Развитие законодательства в области безопасности платежных услуг

Стенограмма сессии

фото: ПЛАС

Участники сессии:

Модератор:

  • Эльман МЕХТИЕВ, Ассоциация российских банков

Спикеры:

  • Евгений БАЛЕЗИН, MasterCard

  • Евгений КАЛИНИН, Сбербанк

  • Алексей ЛЕОНОВ, ГК ЦФТ

  • Артем СЫЧЕВ, Банк России

  • Максим ТОЛКАЧЕВ, Управление «К» МВД России

Эльман МЕХТИЕВ (модератор): Эта сессия посвящена вопросам законодательства в области безопасности платежных услуг. Нам пришлось в срочном порядке поменять зал, потому что сессия вызывает гораздо больший интерес, чем планировалось.

Если мы хотим действительно развития платежных услуг, без понимания того, что такое безопасность, как ее обеспечить и как это будет дальше развиваться, в том числе и какое законодательное обеспечение будет, мы не сдвинемся.

Я уже озвучил одну цифру, думаю, специалистам по IT-безопасности цифра известна – отчет ThreatMetrix за третий квартал этого года, куда не включаются данные об атаках в России, говорит о том, что в третьем квартале этого года, несмотря на то, что, вот прям цитирую, что это должен был бы быть спокойный квартал, так как летний период и прочее, было не просто 160 млн. атак зарегистрировано по миру, но и рост почти на четверть по сравнению со вторым кварталом. Из чего составители отчета, которые специализируется в таких вещах, делают вывод, что будет рост и в четвертом квартале, когда будет высокий сезон покупок, в связи с наступающими праздниками.

Так же могу сказать немножко больше по поводу того, какие есть новые виды угроз. И один из основных трендов состоит в такой простой вещи, что стало гораздо больше воровства цифровой личности. Стало гораздо больше автоматизированных атак и стало гораздо больше атак не просто автоматизированных, но действительно хорошо программированных. И второе, заметно, что атаки хорошо спланированы, сделаны с определенных точек для того, чтобы добиться определенных результатов.

Поэтому если мы хотим развивать платежные услуги, тем более платежные услуги в цифровом пространстве нам, хотим мы того или нет, нужно двигаться дальше, в том числе в части законодательства. Мы решили вынести на сессию только две темы: киберпреступность как вызов для цифровой экономики и формирование и законодательное закрепление досудебного механизма приостановки и возврата кредитным организациям подозрительных переводов денежных средств.

Вторая тема, это то, к чему мы как Ассоциация российских банков, одна из отраслевых ассоциаций, постоянно призываем. Коллеги, давайте мы сами попытаемся что-то выработать, если даже уже регуляторы к этому готовы.

Евгений КАЛИНИН: Хотел бы сегодня представить вашему вниманию свой доклад на тему об усилении уголовной ответственности как необходимой меры противодействия преступлениям в сфере высоких технологий.

В настоящее время финансовый сектор в России активно вступил в цифровую эпоху. Количество транзакций, совершаемых клиентами дистанционно, через удаленный канал обслуживания достигает 91 и более процентов в целом по стране. А у ведущих банков страны и платежных систем эта цифра достигает 95%. В основе всех этих услуг лежит предоставление клиентам доступа к своим счетам для совершения платежей и переводов.

Естественно, новые формы банковского обслуживания привлекают интерес преступного мира. При этом, для совершения своих преступлений, преступники используют не только высокотехнологичные способы совершения хакерских атак, но и достаточно примитивные, простые, но достаточно эффективные способы преступлений, таких, как методы социальной инженерии. На сегодняшний день преимущественно большинство преступлений, связанных с хищение денежных средств, осуществляется с использованием метода социальной инженерии. Существует такая цифра – 91% от всех видов преступлений, совершаемых в удаленных каналах обслуживания, осуществляется именно таким способом.

Для совершения таких преступлений не требуется никаких специальных навыков и специальных знаний, средств. С использованием данных средств преступники получают полную информацию, необходимую для совершения платежа, перевода от клиентов, вводя в заблуждение путем обмана, злоупотребления доверием, психологического воздействия. Это и реквизиты карты, и паспортные данные, и контрольная информация, пароли и прочее. Либо потерпевший, клиент под действием психологического воздействия преступника самостоятельно проводит платёж со своих счетов на счета преступника с использованием любых каналов обслуживания.

В частности, SMS-банк – те случаи, когда преступники массово рассылают SMS-сообщения с указанием информации, что ваша карта заблокирована, или с вашей карты произвели какой-то платеж. Там приводится и телефон для справок. Клиент обращается по указанному телефону, попадает в фальшивый созданный call-центр, где вежливые и обязательные работники направляют клиента уже непосредственно к ближайшему банкомату для разблокировки своей карты или возврата переведенных денежных средств. Тем самым, клиент, ничего не подозревая, самостоятельно переводит со своих счетов денежные средства преступникам.

Второй пример, это обман на интернет-сайтах, в частности Avito, когда в адрес гражданина, разместившего объявление о продаже какого-нибудь дорогого товара, машины, шубы, обращается преступник с предложением внести предоплату, находясь, якобы, в другом городе. Просит для этого предоставить данные платежных карт, ну или, например, скан-копию паспортных данных для гарантии совершаемой сделки, тем самым получая всю необходимую информацию для регистрации в системе дистанционного банковского обслуживания. Пароль, который приходит клиентам на телефон, преступники под любыми предлогами выманивают и совершают незаконно свои операции, переводы на свои счета.

Ну, и третий распространенный вид мошенничества, который хотелось бы озвучить, это обман в получении выплаты, который предусматривает обзвон, в основном людей пожилого возраста, пенсионеров. Им предлагается от имени социальных служб, пенсионного фонда получить пособия или выплаты. Для получения этих денег им предлагают получить карту банка, подключить на нее систему дистанционного банковского обслуживания с привязкой к мобильному телефону мошенника. Тем самым мошенники получают полный доступ к счетам жертвы, переводя все денежные средства на свои счета.

Характерная особенность таких преступлений – это то, что многие клиенты так глубоко попадают под обаяние мошенников, что подтверждают правомерность совершаемых операций даже в тех случаях, когда служба мониторинга банков выявляет эти операции как подозрительные.

Обращаясь к статистике, нужно привести пример статистики Банка России, согласно которой объем несанкционированных операций посредством системы ДБО в отношении юридических лиц составил практически 4 миллиарда рублей, а в отношении физических лиц – больше одного миллиарда рублей. При этом подавляющее большинство таких несанкционированных операций со счетов физических лиц – 91% – совершено с применение методов социального инжиниринга. В денежном выражении, вы видите на слайде, это составляет 1,21 миллиарда рублей по стране.

Согласно статистике Сбербанка, количество хищений, совершаемых методами социальной инженерии за 2015 год увеличилось по сравнению с 2014 годом в 3,5 раза, что составило 80.000 инцидентов. Прирост убытков за аналогичный период превысил 2,7 раза и составил больше 1 миллиарда рублей.

Следует отметить, что используют методы социальной инженерии и для совершения хакерских атак с использованием вирусного программного обеспечения, позволяющего получить доступ к компьютеру граждан. Имитируя сбой в работе компьютеров, клиенту предлагают обратиться в службу технической поддержки или, в основном, преступники самостоятельно звонят клиентам и выпытывают разовые пароли для получения полного доступа к его счетам.

По такой схеме в 2010 году работала преступная группа из Санкт-Петербурга. Эта преступная группа была привлечена к ответственности в виде лишения свободы условно сроком на 6 лет и штрафу в размере 450.000 рублей. При этом доказанный ущерб клиентам трех крупнейших банков составил 12 миллионов рублей, а реально нанесенный – 100 миллионов рублей. Пока шли следственные мероприятия, преступники продолжали свою деятельность. С учетом уже полученного опыта в ходе проведения следственных мероприятий, вовлекали в свою преступную группу не только лиц из личного окружения, но уже и профессиональных хакеров для совершения таких преступлений. Деятельность этой группы была пресечена только в 2015 году, когда ущерб клиентам Сбербанка уже составил 40 миллионов рублей и количество пострадавших достигло более 1.000 человек.

Какие проблемы у действующего законодательства мы на сегодняшний момент видим. Классификация таких преступлений, согласно действующему законодательству, осуществляется по статьям 159 «мошенничество», по статье 159.3, 159.6. При этом для привлечения к ответственности преступников, необходимо полностью раскрыть всю цепочку совершения преступлений. Начиная с его организации, заканчивая непосредственным обналичиванием – съемом денежных средств со счетов клиента.

Следует отметить, что существует проблема в повышенных границах наступления ответственности за мошенничество, предусмотренных статьями 159, 159.3, 159.6. В частности, по 159-й статье ответственность за совершение преступления в крупном размере наступает только после 1.500.000 рублей, а в особо крупном размере – 6.000.000 рублей. Что, по сравнению со 158 статьей «Кража», совершенно несоизмеримо, потому что там крупным размером признается стоимость имущества, превышающая 250.000 рублей, а особо крупным – 1.000.000.

Также существует проблема, связанная со статьей 183 – «Незаконный сбор конфиденциальной информации». Одним из ключевых моментов совершения таких преступлений, является непосредственный сбор информации от жертв. Если смотреть действующее законодательство, то все эти преступления подпадают под иные категории незаконного сбора информации, при этом их социальная опасность и значимость значительно превышает явно прописанных в законе методов сбора такой информации.

Таким образом, по нашему мнению, новое законодательство требует значительного изменения, и, по нашему мнению, необходимо – внести в статью 158 УК новый вид хищения – данных банковского счета для перевода денежных средств. Уравнять ответственно по статьям 158 и 159, а статью 183 УК дополнить таким способом сбора информации, как путем обмана. Указанные изменения позволят значительно упростить возбуждение уголовных дел и исключить случаи пересылки заявлений между различными органами внутренних дел, установить единую степень ответственности, ну и, естественно, привлекать к ответственности членов преступных групп, непосредственно занимающихся обманом, обзвоном с целью получения конфиденциальной информации.

Ну и в заключение хотел бы сказать, что на сегодняшний день, государственными органами рассматривается законопроект, связанный с изменением Кголовного Кодекса, который существенно ужесточает эту ответственность и предусматривает все озвученные мною предложения и необходимые меры. Сбербанк со своей стороны, конечно же, предложения полностью поддерживает, и мы считаем, что эти меры позволят конкретизировать совершаемые преступления, и более эффективно привлекать к ответственности преступников

Эльман МЕХТИЕВ (модератор): Вы говорите, что в государственных органах находится на рассмотрении данный законопроект, нужно ли нам что-то делать?

Евгений КАЛИНИН: Мне кажется, пока что делать, наверное, мы ничего не в состоянии, потому что законопроект находится на доработке, отзыв о законопроекте переписывается Минюстом во взаимодействии с МВД России.

Эльман МЕХТИЕВ (модератор): То есть вы думаете, что нам надо, возможно, подождать.

Максим, вопрос к вам. Вы и сейчас уже что-то делаете – Управление «К» МВД имеет некоторую практику, наверно. И вы можете нам подсказать – то, что вот предлагают банковское сообщество в лице Сбербанка, поможет ли вам помочь нам?

Максим ТОЛКАЧЕВ: Ну, безусловно. Здесь нельзя не согласиться, в том числе с мнением Сбербанка о том, что уголовную ответственность необходимо ужесточать за совершение преступных деяний. Не только в части краж и мошенничества, но, в том числе, в области вмешательства в компьютерную информацию, незаконное модифицирование, копирование. И делать ответственность действительно реальной. Она не должна носить условный характер, и она не должна ограничиваться наложением штрафов в размере десятков тысяч рублей, когда приводит к хищениям или ущербу в размерах миллионов, иногда миллиардов рублей.

Эльман МЕХТИЕВ (модератор): Сегодня утром я прочитал на РБК, что в Петербурге наконец-то было принято судебное решение по краже на сумму 400.000.000 рублей у нескольких клиентов Сбербанка. Этот кейс, оказывается, 2012 года. Решение принято только в 2016 году. Это что – сложность расследования или сложность принятия решения суда?

Максим ТОЛКАЧЕВ: В том числе и сложности расследования. Здесь может быть комплекс факторов, исходя из каждого конкретного случая. По этому случаю нельзя судить о системе. Идет кропотливый процесс сбора доказательств, процесс оформления следственными органами всех имеющихся доказательств и передача их в суд.

Эльман МЕХТИЕВ (модератор): Я хотел бы уточнить у Артема Сычева, видите ли вы, что банковскому сообществу нужны не только хорошо работающие центры реагирования, но и изменения законодательства? Конкретно то, о чем говорил Евгений.

Артем СЫЧЕВ: Проблема на самом деле гораздо сложнее, чем просто изменение законодательства. То, о чем говорил Евгений мы не то, что одобряем, мы активно поддерживаем и продвигаем вместе со Сбербанком. Этот проект разрабатывался, он планировался к внесению в Госдуму депутатом Костуновым, но реально над ним работал МВД и Сбербанк. Это, кстати, один из немногих примеров, крайне положительных и интересных, когда коллеги в кредитных организациях пытаются отстаивать не просто интересы своего собственного банка, но и интересы банковского сообщества. Поэтому эту темы мы активно вместе с ними продвигаем, поскольку, не скрою, она вызывает неоднозначное отношение в ряде государственных органов.

В качестве примера могу привести, что Евгений указывал, что в 183 статье нет такого понятия как «сбор информации путем злоупотребления доверием». Большая часть судебных органов и прокуратура рассчитывают на то, что здесь можно действовать через 30 статью УК, то есть через «приготовление к совершению преступлений».

И здесь второй вопрос –как доказать то, про что мы, собственно, здесь говорим. Безусловно, мы согласны с тем, что должна быть изменена 158 статья и кража с банковского счета должна быть все-таки признана кражей. То есть вор должен быть назван вором, а не мошенников. Очень сложно приравнять человека, который ворует десятками миллионов к воровке на вокзале, которая отнимает последнюю десятку у доверчивого человека. Хотя, по сути, инструмент используется один и тот же – злоупотребление доверием. Просто последствия разные.

Но, проблема в том, как обеспечить доказательную базу. Здесь мы очень надеемся на то, что тот проект стандарта, который мы разработали вместе с коллегами из МВД, из следственного комитета, из ФСБ в этом немного поможет.