Минцифры направило в Госдуму новый антимошеннический законопроект, где прописаны условия, при которых обманутый мошенниками клиент сможет получить компенсацию либо от банка, либо от сотового оператора. Каковы детали?
Минцифры предлагает механизм возврата денег пострадавшим от мошенников. Это следует из нового антимошеннического законопроекта, его Минцифры направило главе комитета Госдумы по информполитике Сергею Боярскому, передает Forbes.
Если оператор или банк не смогли предотвратить подозрительную операцию, то они возместят средства. Если будет доказано, что кража произошла после звонка или СМС, а оператор нарушил требования по борьбе с мошенничеством, то деньги вернет оператор. Средства будут возмещены, если клиент обратился за возмещением не позднее десяти рабочих дней после перевода и если возбуждено уголовное дело. Банк вернет деньги, если операция была подозрительной, но средства все же были переведены. Также банк получит право отказывать в операциях, если будут признаки, что на устройстве клиента работает вредоносное ПО. Перевод в таком случае нужно будет подтверждать лично. В «Мегафоне» Forbes заявили, что обязательства по компенсации должны быть дифференцированы между банками и операторами, и отметили, что конкретные критерии еще не утверждены.
Комментирует начальник аналитического отдела инвесткомпании «Риком-Траст» кандидат экономических наук Олег Абелев:
Олег Абелев начальник аналитического отдела инвесткомпании «Риком-Траст», кандидат экономических наук «Насколько вырастет нагрузка на банки? Она значительная, но не катастрофическая. Раньше банки формально могли вернуть деньги только при явном нарушении закона с их стороны. А теперь они становятся гарантами возврата для добросовестной жертвы мошенников. Понятно, что это вынудит банки внедрять, усиливать антифрод-системы, создавать резервы под возможные выплаты и строить процессы взаимодействия с полицией, операторами связи. По сути, нагрузка превращается из операционной, когда банки отслеживали транзакцию, в финансовую, то есть платить из своего кармана. И те банки, у которых менее совершенная защита, будут страдать. Как банк поймет, что вредоносное ПО воздействует на клиента? Технически непросто, но возможно. Банк экран смартфона клиента не видит, но может анализировать поведенческие технические аномалии. Например, программа-шпион может мошенникам идеально помогать имитировать движения жертвы. Банк видит, что сессия ведется с правильного устройства и версии операционной системы, но время реакции, клики, особенно скорость ввода пароля, не похожи на традиционные, вставка, например, пароля из буфера обмена — на такие вещи. Второй признак — это подмена номера телефона. Когда жертва звонит в банк, программное обеспечение вредоносное на телефоне может скрыть настоящий вызов и показать поддельный экран с консультантом. Банк со своей стороны видит, что попытка звонка от клиента была мгновенно прервана или перенаправлена. Третий вариант — это когда скрытно перехватывают СМС и пуш-уведомления. Антифрод-система банка может фиксировать, что запрос на подтверждение операции отправлен, но подтверждение пришло не от физического клиента, а от какого-то скомпрометированного устройства. По поводу того, кто будет возмещать. Сценарий первый, как ЦБ предполагает, если клиент соблюдает все правила, не переходит по ссылке, не называет коды, но деньги из-за технического сбоя украли, то виновник возмещает. Ну, если клиент сам перевел деньги мошенникам под влиянием звонка, то банк может не платить, но обязан проверить. Второй вариант: если будут приняты эти поправки, в большинстве случаев обязан платить банк, потому что именно на нем лежит обязанность распознать аномалию. Оператор будет платить только в явных случаях своей вины. Например, мошенники через подставную сим-карту или подмену номера организовали переадресацию СМС на свой номер. Вариант может быть еще один: что жертве возместит деньги тот, кто быстрее заплатит. Это может быть банк, или у него больше ресурсов просто, а банк в рамках судопроизводства подает регрессный иск к оператору или к мошеннику, если того поймают».
Также в рамках нового пакета по борьбе с мошенничеством предлагается создать Единую систему учета платежных карт. В нее банки должны передавать данные о номерах и видах карт физлиц, включая информацию о прекративших действие картах, а также ИНН клиентов. А хостинг-провайдерам будет запрещено предоставлять свои мощности владельцам сетей и ресурсов, которые обеспечивают доступ к информации, запрещенной российским законодательством.
Однако отмечается, что нет ранее обсуждаемой меры по созданию базы IMEI абонентских устройств. А для того, чтобы оператор возместил украденные средства, в базе данных о несанкционированных переводах не должно быть информации о подобных попытках в отношении жертвы. О чем здесь идет речь? Рассуждает аналитик ICT-Online.ru Андрей Блинов:
Андрей Блинов аналитик ICT-Online.ru «Насколько я понимаю, имеются в виду все карты физлиц, которых банк подозревает в неких противоправных операциях. Это то же самое, как банки сейчас блокируют карты физлиц, подозревая их, допустим, в незаконном получении доходов — без уплаты налогов и так далее. И дропперство сюда же входит, но не только. Если бы карта гражданина попала в этот перечень карт, с которыми потенциально могли совершать мошеннические действия, в том числе и дропперство — я думаю, речь об этом. То есть это может послужить причиной, чтобы человеку не возмещать. Здесь очень большой перечень. Я думаю, что все эти условия соблюсти будет достаточно сложно. Должны быть явные признаки мошенничества, которые подходят под все эти пункты. Наверное, таким образом государство защищает и банки, и операторов от мошенничества по поводу получения возвратов денег, потому что можно имитировать воровство средств с карты».
В Минцифры Forbes сообщили, что на данный момент поправки согласовываются с заинтересованными ведомствами. Финальной версии документа нет. Предполагается, что основные поправки вступят в силу с 1 марта следующего года.