% случаев проверки не инициируются, в том числе из-за неправильных действий самих пострадавших клиентов.
Кроме того, идёт формирование единых стандартов безопасности платёжных приложений. Инициируется внесение изменений в законодательство. В частности, банковским сообществом, по введению юридического понятия дропер – человека, который замыкает цепочку по выводу денежных средств в теневой оборот.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных