В следующем месяце возможно появление в России нового черного списка банковских клиентов-дропперов. Таковыми называют граждан и компании, на чьи счета осуществляется вывод средств, которые хакеры похитили из банков. Как считают эксперты, вполне возможно появление в списке могут и добросовестных клиентов. Допустим, если их счета использовались злоумышленниками тайно или в случае допуска каких-нибудь ошибок. Клиентов, оказавшихся в таком списке, банки будут ограничивать в снятии наличных и переводах со счетов. Но, суля по опыту, в большинстве случаев от таких клиентов банки попросту избавляются. Механизм исключения из списка не предусмотрен.
ЦБ был опубликован проект указания, устанавливающего порядок информирования банками регулятора о случаях несанкционированных переводов с клиентских счетов. Принятие документа осуществлено во исполнение закона 167-ФЗ, призванного защитить средства банковских клиентов от хищений. Действие закона начнется 26 сентября. Новый закон наделяет банки правом на 2-дневную приостановку операций в случае появления подозрений, что клиент не уведомлен о выводе средств. Дополнительно, закон дает ЦБ полномочия по ведению базы дропперов, то есть компаний и физлиц, на счета которых осуществляется вывод денежных средств клиентов (или имели место попытки вывода) в рамках проведения несанкционированных операций. Эта информация будет доводиться ЦБ до кредитных организаций. Каким образом — указано в проекте.
В соответствии с документом, банку, которым будет выявлена несанкционированная операция, необходимо будет передать в ЦБ номер карты/электронного кошелька/мобильного телефон/счета того, кто получит средства. Далее ЦБ направляет в банк запрос информации, которая позволит провести идентификацию получателя,— паспортные данные и СНИЛС. Информация о лицах, на счета которых были зафиксированы попытки вывода (вывод) денежных средств, обобщается ЦБ и доводится до всех банков. Банкам, выявившим среди своих клиентов потенциальных дропперов, необходимо ограничить им перевод денежных средств и снятие наличных.
В итоге, как задумал ЦБ, банки минимизируют риски, связанные с несанкционированным выводом средств. Идея хороша, но если она не будет детально проработана, то, по мнению экспертов, может появиться новый черный список банковских клиентов, которые в дальнейшем уже не смогут реабилитироваться.
Причем не исключено, что в новую базу попадут добросовестные клиенты банков. Например, по словам специалиста по информбезопасности, работающего в банке из топ-50, часто злоумышленники просят, чтобы их знакомые получили для них на свою карту денежную сумму, при этом реальный получатель, как правило, и не подозревает, что деньги похищены. Как сказал начальник управления информбезопасности Златкомбанка Александр Виноградов, хакеры могут осуществлять вывод средств сначала на счет уже взломанной ими крупной компании, имеющей большие обороты, а уже потом раскидать по счетам и постепенно обналичивать, часто именно так они и делают.
Кроме того, по мнению экспертов, не исключено, что черный список дропперов может трансформироваться в способ недобросовестной конкуренции — т.е. по цепочке: "умышленное кидание на счет денег-сообщение о взломе-возврат суммы на счет", а счет компании или гражданина будет уже заблокирован банком без возможности открыть новый. Возможно, наконец, и ошибки технического характера.
Клиент банка, оказавшийся в базе дропперов, может и не подозревать о новом своем статусе — в законе и проекте указания не указана обязанность банков раскрывать эти сведения. По словам заместителя председателя правления банка «Ренессанс Кредит» Сергея Королева, банк, получив от клиента запрос, может не сообщить ему о списке, связав отключение ДБО или же запрет на снятие наличных с мерами, которые были приняты в рамках реализации антиотмывочного законодательства. Как и можно ли выбыть из списка - описание отсутствует. По словам главы АБ «Старинский, Корчаго и партнеры» Евгения Корчаго, и если не будет предусмотрен механизм реабилитации, как и обязанность банков информировать клиентов о том, что они внесены в базу дропперов, то возможно повторение истории с черным списком отказников по 115-ФЗ, куда были занесены многие добросовестные клиенты.
Впрочем, ЦБ проблемы не видит. По словам пресс-службы регулятора, чтобы обеспечить защиту информации при проведении денежных переводов, Банк России формирует и ведет базу данных о случаях и попытках таких действий без согласия клиента. Определение порядка формирования и ведения, в том числе обработка, хранение, применение в указанной базе данных сведений, будет содержаться во внутреннем распорядительном акте Банка России. В ЦБ уверены, что порядок включения в базу получателей переводов денежных средств без согласия клиента-плательщика удастся определить таким образом, чтобы были максимально минимизированы риски, связанные с ошибочным занесением в базу такого клиента.
