Рост мошенничества: возможна ли компенсация похищенных денег граждан

Мы побеседовали с Разиной Ольгой Михайловной, к.э.н., членом Ассоциации СРО аудиторов «Содружество», членом Ассоциации «Института внутренних аудиторов», независимым экспертом, имеющим более двадцати лет практики в области внешнего и внутреннего аудита в крупнейших российских банках и финансовых корпорациях. 

Ольга Михайловна, я хотел поговорить с Вами на разные темы, но начать наш разговор хочу с вопроса — почему проблема мошенничества сегодня так актуальна для банков?

Действительно проблема мошенничества в банковской сфере сегодня актуальна как никогда. Только за 2022 год, объем похищенных денег граждан увеличился почти на 30% и составил почти 14 млрд руб., и эта гигантская цифра продолжает расти. Основной рост мошеннических транзакций приходится на платежные карты и электронные средства расчетов. Я считаю, что пик «банковского мошенничества» пришелся именно на период пандемии, когда многие клиенты просто оказались отрезаны от возможности посещения банков. 

Еще в 2021 году, я опубликовала статью в Strategic Academy of Management Journal о результатах исследования банковского мошенничества в период пандемии. Полученные данные показали, что наибольшее число обращений клиентов в банки в связи с хищением денежных средств было связано с переходом на дистанционное обслуживание. Именно в этот период банками проводилась ускоренная миграция клиентов на удаленные каналы. Сейчас вектор активизации мошеннических действий сместился в сторону работы крупнейших маркплейсов и он-лайн платформ (распространяющих продукцию со значительными скидками и активно продвигающих продукцию иностранных брендов, ушедших с российского рынка). 

Вы многие годы занимаетесь проблемой изучения операционных рисков и вопросом, связанным с ростом мошенничества в банковской сфере. На ваш взгляд, откуда у мошенников могут появиться персональные данные клиентов, как может происходить утечка данных? 

Этим вопросом я занимаюсь последние пятнадцать лет, выступаю на профессиональных площадках, конференциях, только в печать вышло около тридцати научных и прикладных исследований по тематике внутреннего мошенничества в банках. 

Совсем недавно был опубликован отчет RTM Group, компании реализующей услуги в сфере кибербезопасности, в котором отмечено, что количество инцидентов связанных с хищением денег клиентов при участии сотрудников банков (включая внутренние утечки данных, проявление халатности и участие в мошеннических схемах) неуклонно растет и в следующем году увеличится еще на 50%.

Мой опыт в крупнейших кредитных организаций России, позволяет увидеть похожую тенденцию. Утечка персональных данных клиентов возможна не только по причине взлома банковских сервисов или атак с использованием фишинговых сайтов, информацию о клиентах могут предоставлять недобросовестные сотрудники банков, что квалифицируется как внутреннее мошенничество. Основным мотивом для таких сотрудников является — личная выгода, месть, выполнение бизнес-показателей и пр. Если мы внимательно рассмотрим схему любого телефонного мошенничества, то увидим, что в ее основе лежит «профиль клиента» — пол, возраст, образование, место работы, доход и пр.

И нужно учитывать, что вся эта информация о клиентах сосредоточена в базе данных кредитных организаций. Профессиональная задача аудитора состоит в том, чтобы провести независимую оценку возможного сценария хищения денежных средств при обращении клиента в банк. Установить, как информация о персональных данных клиента попала в руки мошенников, есть ли в этом вина сотрудника банка. 

Что в прошлом году явилось для вас профессиональным вызовом, какие задачи приходилось решать?

Любой профессиональный вызов для меня связан с развитием практики аудита. В прошлом году удалось завершить разработку адаптивной модели, позволяющей получить оцифрованную оценку операционных рисков, включая риски внутреннего мошенничества. За основу сценария модели, были взяты не только характеристики профиля клиента, но информация о сотрудниках, операциях, времени совершения мошеннических действий. 

Модель была разработана для применения в малых банках, не имеющих адаптированных систем фрод-мониторинга. Ее практическое использование позволяет консолидировать массивы данных, собранных из различных источников (например, надстройки к MS Excel — Power Query и Power BI; платформа Qlik Sense и др.), открывая возможность обработки массивов данных из различных систем без больших трудозатрат на их подготовку и доработку.

Часто выступая на профессиональных площадках, в качестве спикера или приглашенного эксперта я стараюсь уделять внимание именно проблемам аудита малых банков, которые ощущают недостаток методологической поддержки и подвержены большим рискам по сравнению с крупными кредитными организациями.

Вы сказали, что небольшие банки пока сталкиваются с проблемами для создания собственных фрод-систем, а как обстоит дело в крупных кредитных организациях? Какие дополнительные меры уже внедряют банки, чтобы противодействовать краже денег с карт, работают ли они? 

Практически все крупные банки уже внедрили собственные анти-фрод системы, которые направлены на выявление подозрительных транзакций и их блокировку. Банки используют более сложные механизмы многофакторной идентификации клиентов. Разрабатывают схемы лимитов по выдаче и списанию денежных средств для определенной категории клиентов, применяют собственные модели выявления утечки информации о клиентах на уровне кредитной организации.

К сожалению, универсальных способов снижения мошенничества не существует, поскольку в любой схеме мошенничества всегда принимают участие несколько сторон. Например, если клиент добровольно или добровольно-принудительно передает мошеннику данные банковской карты, то банк не должен компенсировать похищенные деньги. Это правило прописано в любом договоре банковского счета. Сами мошенники становятся более изобретательны, внедряются технологии ChaptGPT (новой нейросети), с помощью которой разрабатывают «скрипты» для телефонного мошенничества, ранее недоступные им. Но ведь в основе любого мошенничества всегда лежит информация, утечка которой могла произойти в т.ч. и по вине банка. 

Вы затронули достаточно актуальный вопрос, связанный с последствиями хищений для клиентов. Поэтому в завершении нашего интервью я хотел бы спросить Ваше мнение о необходимости компенсации банками похищенных средств. С вашей точки зрения эта мера справедлива и какие она несет последствия для самих банков?

Прежде чем ответить на ваш вопрос, хочу привести несколько аргументов. Сегодня на уровне государства и Банка России уже принят ряд законодательных инициатив, которые позволят снизить количество обращений от пострадавших клиентов. Еще 4 октября 2022 года Госдума РФ приняла законопроект о противодействии хищениям с банковских карт граждан. Его суть — создание механизма информационного взаимодействия между банками и правоохранительными органами, что значительно упростит процедуру выявления случаев мошенничества.

Также с 1 октября вступило в силу Указание Банка России, в соответствии с которым клиенты банков самостоятельно могут ограничить сумму транзакции в он-лайне или ввести запрет на предоставление кредитов. Данная мера особенно актуальна для незащищенных слоев населения, которые зачастую часто становятся жертвами мошеннических действий. Дополнительной мерой защиты населения может также стать мера, введенная для банков с 1 октября 2022 года, согласно которой банки обязаны проводить идентификацию всех устройств, с которых клиенты совершают онлайн операции.

Также сегодня на законодательном уровне активно прорабатывается вопрос о возможности компенсации банками похищенных денег, однако сам механизм возврата средств еще находится в стадии обсуждения с банковским сообществом. Отвечая на ваш вопрос о том, должны ли банки компенсировать последствия хищения, могу отметить, что в случае реализации данной инициативы, существует вероятность роста стоимости банковских сервисов.

Кроме того, предстоит решить вопрос критериев признания пострадавшего лица от мошеннических действий, в случае добровольной передаче клиентами информации о своих банковских картах. В качестве преимуществ этой инициативы, мне видится появление возможности у пострадавшего лица использования внесудебной процедуры возврата похищенных денег, которая на сегодняшний день отсутствует в банковском законодательстве.

Для цели комплексного решения данного вопроса считаю, что должен быть создан фонд отчислений по аналогии с действующим в Агентстве по страхованию вкладов, используемый для выплат страхового возмещения в случае банкротства или ликвидации кредитной организации. Одновременно с созданием фонда должна быть скорректирована законодательная база, определяющая изменения логистики осуществления платежей при подозрении на мошеннические действия с участием третьих лиц. При этом доказательная база может быть сформирована исходя из уже существующей практики обращения граждан в правоохранительные и судебные органы.

Ольга Михайловна, спасибо за интервью, я надеюсь, что обсуждение темы банковского мошенничества, будет актуально и полезно не только для наших читателей, но и для самих банков.

Интервью брал Андрей Авраменко, основатель сервиса OhMySwift.