Finversia-TV
×

Слон в посудной лавке или как Центральный банк с мошенниками боролся A A= A+

24.09.2020

«Здравствуйте! Вас беспокоит служба безопасности банка …». Эту фразу начала разговора с телефонными аферистами все вы безусловно слышали в этом году… и все, что происходило потом мне неоднократно пересказывали друзья и соседи, коллеги и просто случайные знакомые.

Финал этого разговора у каждого свой, есть и те, кто остался без средств на карте. Я за этот год тоже получил пару таких звонков от мошенников. Очередной звонок раздался буквально на днях, когда я вечером выходил из своего офиса Москва-Сити… Поскольку среди моих знакомых такого рода звонки стали привычным делом, мне стало интересно, а насколько вообще эта проблема актуальна и сколько крадут денег у наших граждан. Если вы уже читали мои посты или слушали выступления на конференциях в августе и сентябре, то данная статья дополнит их содержание. Поскольку я в том числе занимался консалтингом в области информационной безопасности, тема мне знакома, и я в этой заметке более подробно делюсь с читателями тем, что мне удалось узнать.

Правоохранительные органы на протяжении уже нескольких лет отмечают рост мошенничества, направленного против клиентов банков. МВД отмечает рост таких преступлений на 86% к 2019г. Стабильно из года в год фиксирует кратное увеличение мошенничества Генеральная прокуратура, так по последним ее данным число преступлений выросло за последние 5 лет в 25 раз, примерно о том же заявляет и Следственный комитет.

Банки также видят растущие риски, говоря об усилении угрозы. Так, по данным Тинькофф за первые шесть месяцев 2020 года злоумышленники стали звонить клиентам в 2,7 раз чаще, чем за аналогичный период прошлого года. Сбер заявляет, что мошенничество в 2020г. выросло на 87% к 2019г., и сегодня в среднем в месяц фиксируется около 350 тыс. мошеннических звонков. Ренессанс Кредит заявляет, что объем украденных средств вырос в 2020г. на 24% к 2019г.

Абсолютных цифр объема похищенных средств и число пострадавших граждан банки по понятным причинам не раскрывают. Однако Банк России владеет этой информацией т.к. обязал кредитные организации отчитываться по каждому случаю. Данную информацию регулятор агрегирует и ежегодно публикует в «Обзоре операций, совершенных без согласия клиентов» (далее для простоты будем называть это Обзором), поэтому для понимания текущей ситуации попробуем провести его анализ.

Последний такой Обзор за 2019 год демонстрирует рост количества и объема хищений. Так, в 2019 году объем всех операций, совершенных без согласия клиентов (физических и компаний) составил почти 6,5 млрд. рублей (!!!), количество таких операций – 576 тыс. Однако в отличие от правоохранительных органов и банков, причинами ухудшения статистики в Обзоре указывается не рост мошенничества, а изменение формы банковской отчетности и запуск системы обработки инцидентов «ФинЦЕРТ» и автоматизированной системы «Фид-Антифрод». Средняя сумма операции для физических лиц, заявленная в Обзоре, составляет 10 тыс. рублей, хотя, например, в отчете Тинькофф банка она составляет 22 700 рублей, то есть в два раза выше заявленной.

Для потерпевших в первую очередь важен вопрос о возможности возмещения украденных средств. В Обзоре указана доля возмещения клиентам, составившая 15%, это объясняется высокой долей социальной инженерии, где клиенты нарушают условия договора банковского обслуживания. При этом не дается комментариев о том, что отражает данная цифра (хорошо это или плохо), но дается пояснение, что Банк России намерен рассмотреть возможность изменения процедуры возврата средств клиентам.

Действительно, в подавляющем большинстве случаев хищения совершаются из-за того, что клиенты сами передают мошенникам данные или вообще выполняют переводы самостоятельно. При этом грубо нарушая условия договора с банком и рекомендации по безопасному использованию банковских продуктов.

Уверен, что если банки обяжут возмещать средства более активно, то это негативно отразится на ситуации с мошенничеством, и вызовет появление отдельного его вида, мошенничества уже со стороны клиентов. Поэтому такие предложения выглядят поспешными и не проработанными.

Банк России рассматривает три типа мошеннических операций: совершенные через банкоматы, оплата в интернете, операции через интернет и мобильные банки. При этом почему-то забывают, что есть и другие, через
которые крадут деньги – например, телефонные контактные центры, офисы банка, QR-покупки, бесконтактные платежи и пр. Примеров на том же banki.ru масса. Очевидно, статистика по данным каналам не попадает в Обзор и выпала из фокуса Банка России.

Как и годом ранее, основная доля по объему и количеству указанных операций совершается без физического присутствия банковской карты, так называемые в Обзоре Card Not Present (или CNP) транзакции (стр.7). Данный термин заставляет задуматься над его актуальностью т.к. все операции при дистанционном обслуживании совершаются без физического предъявления карты (в т.ч. и при операциях на банкоматах, pos-терминалах при бесконтактных операциях с телефона).

Доля мошеннических операций в общем объеме операций в 2019г. составила 0,0023% (в Обзоре в 2018г. – 0,0018%).

Рисунок 1. График изменения показателя и комментарии ЦБ

Слон в посудной лавке или как Центральный банк с мошенниками боролся

Этот показатель рассчитывается как отношение суммы денежных средств, по которой получены уведомления клиентов о несанкционированном переводе денежных средств, за отчетный период нарастающим итогом с начала календарного года к общей сумме переводов за этот же период.

Заявляется, что данный показатель не превышает целевое значение, установленное Банком России - 0,005%, но ни в Обзоре, ни в нормативных документах регулятора я не смог найти прозрачной методики его расчета – какие данные и откуда брались осталось не понятным. Там, где такой методики нет, как мы знаем, есть пространство для манипуляции.

Если посмотреть Обзоры прошлых периодов, то видны проблемы (Рисунок 1). До 2018г. вопреки заявлениям официальных ведомств и самих банков ЦБ фиксировал позитивное снижение показателя. Затем в 2018г. для банков были изменены формы отчетности и видимо ЦБ стал видеть больше данных и цифры полезли вверх. Но при этом ни в одном Обзоре я не нашел, к сожалению, признания того, что выводы отчетов предыдущих периодов, шедшие вразрез общим трендам по мошенничеству, были ошибочными. Кроме того, видится некорректным вывод ЦБ о том, что нисходящий тренд данного показателя 2015г.-2017г., переломленный в 2018г., указывает на правильный курс на внедрение мер минимизации риска. Скорее данный факт указывает, на то, что до 2018 года ЦБ вводило экспертное сообщество в заблуждение.

В Обзоре заявляется, что 69% операций совершается с использованием методов социальной инженерии, из чего состоит остальной объем мошенничества и какая его динамика не раскрывается. Сама цифра вызывает сомнение, так по данным экспертных организаций и банков, доля социальной инженерии в 2019г. составила около 90%. Достаточно странно, что это не находит отражение в статистике Обзора Банка России, где доля социальной инженерии наоборот снизилась с 97% в 2018 году до 69% в 2019г.

Специалисты по информационной безопасности отмечают, что социальная инженерия может быть реализована через операции самостоятельного перевода средств мошенникам, которые делают сами клиенты, или в результате разглашения данных по банковским картам. Кроме того, в аналогичных отчетах официальных ведомств развитых стран в общем объеме отдельно выделяется мошенничество против пожилых людей – так называемый «elder fraud». Данное распределение важно для понимания текущих процессов и разработки стратегии защиты граждан. Подобные аналитические данные в Обзоре пока не отражены.

К сожалению, сам отчет практически не содержит детального анализа трендов как внутри социальной инженерии, так и других актуальных способов мошенничества. Сегодня известно около сотни, а может быть и больше схем, которыми пользуются преступники. Очевидно, что государство и банки обязаны защищать себя и клиентов, но без качественной систематизации и оцифровки мошенничества, это сделать невозможно - на таком уровне детализации ландшафта мошенничества ценность Обзора практически нулевая.

Читаем дальше. Банк России призывает банки улучшать качество работы по доведению до клиентов информации о возможных рисках использования электронных средств платежа и о разграничении ответственности банка и клиента в случае компрометации данных платежных карт. При этом указанную работу банки должны проводить на постоянной основе в соответствии с законодательством РФ. Получается, что эту задачу Банк России возложил на кредитные организации, сняв с себя какую- либо за нее ответственность. Поскольку данная рекомендация относится ко всем банкам, то возможно разумным было бы регулятору занять более активную позицию и выступить лидером по развитию у населения уровня финансовой грамотности и безопасного использования банковских услуг.

В отчете не дается анализ причин роста социальной инженерии, в то время как они очевидны – попробуйте как-нибудь сами получить себе московский телефонный номер и полноценный CRM для call-центра через компании, предоставляющие услуги Виртуальных АТС, вы удивитесь как это быстро и дешево. Такие же полулегальные сервисы IP-телефонии можно без проблем найти через поисковик, а заодно прикупить свежих персональных данных для звонков.

Не указано, что Банк России планирует предпринимать по данным направлениям. Вместо этих фокусных проблем приводятся меры по борьбе с фишинговыми сайтами и планы по созданию единой системы проверки сведений об абонентах без анализа доли фишинга и эффективности предлагаемой системы.

При угрожающем росте потерь граждан не говорится ничего про необходимость или планы ЦБ по разработке системных инструментов борьбы с указанными первопричинами проблемы. Вместо этого предлагается создание единого канала обмена между операторами связи и банками данными о мобильных устройствах и абонентах. Вот только добавят ли они значимой ценности банкам в текущих реалиях?

В Обзоре сделана попытка привести распределение количества и объема операций без согласия клиентов по территориальному признаку - 42,48% доля операций, совершенных на территории РФ, 57,52% - доля операций, совершенных за пределами территории РФ (см. рисунок ниже). Вот только не даны комментарии, как данная статистика соотносится со схемами мошенничества и с тем, что большая их часть совершается через Интернет, где провести такую классификацию невозможно.

Рисунок 2. Распределение несанкционированных операций в РФ/вне РФ из Обзора

Слон в посудной лавке или как Центральный банк с мошенниками боролся

Удивляет попытка отразить в отчете регулятора данные по территориальному признаку. Что же все-таки необходимо учесть при определении территории? Место ведения счета, место жительства клиента, и что делать, если мошеннический ресурс размещен в интернете, где понятие территориального признака вообще не существует? Значит ли это что преступление произошло вне планеты Земля?

Вызывают вопросы приведенные статистические данные как на Рисунке 3, так и в Таблице 1 Обзора. Рейтинг территориального распределения мошенничества по Федеральным округам кажется не вполне реальным. Например, приведенное количество операций без согласия клиентов по одной операции за 2019 год в Астраханской на 15,96 тыс. руб. и Омской на 9,59 тыс. руб. областях сомнительно и подрывает доверие к представленным данным.

Таблица 1. Территориальное распределение мошенничества.
Обзор операций, совешенных без согласия клиентов финансых организаций за 2019 год

  Количество, ед Объем, тыс. руб
Астраханская область 1 15,96
Чувашская Ресублика 5 14,55
Владимирская область 1 10
Омская область 1 9,59
Ярославская область 1 9
Иркутская область 2 6,95
Кемеровская область 5 2,46
Республика Коми 1 0,07

Рисунок 3. Обзора

Слон в посудной лавке или как Центральный банк с мошенниками боролся

Приведена и доля операций без согласия клиентов в 42,5% за пределами России, она указывает на необходимость информирования банками своих клиентов о рисках при осуществлении трансграничных переводов. Данный тезис является спорным т.к. не показана структура мошенничества в этих цифрах, соответственно нельзя предлагать меру без понимания того, что за ней стоит.

Интересно также посмотреть на меры, которые предпринимает ЦБ в части минимизации риска проведения операций без согласия клиентов. Среди перечисленных в Обзоре 5 мер - три нацелены на обеспечение безопасности самих банков (это хорошо, но деньги крадут не у банков, а у клиентов). Одна мера про обучение население «в части обеспечения безопасности применяемых информационных и платежных технологий» - саму фразу невозможно расшифровать на понятный язык, поэтому не понятно, что же делает в этом плане делает регулятор. И одна мера по информационному обмену между банками и ФинЦЕРТ Банка России по операциям без согласия клиентов, эффективность которой вызывает сомнение и не раскрыта в самом Обзоре. Поэтому в очередной раз складывается ощущение, что ЦБ использует далеко не все свои возможности и слабо понимает структуру современного мошенничества.

Почему же ЦБ не видит всю картину целиком и в результате публикует столь слабую аналитику? Возможно потому, что существующие подходы к агрегации банковской отчетности не позволяют качественно достигнуть цели сбора и обобщения, а также сформировать базу знаний о структуре мошеннических операций.

Поиск в КонсультантПлюс или Гаранте покажет, что в настоящий момент определены две отчетные формы №0409258 и №0403203, которые финансовые организации обязаны регулярно направлять регулятору. Так же, для информирования ЦБ банкам предложена Автоматизированная система обработки инцидентов ФинЦЕРТ. Эти три источника использовались для составления итогового Обзора, но в них даны различные определения хоть и, по сути, похожих статистических показателей.

Если посмотреть методики составления этой отчетности, то к представленным в Обзоре цифрам вопросов становится еще больше.

В нормативных документах Банка России каких только названий в отношении переводов в адрес мошенников я не встретил. Это и «незаконные операции», и «операции, совершенные без согласия клиента», и «инциденты, связанные с нарушением требований к обеспечению защиты информации», и «события, связанные с получением уведомлений от клиентов». У всех у них на первый взгляд похожий, но все же имеющий существенные различия смысл.

В некоторых случаях они требуют включение в отчетность операций клиента, с которыми он просто не согласен: платные подписки, ошибочные переводы или о которых он просто забыл, что скорее всего, насыщает отчеты ненужной информацией.

В других случаях декларируется, что собираются данные, но только те, по которым жалоба клиента представлена в банк не позднее следующего дня за днем уведомления клиента о проведении операции. Если же я пожаловался позже, то такая информация в отчете учитываться не должна. Сомневаюсь, что у нас все пострадавшие успевают добежать так быстро до банков.

Я поговорил со знакомыми безопасниками в банках. По их словам предполагалось, что изменение в 2018 г. формы отчетности 0403203, а также усиление ответственности участников кредитно-финансовой сферы за полное и своевременное предоставление данных, принесет ощутимое улучшение качества и объема предоставляемых данных в 2019 и последующих годах, однако по всей видимости из-за проблем с методикой формирования этого так и не произошло.

Думаю, что текущие проблемы с отчетностью в данной сфере будут когда-нибудь устранены, однако реальная сумма потерь граждан от мошенников в настоящее время похоже пока так и остается загадкой.

Другой вопрос, который приводит к такой парадоксальной оценке ситуации в мошенничестве со стороны ЦБ, связан с совмещением им сразу нескольких функций. Сегодня ЦБ – это и мегарегулятор и надзорный орган и активный участник финансового рынка, составляющий конкуренцию другим Банкам. В существующих реалиях ЦБ маневрирует своими функциями исходя из складывающихся условий.

В качестве примера можем вспомнить развитие ситуации вокруг Единой Биометрической Системы (ЕБС), инициатором создания которой выступил Банк России совместно с Ростелекомом. Под правильным в целом лозунгом обеспечения равной доступности банковских услуг для граждан в разных регионах нашей страны всем банкам через принятый Федеральный закон вменили в обязанность сбор биометрических персональных данных в эту систему. При этом предполагалось, что понесенные затраты будут возмещаться кредитным организациям через механизм разделения платы за проведенную удаленную идентификацию между оператором системы и банком, собравшим биометрические данные. Однако этого не произошло, популярность среди населения система так и не получила, за все время ее работы накоплено порядка 150 тыс. биометрических данных граждан, но люди не понимают ее ценность для себя.

Одновременно с ЕБС создавали свои биометрические системы и крупные банки, которые, лучше понимая потребности своих клиентов, смогли предложить им удобные сервисы с применением биометрических технологий, следствием чего явилась их существенно большая наполненность данными.

По сути, сложилась своего рода парадоксальная конкурентная борьба между регулятором и регулируемой им банковской системой. И вот, появляется законопроект, в котором обязательность поддержки банками ЕБС распространяется уже на ее применение для предоставления банковских услуг. А для коммерческих биометрических систем предъявляются требования по безопасности, никак не учитывающие ни цели их создания, ни сценарии применения и соответствующие им риски – по существу запретительного характера. При том, что банки, собирающие данные, несут ответственность перед своими клиентами за возможные инциденты при использовании биометрии, а оператор ЕБС нет. Как можно не учитывать риски в зоне ответственности оператора, которые сегодня появились в связи с бурным развитием систем синтеза изображений и речи методами искусственного интеллекта? В общем понятно, что проще всего борьбу выиграть с помощью административного ресурса.

Выводы:

Можно констатировать, что проблема мошенничества в банковской сфере сегодня приобретает угрожающий масштаб и, безусловно, требует мобилизации усилий не только от банков, но, в первую очередь, и профессиональной системной работы Банка России в этом направлении, чего не происходит уже много лет, и представленный «Обзор» лишнее тому подтверждение.

Представленная ЦБ статистика за 2019 год не отражает объективной картины по мошенничеству, содержит поверхностные заключения. Несмотря на заявления о возможности использования Обзора в целях планирования мероприятий по управлению рисками, внутреннему контролю, защите информации, а также для понимания трендов и выстраивания эффективных систем противодействия мошенничеству, он никак не может быть использован по назначению. Создается ощущение, что если и удастся переломить рост преступности в данной сфере, то это будет сделано вопреки деятельности ЦБ. Многообразие, порой противоречивых, выводов и заявлений в Обзоре, создает стойкое ощущение проблем не только с подсчетом показателей, но и пониманием происходящих процессов и вызывает сомнения в качестве представляемой Банком России итоговой информации. Вместо предоставления качественной аналитической информации, официальные отчеты вызывают больше вопросов, указывают на фактическое введение профессионального сообщества в заблуждение некорректно собираемой информацией.

Методики заполнения отчетных форм, используемых в качестве источников данных для Обзора требуют более тщательной проработки, качественная методическая поддержка необходима и кредитным организациям для корректного их составления.

Впереди 2021 год и весной ожидаем новой «аналитики» от Банка России, а пока в очередной раз пойду объяснять друзьям и знакомым, что не нужно верить всем, кто звоним с незнакомых номеров.

  • Вячеслав Семенихин
  • Finversia.ru

Finversia-TV

Корпоративные новости

Все новости »