Банки обязали проверять клиентов на предмет заражения ПО
Госдума обязала банки проверять устройства пользователей на предмет заражения вредным ПО и предоставлять возможность клиентам защиты от него. В случае непринятия мер по борьбе с мошенничеством банки обязаны будут компенсировать потери клиентам, но депутаты хотят, чтобы это ответственность разделили и операторы связи. Также россиянам можно будет иметь не более 20 платежных карт, в том числе не более пяти в одном банке.
Ограничения на число платежных карт одного клиента банка
Госдума приняла в первом чтении антимошеннический пакет законопроектов, разработанный Правительством. Среди прочего, он предполагается ряд нововведений в финансовой сфере.
Так, согласно поправкам в закон «О национальной платежной системе» (НПС), виды электронных денежных средств платежа, порядок и условия их предоставления и распространения, порядок и условия совершения операций с использованием электронных средств платежа, перечень операций с их использованием, виды документов, образующихся по операциям с использованием электронных средств платежа и требования к ним, а также требования к внутрибанковским правилам оператором по переводу денежных средств по вопросам использования электронных средств платежа будет устанавливать Центробанк.
Предполагается, что оператор по переводу денежных средств будет не вправе предоставлять более пяти платежных карт одному клиенту — физическому лицу, если иное предельное количество платежных карт не определенно Советом директором Центробанка.
Госдума обязала банки проверять устройства пользователей на предмет заражения вредным ПО и предоставлять возможность клиентам защиты от него
При этом физическому лицу всеми операторами по переводу денежных средств может быть предоставлено не более 20 платежных карт (если иное опять-таки не предусмотрено решением Совета директоров ЦБ).
Также оператор по переводу денежных средств будет обязан до предоставления платежной карты клиенту — физическому лицу запросить в Единой системе учета платежных карт информацию о достижении предельного количества платежных карт и направлять в эту систему информацию о предоставленных клиентам — физическим лицам платежных картах.
Оператор Единой системы учета платежных карт будет определен решением Совета директоров Центробанка. В системе будет содержаться информацию о номерах платежных карт, предоставленных операторами по переводу денежных средств клиентам — физическим лицам, и ИНН.
Оператор Единой системы учета платежных карт, по согласованию с Центробанком, будет обязан определить правила оказания услуг по предоставлению информации о достижении предельного количества платежных карт, предоставленных клиенту — физическому лицу, а также форматы взаимодействиям с операторами по переводу денежных средств.
Услуги по предоставлению такой информации операторам по переводу денежных средств должны оказываться бесплатно. Кроме того, должна быть обеспечена неизменность и безопасность информаци, содержащейся в Единой системе учета платежных карт.
Одновременно согласно поправкам в Закон «О Центральном банке» (ЦБ), совет директоров ЦБ получает возможность устанавливать предельное количество платежных карт, предоставляемых клиенту — физическому лицу всеми кредитными организациями, филиалами иностранных банков и одной кредитной организаций (филиалом иностранного банка). Также совет директоров ЦБ, при необходимости, может определить срок действия предоставленных клиентам — физическим лицам платежных карт. Кроме того, совет директоров ЦБ может установить оператора единой системы учета платежных карт.
Возмещение банками украденных клиентов денежных средств в случае неприятия мер защиты
В Законе «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием ИКТ» (ГИС «Антифрод») вводится норма о ведение единого реестра абонентских номеров, в отношении которых имеются признаки их использования для осуществления противоправных действий, содержащую информацию о лицах, совершив противоправные действия с использованием сети связи общего пользования, в том числе информацию об абонентских номера, используемых в целях совершения противоправных действий с использованием сети связи общего пользования, об абонентских номера их жертв, а также ведение реестра информационных ресурсов, на которых размещена информацию, направленная на введение в заблуждение.
Информация об абонентских номера должна быть получена в порядке, установленным Правительством по согласованию с ФСБ (Федеральная служба безопасности). Порядок формирования указанных реестров определит Правительство по согласованию с ФСБ.
Норма Закона «Об НПС» о проверке оператором по переводу денежных средств признаков осуществления перевода без добровольного согласия клиента дополняется необходимостью использовать данные из ГИС «Антифрод» (создана Минцифры), информацию от операторов связи об использовании телефонных номеров в мошеннических действиях, а также о выявленных случаях воздействия вредоносного кода на ПО клиента.
В случае получение информации из ГИС «Антифрод» о наличии абонентского номера клиента в Едином реестре абонентских номеров, в отношении которых имеются признаки их использования для противоправной деятельности, оператор по переводу денежных средств в рамках реализуемой им системы управления рисками и в порядке, предусмотренным договором с клиентом, вправе приостановить использование электронного средства платежа на период нахождения сведений об абонентском номере клиента в указанном реестре. В этом случае оператор по переводу денежных средств незамедлительно уведомляет клиента и информирует его о порядке действий по исключение номера из указанного реестра.
Если в случае получения информации оператором по переводу денежных средств от оператора связи оператор об использовании телефонного номера в мошеннических действиях оператор по переводу денежных средств все равно осуществляет перевод денежных средств, перевод электронных денежных средств или перевод по СБП (Система быстрых платежей), то он будет обязан возместить клиенту — физическому лицу сумму перевода денежных средств. Также в случае осуществления операции при наличии информации о вредоносном ПО у клиента оператор по переводу денежных средств обязан возместить клиенту сумму денежных средств или операции.
В обоих случаях возмещение денежных средств должно происходить в течение 30 дней после обращения клиента при наличии у него постановления о возбуждении уголовного дела по факту хищения денежных средств в результате совершения перевода денежных средств.
Одновременно в Закон «О связи» вносятся изменения, согласно которым оператор связи обязан взаимодействовать с ГИС «Антифрод» в части выявления номеров, используемых для осуществления противоправной деятельности. В случае, если оператор связи не будет принимать соответствующих мер, он обязан будет компенсировать своему абоненту украденные с его лицевого счета денежные средства.
Операторы по переводу денежных средств будут обязаны направлять в ГИС «Антифрод» информацию об абонентских номерах, используемых при обслуживании клиента, в порядке, установленным Центробанком по согласованию с Минцифры. Операторы по переводу денежных средств, в рамках реализуемой ими системы управления рисками, должны направлять сведений о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента в Центробанк в порядке, установленной Центробанком, и по форме, размещенной Центробанком в сети интернет. Целью является ведение базы данных о соответствующих случаях. Со своей стороны, Центробанк направляет в ГИС «Антифрод» информацию об абонентских номера из указанной базы данных.
Защита клиентов банков от вредоносного ПО
Оператор по переводу денежных средств должен будет применять средства защиты своего ПО, используемого клиентом — физическим лицом в целях осуществления переводов денежных средств, включая мобильную версию приложения и сайт в сети интернет, от воздействия вредоносного кода, а также обеспечить для защиты от воздействия вредоносно кода комплекс мер, позволяющих осуществлять выявление и контроль случаев воздействия вредоносно кода на такое ПО до момента списания денежных средств клиента, включая совершение операций с использованием платежных карт, перевода электронных электронных денежных средств или перевода по СБП.
Также оператор по переводу денежных средств будет обязан предоставить клиенту — физическому лицу возможность использования средств защиты ПО на устройстве клиента, включая мобильную версию приложения и сайт банка (при наличие согласия клиента), от воздействия вредоносного ПО путем подключения клиентом средств защиты ПО на устройстве клиента. В договорах с физическими лицами на осуществление операций по переводу денежных средств должен быть пункт о праве клиента дать указаное согласие или отказаться от него.
При наличие информации о воздействии вредоносного кода на ПО клиента оператор по переводу денежных средств также обязан отказать в приеме к исполнению распоряжения клиента, незамедлительно проинформировав клиента о причинах отказа в приеме к исполнению распоряжения клиента и одновременно проинформировать его о возможности совершить переводу денежных средств при личном присутствии клиента у оператора по переводу денежных средств.
Использование ИНН при идентификации для проведения операций с денежными средствами
В Законе «О противодействии легализации доходов, полученных преступным путем, и финансированию терроризма» (115-ФЗ) изменяется норма о том, что под упрощенной идентификацией клиента — физического лица понимается «совокупность мероприятий по установлению в отношении него ФИО, серии и номера паспорта, удостоверяющее личность, и подтверждению достоверности сведений», Теперь данная норма дополняется необходимостью установить идентификационный номер налогоплательщика (ИНН).
Организации, осуществляющие операции с денежными средствами и иным имуществом обязаны будут до приема на обслуживание идентифицировать клиента, Ранее при идентификации физических лиц ИНН должен был быть установлен только при его наличии. Теперь при открытии банковского счета или предоставлении персонифицированного электронного средства платежа необходимо будет идентифицировать ИНН.
В Законе «Об осуществлении идентификации и аутентификации физических лиц с использованием биометрических персональных данных» появится норма, что в случае доступа физического лица к его учетной записи в ЕСИА (Едина система идентификации и аутентификации), в том числе в связи с выявлением оператором ЕСИА факта получения третьим лицами несанкционированного доступа к такой учетной записи, восстановление физическим лицом доступа к учетной записи осуществляется с использованием ЕБС (Единая биометрическая система), с помощью сайта банка в сети интернет или мобильного приложения (с использованием которых клиент может открывать счета или получать кредиты в рублях), с использованием УКЭП (усиленная квалифицированная электронная подпись), с использованием мессенджера MAX, или путем личной явки в МФЦ (многофункциональный центр предоставления государственных и муниципальных услуг) или организации, выдающие «Госключ». При этом Правительство может установить случаи, когда изменение сведений в ЕИСА, используемых физическим лицом для доступа к учетной записи в ЕСИА, осуществляется физическим лицом только одним из указанных выше способов.
В Законе «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием ИКТ» (ГИС «Антифрод») будет указано, что одной из целей создания данной ГИС является выявление в сети интернет факта неправомерной или случайно передачи персональных даных, повлекшее нарушение прав субъектов персональных данных.
Физическое лицо, завершившее прохождение процедуры регистрации в ЕСИА, в случае совершения в отношении него правонарушения с использованием ИКТ вправе направить с использованием ЕПГУ (Единый портал государственных и муниципальных услуг) в ГИС «Антифрод» сведения об указанном правонарушении. Состав сведений и перечень мер, направляемых на предотвращение и пресечение правонарушений, совершаемых с использованием ИКТ, применяемых при поступлении указанных сведений пользователями ГИС «Антифрод», будет установлен Правительством по согласованию с ФСБ.
Критика законопроекта
Комитет Госдумы по информационной политике, ИТ и связи в своем заключении на законопроект видит противоречия между нормой о том, что одному человеку нельзя выдавать в совокупности более 20 банковских карт и тем, что совет директоров Центробанка будет определять предельное количество банковских карт, выдаваемых одному человеку. Кроме того, один оператор по переводу денежных средств не сможет выдать одному лицу более пяти платежных карт. «Это, возлагает на гражданина необоснованную обязанность пользования услугами нескольких операторов по переводу денежных срастив такого гражданина в неравное положение, поскольку он лишается возможности реализовать свое прав на использование 20 платежных карт при отсутствия у него желания пользоваться услугами нескольких операторов по переводу денежных средств», — говорится в заключении комитета.
Такой подход противоречит принципу равенства участников гражданского оборота. В комитета также напомнили, что ранее было ведено максимальное количество абонентских номеров — двадцать для одного, но при этом гражданин вправе сам определять количество используемых им операторов связи. Кроме того, платежная карта является одной из форм электронных средств платежа, соответственно, в ходе осуществления правоприменения могут возникнуть проблемы при определении конкретных объектов, предельное количество которых предлагается ограничить.
В части предоставления операторам по переводу денежных средств доступа к сведениям об абонентах из единого реестра абонентских номеров комитета указывает, что к операторам по переводу денежных средств не устанавливается каких-либо требований по защите данных сведений и определяется дальнейшая судьба данных сведений. Это, по мнению комитета, влечет существенные риски необоснованно широкого распространения персональных данных граждан. Кроме того, не предусматривается необходимость получения согласия абонента на предоставление сведений о нем операторам по переводу денежных средств, что противоречит Закону «О персональных данных». В комитете напомнили, что ранее аналогичные поправки в 115-ФЗ были отклонены.
Также комитет обращает внимание, что в поправках в Закон О НПС не раскрывается сущность предлагаемой Единой системы учета платежных карт, включая ее правовой статус, цели и основания создания, функции и источники финансирования. «Все три части соответствующей статьи посвящены исключительно деятельности и обязанностям оператора Единой системы учета платежных карт и не включает сущностях положений, которые послужили ы основой для создаваемой информационной системы», — считают в комитете. Кроме того, используются понятия «мобильная версия приложения « «вредоносный ко», что их содержание не раскрывается, что может привести к правовой неопределености регулирования.
Относительно положения о создании в ГИС «Антифрод» реестра абонентских номеров, используемых для совершения противоправных действий, в комитет отметили, что цели сбора и хранения информации об абонентских номерах жертв противоправных действий.
Согласно замечаниям Комитета Госдумы по финансовым рынка, что в связи с введением нормы об обязательной идентификации по ИНН при проведении операций с денежными средствами особую актуальность приобретает необходимость постоянного усовершенствования системы ПОД/ФТ (противодействия отмыванию доходов, полученных преступным путем, и финансированию терроризма) с целью исключения вероятности идентификации иностранных граждан, не отвечающей повышенным требованиям точности, достоверности и однозначности, в том числе за счет исключения возможности использования при такой идентификации недостаточно достоверных баз данных или незаконно полученных персональных данных граждан, а также за счет более жесткого отбора организаций, которым может быть поручено проведение такой идентификации в соответствии с требованиям 115-ФЗ.
В части ограничения на выдачу оператором по переводу денежных средств не более пяти платежных карт одному лицу в комитет отмечают, что в настоящее время сложилась практика, при которой по заявлению владельца счета будет осуществляться выпуск дополнительной карты, привязанной к основному счету, при этом владельцем такой дополнительной карты де-факто будет являться иное лицо (член семьи). В отношении же отдельных групп иностранных граждан (например, для прибывающих в Россию по туристической или учебной визе или с краткосрочным периодом нахождения) не только предельных лимитов в отношении количества платежных карт, но и в отношении количества счетов, которые могут быть открыты такому иностранному гражданину, и количества кредитных организаций, в которых ему могут быть открыты счета (вклады).
Также в настоящее время в российском законодательстве не определено понятие «платежная карта», что может сказаться на однозначности и определенности действий будущего оператора Единой системы учета платежных карт.
Депутаты требуют от операторов связи разделить с банками ответственность за карту денежных средств
Также, по мнению Комитета по финансовым рынкам, предлагаемая в Законе «О связи» норма об обязанности операторов связи возмещать сумму перевода денежных средств с их лицевых счетов является недостаточной. «Услуги операторов связи используются мошенниками в рамка реализации мошеннических схем, связанных с хищением денежных средств клиентов кредитных организаций с их банковских счетов, — отметили в комитете. — С целью создания условий для системной совместной работы по выполнению антифрод-мероприятий операторами связи и кредитными организациями считаем целесообразно разработать компенсационный механизм для граждан, предусматривающий обязанность оператора связи и кредитной организации возместить клиенту кредитной организации сумму перевода денежных средств без добровольного согласия такого клиента, если указанный перевод стал возможным ввиду непроведения оператором связи и кредитной организацией антифрод — мероприятий».
Ранее председател Комитета по финансовым рынкам Анатолий Аксаков говорил, что Правительство с данной идеей согласилось и соответствующие поправки будут представлены ко второму чтению законопроекта. «Ущерб гражданина может быть намного больше, чем списания с его счета у оператора связи, так как благодаря телекоммуникайионной связи есть возможность войти на банковские счета, — говорил Аксаков. — Мы все переводы денег осуществляем, используя телефонные номера, но при этом снимаем деньги с банковского счета и переводим в пользу какоо-то лциа7 Операторы связи должны делить ответственность с банками. Ну а если банк не виноват, а телекоммуникационная компания представила такую возможность — украсть деньги мошенникам, торс соответственно, вся ответственность ляжет на теклекоммуникационную компанию и она должна будет возмести весь ущерб, причиненный гражданину».
Мнения экспертов отрасли ИБ
Эксперты отрасли ИБ положительно отнеслись к идеи обязать банки проверять клиентов на предмет заражения их устройств антивирусным ПО. — «Меры, которые предпринимают банки для обеспечения безопасности своей ИТ-инфраструктуры, не распространяются на конечные устройства пользователя, — полагает главный эксперт «Лаборатории Касперского», — Владелец гаджета решает самостоятельно, какие программы устанавливать, какие разрешения давать для работы этих программ. При этом для сохранности денежных средств клиентов банкам важно исключить вмешательство злоумышленника в работу устройства с целью перехвата СМС из финансовой организации, просмотра содержимого экрана и других злонамеренных действий. Инициатива направлена в том числе на решение этой задачи.
На данный момент многие финансовые организации уже реализуют модели защиты на стороне клиента, например предоставляют лицензии защитного ПО, создают дополнительную функциональность в мобильном приложении с последующей передачей данных в антифрод. Каждый банк сам решает, какие механизмы и программы применять на устройствах своих клиентов. Мы поддерживаем эту инициативу – только такой метод даёт возможность обнаружить действие таких вредоносных программ, как Mamont, NFСGate, SpyNote, LunaSpy».
«При работе каждого приложения и программного обеспечения важна среда (информационная система устройства, на котором оно функционирует), — считает руководитель группы по сопровождению GR-проектов группы компаний «Солар» Андрей Едунов. — Если говорить о пользовательских устройствах, то не все приложения функционируют корректно и проходят проверку. При выходе в реализацию большинство программных продуктов и приложений не проходят никакой проверки на защищенность (марктеплейсы мобильных приложений уделяют недостаточное внимание требованиям по безопасности и формально проверяют продукт, не говоря уже про приложения скаченные по ссылки из непроверенных источников), не говоря уже о композиционном анализе. Между тем их некорректная работа и «скрытые особенности» могут в том числе пагубно повлиять на банковские приложения, а также конфиденциальность сведений пользователя. В этой связи любые дополнительные требования по обеспечению безопасности пользователя являются эффективными».
