С 26 сентября вступили в силу поправки к закону «О национальной платежной системе» (об НПС). Они закрепили за банком право приостановить на срок до двух рабочих дней денежный перевод и использование электронных средств платежа, если кредитная организация заподозрит, что деньги со счета клиента были похищены. Одни эксперты считают, что новелла не повлияет на работу банков и не скажется негативно на обслуживании клиентов. Другие говорят, что физическим лицам это грозит ложными срабатываниями систем безопасности. К тому же поправки в закон создали новые лазейки для киберпреступников, убеждены эксперты.
По информации ЦБ РФ, только в 2016 году в России было совершено около 300 тыс. нелегальных операций с применением платежных карт, эмитированных российскими банками
Фото: Олег Харсеев, Коммерсантъ
Как работает закон
Поправки в закон об НПС были приняты в рамках борьбы с киберпреступностью с целью снизить риски несанкционированных операций с банковскими картами. По информации ЦБ РФ, только в 2016 году в России было совершено около 300 тыс. нелегальных операций с применением платежных карт, эмитированных российскими банками. Преступники пытались вывести с карт физических лиц свыше 1 млрд руб. Еще 1,89 млрд руб. они пытались похитить со счетов юридических лиц, и половина этой суммы была выведена.
В связи с этим государство законодательно разрешило банкам временно блокировать сомнительные операции по картам или блокировать карты на срок до двух рабочих дней. Перечень признаков сомнительных транзакций без согласия клиента должен установить и опубликовать на своем официальном сайте Банк России. Пока он не опубликован, но эксперты уже определили критерии, по которым банки выявляют сомнительные транзакции.
Так, по словам советника председателя правления ассоциации «Финансовые инновации» Мурада Салихова, кредитные организации могут блокировать транзакции по картам своих клиентов, если информация о получателе уже содержится в базе ЦБ в связи с попытками хищения денег.
«Также переводы будут блокироваться, если обнаружится совпадение информации о параметрах устройства, с которого был проведен платеж, с параметрами устройства, которое уже находится в той же базе ЦБ.
Еще одной причиной, по которой банки будут блокировать карты на срок до двух суток, будет несоответствие проведенной операции обычному поведению клиента. Регулятор предлагает банкам учитывать периодичность таких платежей, их сумму, место осуществления операции», — отмечает эксперт.
Как вернуть деньги при блокировке
Аналитик ГК «Финам» Алексей Коренев говорит, что с учетом того, что перечень основных признаков совершения перевода денежных средств без согласия плательщика не является универсальным, законом предусматривается право кредитных организаций в зависимости от их деятельности устанавливать дополнительные критерии выявления признаков сомнительных транзакций. При этом свой список признаков сомнительных транзакций банки будут устанавливать по согласованию с ЦБ РФ.
Если банк заподозрит хищение средств со счета клиента, он должен для получения согласия немедленно связаться с физическим лицом по телефону или электронной почте, а с юридическим лицом — в соответствии с условиями договора. После получения согласия операция проводится незамедлительно, при неполучении — спустя два рабочих дня.
Также, по словам Алексея Коренева, по закону, юридические лица, столкнувшиеся со списанием средств со счетов без их согласия, имеют право на возврат банком денег, если они сообщили об этом в кредитную организацию.
«В такой ситуации возврат денег возможен при соблюдении двух условий: средства еще не зачислены на банковский счет получателя или клиент не представил документы, подтверждающие обоснованность получения денежных средств, например, копии договоров, накладные, счета-фактуры, акты и другие необходимые документы», — поясняет эксперт.
Аналитик добавляет, что клиент, если его транзакция была заблокирована, имеет возможность немедленно обратиться в банк за разъяснениями. По факту разбирательства и устранения причин блокировки будет принято решение, и операция будет проведена либо карту разблокируют.
Банки все предусмотрели
Эксперты отмечают, что многие банки стали проверять действия своих клиентов на предмет их возможного несоответствия действующему законодательству задолго до вступления в силу поправок в закон об НПС.
«Это касается в первую очередь крупных кредитных организаций, где подобные механизмы уже давно отработаны и успешно функционируют. Таким банкам останется лишь привести действующие у них нормы и механизмы в соответствие с теми, что будут озвучены Банком России. Но каким-то кредитным учреждениям, возможно, придется заниматься этим «с нуля». Вопрос, сколько для этого потребуется времени, зависит исключительно от возможностей и масштабов самого банка. Речь, вероятно, будет идти о нескольких неделях, максимум — месяцев», — рассуждает аналитик ГК «Финам».
Представители большинства крупных банков сообщают, что готовы к законодательным нововведениям и проведение дополнительных мероприятий для приведения своей работы в соответствие с законом об НПС им не требуется. Проверка действий клиентов со счетами проводится во многих кредитных организациях уже давно.
«Мониторинг сомнительных операций в Райффайзенбанке начал действовать еще до вступления закона в силу. Поэтому необходимости в проведении дополнительных мероприятий у нас нет. В этом вопросе Райффайзенбанк всегда придерживается требований, установленных регулятором», — комментирует директор сети операционных офисов Райффайзенбанка по Самарской области Елена Попова.
Дивизиональный директор по розничному бизнесу Альфа-Банка Анастасия Халили рассказывает, что в кредитной организации давно отлажен процесс мониторинга операций клиентов.
«Хотя общий для всех перечень критериев сомнительных переводов разрабатывает Центробанк, у многих банков, в том числе у „Альфы“, в процессе мониторинга для выявления операций, совершенных без согласия клиентов, анализируется во много раз большее количество критериев», — рассказывает собеседница издания.
Чтобы помочь клиенту избежать столкновения с кибермошенниками, Альфа-Банк проводит семинары по финансовой грамотности, а также регулярно информирует владельцев счетов о базовых принципах финансовой безопасности.
«Мы объясняем, что важно помнить, что ни один банк никогда не просит клиента называть PIN-код, cvc-код или пароль из телефонных уведомлений. Еще мы обращаем внимание клиентов на то, что банк по закону обязан блокировать транзакцию не больше чем на два рабочих дня. Поэтому клиент должен оперативно связаться с нами, если не совершал операцию. Способ связи — это звонок в колл-центр „Альфы“. В свою очередь, если у банка возникают сомнения по поводу операции, то клиенту поступает звонок, если дозвониться до клиента не удается, то после блокировки карты мы направляем ему SMS и e-mail. Сейчас прорабатываем вопрос о добавлении push-уведомлений», — говорит Анастасия Халили.
В ВТБ также готовы к поправкам в закон об НПС.
«Вводимые изменения не окажут существенных изменений на актуальные процессы работы банка. Сейчас для выявления подозрительных операций ВТБ использует круглосуточный мониторинг платежей», — сообщает пресс-служба кредитной организации.
Сбербанк применяет систему фрод-мониторинга.
«Наша система основана на искусственном интеллекте. Она отслеживает подозрительные операции в режиме онлайн и блокирует их по мере необходимости. Мы пресекаем хищение в 97% случаев», — рассказали в банке.
Ущерб клиентов минимален
Представители кредитных организаций сходятся во мнении, что поправки в закон о Национальной платежной системе не создадут помех для обслуживания клиентов. С ними согласен и аналитик ГК «Финам» Алексей Коренев.
«Мы не видим повода для беспокойств. Добросовестным клиентам опасаться нечего. И нет оснований считать, что блокировки транзакций будут использоваться чаще. По крайней мере, это не столь уж большая плата за существенное снижение рисков как для банков, так и для клиентов», — считает эксперт.
В любом случае, добросовестному клиенту, который столкнулся с блокировкой карты или операции по ней, не стоит паниковать. Ему следует дождаться звонка из банка и действовать в соответствии с описанным выше порядком. Так или иначе, добросовестный отправитель платежа обязательно будет оспаривать действия кредитного учреждения в случае блокировки операции или карты. А вот мошенники разбираться с проблемой точно не станут и предпочтут скрыться.
«Чтобы держатель карты не столкнулся с блокировкой транзакции, ему необходимо сообщить своему банку о выезде за рубеж и сроке пребывания там. Кроме того, ему следует передать в кредитную организацию сведения о местонахождении в другой стране и контакты для экстренной связи. Необходимо иметь в путешествии карту другого банка, а также наличные деньги, не отключать номер телефона, к которому привязана банковская карта даже в случае использования местного оператора. Также надо пользоваться картой для оплаты товаров и услуг только в надежных магазинах и онлайн-сервисах», — советует Мурад Салихов.
Ждите шквала блокировок
Однако партнер юридической фирмы «Рустам Курмаев и партнеры» Дмитрий Клеточкин считает, что блокировка все же создаст неудобства для держателей карт.
«На банки возлагается обязанность (а не право) по выявлению и блокированию подозрительных операций. Таким образом, при обнаружении малейших признаков мошенничества эмитенту гораздо проще и выгоднее с точки зрения нивелирования рисков для себя сначала блокировать операции и карты, а уже затем разбираться в ситуации. Скорее всего, в ближайшее время клиенты — физические лица при осуществлении операций столкнутся с большим количеством ложных срабатываний систем безопасности», — прогнозирует аналитик.
По его словам, в случае с юридическими лицами, у которых заблокировали карты, одного лишь звонка оператора для разблокировки будет недостаточно, так как кредитная организация может запросить документы, подтверждающие правомерность получения средств от контрагента.
«По факту на банк возлагается некий суррогат судебной функции, поскольку он обязан определять, являются ли они (документы) достаточными для совершения транзакции. И тут все будет зависеть от квалификации сотрудников банка, а это создает для бизнеса высокие риски», — резюмирует специалист.
Мошенники не дремлют
Дмитрий Клеточкин говорит, что, несмотря на разумность законодательной инициативы и цель защитить клиентов банков от действий мошенников, угроза киберпреступлений в отношении держателей карт все же сохранится. «То, что ЦБ публикует критерии определения подозрительных операций, формирует риски того, что мошенники научатся совершать противозаконные действия таким образом, чтобы не вызывать подозрений у банков, тем более что со стороны кредитных организаций контроль за редкими исключениями в основном осуществляется автоматически, без привлечения сотрудников банков», — рассуждает эксперт.
Кибермошенники попытались адаптироваться к новой ситуации еще до вступления в силу закона о национальной платежной системе. В частности, «Российская газета» сообщила о том, что преступники стали использовать поправки в закон для запугивания клиентов банков и вымогательства денег в Самарской, Смоленской, Волгоградской областях, Красноярском крае, а также в республиках Мордовия и Карелия.
«Злоумышленники рассылают на номера держателей банковских карт сообщения с информацией об их блокировке, спекулируя на теме повышенного внимания банков к операциям и переводам по картам», — пишет издание.
Сведений о счете в подобных сообщениях нет, а в качестве их автора называется ЦБ РФ с указанием контактного телефона для справки. По сути мошенники имитируют деятельность банка, но фактически заблокировать операции клиента с банковской картой или саму карту они не могут.
Их задача — получить информацию о счете, поэтому они стараются под видом сотрудников кредитной организации связаться с владельцем карты и узнать ее номер, ПИН-код и CVV-код. В некоторых случаях этого не требуется: клиенту банка достаточно позвонить по указанному в сообщении мошенников номеру или перейти по присланной ими ссылке, и преступники получают доступ к счету держателя карты.
Ряд клиентов банков уже пострадал от киберпреступников, работавших по этой схеме. То же издание сообщает, что в Смоленске мужчина получил SMS-сообщение о блокировке карты с телефоном службы поддержки «банка», дозвонился до преступника, которому продиктовал всю информацию по карте и лишился 160 тыс. руб. Аналогичным способом жительница Волгограда потеряла 46 тыс. руб. Такие же сообщения получают и жители Самары.
Эксперты советуют держателям карт проявлять бдительность и при получении подобных SMS не связываться по указанному в них телефону и не переходить по ссылкам, а звонить напрямую в колл-центр своего банка (он указан на оборотной стороне карты) и расспрашивать сотрудников кредитной организации о причинах и сроках блокировки. Указание ЦБ РФ в подобных сообщениях должно насторожить, потому что Центробанк сотрудничает с подведомственными ему кредитными организациями и властями, а не с физическими и юридическими лицами и не занимается блокировками карт.