Банки заплатят за мошенников

Новая обязанность банкиров только в перспективе приведет к справедливому и быстрому возмещению украденных с карты клиента денег, но сначала станет испытанием на порядочность для обеих сторон.




С 1 января вступит в силу закон «О национальной платежной системе», поправки к которому Госдума утвердила вчера в третьем чтении. Банкиры не в полной мере довольны им, поскольку законодатели не захотели смягчать одну из важных для финансистов новелл – об обязательном возврате клиенту средств, похищенных с банковской карты. По замыслу законодателя, это защитит клиентов от безалаберного отношения банков к обеспечению безопасности. По мнению банкиров, это увеличит на них финансовую и административную нагрузку и вызовет у клиентов соблазн получать назад уже снятые ими деньги.
Свобода интернет-торговле
Принятые поправки касаются в основном увеличения со 100 до 600 тыс. рублей лимита по персонифицированным электронным средствам платежа в случае проведения идентификации клиента. Это не касается тех электронных «кошельков» в интернете, которые сейчас может завести любой, не называя своих личных данных и пополнить счет с помощью платежного терминала. Операции по таким «кошелькам» имеют лимит в 100 тыс. рублей. Другое дело – «кошельки», пополняемые с помощью банковских карт, владельцы которых известны. Ранее и они не могли провести единовременный платеж в интернете более чем на 100 тыс. рублей, что многим создавало трудности, например, при оплате авиабилетов для всей семьи. Теперь же владельцы карт могут делать покупки в интернете до 600 тыс. рублей единовременно. Для этого в закон понадобилось лишь ввести понятие «предоплаченная банковская карта» – это «платежная карта, которая предоставляется клиенту оператором электронных денежных средств и используется для перевода электронных денег и других операций». То есть речь идет об обычной пластиковой карте – зарплатной, кредитной – не суть важно.
Как посчитать
Впрочем, эта новелла устраивает всех – и участников интернет-торговли, и банкиров, а теперь и государство, которое ранее опасалось отмывания денег в больших размерах через интернет-магазины.
Куда больше банковское сообщество беспокоила судьба статьи 9 к закону «О национальной платежной системе». Она обязывает банки без суда и следствия возвращать клиентам средства, похищенные с их банковских карт. Эта норма была одобрена многими ведомствами именно из-за растущих от года в год случаев мошенничества с банковскими картами. Сейчас в случае кражи денег с карты обращаться в банк бесполезно – переадресуют в отдел полиции. Там если и примут заявление, то, скорее всего, не смогут найти преступника. А если и найдут, то по суду вам будет положено возмещение за счет самого жулика, который обычно оказывается беднее церковной мыши.
Самый распространенный способ мошенничества – так называемый скимминг. Это когда злоумышленники крепят к считывающему аппарату банкомата прибор, копирующий данные вашей карты. Мошенник либо сам подглядывает пин-код, либо использует для этого веб-камеру (за день таким образом можно собрать до сотни данных и остаться незамеченным ни для банков, ни охраны зданий, где установлены банкоматы). Имея данные карт и пин-код, мошенники либо перепрограммируют любую карточку и с ее помощью уже снимают деньги в банкомате, либо списывают средства через интернет.
По данным Group-IB (одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений с использованием высоких технологий), в России мошенничество в сфере интернет-банкинга в 2011 году достигало 490 млн долларов, в 2012-м было небольшое снижение – до 446 млн долларов.
Но основную часть этих сумм составляют потери, понесенные из-за краж со счетов юридических лиц при помощи хакерских атак. Кстати, электронных денег было похищено намного меньше – в 2012 году только 23 млн долларов, а значит, физические лица в меньшей степени интересуют мошенников. По оценкам Group-IB, у физлиц похищено 307 млн рублей в 2012 году. По данным Банковской школы ВШЭ, с банковских карт незаконно снимают до 17 млрд рублей. Но сколько именно было похищено с банковских карт клиентов, доподлинно не знает никто. Тем более трудно понять обобщенную статистику о киберпреступлениях от МВД, которое не оценивает их в денежном выражении, а некоторые заявления не регистрирует вовсе.
«Чтобы оценить масштаб проблемы, Центробанк ввел новую форму отчетности для банков для отражения всех инцидентов с денежными переводами, – пояснила «Эксперт Online» первый вице-президент Российского клуба финансовых директоров Тамара Касьянова. – Но проблема в том, что многим банкам не выгодно показывать слабость своих систем защиты перед регулятором, который к тому же публикует итоги мониторинга, а это уже имиджевые потери. В итоге только 100 банков из более чем тысячи в июле–декабре прошлого года вообще заявили о таких инцидентах. Лишь у 3% банков оказалось число таких инцидентов более 100, у остальных – якобы единицы».
Очевидно, подлинная сумма хищений была известна только самим банкирам, поэтому они сначала предложили перенести введение статьи 9 на один год, на что правительство в принципе согласилось. Банкиры опасались лавины предъявленных клиентами за мошенников счетов.
Кто шустрее?
Добившись моратория на вступление в силу 9-й статьи закона «О национальной платежной системе», банковское сообщество от лица Ассоциации российских банков внесло поправку, согласно которой не банк обязан уведомлять клиента о произведенных с картой (или счетом) операциях, а клиент должен сам следить за состоянием своего счета. Дело в том, что закон устанавливает возможность получить от банка компенсацию за действия мошенников в случае, если он успел оспорить в банке (то есть обратиться) операцию в течение банковского дня «со времени уведомления об операции». Это автоматически обязывает банки уведомлять клиента обо всех операциях по его карте. В то же время в законе не определен срок, по которому банк должен вернуть деньги клиенту.
«Проблема в том, что законодатель заведомо ставит и банкира, и клиента в дурацкое положение, – рассуждает Василий Филатов, директор Банковского института НИУ ВШЭ. – Клиент в случае чего должен сломя голову бежать в офис банка и уведомлять его, если, допустим, отключился телефон или просто нет телефона банка. Банкир должен безоговорочно платить за мошенников, которых в большей части случаев не находят. В то же время им дается большая «лазейка» – не определен срок возмещения. А это уже большой ляп в законе, поскольку может свести на нет сам замысел этой новеллы – переложить ответственность за незащищенность банковской системы с потребителя на поставщика услуг».
Как сообщили «Эксперт Оnline» в одном из банков, некоторые уже сейчас начинают составлять проекты новых условий, которые будут прописаны при выдаче банковских карт. По некоторым данным, сейчас банки оплачивают лишь одно из ста обращений, а потом придется почти все.
«Здесь есть очень большой опыт создания юридическим лицам трудностей при возврате похищенных средств, поэтому особых усилий не составит сделать так, что клиент если и успеет добежать до банка, то не сможет в установленном порядке подать заявку», – на условиях конфиденциальности пояснил один из сотрудников российского банка.
Связисты «в шоколаде»
Но, судя по всему, не многие готовы «отыгрываться» на клиентах за новую обязанность.
«Не думаю, что большинство банков начнут что-то изобретать для усложнения отношений с клиентами. Практика показывает, что средние суммы возмещения клиенту от незаконного изъятия с его карты третьими лицами денег – от 5 до 20 тыс., – пояснил «Эксперт Online» Дмитрий Шевченко, заместитель председателя правления, начальник юридического департамента Ланта банка. – Эти средства легко списываются, и нет смысла из-за них подолгу судиться, накапливая имиджевые потери. То же самое и со сроком возмещения – если за клиентом ничего подозрительного ранее не числилось, то зачем ему действовать на нервы».
Другое дело – обязанность банков уведомлять клиентов об операциях по счету. Число операций не поддается счету, поэтому провайдеры сотовой связи уже, похоже, потирают руки.
«Я слышал, что этим уже хотят воспользоваться операторы сотовой связи – повысить стоимость SMS-сообщений для корпоративных клиентов, – продолжает Дмитрий Шевченко. – Это неудивительно, поскольку число самого распространенного способа уведомления – SMS – резко увеличится с Нового года. Да, закон обязывает банк уведомлять клиентов обо всех операциях с его картой, но это не значит, что банки обязаны делать это бесплатно. Это, скорее всего, будут включать в стоимость обслуживания счета или относить расходы на что-то иное. Сейчас все решают этот вопрос сами для себя».
Кому выгодно
И все-таки главным остается вопрос, насколько новелла позволит защитить сохранность средств граждан, доступных по банковской карте. Логика законодателя такова, что банки должны усилить меры безопасности, чтобы избежать новых расходов. Однако банкиры опасаются, так сказать, поправки на русский менталитет.
«Я вполне разделяю опасения банкиров о том, что многие клиенты сейчас могут начать снимать сами или через подставных лиц деньги со своих карт и потом обращаться за возмещением, – говорит Василий Филатов. – Есть же у нас немало клиентов, которые берут по пять и более кредитов в расчете на то, что потом можно хоть что-то не вернуть. Прибавьте к этому элементарную юридическую безграмотность, бедность части населения. Думаю, эти 17 млрд рублей ежегодных хищений могут вырасти существенно. Конечно, покрыть эти издержки – не проблема для всей банковской системы. Но у некоторых могут быть и проблемы».
Впрочем, многие банки уже сейчас умеют «вычислять» жуликоватых клиентов, так что с ними особо не забалуешь.
«Когда речь идет о скимминге, компрометации торговых точек или процессинговых центров, то у нормального банка уже есть отлаженные механизмы выявлять точки компрометации карточных данных, чтобы блокировать будущие попытки несанкционированного снятия денег, – рассказал Дмитрий Волков, руководитель отдела расследований инцидентов информационной безопасности Group-IB. – Соответственно, если клиент обращается в банк, если это единственный случай, а точка компрометации карточных данных не ясна, то это сразу же вызывает подозрение. Таких клиентов можно начать проверять очень тщательно, изучая данные с камер видеонаблюдения, историю транзакций с целью поиска сомнительных операций».
Иными словами, если кто-то поддастся соблазну с помощью товарища снять деньги со своего счета, а потом потребовать возмещения от банка, то будет подвергнут проверке. Видимо, для этого в законе и не установлен срок для возмещения ущерба. Второй раз заявителю могут и не поверить.
«Если же банк подозревает, что это уже не первое обращение клиента – тогда у него как минимум есть срок для проверки службой безопасности всей ситуации. Но клиентам надо понимать, что рисковать не стоит: рано или поздно мошенничество вскроется», – считает Дмитрий Шевченко.
В любом случае банкиры вряд ли понесут большие убытки, в том числе и при использовании более сложных схем мошенничества со счетами физических лиц – через интернет.
«По-другому обстоят дела с системами интернет-банкинга, клиенты которого также защищены законом об НПС. Тут банк уже не может смотреть данные с видеонаблюдения и искать точки компрометации. Однако на помощь банкам может прийти компьютерная криминалистика, которая покажет, действительно ли клиентский компьютер был скомпрометирован и в результате этого было незаконное списание денег или же клиент попросту мошенник, который заразил свой компьютер каким-то трояном и теперь жалуется на хищение, – советует Дмитрий Волков. – Но криминалистика поможет только тем банкам, которые в течение года готовились к вступлению закона «О национальной платежной системе» и вносили необходимые изменения в договоры с клиентами. Банки, которые этого не предусмотрели, будут под прицелом у злоумышленников в первую очередь».
То есть новая поправка в закон принесет «попутный» доход не только операторам сотовой связи, но и компаниям, обеспечивающим веб-безопасность.
«Банки понимали и раньше: если есть в твоей системе безопасности сбои, то плати, поэтому и мелкие суммы, заявленные физлицами, относили на иные издержки без труда. У кого потери становились критичными от этого – те начинали вкладывать в совершенствование системы безопасности. А сейчас спрос на эти услуги уже начинает возрастать», – считает Дмитрий Шевченко.
Пока выходит, что особых поводов для беспокойства нет ни у банков, ни у клиентов. Но это только при теоретическом рассуждении. Другое дело, что покажет практика.
«В целом новелла, безусловно, ценная и актуальная с учетом того, что потери для рядового гражданина при «обнулении» его карты мошенниками более значимы, чем для банков, – считает Виктор Достов, председатель совета ассоциации «Электронные деньги», эксперт Евразийской группы по противодействию легализации преступных доходов и финансированию терроризма. – Другое дело, что в Европе и США такие меры вводили постепенно, изучая последствия и вырабатывая более совершенные механизмы противодействия мошенничеству и банковские процедуры. У нас же, как всегда, это сделано по методу шоковой терапии, поэтому я не исключаю как попытки банков защититься от клиента путем усложнения процедуры обращения или возврата, так и попытки клиентов обжулить банк».
Василий Филатов приводит в пример практику США, где в случае обнаружения пропажи денег со счета банковской карты даже через несколько лет клиенту возмещают их за вычетом 50 долларов. Эта сумма покрывает затраты на страховку и на проведение расследования (с учетом процентного соотношения хищений это окупается).
«Там просто посчитали вероятность таких краж, общую сумму, посчитали риски и вывели общую комиссию в 50 долларов. В итоге и клиент защищен, и банки голову не ломают», – говорит Василий Филатов.
Справка
Статья 9 закона «О национальной платежной системе»
«Порядок использования электронных средств платежа»
1. Использование электронных средств платежа осуществляется на основании договора об использовании электронного средства платежа, заключенного оператором по переводу денежных средств с клиентом, а также договоров, заключенных между операторами по переводу денежных средств.
2. Оператор по переводу денежных средств вправе отказать клиенту в заключении договора об использовании электронного средства платежа.
3. До заключения с клиентом договора об использовании электронного средства платежа оператор по переводу денежных средств обязан информировать клиента об условиях использования электронного средства платежа, в частности о любых ограничениях способов и мест использования, случаях повышенного риска использования электронного средства платежа.
4. Оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом.
5. Оператор по переводу денежных средств обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента.
6. Оператор по переводу денежных средств обязан фиксировать направленные клиенту и полученные от клиента уведомления, а также хранить соответствующую информацию не менее трех лет.
7. Оператор по переводу денежных средств обязан предоставлять клиенту документы и информацию, которые связаны с использованием клиентом его электронного средства платежа, в порядке, установленном договором.
8. Оператор по переводу денежных средств обязан рассматривать заявления клиента, в том числе при возникновении споров, связанных с использованием клиентом его электронного средства платежа, а также предоставить клиенту возможность получать информацию о результатах рассмотрения заявлений, в том числе в письменной форме по требованию клиента, в срок, установленный договором, но не более 30 дней со дня получения таких заявлений, а также не более 60 дней со дня получения заявлений в случае использования электронного средства платежа для осуществления трансграничного перевода денежных средств.
9. Использование клиентом электронного средства платежа может быть приостановлено или прекращено оператором по переводу денежных средств на основании полученного от клиента уведомления или по инициативе оператора по переводу денежных средств при нарушении клиентом порядка использования электронного средства платежа в соответствии с договором.
10. Приостановление или прекращение использования клиентом электронного средства платежа не прекращает обязательств клиента и оператора по переводу денежных средств, возникших до момента приостановления или прекращения указанного использования.
11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции.
12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления.
13. В случае, если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента.
14. В случае, если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи и клиент не направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента.
15. В случае, если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента — физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент — физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом — физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента — физического лица.
16. Положения части 15 настоящей статьи в части обязанности оператора по переводу денежных средств возместить сумму операции, совершенной без согласия клиента до момента направления клиентом — физическим лицом уведомления, не применяются в случае совершения операции с использованием клиентом — физическим лицом электронного средства платежа, предусмотренного частью 4 статьи 10 настоящего Федерального закона.
« Где и как живут слуги народа
За что платят вневедомственной охране »
  • +9

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

0
Я уже отказалась от своей карточки. Заметила раз пропажу небольшой суммы денег, все сняла и карту аннулировала. Лучше в очереди постоять. банкиры, конечно же будут не довольны, отвечать будут за деньги.
0
будем поглядеть