ENGПроблема мошенничества сегодня является наиболее актуальной для банков в связи с ростом объема похищенных денег граждан. Прокомментировать наиболее важные вопросы мы попросили независимого эксперта — Разину Ольгу Михайловну, канд. экон. наук, члена Ассоциации СРО «Содружество», члена Ассоциации «Институт внутренних аудиторов».
— Сегодня борьба с банковским мошенничеством является одной из обсуждаемых тем в СМИ. Огромное количество жалоб ежедневно поступают в банки от пострадавших граждан. Как вы можете прокомментировать эту ситуацию, в чем состоят причины роста похищенных денег?
— Как эксперту мне достаточно часто задают этот вопрос в последнее время. Он действительно очень актуален. По разным оценкам, за прошедший год объем похищенных денег граждан в России составил от 14 до 15 млрд рублей. По сравнению с предыдущим годом рост составил более 30%. Много лет занимаясь проблемой банковского мошенничества, я связываю эту тенденцию с двумя основными факторами. Во-первых, в период пандемии многие банки и финансовые организации перевели обслуживание клиентов в дистанционный формат, поэтому системы дистанционного банковского обслуживания для физических лиц стали основной мишенью для мошенников. Во-вторых, введение карантина в период пандемии спровоцировало рост бесконтактных способов оплаты торговых сервисов и услуг (CNP-транзакции). Прошедшая пандемия усилила спрос клиентов на использование удаленных форматов сервисов, привычка приобретения товаров онлайн устойчиво вошла в обиход наших граждан.
В конце прошлого и начале этого года основной рост мошеннических транзакций приходился на платежные карты и электронные средства расчетов, что обусловлено изменением вектора активизации мошеннических действий, который сместился в сторону работы крупнейших маркетплейсов и онлайн-платформ (распространяющих продукцию со значительными скидками и активно продвигающих продукцию иностранных брендов, ушедших с российского рынка). Почему так произошло? Процесс переориентации бизнеса крупнейших маркетплейсов в условиях санкций осуществлялся в очень короткие сроки, компании просто не успели модернизировать собственную систему информационной безопасности, включая возможности защиты клиентов от мошеннических действий третьих лиц.
— Каким образом мошенникам удается получить персональные данные клиентов? И есть ли какие-то признаки или характеристики клиентов, которых выбирают мошенники?
— Последние пятнадцать лет как профессиональный аудитор я занимаюсь изучением различных характеристик фрода в банковской сфере. И если раньше объектами мошенников чаще становились пожилые люди, преимущественно пенсионного возраста, то сейчас социальный портрет потенциальной жертвы выглядит значительно моложе, как правило — это работающие граждане в возрасте от 25 до 45 лет со средним уровнем дохода, активно использующие онлайн-сервисы. Утечка персональных данных может происходить как под влиянием внешних факторов, когда злоумышленники осуществляют взлом клиентской базы в банках, торговых сетях или используют фишинговые рассылки, так и внутренних факторов — когда информация о клиентах передается недобросовестными сотрудниками, имеющими личный финансовый интерес. Зачастую внешние угрозы удается блокировать с использованием новейших систем фрод-мониторинга, а борьба с внутренними угрозами — к сожалению, продолжается постоянно. Приведу один из наиболее свежих примеров. В 2021 году проводилось громкое расследование по утечке персональных данных из Сбербанка, в результате которого выяснилось, что данные более пяти тысяч кредитных карт в сеть выгрузил начальник одного из управления прямых продаж. Для этого ему потребовалось более десяти часов работы и права администрирования клиентской базы. Аналогичные случаи происходят с завидной регулярностью и в других не менее крупных кредитных организациях, что в большинстве случаев связано с деятельностью недобросовестных сотрудников банков. Основным мотивом для таких сотрудников является личная выгода, месть, выполнение бизнес-показателей и пр.
— Можно ли выявить недобросовестных сотрудников, которые способствуют утечке информации о клиентах?
— Выступая на профессиональных площадках и конференциях, посвященных проблемам снижения рисков в банковской сфере, мне не раз приходилось слышать вопрос о создании универсальной системы внутреннего мониторинга, которая позволяет выявить внутреннее мошенничество. Действительно, крупные банки разрабатывают подобные системы, которые по мере изменения «схем» и «сценариев» мошенничества постоянно совершенствуются. Кроме того, для предотвращения мошеннических транзакций специально вводят лимиты для определенных категорий карт и клиентов, модифицируются системы информационной безопасности, отвечающие за угрозы утечки информации — (DLP-системы). Как правило, для выявления недобросовестных сотрудников привлекаются специалисты внутреннего аудита, их задача заключается в выявлении схем потенциальных хищений со счетов клиентов или случаев использования информации о клиентах в целях передачи третьим лицам. В банках должна существовать концепция «нулевого доверия» для персонала, работа которого связана со счетами и личными данными клиентов. Необходимо «знать своего работника», принцип реализации которого направлен на обладание информацией об отношении работников финансовой организации к своим служебным обязанностям, наличии у них возможных проблем, в том числе финансовых, имущественных, личных, которые могут потенциально привести к действиям, направленным на нарушение требований к защите информации. Однако универсальных моделей для выявления мошенничества не существует, это всегда долгосрочная работа, которая требует большой ретроспективной оценки информации.
— Ваш многолетний опыт во внутреннем аудите позволяет Вам более профессионально оценивать и выявлять потенциальные угрозы и риски. Какие новые инструменты Вам удалось реализовать для снижения случаев внутреннего мошенничества?
— Этой работой я занимаюсь много лет. Накопленные мною практические знания нашли свое отражение в многочисленных работах по тематике банковских рисков, опубликованных в ведущих финансовых изданиях России. В течении нескольких лет я проводила практические исследования по оценке влияния COVID-19 на деятельность крупнейших кредитных организаций. В результате чего была разработана адаптивная модель, позволяющая получить оцифрованную оценку операционных рисков, в том числе рисков, связанных с внутренним мошенничеством. Основное отличие разработанной модели заключается в том, что в ее основе заложен не только портрет клиента, но и сотрудника при проведении анализа операций по набору различных критериев. Чем больше набор критериев, тем выше точность модели. Практическое использование модели позволяет существенно снизить трудозатраты банка при выявлении случаев внутреннего мошенничества, что особенно актуально для небольших кредитных организаций, не обладающих автоматизированными системами фрод-мониторинга. С моей точки зрения, банки должны быть заинтересованы в использовании превентивных мер, чтобы заранее предотвратить возможность обращения клиента в банк в случае мошеннических действий.
— Исходя из Вашего практического опыта должен ли банк компенсировать убытки в случае хищения денег?
— На этот вопрос не существует однозначного ответа, поскольку при обращении клиента в банк необходимо установить причину утечки персональных данных. Если клиенты добровольно передают мошенникам данные о своих банковских картах, то в этом случае они нарушают условия договора банковского счета. Встречаются и обратные ситуации, когда деньги были похищены со счета без участия клиента, и банку предстоит провести внутреннее расследование причин утечки информации. Первые шаги в направлении защиты клиентов от потенциального мошенничества были уже приняты в прошлом году, вступили в силу сразу несколько нормативных документов, дающих возможность банкам самостоятельно ограничить размер транзакции или совершения определенных операций клиентов. Также вступил в силу документ, обязывающий банки проводить идентификацию всех устройств, с которых осуществляются платежи.
Тема компенсации банками убытков от хищения сегодня активно обсуждается и на уровне банковского сообщества, и со стороны Банка России. В конце прошлого года разработан законопроект, который должен решить судьбу пострадавших от мошенничества клиентов. С одной стороны, получение компенсации от банка решит вопрос внесудебного урегулирования убытков от мошенничества, с другой — повысит стоимость банковских сервисов и продуктов, поскольку сама сумма компенсации будет уже заложена в расходы по обслуживанию банковского счета. Например, во многих развитых странах уже реализован механизм компенсации убытков по кредитным картам, и он успешно работает. Возможно, законодатель пойдет по пути комплексного решения данного вопроса по аналогии с компенсацией убытков через систему страхования вкладов. Однако я убеждена, что только введение такой инициативы без совершенствования системы фрод-мониторинга в банках не будет иметь успеха. Всегда остаются операционные риски, которым сложно противостоять в различных ситуациях.
Беседовал Владимир Кондратьев
