Стенограмма сессии
Участники сессии:
Модератор:
Эльман МЕХТИЕВ, Ассоциация российских банков
Спикеры:
Евгений БАЛЕЗИН, MasterCard
Евгений КАЛИНИН, Сбербанк
Алексей ЛЕОНОВ, ГК ЦФТ
Артем СЫЧЕВ, Банк России
Максим ТОЛКАЧЕВ, Управление «К» МВД России
Эльман МЕХТИЕВ (модератор): Эта сессия посвящена вопросам законодательства в области безопасности платежных услуг. Нам пришлось в срочном порядке поменять зал, потому что сессия вызывает гораздо больший интерес, чем планировалось.
Если мы хотим действительно развития платежных услуг, без понимания того, что такое безопасность, как ее обеспечить и как это будет дальше развиваться, в том числе и какое законодательное обеспечение будет, мы не сдвинемся.
Я уже озвучил одну цифру, думаю, специалистам по IT-безопасности цифра известна – отчет ThreatMetrix за третий квартал этого года, куда не включаются данные об атаках в России, говорит о том, что в третьем квартале этого года, несмотря на то, что, вот прям цитирую, что это должен был бы быть спокойный квартал, так как летний период и прочее, было не просто 160 млн. атак зарегистрировано по миру, но и рост почти на четверть по сравнению со вторым кварталом. Из чего составители отчета, которые специализируется в таких вещах, делают вывод, что будет рост и в четвертом квартале, когда будет высокий сезон покупок, в связи с наступающими праздниками.
Так же могу сказать немножко больше по поводу того, какие есть новые виды угроз. И один из основных трендов состоит в такой простой вещи, что стало гораздо больше воровства цифровой личности. Стало гораздо больше автоматизированных атак и стало гораздо больше атак не просто автоматизированных, но действительно хорошо программированных. И второе, заметно, что атаки хорошо спланированы, сделаны с определенных точек для того, чтобы добиться определенных результатов.
Поэтому если мы хотим развивать платежные услуги, тем более платежные услуги в цифровом пространстве нам, хотим мы того или нет, нужно двигаться дальше, в том числе в части законодательства. Мы решили вынести на сессию только две темы: киберпреступность как вызов для цифровой экономики и формирование и законодательное закрепление досудебного механизма приостановки и возврата кредитным организациям подозрительных переводов денежных средств.
Вторая тема, это то, к чему мы как Ассоциация российских банков, одна из отраслевых ассоциаций, постоянно призываем. Коллеги, давайте мы сами попытаемся что-то выработать, если даже уже регуляторы к этому готовы.
Евгений КАЛИНИН: Хотел бы сегодня представить вашему вниманию свой доклад на тему об усилении уголовной ответственности как необходимой меры противодействия преступлениям в сфере высоких технологий.
В настоящее время финансовый сектор в России активно вступил в цифровую эпоху. Количество транзакций, совершаемых клиентами дистанционно, через удаленный канал обслуживания достигает 91 и более процентов в целом по стране. А у ведущих банков страны и платежных систем эта цифра достигает 95%. В основе всех этих услуг лежит предоставление клиентам доступа к своим счетам для совершения платежей и переводов.
Естественно, новые формы банковского обслуживания привлекают интерес преступного мира. При этом, для совершения своих преступлений, преступники используют не только высокотехнологичные способы совершения хакерских атак, но и достаточно примитивные, простые, но достаточно эффективные способы преступлений, таких, как методы социальной инженерии. На сегодняшний день преимущественно большинство преступлений, связанных с хищение денежных средств, осуществляется с использованием метода социальной инженерии. Существует такая цифра – 91% от всех видов преступлений, совершаемых в удаленных каналах обслуживания, осуществляется именно таким способом.
Для совершения таких преступлений не требуется никаких специальных навыков и специальных знаний, средств. С использованием данных средств преступники получают полную информацию, необходимую для совершения платежа, перевода от клиентов, вводя в заблуждение путем обмана, злоупотребления доверием, психологического воздействия. Это и реквизиты карты, и паспортные данные, и контрольная информация, пароли и прочее. Либо потерпевший, клиент под действием психологического воздействия преступника самостоятельно проводит платёж со своих счетов на счета преступника с использованием любых каналов обслуживания.
В частности, SMS-банк – те случаи, когда преступники массово рассылают SMS-сообщения с указанием информации, что ваша карта заблокирована, или с вашей карты произвели какой-то платеж. Там приводится и телефон для справок. Клиент обращается по указанному телефону, попадает в фальшивый созданный call-центр, где вежливые и обязательные работники направляют клиента уже непосредственно к ближайшему банкомату для разблокировки своей карты или возврата переведенных денежных средств. Тем самым, клиент, ничего не подозревая, самостоятельно переводит со своих счетов денежные средства преступникам.
Второй пример, это обман на интернет-сайтах, в частности Avito, когда в адрес гражданина, разместившего объявление о продаже какого-нибудь дорогого товара, машины, шубы, обращается преступник с предложением внести предоплату, находясь, якобы, в другом городе. Просит для этого предоставить данные платежных карт, ну или, например, скан-копию паспортных данных для гарантии совершаемой сделки, тем самым получая всю необходимую информацию для регистрации в системе дистанционного банковского обслуживания. Пароль, который приходит клиентам на телефон, преступники под любыми предлогами выманивают и совершают незаконно свои операции, переводы на свои счета.
Ну, и третий распространенный вид мошенничества, который хотелось бы озвучить, это обман в получении выплаты, который предусматривает обзвон, в основном людей пожилого возраста, пенсионеров. Им предлагается от имени социальных служб, пенсионного фонда получить пособия или выплаты. Для получения этих денег им предлагают получить карту банка, подключить на нее систему дистанционного банковского обслуживания с привязкой к мобильному телефону мошенника. Тем самым мошенники получают полный доступ к счетам жертвы, переводя все денежные средства на свои счета.
Характерная особенность таких преступлений – это то, что многие клиенты так глубоко попадают под обаяние мошенников, что подтверждают правомерность совершаемых операций даже в тех случаях, когда служба мониторинга банков выявляет эти операции как подозрительные.
Обращаясь к статистике, нужно привести пример статистики Банка России, согласно которой объем несанкционированных операций посредством системы ДБО в отношении юридических лиц составил практически 4 миллиарда рублей, а в отношении физических лиц – больше одного миллиарда рублей. При этом подавляющее большинство таких несанкционированных операций со счетов физических лиц – 91% – совершено с применение методов социального инжиниринга. В денежном выражении, вы видите на слайде, это составляет 1,21 миллиарда рублей по стране.
Согласно статистике Сбербанка, количество хищений, совершаемых методами социальной инженерии за 2015 год увеличилось по сравнению с 2014 годом в 3,5 раза, что составило 80.000 инцидентов. Прирост убытков за аналогичный период превысил 2,7 раза и составил больше 1 миллиарда рублей.
Следует отметить, что используют методы социальной инженерии и для совершения хакерских атак с использованием вирусного программного обеспечения, позволяющего получить доступ к компьютеру граждан. Имитируя сбой в работе компьютеров, клиенту предлагают обратиться в службу технической поддержки или, в основном, преступники самостоятельно звонят клиентам и выпытывают разовые пароли для получения полного доступа к его счетам.
По такой схеме в 2010 году работала преступная группа из Санкт-Петербурга. Эта преступная группа была привлечена к ответственности в виде лишения свободы условно сроком на 6 лет и штрафу в размере 450.000 рублей. При этом доказанный ущерб клиентам трех крупнейших банков составил 12 миллионов рублей, а реально нанесенный – 100 миллионов рублей. Пока шли следственные мероприятия, преступники продолжали свою деятельность. С учетом уже полученного опыта в ходе проведения следственных мероприятий, вовлекали в свою преступную группу не только лиц из личного окружения, но уже и профессиональных хакеров для совершения таких преступлений. Деятельность этой группы была пресечена только в 2015 году, когда ущерб клиентам Сбербанка уже составил 40 миллионов рублей и количество пострадавших достигло более 1.000 человек.
Какие проблемы у действующего законодательства мы на сегодняшний момент видим. Классификация таких преступлений, согласно действующему законодательству, осуществляется по статьям 159 «мошенничество», по статье 159.3, 159.6. При этом для привлечения к ответственности преступников, необходимо полностью раскрыть всю цепочку совершения преступлений. Начиная с его организации, заканчивая непосредственным обналичиванием – съемом денежных средств со счетов клиента.
Следует отметить, что существует проблема в повышенных границах наступления ответственности за мошенничество, предусмотренных статьями 159, 159.3, 159.6. В частности, по 159-й статье ответственность за совершение преступления в крупном размере наступает только после 1.500.000 рублей, а в особо крупном размере – 6.000.000 рублей. Что, по сравнению со 158 статьей «Кража», совершенно несоизмеримо, потому что там крупным размером признается стоимость имущества, превышающая 250.000 рублей, а особо крупным – 1.000.000.
Также существует проблема, связанная со статьей 183 – «Незаконный сбор конфиденциальной информации». Одним из ключевых моментов совершения таких преступлений, является непосредственный сбор информации от жертв. Если смотреть действующее законодательство, то все эти преступления подпадают под иные категории незаконного сбора информации, при этом их социальная опасность и значимость значительно превышает явно прописанных в законе методов сбора такой информации.
Таким образом, по нашему мнению, новое законодательство требует значительного изменения, и, по нашему мнению, необходимо – внести в статью 158 УК новый вид хищения – данных банковского счета для перевода денежных средств. Уравнять ответственно по статьям 158 и 159, а статью 183 УК дополнить таким способом сбора информации, как путем обмана. Указанные изменения позволят значительно упростить возбуждение уголовных дел и исключить случаи пересылки заявлений между различными органами внутренних дел, установить единую степень ответственности, ну и, естественно, привлекать к ответственности членов преступных групп, непосредственно занимающихся обманом, обзвоном с целью получения конфиденциальной информации.
Ну и в заключение хотел бы сказать, что на сегодняшний день, государственными органами рассматривается законопроект, связанный с изменением Кголовного Кодекса, который существенно ужесточает эту ответственность и предусматривает все озвученные мною предложения и необходимые меры. Сбербанк со своей стороны, конечно же, предложения полностью поддерживает, и мы считаем, что эти меры позволят конкретизировать совершаемые преступления, и более эффективно привлекать к ответственности преступников
Эльман МЕХТИЕВ (модератор): Вы говорите, что в государственных органах находится на рассмотрении данный законопроект, нужно ли нам что-то делать?
Евгений КАЛИНИН: Мне кажется, пока что делать, наверное, мы ничего не в состоянии, потому что законопроект находится на доработке, отзыв о законопроекте переписывается Минюстом во взаимодействии с МВД России.
Эльман МЕХТИЕВ (модератор): То есть вы думаете, что нам надо, возможно, подождать.
Максим, вопрос к вам. Вы и сейчас уже что-то делаете – Управление «К» МВД имеет некоторую практику, наверно. И вы можете нам подсказать – то, что вот предлагают банковское сообщество в лице Сбербанка, поможет ли вам помочь нам?
Максим ТОЛКАЧЕВ: Ну, безусловно. Здесь нельзя не согласиться, в том числе с мнением Сбербанка о том, что уголовную ответственность необходимо ужесточать за совершение преступных деяний. Не только в части краж и мошенничества, но, в том числе, в области вмешательства в компьютерную информацию, незаконное модифицирование, копирование. И делать ответственность действительно реальной. Она не должна носить условный характер, и она не должна ограничиваться наложением штрафов в размере десятков тысяч рублей, когда приводит к хищениям или ущербу в размерах миллионов, иногда миллиардов рублей.
Эльман МЕХТИЕВ (модератор): Сегодня утром я прочитал на РБК, что в Петербурге наконец-то было принято судебное решение по краже на сумму 400.000.000 рублей у нескольких клиентов Сбербанка. Этот кейс, оказывается, 2012 года. Решение принято только в 2016 году. Это что – сложность расследования или сложность принятия решения суда?
Максим ТОЛКАЧЕВ: В том числе и сложности расследования. Здесь может быть комплекс факторов, исходя из каждого конкретного случая. По этому случаю нельзя судить о системе. Идет кропотливый процесс сбора доказательств, процесс оформления следственными органами всех имеющихся доказательств и передача их в суд.
Эльман МЕХТИЕВ (модератор): Я хотел бы уточнить у Артема Сычева, видите ли вы, что банковскому сообществу нужны не только хорошо работающие центры реагирования, но и изменения законодательства? Конкретно то, о чем говорил Евгений.
Артем СЫЧЕВ: Проблема на самом деле гораздо сложнее, чем просто изменение законодательства. То, о чем говорил Евгений мы не то, что одобряем, мы активно поддерживаем и продвигаем вместе со Сбербанком. Этот проект разрабатывался, он планировался к внесению в Госдуму депутатом Костуновым, но реально над ним работал МВД и Сбербанк. Это, кстати, один из немногих примеров, крайне положительных и интересных, когда коллеги в кредитных организациях пытаются отстаивать не просто интересы своего собственного банка, но и интересы банковского сообщества. Поэтому эту темы мы активно вместе с ними продвигаем, поскольку, не скрою, она вызывает неоднозначное отношение в ряде государственных органов.
В качестве примера могу привести, что Евгений указывал, что в 183 статье нет такого понятия как «сбор информации путем злоупотребления доверием». Большая часть судебных органов и прокуратура рассчитывают на то, что здесь можно действовать через 30 статью УК, то есть через «приготовление к совершению преступлений».
И здесь второй вопрос –как доказать то, про что мы, собственно, здесь говорим. Безусловно, мы согласны с тем, что должна быть изменена 158 статья и кража с банковского счета должна быть все-таки признана кражей. То есть вор должен быть назван вором, а не мошенников. Очень сложно приравнять человека, который ворует десятками миллионов к воровке на вокзале, которая отнимает последнюю десятку у доверчивого человека. Хотя, по сути, инструмент используется один и тот же – злоупотребление доверием. Просто последствия разные.
Но, проблема в том, как обеспечить доказательную базу. Здесь мы очень надеемся на то, что тот проект стандарта, который мы разработали вместе с коллегами из МВД, из следственного комитета, из ФСБ в этом немного поможет.
Суть его в детальной методике, описывающей сбор доказательной базы при работе с электронными средствами и при оформлении соответствующих документов для предоставления в органы следствия, и для предоставления как доказательной базы в суде. Вот я бы это рассматривал в совокупности, и отрывать одно от другого – не очень хорошо.
Но есть третья стороны этого вопроса. По статистике, которую мы сейчас получаем, видим, что за последние 10 лет поменялась подготовка к атакам. Если раньше, даже когда охотились за деньгами юридических лиц, клиентов коммерческих банков, предварительно совершали какие-то технический действия – сканирование портов, анализ, есть ли там какая-то уязвимость у того или иного компьютера, сейчас это никого абсолютно не интересует. И подготовка к атаке начинается просто с рассылки почтовых сообщений, которые подделываются под кого угодно. Под вашего контрагента, под пенсионный фонд, под Сбербанк, под любые иные банки, в том числе под Банк России.
Евгений приводил статистику по SMS. Процентов 80 такого спама идет с подписью «Служба безопасности Центрального Банка». Вы не поверите, но на такие уловки попадаются даже пенсионеры Центрального Банка. Совсем недавно был случай, когда такая SMS пришла пенсионеру, он перезвонил по этому телефону, с ним начали разговор. Он говорит: «подождите, я не помню, чтобы в Центральном Банке были такие телефоны». «Не, не, не, вы уже давно не работаете, все поменялось». Отобрали у человека деньги.
Собственно, это к тому, что уголовное законодательство – это хорошо, сбор доказательств – это тоже хорошо, и необходимо, и важно. Это элементы неотвратимости наказания, серьёзной профилактики. Но, на мой взгляд, еще более эффективный метод – работа с населением. Повышение финансовой и информационно-безопасной грамотности, поскольку эта проблема будет усложняться.
Если сейчас в зоне ее влияния, в основном люди пенсионного и предпенсионного возраста, которые не очень понимают, что это за технологии, кто им посылает эту SMS, и, по сути, им вообще без разницы, они верят этой технологии, то на подходе, как у нас любят говорить, поколение «Z», которое просто бездумно доверяет всем технологиям. И сообщение друга ВКонтакте, даже если он его не писал, является основанием для того, чтобы бежать на какой-либо флешмоб или совершать еще какие-либо действия. Это гораздо страшнее, чем какие-то SMS-рассылки. Поэтому мы со своей стороны как Центральный Банк пытаемся готовить программу повышения осведомленности и будем настаивать, чтобы такие программы развивались и в кредитных организациях.
Эльман МЕХТИЕВ (модератор): Мне кажется, что мы немножко заигрались с этой финансовой грамотностью. Не потому, что она не нужна, а просто-напросто мне гораздо больше нравится поворот, который сейчас сделали в Дании, Соединенный Штатах. Там уже откровенно говорят про financial health and safety, про финансовое здоровье и безопасность. Потому что оказалось, что финансовая грамотность не есть панацея. И даже самые высоко грамотные люди попадают в проблемы, которые создают проблемы для их финансового здоровья и финансовой безопасности.
Это может быть просто другой название, но мне кажется, что тогда мы, банки, начнем понимать, что речь идет не просто про «давайте очередную лекцию прочитаем про презервативы школьникам».
Сразу к вам, Максим вопрос. Я знаю, что вместе с МВД идет разработка законопроекта. Но если мы сообществом будем исходить из этих стандартов сбора доказательств, это поможет вам?
Максим ТОЛКАЧЕВ: Безусловно это поможет. Потому что если будет единая выстроенная схема и сотрудники кредитных организаций страны, граждане будут знать алгоритм действий, необходимых для сбора доказательственной базы, то это, естественно, облегчит и ускорит процесс нахождения злоумышленников.
Артем СЫЧЕВ: Хотел бы пару слов добавить про это. Всем известно положение 382П, одна из новаций, которая была в последний раз туда внесена, это обязанность кредитных организаций по сбору, точнее, по ведению логов систем дистанционного обслуживания клиентов, где было четко сказано, где и как собирать.
Откуда эта штука взялась? А взялась она потому, что как раз, когда наши правоохранительные органы столкнулись с проблемой сбора доказательной базы, они приходят в банк и говорят, слушайте, ну у вашего клиента там украли, дайте, пожалуйста, логи. А банк говорит, а вы знаете, у меня их нет. Или еще был очень весёлый вариант ответа: «В соответствии со стандартом Банка России мы их уничтожили через 3 дня». Где они это в стандарте нашли, вообще не понятно.
Так вот, по просьбе, собственно, правоохранительных органов, вместе с ними отрабатывали формулировку, внесли, соответственно, в 382П и за последнее время ни разу не было обращений от правоохранительных органов о том, что им чего-то в этой части не дали. То есть эта проблема, во всяком случае, если не ликвидирована, то сведена к минимуму. И это, я думаю, сильно облегчит задачу коллегам.
Эльман МЕХТИЕВ (модератор): Немножко удивительно. Не то, что я не знал. Наоборот, у меня скорее вопрос, кто те банки, которые так не делали? И не пора ли там открыть расследование?
Артем СЫЧЕВ: А я думаю, что этими банками надзор занимается.
Эльман МЕХТИЕВ (модератор): Евгений, вопрос к вам. Вы как международная платежная система, хоть сейчас и не любят говорить про международный опыт, что вы думаете о том, что было сказано и насколько это помогает на ваш взгляд в других странах, или что-то еще нужно сделать?
Евгений БАЛЕЗИН: Ну, сделать нужно наверняка еще очень много.
Прежде всего про международный опыт. К счастью, или к сожалению (в данном случае, наверное, для нас с вами к счастью) риски, о которых мы сейчас говорим, в том числе которые обозначил Евгений Калинин, являются не уникальными. Весь мир живет примерно в одной зоне риска, с точки зрения использования как платежных средств, так и новых технологий.
Человек как объект атаки мошенников в общем и целом примерно одинаков, что в Америке, что в Европе, что в России. Более того, в каких-то смыслах российская действительность не такая черная, как ее иногда рисуют. В том числе, кстати, это происходит и благодаря тем усилиям, которые мы наблюдаем со стороны регулятора.
Что касается законодательства, с точки зрения уголовной ответственности мне, наверное, не совсем корректно это говорить, но я боюсь, как бы мы не натолкнулись на ту позицию в обществе, которая сейчас декларируется как гуманизация Уголовного Кодекса. В целом я, безусловно, за ужесточение наказания и за скорейшее раскрытие преступлений, но нам, вероятно, придется преодолеть и эту существующую в обществе, среди политиков, законодателей, мысль о том, что уголовное законодательство итак слишком жесткое.
С какой мыслью я шел на эту встречу. Мы с вами все являемся, ну или некоторые из здесь сидящих являются участниками обсуждения поправок в 161 ФЗ, который сейчас подготовлен, и о которых, как я понимаю, на предыдущей сессии упоминалось.18 ноября на сайте Минфина это будет опубликовано. Эти поправки обяжут банки установить требования по выявлению подозрительных операций.
Это первое. Второе, дадут ли им право приостанавливать на определенный срок движение средств по счетам? Третий момент, самый важный, поправки обязывают принимать меры возврата средств от организации куда они поступили, в организацию, откуда они пришли, если признано, что средства украдено.
Так вот, фактически полностью соглашаясь с этими поправками, которые я видел и которые мы анализировали у себя, считаю неработающим элементом этой конструкции является то, что по ним банки, либо пострадавшие люди, должны обратиться в арбитражный суд, который должен принять решение, и только на основании этого решения могут быть приняты дальнейшие действия по возврату средств из организации Б в организацию А.
Содержательная часть сегодняшнего разговора, которую я хотел здесь привести, состоит в том, что, как мне кажется, нам надо найти более простую и легко реализуемую, при этом юридически верную форму, которая дала бы банкам право проводить такие возвраты без обращения в суды.
При этом, как мне представляется, если говорить о конкретных, более четких предложениях, мне кажется надо вообще убрать из поправок все, что связано с Арбитражным судом, просто отказаться от этого, от этой части этих поправок. И закрепить одним простым тезисом (если, конечно, регулятор к этому готов), что механизмы возврата средств будут определены или рекомендованы нормативным актом Центрального Банка России. А вот уже в этом нормативном акте в ходе разговора с профессионалами, юристами банков, экспертами, людьми, которые противодействуют мошенничеству, выбрать или перечислить те механизмы, которые банк, принимая на себя определенные риски использования того или иного механизма, мог быприменять.
Вот, собственно, содержательная часть моего сообщения. При этом мы, MasterCard проговаривали этот элемент юридической конструкции с одним из ведущих банков. И, в целом, в таком подходе нашли полную поддержку.
Поэтому, если после нашей сегодняшней встречи – при условии, что есть консенсус и нет каких-то противоречий или принципиально другого взгляда на эту ситуацию, – это могло бы быть результатом нашего сегодняшнего заседания, нашей сессии, как предложение в доработку того документа, который концептуально поддержан всеми структурами, насколько я понимаю, и готовиться уже к внесению в Госдуму. Но на мой взгляд, он не будет работать, если останется та конфигурация судебного решения, которая сегодня закрепляется в этих поправках.
Если есть, как говорится, принципиально другие мнения, было бы хорошо их послушать и обсудить.
Артем СЫЧЕВ: У меня не принципиально другое мнение, просто определенный комментарий.
Начиная с конца, вы предлагаете внесудебную процедуру, которая должна быть определена неким документом Центрального Банка. Так не получится, поскольку: а). у Центрального Банка нет таких полномочий; б). внесудебная процедура эта противоречит всей юридической практике, основам государства и права.
Почему сейчас определена такая конструкция? Я темой возврата денежных средств занимаюсь уже третий год, именно в формате законопроекта. 2 года этому законопроекту и, к сожалению, иной процедуры никто из участников рынка не предложил, несмотря на то, что эта тема обсуждалась на рабочей группе при Центральном Банке, где были все крупные банки. Эта тема обсуждалась во всех ассоциациях, которые связаны с платежами. Эта тема обсуждалась и в государственных органах. Она тяжеловесна, она не очень понятна, в том числе и судебным органам. Потому что, если посмотреть дальше, надо понять, что должен предъявить банк-плательщик, или, хотя бы владелец счета для того, чтобы было признано, что платеж недействителен. Это еще одна задача.
Это раз. К сожалению, никто не может предложить иной альтернативы. Посмотрели, что есть в международной практике. В Великобритания по делам eCommerce и по платежным делам есть отдельная судебная процедура. Дела решаются без присутствия сторон, при предоставлении заранее оговоренного списка документов. Решение принимается за 2 дня.
Малайзия. Там есть процедура, которая позволяет генеральному прокурору наложить арест на счет, и дальше владелец счета, куда деньги были отдебетованы, должен доказать, что они его, а не украдены. То есть, фактически, брокер должен ходить и доказывать, что это не так. А потом прокурор может принять решение о дальнейшей судьбе денег: в суд и т.п.
У нас такой процедуры нет. К сожалению, даже когда этот вопрос обсуждался на Коллегии по квалификации при Президенте Российской Федерации, уважаемые профессора, академики и научные светила точно так же не смогли предложить внятную процедуру быстрого возврата денег.
То есть, есть предложение вернуться к обычной судебной практике. Но тут я, опять же, хочу вернуться к словам, которые ранее сказали: дело 12-го года завершилось только в этом году. И, соответственно, может быть деньги еще не возвращены к этому времени.
Вот поэтому, процедура такая есть, я не уверен, что она в таком же формате найдет решение в законе, но пока другой процедуры, к сожалению, никто предложить не может. Попробуйте предложить.
Эльман МЕХТИЕВ (модератор): В действительности у меня нет никакой личной позиции по этому вопросу. Я тоже не смог понять, на основании каких, скажем так, признаков банк, который получил деньги, должен согласиться их вернуть. Просто, чтобы потом не попасть в ситуацию, когда зададут вопрос, почему он их вернул и не исполнил платеж. Но, мне кажется, что, если сообщество считает, что нужно обсуждать, нужно обсуждать и выработать решения.
Если говорить про Великобританию и Малайзию, мне нравится, когда мы можем существующие механизмы заставить работать быстрее. Пусть это будет специальная палата, специальная комиссия, какой-то специальный орган. Но, если мы заявляем, что ничего не работает, давайте делать с нуля, мало того, что мы вызовем сопротивление этих органов, мы не сможем построить параллельную систему.
Алексей, хотел спросить, у вас еще более интересная ситуация. С одной стороны, вы отвечаете за группу компаний, которая включает в себя много работающих непосредственно с рынком предприятий. А с другой стороны, ваша же группа компаний выступает поставщиком решений. Поэтому у вас две роли, постарайтесь их кратко изложить в одном выступлении. Как вы видите эту дискуссию?
Алексей ЛЕОНОВ: Если совсем кратко, то я придерживаюсь позиции: не надо искать сложного в простом. Зачем долго искать сложное решение и пытаться объяснить его рынку, когда можно найти что-то более простое, работающее.
Я соглашусь с Евгением Балезиным, по поводу изменений 161 ФЗ. Зачем пытаться придумывать новый велосипед, пытаться за 2 недели донести это до рынка, при том, что у рынка есть простые решения. Эти решения есть и на международном рынке.
В принципе, рассматривая безопасность как платёжная система в банковской сфере, я бы сказал, мы находимся в догоняющей роли. Когда у нас появляются новые технологии -мы смотрели первый доклад Евгения Калинина, у меня такая же статистика – сейчас все мошенничества в основном ориентируются на простых людей. У нас появляются новые платежные инструменты, новые платежные сервисы, доступные абсолютно всем. Но при этом мы отстаем по финансовой грамотности, финансовому здоровью и отстаем по защите прав потребителя, как раз в области нашего законодательства.
Мы внедряем новые технологии, даем инструменты, но при этом если соизмерить возникающие новые риски и с нужной ответственностью, мы до сих пор находимся где-то в начале 2000-х годов. То есть если мы только сейчас закрываем дела 2012 года, то через несколько лет мы так и будем стоить на месте. Поэтому я призываю больше к простым решениям, которые будут понятны как для всего финансового рынка – что делать, как делать – так и понятны для пользователей финансовых услуг, которые этими сервисами пользуются.
Эльман МЕХТИЕВ (модератор): Артем Михайлович, такой вопрос. Внутри платежной системы прописаны правила, и банки-участники согласны с этими правилами, в том числе и, скажем так, с «добровольным возвратом денег». Банк России утвердил эти правила платежной системы. Какие у Банка России к этому вопросы?
Артем СЫЧЕВ: Вы говорите про взаимодействие конкретного субъекта с его банком на основе договора. Плюс это, соответственно, подкреплено статьей 161-ФЗ. Но мы-то говорим немножко о другом.
Безусловно, в случае, когда клиент, особенно в случае с таким явно социальной инженерии мошенничеством, пришел к банкомату и самолично отправил деньги преступнику, говорить о возврате каких-то денежных средств, честно говоря, очень сложно. Поэтому я и говорю о необходимости повышения. Да, пускай это будет «финансовое здоровье».
Эльман МЕХТИЕВ (модератор): Эта статья говорит о том, что нужно подать заявление.
Артем СЫЧЕВ: Клиент подаст, но естественно, банк его рассмотрит. Решение дальше, соответственно, за банком. Но скорее всего оно будет не в пользу клиента, поскольку есть все доказательства того, что клиент сделала это в здравом уме и по своей воле. Что, скорее всего, закреплено в договоре с клиентом.
Опять же, правовая сторона вопроса: есть договор, делал ли клиент что-то за пределами этого договора. Нет, не делал. Значит процедура, про которую мы говорим, я не соглашусь с тем, что она новая. Особый арбитражный порядок у нас уже установлен сейчас. Поэтому нового здесь ничего не возникает. Возникает только, соответственно, новая категория в рассмотрении уже особого порядка.
Я уже сказал, вопрос в том, какие документы предоставлять, как их формировать и в какие сроки рассматривать. Основная претензия на Квалификационной комиссии при президенте была даже не к сути операции, а к срокам, которые арбитражи просто не в состоянии, по мнению профессиональных юристов, будут выдержать. Очевидно, они правы. Не моя зона компетенции, не могу ничего сказать.
Но, если брать всю цепочку преступления, то, допустим, представьте себе, даже если банк выявил, что это мошенническая операция. Он отследил эту операцию и сообщил банку-получателю, получатель в своей роли эти платежи затормозил. Вернуть – на каком основании, что является основанием для возврата денежных средств? Оформить операцию как ошибочную невозможно, не предусмотрено.
Как сейчас происходит? А сейчас – вообще ничего. Сейчас два банка между собой договариваются –я тебе доверяю, ты мне доверяешь, все понятно. Есть заявление клиента, действительно серьезный, важный клиент, мы ему верим, все в порядке. То есть это такая «по понятиям» договоренность.
У меня в практике была ситуация, когда у клиента «увели» приличную сумму. Обычная ситуация – на машину клиента поставили вредоносное программное обеспечение, за него сделали платежное поручение, закинули, отправили. В итоге отследили этот платеж, его заблокировали, точнее, банк-получатель вовремя остановил. Нужно было принять судебное решение, как это положено, хотя бы на блокировку этого счета. Удачно сложилась ситуация, когда руководитель этого предприятия, прокурор и судья в одной бане парились, поэтому все решилось просто и в течении двух часов.
Все это переложить в рамки закона очень сложно, практически невозможно. Поэтому мы и говорим, что такие процедуры должны быть формализованы прежде всего в рамках закона, чтобы не изобретать велосипед. Что мы и не делаем, конечно. Мы пытаемся использовать то, что есть сейчас уже установлено в рамках арбитражного производства.
Почему арбитражного? Потому что, как правило, за возвратом денежных средств, обращается, как правило, прежде всего банк к банку, а это не гражданское производство, а именно арбитражное. И работа укладывается в эту ситуацию.
Да, есть тонкость, и она заключается в том, что процедура будет работать только тогда, когда эти деньги уже попали на счет банка-получателя, но еще не дебетованы на счет конечного получателя. Почему? Тоже понятно. Как только денежные средства оказываются на счету клиента – Гражданский Кодекс в полном объеме, судебное решение и т.д. Если же мы говорим о необходимости создания глобальной в рамках Российской Федерации системы антифрода и обязанности каждого банка такую работу проводить, то логичным участком этой работы будет та самая процедура возврата денежных средств. Потому что, по большому счету, даже если система не сработала сразу, она должна сработать у банка-получателя и он, по идее, не должен эти деньги зачислять на счет получателя. И идея была именно в этом. Возможно, она сейчас звучит очень идеалистично. Но практика, которая есть у нас, исходя из скорости обращения денег – время жизни ворованных денег на счету банка – до двух часов, не больше. И в лучшем случае это надо просто успеть уловить. Поэтому мы готовы обсуждать любую процедуру, которая в рамках закона позволит возвращать деньги.
Эльман МЕХТИЕВ (модератор): Думаю, что вы знаете: если не ошибаюсь, в сентябре, будут говорить о том, что будут делать проект по риск-профайлам клиентов. Можем ли мы говорить о том, что если проект удастся, то мы сможем сдвинуться и использовать его результаты? Потому что фактически речь идет о том, что за клиентами определенного типа банк не просто должен наблюдать, но может и приостанавливать операции.
Артем СЫЧЕВ: Одно другого не исключает. Опять же, и у кого воруют и через кого выводят ворованные средства – эти люди распределены практически по все банковской системе. Нельзя сказать, к примеру, «всех брокеров сосредоточить только здесь». Точно также, как нельзя сказать, что воруют только у какого-то конкретного банка. И не только у клиентов воруют, но и у банков воруют.
Кстати, воруют не только в Москве, но и в других регионах. Когда готовили материал на Совет безопасности, и потом, соответственно, доклад президенту, сделали карту распределения, в каких регионах воруют и в каких регионах деньги выводят. Эти две карты не совпали между собой. К сожалению, воруют в большем количестве регионов, чем где деньги, наоборот, выводят. И выводят как раз больше там, где плотность населения выше.
Это тоже понятно, потому что было бы очень странно, если бы в какой-нибудь банк в маленьком городе придет человек и закажет 50 карт сразу. Очевидно, что у этого банка возникнет подозрение, зачем человеку столько карт. Как минимум по 115-ФЗ проверка пройдет. А в крупном городе, где население приближается к миллиону, проблем таких нет. Особенно, если есть фиктивный зарплатный проект. Ну а дальше через эти карты вывод пойдет спокойно.
Поэтому очевидна инициатива. Но это не является панацеей. На практике могу сказать, что есть случаи. когда одно и то же предприятие может и нормальную экономическую деятельность осуществлять, но вдруг, раз – и через него выводят ворованные деньги. А почему? А потому что друг заместителя генерального директора попросил о небольшой услуге: «мне надо деньги перевести, давай я через тебя это сделаю». И я думаю, что такой вариант антифрод-система банка выявит скорее, чем профайл мониторинга.
Эльман МЕХТИЕВ (модератор): Евгений Балезин предложил, досудебный механизм приостановки и возврата…
Евгений БАЛЕЗИН: Я предложил найти какое-то решение, более простое и комфортное, чем арбитражный суд. Не нравится слово «досудебное», давайте назовем по-другому. Комфортное решение.
Эльман МЕХТИЕВ (модератор): Задам вопрос залу. Уважаемые участники рынка, кто готов к такой процедуре без решения суда, в облегчении? Достаточно значимое количество рук, хорошо.
Вопрос к Евгению Калинину: а как вы думаете, Сбербанк присоединиться к этому выбору?
Евгений КАЛИНИН: Если будет эталон какого-то регулирующего документа, законодательного акта, принято какое-то решение, я полагаю, Сбербанк к такому решению обязательно присоединится.
Эльман МЕХТИЕВ (модератор): Присоединится, но продавливать не будет? Я правильно понял?
Сделаю немного нестандартно. Коли у нас идет дискуссия, то я прошу задавать вопросы не из зала, а вот прямо внутри президиума.
Артем СЫЧЕВ: Очень простой вопрос – про активную фазу движения законопроекта, о котором мы сейчас с вами говорили. Мы публично и с высокой трибуны объявили в феврале этого года, причем это делал первый зампред Банка России Георгий Иванович Лунтовский, на Уральском форуме. Тогда же этот документ был доступен, потому он пошел все положенные стадии рассмотрения, был вывешен на портале. За это время, неужели никто не посчитал необходимым хотя бы прочитать, что там написано?
Я понимаю, когда мы с Минюстом это обсуждаем, они работают по формальным процедурам, Совет по квалификации – тоже работает по формальным процедурам. Но, рынок – открыт. И даже если не брать то, что было до Уральского форума в этом году, когда банки активно принимали участие, то это меня, честно говоря, настораживает.
Евгений БАЛЕЗИН: Если это вопрос ко мне, как к человеку, который попытался ту тему поднять, то у меня все просто. На второй день после того, как ко мне попал законопроект в руки, мы в коллективе обсудили и на третий день выдали на-гора ровно то, о чем я сейчас вам сказал. И практически полностью поддержали все предлагаемые поправки, потому что они действительно разумны, здравы, нацелены туда, куда должны быть нацелены. Но нам совершенно была неясна последняя часть этих поправок, связанная с тем, что я сказал. Единственно, что к нам обратились за анализом в середине августа, если мне память не изменяет, в начале сентября. Вот и все.
Артем СЫЧЕВ: Все-таки не две недели назад.
Евгений БАЛЕЗИН: 2 недели – это упомянуто, что еще понадобится по регламенту Минфина.
Затем мы проговорили в рабочем порядке на ряде встреч с банками, и для меня стало совершенно очевидно, что это вопрос, действительно кейс.
И, третий момент, в это же время я участвовал в исследования схемы, когда слева пострадавший / его банк, справа банк, куда вывели, и мошенник. Три стороны в этой дискуссии признали на второй день операции, что она мошенническая. И деньги остановили. На четвертой стороне участника не могут найти, чтоб спросить, его ли деньги это. Задаю вопрос, поскольку меня все-таки попросили поучаствовать в ведении: «а как насчет того, чтоб вернуть деньги-то, поскольку вроде очевидно все». И я получил ответ, который был мне не понятен. Просчитав поправки, я осознал, что одно в другое ложится. Было сказано в том банке, что только по двум основаниям могу вернуть: если клиент скажет, что деньги не его, откатите откуда пришли, либо если будет судебное решение.
Теперь мы нашими поправками даем и обязываем банки определить критерии, по которым операция подозрительна, даем им право приостановить движение средств. Даем право, это не нарушение Гражданского Кодекса.
И затем я задаю себе вопрос – а с какими аргументами и кто придет в Арбитражный суд в течении 7-14 дней кроме тех, кому стали понятны выводы на второй день расследования? На мой взгляд, ответ – ни с чем новым, кроме того, что они увидят на второй день они не придут туда. Собственно говоря, отсюда и родилась эта мысль.
Я не говорю, что арбитраж как механизм плох. Но мне почему-то кажется, что он работать не будет. Кроме того, когда мы разговаривали с нашими юристами, было сказано, что Арбитражный суд – это не единственный инструмент. Зачем его прописывать в качестве единственного способа разрешения спора?
Я только это имел в виду, говоря о то, что давайте уберём про арбитраж, запишем, что механизмы, или способы, или основания возврата средства могут быть обозначены где-то в другом нормативном документе. Дальше в этом нормативном документе перечисляется Административный, Гражданский кодекс, там Брачное законодательство, если будет подходить сюда.
Эльман МЕХТИЕВ (модератор): Нормативным актом определить?
Евгений БАЛЕЗИН: Нет, я к тому, что, как вариант, Центральный Банк перечисляет возможные способы, вот и все. Банки получают документ и на него опираются. Смотрят: вот с этим кейсом я иду в арбитраж, с этим – в уголовку, а с этим, как вы говорите, в бане договариваемся. Вот и все.
Артем СЫЧЕВ: Вот именно потому, что такая ситуация, мы предложили такой вариант, который находится в рамках законодательства.
Еще раз повторю, если есть какие-то иные варианты, давайте ситуацию рассмотрим. Но вариант с регулированием этого возврата через нормативный документ совершенно точно не пройдет, поскольку это тоже получается досудебное решение.
Здесь же суть в том, что возникает спорная ситуация, и этот спор должен решиться путем принятия решения третьей стороной. Третьей стороной в Российском законодательстве является суд. Суд может быть разный, в зависимости от того, какое дело – уголовное или не уголовное.
Поверьте, эта позиция, которая много раз обсуждалась, в том числе и с Минюстом, и с нее совершенно точно никуда не свернем, не сможем. А как упростить эту процедуру, или что-тот сделать еще в рамках судебной системы, очевидно, это можно сделать. Привел пример Великобритании, там особая судебная процедура есть.
Артем СЫЧЕВ (ответ на вопрос из зала): Еще раз, в рамках платежной системы, я же отвечал на этот вопрос, действует договоренность клиента, банка и платежной системы. Там все решается проще. Возврат денег по этим операциями, особенно если речь идет о съеме наличных денег, когда карта с чипом, разрешается гораздо проще. Регулируется, соответственно, правилами платежной системы.
А мы говорим о других ситуациях, когда идет хищение у физических и юридических лиц по иным каналам дистанционного обслуживания, и никакие карты, никакие платежные системы здесь не участвуют. Платежные системы, как правило, участвуют на стадии вывода этих денег. То есть уже когда они пошли через счет клиента и дальше, соответственно, выводятся через карты. Вот об этих ситуациях мы как раз и говорим.
Эльман МЕХТИЕВ (модератор): Следующий вопрос. Мы говорим о том, что без удаленной идентификации невозможно развитие цифрового пространства, невозможно развитие платежных услуг. Вам как тем, кто очень близко или непосредственно занимается информационной безопасностью, один простой вопрос. Если мы все-таки сделаем этуидентификацию, что еще нужно будет сделать с точки зрения безопасности?
Евгений КАЛИНИН: С точки зрения информационной безопасности при наличии этой идентифиикации, в любом случае, по нашему мнению, остается вопрос информированности клиента и культуры его безопасности, внедрения этих вопросов в массы. Поэтому мы считаем, что этому вопросу нужно уделять особое внимание.
Эльман МЕХТИЕВ (модератор): Максим, банки начали открывать счета удаленно, и пошла уйма жалоб о том, что таким образом украли деньги. Да, он не открывал счет, или наоборот, счет был открыт без его ведома, и прочее, прочее, прочее. Что вам нужно от нас, от банковского сообщества, чтобы действительно оперативно работать по этим вещам?
Максим ТОЛКАЧЕВ: Хотелось бы отметить тот факт, что выпускаются различные приложения. Банки, естественно, стремятся сделать для пользователей удобный интерфейс, удобные приложения для быстроты обслуживания и с целью получения большей выгоды. Но при этом нельзя торопиться с выпуском таких продуктов. Нельзя вести процесс в ущерб безопасности данного приложения. Оно должно быть безопасным, потому что много дыр. А на процесс «латания» уходит очень много времени. Годы иногда.
Алексей ЛЕОНОВ: Я бы здесь отметил, что, когда мы какой-либо сервис внедряем, подстраиваем его под определенный уровень безопасности и идентификации клиентов для данного сервиса. Но при этом, начинаем забывать, что, когда эти сервисы начинаем друг с другом интегрировать, получается что-то более сложное. При этом уровень безопасности остается на том простом уровне, для конкретного сервиса.
Например, появилась ЕСИА со своей простой идентификацией. А сейчас начинают обсуждать открытие счетов или других каких-то более сложных финансовых продуктов, но с использованием идентификации того же уровня. Поэтому стоит, более обдуманно подходить ко всем вопросам и в совокупности оценивать, в том числе на перспективу, как данный конкретный сервис может быть в будущем интегрирован с другими сервисами и что стоит сразу закладывать, чтобы потом было проще это внедрять.
Евгений БАЛЕЗИН: Каждый участник процесса – не важно, разработчик, внедренец, мониторщик, безопасник – должен ответственно относиться к тому, чем занимается. Понимать, в том числе, тему, связанную с рисками и, как минимум, ставить ее в повестку дня. И реализовывать те, хотя бы минимальные требования, которые уже сформулированы, в том числе платежными системами в части противодействия мошенничеству.
Эльман МЕХТИЕВ (модератор): При обсуждении мы постоянно подходили к вопросу или обучения ответственному поведению потребителей, или к тому, что банк сам должен подходить ответственно, пусть это будет даже удаленная идентификация. Вопрос: а как Банк России будет оценивать, банк ответственно подошел или безответственно?
Артем СЫЧЕВ: Мы про это говорили, и в последний раз об этом достаточно подробно рассказывал заместитель председателя Банка России Поздышев в Казани на Финнополисе.
По сути, информационная безопасность – это одна из составных частей операционного риска. И подход, которой есть у Банка России и будет в ближайшее время, собственно, основывается на все тех же базельских рекомендациях. Обсуждение сейчас идет только о том, что все-таки взять за основу.
Размер риска для кредитной организации понятен, собственно говоря, и для клиента кредитной организации тоже понятен. Это среднедневной остаток на счете. Это те деньги, которыми с точки зрения информационной безопасности для платежей рискует либо банк, либо клиент. То есть, расчет понятен. Соответственно, от него можно отталкиваться и принимать решения. Если банк заботится об этом, он должен предъявить соответствующие доказательства в виде – здесь, опять же, ничего нового не изобретаем – как правило, свидетельства о проведении сканирования, проведения работ по информационной безопасности, проведения работ по повышению осведомленности, целая серия других моментов. Плюс, соответственно, анализ тех инцидентов, которые произошли с его счетами и со счетами его клиента.
По решению, либо он заботится, либо нет, тут дальше решение либо по увеличению резервов на соответствующую сумму риска, либо, соответственно, увеличение капитала на ту же самую сумму. То есть вариантов, на самом деле, немного.
В течении следующего года это будет уже иметь форму нормативного документа, и банкам с этим придется жить.
Но я бы хотел бы обратить внимание на две составляющие первого вопроса, потому что они вплотную присоединяются к тому, который вы мне задали. О чем тут нужно думать и о чем тут говорить.
Классическая схема обеспечения информационной безопасности – это организационные и технические меры. Когда речь идет о технических мерах, надо понимать, что они работают не в вакууме, вокруг есть окружение. Если платежное приложение, даже самое классное работает в незащищенной среде, оно работает в незащищенной среде, это надо понимать. И если при этом еще и рассылает определенную информацию в незакрытом виде, это может совершенно спокойно перехватить рядом стоящая «умная» кофеварка, которая захвачена хакером. То есть это замечательное платёжное приложение будет работать не на его владельца – банк, а на хакера, который дистанционно управляет вашим телевизором или кофеваркой. Поэтому технические меры надо все-таки продумывать с учетом окружения, это первое.
И, второе, безусловно возвращаемся к повышению осведомленности. Людей надо обучать и говорить не только о том, что есть злобные хакеры и как правильно смотреть на телефон банка, от которого SMS пришло, и что нужно карту перевернуть и туда позвонить. Но и что вокруг них происходит. Вы все, наверное, в социальных сетях работаете, хотя бы проанализируйте, что вы туда отправляете – какую свою собственную личную информацию вы туда отправляете. И потом просто сравните: вы готовы то же самое написать на плакате и выйти с этим на улицу? Очевидно – нет. Но в социальных сетях вас это не пугает, хотя вы прекрасно понимаете, что это видят миллионы. Эта собранная информация сейчас спокойно может повлиять на то, что ваш счет станет на несколько тысяч рублей меньше, причем не в вашу пользу.
Вот об этом говорить надо, и эти вещи надо обязательно людям стараться объяснять: окружение с точки зрения техники и окружение с точки зрения человека.
Эльман МЕХТИЕВ (модератор): Когда Артем Сычев говорил по поводу окружения, я вдруг вспомнил, что нет ни одного банковского приложения, по крайней мере мне известного, которое бы мне говорило: «ты входишь с мобильного телефона в твой банк-клиент, ты готов к тому, что wi-fi, через который ты входишь, небезопасен»?
В предыдущей сессии обсуждали защиту прав потребителя. Я много лет занимался вопросами защиты прав потребителей. Как бы не было грамотно физическое лицо, оно не может быть грамотно настолько, насколько организации, которые занимаются этим постоянно – не грамотностью, а предоставлением услуг. Потому что у нас с вами опыт многих людей, мы его собираем, анализируем и что-то делаем. И я сейчас вот натолкнулся на мысль: я люблю делать все быстро, на ходу, но я себя поймал на мысли, что если я не доверяю wi-fi, то я не войду ни с телефона, ни с iphone, ни с ipad, ни с планшета для того, чтобы сделать какой-то срочный платеж.
Так что спасибо большое за мысль, спасибо, что сказали этот месседж, что в конечном счете мы с вами для того, чтобы сохранить этот платежный рынок и его клиентов, верящих нам, должны продумать в том числе про эти риски. Не просто говорить: «мы вас должны научить, идите учитесь». Но должны продумать те риски, с которыми мы не сталкиваемся и, может быть, даже за них не то, что решать, но предупреждать о том, что операция, которую вы делаете – в небезопасной среде.
.