Тимур Аитов: «Надо заставить бороться с хищениями и отвечать за них сами банки»

В этом году в России обновляется законодательство, направленное на борьбу с финансовом мошенничеством. Три десятка новаций введены с 1 июня. Остановит ли это волну мошенничества? Комментирует председатель комиссии по безопасности финансовых рынков Торгово-промышленной палаты России Тимур Аитов.

– Почти каждую неделю у нас новый закон по борьбе со злоумышленниками – многочисленные хищения надоели, это если сказать мягко. Идеи законодательных норм всегда разные: к примеру, с 1 июня вступил в силу федеральный закон № 41-ФЗ от 01.04.2025, который вводит примерно три десятка новаций, включая обязательную маркировку телефонных звонков, запрет на использование зарубежных мессенджеров для информирования граждан, запрет на передачу смартфона третьим лицам и др. Но что-то подсказывает, что даже вот эти 30 новых норм тоже не позволят остановить вал преступности. Есть у вас какой-то свой рецепт на этот счёт?

– Рецепт простой: надо заставить бороться с хищениями и отвечать за них сами банки. И не так, как банки делают сегодня: защищали, но ничего не гарантируют, да ещё в суде с клиентов отсуживают похищенные деньги…

– А как надо?

– Надо требовать с них, чтобы они отвечали за хищение и компенсировали похищенное без ссылок на то, что клиент рукой что-то не прикрыл, коды из СМС сообщил и т.д. Напомню, у нас давно есть ФЗ-161 и девятая статья в нем, в соответствии с которой клиент может опротестовать любую противоправную транзакцию в течение одного рабочего дня. Здесь сразу вспоминается давняя классификация банковских операций – MOTO (Mail Order/Telephone Order), когда операция всегда могла быть отозвана по заявлению клиента. Но этого отзыва никогда не происходит – потому что банковские юристы всегда находят, что именно клиент виноват в противоправном списании. Да, клиент часто и виноват: что-то сообщил злоумышленникам. Но ведь и банк виноват: напомню, клиент и банк имеют договор банковского счета, в соответствии с которым банк обязан выполнять указания клиента (здесь ключевое слово «клиента»), а поскольку банк при хищении выполнил указание злоумышленника и перевел деньги клиента на его счета, то этим банк нарушил договор банковского счета.

Очевидно, при хищении всегда есть два нарушения – клиент нарушил и банк нарушил. Но если сравнивать оба нарушения, то у банка, по сути, более значимое нарушение, чем нарушение клиента. Недавно Верховный суд опротестовал решение трех судов нижестоящих инстанций, которые заставляли клиентку вернуть деньги коммерческому банку по кредиту – который она не хотела брать и даже не знала о его существовании. Злоумышленники, используя банковское приложение и ее эсэмэску (которую каким-то образом перехватили), оформили на неё кредит, а коммерческий банк требовал с нее деньги за этот кредит. Верховный суд встал на защиту клиентки и обязал банк всякий раз убедиться при выдаче, что клиент действительно хотел брать кредит. Верховный суд подчеркнул, что кредит требует волеизъявления сторон, а договор, заключенный в результате обмана или иных неправомерных действий, является ничтожным. Именно банк должен доказать факт добровольного заключения договора клиентом, подчеркнул Верховный суд.

– Аналогичные попытки со стороны ЦБ занять сторону клиента и заставить банк отвечать были?

– Были: года три назад я помню глава ГУБЗИ ЦБ выступал с идеей о том, чтобы возвращать половину денег, похищенных у клиента, причем, в любом случае возвращать: клиент терял половину денег, банк оплачивал эту половину. Идея не прошла, несмотря на все усилия поддержки со стороны депутатов не последовало. Среди возражений было, что схема 50:50 не очень рабочая (почему не 80:20 и т.п.) – скорее идея из области страхования, чем определения вины.

– А что в мировом сообществе? Есть какие-то аналоги, на которые можно ориентироваться?

– Я напомню, что сама статья 9 в 161 ФЗ появилась, во многом, благодаря усилиям дружественных тогда к нам МПС – помню, в ЦБ эти платежные системы активно за нее агитировали. Банки тогда сразу были против: они говорили что «клиент сам у себя украдет деньги, а потом будет требовать с нас». Статью и ее идею депутаты всё же приняли, но в несколько «отредактированном» виде – появилась масса пунктов, по которым клиента всегда можно обвинить, что именно он и виноват в хищении – суды первой инстанции так всегда и делают. Что касается свежих аналогов за рубежом – в недружественных странах с октября прошлого года ввели обязательную компенсацию клиентам украденных мошенниками сумм для случаев, когда клиент сам проводил платеж со счета на счет, находясь под воздействием мошенников (Authorised Pushed Payment Scam). Это наш аналог операций без добровольного согласия клиентов. Лимит – до 85 тыс. фунтов. При этом 50% платит банк отправителя, 50% банк получателя. Стандартный срок возврата 5 рабочих дней. При этом необходимо наличие у клиента заявления в полицию.

– Давайте теперь пройдем по свежему набору законов из «тридцати», которые вступает в силу 1 июня..

– Если внимательно читать, то вопросы возникают к многим пунктам из «тридцатки».

К примеру, введён запрет на передачу пользования абонентским номером телефона третьим лицам за исключением членов семьи. Но ведь есть инвалиды, есть социальные служащие, есть и соседи, которые помогают им – не все они злоумышленники.

Возможно, к примеру, вы плохо слышите и передали кому-то телефон, или уехали на дачу. С другой стороны ничего не сказано – как контролировать сам факт передачи и как контролировать норму? Или: законодатель предусматривает теперь обязательную маркировку звонков дополнительным текстовым сообщением на экране телефона («этикеткой») – оператор связи будет обязан отображать наименование организации, откуда исходит звонок. Опять неясно – кому проверять, насколько соответствует реалиям отображение «поликлиники» или «центра здоровья» на экране смартфона? Существует ли этот «центр? Как именно пожилые люди – у большей части которых «кнопочные» телефоны (не смартфоны) – как они будут читать про эту поликлинику?

Напомню, что до сих пор существуют и анонимные абонентские номера, которые вообще не видны при приёме, причем эта услуга пользуется спросом в системе операторов MVNO, никто её отменять не собирается, хотя в отношении нее тоже выступали депутаты с критикой.

– Вот еще популярная и уже одобренная тема «третьей руки»: в какой мере проблему может решить финансовый патронаж? Возможно, необходимы иные самозапреты на операции банковских клиентов?

– Услуга «третьей руки» уже зарекомендовала себя – она понятна, востребована и уже предоставляется некоторыми банками: сын подтверждает транзакцию матери или отца, которые не совсем разбираются в тонкостях высоких технологий. Это помогает бороться со злоумышленниками из числа «социальных инженеров». Ясно, что эта услуга «третьей руки» должна «включаться» не сразу, а начиная с каких-то заметных сумм – например, с платежей, превышающих 5000 рублей. Иначе и пакет молока отец не купит без соответствующего подтверждения сына.

Что касается самозапретов в целом, то, уверен, что наиболее жёсткие ограничения у всех клиентов должны быть включены по умолчанию. Скажем, запрет на онлайн оформление кредитов должен быть априори у всех. А те, кто захотят обязательно оформлять кредиты онлайн, должны снять это ограничение, явившись лично в банк. Тогда и претензий клиентов к банкам будет меньше. Онлайн доступ к банковскому счёту – это вещь удобная, но деликатная. Правильно, если клиент еще и сам будет ранжировать строгость своей аутентификации в системах ДБО – скажем, 1000 рублей банк может перевести по эсэмэске, а 1 млн. рублей только при личном появлении клиента в банке. И хищений будет меньше и главное, претензий от клиентов тоже убавится.

– Касаясь этих претензий клиентов к банкам: не появится ли у нас клиенты, которые будут умудряться использовать это «положение вне игры»: неадекватное восприятие реалий. Вот меня, дескать, обманули, я не виноват и прошу банк деньги вернуть…

– Но они и сейчас есть такие клиенты. Я напомню, социальная инженерия она существует в двух видах: в одном случае клиент не хотел переводить деньги, но его обманули и выманили коды подтверждения операции. Во втором случае – и таких случаев всё больше – клиент сознательно дал указание банку перевести деньги злоумышленникам. Вот с этим вторым случаем, конечно, бороться непросто. Я напомню, одну из норм из обсуждаемой «тридцатки» даже перенесли на сентябрь: ЦБ должен дать признаки, по которым банку следует считать, что клиент, снимающий деньги с банкомата, находился в неадекватном состоянии. Пока определить, как это сделать банку я не знаю: звонить клиенту в момент съёма денег бесполезно – мы клиентов всех научили не снимать трубки если приходят звонки из банка.

– Как на ваш взгляд, правильно построить процедуру принятия подобных сложно-технических законов? Можно ли всё предусмотреть заранее?

– Конечно, технические законы сложно принимать сразу – сели, собрались и приняли.

Правильнее – не принимать сразу однозначные формулировки. Правильнее – протестировать нормы в каком-то отдельном регионе или области. Примерно так, как происходит с проектами ЦБ по исламскому (партнерскому) банкингу: посмотреть, срабатывают ли ограничения, что добавить, что изменить – ведь каждое положение кроме формулировки, должно предполагать возможность проверки факта выполнения этого ограничения. Важно всё – и как выполнить требования, и как это проверить.

Как в этой «тридцатке» – если выполняется передача SIM-карт третьим лицам, как проверять, происходит это на практике или не происходит и т.д. Уверен, любой сложно-технический закон обязательно должен иметь фазу «драфт» – опытный, тестовый режим – сначала проверяться на практике, после чего уже окончательно утверждаться.

– А что по части инновационных технических средств: скажем, искусственный интеллект, который, видимо, способен определять злоумышленника по голосу, по манерам разговора? Звучали предложения создать силами телекомов записи предполагаемых (будущих) мошенников?

– Думаю, вряд ли ИИ определит злоумышленника по голосу и речи – скрипты везде разные, потом мошенником можно пока стать только по решению суда – как телекому заранее определить, что он мошенник?

– Что касается банков: есть ли реальная возможность у банков соответствовать многочисленным хитростям мошенников? Как противодействовать и на что им ориентироваться сегодня?

– Уверен, одной серьезной меры в обсуждаемом пуле депутатской «тридцатки» не хватило – отказа от привычных и «беззащитных» СМС, а использовании вместо них на стороне клиента более надежных криптографических методов – такие технологии давно созданы. Пресловутые эсэмэски, которые банковскими юристами приравнены к электронной подписи в этом качестве устарели. Любую СМС злоумышленник может получить и методами социальной инженерии, и с помощью фишинга, программ удаленного доступа, засылки «вируса» на телефон. Есть случаи внутреннего фрода в банках и операторах сотовой связи. Поэтому традиционная СМС увы, уже не может надёжно защитить клиента от мошенничества…

– Почему такая важная мера не появилась в «пакете тридцатки»?

– Думаю, банки были против – им эта замена не нравится: криптография и подороже, и чуть сложнее для клиентов. Пока претензии клиентов в части передачи кодов подтверждения операции «отбивали» банковские юристы. Вот когда суды обяжут банки возвращать средства, которые они списали со счетов клиентов по указанию именно злоумышленников – в нарушение договора банковского счета – ситуация поменяется. Регулятор, уверен, уже в курсе дела – напомню, в свежем положении 851 П (оно заменило 683 П) прямо говорится о новых мерах по противодействию воровству и расширению требований по использованию отечественных СКЗИ. Необходимость использования криптографии на стороне клиента назрела. Важно, чтобы в новом тренде на СКЗИ было однозначно определено, какие безусловно выполнимые требования банк должен нарушить, чтобы быть признанным виновным.

Что касается эсэмэсок они останутся в арсенале мобильных клиентов, но только для передачи бытовых текстовых сообщений – в этом их основное предназначение.