CC BY
45ВОПРОСЫ КРЕДИТОВАНИЯ И УПРАВЛЕНИЯ
БАНКОВСКИМИ РИСКАМИ
Проблемы защиты от мошенничества в операциях с платежными картами в системе КБО физических лиц и развитие ее законодательного обеспечения
Медведева Марина Борисовна,
канд. экон. наук,
Финансовый университет
при Правительстве Российской Федерации
Васин Михаил Михайлович,
ведущий аудитор
ООО КБ «Русьуниверсалбанк»
Международная и отечественная банковская практика отмечают рост числа мошенничества и сумм денежных потерь в области применения платежных карт, известное как «фрод». Ки-берворовство наносит огромный вред обществу: денежные и репутационные потери, возникновение проблем недоверия во взаимоотношениях банка - эмитента платежных карт с их пользователями и др. Способы мошенничества достаточно разнообразны и имеют ярко выраженную тенденцию к развитию, усложнению и, опираясь на неразвитость платежной инфраструктуры и низкий уровень финансовой грамотности населения в Российской Федерации, к мимикрии операций под добропорядочные. В этих условиях государственные органы управления и банковское сообщество принимают соответствующие меры по предотвращению попыток мошенничества и защиты как банков, так и банковской клиентуры от их последствий путем развития законодательного обеспечения безопасности электронных банковских операций, ответственности за ее нарушение, а также внедрения в банковскую практику системы «Антифрод» и ее дальнейшего совершенствования. Ключевые слова: банковские операции, платежные карты, ки-беругрозы, фрод, абонентское мошенничество, операторское мошенничество, внутреннее мошенничество, карт-счет, услуга ОБМ-банкинга, стоп-лист, банкомат, картоприемник, PIN-код, защита информации, антифрод.
е
СП
о сч]
В современной международной практике комплексное банковское обслуживание (КБО) частных лиц строится в основном на дистанционных технологиях управления их банковскими счетами, которые представлены широким спектром банковских продуктов и услуг. В отечественной банковской практике КБО физических лиц по объективным причинам, среди которых главными можно считать неразвитость платежной инфраструктуры и низкий уровень финансовой грамотности населения, включает в основном эмиссию и обслуживание платежных карт, но именно эта сфера банковских услуг в системе КБО физических лиц в российских условиях развивается ускоренными темпами.
Вместе с тем как в международной, так и в российской практике банковского карточного бизнеса широко распространились случаи разного рода мошеннических схем кражи денежных средств с карточных счетов. Это явление характерно не только для карточного бизнеса, но и практически для всех банковских операций, основанных на IT-технологиях. Преступное посягательство на банковскую безопасность в сфере обслуживания счетов клиентов принимает такие масштабы, что побуждает банковское сообщество прилагать значительные усилия, нести значительные затраты на борьбу с этим злом. Явление получило название «фрод» (от англ. fraud - «мошенничество») [1].
Фрод относится к категории «операционный риск». В документе Basel II Базельского комитета по банковскому надзору операционный риск определяется как «...риск потерь, связанных с неадекватными или неудачными внутренними процессами, системами или человеческими ошибками либо с внешними событиями» [2]. Иначе говоря, нарушения при осуществлении банковских бизнес-процессов и несанкционированные входы в банковские IT-сети приводят к денежным убыткам и репутационным потерям.
В апреле прошлого года в рамах XII Международной конференции «Банковские карты: практика и трансформация» прошло заседание круглого стола по вопросам информационной безопасности и управления рисками в системе ДБО с использованием платежных карт. В выступлении вице-президента Ассоциации банков России Анатолия Козлачкова была дана оценка существующих рисков и угроз в карточном бизнесе российских коммерческих банков. В частности, отмечено, что общее количество случаев несанкционированного снятия средств с карточных счетов в 2017 г. достигло почти 320 тыс., а сумма кражи денежных средств составила 961,3 млн. руб. [3].
На конференции многие выступающие подчеркивали, что лучшей защитой платежных карт по-прежнему остается внимательность и осторожность их владельцев. Однако мошеннические схемы активно совершенствуются и несанкционированное списание денежных средств с карточных счетов все чаще становится не плодом ошибок владельцев карт, а результатом манипуляции с программным обеспечением банковских операций и функционированием каналов связи. Отмечалось также, что с учетом перспективы пополнения рядов владельцев платежных карт, в том числе за счет продолжения программы внедрения карточных зарплатных проектов и охвата российских территорий сетями мобильной связи и Интернетом, необходимо принимать превентивные меры для нейтрализации попыток негативных действий мошенников.
Киберворовство наносит огромный вред обществу. Кроме владельцев платежных карт - физических лиц, теряющих свои сбережения, потери несут предприятия торговли и услуг, другие предприятия, использующие операции с платежными картами в своей деятельности, за счет неполучения денежных средств или мошеннического списания денег со счета, что наносит определенный вред партнерским отношениями предприятий -держателей платежных карт с банками - эмитентами этих карт. Проблема непосредственно затрагивает и саму банковскую сферу: коммерческие банки и банки-эквайеры несут финансовый и репу-тационный урон от махинаций злоумышленников с платежными картами [4].
В целях упорядочения набора и последовательности мероприятий, направленных на борьбу с фродом в электронных сетях принята следующая классификация видов мошенничества (фро-да), включающая четыре группы [5].
Для банковской сферы их можно интерпретировать следующим образом.
1-я группа - контрактное мошенничество (подделка платежных документов, присвоение чужих счетов, использование чужих документов и др.).
2-я группа - хакерское мошенничество (внесение в электронные сети искажающих или «стирающих» информацию программ).
3-я группа - техническое мошенничество (намеренно неотраженные в отчетности операции).
4-я группа - процедурное мошенничество (проведение неразрешенных типов операций (повлекшие за собой денежные убытки).
Источники угроз искажения или потери информации, ведущие за собой сбои в проведении банковских операций и денежные потери, можно сгруппировать следующим образом: [6]
• абонентское (мошенничество со стороны пользователей услуг);
• операторское (мошенничество со стороны смежных операторов);
• внутреннее (мошенничество со стороны сотрудников банка).
Абонентское мошенничество - наиболее распространенный, разнообразный по формам и оперативно «гибкий» вид фрода. В числе широко из-
вестных и тем не менее используемых для фрода способов в российской банковской сфере можно отметить кражу PIN-кода, подделки платежных карт и клонирование SIM-карт мобильных телефонов; незаконные действия с предоплаченными картами, например проведение обманным путем таких операций, как пополнение карт-счета мошенника или списание с чужого счета при получении им наличных денег через банкомат и др.
Операторское мошенничество встречается гораздо реже, но ущерб от него обычно значительно серьезнее. Для его осуществления используются достаточно сложные схемы обмена информацией в электронных сетях, например умышленное искажение адресной информации в телефонном банкинге. С этой целью недобросовестный оператор конфигурирует свой коммутатор таким образом, что пострадавшая сторона получает SMS-сообщение о проведенной операции на сумму, дату и адрес, указанный ею в платежной информации, а деньги по указанному адресу не приходят, так как перенаправлены на другие счета в другие банки. Вычислить такое мошенничество можно, но только в том случае, когда такие сбои происходят более или менее систематически.
Внутреннее мошенничество - наиболее сложный с точки зрения его диагностирования вид фрода. Злоумышленник из числа сотрудников банка может, например, перенастроить оборудование для части маршрутов информации о предоставленных услугах, которые не будут регистрироваться либо будут выводиться на незадействованный порт ввода/вывода. Причем такие ситуации злоумышленник вполне может обосновать просто как ошибку в настройке оборудовании или как сбой в сетях вне банка.
В целях разработки и реализации в российских условиях превентивных мер в борьбе с «карточными» мошенниками, крадущими денежные средства банковской клиентуры с карточных счетов, необходим анализ как методов совершенствования мошеннических действий, так и мер противодействия им. С этой целью выделим и объединим в группы отдельные виды мошенничества с платежными картами (рис. 1).
Современная российская банковская практика показывает, что первоочередной мерой, принимаемой всеми без исключения банками, является инструктаж клиента банка о правилах безопасности при работе с платежной картой, основа которых заложена в письме Банка России от 02.10.2009 № 120-Т «О памятке „О мерах безопасного использования банковских карт"». Договором обслуживания платежной карты предусматривается предоставление клиенту - держателю карты банковской услуги онлайн-оповещения в форме SMS о транзакциях, совершаемых по карте, позволяющая владельцу карты контролировать операции и оперативно связываться с банком для блокировки карты до выяснения обстоятельств в случае появления подозрительной операции по карте, что существенно снижают риск денежных потерь [7].
-&
С
о
od и* Н
Н
Рисунок 1. Основные виды мошенничества с платежными картами, встречающиеся в практике российских коммерческих банков Источник: составлено автором по источникам интернет-ресурса.
е
СП
о сч]
Эта же мера является первоочередной и для ПАО «Сбербанк», организовавшего наиболее эффективную, по нашему мнению, борьбу с фродом в системе КБО физических лиц. В ПАО «Сбербанк» разработана система «Сбербанк Онлайн» предоставления платежных и других услуг, пользующаяся достаточно широкой популярностью у клиентов банка [8]. Практика функционирования этой системы показала существование общих для банковской деятельности угроз, таких как: [9]
• компрометация паролей (кража и перехват) с непредсказуемыми последствиями;
• несанкционированный доступ к информации в системе «Сбербанк Онлайн»;
• кража денежных средств со счетов клиентов, что потребовало осуществления ряда мероприятий для их предотвращения.
В целях обеспечение высокой надежности процессов «Сбербанк Онлайн» и защиты от фрода в территориальных банках ПАО «Сбербанк» в сотрудничестве с компанией «Информзащита» введены следующие мероприятия [10].
1. Использование виртуальной клавиатуры для ввода постоянного и временных паролей клиента в системе «Сбербанк Онлайн». Его внедрение позволило резко снизить вероятность перехвата пароля мошенниками у банкоматов.
2. Категорический отказ от передачи паролей как постоянного, так и любых временных в открытом виде в БМБ-сообщениях на мобильные телефоны клиентов. Внедрение этого мероприятия существенно защитило наиболее уязвимый с точки зрения вероятности вмешательства злоумышленников мобильный банкинг, популярность которого в среде пользователей услуг удаленного доступа в обслуживании клиентуры активно растет.
3. Ввод ограничений на суммы переводов в системе «Сбербанк Онлайн» без дополнительного подтверждения (например, без ключевого слова).
4. Введение правила предварительной регистрации получателей крупных платежей и согласование дополнительных условий для осуществления им переводов, например по телефону.
5. Создание центра обучения по специализации в области систем дистанционного банковского
обслуживания населения в целях повышения уровня квалификации банковского персонала. Внедрение этого мероприятия способствовало повышению качества консультаций сервисной поддержки клиентов и в целом удовлетворенности клиентов качеством обслуживания в системе КБО.
6. Введение правил блокировки платежных карт. Введение этого мероприятия позволило максимально сбалансировать меры защиты от мошенничества и удобство для клиентов как конечных пользователей услуг. С этой целью правила банка предусматривают два подхода, каждый из которых используется по согласованию с конкретным клиентом. Существо их заключается в том, что прежде, чем заблокировать карту, специалисты банка либо отправляют клиенту на указанный им контактный номер телефона БМБ-сообщение о блокировке карты, либо предлагают ему уведомлять контакт-центр перед совершением крупной покупки или операции, которая может попасть под один из критериев «сомнительности операций» в системе ПОД/ФТ.
В банках ПАО «Сбербанк» предлагается услуга СБМ-банкинга, пользующаяся спросом, которая дает возможность клиентам самостоятельно отслеживать движение средств по своему карточному счету и позволяет оперативно уведомить банк о несанкционированных операциях по его карте для ее блокировки и последующих действий для восстановления статус-кво карточного счета клиента. Вместе с тем, идя навстречу пожеланиям клиентуры, правила блокировка счета принципиально позволяют по специальному заявлению клиента исключить его счет из системы мониторинга сомнительных операций. При этом банк официально снимает с себя ответственность за все возможные негативные последствия для клиента и его счета [11].
Правила совершения операций и получения информации по карт-счетам через удаленные каналы обслуживания включены в документ «Условия банковского обслуживания физических лиц ПАО „Сбербанк"», размещенном на веб-сайте Банка, опубликованы в третьем разделе этого документа «Выпуск и обслуживание банковских карт,
открытие и обслуживание счетов карт, банковских счетов (счетов)».
Считая необходимым заранее обезопасить клиентов, с одной стороны, от денежных потерь, с другой стороны, предупредить добросовестных клиентов о требованиях законодательства к корректности проведения операций в системе удаленного доступа к счетам в Приложении 7 к указанному документу публикована «Памятка по безопасности при использовании удаленных каналов обслуживания Банка [12].
ПАО «Сбербанк» проводит стоп-лист (блокировку) платежной карты клиентов в следующих случаях:
• после получения службой поддержки клиентов банка сообщения от держателя карты о ее потере или краже (немедленная после получения такого сообщения блокировка карты предотвращает существенные потери денежных средств с карт-счета, так как срабатывает еще одна введенная банком мера защиты от мошенничества -дневной лимит суммы снятия наличных с карточного счета через банкоматы);
• в случае, когда при вставленной в карто-приемник платежной карте трижды вводится неверный PIN-код (такое «беспамятство» вызывает подозрение, что картой пытается воспользоваться не ее держатель, а мошенник, нашедший или укравший карту);
• при возникшем подозрении в мошенничестве по результатам проведенного банком мониторинга операций, совершаемых с помощью карты (случай, когда операция имеет признаки подозрительности в соответствии с критериями ПОД/ФТ. Блокировка счета в таком случае позволяет предотвратить факт легализации доходов, полученных преступным путем, или передачи денежных средств террористическим группировкам).
Наиболее распространенной причиной первого случая стоп-листа (блокировки) платежной карты являются сообщения клиентов о краже или утере платежной карты. Такие случаи, несмотря на рекомендации, указанные в правилах использования карт банка, с которыми держатель в обязательном порядке был ознакомлен при оформлении и получении платежной карты в отделении банка, являются, как правило, результатом несоблюдения держателем правил сохранения конфиденциальной информации о Р^-коде, небрежного отношения к хранению самой платежной карты.
Во втором и третьем случаях стоп-листа блокировка платежной карты является результатом аналитической работы, проведенной электронными устройствами, оснащенными специально разработанным на основании анализа рисков и рекомендаций Международных платежных систем программным обеспечением. Такое программное обеспечение позволяет блокировать платежную карту как в автоматическом режиме, так и при непосредственном участии сотрудника уполномоченного подразделения банка.
В ПАО «Сбербанк» онлайновый мониторинг клиентских операций проводится с помощью программного обеспечения UPC-online и «Корсар-2».
Не менее важным, кроме организационных мер борьбы с мошенничеством, в ПАО «Сбербанк» является внедрение систем класса антифрод, а также SIEM, GRC, двухфакторной аутентификации, защищающие внутренние IT-сети банка от хакерских атак и других попыток их взлома. Однако высокий уровень защищенности в ПАО «Сбербанк» обеспечивается комплексным подходом, когда в банке комплексно с используется весь спектр этих систем и актуальных организационных мер (распределения компетенций между службами банка и их сотрудниками, системы лимитов на операции и т.д., а также высококвалифицированный риск-менеджмент в управлении операционным и другими рисками мошенничества).
Современное российское законодательство в области защиты от электронного мошенничества позволяет достаточно эффективно его пресекать. Более того, государственные органы управления экономикой страны прямо и косвенно принуждает банки к эффективному управлению своими фрод-рисками. Так, недавние нормативные изменения повышают для клиентов банка шанс получить от него возмещение потерь в связи с реализацией какого-либо вида фрода в отношении его карт-счета. К мерам государственного воздействия на банки в сфере безопасности и защиты о фрода является внедрение электронного паспорта по мере развития внутрибанковской инфраструктуры идентификации клиентов, что будет способствовать существенному снижению кредитного фрода и фрода расчетно-кассового обслуживания.
Серьезной помощью банкам со стороны государственных органов управления можно считать введение налога на Интернет, что одновременно вводит в практику аутентификацию каждого пользователя единым государственным центром идентификации. Для банков это новшество может станет дополнительным фактором идентификации или верификации, что послужит снижению мошенничества в кредитном процессе и при дистанционном кредитовании в системе КБО физических лиц.
Существенно повысили законодательное обеспечение мер по предотвращению попыток мошенничества и защиты как банков, так и банковской клиентуры от последствий таких попыток дополнения и изменения, внесенные Федеральным законом № 167-ФЗ в ранее принятые законодательные акты [13].
Так, Законом № 167-ФЗ в ст. 26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» введен порядок представления информации о случаях и (или) попытках осуществления переводов денежных средств без согласия клиента. Введен ряд изменений в Федеральный закон от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (ред. от 27.12.2018), в том числе требование ввести «...обязательные для кредитных организаций требования к обеспечению защиты ин-
-&
С
о ш и-4 H
Н
е
СП
о Сч]
формации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», а также соответствующие изменения и дополнения в Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (ред. от 28.11.2018).
В начале декабря прошлого года банковской Ассоциацией «Россия» организован и проведен IX Международный форум «Борьба с мошенничеством в сфере высоких технологий. Antifraud Russia - 2018». Основным девизом Конференции Antifraud Russia - 2018 стал тезис: «Фрод не пройдет!» [14].
Форум дал высокую оценку первым результатам работы платформы по обмену данными о ки-беругрозах, разработанной и запущенной в июне 2018 года Ассоциацией банков России. На Форуме во вступительном слове вице-президент Ассоциации Алексей Войлуков заявил: «...основным функционалом (платформы) является возможность получения актуальных и верифицированных данных о современных киберугрозах. Использование платформы позволяет финансовым учреждениям значительно повысить скорость реагирования на инциденты, предотвращать кибератаки на ранних стадиях и минимизировать ущерб от них».
К настоящему времени участниками платформы являются около 70 российских коммерческих банков.
Работа по совершенствованию методов борьбы в фродом и развитию ее законодательного обеспечения в Российской Федерации продолжается. Принимаются меры к законодательному обеспечению механизмов противодействия мошенничеству в банковской сфере, в том числе через уход части антифрод-сервисов в «облака», на аутсорсинг или аутстаффинг [15].
Литература
1. Гамза В.А., Ткачук И.Б. Особенности преступных посягательств на безопасность информационного обеспечения банковской деятельности // Управление в кредитной организации. 2011. № 1. С. 98-112.
2. Basel Committee on Banking Supervision: «Principies for the Sound Management of Operational Risk», June 2011.
3. Конференция «Банковские карты: практика и трансформация». 11-12 апреля 2018. Москва. Раздаточный материал.
4. Махинации с банковскими картами Сбербанка. URL : https://banks.is/publ/172-mahinacii-s-bankovskimi-kartami-sberbanka
5. Ушанов А.Е. Внедрение процессных инноваций в банке как ответ на новые вызовы // Российское предпринимательство. 2018/ № 4. С.1135-1142.
6. Амосова Н.А. Трансформация взаимодействия институтов, входящих в систему противодействия легализации доходов, полученных незаконным путем, в новых условиях ведения
банковского бизнеса // Банковские услуги. 2015. № 8. С. 8-16.
7. Виды афер и махинаций с платежными картами - как распознать обман и не стать жертвой мошенников. URL : https://sovets.net/ 13102-moshennichestvo-s-bankovskimi-kartami.html
8. Система «Сбербанк Онлайн» и ее основные возможности. URL : https://sbguide.ru/sberbank-online/sistema-sberbank-onlajn/
9. Правила предотвращения мошенничества от Сбербанка. URL : https://www.banki.ru
10. Какие ИТ-меры нужно принимать банкам для борьбы с фродом? / Интервью Рустама Бед-рединова - директора департамента управления рисками компании «Информзащита». URL : http://www.infosec.ru/news/experts/8272/
11. Сбербанк (информационная безопасность). URL : http:// www.tadviser.ru/index.php./ Статья: Сбербанк_(информационная_безопасность).
12. Условия и тарифы на обслуживание банковских карт. URL : https://www.sberbank.ru/ru/ person/ban k_cards/ta rif
13. Федеральный закон от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств».
14. IX Международный форум «Борьба с мошенничеством в сфере высоких технологий. Antifraud Russia - 2018». Москва. Раздаточный материал.
15. Антифрод. URL : https://dis-group.ru/ technologies/o-platforme-niceactimize/antifrod (Дата обращения: 2.02.2019).
PROBLEMS OF PROTECTION AGAINST FRAUD IN OPERATIONS WITH PAYMENT CARDS IN THE CBS SYSTEM FOR INDIVIDUALS AND THE DEVELOPMENT OF ITS LEGISLATIVE SUPPORT
Medvedeva M.B.,
Associate Professor,
Financial University under the Government of the Russian Federation, Russia, Moscow
Vasin M.M.,
leading auditor of OOO Rusuniversal Bank
International and domestic banking practice notes an increase in the number of frauds and cash losses in the field of payment cards, known as fraud. Cybercraft causes enormous harm to society: monetary and reputational losses, the emergence of distrust problems in the relationship of the issuing bank of payment cards with their users, etc. The methods of fraud are quite diverse and have a pronounced tendency to develop, complicate and rely on the underdeveloped payment infrastructure and low level financial literacy of the population in the Russian Federation, to mimicry operations under good order. Under these conditions, state authorities and the banking community take appropriate measures to prevent fraud attempts and protect both banks and the banking clientele from their consequences by developing legislative security of electronic banking operations, responsibility for its violation, as well as introducing the system "Antifraud" and its further improvement.
Keywords: banking operations, payment cards, cyber threats, fraud, subscriber fraud, operator fraud, internal fraud, card account, GSM banking service, stop list, ATM, card reader, PIN code, information protection, antifraud.
References
1. Gamza V.A., Tkachuk I.B. Features of criminal attacks on the security of information support of banking activities // Management in a credit institution. 2011. No. 1. P. 98-112.
2. Basel Committee on Banking Supervision: «Principles for the Sound Management of Operational Risk», June 2011.
3. Conference «Bank cards: practice and transformation». 11-12 April 2018. Moscow. Handout.
4. Fraud with Bank cards of Sberbank. URL : https://banks.is/publ/172-mahinacii-s-bankovskimi-kartami-sberbanka
5. Ushanov A.E. Introduction of process innovations in the Bank as a response to new challenges // Russian entrepreneurship. 2018. № 4. P. 1135-1142.
6. Amosova N.A. Transformation of interaction of the institutes entering into system of counteraction of the legalization of the income received illegally in new conditions of banking business // Banking services. 2015. № 8. P. 8-16.
7. Types of frauds and frauds with payment cards - how to recognize fraud and not become a victim of fraud. URL :
https://sovets.net/13102-moshennichestvo-s-bankovskimi-kartami.html
8. Sberbank Online system and its main features. URL : https://sbguide.ru/sberbank-online/sistema-sberbank-onlajn/
9. Rules of fraud prevention from Sberbank. URL : https://www.banki.ru
10. What it measures should banks take to combat fraud? / Interview with Rustam Bedredinov, Director of risk management Department, Informzaschita. URL : http://www.infosec.ru/news/experts/8272/
11. Sberbank (information security). URL : http:// www.tadviser.ru/index.php./ (Sberbank(informationalization))
12. Conditions and tariffs for servicing credit cards/ Access: https://www.sberbank.ru/ru/person/bank_cards/tarif
13. Federal law of 27.06.2018 No. 167-FZ «On amendments to certain legislative acts of the Russian Federation in terms of combating embezzlement of funds»
14. IX international forum «Combating fraud in the field of high technologies. Antifraud Russia - 2018». Moscow. Handout.
15. Anti-fraud. URL : https://dis-group.ru/technologies/o-platforme-niceactimize/antifrod
-&
c
o
ra
CT4 ñ
H
