25 июля 2024 года вступает в силу 369 Федеральный закон «О внесении изменений в ФЗ о Национальный платёжной системе», который призван улучшить механизм противодействия хищению денежных средств с банковских счетов клиентов. В своей авторской колонке специально для Национального банковского журнала (NBJ) Сергей ЕГОРОВ, директор по консалтингу и расследованию инцидентов ООО «Фродекс», размышляет, приведёт ли данный механизм к радикальному сокращению случаев электронного мошенничества.

На мой взгляд, вряд ли. Нам обещают, что процент возмещения средств граждан, украденных телефонными мошенниками, использующими методы социальной инженерии, увеличится в несколько раз. Давайте рассмотрим, произойдёт ли это на самом деле.

369 ФЗ обещает, что если реквизиты получателя находятся в базе мошенников ЦБ РФ, то банк будет обязан возместить украденные средства клиенту. Но даже сейчас механизм проверки платежа по базе мошенников и дропперов работает с низким КПД и позволяет останавливать не более 3–5 % мошеннических платежей клиентов банка.

А если учитывать, что банки фиксируют только десятую часть хищений, т.к. большинство украденных мошенниками средств снимается в наличной форме самим клиентом в банкомате или кассе банка, то данный процент выглядит и вовсе ничтожным 0,3–0,5 %.

Это подтверждается статистикой хищений со стороны МВД. Цифры данного ведомства в 10 раз больше официальной статистики Центрального Банка РФ. С моей точки зрения, механизм противодействия электронному мошенничеству путём сбора реквизитов платёжных средств дропперов – довольно спорный.  Для банков это сплошная головная боль, отвлекающая от реального процесса противодействия мошенничеству, а сам механизм сбора фидов реквизитов платёжных средств мошенников сложен технически и больше похож на сбор статистики по уже исполненным мошенническим платежам.

Сломать этот механизм сбора фидов мошенники смогут в любой момент, когда почувствуют, что он мешает похищать деньги со счетов граждан. Например, засыпать мелкими суммами псевдомошеннических операций нормальных клиентов банков. Мошенники и сейчас используют этот метод атаки на публичных должностных лиц с использованием отправки ПДЛ мелких сумм с дропперских счетов. Потом сами же мошенники заявляют об этих платежах как о мошеннических.

В основе 369 ФЗ лежит принцип сбора реквизитов дропперов и обязанность банка возместить средства клиенту, если деньги ушли на счёт или карту дроппера из базы мошенников ЦБ РФ. Неудивительно, если этот процесс киберпреступники будут использовать для инсценировки мошенничества и отправлять средства в банки со слабой антифрод защитой, а затем требовать возмещения по закону от банка получателя.

Если учесть, что огромные суммы похищенных денег переводятся в криптовалюту, и с большой долей вероятности какая-то их часть используется для финансирования армии Украины, то проблема приобретает национальный масштаб и требует немедленного решения.

Можно ли кардинально и быстро уменьшить объём электронного мошенничества в России?

Я бы выделил четыре направления, на которые следует обратить внимание для быстрого решения данного вопроса:

1) Добиться или хотя бы повысить вероятность неотвратимости наказания за совершённое преступление с использованием электронных платежей или пособничество совершению такого преступления.  К сожалению, мы забыли, что только неотвратимость наказания способствует предупреждению нарушений закона;

2) Законодательно закрепить ответственность за передачу платёжных средств и сим-карт третьим лицам, в том числе предусмотреть более жёсткую ответственность за организацию сбора средств для передачи мошенникам.

3) Не давать в руки мошенникам готовых инструментов дистанционного банковского обслуживания для хищений у граждан, например, привязка токена карты к телефону без защиты от использования третьих лиц. Если банки используют эти инструменты для организации удалённого пополнения банковских счетов клиентов, то электронные средства платежа должны быть максимально защищены от использования мошенниками;

4) Организовать более тесное и оперативное взаимодействие и обмен информацией между банками, операторами связи и органами внутренних дел Российской Федерации.

Считаю, что для эффективного противодействия электронному и телефонному мошенничеству необходимо не собирать реквизиты средств платежей дропперов, а закрепить ответственность банков по расследованию всей цепочки мошеннического вывода средств до момента получения денег в наличной форме или перевода средств в криптовалюту.

То есть банк должен знать, кто конкретно обналичил денежные средства или перевёл их в криптовалюту, если использовался метод Р2Р покупки крипты, для оперативной передачи информации в МВД. При этом МВД должны проводить оперативное расследование абсолютно каждого случая электронного мошенничества в рамках своих полномочий и задач. А контролировать этот процесс должен не Центральный банк, а Национальный центр противодействия электронному мошенничеству (НЦПЭМ). Он, в свою очередь, должен оказывать помощь банкам в получении информации от сотовых операторов и координировать взаимодействие банков, операторов связи и МВД. 

Если в банк с информацией о мошенничестве обратился клиент, который сам получил  наличные денежные средства и передал их мошенникам, то именно этот банк, где держал средства на счетах клиент, обязан выяснить, как и куда зачислялись денежные средства.

Например, клиент внёс наличные на карту дроппера через банкомат. Далее со счёта карты эмитента деньги переведены в другой банк через СБП, Р2Р или другим способом и, возможно, отправлены в третий банк, а затем сняты в наличной форме в банкомате. То есть по каждому факту электронного мошенничества должны быть получены реквизиты бенефициара платёжного средства в наличной форме или криптовалюте (дроппера).

МВД должны иметь возможность оперативно получать вышеуказанную информацию, а также фото дроппера/мошенника. Банкам должно быть законодательно разрешено обмениваться реквизитами платёжных средств дропперов для выявления всей цепочки мошеннических платежей. Если банки сами предоставляют в руки мошенникам удобные инструменты для отмывания денежных средств, то они и обязаны отслеживать все такие платежи.

Возможно, это не самый простой путь, но цель оправдывает средства, и в итоге можно практически за год снизить масштабы электронного мошенничества в 2–3 раза, а это десятки миллиардов рублей.

Большое влияние на снижение уровня электронного мошенничества может оказать и более глубокий подход к безопасности средств платежа. Например, если банк зачисляет денежные средства в наличной форме по токену, привязанному через телефон, карту или по номеру счёта через банкомат, то он и должен убедиться в соответствии со 115 ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», что внесение средств осуществляется именно клиентом, а не третьим лицом.

Почему-то только через несколько лет использования средств пополнения счёта по токену карты банки начали понимать, что снятие денежных средств в другом городе почти сразу после внесения на счёт с использованием токена на телефоне не имеет экономического смысла и больше похоже на отмывание денежных средств, а не использование денег клиентом, и следует запрещать на один-два дня вывод с такого счёта средств в наличной форме.

В 2023 году десятки миллиардов, а может, и более сотни миллиардов рублей были похищены мошенниками у российских граждан с использованием метода внесения денежных средств по токенам дропперских карт. В прошлом году компания «Фродекс» оказала помощь в проведении расследования одного из случаев электронного телефонного мошенничества с внесением по токену наличных денежных средств. В результате были задержаны дропперы с полутора сотнями физических карт, в том числе с той, на которую были зачислены наличные денежные средства через банкомат.

Но вот уже прошёл почти год, бенефициары-мошенники так и не найдены, дропперы не привлечены к ответственности, а уголовное дело и вовсе приостановлено. На текущий момент абсолютное большинство уголовных дел по мошенничеству с использованием социальной инженерии не доводится до суда. Отсутствие ответственности за передачу платёжных средств клиентов банков развязывает руки дропперам и мошенникам, а масштабы телефонного мошенничества растут из года в год.

Поэтому мы уверены, что в первую очередь необходимо закрепить такую ответственность на законодательном уровне, а также расширить взаимодействие и обмен информацией между банками, операторами связи и МВД, в том числе путём создания Национального центра противодействия электронному мошенничеству.   

Текст: Сергей ЕГОРОВ