С 26 сентября 2018 г. вступили в силу законодательные изменения, обязывающие кредитные организации вести работу по противодействию кибермошенничеству. О новых требованиях законодательства, критериях определения подозрительных операций и о порядке работы с клиентами в случае приостановления транзакций рассказал первый заместитель начальника Дальневосточного ГУ Банка России Максим Макаров.
— Максим Николаевич, принятый к действию для банков новый закон уже принес свои плоды? Оказал ли он свое действие на те меры, против которых он и был введен для работы в банковскую систему?
— Новый закон вступил в силу в конце сентября, и, конечно, о результатах его действия говорить рано. Изменения в законодательстве обязывают банки вести работу по противодействию кибермошенничеству и, прежде всего, направлены на обеспечение сохранности средств клиентов, а банки теперь обязаны делиться информацией о подозрительных операциях и кибератаках с Банком России и между собой.
Также закон вводит механизм досудебного возврата денежных средств, которые были списаны со счетов клиентов — юридических лиц без их согласия. Теперь вернуть незаконно выведенные со счета деньги можно гораздо быстрее, что немаловажно для малых и средних предприятий, для которых неожиданно лишиться всех средств на счете означает фактически прекратить свое существование. Я думаю, положительный эффект от нововведений клиенты банков и сами банки смогут оценить уже довольно скоро.
— Как банковская система выявляет подозрительность переводов?
— Существуют нормативно закрепленные Банком России критерии, по которым кредитные организации могут приостанавливать операции для защиты денежных средств от хищений. Прежде всего, банк решает вопрос о приостановке операции, если информация о получателе перевода уже содержится в базе данных о случаях и попытках хищений денежных средств, которая формируется Центральным банком Российской Федерации.
Второй критерий — совпадение информации о параметрах устройств, которые используются для совершения транзакции, с информацией о параметрах устройств из вышеупомянутой базы данных. Или, наоборот, операция всегда совершалась с одного и того же устройства, а тут вдруг проходит с другого, неизвестного. Также подозрение должны вызвать нетипичные для клиента операции — те, которые имеют признаки совершения денежного перевода без согласия плательщика.
Читайте также:
— «Признаки совершения денежного перевода без согласия плательщика» — что это такое на простом человеческом языке? И что собой представляют эти признаки?
— Это, например, одновременный перевод больших сумм с одной карты на множество других карт или же оплата по одной карте в отдаленных друг от друга местах в короткий промежуток времени. Если банк видит, что вы оплатили банковской картой покупку во Владивостоке, а через десять минут этой же картой расплатились во Вьетнаме или Индии, такая операция, конечно, вызовет подозрения и станет поводом приостановить платеж. Для юридических лиц признаком подозрительной транзакции может быть одновременный перевод денежных средств на счета физических лиц в разные регионы с непонятным обоснованием платежа.
В любом случае, если у банка возникли сомнения, что операция совершена с согласия клиента, он обязан приостановить платеж, позвонить клиенту и выяснить, знает ли он об этой транзакции.
— Один из приморских финансовых аналитиков высказал мнение, что все новые законопроекты — это трактовка того самого 115-ФЗ, принятого еще 2001 г. Так ли это?
— У этих законов принципиально разные цели, они не связаны друг с другом, хотя и в одном, и в другом случае основаны на соблюдении в том числе международных норм и лучших практик.
Закон 115-ФЗ — основа российского законодательства по противодействию отмыванию денежных средств. Согласно его требованиям организации обязаны контролировать операции, превышающие 600 тыс. рублей, или сделки с недвижимостью, если цена объекта превышает 3 млн рублей. Кроме того, под этот закон подпадают все сделки, если хотя бы по одной из сторон есть сведения, что она причастна к экстремистской деятельности или терроризму. Цель закона №?167-ФЗ — предотвратить и снизить количество мошеннических операций, связанных с переводами денег. И тут не столь важна сумма денежного перевода (хотя мошенники заинтересованы получить много и сразу с минимальными затратами), главное — предотвратить или минимизировать хищения денежных средств клиентов и уберечь их деньги в будущем.
— Считается, что понятие «банк сам устанавливает планку и критерии, отвечающие за понятие «нестандартная транзакция» может привести к вольному распоряжению данным правом…
— Каждый банк самостоятельно разрабатывает свою политику и определяет критерии оценки легальности транзакций, опираясь на установленные Банком России признаки. У каждого банка своя клиентская база, на которую он ориентируется, изучает поведение клиентов, реагирует на резкие отклонения в их поведении. Но прежде всего надо понимать, что для каждого банка клиент — это главная ценность, и потерять клиента и его лояльное отношение к себе не захочет ни одна кредитная организация. Так что злоупотреблять своими полномочиями и без оснований приостанавливать операции по карте или блокировать счета банк не будет. И даже если у банка возникнут подозрения, что операция совершена без ведома владельца счета, он обязательно уточнит ее правомочность у клиента.
Читайте также:
— Меры, которые принимаются в отношении счетов физических лиц, — плохо это или хорошо для рынка?
— Новые законодательные меры направлены на сохранность денег клиентов, защиту всей инфраструктуры безналичных платежей. Если люди уверены, что деньги на их счетах надежно защищены от мошенников, это повышает их доверие к банкам, к платежной системе и, конечно, способствует укреплению банковского сектора экономики. Средства предприятий теперь тоже более защищены: раньше, если в результате мошеннических действий компания теряла деньги на своем счете, вероятность вернуть их хоть и была, но откладывалась на долгое время. Банк — получатель средств не мог вернуть деньги, даже если был убежден, что операция проведена мошенническим путем. Для возврата денег клиент должен был обратиться в правоохранительные органы, дождаться результатов расследования и судебного решения.
Новые правила позволяют решать такие ситуации в досудебном порядке, и вернуть незаконно выведенные со счетов предприятия средства можно гораздо быстрее. Деньги останутся в обороте компании, она продолжит функционировать. Так что и реальный сектор экономики от нового закона выигрывает. Нам, конечно, еще предстоит оценить влияние законодательных изменений на рынок, но мы ждем положительных изменений.
— Имеющиеся у банковской системы модели работы, основанные на 90-ФЗ и 115-ФЗ, рикошетом бьют и по простым гражданам (например, средняя операция по карте у гражданина исчисляется 25–35 тыс. руб; происходит пополнение на 150 тыс. руб — подарок, возврат долга и т. д. — и карта блокируется). Будет ли какая-то корректировка работы системы мониторинга подозрительных транзакций?
— Новый закон направлен, в первую очередь, на защиту средств клиентов банков — граждан, предприятий, в том числе малых. Понятно, что вероятная приостановка операции, процедура выяснения ее законности может доставлять неудобство и иногда вызывает желание обвинить банк. С другой стороны, нужно сравнить, что неприятнее — лишнее беспокойство или риск потерять деньги.
Приведу статистику: за шесть месяцев 2018 г. на Дальнем Востоке в отношении физических лиц совершено 2234 несанкционированные операции на сумму 17,3 млн рублей. В Приморском крае зарегистрировано 490 несанкционированных операций, с платежных карт похищено 1,9 млн рублей. В отношении юридических лиц за шесть месяцев 2018?г. в ДФО совершено восемь несанкционированных операций, кибермошенники похитили 9,5 млн рублей, в том числе в Приморском крае — шесть операций с ущербом в 3,9 млн рублей. Этих потерь возможно было избежать, если бы операцию вовремя приостановили и уточнили у клиента, с его ли ведома она выполняется.
Еще раз подчеркну, речь не идет о блокировке карты или счета, а лишь о приостановлении операции до выяснения ее легитимности. Заметив признаки хищения, банк обязан незамедлительно проинформировать об этом клиента. Клиент может либо подтвердить транзакцию, либо сообщить о попытке хищения денежных средств. Если связаться с клиентом не удалось, банк имеет право приостановить транзакцию не более чем на два рабочих дня.
Читайте также:
— Какие суммы могут стать причиной блокировки счета?
— У каждого банка свои критерии и своя аналитика клиентской базы. Если банк знает, что оперирование большими суммами денег для клиента типично, небольшие изменения суммы денежных переводов в ту или иную сторону не вызовут у него подозрений. А если сумма регулярных денежных переводов у клиента, например, была около 5 тыс. рублей, а тут неожиданно с его счета списывается очень крупная сумма денег или счет вообще «зачищается», то это повод для банка связаться с владельцем счета и уточнить, с его ли ведома совершен данный перевод. Подтвердить законность перевода, если вы сами его осуществили, несложно, а вот если деньги списали злоумышленники, будет возможность помешать им и сохранить ваши средства.
— Будет ли по новому закону формироваться некий «черный реестр»? Подобный «черный список» по закону 115-ФЗ ранее вызвал у бизнеса волну негодования.
— Никаких «черных списков клиентов», конечно, не будет. Справедливости ради надо отметить, что их нет и по 115-ФЗ — в рамках противоотмывочного законодательства ведется информационная база о случаях отказа клиентам в обслуживании. При этом внесение в базу информации о случае отказа клиенту в обслуживании не означает и никогда не означало, что ему автоматически должны отказывать другие кредитные организации. А с конца прошлого года, напомню, действует механизм «реабилитации», то есть исключения сведений о клиенте из этой базы, если информация была занесена в нее случайно, из-за технической ошибки и т. д.
По новому законодательству, все банки обязаны заносить данные о несанкционированных денежных операциях, о кибератаках, совершенных в отношении счетов клиентов, и других так называемых инцидентах в единую базу в автоматизированной системе обмена информацией ФинЦЕРТ, к которой теперь подключены все кредитные организации. Раньше банки могли обмениваться такой информацией в добровольном порядке, теперь они обязаны доводить ее до сведения других кредитных организаций и Банка России. Если в базу данных попал какой-то мошеннический адрес или счет, то, сами понимаете, нет необходимости его из этой базы исключать — наоборот, все банки должны знать, что это киберпреступник и необходимо защитить от него счета клиентов.
