Банки заставят усилить защиту платежей через интернет и банкоматы
ЦБ обязал банки усилить контроль за защитой информации при осуществлении клиентами кредитных организаций денежных переводов через интернет (в случае использования классического интернет-банка на сайте кредитной организации и мобильных приложений, устанавливаемых на смартфоны), а также через банкоматы и терминалы. Новые требования регулятора изложены в Указании ЦБ № 3361-У, регламентирующем порядок защиты информации при осуществлении переводов денежных средств. Оно вступает в силу через полгода.
В соответствии с новым указанием регулятора банки должны информировать граждан о появлении в Сети ложных (фальсифицированных) ресурсов и программных обеспечений (ПО), имитирующих программный интерфейс интернет-банкинга кредитных организаций. Также банки должны размещать на лицевой панели банкоматов и терминалов или в непосредственной близости от них свое наименование, идентификатор устройства, телефонные номера и адреса электронной почты для связи клиентов с кредитной организацией. Кроме того, на банкоматах должен быть приведен алгоритм действий клиента в случае нарушения работы банкомата либо при выявлении нарушений защиты информации. Один из пунктов запрещает банки после 1 июля 2015 года выдавать карты без микропроцессора (чипа). До этой даты достаточно на "пластике" наличия магнитной полосы.
На такие меры ЦБ подтолкнул рост мошенничества. По оценкам экспертов, 57% несанкционированного использования банковских карт клиентов происходит с помощью фишинга (доступа к паролям и логинам граждан с помощью созданного сайта-двойника) или скимминга (считывания магнитной дорожки карт в банкоматах). В аналитической компании FICO отмечают, что потери от карточного мошенничества достигают 0,01% от операций по картам. По данным ЦБ, во II квартале 2014 года объем операций по картам российских банков достиг 7 трлн рублей. Таким образом, сумма потерь банков и их клиентов от мошенничества составила около 700 млн рублей.
Фишинг — самый распространенный вид онлайн-мошенничества. В Сети регулярно появляются сайты-двойники крупных кредитных организаций, цель создания которых — получение логинов/паролей клиентов. Атакам подвергались, в частности, Сбербанк, Альфа-банк и Райффайзенбанк. Потери клиентов исчислялись десятками миллионов рублей. Суть этого вида мошенничества заключается в том, что нарушители копируют один в один сайт онлайн-банков, затем рассылаются письма (с легендами неких проблем), в которых просят ввести в высылаемую форму логин и пароль для входа в интернет-банк. Если клиент это делает, то вскоре обнаруживает пропажу средств со своего счета.
Наиболее распространенный вид офлайн-мошенничества — скимминг (установка на банкомат мошенниками устройств, считывающих данные карт). Число случаев скимминга, по подсчетам ЦБ, прирастает в среднем на 23% за квартал. По последним данным компании FICO, Россия находится на 5-м месте по потерям от мошенничества в мире — в 2012 году они составили €91,4 млн, или 6% от общемировых потерь. При этом, по данным ЦБ на 1 июля 2014 года, число банковских карт в России составляло 220,6 млн шт., увеличившись за год на 7%.
ЦБ в указании напоминает банкам о необходимости перейти на выпуск только чипованных карт с 2015 года. Такое требование регулятор озвучил еще летом 2013 года, его аргументы сводились к тому, что карты с чипом в разы лучше защищены. Сегодня по данным ЦБ выпуск платежных карт с чипом осуществляют 16,9% банков, еще треть (31,3%) выпускают оба вида "пластика" — как с микропроцессором, так и с магнитной полосой, но подавляющее большинство (49,4%) вообще не использует чипы. Дело в том, что себестоимость чиповых карт выше, чем "пластика" с магнитной полосой. Средняя цена карты без чипа сегодня около $0,3–0,4, чиповой — $1,3–1,4.
— Рост услуг дистанционного банковского обслуживания и популяризация выхода во Всемирную паутину, конечно, не остались без внимания злоумышленников: появляются новые способы мошенничества, совершенствуются старые, — говорит начальник управления организации проектов банка "Интеркоммерц" Юрий Соловкин. — Поэтому и внимание к данной проблематике со стороны ЦБ логично.
Старший вице-президент Локо-банка Ирина Григорьева считает, что банки должны проводить мониторинг интернет-пространства на предмет появления сайтов-муляжей, одним из средств информирования могут являться буклеты о правилах использования карты, дополнительные сообщения в почту и разъяснения клиентам на какие сообщения банка стоит не обращать внимания.
Как указывает руководитель направления мониторинга платежных рисков банка "Траст" Вячеслав Андрианов, сейчас банки выпускают памятки для клиентов, а также размещают информацию на собственном сайте, делают рассылки клиентам через системы ДБО (интернет-банк), реже формируют SMS-рассылки.
Директор по процессингу Промсвязьбанка Александр Петров не уверен в эффективности информирования клиентов о сайтах-двойниках.
— Скорее нужно повышать осведомленность клиентов о возможности данного вида мошенничества и об элементарных мерах, которые позволят отличить сайт-подделку, — считает Петров.
На банкоматах, по мнению Петрова, достаточно размещения телефона контактного центра и указания звонить туда в случае возникновения каких-то подозрений.
Директор департамента дистанционного банковского обслуживания Бинбанка Александр Новиков отмечает, что информацию о мошеннических схемах можно печатать на чеках из банкоматов, а также размещать памятки рядом с банкоматами.
— Банки и сами сильно озабочены усилением активности криминалитета, поэтому принимают серьезные меры, и в основном перечисленное в документах ЦБ в большинстве банков практикуется, — отмечает Новиков. — Основной причиной мошенничества является несоблюдение клиентами элементарных правил безопасности. Меры должны усиливаться. Но акцент нужно делать на повышение грамотности клиентов, профилактику таких случаев.
Банкиры указывают, что, даже несмотря на дороговизну карт с чипом, полный переход на них необходим.
— Карты с чипом защищены от мошенников-скиммеров, которые устанавливают считывающие информацию устройства в банкоматы, терминалы для приема карт, — указывает Григорьева. — Дополнительной услугой, которую уже предлагают многие банки, является технология 3-D Secure. Для владельца карты банка, поддерживающего 3-D Secure, в процессе оплаты онлайн к ранее необходимой информации добавляется дополнительный запрос на подтверждение владения картой, чаще всего одноразовый код подтверждения предоставляется банком в SMS-сообщении, отправленном на привязанный к карте номер сотового оператора связи. Одним из недостатков перехода на чиповые карты является неподготовленность точек продаж (особенно в отдаленных регионах) — не все готовы принимать карты с чипом, но нужно отметить, что доля таковых сокращается.
Текущие требования ЦБ, по мнению председателя Национального совета финансового рынка Андрея Емелина, новые меры предосторожности повлекут для банков необходимость апгрейда своих устройств, а также дополнительные действия по извещению граждан о фишинге. Это связано, по словам Емелина, с допрасходами для банков, что в конечном итоге может отразиться на стоимости услуг для клиентов. Более действенной мерой было бы повышение финансовой грамотности населения.