«Мы можем утонуть в спорах о том, сколько карт разрешить иметь клиенту»
Российские власти для борьбы с телефонным мошенничеством, потери от которого растут каждый год, планируют ввести уголовную ответственность для дропперов, ограничить количество банковских карт для гражданина, усложнить привязку карты к смартфону для платежей с его помощью. О том, как к подобным нововведениям относится банковское сообщество, рассказал председатель Национального совета финансового рынка Андрей Емелин.
— По недомыслию отдают свои карты мошенникам единицы, не ходят же дроповоды и не спрашивают, ребята, вы не готовы мне отдать карту? Это же несерьезно. Абсолютное большинство людей совершенно сознательно продает свои карты, зарабатывает на этом, и именно их следует считать дропперами. Хотя это разовый заработок, но причина того, что много людей соглашаются на него, заключается в отсутствии явной юридической угрозы для человека, который это делает. Нарушением это являлось всегда — передача карты третьему лицу всегда противоречит правилам ее использования, закрепленным в договоре с банком. Однако ввиду того, что это гражданско-правовые отношения и ответственность ограничивается некой условной санкцией по договору банковского счета или договору на обслуживание карты, к этому люди относятся совершенно легкомысленно.
— Уголовная ответственность для самих дроповодов давно существует, но их не так просто поймать, поэтому проблема дропперов и существует. Теперь же будет уголовная ответственность для тех, кто продает им карты. При этом проектируется достаточно широкий спектр видов наказаний — от штрафа до двух лет лишения свободы, так что сразу сажать в тюрьму за то, что человек один раз по недомыслию продал карту дроповоду, скорее всего, не будут. Более того, в законопроекте есть специальное примечание, согласно которому вообще освобождается от уголовной ответственности лицо, активно содействующее расследованию такого преступления. Так же, как в случае со взяткой,— активное сотрудничество со следствием освобождает от ответственности.
— Скорее всего, да, но уголовное дело будет возбуждено, и после вынесения приговора судимость у него будет. Просто наказанием будет не лишение свободы, а штраф в размере от 100 тыс. руб. до 300 тыс. руб. или в размере дохода осужденного за период от трех месяцев до одного года. Могут быть также назначены обязательные работы на срок до 480 часов, исправительные работы на срок до двух лет либо ограничение свободы до двух лет. И для самых закоренелых дропперов предусмотрены принудительные работы на срок до трех лет или лишение свободы до трех лет. То есть в законе предусмотрено семь видов санкций, и у каждой внутри еще градация по срокам.
— Для того чтобы анализировать онлайн все производимые трансакции на предмет их совершения, например, в одном и том же банкомате с небольшими перерывами по разным картам, на это нужны очень большие вычислительные мощности. И это при том, что по большому счету камеры в банкоматах, которые снимают тех, кто совершает операции, в большинстве случаев в работе с профессиональными мошенниками бесполезны,— те, как правило, действуют в капюшоне или в очках, и их изображение делу не поможет.
— Все не так просто. Правоохранительные органы должны доказать, что человек именно продал дроповоду свою карту, ведь теоретически он мог просто потерять карту с написанным на ней пин-кодом. Но человек все равно попадает в зону внимания полиции и с большой долей вероятности, после того как он побывает на допросе, больше не станет продавать свою карту. Более того, если человек попался на такой операции, банк тоже его возьмет на карандаш и включит в состав лиц, которые участвовали в операции без добровольного согласия. После этого появятся основания для блокировки ему скомпрометированной карты и для невыдачи ему новых карт. После попадания человека в реестр Банка России его с большой оглядкой будут принимать на обслуживание и другие банки.
— С каждым днем предварительные фильтры блокировок работают все лучше. Во-первых, Банк России стал проводить комплексный анализ сигналов — проводят сверки, переспрашивают банки, банки переспрашивают жалобщиков о том, действительно ли имела место операция без согласия, уточняют детали этой операции. И это очень помогает предотвращать ошибки. А второй момент — сами банки стали гораздо более внимательно относиться к сигналам жертв и сами стали их перепроверять. Плюс Банк России постоянно совершенствует процедуру реабилитации клиентов, ошибочно попавших в черный список. Кроме того, Банк России сейчас изучает предложенную нами методику дифференциации фидов, то есть включения в черный список лиц на разные сроки, по истечении которых человек автоматически исключается из фидов.
Почему банкиры и регуляторы пока проигрывают битву с дропперами
Что же касается нового законопроекта, то тут речь идет только о передаче карты мошенникам. В случае если человек карту потерял или у него ее украли, то он сразу сообщит об этом в банк. Если вы действуете абсолютно добросовестно в рамках закона, то есть когда вы узнали, что у вас нет карты и сразу сообщили в банк, банк это зафиксировал. С этого момента карта блокируется. Первое — по ней нельзя ничего провести, второе — по ней нельзя вам ничего предъявить. Так что массовых уголовных дел из-за потери карты после принятия закона можно не опасаться.
— На мой взгляд, имело бы смысл начать с какой-то достаточно большой цифры, например 10–15, поскольку эта мера направлена прежде всего на борьбу с «промышленным дропперством», когда человек оформляет на себя 100, 300, 1000 карт.
— С помощью онлайн-сервисов. Он подает одну заявку за другой, выполняет требования по идентификации, и в этом случае у банка нет оснований не открыть ему карту. И даже лимиты по суммам операций по картам здесь не помогают. Таким образом можно открывать хоть тысячу карт каждый день. Как только мы установим на одно лицо ограничение по открытию карт в рамках одного банка, скажем, в десять штук, это просто станет невыгодным бизнесом. Понятно, что это частичное лечение, но оно отсечет значительную часть дропперов и значимо усложнит им мошенническое использование этого механизма.
— Поэтому я и говорю про необходимость ограничить количество карт десятью в рамках одного банка. У нас с вами нет сводного реестра карт и негде проверить, сколько карт у клиента в других банках. Мы можем утонуть в спорах о том, сколько карт разрешить иметь клиенту всего, поэтому давайте сделаем пока какой-то лимит и посмотрим, как это работает. По сим-картам ведь уже поставили лимит, и ничего. Все посетовали немножко, пока принимался закон, но, поскольку тема старая и все понимают прекрасно, что именно за счет этих многочисленных симок идет колоссальный рост социнженерии, посмотрите, никакого возмущения нет. Просто смирились с этим. Мы понимаем, что для нашей безопасности нам придется чем-то пожертвовать, причем для большинства людей это чисто гипотетическая жертва. Реально людей, которым действительно нужно для дела много симок или много карт, единицы.
— Я думаю, что достаточно. Если лицо по какой-то причине находится под воздействием социнженеров, они его заставили токенизировать карту и пытаются через нее совершить трансакцию, двое суток перерыва, по оценке банков, будет достаточно, чтобы вывести клиента из-под воздействия мошенников. Они ведь должны держать жертву все время под воздействием, а как только возникает операционная пауза и жертва ничего не делает, тут воздействие само растягивается по времени настолько, что становится очень сложно человека удержать под контролем. Блокировка на более длительный срок — это очевидно уже недружественный шаг в отношении добросовестных клиентов, которым и два-то дня, в общем, почти предел. А как это подействует на недобросовестных, мы увидим. Если ситуация именно с токенизированными картами не изменится, возможно, они либо будут вообще запрещены, либо период охлаждения будет увеличен.
— Люди, которые платят телефоном, тоже не хотят терять деньги. В нашей реальности, как только ты токенизируешь карту, вероятность того, что ты станешь жертвой мошенников, серьезно увеличивается. Можно удлинить сроки, можно сократить количество токенизированных карт даже до нуля. А иначе получается несправедливо — клиенты не хотят отказываться ни от каких удобств и при этом предполагают решить свои проблемы со списанием средств мошенниками за чужой счет, в первую очередь банковский, то есть фактически за счет остальных клиентов банка. Но так не бывает. Банк может идти навстречу клиенту, только пока это позволяет экономика. Экономически нерациональные механизмы нежизнеспособны.
— Думаю, что на удивление быстро, ведь он практически ничего не требует для своей реализации в отличие от многочисленных технологических мер, которые требуют создания новой государственной информационной системы под каждый случай. Еще вчера, пока этого закона не было, ваши действия были уголовно ненаказуемы, но, как только закон вступит в силу, они станут наказуемы, это только вопрос сроков вступления в силу нормы. После того как закон заработает, я думаю, что не больше квартала потребуется правоохранительным органам, чтобы разобраться с процессуальными моментами. В результате совместной работы с полицией по новому закону банки получат новые сигналы, поймут, на что надо смотреть внимательнее. Мы сейчас на некоторые вещи вообще не обращаем внимания просто потому, что потом с ними непонятно, что делать. А когда мы будем знать, что с ними делать, то и сами антифрод-системы банков будут скорректированы, и процессы выявления, и настройки искусственного интеллекта, и настройки нейрощита — все будет определенным образом изменено с учетом новых потенциальных возможностей.
В итоге мошенников станут ловить и сажать чаще, честные люди будут терять деньги реже, а легкомысленные граждане зарекутся продавать свои карты жуликам.
