Не ждали. Что ждет россиян после введения 161-ФЗ

С введением новых поправок к федеральному закону «О национальной платежной системе» от 27.06.2011 N 161-ФЗ жизнь рядовых россиян, казалось бы, должна была существенно улучшиться. Ибо поправки направлены на защиту населения от телефонных мошенников, с которыми до этого банки и не думали хоть как-то бороться.

Основная проблема, которую государство в вопросе с телефонными мошенниками не могло решить долгие годы — это отсутствие ответственного за деньги, потерянные гражданами, и крайне слабая способность правоохранительных органов обнаруживать преступников. В результате только за первый квартал 2024 года мошенники похитили методами телефонных операций 4,3 миллиарда рублей.

Новые поправки делают ответственными за мошеннические переводы банки. Поправки в ступили в силу 25 июля 2024 года, и банки уже начали работать по ним.

Банки не привыкли и не собираются платить за мошенников. Поэтому гайки закрутили сразу и от предела.

Что происходит

Теперь основная задача сотрудников банка — определить, насколько «подозрительной» является операция, которую пытается осуществить частное лицо.

Прежде всего, учитывается репутация получателя средств. Хуже всего, если получатель находится в реестре недобросовестных получателей, который ведет Банк России. А если точнее, то речь идет о так называемых «фидах» ФинЦЕРТа, которые включают информацию по получателям несанкционированного перевода. По каждому персонажу собирается большой список данных: от ИНН и номеров платежных карт до номеров счетов и паспортных данных.

Когда банк получает данные от ФинЦЕРТа, он должен проверить их наличие в своей автоматизированной банковской системе. Если они обнаруживаются, то проводится блокировка дистанционных электронных средств платежа (карт, ДБО) получателя несанкционированного перевода.

При этом операция зачисления блокируется банком на срок два дня (по факту до пяти дней). Первым этапом проверки является беседа с отправителем средств и выяснение причин, действительно ли он намерен отправить данные платёж, не действует ли он по указанию неких «следователей» или «работников банка».

А вот дальше начинается настоящая игра с законом, так как в случае подтверждения операции отправителем формально он имеет право сам распоряжаться своими средствами и отправлять их кому хочет. Более того — в последних поправках термин «мошеннические действия» заменены на более обтекаемый «перевод денежных средств без добровольного согласия клиента». При этом в законе есть оговорка «операции, проведенные с согласия клиента, полученного обманным путем или путем злоупотребления доверием», что можно трактовать очень широко.

Однако «крайним» в любом варианте оказывается банк, который в случае, если перевод даже после беседы с сотрудниками службы безопасности банка (настоящими, а не мошенниками) будет подтвержден и осуществлен, платить в случае возбуждения дела будет всё равно банк. Поэтому банк будет прилагать все усилия для того, чтобы не допустить такого перевода.

Что любопытно, в 161-ФЗ нет явного указания, как следует правильно организовать взаимодействие между банком-получателем и банком-отправителем. Например, банк-получатель заблокировал деньги у того, кто ему показался мошенником, и сообщил… куда? Это в законе не прописано. Какой вариант коммуникации должен быть использован, чтобы у регулятора не возникало вопросов относительно исполнения закона?

Также неясным остается вопрос правомерности санкций. С одной стороны, является человек преступником или нет, устанавливает только суд. Зачастую у банка-получателя нет оснований подозревать клиента в том, что он участвует в мошеннической схеме. С другой стороны, информация поступает от банка-отправителя. Причём зачастую уже поздно, когда средства выведены. Оперативно вернуть украденное часто нет возможности.

Кроме того, непрозрачной остается тема уведомлений пользователя. В законе не определены ни форма, ни параметры такого уведомления — это оставлено на усмотрение банка и должно быть прописано в банковском договоре. Самый традиционный путь для банка — это SMS, что уже привело к росту стоимости SMS-сообщений для клиентов банков.

Кто под ударом

Безусловно, банки не будут звонить клиентам по случаю каждого перевода. Для такой работы не хватит никаких ресурсов.

По всей вероятности, у банков есть определенная сумма переводов, после которой начинается проверка. Пока, по первым случаям блокировки транзакций, она колеблется в диапазоне 15-25 тысяч рублей, и вследствие этого подавляющее число платежей частных лиц будет осуществляться без проверки.

Однако существует несколько категорий клиентов, которые до сих пор жили достаточно безбедно, однако сейчас находятся под ударом.

Первое. Это люди, которые по каким-то причинам находятся за границей. Уже имеется ряд прецедентов, когда транзакции даже обычным людям, находящимся за границей (пусть и с российскими картами), блокировались банками.

В эту категорию попадают все переводы родственникам и переводы гастарбайтеров себе на родину.

Второе. Все люди, которые до сих пор оплачивали зарубежные сервисы, перевод на которые находится под санкциями, через вспомогательные сервисы. Работа таких сервисов простая: клиент переводит для оплаты средства в рублях на российскую карту гражданину ближнего зарубежья, а тот оплачивает то, что нужно, в долларах с карты своего государства. Как правило, за такую транзакцию сервис берет от 10 до 20% от суммы перевода.

По всей видимости, работа всех этих сервисов в новых условиях будет если не заблокирована, то находиться под высоким риском.

Третье. Те люди, которые используют карты высокотехнологичных банков («Сбер», «Т-банк» и т. п.) для покупки криптовалюты, перевода рублёвых средств на криптобиржи либо, наоборот, вывода средств с них. Эти люди могут сами попасть в число подозрительных лиц, и в этом случае ограничения по их картам и счетам включаются одновременно по всем банкам в России, как входящие, так и исходящие. Причём блокировку может выдать любой банк в России, даже самый мелкий, и сделать это может любой сотрудник банка, к примеру, для собственной перестраховки.

Соответственно единомоментно оказываются заблокированы все карты частного лица. Снять блокировку можно только через обращение в Центробанк, и в этом случае, безусловно, придется объяснять суть проводимых транзакций. Если транзакции находятся на грани закона, то неизбежно привлечение соответствующих контрольных и правоохранительных органов.

Конечно, число людей, покупающих и продающих криптовалюту, невелико. Но объем передаваемых ими средств достаточно высок для того, чтобы по рынку майнинга и криптобирж был нанесен сильный удар.

Четвертое. Те, кто до сих пор получает оплату на свои личные карты за услуги, минуя оформление индивидуальным предпринимателем или самозанятым. Долгое время банки не могли выяснять причины таких поступлений в силу отсутствия полномочий, принадлежащих налоговой службе. Налоговая служба на платежи, получаемые частными лицами от частных лиц, если они не являются регулярными и в одинаковых суммах (то есть не похожи на зарплату), также смотрела сквозь пальцы.

Однако теперь банк может самостоятельно отслеживать такие платежи. И в случае, если они покажутся ему подозрительными, то получатель платежа окажется в списке подозрительных, и ему будут заблокированы все счета во всех банках.

С точки зрения легальной экономики это грамотный шаг, который со временем закроет тему «черного рынка» услуг. Но когда такие блокировки массово обрушатся на мелких предпринимателей, это может крайне негативно сказаться на обществе.

Нюансы

Пока что мошенники опережали и банки, и правоохранительные органы в своей противоправной деятельности. Жертвами телефонных мошенников становились даже высокопоставленные сотрудники правоохранительных органов, которые, в том числе, сами занимались расследованиями подобных правонарушений.

В новой схеме взаимоотношений банков с частными лицами уже выявлено слабое звено. Это, как было сказано выше, отсутствие описанного порядка и формы информирования и получения согласия от клиента на перевод денежных средств в случае подозрительной операции. Это открывает возможность для создания новых сценариев хищений и социальной инженерии. Например, отправка ложных уведомлений клиентам о факте внесения их в черный список ЦБ, попытки убедить перевести деньги на «безопасный счет» или иные предложения по «исключению из базы» клиента могут стать новой вехой мошенничества.
Помимо этого, возможной опасностью является отсутствие четкого безопасного порядка получения согласия от клиента. Это несет риски того, что подозрительные операции могут быть подтверждены мошенниками с использованием социальной инженерии. Ведомая мошенниками жертва действительно может не до конца понимать, что именно и как именно он подтвердил.

Если в качестве инструмента подтверждения банк выберет, например, код из SMS, то вся система вернется к тем же проблемам, которые пытались решить: в SMS может не быть однозначно читаемых реквизитов, поэтому есть риски одобрить мошенническую операцию. Кроме того, SMS можно перехватить техническими средствами, а код в сообщении — выяснить методами социальной инженерии.

Повторим: все эти нюансы пока не определены в законе. Вопросы с ними будут решаться «на ходу», то есть после расследования случаев с новыми жертвами мошенничества, уже по новым схемам.

И, безусловно, банки будут в этом случае прилагать все усилия для того, чтобы уйти от ответственности и переложить ее на жертву. Что тоже не радует.