Александр Карпов Директор Ассоциации банков - членов платежных систем (EMA) о причинах стремительного роста хищений с карточных счетов украинцев и способах борьбы с мошенниками
Что бы не делали банкиры, мошенники продолжают беспощадно грабить карточные счета населения. Если несколько лет назад чаще всего обчищали элитный пластик (класса Gold, Platinum) и кредитки, то теперь жулики не гнушаются даже зарплатными картами. Что нового предпринимают финансисты, дабы обезопасить клиентов, и как держателям не попасться на удочку преступников в интервью "ДС" рассказал директор Ассоциации банков – членов платежных систем (EMA) Александр Карпов.
Александр, чем можно объяснить очередной всплеск карточного мошенничества в Украине?
А.К. Сразу несколькими факторами. Это и стремительное развитие технологий, наблюдающееся в последние годы, и снижение риска быть пойманными для мошенников, и отсутствие необходимой антивирусной защиты у пользователей компьютеров (они не только не тратятся на спецпрограммы для защиты от хакеров, но и базовое программное обеспечение используют в нелицензионной версии). Ко всему прочему чаще обычного стали возникать проблемы с безопасностью в системах удаленного банкинга финансовых учреждений (интернет-банкинг).
Немаловажным фактором, вероятно, также является рост интереса украинцев к расчетам в интернете. Насколько он вырос?
А.К. Примерно в два раза — произошел пропорциональный рост. Общий объем безналичных платежей в стране за прошлый год увеличился с 24 до 37% (63% операций по-прежнему сводится к снятию населением наличности в банкоматах). Сюда входят все безнальные расчеты: как в торговой сети, так и во Всемирной паутине. Доля же исключительно интернет-платежей за год выросла с 6 до 12%.
Несомненно, в банках ощущают рост интереса украинцев к интернету. Что там предпринимают для повышения безопасности расчетов в Сети?
А.К. В первую очередь финансисты стараются тесно работать с клиентами. Они информируют об опасностях при расчетах, вводят лимиты на все виды платежей: снятие в банкоматах, расчет в торговых сетях, и, что очень важно, — на платежи в интернете. Иногда идут на радикальные шаги: закрывают платежи на определенные страны или сайты (с высоким риском мошенничества). Кроме того, банки наладили между собой обмен информацией о несанкционированных списаниях со счетов клиентов, а также с Госфинмониторингом и спецподразделением МВД (занимающимся киберпреступностью). Попутно финансисты совершенствуют свои системы интернет-банкинга.
Насколько банки увеличили свои капитальные расходы на техническое переоснащение интернет-банкинга?
А.К. Я бы не говорил о резком увеличении капитальных вложений. Скорее речь идет о текущей операционной деятельности, и расходы на нее постоянно растут. Кто-то сменил одну систему на другую, кто-то совершенствует существующую. Обеспечение информационной безопасности — комплексный вопрос, который не ограничивается техническими решениями. Важны и работа с клиентами, уровень их информированности, и внутренние процедуры банков, а также эффективное обнаружение новых угроз, подозрительных транзакций и работа с ними.
Какими темпами в Украине увеличиваются потери от мошенничества?
А.К. На этот счет есть самая разная статистика. Например, по данным Нацбанка, за 2011–2012 гг. ежегодный объем потерь от действий преступников вырос с 6 млн до 10 млн грн. Мы же отталкиваемся от данных по предотвращенным потерям: предотвращать хищения с карт и счетов позволяет запущенная 12 лет назад система обмена информацией Exchange-online — между банками (украинскими, российскими, белорусскими и казахскими), Госфинмониторингом и МВД. В банкоматных сетях за 2012 г. было предупреждено краж со счетов украинцев на эквивалент 500 тыс. евро, в системах интернет-банкинга — на 8 млн евро, в торговых сетях и других местах — еще на 200 тыс.
Если механизм предупреждения краж денег через банкоматы еще понятен (на них стоят камеры и службы безопасности банков научились в считанные минуты задерживать преступников), то как можно предотвращать кражи в интернете, ведь деньги списываются за считанные секунды и после молниеносно перебрасываются на другие счета и снимаются?
А.К. Важную роль играет оперативность. Далеко не всегда деньги перечисляются молниеносно, а тем более снимаются или переводятся. Если несанкционированная транзакция все же проведена, то при оперативном ее обнаружении и проведении необходимых мероприятий есть реальные шансы вернуть средства на счет клиента. Самый важный первый этап: выявление и подтверждение факта мошенничества. Важную роль в нем играет сам клиент: как минимум нужно сообщать в банк свои актуальные контактные телефоны (тогда банк сможет с ним связаться и уточнить, его ли это транзакция, иначе карта будет заблокирована до выяснения обстоятельств). Ему нужно также подключить услугу sms-информирования, установить лимиты на операции и иметь в мобильном контактный телефон банка.
После подтверждения факта мошенничества с инцидентом продолжает работать банк: блокирует карту клиента (или иной инструмент платежей) и через систему Exchange-online уведомляет другие финучреждения о типе и месте проведения несанкционированной операции. Банки проводят совместный анализ и предпринимают все необходимые меры для предупреждения аналогичных краж. Данные банковского анализа накапливаются в системе Exchange-online и могут быть переданы в МВД. Если мошеннику удалось заполучить средства один раз, это не означает, что о нем забыли и он останется безнаказанным.
Кто платит за хакерские атаки на счета украинцев: банки возмещают населению потери или оставляют без компенсаций?
А.К. До 2010 г. такие моменты не были описаны в действующем законодательстве и регулировались исключительно договорами между банком и владельцем счета, так что варианты могли быть самими разными. Три года назад Нацбанк принял постановление №223, которым защитил население: обязал банки возмещать потери в любом случае. Изменилась ситуация с 1 января 2013 г., когда вступил в силу принятый в прошлом году закон №5284, которым четко разделяется ответственность между финучреждением и клиентом. Если держатель карты подключался к sms-банкингу, вводил лимиты на расчеты, то есть делал все, чтобы не попасться на удочку мошенников, — банк обязан вернуть ему все украденное до копейки. Когда же выясняется, что код к карте хранился в кошельке с пластиком или держатель сам сообщил преступникам информацию о карте, то ему ничего не будут компенсировать. К слову, масштабный случай фишинга был зафиксирован совсем недавно во Львовской области: представляясь банковскими работниками, жулики обзванивали держателей карт и просили уточнить информацию о карточных счетах. Физлица ее предоставляли. Достаточно быстро с их счетов начали исчезать деньги, и клиенты стали писать заявления с требованием компенсировать потери. Если учесть, что по договору держатели пластика не имеют права никому сообщать конфиденциальную информацию, сомневаюсь, что они получат возмещения.