Помощников хакеров берут на карандаш

   Законодатели намерены разрешить банкам обмениваться информацией о счетах дропперов (лиц, через чьи банковские карты хакеры выводят похищенные средства), а также закрывать им счета. Соответствующий проект принят Госдумой в первом чтении. Эксперты уверены: борьба с дропперами необходима, однако важно не совершить ошибок, которые уже были допущены при введении черного списка отказников-клиентов банков в рамках антиотмывочного закона.
   Помочь в борьбе с дропперами должен законопроект, который сейчас готовится ко второму чтению в Госдуме. "В документе предполагается регламентировать обмен банков информацией о счетах так называемых дропперов - физических и юридических лиц, через которые проходят похищенные деньги",- сообщили "Ъ" в ЦБ, который принимал активное участие в работе над проектом. Обмен информацией согласно проекту предполагается через ФинЦЕРТ (подразделение ЦБ по кибербезопасности), который будет формировать единую базу о хищениях или попытках хищений денежных средств и доводить эту информацию до рынка.
   Сейчас борьбу банков с дропперами затрудняет банковская тайна и невозможность отказать клиенту в обслуживании, отмечают участники рынка. Например, банк остановил хищение средств у своего клиента, при этом деньги выводились на счет физлица в другом банке. Есть все основания полагать, что получатель похищенных средств - дроппер. "Однако, точно зная, что на той стороне мошенник, мы не имеем законных прав проинформировать банк получателя о подобном клиенте,- отметил собеседник "Ъ" в крупном банке.- Как и банк получателя, зная о клиенте-дроппере, не вправе в подобной ситуации отказать ему в обслуживании".
   Однако в банках считают, что выбор подразделения ЦБ ФинЦЕРТ в качестве центра обмена информацией о дропперах не лучший вариант.
   "В ЦБ есть надзорный блок, опасаясь которого многие банки не захотят делиться с ЦБ информацией о попытках хищений денежных средств, в итоге база дропперов будет с пробелами,- отметил руководитель службы ИБ в банке топ-50.- Аккумулировать подобную информацию должна независимая от регулятора организация, например бюро кредитных историй". По словам главы бюро кредитных историй (БКИ) "Эквифакс" Олега Лагуткина, БКИ в принципе готовы взять на себя подобные функции, но на возмездной основе - и даже выступали с такой инициативой, но в отсутствие законодательного урегулирования вопроса она отклика не нашла.
   Кроме того, банкам нужны меры воздействия на дропперов в ситуации, когда нет материала для представления информации о них. Такой мерой пока служит черный список по 115-ФЗ. "Сейчас, если скоринговая система банка позволяет выявить дроппера, а технически это возможно, банк часто оформляет отказ на проведение трансакции именно на основании антиотмывочного закона",- отмечает руководитель направления по борьбе с мошенничеством Центра информационной безопасности "Инфосистемы Джет" Алексей Сизов. "Однако введенный в конце марта механизм реабилитации банковских отказников может негативно повлиять на практику отказов в обслуживании дропперам по 115-ФЗ. Опасаясь гнева регулятора, банки оставят их в покое, и в итоге количество мошенничеств вырастет",- опасается собеседник "Ъ" в крупном банке.
   По мнению главы комитета Госдумы по финрынкам Анатолия Аксакова, необходимо закрепить на законодательном уровне права банков не только тормозить операции, направленные на хищение денежных средств, но и отказывать в обслуживании дропперам. "Проблема есть, и серьезная. Сейчас банки вправе отказывать в проведении операции или в обслуживании клиенту лишь в случае, если его операции являются сомнительными с точки зрения антиотмывочного закона (115-ФЗ),- поясняет он.- Однако подозрение в вовлеченности клиента в мошеннические схемы не всегда подпадает под 115-ФЗ".
   По словам партнера BMS Law Firm Тимура Хутова, возможно внести поправки в законодательство, которое даст право отказывать в обслуживании таким клиентам как сомнительным с точки зрения вовлечения в противоправную деятельность.
   "То есть по аналогии с отказом в проведении сомнительных операций по 115-ФЗ, где банку не нужно железобетонных доказательств вовлечения клиента в обналичивание денежных средств, достаточно сомнений,- поясняет он.- Однако важно сразу же проработать механизм реабилитации для клиентов, у которых были подделаны карты или которые иным образом были отнесены к дропперам по ошибке". Вводить подобный механизм следует крайне осторожно, чтобы добросовестные клиенты банков не пострадали, соглашается Анатолий Аксаков.

Источник: Коммерсант https://www.kommersant.ru/doc/3623829