Данные о помощниках хакеров внесут в новый черный список

Уже в сентябре в России может появиться новый черный список банковских клиентов, теперь уже дропперов. Это граждане и компании, на чьи счета выводятся средства, похищенные хакерами из банков. По мнению экспертов, в списке могут оказаться и добросовестные клиенты. Например, если их счета злоумышленники использовали тайно или в случае ошибок. Клиентам, попавшим в список, банки должны будут ограничить снятие наличных и переводы со счетов. Но как показывает опыт, в большинстве случаев от таких клиентов просто стараются избавиться. Механизма исключения из списка не предусмотрено.

ЦБ опубликовал проект указания, которое устанавливает порядок информирования банками регулятора о несанкционированных переводах со счетов их клиентов. Документ принят во исполнение закона 167-ФЗ, направленного на защиту средств клиентов банков от хищений. Закон вступит в силу 26 сентября. Он дает банкам право на два дня приостанавливать операции, если есть подозрения, что средства выводятся без ведома клиента. Кроме того, закон наделяет ЦБ полномочиями вести базу дропперов, то есть компаний и физических лиц, на счета которых выводились денежные средства клиентов (или были попытки вывода) в рамках несанкционированных операций. ЦБ же, в свою очередь, будет доводить эту информацию до кредитных организаций. Как именно — описано в проекте.

Согласно документу, банк, выявивший несанкционированную операцию, должен будет передать в ЦБ номер карты, электронного кошелька, мобильного телефона или счета получателя средств. Затем ЦБ запрашивает у банка получателя информацию, позволяющую идентифицировать получателя,— данные паспорта и СНИЛС. Информацию о лицах, на счета которых были попытки вывода (вывод) денежных средств, ЦБ обобщает и доводит до всех кредитных организаций. Банки, которые выявят среди своих клиентов потенциальных дропперов, должны установить им ограничение на перевод денежных средств и на снятие наличных.

Таким образом, по замыслу ЦБ, банки смогут минимизировать риски несанкционированного вывода средств. Идея хорошая, но без должной проработки может привести к появлению нового черного списка банковских клиентов без права на реабилитацию, предостерегают эксперты.

При этом нельзя исключить попадание в описанную базу добросовестных клиентов банков. «Например, злоумышленники порой просят знакомых получить для них на свою карту деньги, при этом реальный получатель может и не подозревать, что они были похищены»,— рассказывает специалист по информационной безопасности банка топ-50. По словам начальника управления информационной безопасности Златкомбанка Александра Виноградова, хакеры могут выводить средства сначала на счет взломанной крупной компании с большими оборотами, а уже потом раскидывать по множеству счетов и обналичивать, и так нередко происходит.

Кроме того, эксперты не исключают, что черный список дропперов может стать способом нечистоплотной конкурентной борьбы — умышленно кинул на счет деньги, тут же сообщил о взломе, сумма вернулась на счет, а компании или гражданину банки фактически заблокировали счета и не дают открыть новые. Могут быть, наконец, и элементарные технические ошибки.

Клиент банка, попавший в базу дропперов, может и не догадываться о своем «особом» статусе — ни закон, ни проект указания не обязывают банки раскрывать эту информацию. «Банк может на запрос клиента не сообщить о списке, назвав отключение ДБО или же запрет на снятие наличных мерами, принимаемыми в рамках антиотмывочного законодательства»,— отмечает зампред правления «Ренессанс Кредита» Сергей Королев. Способы покинуть список тоже нигде не описаны. «Если не предусмотреть механизма реабилитации, как и обязанность информирования банковских клиентов о внесении их в базу дропперов, может повториться история с черным списком отказников по 115-ФЗ, куда попало много добросовестных клиентов»,— подчеркивает глава АБ «Старинский, Корчаго и партнеры» Евгений Корчаго.

Впрочем, в ЦБ проблемы не видят. «В целях обеспечения защиты информации при осуществлении переводов денежных средств Банк России осуществляет формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента,— сообщили в пресс-службе регулятора.— Порядок формирования и ведения, в том числе обработки, хранения, применения в указанной базе данных информации, будет определен внутренним распорядительным актом Банка России». В ЦБ уверяют, что порядок занесения в базу получателей переводов денежных средств без согласия клиента-плательщика будет определен так, чтобы «максимально снизить риски ошибочного занесения в базу такого клиента».