До конца сентября по инициативе ЦБ в России может быть сформирован черный список дропперов. К таковым относятся физические и юридические лица, на счета которых хакеры выводят похищенные у банков средства. Эксперты предупреждают: среди фигурантов могут случайно оказаться и добросовестные клиенты, счета которых использовались тайно, но механизма исключения из такого списка не предусмотрено.
Проект указа о «черном списке»
Банк России обнародовал проект указания об установлении порядка информирования регулятора в случае несанкционированных переводов со счетов клиентов кредитно-финансовых организаций. Документ разработан в рамках обеспечения исполнения закона 167-ФЗ о защите средств банковских клиентов от хищений, рассказывает «Коммерсант».
С 26 сентября закон вступит в силу, что даст право:
- банкам на 48 часов приостанавливать сомнительные операции, касающиеся движения средств клиентов;
- Центробанку вести базу дропперов (граждан и компаний), на счета которых в рамках несанкционированных операций выводились или были попытки вывода денежных средств.
Регулятор намерен доводить информацию о «помощниках хакеров» до банков. В проекте подробно описано, каким образом это будет происходить.
Документом предусмотрено, что при выявлении несанкционированной операции, банку следует передать в ЦБ данные получателя средств: номер карты, счета, электронного кошелька либо мобильного телефона. Центробанк в свою очередь запросит у банка-получателя информацию для идентификации клиента (данные паспорта, СНИЛС). После обобщения сведений о субъектах, на счета которых выводились или осуществлялись попытки вывода денег, регулятор доведет информацию до всех банков. Кредитным организациям, выявившим среди клиентов потенциальных дропперов, следует ограничивать последних в транзакциях и снятии наличных.
Замечания экспертов
В ЦБ считают, что такие меры позволят банкам минимизировать риски незаконного вывода средств. Эксперты одобряют инициативу финансовых властей, но считают, что без должной проработки может появиться новый черный список клиентов, не имеющих права на реабилитацию. В такую базу могут случайно попасть и добросовестные граждане, считает специалист по информационной безопасности банка из топ-50.
«Например, злоумышленники порой просят знакомых получить для них на свою карту деньги, при этом реальный получатель может и не подозревать, что они были похищены»,— поясняет он.
Начальник управления информационной безопасности Златкомбанка Александра Виноградова рассказала, что нередко хакеры взламывают счета крупных компаний с большими оборотами и выводят на них похищенные средства, а уже потом раскидывают деньги по множеству различных счетов и обналичивают.
По мнению экспертов, нельзя исключать, что список дропперов может быть использован для нечистоплотной конкуренции. К примеру, кто-то намеренно кинет деньги на счет и тут же сообщит о взломе. Сумма вернется отправителю, зато счет физлица или компании будет заблокирован, а открыть новый не удастся. Возможны также элементарные технические ошибки.
Оказавшийся в базе дропперов клиент может даже не подозревать об «особом» статусе, поскольку кредитные организации не обязаны раскрывать данную информацию (об этом не говорится ни в законе, ни в проекте указания ЦБ).
«Банк может на запрос клиента не сообщить о списке, назвав отключение ДБО или же запрет на снятие наличных мерами, принимаемыми в рамках антиотмывочного законодательства»,— поясняет замглавы «Ренессанс Кредита» Сергей Королев.
С банкиром согласен и руководитель АБ «Старинский, Корчаго и партнеры». Евгений Корчаго указывает на отсутствие описания способов, позволяющих покинуть базу «помощников хакеров».
«Если не предусмотреть механизма реабилитации, как и обязанность информирования банковских клиентов о внесении их в базу дропперов, может повториться история с черным списком отказников по 115-ФЗ, куда попало много добросовестных клиентов»,— предупреждает эксперт.
Риск ошибок будет снижен
Но в Центробанке не видят проблемы. По сообщению пресс-службы, формирование и ведение базы данных дропперов направлено на обеспечение защиты информации при осуществлении переводов денег.
«Порядок формирования и ведения, в том числе обработки, хранения, применения в указанной базе данных информации, будет определен внутренним распорядительным актом Банка России», — добавляют в ЦБ.
Регулятор заверяет, что порядок занесения в черный список получателей переводов без согласия клиента-плательщика будет сформирован таким образом, чтобы «максимально снизить риски ошибочного занесения в базу такого клиента».
И среди хакеров есть добрые люди, например хакер из Алжира взломал 217 банков и отправил все деньги в благотворительный фон Африки и Палестины.
Пусть составляют, работа у них такая, злодеев ловить. Никому не будет приятно, если со счета украдут деньги.
Здорово что эксперты занялись этим вопросом, безопасность это важно! В особенности если это касается денег.
Банки сами будут определять кто «пособник хакеров»? Без суда и следствия? Или «пособник хакера» это ещё не преступление?
Электронных мошенников становится всё больше и ущерб от их деятельности исчисляется миллионами долларов. А дальше эта тенденция будет только возрастать, ведь чем меньше раскрываемость, тем больше новых преступлений.
С мошенниками всё ясно! А что на счет случайного попадания в черный список добросовестных клиентов? Сначала расследование, и только потом ограничение на снятия наличных и черный список. Знаю лично, как средства, на которых был арест потом уплывают банку в качестве вознаграждения.
Буквально неделю назад утром у себя на телефоне обнаружил сообщение, о том, что кто-то попытался снять 20 000 рублей, но к счастью такой суммы не было. Так называемые кардеры в тот же день после пару неудачных попыток все же сняли со счета карты сбербанка 4 раза по 100-200 рублей. Это произошло ночью когда я спал. Утром когда обратился к банку — сразу все объяснили что и как. Советую никому не давать свою карту. Никто не знает какой момент такое же сообщение с 900 и вам придет.