Банк России ведет учет новых методов мошенничества в своей сфере, но противодействует им неактивно.
Дивный новый мир заиграл с началом пандемии еще более яркими цифровыми красками. Удаленная работа и удаленные покупки, чипирование и онлайн-обучение…
Однако дистанционка приносит новые возможности и для мошенников…
Поговорим о цифровом мошенничестве в контексте роста хищений денежных средств и ответных мерах мегарегулятора, которые, очевидно, недостаточны.
В «Обзоре операций, совершенных без согласия клиентов» за 2019 год, согласно данным ЦБ, объем указанных в названии операций составил 6,42 млрд рублей, количество таких операций — 576,6 тыс. Учитывая общую статистику операций по переводу денежных средств с использованием электронных средств платежа (ЭСП) физических лиц (40,3 млрд единиц и 71,03 трлн рублей соответственно), за 2019 год удельный объем несанкционированных финансовых операций составил 0,009%, что почти в два раза больше допустимого показателя, установленного ЦБ. При этом Банк России рассматривает всего три типа мошеннических операций: через банкоматы, оплату товаров и услуг в интернете, операции ДБО (дистанционного банковского обслуживания, то есть мобильного банка).
А как же телефонные контактные центры, офисы банка, бесконтактные платежи и так далее? Большинство из моих знакомых получали подозрительные звонки, даже не удивляется никто. Мне тоже звонили. И когда в очередной раз позвонили «от Сбербанка» — тогда еще он назывался банком — я на автопилоте ответил: «Вы же жулики, не звоните мне больше», — хотя на другом конце провода оказался настоящий представитель Сбера…
Сам Банк России регулярно предупреждает о новых видах мошенничества, и один из свежих случаев — новая схема с помощью голосового меню: мошенники звонили в систему IVR (интерактивное голосовое меню), подменяя телефонные номера клиентов, запрашивали у системы сведения по остаткам денежных средств на картах клиентов, вводя для этого последние четыре цифры номеров карт (номера телефонов клиентов и принадлежащих им банковских карт были скомпрометированы и распространялись в интернете). После этого мошенники, используя методы социальной инженерии, звонили своим жертвам, представляясь сотрудниками банка.
Внимание, вопрос: где в статистике эти методы и способы?
И да, выше цифры по 2019 году. В 2020 году, по предварительным данным аналитических центров крупных банков, объемы мошенничества существенно возросли. «Число попыток мошеннических активностей значительно увеличилось в 2020 году, особенно на фоне пандемии. Это объясняется тем, что в условиях массового стресса клиент более уязвим к внушениям», — пояснил директор департамента информационной безопасности Росбанка Михаил Иванов. По данным Сбера, телефонное мошенничество выросло в разы: с начала 2020 года число таких попыток в отношении клиентов банка превысило 2,6 млн. «В среднем в месяц клиентам Сбербанка в 2020 году злоумышленники звонят более 350 тысяч раз, по сравнению с 2019 годом этот показатель вырос на 87%. По нашим оценкам, примерно та же динамика характерна и в отношении клиентов других банков», — рассказали в кредитной организации, также добавив, что отсутствие на государственном уровне системной работы по противодействию дает основания прогнозировать дальнейший рост как телефонного мошенничества, так и мошенничества в электронных каналах.
Возвращаемся к пострадавшим клиентам. Согласно данным ЦБ за 2019 год, банки возместили клиентам 15% от общего объема похищенных средств. Такой низкий показатель объясняется высокой долей социальной инженерии — иными словами, доверчивостью клиентов, которые сами нарушают базовые условия договора с кредитными организациями. Кстати, показательно расхождение ЦБ и Сбера в оценке доли социальной инженерии — по данным ЦБ, она сократилась с 97% в 2018 году до 69% в 2019-м, а по данным Сбера — выросла с 80% в 2018-м до 90% в 2019-м. И здесь Сберу мы верим больше.
Но метод социнженерии в любом случае преобладает, и в связи с этим Банк России очень опрометчиво хочет рассмотреть возможность изменения процедуры возврата (компенсации) похищенных средств клиентов. Но и это палка о двух концах: если банкам сократят критерии отказов, то это негативно отразится на ситуации с мошенничеством уже со стороны клиентов (условная схема «доверчивый пострадавший клиент»).
А что еще делает мегарегулятор, который обладает финансовыми ресурсами и высококлассными ИТ-специалистами, то есть имеет все возможности для противодействия мошенничеству?
Документ «Основные направления развития информационной безопасности кредитно-финансовой сферы на период 2019–2021 годов» регламентирует задачи Банка России в области информационной безопасности и киберустойчивости. Показательно, что эти задачи применительно к физлицам поименованы как «контроль показателей риска», «контроль уровня операций, совершенных без согласия клиентов», «защита прав потребителей финансовых услуг через мониторинг показателей уровня финансовых потерь», «содействие развитию технологий в части контроля показателей риска реализации информационных угроз и обеспечение необходимого уровня информационной безопасности». Сплошная регистрация и мониторинг рисков.
А как же реальная защита? Клиенту что, легче от того, что хищение его денег красиво отражено в графике?
Что мы имеем в итоге?
С одной стороны, проблема на данный момент трудно решаема, пока уровень финансовой грамотности граждан невысок. И биометрия тут не только не спасет, но и добавит рисков — в мире уже зафиксированы хищения денег с помощью подделки биометрии.
С другой стороны, ЦБ в общем выполняет целевые задачи по «контролю, мониторингу и регистрации рисков», то есть выполняет функции регистратора-фиксатора и напоминает банкам о том, что они плохо борются с мошенничеством и допускают утечки.
Задача финансового просвещения граждан заявлена в перечне деятельности ЦБ. Но что делается реально в этом направлении? Проводятся уроки в школах и олимпиады среди школьников. Тратятся большие средства на создание департаментов и ЦОДов (центров обработки данных), набирается приличный штат сотрудников.
При этом меры ЦБ для минимизации риска проведения операций без согласия клиентов, поименованные в одноименном обзоре, носят слишком размытый характер, чтобы делать выводы об их практической пользе.
Резюмирую: большинство мероприятий ЦБ в области повышения стабильности финансового рынка в России, системного развития цифровизации и обеспечения доступности финансовых услуг в цифровых каналах можно поддержать. Но, конечно, хотелось бы увидеть более конкретные шаги в части борьбы с новыми методами мошенничества. Эти новинки мошенников должны быть правильно отражены в соответствующих отчетных метриках, и по отношению к ним следует выработать понятные и практичные программы по противодействию, включающие не только «усиление ответственности» банков, но и самостоятельные программы повышения финансовой грамотности россиян и публичные кампании, освещающие конкретные новые виды мошенничества и способы борьбы с ним. В этой части хотелось бы видеть большую активность и ответственность ЦБ.
Вячеслав Семенихин