Эльвира Набиуллина: «Пока атаки идут на крупных участников рынка, но дойдет до всех»

Модератором дискуссии «Противодействие социальной инженерии и мошенничеству» стал депутат Госдумы Анатолий Аксаков. Он озвучил статистику преступлений, построенных на социальной инженерии за 2022 г. — их количество увеличилось на 40% за прошлый по сравнению с 2021-м. По мнению Аксакова, это большая цифра, и он задал вопрос банкам: что делается для того, чтобы эту ситуацию переломить?

Первым высказался заместитель председателя правления Сбербанка Станислав Кузнецов, который поделился своей статистикой:

«Я хочу отметить, что ситуация улучшилась в том плане, что, во-первых, уменьшилось количество звонков из мест заключения. Во-вторых, мы стали в десятки раз больше знать о работе колл-центров: что делают, что собираются делать, и каким клиентам собираются звонить. Четыре крупных телеком-оператора полностью соблюдают букву закона, но слив данных остается потому, что другие несколько сотен, особенно региональных телекомов, продолжают торговать номерами. Роскомнадзор начал выявлять и штрафовать такие компании. Большую работу проводит и прокуратура.

Что касается Сбера, то в марте мы зафиксировали нулевые цифры по мошенническим звонкам нашим клиентам. Это длилось около 30 дней: с 90-100 тыс. звонков в день мы перешли на нулевые цифры. Очень необычная ситуация. Но с начала апреля все стало восстанавливаться, и телефонное мошенничество сегодня имеет тренд на усиление в отношении кредитных организаций. В отношении клиентов Сбера произошел коренной перелом в борьбе с телефонным мошенничеством: по итогам года количество звонков удалось уменьшилось в 15-20 раз. Это хорошая новость. Но плохая новость — в том, что общие цифры телефонного мошенничества не имеют такого тренда на сокращение, и это значит, что мошеннические звонки просто перетекают от одной кредитной организации к другой, и мошенники могут уже с новыми технологиями возвращаться в том числе и к нашим клиентам. Поэтому мы готовы делиться информацией по защите со своими коллегами из других кредитных организаций. На повестке остро стоит вопрос, как нам объединить усилия, чтобы не допустить этих перетеканий. У нас с коллегами из других банков есть предложения, как объединиться, у нас есть ресурсы и силы, чтобы создать единый автоматизированный подход, который могли бы использовать все банки. Думаю, это нужно делать на безвозмездной основе, и лучше, если эту работу возглавит Центробанк. Сегодня это назрело весьма сильно. Очень надеемся, что это будет возможно».

Заместитель президента — председателя правления ВТБ Вадим Кулик отметил:

«Представление о том, что мы что-то переломим, и всем сразу станет лучше — это иллюзия. Это как человечество и болезни: обе стороны эволюционируют постоянно. Да, мы сейчас на пороге изобретения «антибиотиков», что позволит нам сдвинуть баланс в пользу системных организаций. Но есть три компоненты, которые надо решить. Первая— это создание доверия между клиентом и организацией. Условный Иванов должен знать, что он позвонил именно в ВТБ, а ВТБ, когда с ним общается, должен быть уверен, что это Иванов. Потому что пандемия «открыла» многие организации, все переходили на электронные каналы взаимодействия, и стало возможным написать куда угодно: «Я Иванов», не являясь Ивановым, — и организация выдаст какую-то информацию. И таких способов выуживания информации о физлице — очень много. Поэтому государству нужно решить, как обе стороны будут уверены друг в друге. Да, это уже решается, в том числе с помощью Госуслуг. Надо доделать и донести до физического лица безопасный способ общения, добавить естественную базу телефонов, из которой будет ясно, что такой-то номер принадлежит такой-то организации, тогда физлицо будет знать, с кем оно общается. И важно решить проблему ответственности за доставку значимой информации. Сейчас ответственности операторов за доставку тех или иных СМС нет, но она должна быть, должна быть разница между мошенническими сообщениями и обычной перепиской. Следующее — обмен данными, о чем сказал Станислав кузнецов. Нужна какая-то система, которую мы сможем «кормить» необходимыми данными, чтобы наши модели вовремя в онлайне отрабатывали и с еще большей точностью блокировали подозрительные операции. При этом, чтобы блокировка финально отработала, нужны точечные изменения в законодательстве, чтобы у банков появились права блокировать совсем все. Это второе.

И третье: как бы мы ни защищались, как бы ни строили систему над системой, над системой, над системой, если человек с десятого раза не понимает, что существуют мошенники и как они работают, то проблема останется. Поэтому третья компонента — образование людей и выстраивание у них определенной формы недоверия к разным способам воздействия на них. Этим обязательно нужно заниматься».

Анатолий Аксаков отметил, что погоня банков за прибылью, судя по цифрам роста мошенничества, опережает понимание того, что надо защищать данные и внимательно относиться в том числе к выдаче кредитов.

Вадим Кулик прокомментировал: «Так как цель – это прибыль, а убытки клиентов ее сокращают, то выстраивание защищенных технологий является обязательным условием и обязательной целью. Это синергия между целями».

Генеральный директор, председатель Правления акционерного общества «Национальная система платежных карт» Владимир Комлев также поделился своим мнением:

«Мы как оператор платежной системы и некой инфраструктуры платежного рынка видим другие аспекты того, что видят или не видят банки на своей стороне. Например, межбанковская связанность операций не всегда видна банкам, потому что она часто разрывается на уровне снятия наличных и переноса их руками в банкомат другого банка. Над этим мы сейчас работаем и считаем, что это внесет хороший вклад в борьбу с социальной инженерией. Мы видим, какой процент транзакций приходится именно на социальную инженерию, — очень высокий — и научились за счет и машинного обучения, и  работы с большими данными связать одну транзакцию в одном банке с другой в другом: когда кто-то снял деньги в одном банке, а в другом они вдруг появились на счете. Мы научились понимать, что это одна и та же транзакция. Те транзакции, которые мы научились выявлять, показывают высокий уровень правильности и попадания. Я не хочу сказать, что мы научились видеть все, но в тех, которые научились видеть, вероятность близка к 100%. И второй момент: конечно, наша борьба идет параллельно: мы выявляем — мошенники придумывают новое. И пока есть мошенники, они будут совершенствовать свои средства, а мы как оппоненты будем придумывать более искусные методы противостояния и максимально быстро их внедрять. Хорошо, что рынок начинает консолидироваться вокруг понимания, что проблема не может быть решена отдельно Сбером, ВТБ или кем-то еще, это должна быть консолидированная структура, которая максимально технологична, автоматизирована, и в состоянии с такими вызовами бороться, и взносы каждого участника дадут хороший синергетический эффект.

Председатель Центрального банка Российской Федерации Эльвира Набиуллина поделилась своим видением ситуации:

«Мы тоже как регулятор предпринимаем усилия для борьбы с мошенничество. Общий ответ: все пока неидеально, но результаты есть, удалось не достичь взрывного роста мошеннических операций, хотя такой риск был. По цифрам: количество атак растет, вызовы растут, и эта тенденция будет продолжаться. Объем ущерба тоже растет, но не такими темпами, как количество атак, то есть успешность атак падает. Если посмотреть удельный вес мошеннических атак к безналичному товарообороту, то он снизился на 25% в 2022г. Это связано с тем, что в целом безналичный оборот растет. Социальная инженерия продолжает доминировать, хотя ее вес несколько снизился, но это нас не должно успокаивать: поборем социальную инженерию — появятся другие технологии, они изобретательны. На мой взгляд, перелома, к сожалению, не произошло, но есть решающий момент: я не согласна с Вадимом Куликом, что это иллюзия, что когда-то будет переломный момент — мы должны его добиться. Мне бы не хотелось, чтобы у людей получение финансового сервиса все время ассоциировалось с риском мошенничества, чтобы человек каждый раз боялся каждого звонка. А у нас сейчас, к сожалению, появилась эта тенденция. Но мы можем ее переломить. Да, это постоянная борьба, но она не должна быть ускользающей целью. Чего нам не хватает? Мошенники, как всегда, креативны, и очень сфокусированы, а мы действуем разрозненно и медленно, потому что здесь участвуют все: законодатель с законодательной базой, Банк России с регуляторными и надзорными практиками, банки, операторы связи, правоохранительные органы. Мы многое научились делать быстро, но все равно мошенники будут быстрее нас. Поэтому нам нужен беспрецедентный уровень координации. Это реально большая угроза, и мы должны бороться все, все должно идти от осознания готовности кооперироваться. Скорость крайне важна, и я рада, что крупные участники финансового рынка поддержали идею обмена информацией и кооперации, и что они готовы в это инвестировать. Это можно только приветствовать. Не все организации могут создать на своей базе необходимые разработки, и если крупные компании готовы делиться и данными, и отработкой модели — это прекрасно, и мы как регулятор это поддержим. Потому что критически важна скорость обмена и скорость принятия решений. Пока атаки идут в основном на крупных участников рынка, но дойдет до всех, и все должны быть к этому готовы. И, конечно, надо не забывать о финансовой грамотности — чтобы люди были более устойчивы к мошенническим инициативам».      

Анатолий Аксаков также задал участникам дискуссии вопрос о возмещении ущерба банками: Как вы относитесь к тому, чтобы возместить ущерб или хотя бы часть ущерба, который понес клиент, и потом уже самим разбираться с теми, кто украл деньги со счета?

Владимир Комлев ответил:

«Нас это касается не так, как банки, но я считаю очень важным тезис о собственной ответственности людей и осознанности совершения тех или иных действий, а также о финансовой грамотности и понимании, что человек делает. Я опасаюсь, что уверенность людей в компенсациях в случае мошеннических атак может снизить градус нормальной здоровой ответственности среди граждан, этот аспект нельзя упускать из внимания».

Вадим Кулик согласился:

«Наверное, мы таким образом рискуем превратиться в социальные организации. Правильно было бы иметь водораздел. Если все технологии отработали правильно, и у организации есть все следы того, что клиент был многократно предупрежден, и есть подтверждения, что он отвергал помощь банка в разных формах, тогда я не понимаю справедливость этого возмещения».

Станислав Кузнецов поддержал коллег:

«Если банк виноват в том, что не защитил клиента, значит, банк должен вернуть деньги. Если клиент после всех предупреждений самостоятельно снял деньги и только по ведомой ему логике понес их мошеннику, банк не должен нести ответственность. Тем не менее, во второй части у нас есть возможности помочь клиенту и вернуть деньги, и мы должны эти возможности использовать. Например, есть возможность по 115-му закону (115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и/или финансированию терроризма»-прим. ред.) при замораживании на 10 суток помочь клиенту вернуть деньги. Мы отпилотировали эту технологию с судами, и в мае поставим проект на крыло. Технология заключается в том, что клиенты дают нам доверенность, и мы в течение 10 дней обеспечиваем им возврат затрат, понесенных даже по их вине. Но мы очень надеемся и на 161-й закон*, который ЦБ разработал вместе с банками, но Госдума тянет с принятием инициативы. Эльвира Сахипзадовна верно отметила, что нужна скорость. Помогите нам, законодатели, вооружите нас инструментами, чтобы мы могли в рамках 161 закона на два дня по информации ЦБ блокировать средства и возвращать их клиентам. Скорость действительно крайне важна».

Эльвира Набиуллина вернула ответственность банкам:

«Я не порадую банки. Я считаю, что они должны отвечать перед клиентами. У них есть разработки, системы защиты, они должны это делать, а человек более беззащитен перед мошенниками, чем финансовая организация с такой мощью. И, кстати, это вопрос не только финансовой грамотности: когда человек попадает под влияние мошенников — это еще и психологическое воздействие. Человек в разные моменты совей жизни может быть психологически уязвим, и не всегда знание спасает. Мы прекрасно знаем немало примеров, даже когда менеджеры финансовых организаций попадаются на удочку мошенников. Системы защиты, помимо финансовой грамотности, могут создать финансовые институты, которые эти услуги предоставляют. Безусловно, нужно принимать 161 закон: если деньги переводятся на счет мошенника (у ЦБ есть база данных, и по ней видно, что это счет мошенника), его надо быстрее блокировать, и у человека должно быть хотя бы два дня, чтобы подумать. Это для меня безусловно. Но действительно, существуют такие вещи, когда банк настаивает на том, что деньги переводить не нужно, а человек все равно делает это. В то же время мы должны иметь возможность, если видим, что это сайт мошенника, блокировать перевод сразу, а не давать человеку два дня.  Но эту систему тоже нужно продумать.

Плюс есть сложный вопрос страхования киберрисков: трудно оценить киберриски, но об этом тоже возможно думать — с пределом ответственности и с некоторыми условиями во взаимоотношениях банка и клиента. Я считаю, что мы не достигнем перелома в первом вопросе, если не достигнем его в вопросе возмещения ущерба. Все-таки обязанность возмещения ущерба стимулирует банки активнее заниматься антифродом».

*161-ФЗ — закон, согласно которому банки должны проверять подозрительные операции по счетам. Самые распространенные виды мошенничества — незаконный доступ в личный кабинет через фишинг, подмена реквизитов в почте и непредоставление услуг, мошенников определяют по признакам, которые определил Центробанк. Банк может подозревать в недобросовестности своего клиента-получателя, а может, наоборот, проверить исходящую операцию. В случае подозрений банк просит клиента пройти проверку. Срок блокировки подозрительной исходящей операции — два дня, входящей — пять.