Закон, обязующий банки возвращать деньги, которые переводятся на счета мошенников, может глобально изменить ситуацию на рынке быстрых переводов. Как минимум такие переводы могут стать не столь быстрыми.
Технически закон вступит в силу только через год после подписания президентом РФ и официального опубликования, то есть 25 июля 2024 года. Формально документ оформлен в виде поправок к принятому ещё в 2011 году закону "О национальной платёжной системе" и направлен на ещё большую защиту рядового клиента банка. Но с оговорками.
Объявить сбор денег
Прежде всего законодатель ввёл норму: банк обязан вернуть клиенту все списанные со счёта деньги в течение 30 дней. Каким образом были похищены деньги — путём оплаты фиктивной услуги банковской картой, транзакции по системе быстрых платежей или традиционного перевода, уже не важно.
Требование о компенсациях в прежнем законе уже существовало и касалось банковских карт. Но банки его легко обходили. Тот, кто хотя бы раз сталкивался с мошенническими списаниями со своей банковской карты, знает, как трудно (чаще всего — невозможно) доказать банку, что это был несанкционированный доступ к деньгам. Сперва нужна была справка из МВД о возбуждении уголовного дела, затем — хождение по кабинетам и длительная переписка с банком. Как правило, все эти мытарства сводились к скупому ответу банка: информация не подтверждается. Клиент сам ввёл ПИН–код или скомпрометировал данные карты и должен нести ответственность самостоятельно.
Теперь же в законе появляется новая оговорка в виде "без согласия или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием". В основном речь идёт о пресловутых звонках "майоров полиции", "сотрудников службы безопасности" конкретной кредитной организации или даже самого "Центрального банка". Но и здесь есть оговорка: банк обязан вернуть деньги, если он допустил перевод на счёт, информация о котором с пометкой "мошеннический" есть в базе ЦБ РФ.
Базы таких счетов в открытом доступе не существует, но доступ к ней есть у любого банка или оператора денежных переводов. Предполагается, что клиент, начиная осуществлять перевод денег на уже скомпрометированный счёт, окажется под защитой своего банка: тот, проверив данные по специальной базе, приостановит операцию до выяснения всех обстоятельств. Вернее, до получения от клиента подтверждения, что он осознанно, находясь в здравом уме и твёрдой памяти, участвует в тайной операции по выявлению банкиров–мошенников или переводит все свои сбережения на "защищённый счёт" неизвестному физлицу, который ему указали сотрудники "службы безопасности". Если же окажется, что его ввели в заблуждение — то деньги будут спасены. Но как технически будет осуществляться проверка при переводах, например через СБП, для которой важна моментальность совершения операции, в поправках не оговорено.
Сейчас впервые в публичную плоскость оказалось выведено и само понятие "мошеннический счёт". ЦБ подтвердил, что существует база таких сведений, все кредитные организации и участники денежных переводов обмениваются внутри неё информацией и, в теории, могут блокировать перечисление на эти счета денег своих клиентов и без требований закона. Собственно, они же её и пополняют. Банки обязаны сообщать регулятору сведения об обращениях клиентов, которые утверждают, что та или иная операция совершена без их согласия. Таким образом, в базу передаются данные о счёте получателя, его персональные и контактные данные, сведения о банке и так далее.
Иные критерии включения в базу данных регулятора, отличные от заявлений клиентов, достаточно размыты: несоответствие характера, параметров и объёма проводимой операции операциям, обычно совершаемым клиентом. И речь не только о списаниях, но и о зачислениях денег.
Таким образом, через год может возникнуть массовая ситуация, когда в списке "ненадёжных" могут оказаться люди, которые оказывают типовые услуги или получают плату за товары. Например, уличные музыканты или курьеры. Проблема может оказаться глобальнее: не скомпрометирует ли глава родительского комитета счёт своей банковской карты, на которую он проводит сбор денег от родителей на экскурсию или мытьё окон? Или те, кто занимается волонтёрством, собирая на нужды патронируемых ими заведений или людей деньги? В отдельной зоне риска современные деятели в интернете, которые живут на "донаты" — пишут тексты или снимают видео и просят денег на развитие канала. Даже любой сбор на подарок коллеге может оказаться последним для того, кто его инициировал.
Банк, увидев систематическое или эпизодическое нетипичное для клиента пополнение счёта посредством множества разных физлиц, может пометить его как "сомнительный". Последствия уже перечислены: после попадания в базу ЦБ РФ ни с него, ни на него перевести деньги станет невозможно. Хотя владелец был и остаётся добропорядочным гражданином.
Мошенники записаны
Ещё одной новацией в законе стала обязанность банков отключать клиентов от дистанционных каналов обслуживания (интернет–банк или мобильные приложения на смартфонах). Раньше такой метод был добровольным и применялся на усмотрение самой кредитной организации. Проблема решалась посещением ближайшего отделения с документами, которые обосновывали бы легальность операций. Тренд перевода всех операций в дистанционный режим (известно, что в стране есть даже банки без отделений) в будущем сильно усложнит жизнь клиентам из–за невозможности быстрых подобных проверок.
Банки–отправители и банки — получатели денег также наделили правом приостанавливать зачисление средств на срок до 2 суток. Этого времени, по мнению законодателя, должно хватить, чтобы связаться с клиентом и затребовать подтверждение, что списание произведено с его ведома.
Как тут не вспомнить постоянную проблему банковского обслуживания, с которой физлица сталкиваются после 16:00 московского времени 31 декабря, когда страна начинает отдыхать вплоть до 9 или 10 января. Это невозможность и внести платёж по кредиту через другой банк, и оплатить квитанцию с зачислением денег не в первый рабочий день. Или другие национальные праздники, которые могут длиться дольше 2 суток. То есть заведомо в закон попал срок, который совершенно однозначно может нарушаться. Тем более что и чиновники, и регулятор, и сами банки давно учат своих клиентов: банки сами никому не звонят!
Вероятно, обязанность доказательств в данном случае будет перенесена на получателя денег: ему самому придётся убеждать оператора или кредитную организацию, что он не мошенник и с нетерпением ждёт денег за оказанные услуги.
Само понятие "период охлаждения", как уже окрестили данный срок в 2 дня, у ряда обывателей вызвало вопросы. Последние пару десятилетий ЦБ РФ работал исключительно на ускорение проведения операций (так, сравнительно недавно регулятор заставил банки зачислять деньги на счета до конца рабочего дня, если они были отправлены из того же региона, тогда как прежде они могли "гулять" между банком–отправителем и получателем по несколько суток).
Теперь же возникает ситуация, что любой платёж, который по каким–то внутренним причинам покажется банку странным и подозрительным, может быть задержан на 2 дня. И если операторы и кредитные организации начнут пользоваться данным правом чуть более активнее, платежи и переводы могут остановиться. Что уже приведёт к издержкам и потерям у клиентов–физлиц.
С другой стороны, с задержками могут столкнуться клиенты средних и мелких банков. Вероятно, именно таким и дали год, отложив немедленное вступление закона в силу. Им придётся обновлять программное обеспечение, обучать персонал.
У крупных банков всё работает автоматически. У автора данного материала был личный пример, когда возникла потребность срочно оплатить услугу одного юридического лица. Денег не хватало, и пришлось оформлять потребительский кредит. После зачисления кредитных средств на счёт была совершена попытка их перевода по реквизитам компании. И банк моментально заблокировал платёж, прислав сообщение, что необходимо в течение нескольких минут связаться с контактным центром. В противном случае любые платежи в пользу данного юридического лица впредь могут оказаться невозможными. Но данная блокировка не исключает ситуацию, когда плательщик на следующий же день может заявить, что согласился перевести деньги, так как находился под влиянием обмана. И банк тогда, следуя логике, был бы обязан возместить 100% денег. Но, к сожалению, всё не так — для возврата должно быть соблюдено важное требование: банк знает, что счёт получателя находится в базе ЦБ РФ как мошеннический. И всё равно осуществляет на него перевод.
Клиент заплатит
Пострадать от действий финансовых мошенников может любой человек, независимо от его возраста и статуса. Тем не менее опрос Банка России позволил сформировать среднестатистический портрет клиента банка, наиболее уязвимого для обмана: это мужчина со средним уровнем дохода и образованием в возрасте от 25 до 44 лет, который проживает в городе. Активно пользуется банковскими онлайн–сервисами.
Масштабы мошенничества со счетами физлиц колоссальны. Впрочем, по официальным данным ЦБ РФ за 2022 год, доля объёма операций без согласия клиентов в общем объёме по переводу денежных средств составила 0,00097% (в 2021 году — 0,00130%). Но в абсолютном выражении выплывают совсем другие цифры: 14,2 млрд рублей против 13,6 млрд за 2021 год. Банки за минувший год вернули лишь 618,4 млн рублей, или 4,4% (в 2021 году показатель составил 6,8%, или 920,5 млн рублей).
С платёжными картами зафиксировано 129,08 тыс. случаев переводов без согласия их владельцев, проведённых в банкомате или терминале, на 1,57 млрд рублей, из которых 24% произошло в результате использования злоумышленниками приёмов и методов социальной инженерии. В интернете при оплате товаров и услуг физические лица сообщили о 515,9 тыс. операциях, совершённых без их согласия, на 2,55 млрд. Основная доля мошенничества в денежном выражении совершена через дистанционные каналы обслуживания: с помощью 226 тыс. операций было похищено 9,2 млрд рублей.
Вероятно, ЦБ РФ устал заниматься несвойственной ему функцией: выявлять недобросовестных клиентов, заставлять блокировать проведение операций и затем — добиваться наказания как мошенников, так и операторов денежных переводов. И вместо того чтобы инициировать ужесточение УК РФ, были разработаны поправки в закон о национальной платёжной системе. Которые перекладывают всю ответственность за мошенничество на самих участников рынка денежных переводов. "Антифрод–системы банков сегодня предотвращают большой объём хищений денег у клиентов, тем не менее количество пострадавших остаётся значительным. Новый комплексный подход повысит финансовую ответственность банков и усилит защиту людей от кибермошенников", — сообщал Вадим Уваров, директор департамента информационной безопасности Банка России.
Между строк поправок есть ещё один нюанс: теперь информацию о так называемых дропперах банки будут получать от МВД, а не от своего регулятора. Дропперами принято называть людей, которые активно вовлечены в мошеннические схемы. Именно на их счета поступают похищенные средства, которые они затем или переводят дальше по цепочке, или обналичивают в банкоматах. И именно они попадают в базу ЦБ РФ. Но уже после того, как мошенничество стало явным.
Привлечь дропперов к ответственности, чтобы потом взыскать с них в полном объёме похищенное, удаётся не всегда. Как правило, это категории граждан, к которым сложнее применить УК РФ, в лучшем случае — лишь условное наказание. К примеру, в Краснодарском крае недавно среди дропперов было выявлено превалирующее большинство многодетных матерей. Те, кто их "нанимает", да и они сами, прекрасно осознают, что вряд ли суд отправит в тюрьму мать трёх–четырёх детей, оставив несовершеннолетних на попечении государства. Также среди "помощников" замечены люди с алкогольной и наркотической зависимостями, граждане из стран ближнего зарубежья и так далее.
В любом случае по совокупности вменённых банкам обязанностей и в контексте, что теперь им предстоит компенсировать 100% похищенных денежных средств по первому требованию, риски того, что рынок платежей и переводов уже через год столкнётся с определёнными трудностями, заметно выросли. Могут начаться задержки в переводах. И неизбежно для каждого из клиентов возрастёт их стоимость. Впрочем, сами банкиры осторожны в оценках: по их словам, они сами настаивали на данных поправках в закон, так как уже давно банковская система живёт по строгим правилам и активно борется с мошенничеством. И любая мера, пусть и с запозданием, своевременна.
“
ЦБ РФ широко и открыто обсуждал планируемые изменения с участием кредитных организаций. Росбанк был одним из участников рабочей группы. Банки будут обязаны возместить деньги в течение 30 дней после получения заявления от пострадавшего клиента, если допустят перевод денег на счёт мошенника, который находится в специальной базе ЦБ РФ. Также предусматривается внедрение двухдневного периода охлаждения, в течение которого банк не будет переводить деньги на подозрительный счёт. Это даст время и возможность клиенту, находящемуся под влиянием мошенника, одуматься и аннулировать перевод.
Михаил Иванов
директор департамента информационной безопасности Росбанка
“
Банки работают по предлагаемым нововведениям с 2017 года. Они подключены к системе обмена информации о платежах, могут сообщать о подозрительных клиентах, проводить возврат средств с проведённого платежа и т. д. Ничего в целом нового в глобальном смысле. В контексте данного закона не существует определения "подозрительный счёт". Упор делается на "признаки переводов денежных средств без согласия клиентов". И вот как раз в признаки могут попадать счета, номера карт, телефоны, паспорта, электронные кошельки лиц, которые в указанной деятельности подозреваются или уже пойманы. На мой взгляд, главный принцип, на который опираются большинство банков, — это ЗСК (Знай Своего Клиента). Он основывается на том, что собой представляет клиент, проходит или нет по спискам налогонеплательщиков, имеет судимости за экономические преступления и пр. Исходя из этого и принимается решение: является клиент желательным или нет.
Александр Петровский
заместитель начальника управления информационной безопасности ББР Банка
