Фрод разложили по весам
НСПК установит пороговые значения мошеннических операций для банков
В этом году Национальная система платежных карт (НСПК) планирует ввести ряд новых требований к банкам в рамках борьбы с мошенничеством. В частности, предполагается ввести три порога мошеннических операций в месяц, при несоблюдении которых для банка наступают штрафные санкции, а сам он попадает под пристальный контроль НСПК. Как отмечают эксперты, действующий лимит выглядит слишком усредненным и не затрагивает ни самых крупных, ни самых мелких игроков.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
В конце прошлой недели на форуме «Антифродум-2026» НСПК анонсировала ряд новых мер по борьбе с мошенничеством, которые начнут действовать уже в этом году. В частности, планируется изменить порог общего объема мошенничества в банке, после которого начинаются штрафные санкции, а банк попадает в специальную программу НСПК по мониторингу фрода.
Предполагается ввести несколько пороговых уровней фродовых операций — сейчас действует базовый порог, после которого наступают санкции: сумма мошеннических операций достигает 1 млн руб. в месяц и составляет 0,05% от общего оборота по картам банка. Второй порог предлагается установить на уровне свыше 10 млн руб. и 0,02% мошеннических операций, а третий порог — свыше 50 млн руб. и 0,01% аналогичных операций.
«При превышении любого из установленных порогов участник попадает под контроль НСПК, аналогичные критерии контроля планируется ввести в СБП»,— рассказали “Ъ” в НСПК.
Действующий сегодня стандарт безопасности по картам «Мир», установивший для банков предельно допустимые значения неправомерных операций без согласия клиента, был введен в ноябре 2020 года (см. “Ъ” от 2 ноября 2020 года). Тогда период нахождения банка в программе НСПК был установлен длиной в полгода, а для выхода из него банк должен был выполнять норматив на протяжении трех месяцев подряд. Позже срок нахождения в программе сократили до пяти месяцев, а время последовательного соблюдения норматива — до двух месяцев.
Независимый эксперт Максим Митусов отмечает, что действующий порог выглядит формальным, поскольку должен применяться как системно значимыми банками, так и банками из третьей сотни, хотя объемы обрабатываемых трансакций различаются между собой на несколько порядков. «Введение трех уровней позволяет очень четко развести все банки в три разные "весовых категории" и работать с ними несколько по-разному»,— говорит он. Председатель комиссии по финансовой безопасности Совета ТПП России Тимур Аитов считает, что тем самым НСПК переходит к риск-ориентированному регулированию — понижение допустимой доли до 0,02% и 0,01% на верхних уровнях компенсирует дисбаланс.
Как пояснили “Ъ” в НСПК, в рамках контроля уровня мошенничества в платежной системе «Мир» есть сразу несколько показателей, в частности уровень мошенничества от общего объема операций банков.
«В части общего уровня мошенничества НСПК оценивает долю фродовых операций в обороте банка, и, если банк достигает контрольных границ и в течение следующих двух месяцев банк не приводит показатели в соответствие установленным требованиям, за каждое дальнейшее нарушение стандартов применяются штрафные меры»,— пояснили в НСПК. При этом там отметили, что размер штрафов поэтапно увеличивался в течение последних нескольких лет.
Андрей Выборнов, замдиректора департамента информационной безопасности ЦБ, 9 апреля:
«Возможно, объемы мошенничества снижаются не так быстро, как хотелось бы».
Несмотря на то что изменения выглядят разумными, они потребуют инвестиций от банков. По словам Тимура Аитова, многим банкам придется не просто изменить внутренние правила, а провести апгрейд антифрод-инфраструктуры: ML-скоринг в реальном времени, поведенческая биометрия, 3D Secure 2.x, контекстные пуш-подтверждения, механизмы задержки подозрительных платежей. «Сильнее всего это заденет крупные розничные и цифровые банки с высокой долей ДБО, переводов по СБП, QR-платежей, онлайн-эквайринга, а также финтех- и необанки, где риск компрометации аккаунтов выше из-за упрощенного онбординга»,— говорит господин Аитов. Вместе с тем, по его словам, банк может давать низкий фрод через избыточные блокировки, более эффективный подход к мониторингу — по ложным срабатываниям, времени реакции на инцидент и скорости возврата средств. Глава правления ассоциации «Финансовые инновации» Роман Прохоров обращает внимание, что эффективность новых мер НСПК по борьбе с фродом следует оценивать с учетом того, что основным способом совершения мошеннических операций была и остается социальная инженерия. По его мнению, кредитные организации, НСПК, ЦБ, правоохранители пока не могут найти эффективных мер противодействия ей. «В этих условиях НСПК может продолжать творчески совершенствовать пороги контроля фрод-операций банков, но реальная эффективность таких мероприятий, к сожалению, не очевидна»,— говорит Роман Прохоров.