Действительно, эта проблема в финансовой сфере стоит все острее. В 2024 году объем операций без добровольного согласия клиентов увеличился на 74,4% по сравнению с 2023-м и достиг 27,5 млрд рублей. При этом количество таких операций выросло всего на 2,7%, до 1,2 млн случаев — то есть мошенники повысили свою эффективность и сделали упор на увеличение украденных сумм.

Согласие, но не добровольное

Банк России недавно уточнил свое определение мошеннических действий, и сейчас это не просто операции «без согласия», а «без добровольного согласия». Кажется, не особо значительный шаг, но дело тут вот в чем: как объясняет председатель комитета по финансовой грамотности Ассоциации российских банков (АРБ) Максим Семов, это наконец заставит банки бороться не только со случаями, когда человек не знает, что его счетом воспользовались мошенники, но и с теми случаями, когда человека с помощью криминальной инженерии заставили совершить перевод. То есть он с операцией согласился, но отнюдь не добровольно. В результате, по словам Семова, банками будет развернута серьезная работа и по пресечению таких операций, и по информированию граждан о финансовой гигиене, о противостоянии мошенничеству, о повышении финансовой культуры — это основные меры профилактики таких преступлений.

Финансовый уполномоченный Светлана Максимова добавляет, что раньше, если потребитель указывал, что сам совершил оспариваемые операции, хоть и под влиянием мошенников, его требования к банку о взыскании денег не могли быть удовлетворены по формальным основаниям. «Сейчас же его требования могут быть удовлетворены: закон предполагает, что и в таких случаях теперь проводится проверка соблюдения банком требований к проведению антифрод-процедур. По результатам проверки с банка может быть взыскана сумма оспариваемой клиентом операции», — говорит финуполномоченный.

Руководитель отдела консалтинга и аудита компании Angara Security Александр Хонин считает, что добавление эпитета «добровольный» также сделает более корректной отчетность банков об объеме операций «без согласия», так как были случаи, когда банки, в том числе крупные, просто не уведомляли регулятора о подобных операциях — ведь человек, пусть в результате обмана, перевел деньги сам (формально дал согласие).

Действительно, на Уральском форуме Эльвира Набиуллина рассказала, что весь прошлый год ЦБ очень плотно работал с банками над полнотой и качеством статистики: по ее словам, многие банки занижали истинный уровень кибермошенничества.

Охладить голову

С лета 2024 года начали действовать поправки в 161-ФЗ «О национальной платежной системе», которые вводят двухдневный период охлаждения при денежных переводах. Как рассказала Эльвира Набиуллина, крупные банки ежемесячно приостанавливают на два дня около 300 тыс. переводов на счета из базы данных Банка России. Часть людей все равно совершают эти операции, когда период охлаждения заканчивается, но 60% за это время все-таки успевают разобраться, что стали жертвами мошенников. Глава ЦБ также отметила, что среди оставшихся 40% часть операций совершается вполне осознанно — например, для покупки криптовалюты.

Нужно обратить внимание на то, что период охлаждения распространяется только на те операции, реквизиты получателя по которым есть в «базе мошенников» ЦБ (по ним уже зафиксированы случаи и попытки переводов без добровольного согласия клиента). Как пояснил директор продукта Method финтех-компании Paygine Артем Журавлев, эта база формируется регулятором по отчетам из банков о случаях мошенничества: данные консолидируются и распространяются среди участников банковской системы. Чтобы это стало возможно, пришлось создать как законодательную базу, так и техническую инфраструктуру для оперативного обмена информацией между банками и ЦБ.

Так, новые признаки мошеннических операций определены приказом Банка России ОД-1027 от 26 июля 2024 года. Как рассказали в АРБ, платежи приостанавливаются, если у банка есть информация о мошеннических операциях, проводимых по этим счетам ранее; о возбужденном уголовном деле в отношении получателя средств; если у банка есть данные, поступившие от сторонних организаций и также свидетельствующие о мошеннической операции. По словам представителя АРБ, будут работать и три старых признака: сведения о счете злоумышленника содержатся в базе данных Банка России о мошеннических счетах; операция нетипична для клиента; используется устройство, которое ранее использовалось злоумышленниками и информация о нем также есть в базе данных регулятора.

Светлана Максимова напоминает, что двухдневный период охлаждения был и до внесения этих изменений. «Однако, во-первых, он распространялся на меньшее число случаев, поскольку регулирование касалось только операций “без согласия” клиента. А во-вторых, не было дифференциации порядка действий банка в зависимости от способа совершения клиентом операции», — говорит она.

Что касается дропперов, то если человек или его электронное средство платежа (в частности, платежная карта) засветились в базе данных Банка России, куда вносятся все данные о случаях и попытках переводов без добровольного согласия клиента, больше ни один банк и другой оператор по переводу денежных средств не заключит с ним договор об использовании электронного средства платежа. Напомним, к ним относятся не только карты, но и электронные кошельки.

Встает закономерный вопрос: почему нельзя было сделать так раньше и почему нельзя применять приостановку ко всем операциям? Ответ прост: приостановка всех операций приведет к критическому замедлению оборота денег в экономике, не говоря уже о неудобствах для конкретных людей. Мало кто обрадуется, когда узнает, что деньги магазин получит только через два дня, а значит, купленные продукты удастся получить тоже только через два дня. Поэтому расширять список операций, подлежащих приостановке, приходится осторожно.

Как пояснил Максим Семов, новые методы и процедуры сначала должны пройти аудит, оценку и тестирование. «Кроме того, остаются риски неточного применения таких мер, поэтому принятие решений должно проводиться с учетом всех последствий, в том числе негативных. В данном случае и сектор, и клиенты в общей массе готовы к их внедрению в жизнь», — предполагает представитель АРБ.

Советник уголовно-правовой практике АБ «Соколов, Трусов и партнеры» Мария Бакакина уверена: многие клиенты, особенно если операция законна, будут возмущены фактом ее приостановки на два дня, особенно когда проведение операции крайне необходимо. Метод определения подозрительных операций у каждого банка свой, и алгоритмы только начинают свою работу, активно привлекается искусственный интеллект, который анализирует статистику. «Сложность в том, что лица, занимающиеся мошенничеством, намного более подвижны в выборе способов совершения преступления: при возникновении нового препятствия они оперативно реагируют и придумывают все новые и новые способы обмана, в то время как финансово-кредитным учреждениям, государству в лице законодательной власти, правоохранительных органов требуется куда больше времени», — констатирует она.

Не попасть на кредит

Этим дело не ограничивается. С сентября 2025 года вступят в силу принятые две недели назад изменения в законодательство, направленные против кредитного мошенничества, а также на предотвращение миграции дропперов (тех, кто предоставляет мошенникам свои карты для переводов) между банками. Проблема кредитного мошенничества тоже стоит довольно остро. Сейчас, по оценке ЦБ, кредитные деньги составляют около 40% всех средств, похищенных мошенниками у граждан, раньше эта доля была ниже.

Как пояснил Максим Семов, для заемщика устанавливается период охлаждения: в частности, кредитор должен передавать ему денежные средства не ранее чем через четыре часа после подписания индивидуальных условий договора потребительского кредита, если сумма такого кредита составляет от 50 тыс. до 200 тыс. рублей, и не ранее чем через 48 часов, если сумма более 200 тыс. рублей.

Среди нововведений есть очень интересное: жертвы мошенников могут не выплачивать взятые кредиты. Однако воздержимся от кликбейта и раскроем детали: это распространяется только на новые кредиты, взятые с 1 сентября 2025 года; кроме того, по факту мошенничества должно быть возбуждено уголовное дело, а также должно быть установлено, что банк не провел все возможные проверки и не сделал паузу перед выдачей денег.

Период охлаждения, в течение которого заемщик может отказаться от кредита без финансовых потерь, как поясняет Артем Журавлев, позволяет снизить количество импульсивных решений, а мошенникам теперь будет труднее быстро оформлять кредиты на подставных лиц.

«Для того чтобы криминальная инженерия, применяемая мошенниками, работала, требуется не только напугать жертву и предложить спасение (это запускает в мозге древнюю программу “бей или беги”, работа которой не предусматривает размышления), но сделать все быстро — иначе жертва очнется, — дополняет Максим Семов. — Среднее время возвращения к нормальному мышлению составляет пару часов после атаки мошенника. Сейчас это время сократилось, потому что банки применяют разработанные при участии психологов методики вывода людей из-под воздействия мошенников. Но тем не менее воздействие довольно сильное, и некоторым людям этого времени хватает на то, чтобы и взять кредит, и перевести деньги мошенникам, а то и квартиру продать. Так что период охлаждения в четыре часа — хороший инструмент».

Киберопасность или кибергигиена?

Методами социальной инженерии мошенники не ограничиваются. В качестве примера глава Эльвира Набиуллина на Уральском форуме привела вирус (типа SpyNote) с функциями удаленного доступа к телефону, который начал распространяться во второй половине прошлого года. Она рассказала, что он мимикрирует под разные безобидные программы, а мошенники с помощью этого вируса некоторое время наблюдают за телефоном, видят пароли, видят смс. Затем они без труда удаленно открывают банковское приложение и потрошат все счета без остатка. По данным Банка России, за последние полгода примерно 40‒50% хищений со счетов совершаются именно так. Приложения некоторых банков надежно защищены от таких вирусов, однако у других банков такой защиты нет.

В 2024 году объем мошеннических операций увеличился по сравнению с 2023 годом на 74,4%

Как рассказала Светлана Максимова, получение удаленного доступа к устройству — один из наиболее распространенных способов хищения денег. В практике Службы финансового уполномоченного есть случаи, когда граждане скачивали приложение поликлиники для записи к врачу или на диспансеризацию, открывали присланные файлы для продления договора с оператором связи и тем самым предоставляли мошенникам доступ к устройствам.

Конечно, киберриски не повод совсем отказываться от банковских приложений. «Люди к ним привыкли и хотят ими пользоваться на ежедневной основе. А значит, необходимо усиливать сами меры безопасности в отношении операций, которые проводятся с использованием мобильных банковских приложений, в том числе чтобы избежать несанкционированных переводов, например с использованием вирусов», — уверен Александр Хонин.

В свою очередь Максим Семов считает, что SpyNote не самая большая проблема. По его мнению, граждане вообще легкомысленно относятся к информационной безопасности. «Посмотрите на ваш смартфон. Сколько приложений в нем? А сколько вы используете? А вы знаете, что приложение, скажем, “Фонарик”, требует управления оповещениями, доступа к wi-fi и местоположению? А приложение “Компас”? — рассуждает он. — Спросите молодежь, знают ли они, где находится кнопка “Разрешить установку из непроверенных источников”? Почти все знают. Потому что устанавливают взломанные приложения, скажем так, из неофициальных источников. А давайте спросим, знает ли кто, что защитит смартфон от вредоносных приложений? Увы, антивирус применяют далеко не все. А ведь он эффективно помогает и против SpyNote». По его мнению, нужно учить людей элементарной финансовой и информационной гигиене, чем с недавних пор начали активно заниматься и банки.

Мария Бакакина добавляет: стоит повышать правовую культуру граждан, а также заняться повышением квалификации наших правоохранителей, так как «на земле», то есть в обычных отделах МВД и СК, следователи зачастую не представляют, какими способами совершаются дистанционные мошенничества, как выводятся деньги, в том числе с помощью криптовалюты, а специализированных отделов слишком мало.

Быстрые связи

Мы уже несколько раз упоминали «базу мошенников» Банка России. Она является частью механизма автоматизированного обмена информаций между ЦБ (выступает в роли единого окна), коммерческими банками и МВД. По словам Эльвиры Набиуллиной, прошлый год стал первым годом полноценной работы этого механизма. Он позволяет наполнять базу дропперов ЦБ и видеть более полную картину хищений. Если запрос связан с мошенническим переводом, сведения о котором есть в базе данных Банка России, то ответ в МВД составляет около одной минуты, если нужно запросить банки — около суток.

Конечно, к этому моменту деньги могут быть уже выведены мошенниками, но, как считает Артем Журавлев, быстрая передача информации все равно повышает шансы на их возврат и привлечение преступников к ответственности.

Максим Семов приводит такой гипотетический пример: поставьте себя на место полиции — вот убийство, вот изнасилование, вот угон, а вот кража 3000 рублей; да еще и деньги переведены «добровольно» — жертва сама поверила мошенникам и лично перевела эти деньги по их указанию. Раньше, по словам представителя АРБ, на получение сведений о прохождении денег по цепочке переводов уходили месяцы (запрос в первый банк, через неделю ответ и запрос во второй банк, через неделю ответ и запрос в третий банк, и так до банкомата, где «неустановленное лицо сняло все деньги с карты, которая была утеряна месяц назад, но клиент не сообщил банку об этом»). Отсутствие энтузиазма у полицейских в такой ситуации вполне понятно.

С той скоростью, с которой приходит ответ от ЦБ сейчас, ситуация выглядит значительно лучше. «Часто деньги не снимаются мошенниками сразу, а лежат некоторое время на счете, ведь моментальные транзитные переводы банки останавливают. Так что это если и не панацея, то хороший инструмент для раскрытия таких преступлений», — заключает Максим Семов.

Даже если отловить самих мошенников таким способом сложно, то охотиться на дропперов станет значительно легче — и это уже должно дать эффект: ведь если потенциальные дропперы будут уверены в неотвратимости наказания, это даст большой плюс в профилактике преступлений. Как напоминает Максим Семов, дропы почти никогда не знают, что за перевод денег им грозит уголовное наказание, вплоть до 20 лет лишения свободы. Кажется, перебор, но дело в том, что если мошенник, который организовал эту схему, использует полученные деньги на «содействие террористической деятельности» (например, он украинец и задонатил ВСУ), то всем участникам схемы грозит до 20 лет тюрьмы.

Впрочем, это в теории. На практике даже до массового отлова и наказания дропперов еще далеко. «На практике часто выходит, что система у сотрудников дает сбой, либо доступ к системе имеет только один сотрудник, либо нужно согласовать с парой десятков начальников, либо сотрудник банально не умеет пользоваться компьютером. Современные реалии “на земле” таковы, — поясняет Мария Бакакина. — Да и с точки зрения уголовного процесса и порядка проведения оперативно-разыскных мероприятий есть ряд сложностей: сведения о движении денежных средств являются охраняемой законом тайной, ввиду чего их получение возможно только по судебному решению. В ФЗ “О банках и банковской деятельности” есть лазейка, разрешающая запрашивать информацию, но только по возбужденному уголовному делу с согласия руководителя следственного органа, хотя данное положение также является спорным».

С базой данных ЦБ «о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента» связан еще один важный вопрос. Не секрет, что в такого типа базы попасть легче, чем выйти из них, а случаи попадания в них по ошибке, хоть и не часто, но случаются. Сайт ЦБ дает нам ответ на этот вопрос: можно подать заявление самостоятельно через свой банк или через интернет-приемную ЦБ; банки также вправе подать заявления по своим клиентам самостоятельно. Дальше Банк России в течение 15 рабочих дней рассмотрит заявление и примет решение.

Сейчас также обсуждается возможность запрещения IP-телефонии. Как поясняет Мария Бакакина, чаще всего такими технологиями пользовались мошенники, поскольку это позволяло подменять номера. Теперь этот вид телефонного мошенничества будет серьезно ограничен, поскольку будет исключена возможность присоединения сетей передачи данных к телефонным сетям связи. Вероятно, это действительно усложнит жизнь мошенникам, но вряд ли искоренит их.

Александр Хонин из Angara Security подтверждает, что основная проблема IP-телефонии — невозможность отследить злоумышленников. По его словам, сейчас ищутся различные способы обойти эти ограничения, и как раз в качестве одной из мер рассматривается отказ от подобной телефонии.

Крупные банки ежемесячно приостанавливают на два дня около 300 тыс. переводов на счета из базы мошенников ЦБ

Впрочем, как напоминает Артем Журавлев из финтех-компании Paygine, запрет может усложнить деятельность мошенников, однако может также затронуть легитимных пользователей, использующих IP-телефонию для законных целей. По его словам, ранее подобные меры не были приняты как раз из-за технических сложностей и потенциального влияния на бизнес и частных пользователей.

Вернуть деньги

В ЦБ признают: они научились ловить дропперов первого уровня, но выявлять целые цепочки дропперов — нетривиальная задача. Мошенники оперативно переключаются на новые схемы, реакция регулятора и МВД значительно медленнее.

Например, сейчас активно используется схема, когда людей обманом заставляют привязать к своему телефону чужую виртуальную карту, а потом через банкомат положить на нее деньги. По сообщениям в СМИ, доходит до того, что мошенники начали искать жертв на форумах по защите от мошенников. В комментариях злоумышленники убеждают пользователя, что тот контактировал с мошенниками и ему следует срочно спасать деньги, а в результате он теряет их.

В заключение стоит остановиться на одном очень важном моменте. Иногда люди удивляются, что возврат денег, потерянных в результате мошенничества, сопряжен с такими проблемами. Действительно, разве сложно банку просто отменить операцию? Сложно! Переведенные мошенникам деньги не лежат где-то в безопасности — они уже либо сняты в банкомате и превратились в наличные, которые невозможно отследить, либо на них уже куплена криптовалюта, которая ушла на анонимный кошелек. У тех самых дропперов деньги надолго не задерживаются.

Поэтому после отслеживания цепочки встает неприятный вопрос: кто в итоге лишится денег? Предположительно честный продавец криптовалюты, к которому обратился дроппер? Банк, в банкомате которого были сняты наличные? Банк пострадавшего? В случае обязательного возврата денег пострадает кто-то невиновный в мошенничестве. И даже если удастся поймать основного мошенника, всю сумму с него получить почти наверняка не удастся: что-то он потратил на саму операцию, что-то на себя (возможно, отдал долги), что-то спрятал, и даже если он купил недвижимость или машину — продать их по стоимости покупки удастся не всегда и не быстро.

Остаются только жесткие меры по борьбе с мошенничеством, но, как мы уже говорили, замедлять все платежи и переводы не вариант, платить гигантские комиссии за переводы и направлять их на страхование от мошенничества не вариант, заставлять за все платить банки — они так или иначе отыграются на клиентах или разорятся. Новые меры понемногу сжимают поле действий для мошенников, но свободы у них все еще остается достаточно.