Мошенники в прошлом году украли у клиентов банков 6,4 млрд рублей

Банки компенсировали из этой суммы лишь каждый седьмой рубль
Основная часть потерь из-за мошеннических операций пришлась на граждан /Максим Стулов / Ведомости

В 2019 г. мошенники провели около 577 000 операций с использованием электронных средств платежа без согласия клиентов банков – физических и юридических лиц. Сумма таких операций превысила 6,4 млрд руб., подсчитал ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России). Средняя сумма похищенного со счетов физлиц составила 10 000 руб., юрлиц – 152 000 руб. Банки возместили клиентам 935 млн руб., говорится в отчете, т. е. примерно один рубль из семи похищенных (15%). Cтатистику возвратов ЦБ публикует впервые.

Результаты 2019 г. сравнить с 2018 г. нельзя: с середины 2018 г. банки сдают в ФинЦЕРТ данные о количестве и объеме несанкционированных операций по новой форме отчетности. До этого учитывались лишь мошеннические операции по платежным картам. Таких в 2018 г. ФинЦЕРТ насчитал на 1,38 млрд руб. Сейчас же в расчет принимаются и другие способы мошенничества, например через системы дистанционного банковского обслуживания и CNP-транзакции (оплата товаров и услуг в интернете).

Банкиры же констатируют их рост. «В 2019 г. тренд на увеличение числа мошенничеств переломить не удалось. Мы прогнозировали этот рост, и наш прогноз, к сожалению, оправдался», – рассказывал в интервью «Ведомостям» зампред правления Сбербанка Станислав Кузнецов. По его словам, по сравнению с 2018 г. количество атак на клиентов выросло на 10%, а с 2017 г. – в 15 раз.

Юрлица были более бдительны и потеряли за год всего 701 млн руб., около 10% из которых банки им компенсировали. Основная часть потерь пришлась на граждан. Больше всего мошеннических операций со счетами физлиц произошло при оплате товаров и услуг в интернете. Клиенты сообщили о более 370 000 таких транзакций на 2,97 млрд руб., из них две трети были совершены с использованием методов социальной инженерии. Средний чек составил 8000 руб. Банки возместили клиентам по таким операциям примерно каждый пятый рубль, говорится в отчете ФинЦЕРТа.

Самая высокая доля социальной инженерии (88%) – в дистанционном банковском обслуживании: клиенты потеряли 2,22 млрд руб. (в среднем 14 000 руб. за транзакцию) и вернули каждый 14-й похищенный рубль. Реже всего мишенью мошенников граждане становились при использовании банкоматов и терминалов – 40 000 случаев на 525 млн руб. (13 000 руб. за транзакцию). Из них только в четверти случаев владельцы карт самостоятельно раскрывали конфиденциальную платежную информацию мошенникам, поэтому сумма возврата здесь выше – 10%.

«Социальная инженерия действительно перешла в интернет: это связано с появлением огромного количества мошеннических интернет-магазинов со огромными «скидками», «распродажами». Много интернет-ресурсов предлагают пользователям пройти разнообразные опросы, викторины за деньги и т. п., с последующим лишением средств. Что касается каналов ДБО, то сейчас часто эти площадки используются для карточных переводов p2p. ЦБ ранее заявлял, что до 40% таких транзакций обладают признаками совершения без согласия клиента», – подтверждает директор по мониторингу операций и диспутам Альфа-банка Алексей Голенищев.

Низкий уровень возмещения потерь ЦБ объясняет высокой долей операций, совершенных с использованием методов социальной инженерии, – 69%. По сравнению с 2018 г. клиенты стали осторожнее – тогда на социальную инженерию приходилось 97% мошеннических операций. Клиенты в результате обмана мошенников или злоупотребления доверием сами нарушают условия договоров с банками, обязывающие клиентов сохранять конфиденциальность платежной информации, констатирует ФинЦЕРТ. Сейчас по закону банк не должен компенсировать средства, если клиент сообщил мошенникам номер карты, пароль из СМС, CVV-код и т. д.

ЦБ ищет возможность изменить процедуру возврата похищенных средств клиентов, но не говорит как. Регулятор рассматривал эту тему при подготовке законодательства по «антифроду» (противодействие мошенничеству с клиентами), заявил первый замдиректора департамента информационной безопасности ЦБ Артем Сычев, курирующий ФинЦЕРТ: «Тогда нас уважаемые юристы <...> притормозили, не дав отработать полноценный механизм» (цитата по «Интерфаксу»). 

В настоящее время в законодательстве есть процедура возврата средств юридических лиц в случае, когда они уже в банке-получателе, но не зачислены на счет конечного получателя, говорит представитель ЦБ. «Это не решает проблему возврата средств физического лица в случае осуществления операции без его согласия. Особенно в случаях применения технологий социальной инженерии». Конкретный механизм и юридические особенности регулятор не раскрыл, так как они «в настоящее время прорабатываются».

Кузнецов предлагает ужесточить законодательство – назначить за такие преступления очень серьезное наказание: «Не год и не два, а существенно больше».