Платежные карты всегда были одним из самых слабых звеньев в системе безопасности организованных сбережений. Сколько бы нам ни твердили о защищенных каналах, инновационных чипах, проверенных сотрудниках, безопасных банкоматах и обученных кассирах в торговых точках.
Это как залатанная титаном дыра в плотине. Плотину размоет, а заплатка останется, но все равно психологически все будут считать слабым местом титан. С этой точки зрения инициатива ЦБ по созданию органа противодействия кибермошенникам может встретить только одобрение. Дополнительные заплатки на плотине не будут лишними ни в глазах банков (если клиентам станет поспокойнее), ни в глазах держателей карт.
Идея довольно проста. Как сообщает газета «Коммерсантъ», банки должны будут – сперва на добровольной основе – предоставлять уполномоченному органу, названному «центром реагирования на инциденты на базе главного управления безопасности и защиты информации ЦБ» всю свежую информацию о карточных мошенничествах. Центр реагирования с информацией будет поступать мудро – оповещать рынок об угрозах и передавать информацию в управление «К» МВД для проведения расследований. О других возможностях центра противодействовать мошенникам ничего не сообщается. То есть его функция будет чисто информационной – предупредить одних, известить других.
Проблема, которая решается авторами инициативы, действительно одна из самых труднопреодолимых. Она заключается в том, что банки до сих пор крайне неохотно делятся информацией о несанкционированных списаниях с карт даже с правоохранительными органами – не говоря уже о регуляторе и клиентах. О том, что такие случаи часты, косвенно свидетельствует частота появления предупреждений клиентам на сайтах как крупнейших банков – того же Сбербанка, например, так и регулятора. Международная компания FICO, которая составляет карту карточных мошенничеств, сообщила, что по итогам 2013 года российские банки стали лидерами по росту скимминга в Европе, увеличив за год объем потерь с 81,6 млн евро до 104,1 млн. Можно сказать, что здесь, скорее всего, сыграл эффект низкой базы: по абсолютным потерям Россию опередили Англия, Франция и Германия. Хотя ситуация со сбором статистики в разных странах разная. Поэтому не исключено, что, как только банки охотнее начнут делиться информацией, мы быстро догоним лидеров.
Лично меня в инициативе ЦБ немного тревожит другое. До последнего времени банки в вопросе расследования мошенничеств были предоставлены сами себе. Они могли обращаться в правоохранительные органы и содействовать им в расследовании, но чаще решали проблему самостоятельно, добровольно возмещая потерянные суммы, если держатель карты мог доказать, что во время списания средств, скажем, испанским терминалом находился в Москве. При появлении дополнительного звена борьбы с мошенниками «дитя» может оказаться «у семи нянек без глаза». Переданная в центр информация будет заставлять банк-эмитент идти по официальному пути расследования, который, как мы знаем, наименее короткий и наименее эффективный. У банков исчезнет стимул решать вопрос с клиентом «полюбовно». В этом случае в проигрыше окажутся и сам банк, и клиент. Кроме того, довольно часто держатели карт после мнимой потери карты блокируют счет, а потом карту находят. Со многими (хотя и не со всеми) кредитными организациями удается договориться и разблокировать счет быстро. Если же информация уже уйдет «наверх», сделать это без проволочек уже не получится, да и «официальное» время разблокирования, скорее всего, увеличится.
Конечно, клиенты, оказавшиеся жертвой мошенников в переходный период становления системы, могут себя успокаивать тем, что борьба со скиммерами и другими «кибермонстрами» скоро будет более действенной и потому жертва не напрасна. Но лучше разработчикам инициативы, если она не станет мертворожденной, предусмотреть какие-нибудь компенсационные механизмы для клиентов – например, из фонда страхования вкладов. 104 млн евро – это даже при нынешнем удивительном курсе чуть больше 6 млрд рублей. Не слишком много. И это, кстати, будет даже более справедливо, чем при компенсациях вкладчикам банков с отозванной лицензией. Ведь банк, как ни крути, выбираем мы, а мошенников выбрать сами не можем…
Мнение автора может не совпадать с мнением редакции
Комментарии
Самое слабое место карты это ее владелец, а самая сильная защита всегда равна надежности самого слабого звена.
Я где то с полгода назад выкладывал в Интернет, на сайт где тусуются кардеры, в том числе и сюда сканы обеих сторон своей карты. Рабочей, не заблокированной, но с установленным 3D, лимитом на операции в Интернет и запретом операций по магнитной полосе. И что? Да ничего, никто ничего не списал, хотя несколько попыток было, одни по 3D обломались, а кто то с Aliexpress попробовал и обломался на 50 рублевом лимите, именно столько мне достаточно, что бы в экстренном случае пополнился счет телефона. Так же я смело расплачивался и расплачиваюсь этой картой везде, включая азиатские страны, да, порой бывают проблемы, первая операция не проходит в нечиповом терминале, но дело нескольких секунд через мобильный банк отменить запрет операций по магнитной полосе для одной операции. Потому, что мой банк думает о том, что бы дать своему клиенту инструменты безопасного использования средства доступа к счету. Остальное чуть чуть за клиентом, настроить себе профиль "безопасный" и не бросать где попало карту с нацарапанным ПИНкодом.
Вот это реальная ГАРАНТИЯ.
Забыли "изящно" вставить название банка, и телефон менеджера к которому обращаться по вашей рекомендации, чтобы вам бонусы начисляли за "приведенных клиентов".
Тревожно как раз это, когда банки чувствуя свою безнаказанность творили что хотели. И не надо лукавить про полюбовное решение проблемы - "полюбовно" это как? Блокируя нашу карту в другой стране потому что менеджер не выспался и хочет показать что оно "бдит "или типа того" и заставляя клиента часами висеть в роуминге выслушивая ахинею? В то же время полностью игнорируя (ну некогда нам!) требование заблокировать карту, а потом уверять что списанные средства списались ... (нужное вписать). Как вообще часто возвращались украденные деньги "полюбовно" без нервотрепки и уверений "сам дурак"?
Банки берут под контроль в еще одном вопросе, это хорошо! Их ЗАСТАВЯТ нагнув общаться с милицией, это вообще замечательно - не хотят по хорошему делайте добровольно и с песней... То что появится очередной "посредник" на бюджетных деньгах это уже не так весело, но раз по дургом не получилось.
Нет, не забыл. Специально НЕ указал название, что бы Вы пришли в СВОЙ банк и заставили их сделать как минимум НЕ хуже.
Нет, чаще всего банк и клиенту не выплачивает возмещение (если не может это возмещение получить от банка-эквайрера по правилам МПС), и на запросы полиции не реагирует. В результате полиция отказывает клиенту в возбуждении УД. Т.е. на полицию банки плевать хотели. А вот ЦБ они боятся. Поэтому новый орган в составе ЦБ по вытягиванию из банков информации о мошеннических операциях и передаче ее в МВД как раз кстати. Еще бы управление К усилить и обязать расследовать все такие случаи.
Пока нет четкой и однозначной судебной практики по возмещению средств клиентам, у банков нет и не будет такого стимула.
Какое имеет отношение информация карточных мошенничествах к случаям потери карты? "Смешались в кучу кони, люди".
Идея интересная. Но, во-первых, для этого нужно организовать отдельный фонд, взносы в которые обязаны уплачивать банки в зависимости от уровня безопасности своих карт (есть/нет чип, 3D Secure, индивидуальные лимиты (дневные, месячные, по видам операций), возможность ограничить страны использования карты, возможность отключить операции по магнитной полосе, возможность оперативно устанавливать для карты временное транзакционное окно, в течение которого она действует и т.д.). Если мошенничество произошло по вине банка, АСВ должно иметь возможность взыскивать уплаченную клиенту сумму с этого банка.
Во-вторых, нет смысла подменять одну задачу другой. Нужно и потери клиентов возмещать оперативно, и мошенников ловить.