|
|
Предисловие
Платежная сфера — важнейшая область экономики и жизни социума в целом. А поскольку современная социальная жизнь во всех ее проявлениях — и бизнес, и личный план, и медийное пространство — все более базируется на информационных технологиях, вполне ожидаемо в сторону ИТ мутировали и способы мошенничества и его инструменты. Эволюционировало и само преступное сообщество, создавшее настоящую мошенническую индустрию, собственный рынок, на котором можно купить не только специальный инструментарий, но и заказать взлом любой системы или массированную атаку на тот или иной информационный ресурс. Поэтому информационная безопасность, защита информации становится все более острой проблемой, требующей особого внимания со стороны здоровых общественных сил. Различным аспектам обеспечения информационной безопасности, методам противодействия преступлениям в платежной сфере и посвящена бизнес-энциклопедия «Мошенничество в платежной сфере».
Представляем авторский коллектив книги с указанием наименований разделов, написанных каждым из авторов:
• Леонид Лямин (начальник отдела электронных банковских технологий департамента банковского надзора Банка России) — «Использование современных форм платежей для легализации преступных доходов и организация противодействия»;
• Николай Пятиизбянцев (начальник отдела по управлению инцидентами департамента защиты информации Газпромбанка) — «Уголовно-правовые аспекты борьбы с противоправными деяниями в сфере банковских карт», «Гражданско-правовые вопросы в случае несанкционированного использования платежных карт», «Безопасность банкоматов»;
• Антон Пухов (директор по развитию Центра исследований платежных систем и расчетов) — «Процедуры минимизации рисков при работе с платежными картами»;
• Павел Ревенков (д.э.н., профессор кафедры экономического анализа и бухгалтерского учета Одинцовского гуманитарного университета) — «Электронные платежи: риск возможного использования для легализации преступных доходов»;
• Илья Сачков (генеральный директор Group-IB), Валерий Баулин (руководитель лаборатории компьютерной криминалистики и исследования вредоносного кода Group-IB), Дмитрий Волков (руководитель отдела расследования инцидентов информационной безопасности Group-IB) — «Практика мошенничества в системах ДБО», «Распространенные виды мошенничества в сфере электронных денег» (в соавторстве);
• Максим Кузин (главный архитектор продукта БПЦ) — «Методы и инструменты оценки рисков на базе мониторинга карточных транзакций»;
• Ирина Лобанова (руководитель департамента исследований банковского сектора Национального агентства финансовых исследований) — «Исследование опыта и осведомленности населения по мошенничеству в сфере платежных карт».
С уважением,Алексей Воронин,руководитель проекта, редактор-составитель (ЦИПСиР)Глава 1
Мошенничество в системах дистанционного банковского обслуживания (ДБО) и электронных денег
1.1. Практика мошенничества в системах ДБО
Рост количества и сумм безналичных операций естественно привлек внимание сначала компьютерной, а потом уже организованной преступности к этому рынку.
Первые масштабные хищения начались в России в 2007 г. Когда суммы хищений стали достигать миллионов долларов, участники преступных групп, которые занимались обналичиваем денежных средств, привлекли внимание организованной преступности, так как на «обнал» уходили очень крупные суммы и процент за вывод денежных средств мог достигать 50 %.
Анализ работы больших преступных групп, задержанных в 2011–2013 гг., показывает, что это большие, хорошо организованные формирования, которым сложно противостоять даже юридически-уголовным путем. Такие факторы, как огромные доходы, несовершенство законодательства и возможности обналичивания денежных средств привели к росту на 100–200 % в год этого типа преступлений. Анализ технических и организационных методов данных преступлений является первостепенной необходимостью для борьбы с этим явлением.
В данной главе представлена необходимая информация, позволяющая специалистам в области безопасности финансовых операций получить основной набор знаний для противодействия подобным типам инцидентов. Глава написана ведущими экспертами-криминалистами Group-IB, которые принимали участия в большинстве резонансных расследований в РФ и СНГ.
В цивилизованном мире регулятором прав и обязанностей, ограничений и мер принуждения является закон. Однако появление и активное развитие информационно-коммуникационных технологий и сферы компьютерной информации доказали обществу, насколько рабочим может быть принцип ubi jus incertum, ibi nullum («если закон не определен — закона нет»).
Этот принцип можно применить к ситуации с разделом законодательства, регулирующим сферу компьютерной информации в РФ: пробелы в действующих законах, отсутствие понятийного аппарата или его некорректное обозначение препятствуют должному применению закона или не допускают его вовсе.
Используя пробелы в законодательстве, ошибки в реализации программного обеспечения и применяя простейшие способы социальной инженерии, мошенникам удалось украсть в сфере интернет-банкинга $ 446 млн (результаты получены из ежегодного отчета компании Group-IB за 2013 г.). Общее количество похищенных денежных средств за 2013 г. представлено на рисунке 1.1.
Рис. 1.1. Оценка объемов рынка киберпреступности в РФ, категория «интернет-мошенничество»
Мошенничество в системах дистанционного банковского обслуживания основано на получении несанкционированного доступа к пользовательской информации, необходимой для работы и авторизации.
Принципиально методы совершения хищения денежных средств различаются способом получения доступа к ключам электронно-цифровой подписи (ЭЦП) для авторизации в системе ДБО: инсайд или злонамеренные действия третьих лиц (внешнего злоумышленника).
Остановимся более подробно на наиболее распространенных методах совершения преступлений, связанных с системами ДБО.
Инсайд. В случае сговора сотрудников, имеющих доступ к системе ДБО, или по инициативе одного сотрудника, проводятся операции, как правило платежи с использованием легитимных ключей и аутентификационных данных. Также инсайдер может завладеть ключами ЭЦП и логином/паролем как физически, например в случае несоблюдения сотрудниками компании правил политики парольной защиты, так и с помощью применения специализированного программного обеспечения для слежки за действиями пользователей (кейлоггер) на автоматизированном рабочем месте.
Лица, имеющие доступ к данным аутентификации в системе ДБО, это чаще всего: бухгалтер, генеральный директор, системный администратор, а также любой сотрудник, имеющий доступ к ПК, с которого производится работа с системой ДБО.
Внешний злоумышленник действует с помощью специализированных вредоносных программ, которые зачастую недоступны широкой массе людей. Выбор вредоносной программы злоумышленником зависит от того, как будет происходить подтверждение платежа (с помощью SMS-сообщения или электронного носителя с заранее записанным сертификатом), в каком банке находится клиент и какими возможностями должна обладать вредоносная программа.
Внешние злоумышленники для совершения хищений денежных средств используют следующие популярные способы распространения вредоносных программ: электронную почту, покупку загрузок и эксплуатацию уязвимостей на тематических сайтах. Рассмотрим особенности каждого из способов.
Электронная почта. Данный метод актуален для проведения целевых «заражений», когда у злоумышленника имеются адреса электронных почт лиц, работающих с системой интернет-банкинга. Схема распространения следующая:
• злоумышленник готовит электронное письмо с вложением. В тексте письма указываются причины для открытия файла, прилагаемого к письму. Например, с просьбой проверки документов финансовой отчетности (в частности, актов сверки);
• после открытия файла из вложения вредоносная программа устанавливается в систему и сообщает на удаленный сервер злоумышленника свой статус об успешной установке («отстукивается»);
• злоумышленник проверяет на сервере появление новых событий от распространяемых им программ.
Покупка загрузок. Данный метод является одним из самых простых, но наименее эффективных, поскольку установленные таким способом вредоносные программы быстро удаляются и зачастую продавцы не могут обеспечить требуемую целевую аудиторию. Схема распространения следующая:
• злоумышленник ищет лиц, у которых уже имеется сеть зараженных компьютеров с загруженной и установленной вредоносной программой (бот-сеть);
• владелец зараженной бот-сети дает необходимому количеству компьютеров команду на загрузку вредоносного программного обеспечения, которое он получил от злоумышленника;
• вредоносная программа загружается и запускается, а затем сообщает на удаленный сервер злоумышленника свой статус об успешной установке;
• злоумышленник проверяет на сервере появление новых событий от распространяемых им программ.
Эксплуатация уязвимостей на тематических сайтах. Данный метод является наиболее эффективным, поскольку дает возможность осуществлять массовое распространение вредоносного программного обеспечения, а также выбирать целевую аудиторию для распространения. Схема распространения следующая:
• осуществляется компрометация тематического сайта (например, buhgalter.ru);
• в сайт встраивается вредоносный код (iframe), который вместе с содержимым сайта загружает вредоносные компоненты;
• при посещении пользователями такого сайта осуществляется анализ установленных компонентов (браузера и его плагинов) и их версий в системе. В случае обнаружения осуществляется загрузка и запуск заданной вредоносной программы;
• после запуска вредоносной программы на удаленный сервер злоумышленника сообщается статус об успешной установке;
• злоумышленник проверяет на сервере появление новых событий от распространяемых им программ.
Изображение панели управления связки эксплойтов Black Hole показано на рисунке 1.2. Основным параметром, характеризующим связку эксплойтов, является коэффициент «пробива» — это отношение количества загрузок вредоносной программы к количеству пользователей/хостов, посетивших вредоносную ссылку. На изображении коэффициент «пробива» равен 15,1 % за весь период его использования.
Рис. 1.2. Панели управления связки эксплойтов Black Hole
Наиболее приоритетными программными компонентами (плагинами) для эксплуатации уязвимостей являются: Java, Flash, Internet Explorer и Adobe Acrobat Reader.
Компанией Group-IB приведена обзорная статистика уязвимостей веб-приложений, полученная в ходе оказания услуг по аудиту информационной безопасности и проведения тестов на проникновение в 2012 г. и в I квартале 2013 г. Стоит отметить, что в ходе проводимых исследований оценивалась защищенность не только целевого приложения, но и всей инфраструктуры, в рамках которой было развернуто целевое приложение. Таким образом, поверхность атаки включала в себя всё стороннее ПО, а также компоненты, используемые веб-приложением и размещенные на одной с приложением площадке.
Чаще всего специалистами Group-IB выявлялись уязвимости, связанные со следующими недостатками:
• недостаточная проверка входных данных;
• раскрытие чувствительной информации;
• использование паролей недостаточной сложности.
По результатам отчета компании Group-IB за 2013 г. (http://report2013.group-ib.ru/), самые распространенные уязвимости в компонентах, используемые злоумышленниками, представлены на рисунке 1.3.
В результате успешного использования вредоносных программ все дальнейшие действия злоумышленников будут направлены на закрепление в системе, дальнейшее хищение ключевой информации, а также получение удаленного управления компьютером.
Существуют две основные схемы, с помощью которых осуществляется кража денежных средств: специализированное вредоносное программное обеспечение, похищающее пароли, сертификаты, ключи ЭЦП, и фишинг.
В настоящее время можно выделить несколько основных способов совершения хищений в системах ДБО при помощи вредоносных программ, рассмотрим их далее.
Рис. 1.3. Статистика уязвимостей приложения, используемых злоумышленниками
Троянская программа на компьютере жертвы. Самый распространенный способ. Возможно хищение из любого банка, как у юридических, так и у физических лиц, а также проведение платежа в автоматическом режиме (автозалив). Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.4.
Троянская программа на компьютере жертвы для перенаправления на фишинговый сайт. В данном случае троянская программа используется только для перенаправления пользователей на фишинговый сайт. Применяется для хищения денежных средств только у физических лиц. Данный способ зачастую требует осуществить звонок пользователю зараженной машины. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.5.
Троянская программа на компьютере жертвы — перевыпуск SIM-карты. Способ аналогичен двум предыдущим. Отличием является лишь то, что злоумышленник осуществляет перевыпуск SIM-карты, используя фальшивые документы и доверенность. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.6.
Троянская программа на компьютере и мобильном устройстве жертвы. Наименее популярный способ. В основном он предназначен для хищения денежных средств у физических лиц. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.7.
Рис. 1.4. Блок-схема хищения денежных средств с помощью троянской программы
Рис. 1.5. Блок-схема хищения денежных средств с помощью троянской программы (фишинговый сайт)
Рис. 1.6. Блок-схема хищения денежных средств с помощью троянской программы, перевыпуск SIM-карты
Рис. 1.7. Блок-схема хищения денежных средств с помощью троянской программы на компьютере и мобильном устройстве
Троянская программа на мобильном телефоне жертвы.
В основном данный способ направлен на хищение денежных средств у физических лиц либо у банков, поддерживающих перевод денег по SMS. Размер хищений ограничен лимитами банка на проведение таких операций. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.8.
Троянская программа на мобильном телефоне жертвы — фишинговый сайт. Используется для хищений денежных средств у физических лиц любого банка. Отличается от предыдущего способа тем, что нет таких жестких лимитов, как для SMS-банкинга. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.9.
Компрометация системы банка. Данный способ наиболее сложный и редко встречается на практике. Хищение возможно как со счетов самого банка, так и со счетов клиентов этого банка. Блок-схема, пошагово описывающая процесс совершения хищений, представлена на рисунке 1.10.
Процесс обналичивания похищенных денежных средств является завершающей стадией хищения. Он, как правило, выполняется преступной группой, не входящей в состав той, которая похитила денежные средства с банковского счета. Если процесс обналичивания успешно завершен, то группе, которая похитила денежные средства с банковского счета, возвращается от 40 до 60 % от обналиченной суммы. Процент зависит от условий работы и оговаривается в начале взаимодействия.
На рисунке 1.11 представлено несколько основных вариантов движения денежных средств в зависимости от похищаемой суммы. Однако схема может быть представлена значительно сложнее, если процессом обналичивания занимаются несколько разных групп и единовременный объем хищений, как правило, более 5 млн рублей.
1.2. Российский рынок электронных денег
Чтобы получить представление о механизмах мошеннических схем и методах борьбы с ними в сегменте электронных денег, необходимо рассмотреть подробнее этот рынок, а также поведение и «портрет» пользователей электронных кошельков.
Рис. 1.8. Блок-схема хищения денежных средств с помощью троянской программы на мобильном устройстве
Рис. 1.9. Блок-схема хищения денежных средств с помощью троянской программы на мобильном устройстве (фишинговый сайт)
Рис. 1.10. Блок-схема хищения денежных средств через компрометацию системы банка
Российский рынок электронных денег демонстрирует устойчивый рост: по данным J’son & Partners Consulting, в первом полугодии 2014 г. объем платежей, проходящих через российские электронные платежные сервисы, вырос на 38 % по сравнению с тем же периодом прошлого года. Эксперты прогнозируют дальнейшее увеличение числа пользователей онлайн-кошельков, рост количества и размера транзакций. Это обусловлено целым рядом причин.
Рис. 1.11. Процесс обналичивания похищенных денежных средств
Во-первых, рост доли крупных платежей через электронные кошельки, таких как погашение кредитов, денежные переводы, платежи за ЖКУ и пр. Технологии онлайн-платежей становятся привычными для пользователей и доверие к ним растет.
Во-вторых, активно развивается онлайн-торговля: российский рынок интернет-коммерции — один из самых быстрорастущих в мире. Причем текущая экономическая ситуация в России может явиться и стимулирующим фактором для его дальнейшего развития. С одной стороны, многие компании сфокусируются на онлайн-реализации, чтобы снизить издержки: уже сейчас многие компании, чья продукция традиционно продавалась в обычных торговых сетях, активно продвигают собственные онлайн-площадки. С другой, покупатели будут более взвешенно подходить к выбору нужных товаров. Интернет-магазины и аукционы предоставляют широкие возможности для поиска наиболее экономичных вариантов, к которым можно также отнести получение скидок и участие в акциях. Так, 24 % онлайн-покупателей пользуются скидочными купонами. Онлайн-шопинг открывает и возможности покупок за рубежом: 40 % интернет-покупателей делали заказы в зарубежных магазинах.
Вместе с тем растет финансовая грамотность населения. Уже сейчас электронными деньгами при оплате интернет-покупок пользуется почти каждый четвертый покупатель из нашей страны.
Кроме того, существенное влияние на рост объемов интернет-коммерции оказывает развитие новых технологий. Около 85 % пользователей Интернета в России пользуются мобильными телефонами для выхода в Сеть, 38 % просматривают сайты интернет-магазинов с целью покупки товара, используя мобильные устройства (данные Synovate Comcon, OnLife, ноябрь 2014 г.).
Российские платежные сервисы предлагают приложения для всех типов мобильных устройств, через которые можно быстро и удобно оплатить покупки. Популярность смартфонов, позволяющих использовать возможности платежных приложений, быстро растет. По данным Synovate Comcon, 40 % жителей городов-миллионников являются владельцами этих гаджетов, в городах с населением от 100 000 человек аналогичный показатель достигает 32 %.
При этом жители некрупных городов активнее замещают свои телефоны более современными коммуникаторами: в 2014 г. число владельцев смартфонов выросло на 60 % по сравнению с 2013 г., в мегаполисах— на 40 % (данные Synovate Comcon, РосИндекс, 2014 г.).
Наконец, растет уровень проникновения Интернета, активно развиваются мобильные интернет-технологии. В 2014 г. доля пользователей, которые выходят в Сеть с помощью сотовых телефонов, выросла почти вдвое по сравнению с 2013 г.
Все эти факторы позволяют прогнозировать дальнейшее стабильное развитие рынка электронных денег. Кроме того, можно с уверенностью предположить, что в ближайшем будущем онлайн-торговля и электронные платежи все чаще будут производиться с использованием мобильных устройств. Следует ожидать значительного расширения ассортимента технологий и мобильных приложений, связанных с дистанционными продажами и платежами, а также совершенствования уже имеющихся.
1.3. Портрет пользователя электронных денег, потребительское поведение
Согласно результатам исследования Synovate Comcon, по состоянию на конец 2014 г. более 14 % всего населения России (от 16 до 54 лет) как минимум один раз в три месяца пользуется электронными кошельками. При этом среди активных интернет-пользователей, регулярно совершающих интернет-покупки, услугами электронных платежных систем пользуются 58 %.
Большинство пользователей электронных кошельков (47 %) живут в городах-миллионниках.
Самой многочисленной части пользователей (30 %) 25–34 года. У 55 % владельцев электронных кошельков высшее или неоконченное высшее образование.
Что же оплачивают пользователи электронными деньгами? Значительная часть владельцев электронных кошельков регулярно платит с их помощью за телекоммуникационные услуги: 53 % опрошенных сообщили, что пополняют баланс мобильного телефона, 28 % оплачивают домашний Интернет, 13 % — коммерческое телевидение. 36 % используют электронные деньги для оплаты покупок в интернет-магазинах и товаров по каталогам, 20 % оплачивают электронными деньгами онлайн-игры.
Существенное количество пользователей совершает через электронные кошельки крупные бытовые платежи, такие как оплата ЖКУ и погашение кредитов (по 14 % опрошенных). Денежные переводы и перевод средств на банковские счета совершают по 21 % владельцев электронных кошельков.
Отдельно стоит выделить сервис перевода денег между кошельками — его используют 23 % опрошенных. Эта возможность активно набирает популярность как легкий и быстрый способ передать деньги в любой удобный момент.
На российском рынке представлено несколько электронных платежных сервисов. Согласно данным опроса пользователей, при выборе определенного электронного кошелька главную роль играет доверие. Это наиболее важный атрибут имиджа любой марки электронных способов оплаты, сильнее всего влияющий на ее общую оценку. В то же время доверие — это собирательное понятие, состоящее в первую очередь из таких характеристик марки, как соответствие своим пользователям («для таких людей, как я»), намерение рекомендовать («я буду рекомендовать эту марку друзьям»), соотношение цены и качества услуг («предлагает оптимальное соотношение цены и качества услуг»), надежность и стабильность сервиса, безопасность платежей («обеспечивает максимальную безопасность и защищенность моих платежей»).
Если спросить пользователей напрямую, какой из перечисленных атрибутов для них важен при выборе электронного способа оплаты (по 10-балльной шкале), 73 % пользователей различных электронных платежных систем утверждают, что безопасность и защищенность платежей — это наиболее важный признак (оценки 9 и 10 высказыванию «обеспечивает максимальную безопасность и защищенность моих платежей»). Безопасность — это один из ключевых параметров, влияющих на общую оценку (входит в топ-10 атрибутов по влиянию на общую оценку).
Отсюда можно сделать вывод о том, что в категории электронных кошельков безопасность платежей должна быть превыше всего. При этом важно не только гарантировать защищенность и безопасность платежей при помощи электронного кошелька, но и реально ее обеспечивать, пресекая мошенничество и использование электронных кошельков незаконно.
1.4. Схемы мошенничества, способы информирования пользователей и методы профилактики
Мошеннические схемы в сфере электронных денег условно можно разделить на технические и «социальные» — рассчитанные на доверчивость пользователей.
Платежные сервисы совместно с ведущими отечественными и международными компаниями разрабатывают и внедряют алгоритмы предотвращения мошеннических операций с использованием электронных платежных средств. Помимо этого, они постоянно совершенствуют внутренние многоуровневые системы безопасности, позволяющие анализировать все операции в системе, выявлять подозрительные действия и оперативно принимать соответствующие меры. В частности, критериями определения подозрительных операций могут быть нетипичные признаки поведения электронного счета: другие IP-адреса, смена физического устройства, с которого происходит авторизация, нехарактерные транзакции для этого счета и пр.
Комплекс технических мер, внедряемый платежными сервисами для обеспечения безопасности электронных кошельков, минимизирует вероятность хищения средств с использованием уязвимостей сервиса.
Устройства владельцев электронных кошельков в этом плане гораздо более уязвимы, и платежные сервисы регулярно информируют клиентов о ряде правил, которые нужно соблюдать для обеспечения безопасности средств.
1.4.1. Вредоносное ПО
Ряд вредоносных программ, нацеленных на похищение паролей пользователей и получения доступа к электронным кошелькам, проникает на пользовательские компьютеры и мобильные устройства.
Вирусные программы для смартфонов могут перехватывать SMS-сообщения, так что под угрозу попадают все платежные приложения, где реализована функция платежей с помощью SMS-команд.
Единственные способы защиты от вредоносных программ — установить и регулярно обновлять антивирусное ПО, не скачивать программы из непроверенных источников, не запускать незнакомые приложения, загруженные из Интернета. О троянских программах и правилах безопасности осведомлено большинство пользователей электронных кошельков, но эта мошенническая схема до сих пор продолжает работать.
1.4.2. Фишинг
Не менее распространенная мошенническая схема — это хищение персональных данных с помощью фишинговых сайтов: клиент переходит по ссылке на поддельный сайт платежного сервиса, где ему предлагается ввести свои данные. Указав на таком сайте логин, пароль и любую другую конфиденциальную информацию, пользователь фактически предоставляет злоумышленникам доступ к своим средствам.
Чтобы отличить поддельный от оригинального сайта, достаточно внимательно посмотреть его название в адресной строке.
Оно обычно написано неправильно, с подменой одного или нескольких знаков. Все сайты или их разделы, на которых указывается конфиденциальная информация, используют безопасный протокол передачи данных https, защищенный от мошенников. При этом в адресной строке браузера присутствует символ «замок». Если браузер выдает предупреждение, что сертификату безопасности сайта нельзя доверять, пользователю необходимо немедленно покинуть этот сайт.
Для обеспечения безопасности электронных кошельков платежные сервисы внедрили ряд опций, таких как SMS-подтверждения платежей и других значимых действий с электронным кошельком, а также привязка электронного кошелька к e-mail. Используя эти сервисы, клиенты получают возможность в случае компрометации личных данных оперативно выявлять признаки попыток доступа к электронным средствам и принимать меры: смену пароля, обращение в службу безопасности платежного сервиса. Пароли для электронных кошельков должны быть уникальными (то есть не повторяться на других ресурсах) и достаточно сложными.
1.4.3. Методы, рассчитанные на доверие пользователей
По данным Synovate Comcon, для 70 % активных интернет-пользователей определяющим критерием выбора онлайн-магазина является выгодная стоимость товаров. Пользуясь стремлением покупателей сэкономить, злоумышленники создают поддельные сайты или группы в социальных сетях, предлагая товары по низкой цене и указывая в качестве средства оплаты электронные деньги. Оформляя предоплату на подобных ресурсах, покупатели рискуют как минимум получить некачественный товар, а то и остаться и без покупки, и без средств.
Не реже происходят случаи, когда фальшивые «продавцы» в телефонном разговоре предлагают покупателю создать и пополнить электронный кошелек. Далее, пользуясь неопытностью покупателя, провоцируют его сообщить пароль и таким образом получают доступ к средствам пользователя.
Существуют и так называемые методы социальной инженерии, когда злоумышленник связывается с владельцем электронного кошелька под видом сотрудника какой-либо организации — например, технического специалиста сотового оператора. Под различными предлогами (проверка корректности работы сервиса, подтверждение личности владельца для проведения транзакции и пр.) он может спровоцировать пользователя на компрометацию паролей — в телефонном разговоре, по SMS или e-mail.
В правилах безопасности платежных сервисов содержится предупреждение о том, что пользователь никому не должен сообщать пароли и одноразовые коды. То же самое напоминание, как правило, приходит в сервисных SMS-сообщениях от системы.
Относительно новый способ мошенничества появился с развитием сервиса выставления счетов между пользователями интернет-кошельков. Злоумышленник может выставить счет на сравнительно небольшую сумму, сопроводив его комментарием о том, что это оплата комиссии или сервисный сбор за какие-либо услуги. Такие поддельные счета легко определить по реквизитам отправителя — как правило, это незнакомое частное лицо.
Наконец, давно известные, но продолжающие работать поддельные розыгрыши ценных призов от имени известных компаний. Мошенники предлагают оплатить с помощью электронных денег «налог на выигрыш» или стоимость пересылки приза. Пользователям необходимо проверять информацию о подобных выигрышах, обращаясь за подтверждением к предполагаемому организатору.
Кроме того, не следует доверять различным лотереям и финансовым пирамидам, организованным в Интернете.
1.5. Распространенные виды мошенничества в сфере электронных денег
Как известно, электронные деньги как платежное средство, используемое при оплате товаров (услуг) и имеющее такую же ценность, как и настоящие деньги, появилось сравнительно недавно. Тем не менее электронные деньги сразу же обратили на себя пристальное внимание мошенников, поскольку имеют несколько явных преимуществ перед классическим мошенничеством с настоящими деньгами. Во-первых, завладение электронными деньгами происходит удаленно. Мошенник и его жертва могут находиться на расстоянии сотен и тысяч километров друг от друга. Во-вторых, система электронных денег сегодня дает преимущественно большую анонимность получателю денег. И, в-третьих, этими системами пользуются огромное количество технически безграмотных людей.
Наиболее популярными схемами мошенничества с использованием электронных денег являются:
• Фальшивые письма и фишинговые сайты. Основная цель фишинговых писем — заставить получателя перейти по ссылке на поддельный (фишинговый) сайт, где будут украдены учетные данные его электронного кошелька. Такие письма тщательно маскируют под официальное письмо той платежной системы, которой пользуется получатель. При переходе по ссылке в письме происходит попадание на поддельную страницу, сходную со страницей платежной системы. Но уже при вводе учетных данных профиля осуществляется передача логина и пароля мошенникам, которые в дальнейшем получат доступ к самому кошельку.
• «Волшебные кошельки» и другие пирамиды. На одном из многочисленных форумов помещается сообщение, в котором приводится список электронных кошельков (обычно три-семь штук) и настоятельно рекомендуется отправить $ 1 на каждый из них. Затем предлагается продублировать это сообщение и разместить его на более чем 200 форумах. При этом в списке номеров кошельков вместо последнего необходимо поставить свой номер. Далее приводится подробный расчет, как в течение двух-пяти месяцев на электронный кошелек попадет многократно умноженная сумма. Эта мошенническая схема преследует одну цель — забрать деньги всех участников сразу. В эту категорию также входят письма со следующим содержанием: «Я работал в системе (указывается платежная система) и случайно узнал, что существуют специальные кошельки. Если на них послать некоторую сумму денег, то они возвращают деньги отправителю в трехкратном размере. Меня несправедливо уволили, и чтобы отомстить им, я даю номер одного из кошельков». Главная их цель и итог — незаконный увод денег.
• Генераторы. Мошенники предлагают программное обеспечение, которое, по их утверждению, позволит увеличить сумму на кошельке в n раз и без уплаты взносов. После установки такой программы происходит потеря всех денег, находившихся на кошельке.
• Компьютерный шантаж. Данный тип мошенничества зачастую происходит в результате посещения сайта, который заражен вредоносным программным обеспечением. Пользователь включает свой компьютер и видит сообщение-окно со следующим содержанием: «Не пытайтесь убрать программу с вашего компьютера, так как можете его повредить. Чтобы возобновить его работу, отправьте SMS **** со следующем содержанием ******** два раза, и мы вышлем вам код доступа для разблокировки системы». Очевидно, что при отправке SMS с мобильного счета абонента произойдет только списание существенной суммы. Встречаются случаи, когда вредоносное программное обеспечение, проникая в систему, осуществляет шифрование файлов определенного расширения (doc, docx, pdf, файлы электронной почты, файлы базы 1C, MySQL, MSSQL и др.). Дальнейшая цель — выманить у пострадавшего денежные средства в обмен на ключ для дешифрования файлов.
• Поддельные обменные пункты. Продавцы утверждают, что с их помощью можно обменять WMZ на WMR (или наоборот) по выгодному курсу и без уплаты каких-либо процентов. Никакого обмена не происходит: зачастую мошенники указывают, что на сайте проводятся технические работы и требуется время на осуществление обмена. Но в итоге ничего не происходит и жертва остается ни с чем.
Глава 2
Электронные платежи: риск возможного использования для легализации преступных доходов
Прежде чем приступить к рассмотрению проблематики, напомним о ее актуальности в цифрах — согласно данным Управления ООН по наркотикам и преступности, объем незаконной деятельности, включая чисто экономические преступления, ежегодно составляет порядка $2,1 трлн. Это примерно 3,6 % мирового ВВП, из которых ежегодно «отмывается» примерно $1,6 трлн[1]. По оценкам Банка России, в 2012 г. объем вывода капитала за рубеж по сомнительным основаниям составил $39 млрд, за девять месяцев 2013 г. — около $22 млрд[2].
2.1. Общая модель отмывания денег
Процедура легализации преступных доходов (другими словами — отмывание денег) имеет решающее значение для деятельности практически всех форм транснациональной и организованной преступности. Это функция присуща практически всем действиям по созданию прибыли преступными сообществами[3]. Она способствует коррупции, деформирует процесс принятия экономических решений, усугубляет социальные проблемы и подрывает финансовые институты. Банковская система способна быстро и в любом объеме перемещать финансовые средства практически в любую точку мира и поэтому стала весьма привлекательна для криминальных структур и, как следствие, особенно уязвима.
Одними из основных факторов, способствующих беспрепятственному осуществлению легализации преступных доходов, являются:
— несовершенство механизмов контроля и мониторинга за деятельностью финансовых институтов, несоблюдение международных стандартов регулирования финансовой деятельности, разработанных специализированными международными организациями;
— распространение коррупции среди государственных исполнительных, правоохранительных и судебных органов власти;
— невозможность или ограничение возможности обмена финансовой информацией с иностранными правоохранительными органами.
Различные меры экономического характера, призванные исключить или ограничить возможность использования преступниками приобретенных незаконными путями доходов, представляют собой важнейший компонент программ по борьбе с преступностью.
Одна из самых распространенных (встречающаяся как в отечественных, так и в зарубежных источниках) схема отмывания денег включает три стадии: размещение (placement), расслоение (layering) и интеграция (integration). Указанные стадии могут осуществляться одновременно или частично накладываться друг на друга — это зависит от разработанного механизма легализации и от требований, предъявляемых преступной организацией.
На стадии размещения (placement) необходимо изменить форму денежных средств с целью сокрытия их нелегального происхождения. Например, поступления от незаконной торговли наркотиками чаще всего представляют собой мелкие купюры. Конвертирование их в более крупные купюры, чеки или иные финансовые документы часто производится с помощью предприятий, имеющих дело с большими суммами наличных денег (рестораны, гостиницы, казино, мойки машин), используемых в качестве прикрытия. Ответственным сотрудникам финансовых учреждений, в чьи обязанности входит осуществление мер, направленных на противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД/ФТ), необходимо хорошо представлять, что легче всего выявлять противозаконные операции на стадии размещения. В связи с этим в кредитных организациях на вооружении риск-подразделений, служб внутреннего контроля и подразделений (отдельных сотрудников), занимающихся ПОД/ФТ, должны быть необходимые методики для выявления источников рисков, связанных с отмыванием денег.
На стадии расслоения (layering) лица, отмывающие деньги, стараются еще больше замести следы, по которым их могут обнаружить. Для этого одни сложные финансовые сделки наслаиваются на другие. Например, для отмывания больших денежных сумм создаются фиктивные компании в странах, отличающихся строгими законами о банковской тайне или слабыми механизмами обеспечения соблюдения законодательных положений, касающихся отмывания денег. Затем «грязные» деньги переводятся из одной фиктивной компании в другую до тех пор, пока не приобретут видимость законно полученных средств.
Вышеупомянутые операции должны быть замаскированы так, чтобы в конечном счете раствориться в совершаемых каждый день законных сделках. Общепринятыми техническими приемами здесь служат различные варианты выдачи «обратных ссуд»[4] и «двойного выставления счет-фактур»[5].
Другие технические приемы наслоения связаны с покупкой дорогостоящих предметов (ценных бумаг, легковых автомобилей, самолетов и яхт), которые часто записываются на имя другого человека (с целью еще больше отдалить преступника от нелегально полученных средств). В последнее время на данной стадии стали активно использоваться технологии ДБО и системы, осуществляющие электронные платежи (рис. 2.1). Отличие заключается в том, что при ДБО клиентов требуется открытие банковского счета, а электронные платежи могут совершаться без открытия банковского счета (например, системы мобильных платежей позволяют производить платежи со счета мобильного телефона).
Рис. 2.1. Обобщенная схема отмывания денег с использованием технологии ДБО и систем, осуществляющих электронные платежи
На стадии интеграции (integration) преступники пытаются трансформировать денежные доходы, полученные от противозаконной деятельности, в средства, имеющие внешне легальное происхождение (деньги обычно вкладываются в бизнес, недвижимость, покупку драгоценностей и др.).
Поскольку процесс отмывания денег в определенной степени полагается на существующие финансовые системы и операции, то выбор преступниками конкретных механизмов ограничивается лишь их изобретательностью. Деньги отмываются через валютные и фондовые биржи, торговцев золотом, казино, компании по продаже автомобилей, страховые и торговые компании. Частные и офшорные банки, подставные корпорации, зоны свободной торговли, электронные системы и торгово-финансовые учреждения — все эти структуры могут скрывать незаконную деятельность.
Операции, связанные с отмыванием денег, способны значительно увеличить риск потери репутации для финансовых учреждений, негативно влиять на курсы валют и процентные ставки. В конечном счете эти деньги поступают в глобальные финансовые системы, где могут подрывать экономику и валюту отдельных стран, создавая серьезную угрозу для национальной и международной безопасности. В результате происходит подрыв целостности финансовых рынков, при котором финансовые институты, полагающиеся на доходы от преступных деяний, сталкиваются с дополнительными трудностями, стремясь адекватно управлять своими активами, обязательствами и операциями. Например, крупные суммы отмытых денег могут поступить в финансовое учреждение, но затем внезапно бесследно исчезнуть через электронные переводы в ответ на такие нерыночные факторы, как операции правоохранительных органов. Это может привести к проблемам с ликвидностью и перегрузкам в банках.
В некоторых странах с формирующейся рыночной экономикой незаконные доходы могут намного превосходить государственные бюджеты, что приводит к утрате правительственного контроля над экономической политикой. В ряде случаев огромная база активов, накопленная за счет отмывания денег, может использоваться для спекулятивной скупки рынков или даже целой экономики небольшой страны.
Операции, связанные с легализацией незаконно полученных доходов, могут также отрицательно влиять на валюты и процентные ставки, поскольку лица, отмывающие свои доходы, реинвестируют средства в те области, где менее вероятно раскрытие их схем, а не в те, где выше норма отдачи.
Операции, направленные на отмывание денег, снижают налоговые доходы правительства (тем самым наносят косвенный ущерб честным налогоплательщикам). Как правило, данная потеря доходов означает более высокие ставки налогообложения по сравнению с нормальной ситуацией, при которой преступные доходы были бы законными и облагались налогами. Следует отметить, что отмывание денег может проходить в форме приватизации. Преступники располагают финансовыми средствами, позволяющими давать за предприятия, прежде находившиеся в государственной собственности, более высокие цены, чем легальные покупатели. Приватизационные инициативы часто бывают экономически выгодными, они могут также служить механизмом отмывания денег.
Для стран, участвующих в отмывании денег, возникает риск потери репутации. Его значимость возрастает в условиях современной глобальной экономики. Различные финансовые преступления (мошенничество в крупных размерах, хищения посредством операций с ценными бумагами на основе внутренней информации о деятельности компании-эмитента и др.) подрывают доверие к рынкам, а прибыль перестает быть показателем экономических возможностей. Создающаяся вследствие этого негативная репутация препятствует устойчивому росту экономики и одновременно привлекает международные преступные организации с сомнительной репутацией, преследующие краткосрочные цели. Для восстановления финансовой репутации страны необходимо вложение значительных государственных ресурсов, что можно было бы осуществить путем надлежащего контроля над отмыванием денег.
Рост количества операций, направленных на отмывание денег, ведет к увеличению государственных расходов на правоохранительные органы (создание специализированных подразделений) и здравоохранение (например, лечение наркотической зависимости) для преодоления возникающих серьезных последствий.
Большинству финансовых транзакций свойственен некоторый след, однозначно привязывающий сумму к конкретной персоне. Преступники избегают использовать традиционные платежные системы типа чеков, кредитных карточек и т. д. именно в силу наличия этого следа. Они предпочитают использовать наличность (так как это анонимно). Физическая наличность имеет весьма существенные неудобства, связанные с большим объемом и массой[6], поэтому лица, специализирующиеся на отмывании денег, стараются использовать различные способы перемещения денежных средств, где можно избежать жестких требований к идентификации. И системы электронных платежей стали для них в какой-то степени просто находкой.
2.2. Электронные платежи
За последние несколько лет системы электронных платежей (в том числе проводимые с помощью планшетов и смартфонов[7]) получили широкое распространение в развитых европейских и американских странах. В настоящее время данная технология расчетов стала активно использоваться в Африке и Азии. В своей основе электронные платежи базируются на платежных системах, поддерживающих электронную передачу наличных средств. Передача наличности в системах этого класса может осуществляться с использованием глобальной сети Интернет или с помощью физического перемещения высокономинальных смарт-карт с записанным значением наличной суммы денег. Новые технологии оплаты предназначены в основном для замены наличных денег в розничной торговле, а также в сделках уровня потребителя.
В силу эффективности и простоты, с которой они заменяют наличность, системы электронных платежей несут в себе и новые риски, связанные с правовым обеспечением сделок. В результате возникают проблемы, которые должны быть разрешены в процессе развития систем этого класса, позволяющих гарантировать обнаружение и предотвращение проведения операций, направленных на легализацию преступных доходов.
Риски возможного использования систем электронных платежей для легализации преступных доходов — тема не новая. Еще в сентябре 1995 г. FinCEN[8] провело семинар по данной проблеме в Юридическом институте города Нью-Йорк. Далее в мае 1996 г. сотрудники FinCEN совместно с Национальным университетом обороны провели масштабные учения по отработке действий, связанных с выявлением незаконных операций по отмыванию денег, проводимых с использованием систем электронных платежей. В ходе этих учений отрабатывался ряд возможных сценариев использования систем электронных платежей для совершения незаконных операций.
Особенностям электронной оплаты также было уделено пристальное внимание со стороны Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ[9]), которая является межправительственным органом. Мандат ФАТФ предусматривает установление стандартов и содействие эффективному применению правовых, регулирующих и оперативных мер по борьбе с отмыванием денег, финансированием терроризма и финансированием распространения оружия массового уничтожения и иными связанными угрозами целостности международной финансовой системы. В сотрудничестве с другими заинтересованными международными участниками ФАТФ также работает над определением уязвимых мест на национальном уровне с целью защиты международной финансовой системы от злоупотреблений.
Рекомендации ФАТФ устанавливают комплексную и последовательную структуры мер, которые странам следует применять для противодействия отмыванию денег и финансированию терроризма, а также финансированию распространения оружия массового уничтожения. Страны имеют различные правовые, административные и оперативные структуры и различные финансовые системы, в связи с чем они не могут принимать идентичные меры по противодействию этим угрозам. Странам следует адаптировать к своим конкретным условиям Рекомендации ФАТФ, (представляющие собой международные стандарты) и на их основе разработать меры для того, чтобы:
— определять риски, связанные с недостатками в организации мер по противодействию легализации преступных доходов, разрабатывать единую политику по выполнению принятых мер и осуществлять координацию внутри страны между различными организациями;
— преследовать отмывание денег, финансирование терроризма и финансирование распространения оружия массового уничтожения;
— применять превентивные меры для финансового сектора и других установленных секторов;
— устанавливать полномочия и ответственность компетентных органов (например, следственных, правоохранительных и надзорных органов) и иные институциональные меры;
— укреплять прозрачность и доступность информации о бенефициарной собственности юридических лиц и образований;
— обеспечивать международное сотрудничество.
Первые 40 рекомендаций ФАТФ были разработаны в 1990 г. как инициатива по защите финансовых систем от лиц, отмывающих денежные средства, вырученные от продажи наркотиков. Затем они изменялись, дополнялись и в настоящее время содержат положения, имеющие прямое отношение к новым технологиям и электронным платежам (Рекомендации 15, 16). Так, в частности, в Рекомендации 15 упоминается, что странам и финансовым учреждениям необходимо определять и оценивать риски отмывания денег или финансирования терроризма, которые могут возникать в связи с разработкой новых продуктов. В Рекомендации 16 указано, что странам необходимо обеспечить, чтобы финансовые учреждения включали требуемую и точную информацию об отправителе и получателе в электронный перевод и сопровождающие сообщения, а также чтобы эта информация сопровождала электронный перевод или передаваемое сообщение по всей цепочке платежа. Данная рекомендация была разработана с целью предотвращения свободного доступа террористов и других преступников к системам, осуществляющим электронные платежи. В частности, она призвана обеспечить, чтобы основная информация об отправителе и получателе электронных переводов была незамедлительно доступна:
— соответствующим правоохранительным органам и (или) органам прокуратуры для использования ими при выявлении, расследовании деятельности террористов, их преследовании, отслеживании их активов;
— подразделениям финансовой разведки для проведения анализа подозрительной или необычной деятельности отдельных лиц и организаций;
— отправляющим, транзитным и получающим финансовым учреждениям для облегчения идентификации и направления сообщений о подозрительных операциях (сделках), а также для выполнения требований предпринять действия по замораживанию и соблюдению запретов на проведение операций (сделок) с установленными лицами и организациями в соответствии с обязательствами, изложенными в соответствующих резолюциях Совета Безопасности ООН (таких как резолюция 1267 (1999) и резолюциях в ее развитие и резолюция 1373 (2001), относящихся к предупреждению и предотвращению терроризма и финансирования терроризма).
Рекомендация 16 применяется к трансграничным и внутренним электронным переводам, в том числе серийным платежам[10] и платежам с маршрутной инструкцией[11].
Классические кредитные или дебетовые карты позволяют их владельцам купить товары и услуги без использования наличных денег, но при этом расчеты проходят при посредничестве финансового учреждения или эмитента кредитной карты (что позволяет идентифицировать владельцев карт). Основная же характеристика многих современных систем электронных платежей связана с устранением регулирующего третьего лица (например, банка) при передаче денежных средств между двумя (или более) объектами. Возможность передачи наличности через информационные сети без посредничества значительно понижает затраты на совершение сделок и создает серьезную конкуренцию коммерческим банкам.
Глобальные возможности подобных систем и тот факт, что передача наличности может иметь место с высокой скоростью и степенью анонимности, которая препятствует надлежащему контролю правительственными структурами, является серьезным поводом для беспокойства правительств ряда стран.
В анонимности платежных систем увидели угрозу после трагических событий в США 11 сентября 2001 г. В ходе проведенного тщательного расследования выяснилось, что «Аль-Каида» использовала электронные платежи для финансирования терактов[12]. Уже через несколько недель в США был принят Патриотический акт (закон, направленный на пресечение терроризма, который в числе прочего предложил новые инструменты борьбы с отмыванием денег). Финансовые учреждения обязали ставить в известность государство обо всех подозрительных операциях. Власти получили право запрашивать информацию о любом клиенте платежной системы. Аналогичные изменения произошли и в Европе[13].
2.3. Использование систем электронных платежей для отмывания денег
По своей природе системы электронных платежей имеют потенциал, позволяющий решить одну из самых серьезных проблем для теневого бизнеса — физическое перемещение больших количеств наличности.
Глобализация многих существующих систем электронных платежей дает возможность преступникам использовать особенности законодательства, действующего в каждом отдельно взятом государстве, а также национальные различия в стандартах защиты и правилах надзора, чтобы скрыть движение незаконных средств.
Возможному использованию систем электронных платежей для легализации преступных доходов было посвящено исследование, проведенное экспертами корпорации RAND[14].
Исследования позволили выявить множество особенностей в процессе осуществления операций в системах электронных платежей, которые правоохранительные органы должны внимательно изучить. Среди них:
— отказ от посредничества;
— банк или небанковское учреждение в качестве эмитента карт;
— операционная анонимность.
Рассмотрим каждую из них подробнее.
Отказ от посредничества. Исторически правоохранительная деятельность и организации, в чьи функции входит регулирование банковской деятельности, положились на посредничество кредитных организаций (и других регулируемых финансовых учреждений), чтобы обеспечить «точки перехвата», через которые денежные средства должны проходить и где возможно получить полный отчет об их происхождении. Отказ от посредничества фактически убирает из процесса перевода денежных средств от одного участника расчетов другому поднадзорные организации и тем самым дает возможность преступникам избежать традиционных методов отслеживания перемещения денежных средств.
Банк и небанковские учреждения в качестве эмитента карт. Банки и небанковские учреждения часто находятся в разном правовом поле и поэтому имеют различные правила для выполнения электронных платежей. В настоящее время в нескольких странах такие различия уже имеют место.
Операционная анонимность. В некоторых системах электронных платежей, которые находятся на стадии становления, точка введения средств в систему непрозрачна и точно определить плательщика практически невозможно.
Далее рассмотрим обобщенные примеры по использованию систем электронных платежей для отмывания денежных средств.
На рисунке 2.2 приведена схема продажи наркотиков в обмен на одноразовые карточки номиналом до $100 000. Эти карточки собираются торговцем наркотиками и реализуются через подставные организации (как правило, компании, специализирующиеся на оказании различных услуг или предприятия розничной торговли). Эти организации передают данные по карточкам со своих терминалов в банк, затем переводят деньги на счет лица, которое занимается легализацией преступных доходов. Компании и предприятия, участвующие в таких схемах, получают определенную комиссию за проведение операций от организатора отмывочной схемы.
Рис. 2.2. Схема легализации денежных средств от продажи наркотиков, с использованием одноразовых карт номиналом до $100
Есть и другие способы реализации смарт-карт. Многие платежные системы позволяют с помощью Интернета переводить смарт-карты низкого номинала в смарт-карты высокого номинала, если в дальнейшем перед преступниками стоит задача передачи денежных средств, размещенных на смарт-картах. На рисунке 2.3 приведены два основных способа:
1) вывоз в другую страну (так как смарт-карты имеют небольшие размеры, их можно достаточно легко и надежно спрятать);
2) передача с помощью мобильного телефона (так как многие современные мобильные телефоны способны взаимодействовать с различными сервисами, выполняющими подобные операции).
Рис. 2.3. Схема передачи денежных средств с использованием смарт-карт высокого номинала
На рисунке 2.4 представлена схема легализации преступных доходов с использованием различных благотворительных фондов. Фонды, задействованные в подобных схемах, специально создаются совершенно для других целей, но бывают случаи, когда подобные фонды осуществляют параллельно и благотворительную деятельность. В данном случае для правоохранительных органов задача существенно осложняется, однако тщательный анализ поступающих денежных переводов и дальнейшее использование фондом денежных средств может значительно облегчить процесс выявления истинных целей создания таких фондов.
Рис. 2.4. Схема легализации денежных средств с использованием благотворительного фонда
2.4. Уроки Liberty Reserve
В конце мая 2013 г. прокуратура Нью-Йорка объявила о приостановке деятельности платежной системы Liberty Reserve[15]. Основанная в 2006 г. в Коста-Рике платежная система Liberty Reserve через собственную виртуальную валюту позволяла пользователям анонимно переводить денежные средства в любую точку мира за небольшую комиссию. Через систему прошло 55 млн платежей на сумму $6 млрд.
У Liberty Reserve был почти 1 млн клиентов из разных стран мира. По данным прокуроров, преступные группировки, пользовавшиеся услугами Liberty Reserve, базировались во Вьетнаме, Нигерии, Гонконге, Китае и США. Компания была «любимым банком преступного мира», говорится в обвинительном документе. Мошенников прежде всего привлекала анонимность. Для успешной регистрации, а затем проведения денежных операций было достаточно указать адрес электронной почты. Например, один из секретных агентов (как отметил прокурор Южного округа Нью-Йорка Прит Бхарара) зарегистрировался в Liberty Reserve под именем Джо Фальшивый (Joe Bogus) и дал столь же «красноречивое» имя своему счету «украсть все» (to steal everything), а свой адрес указал следующим образом: «123, Поддельная Главная Улица» в «Полностью Выдуманном Городе, США» — и его зарегистрировали[16].
Американские правоохранительные органы назвали Liberty Reserve «крупнейшим в истории отмыванием преступных денег посредством Интернета». Раньше мошенники, отмывавшие в Интернете деньги, были уверены, что здесь действует то же правило, что и в Лас-Вегасе: «То, что случается в Интернете, не выходит за пределы Интернета». Теперь так уже не скажешь…
Известная российская компания Group-IB провела свое расследование деятельности Liberty Reserve[17]. Так, по информации сотрудников компании Group-IB клиент мог сохранить инкогнито, даже перечисляя деньги из респектабельной системы вроде WebMoney, которая проверяет своих пользователей. Клиент также мог без проблем купить легально оформленный в таких системах кошелек (так называемый аттестат[18]). В аттестате могли быть данные из украденных документов, но необязательно, так как существуют сервисы по продаже паспортных данных, которые честно куплены у владельцев документов. Людей, добровольно предоставляющих свои данные, называют «дропами» или «мулами» (их данные обычно используются для проведения сделок, приема товаров или банковских переводов, обналички и т. п.). У «дроповодов» можно было купить и электронный кошелек, привязанный к реальному банковскому счету с пластиковой картой, и с купленного счета осуществлять безналичные банковские проводки в ту же Liberty Reserve.
Liberty Reserve принимала площадки, которые ни один банк или процессинг не подключит: финансовые пирамиды, HYIP-фонды[19], продавцов ложных антивирусов и вредоносных кодов, распространителей мошеннических SMS-подписок, магазины краденых кредиток, сканов паспортов и т. п.
Американские власти утверждают, что целевой аудиторией Liberty Reserve были главным образом наркоторговцы, нелегальные порнографы, кардеры, хакеры, создатели финансовых пирамид, замаскированных под инвестфонды, и их клиенты, а также террористы.
Напомним, что ранее аналогичный случай произошел с платежной системой компании E-gold. В отличие от современных электронных платежных систем E-gold была построена не на денежных единицах, привязанных к доллару или другой валюте. Вместо этого пользователям предлагалось покупать золото или другие драгоценные металлы (серебро, платину и палладий), находящиеся на хранении у компании E-gold Ltd. На пике существования система проводила транзакции на $2 млрд в год[20].
Деятельность E-gold привлекала внимание американских властей в 2005 г., в 2007-м владельцам сервиса были предъявлены обвинения в обслуживании создателей мошеннических инвестиционных проектов и других преступных групп.
Так, в частности, компании E-gold и ее руководителям были предъявлены следующие нарушения:
— статья 18 Свода законов США, раздел 1956 (Преступный сговор с целью отмывания денег);
— статья 18 Свода законов США, раздел 371 (Преступный сговор);
— статья 18 Свода законов США, раздел 1960 (Незаконные операции по переводу денежных средств);
— статья 26-1002 Свода законов округа Колумбия (Нелицензионная деятельность по осуществлению денежных переводов);
— статья 18 Свода законов США, раздел 2 (Пособничество, подстрекательство и соучастие в преступлении);
— статья 18 Свода законов США, раздел 982 (а) (1) (Конфискация в уголовном порядке)[21].
Спустя год генеральный директор компании Дуглас Л. Джексон признался в совершении финансовых операций без лицензии и отмывании денег. Приговор был вынесен в 2008 г. Дуглас Л. Джексон мог получить тюремный срок до 20 лет и штраф $500 000 только за участие в операциях по отмыванию, а также пять лет тюрьмы и штраф $25 000 за работу без лицензии. Однако ему присудили всего три года условного срока (включая шесть месяцев домашнего ареста), 300 часов общественных работ и штраф $200[22].
Достаточно показательны были слова начальника отдела уголовных расследований Налоговой службы США (1RS) Ричарда Вебера, который сказал, что «мы входим в виртуальную эпоху отмывания денег — если бы Аль Капоне был жив, он бы прятал деньги именно так»[23].
Многие эксперты в области применения систем электронных денег сходятся во мнении, что при рассмотрении специфики функционирования подобных систем с точки зрения противодействия отмыванию денег необходимо помнить, что деятельность по противодействию легализации доходов, полученных преступным путем, и финансированию терроризма является, скорее, вспомогательной. Необходимость в ней возникает не из-за «врожденных» рисков, характерных для финансовых потоков, а из-за совершения преступлений, из которых извлекается прибыль. Эта прибыль может быть направлена в том числе на террористические цели.
В условиях, когда в обороте присутствуют наличные, являющиеся абсолютно анонимными, тотальный контроль не может являться самоцелью. Подразделения финансовых разведок государств понимают это, а потому акцент делают скорее на анализе транзакций, нежели на сборе максимального объема данных о субъектах. Системы электронных денег, в свою очередь, обладают возможностями по выявлению подозрительных транзакций, а также, при необходимости, фиксированию достаточной для проведения оперативно-розыскных мероприятий информации.
Отметим еще одну особенность сегодняшнего времени — значительное ослабление режима сохранения банковской тайны в рамках решения задач по противодействию отмыванию денег, финансированию терроризма и финансированию распространения оружия массового уничтожения. Согласиться с таким подходом пришлось многим странам, включая Швейцарию, где традиционно действовал порядок максимального сохранения конфиденциальных сведений, составляющих банковскую тайну. Законодательство Швейцарии не содержит определения банковской тайны и перечня информации, подлежащей охране банком. Банковская тайна охватывается статьей 13 Конституции Швейцарии, защищающей право всех лиц на уважение тайны частной и семейной жизни. Эта категория включает в себя и охрану тайны источников доходов и происхождения активов, за исключением случаев, которым предшествовало совершение преступления[24].
В банковской и судебной практике банковская тайна понимается как профессиональная обязанность банкира поддерживать строжайший режим конфиденциальности в отношении любой информации о личных и финансовых обстоятельствах клиента и некоторых третьих лиц, если она была получена в ходе осуществления им профессиональной деятельности. В статье 47 Закона Швейцарии от 8 ноября 1934 г. «О банках и сберегательных кассах» (с изменениями) для лица, раскрывшего банковскую тайну, доверенную ему или полученную им как чиновником, работником, поверенным, арбитражным управляющим, должностным лицом банка, представителем Комитета по банкам, работником аудиторской компании или лица, пытающегося вовлечь третьих лиц в нарушение банковской тайны, предусмотрена уголовная ответственность в виде лишения свободы на срок до шести месяцев или штрафа на сумму не более 50 000 швейцарских франков. Носителям банковской тайны запрещается даже раскрывать информацию о том, что они обладают банковской тайной. Закон также устанавливает обязанность хранить банковскую тайну даже после прекращения трудового или иного договора, при этом срок действия такой обязанности не устанавливается, из чего можно сделать вывод о ее действии в течение всей жизни ее носителя[25].
На федеральном уровне в Швейцарии действует Закон от 10 декабря 1997 г. «О борьбе с отмыванием денег и финансированием терроризма в финансовом секторе» (далее — Закон о борьбе с отмыванием денег), который в 2009 г. был приведен в соответствии с Рекомендациями ФАТФ. Учитывая Рекомендацию № 4 (банковская тайна не должна влиять на применение Рекомендаций ФАТФ), Рекомендацию № 13 (обязанность банка сообщать уполномоченному органу о совершении соответствующих правонарушений), Рекомендацию № 36 (взаимная правовая помощь, не зависящая от ограничений, связанных с банковской тайной) федеральный закон налагает на финансового посредника ряд обязанностей. Так, в частности, он должен незамедлительно направить уведомление в уполномоченный орган[26], если знает или имеет разумные основания полагать, что финансовая операция связана с совершением преступлений, предусмотренных статьями 260ter[27] и 305bis[28] Уголовного кодекса Швейцарии[29]. Также в случае, если активы получены в результате совершения фелонии[30], находятся в распоряжении организованной преступной группировки или используются для финансирования терроризма (статья 260 quinquies Уголовного кодекса Швейцарии).
В соответствии со статьей 10 Закона о борьбе с отмыванием денег финансовый посредник обязан заморозить активы на счетах клиента, если они связаны с подозрительной деятельностью. При этом снять ограничение финансовый посредник имеет право только после получения на то прямой санкции соответствующих органов следствия, но не позднее чем через пять рабочих дней.
В течение времени, когда счета клиента заблокированы в соответствии со статьей 10 Закона о борьбе с отмыванием денег финансовый посредник не имеет права сообщать ему или третьим лицам о направлении отчета в уполномоченный орган. Этим же законом снимается ответственность с финансового посредника в связи с нарушением договорных обязательств или режима тайны в деловых отношениях и коммерческой тайны при направлении им уведомления в уполномоченный орган.
После скандала со швейцарским банком USB (банк заплатил штраф € 780 млн и выдал информацию о 300 гражданах США, скрывавших свои доходы для целей неуплаты налогов на родине, Службе внутренних доходов США[31]) Швейцария взяла курс на имплементацию статьи 26 Модельной конвенции ОЭСР о налогообложении дохода и капитала[32]. 13 марта 2009 г. Федеральный совет заявил, что эта норма будет воспринята Швейцарией и станет основанием представления информации при условии подачи конкретного и обоснованного заявления. Однако существует точка зрения, что Швейцария всегда умела грамотно защищать свои интересы и балансировать между требованиями, в частности, банкиров и зарубежных политиков, поэтому процесс пересмотра двухсторонних договоров об избежании двойного налогообложения может затянуться. Хотя соответствующие поправки уже были внесены 24 сентября 2011 г. в двусторонний договор между Швейцарией и Россией, а также еще ранее с Германией и Великобританией[33].
Характерно, что глобальный тренд в мировой политике по борьбе с банковской тайной, по всей видимости, отразился и на рассматриваемой статье Конвенции. Так, в пункте 3 статьи 26 Конвенции устанавливается перечень охраняемых национальным законодательством сведений, не подлежащих раскрытию в соответствии с Конвенцией. К ним относятся: торговая, предпринимательская, производственная, коммерческая или профессиональная тайны или ноу-хау, раскрытие информации даже ограничено при нарушении в таком случае публичного порядка, но банковская тайна в этом списке не упомянута. При этом сами разработчики Конвенции утверждают, что исходили из того, что никакой режим конфиденциальности информации, в том числе банковская тайна, не может быть основанием для непредставления информации «ответ на запрос».
Стоит также отметить, что иностранные налоговые органы имеют право запрашивать соответствующую информацию у банков, последние не вправе раскрывать национальным налоговым органам Швейцарии информацию о финансовом состоянии, коммерческой деятельности своего клиента, полученную в ходе проверки его кредитоспособности.
2.5. Выводы
В заключение приведем некоторые выводы:
• активное внедрение различных систем расчетов с использованием электронных платежей сопровождается появлением новых источников рисков, связанных с недостаточным уровнем обеспечения информационной безопасности на всех участках информационного контура, который формируется в процессе выполнения расчетов между участниками сделки;
• в условиях глобального характера рисков использования электронных платежей необходимо учитывать, что существующая правоприменительная практика не всегда может эффективно решать вопросы, связанные с предотвращением использования систем электронных платежей для отмывания денег — необходимо широкое сотрудничество и совместные действия правительства и разработчиков систем электронных платежей, а также правительств ведущих государств с тем, чтобы перекрыть каналы легализации незаконных финансовых средств с использованием систем электронных платежей;
• сотрудничество в области стандартов (которые регулируют прозрачность) и активный контроль за возможной эксплуатацией выявленных уязвимостей в интересах преступных группировок могут стать залогом успешной защиты систем электронной оплаты от использования в схемах, направленных на отмывание денег, финансирование терроризма и финансирование распространения оружия массового уничтожения;
• проблема отмывания денег с использованием систем электронных платежей должна решаться на международном уровне. Эффективная правоприменительная деятельность требуется, чтобы национальные правительства сотрудничали в урегулировании основных правил создания систем электронных платежей и операций с их применением;
• система ПОД/ФТ, включая мероприятия в отношении усиления контроля за использованием электронных платежей, должна быть ориентирована прежде всего на превентивное реагирование — предупреждение и недопущение проникновения преступных доходов как в финансовый сектор, так и в экономику страны в целом.
Глава 3
Использование современных форм платежей для легализации преступных доходов и организация противодействия
Современные условия конкуренции в сфере оказания финансовых, в частности банковских, услуг обусловливают интенсивное внедрение технологий дистанционного банковского обслуживания (ДБО) или, используя более общее понятие, — технологий электронного банкинга (ТЭБ). Практически все кредитные организации внедряют все новые варианты ДБО, причем ни одна из организаций, внедривших какую-либо технологию такого рода, не останавливается на достигнутом. По данным, получаемым Банком России в результате проведения сплошных анкетирований кредитных организаций по тематике электронного банкинга, если пять лет назад большинство этих организаций использовали в среднем одну-две системы ДБО, то впоследствии пик распределения количества различных систем электронного банкинга (СЭБ) пришелся на две-четыре одновременно используемые системы, а последнее по времени анкетирование (в 2013 г.) показало, что наиболее часто встречаются кредитные организации, задействующие от трех до пяти каналов ДБО. Лидеры же в данной области, то есть наиболее высокотехнологичные из них умудряются одновременно применять восемь-десять СЭБ, таких как интернет-банкинг для юридических и физических лиц (с вариантами), интернет-трейдинг и дилинг, виды мобильного банкинга, традиционные системы типа «Клиент-банк», обслуживая также площадки интернет-торговли, биржи и т. д.
Приведенные данные свидетельствуют о том, что имеет место однонаправленный процесс перехода банковской деятельности в так называемое виртуальное пространство (или, иначе, киберпространство), а значит, тем самым подтверждается справедливость слогана «Не будет банкинга, кроме электронного банкинга, а мобильный банкинг — предел его»[34]. Этому, кстати, способствует и ориентация Министерства финансов России на перевод крупных платежей в упомянутое киберпространство безналичных карточных операций. Вместе с тем в этом пространстве наряду с легитимными клиентами высокотехнологичных кредитных организаций стали активно действовать и преступные группировки, в том числе межрегиональные и международные, равно как и отдельные лица, характеризуемые «криминальным мышлением». Вследствие этого негативного явления практически каждая СЭБ, формирующая своего рода «виртуальные ворота» в банк, превратилась в объект виртуальных атак на банки и их клиентов, приводящих к вполне реальным финансовым потерям, в совокупности исчисляемыми миллиардами рублей. Следствием этого стала дополнительная и весьма серьезная нагрузка как на Банк России (в форме многочисленных жалоб клиентов), так и на правоохранительные органы и, соответственно, судебную систему.
Безусловно, банки всегда подвергались рискам, связанным с ошибками или мошенничеством, однако вместе с внедрением современных компьютерных технологий уровень таких рисков и масштаб их влияния существенно выросли ввиду того, что количество причин и состав возможностей реализации угроз, лежащих в основе новых компонентов рисков такого рода, значительно увеличились. Подтверждением этому является постоянный рост числа финансовых преступлений разного рода как против юридических и физических лиц, пользующихся банковскими услугами, так и против самих банков, анализу которых посвящен настоящий раздел книги. При этом акцент делается на существенно более широкой по сравнению с традиционной (ограниченной рамками Федерального закона от 07.08.2001 № ФЗ-115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма») интерпретацией понятия и содержания процесса финансового мониторинга (ФМ). В связи с указанной позицией можно отметить также, что расширенная трактовка понятия ФМ стала встречаться и в мировой практике анализа противоправной финансовой деятельности и организации противодействия ей. Например, в материалах таких организаций, деятельность которых направлена против отмывания денег (ОД) и финансирования терроризма (ФТ), как ФАТФ и FinCEN[35], встречаются указания на то, что финансовым организациям необходимо усилить борьбу с компьютерными мошенничествами, поскольку успехи в борьбе международного сообщества с ФТ и перекрытие различных каналов, используемых для этого, привели к тому, что для финансирования деятельности таких чрезвычайно опасных организаций стали широко задействоваться команды хакеров и применяться способы осуществления крупномасштабных финансовых мошенничеств. Из этого делается вывод о том, что собственно осуществление противодействия совершению компьютерных мошенничеств в отношении этих организаций и их клиентов следует рассматривать в том числе и как непосредственно связанное с борьбой с международным терроризмом.
Ввиду этого в современных банках неизбежно внедрение специальных процедур для адекватного реагирования на возможную противоправную деятельность (ППД), осуществляемую с помощью ТЭБ. Поэтому и необходим анализ и практический учет новых потенциальных угроз, связанных с этими технологиями, а также сценариев их возможной реализации с оценкой последствий. Следует отметить, что в силу неразвитости отечественного законодательства в области так называемых электронных финансов[36] последующее изложение ведется с позиций организации противодействия на основе риск-ориентированного подхода.
Начать такой анализ уместно с рассмотрения общей картины усложнения структуры типичных банковских рисков[37].
3.1. Новые факторы риска для кредитных организаций и их клиентов в условиях применения технологий электронного банкинга
Не подлежит сомнению тот факт, что применение кредитными организациями (далее для краткости называемыми банками) технологий ДБО или, иначе, «электронного банкинга» радикально изменяет способы и условия осуществления банковской деятельности. Эти изменения необходимо учитывать в организации и содержании целого ряда внутрибанковских процессов, что будет детально описано в предпоследнем подразделе настоящего раздела. В цитировавшейся выше книге описывалось принципиально новое явление в сфере банковской деятельности, «вызванное к жизни» применением самих ТЭБ, а именно так называемый информационный контур банковской деятельности (ИКБД), приводилась его обобщенная схема, а также рассматривались три основных, «системных» фактора риска, обусловливающие возникновение новых источников компонентов банковских рисков[38]. До наступления эры ДБО данное явление отсутствовало как таковое, хотя, строго говоря, элементы этого контура стали появляться в банках вместе с внедрением первых же структур локальных вычислительных сетей (изначально строившихся на основе сетевых систем типа «клиент — сервер» по простым схемам типа «звезда», которую составляли центральный универсальный компьютер и рабочие станции, используемые операционным банковским персоналом). Для того чтобы обеспечить ясность последующего анализа усложнившейся структуры банковских рисков, упомянутая схема в несколько измененном вариант приводится и здесь (рис. 3.1).
Рис. 3.1. Информационный контур банковской деятельности, формирующийся при дистанционном банковском обслуживании
На приведенной схеме условно показаны два входящих в ИКБД банка (Банк-1 и Банк-2), укрупненная структура их локальных вычислительных сетей (ЛВС) и банковских автоматизированных систем (БАС)[39] с функциями управления, обработки и хранения данных (обозначенных как СУБД — система управления базой данных), элементы сетевой защиты, представленные (только для примера) брандмауэрами (сетевыми экранами), виртуальное пространство, образованное системами, каналами и линиями связи провайдеров банков и клиентов, собственно варианты клиентской части ДБО и два неприятных типа: хакер (хронически занятый попытками несанкционированного доступа (НСД) к банковским информационным ресурсам) и крэкер (ориентированный на нанесение ущерба организациям любым доступным через сетевое пространство способом за счет «взлома» и уничтожения их программно-информационного обеспечения). Как отмечалось, в условиях ИКБД возникают три основных новых фактора риска, о которых необходимо знать руководству банков и на которые следует правильно реагировать посредством адекватной модернизации процесса управления банковскими рисками (УБР):
1) возникновение клиента нового типа, который во многих случаях, не приходя в банк, сам «играет роль» операциониста, при этом, как следствие, для банка и клиента возникает взаимная анонимность, на эффектах которой основаны все схемы организации финансовых преступлений и так называемого фишинга при ДБО;
2) возникновение зависимости надежности банковской деятельности от сторонних организаций — провайдеров разного рода, автоматизированные системы и каналы связи которых могут использоваться для реализации противоправной деятельности в отношении банков и их клиентов с нанесением ущерба их интересам;
3) возникновение разнообразных возможностей для НСД к сетевым структурам и БАС банков за счет особенностей функционирования так называемых открытых систем со стороны как внешних преступных элементов, так и инсайдеров в самих банках, обладающих специальными знаниями в части организации и функционирования БАС.
В случае действия первого из приведенных факторов могут иметь место два главных негативных эффекта. Первый из них заключается в том, что банк не всегда может быть уверен в том, что к нему обращается легитимный, официально зарегистрированный, то есть априори известный ему клиент. Это происходит из-за так называемого хищения личности (identity theft), то есть имитации злоумышленником действий упомянутого клиента за счет использования данных его удаленной идентификации. Поэтому персоналу банков следует информировать клиентов ДБО о приемах, с помощью которых может быть совершена подмена такого рода, и о тех мерах, которые им следует оперативно принимать в случаях противоправных попыток имитации их действий, а также о новых способах и попытках компрометации схем подтверждения идентичности удаленных клиентов. Кроме того, в договорах с клиентами целесообразно указывать, какие способы банк будет использовать для связи с клиентами и на какие «подвохи» клиент обязан не реагировать. Второй эффект связан с тем, что клиент не всегда может быть уверен в том, что взаимодействует со «своим» банком из-за «успешных» действий фишеров, которым он невольно выдает данные своей персональной удаленной идентификации. Это происходит преимущественно за счет применения методов так называемой социальной инженерии и хакерских приемов. Данные вопросы будут рассмотрены в одном из последующих подразделов.
Действие второго фактора (в части противоправной деятельности, технические проблемы здесь не рассматриваются) может проявляться в том, что атаки на банки (и, как следствие, на их клиентов) осуществляются через системы провайдеров, включая предоставляемые ими общедоступные каналы (линии) связи. При такого рода намерениях разрабатываются и применяются специальные программные средства, которые должны нарушать работу аппаратно-программного обеспечения взаимодействующих при ДБО сторон (то есть переводить его в нештатные режимы работы (в широком смысле, включая создание возможностей для НСД) или выводить из строя). При этом сами системы провайдеров могут превращаться в источники угроз для банков, если входящие в них вычислительные сети заражаются вредоносным кодом (в том числе программами-вирусами), с помощью чего формируются, в частности, так называемые бот-неты («роботизированные» вычислительные сети), используемые для нарушения функционирования вычислительных сетей и серверов организаций, которые оказываются объектами сетевых атак[40]. Под прикрытием таких атак стали все чаще совершаться финансовые преступления против банков и их клиентов, в том числе с проникновением и «усилением» атак через посредство автоматизированных систем провайдеров кредитных организаций.
Третий фактор может реализоваться в форме различных угроз: специально организуемые или случайно возникающие схемы для осуществления НСД (в том числе через информационные сечения, образуемые при стыковке различных автоматизированных систем или подсистем), сетевые, вирусные, хакерские атаки и т. п. В этих случаях речь идет, как правило, о нелегитимном завладении теми или иными информационными активами (учитывая, что современная банковская деятельность превратилась преимущественно в информационную дисциплину) или о прикрытии таких действий. Вследствие того что при ДБО формируются новые информационные потоки, число которых при массовом обслуживании может исчисляться десятками, сотнями тысяч и миллионами и которые выходят далеко за пределы офисов банка, а это — неотъемлемое свойство любого ИКБД, существенно изменяются характеристики так называемого периметра безопасности банка. Следствием же этого становится необходимость внедрения таких средств защиты архитектур вычислительных сетей (основными из которых являются маршрутизаторы и брандмауэры или их аппаратно-программные комбинации, а также прокси-сервера, — хотя это не единственные средства сетевой защиты), которые позволяют изолировать чувствительные к НСД информационные сечения в таких архитектурах[41]. Ключевым фактором надежности функционирования любого банка при этом становится осведомленность его высшего руководства о новых потенциальных угрозах при ДБО.
Необходимо отметить, что в условиях ДБО проблематика точной локализации сечений указанного рода реально «выходит на передний план», поскольку в таких местах возможно прежде всего несанкционированное вмешательство в информационные потоки, в особенности при нелегитимном использовании прав и полномочий доступа к ним и к аппаратно-программному обеспечению (АПО) банков и провайдеров, через которое они проходят. Как показывают исследования, наиболее серьезные угрозы при этом могут возникать со стороны инсайдеров кредитных организаций. Информационные сечения, через которые возможно какое-либо вмешательство в информационные потоки, генерируемые, поддерживаемые и обрабатываемые банками, следует, по возможности, исключать из ИКБД, а если это оказывается невозможным, то их необходимо наиболее строго контролировать в соответствии с так называемым принципом четырех глаз[42]. Предотвращение возникновения подобных сечений в любом ИКБД или, в случае их неизбежного появления, обеспечение возможностей их полноценного контроля руководству банков целесообразно предусматривать, начиная еще с этапа принятия решения о внедрении той или иной ТЭБ и проектирования/разработки реализующей ее СЭБ. Очевидно, что для этого требуется наличие в банке соответствующих распорядительных документов и осуществление «проактивного» анализа сопутствующих внедрению ТЭБ изменений в структуре банковских рисков.
При реализации любого из упомянутых выше факторов или какой-либо одной связанной с ними угрозы денежные средства, хранящиеся в банке в форме записей об их суммах в его базах данных, могут быть нелегитимно и оперативно переведены на сторонние счета в электронной форме, что обычно и происходит в процессе совершении мошенничеств. При этом современные возможности использования сетевых технологий, а также зонального и даже глобального сетевого информационного взаимодействия позволяют осуществлять подобные трансферы на счета, расположенные практически в любой юрисдикции (городе, регионе, стране). Поэтому, в частности, руководству банков следует помнить о необходимости четкого и полного определения состава так называемой сеансовой информации (СИ), о чем будет сказано в последнем подразделе, накапливаемой и сохраняемой в течение каждого отдельного сеанса информационного взаимодействия удаленного клиента с банком, и обеспечения гарантий ее сохранения в течение установленных сроков (которые следует указывать также и в правоустанавливающих документах на пользование ДБО). При этом необходимо гарантировать и возможность оперативного доступа к ней как минимум при инициации претензионной работы. В основу такого определения целесообразно закладывать механизмы моделирования угроз надежности банковской деятельности в части противодействия возможной ППД, сценарии их возможного развития, состав угрожаемых активов банка, возможные последствия реализации таких сценариев и тому подобные соображения, относящиеся к процессу УБР[43].
Эта информация может впоследствии составить основу для принятия решений при разрешении конфликтных (спорных) ситуаций, возникающих в процессе осуществления ДБО между банком и клиентами, или при проведении расследований случаев ППД. Таким образом, речь идет, по сути, о постоянном формировании и поддержании доказательной базы ДБО и обеспечении ее юридической силы — в этом заключаются две главные задачи, которые подлежат решению при организации и реализации с помощью информационных технологий (ИТ) в составе ФМ как внутрибанковского процесса и определения видов и содержания составляющих его процедур. При этом, как отмечалось выше, ФМ целесообразно организовывать как внутрибанковский процесс с заведомо более широким содержанием, нежели обычно принято определять, которое заведомо не ограничивалось бы требованиями традиционного противодействия ОД и ФТ (ПОД/ФТ), но охватывало бы всю возможную ППД, с которой в перспективе могут столкнуться банки и их клиенты ДБО. Тем самым можно будет устранить и неоднородности в распределении соответствующих функциональных ролей между такими структурными подразделениями банков, как службы ИТ, внутреннего контроля (ВК), ФМ, безопасности (информационной или экономической), подразделениями, ответственными за работу с клиентами и т. д.
Со времени первой публикации по рассматриваемой тематике банковских рисков, связанных с ДБО[44], прошло уже немало времени, и количество публикаций по данной тематике постоянно увеличивается (что свидетельствует одновременно о «разрастании» рассматриваемой проблемной области). Однако угроз надежности банковской деятельности не только не стало меньше, но они стали, так сказать, еще более изощренными, а их реализация даже только в плане ППД в киберпространстве ИКБД по-прежнему обусловливается прежде всего такими факторами, как:
— новизна технологических и технических достижений в области ДБО (которые могут оказаться связаны с новыми компонентами таких банковских рисков, как операционный, правовой, репутационный[45], ликвидности (неплатежеспособности), стратегический, а в некоторых случаях и страновой);
— сложность анализа связанных с разновидностями ДБО потенциальных угроз, преобразующихся в компоненты банковских рисков (в том числе комплексного анализа, охватывающего все «виртуальные ворота», которые неизбежно «открывает» банк, переходящий к ДБО);
— недостаточная компьютерная (как, впрочем, и финансовая, и правовая) грамотность подавляющего количества клиентов, которые охотно переходят от традиционного банковского обслуживания на ТЭБ и пользуются соответствующими СЭБ, которые реализуют такие технологии.
Эти и другие, менее очевидные, причины для существенного расширения возможностей осуществления в банках противодействия возможной ППД в условиях применения ТЭБ будут более детально рассмотрены ниже.
Можно отметить также, что на фоне все большего усложнения компьютерных технологий, ориентированных на внеофисное обслуживание клиентов банков, и, соответственно, необходимого для этого банковского АПО, то же самое происходит и с криминальной деятельностью, поскольку преступные сообщества охотно и быстро «осваивают» новые электронные банковские технологии и используют их для создания новых вариантов ППД в киберпространстве. Одним из наиболее типичных примеров в последние годы стало использование в противоправных целях вариантов мобильного банкинга, которые приходят на смену традиционному «телефонному» банковскому обслуживанию. Вследствие этого вместе с новыми достижениями в направлениях применения этих технологий развивается и существенно усложняется сопутствующая рассматриваемой проблематике область расследования компьютерных преступлений (о чем еще будет говориться в подразделе 3.3). В современном мире эти факты целесообразно учитывать руководству высокотехнологичных банков в рамках организации противодействия возможной ППД, а теперь, в первую очередь, при внедрении и развитии ДБО.
Основной акцент при этом целесообразно делать на тех новых специализированных процедурах, которые позволяли бы эффективно учитывать во внутрибанковских процессах управления и контроля, во-первых, факт удаленности клиентов при ДБО, во-вторых, специфику виртуального пространства, через которое оно осуществляется, в-третьих, особенности функционирования так называемых открытых систем. Здесь, прежде всего, целесообразно рассмотреть организацию ПОД/ФТ, осуществляемого в связи с реализацией процессов ВК и ФМ, поскольку эти задачи имеют достаточно проработанную правовую основу (имея в виду такие основополагающие акты, как Федеральные законы «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее — 115-ФЗ) и «О Центральном банке Российской Федерации (Банке России)») и сопутствующие подзаконные акты[46].
Как свидетельствуют материалы финансовых разведок, в том числе России, различных международных организаций, в частности ФАТФ, практически все финансовые преступления совершаются посредством проведения операций в платежных системах, в том числе трансграничных. При этом чем лучше их параметры (скорость, надежность функционирования), тем выше, при недостаточных мерах противодействия ППД, их уязвимость с точки зрения возможностей ОД и ФТ. В связи со сказанным из числа известных 40 рекомендаций ФАТФ две непосредственно связаны с использованием технологических нововведений (таких как ТЭБ), а именно Рекомендации 15 и 16[47]:
15. Новые технологии
Странам и финансовым учреждениям необходимо определять и оценивать риски отмывания денег или финансирования терроризма, которые могут возникнуть в связи с а) разработкой новых продуктов и новой деловой практики, включая механизмы передачи, и б) использованием новых или развивающихся технологий как для новых, так и для уже существующих продуктов. В случае финансовых учреждений такая оценка риска должна проводиться до запуска новых продуктов, деловой практики или использования новых или развивающихся технологий. Им также следует принимать соответствующие меры для контроля и снижения этих рисков.
16. Электронные переводы средств
Странам необходимо обеспечить включение финансовыми учреждениями требуемой и точной информации об отправителе и требуемой информации о получателе в электронный перевод и сопровождающие сообщения и то, чтобы эта информация сопровождала электронный перевод или передаваемое сообщение по всей цепочке платежа.
Странам необходимо обеспечить, чтобы финансовые учреждения осуществляли мониторинг электронных переводов в целях выявления тех из них, по которым отсутствует требуемая информация об отправителе и (или) получателе, и принимали соответствующие меры.
Странам необходимо обеспечить, чтобы при обработке электронных переводов финансовые учреждения предпринимали действия по замораживанию. Они должны также запрещать проведение операций с установленными лицами и организациями в соответствии с обязательствами, которые определены в соответствующих резолюциях Совета безопасности ООН…
При этом ФАТФ акцентирует внимание на том, что при осуществлении ФМ и реализации процедур ПОД/ФТ следует переходить от анализа отдельных финансовых операций клиентов банков к анализу их хозяйственно-экономической деятельности. Однако, это, конечно, гораздо проще сказать, чем сделать.
Аналогичной позиции придерживается и Базельский комитет по банковскому надзору (БКБН), который в одной из своих публикаций, посвященных так называемому электронному трансферу денежных средств в части «скрытых» или «прикрытых» платежей[48], отмечает:
При выполнении трансграничных банковских операций помимо банка источника ордера (originator) и банка бенефициара в процесс передачи и обработки банковских данных могут вовлекаться другие банки, выполняющие функции посредников…
…Кредитным организациям, играющим роль таких посредников, независимо от их юрисдикции, следует соблюдать требования, предъявляемые к основным участникам трансграничных банковских операций (источнику и бенефициару), включая определения, содержащиеся в «Специальных Рекомендациях VII» ФАТФ (SR VII), особенно в условиях, снижающих прозрачность (transparency) выполняемых операций (например, через S. W. I. F. Т.)».
Также подчеркивается:
Недостаток информации об источниках и бенефициарах переводов денежных средств может препятствовать банку-посреднику точно оценить риски, ассоциируемые с корреспондентскими и клиринговыми операциями. Такой банк не сможет сопоставить данные с признаками, требующими блокировать или задержать операции либо «заморозить» активы ее участников. <…>
…Повышение прозрачности платежных операций зависит не только от стандартов передачи данных, но и от рабочих процедур банков, вовлекаемых в их обработку, от чего зависит надежность и качество функционирования платежной системы.
Одной из наиболее неприятных для банков особенностью реализации двух связанных с ДБО эффектов взаимной анонимности является то, что банки могут оказаться незаметно для себя вовлечены в ту или иную ППД, что может негативно сказаться на их отношениях и с государством, и со своими клиентами (тем самым повышаются уровни правового и репутационного рисков). Руководству этих учреждений целесообразно помнить о последствиях такого рода, поскольку, как будет показано далее, развитие ситуации при проведении расследований ППД может негативно сказаться на их имидже, а если банки действительно окажутся обоснованно обвиненными в незаконной деятельности, то это может повлечь за собой отзыв лицензии на осуществление банковских операций (что, к сожалению, давно уже не редкость).
При совершении трансферов денежных средств в электронной форме виртуальное пространство позволяет скрывать как их инициаторов, так и бенефициаров уже при самом незначительном числе агентов сетевого «финансово-информационного» взаимодействия. При типовых трехэтапных схемах ОД («размещение — расслоение — интеграция») с участием множества промежуточных (подставных) агентов, «перекачивающих» денежные средства между своими банковскими счетами, для выявления этого взаимодействия требуется наличие достаточно сложных аналитических алгоритмов, как и для обнаружения любых сомнительных операций. А поскольку схемы ОД модернизируются, то и алгоритмы ФМ должны становиться все более сложными, точно так же, как и его информационная основа и критериальная база.
В простейшем и типичном варианте на первом этапе ОД денежные средства, полученные нелегитимным путем, «вбрасываются» в финансовую систему, как правило, через специально создаваемые подставные фирмы, которые характеризуются как минимальным капиталом, так и тем, что существуют весьма непродолжительное время, после чего выполняется совокупность проводок, «не имеющих явного экономического смысла». Это переводы со счетов юридических лиц крупных денежных сумм, «распыляемых» по карточным счетам физических лиц (так называемых дропперов), с оперативным их получением или снятием через банкоматы. От банков, не желающих подпасть под подозрение в соучастии или в организации преступных финансовых схем, при этом требуется возможно более тщательное следование принципу, постоянно пропагандируемому БКБН, — «знай своего клиента» (ЗСК, за рубежом: КУС — Know Your Client). В то же время при использовании современных схем ОД и массовом ДБО это становится затруднительно, а поэтому безоглядное стремление какого-либо банка захватить значительную часть рынка ДБО вполне может оказаться необоснованным с точки зрения достаточности ресурсной базы такого банка в плане реализации необходимых (довольно сложных) процедур в составе процесса ФМ и контроля над хозяйственно-экономической деятельностью большого числа клиентов в целом (что специально отмечалось ФАТФ).
На втором этапе денежные средства, как правило, разделяемые на части, проводятся через ряд банков с использованием дистанционного управления счетами, что позволяет серьезно затруднить отслеживание транзакций и придать анонимность процедурам перевода денежных средств (в том числе за счет подставных промежуточных агентов финансовых операций). При этом нередко задействуются офшорные зоны и варианты технологии интернет-банкинга, в которых могут быть сконцентрированы сотни банков (включая так называемые бумажные или пустые банки, фигурирующие исключительно в электронном трансфере), а также сторонние анонимные прокси-сервера, не позволяющие определить местоположение участников информационного взаимодействия.
Для выявления таких ситуаций и придания операциям статуса сомнительных или для отказа от выполнения соответствующих операций банкам необходимо разрабатывать и внедрять соответствующие аналитические процедуры (об этом еще будет говориться ниже).
На третьем этапе денежные средства, которые могут с помощью удаленного управления пройти много циклов перемещений между юрисдикциями, банками и счетами большого количества фирм, в завершение процесса ОД концентрируются на счетах вполне легитимно существующих и действующих юридических или физических лиц. При этом обоснования для транзакций могут оказаться произвольными и никак не связанными с предыдущими транзакциями (БКБН, кстати, делает особый акцент на полноте информации, сопровождающей переводы денежных средств, когда рассматривает цепочечные операции). Поэтому возникает потребность в совершенствовании аналитических методов, применяемых в процессе ФМ, особенно в целях выявления банками связанных клиентов и транзакций на базе так называемого эффективного группового подхода[49] (имея в виду в том числе, что отдельные клиенты или связанные общими интересами группы клиентов могут осуществлять финансовые операции через разные подразделения — филиалы, дополнительные офисы и пр. — одних и тех же банков). Вследствие этого пропагандируется требование наличия единой политики работы с клиентами в групповой структуре.
Как указывает БКБН, банкам следует руководствоваться основными положениями, способствующими эффективной реализации ФМ:
Необходимо разработать политику и процедуры идентификации, мониторинга и снижения репутационного, операционного, правового рисков и риска концентрации[50].
Политика и процедуры на уровне филиалов и дочерних организаций должны быть согласованы с групповыми стандартами «знай своего клиента» и обеспечивать их поддержку.
Подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих рисков.
Между головным офисом и филиалами должно быть налажено такое информационное взаимодействие, чтобы была возможность получать информацию о рискованных клиентах для управления правовым и репутационным рисками.
Неизбежность усложнения алгоритмов ФМ видна также из содержания нормативных и других документов Банка России, которые продолжают разрабатываться и приниматься со времени принятия Закона № 115-ФЗ. По состоянию на последнее время банкам при организации и определении содержания внутрибанковского процесса ФМ (и ВК в соответствующей части) удобнее всего ориентироваться на письмо Банка России от 04.09.2013 № 172-Т «О приоритетных мерах при осуществлении банковского надзора», в котором описываются так называемые критерии определения признаков высокой вовлеченности кредитной организации в проведение сомнительных безналичных и (или) наличных операций (там же приведен и перечень документов Банка России для целей квалификации операций в качестве сомнительных). Поэтому банкам требуется разработка все более специализированных и детальных аналитических процедур ФМ (в интересах ПОД/ФТ) для идентификации указанных лиц, контроля и сопоставления данных, осуществляемых в соответствии с их ордерами. То же самое относится и к специализированному программно-информационному обеспечению (ПИО) процесса ФМ, функции которого должны соответствовать требованиям, установленным законодательными и подзаконными актами.
Если доказательство участия банка в каких-либо операциях, связанных с отмыванием денег или финансированием терроризма, карается в соответствии с федеральными законами и подзаконными актами, то наказание за другие виды ПДД далеко не всегда «находит своих героев». Расследование и доказательство преступлений, совершаемых в киберпространстве, стало в последние три десятилетия настолько актуальным, что за рубежом давно уже организована подготовка сотрудников финансовых организаций по специальности «сертифицированный инспектор по мошенничествам»[51]. В задачи специалистов, проходящих подготовку такого рода, входят прежде всего: предотвращение и (или) предупреждение мошенничеств, особенно корпоративных, проведение расследований преступлений (начиная с обеспечения сохранения улик, включая компьютерные устройства и данные, хранимые в электронной форме), взаимодействие с правоохранительными органами и участие в судебных разбирательствах и процессах в качестве экспертов; кроме того, они могут участвовать также в реализации отдельных функций в составе процессов обеспечения информационной безопасности (ОИБ), ФМ и ВК в своих организациях (постоянно или на основе привлечения).
Как отмечается в одной из популярных книг по противодействию мошенничествам, «совершение корпоративного мошенничества всегда связано с посягательством на активы корпорации и их хищением»[52]. При этом необходимо учитывать тот принципиально важный факт, что упомянутые активы теперь — преимущественно «информационные», а следовательно, методы и средства их защиты оказываются прямо связаны с процессами ОИБ, ФМ и ВК в банках. Без сомнения, банковское дело также превратилось во многом в «информационную дисциплину».
Как отмечается в одной из популярных книг по так называемому киберправосудию (или, иначе, киберследствию)[53]:
Риски, с которыми сталкивается руководство кредитных организаций, по мере усложнения технологий только повышаются. Лица, склонные к злоупотреблениям технологиями, обнаруживают, что их возможности в этом плане расширяются, тогда как возможности руководства по удержанию их от этого становятся экспоненциально более проблематичными и ограниченными…
В XXI веке ни одна организация не может забывать о возможности возникновения потребности в высококвалифицированном специалисте в области киберправосудия, независимо от включения его в персонал или приглашения со стороны. При этом актуальным является вопрос не «если» потребуется, а «когда»…
Необходимость наличия актуальной программы киберправосудия, обеспеченной подготовленным персоналом с квалификацией сертифицированного инспектора по мошенничеству и требуемыми рабочими процедурами для проведения служебных расследований, должна полностью осознаваться.
В формируемых новыми информационными технологиями условиях «электронной» финансовой и, в частности, банковской деятельности кибермошенничества становятся все более привлекательными, так как преступник «может скрываться» за киберпространством и использовать для совершения преступления специфические технологии: сетевые, хакерские, шпионские, троянские и т. п., а также прикрытия в форме сетевых атак, фальсификации маршрутной информации (к примеру, IP-адресов при ДБО в варианте интернет-банкинга и др.), равно как и разнообразные приемы, которые позволяют скрывать инициатора мошенничества, его бенефициаров или же сами факты мошенничества (когда прикрытие срабатывает). Практически все подходы такого рода базируются на одной основе — сочетании тех или иных способов НСД к атакуемым ресурсам и БАС кредитных организаций, а также аппаратно-программным средствам их удаленных клиентов (в том числе через автоматизированные системы провайдеров).
Надо отметить, что любое мошенничество, реализуемое через тот или иной способ НСД, связано с упоминавшимся выше «хищением личности», то есть с приданием видимости легитимности обращения к каким-либо информационным активам и операциям с ними. Из этого следует, что основное внимание при использовании любых современных форм платежей и расчетов следует уделять способам и средствам подтверждения идентичности пользователя конкретных информационно-процессинговых ресурсов и правомерности использования тех или иных полномочий доступа к информационно-процессинговым ресурсам[54]. В свою очередь, само возникновение возможностей НСД всегда обусловлено недостатками в установлении ограничений на физический и логический доступ к АПО и информационным ресурсам организаций, что, в свою очередь, свидетельствует, как правило, о неполноте проведения приемо-сдаточных испытаний конкретных автоматизированных системы (БАС или СЭБ). Такая неполнота при построении логики рассуждений в обратном порядке свидетельствует о наличии недостатков в программах, методиках, актах и протоколах проведения этих испытаний, а значит, о недопонимании руководством банка значимости полного подтверждения заявленных свойств БАС и (или) СЭБ. Логическая последовательность обеспечения легитимности прав и полномочий доступа к чувствительным информационно-процессинговым ресурсам, с известной долей условности показана на рисунке 3.2, скомпонованном на основе карикатуры, хорошо отражающей суть данной проблематики. Тем самым отражается также тесная и неразрывная связь процедур управления распределением прав и полномочий доступа к информационно-процессинговым ресурсам банка (включая филиалы, дополнительные офисы и пр.) и контроля над ними.
Рис. 3.2. Пример проблематики разграничения прав и полномочий доступа в условиях применения технологий электронного банкинга
Следует отметить, что нередко наблюдаемое в кредитных организациях, прежде всего банках, желание руководства «сэкономить» на так называемых незарабатывающих подразделениях, к числу которых, как исторически сложилось, относятся подразделения ИТ, ОИБ, ВК, ФМ, УБР и ряд других, гарантированно приводит к недостаткам в обеспечении надежности банковской деятельности. Следствиями такой «экономии» часто оказывается нехватка высококвалифицированного персонала, необходимого для правильной и надежной организации автоматизированной банковской деятельности, или недопустимая концентрация полномочий, в особенности это касается совмещения в одних руках функций администрирования: системного, сетевого, баз данных, информационной безопасности и т. п. Ситуация, в которой один человек совмещает несколько функций, которые в соответствии с правилами здравого смысла (в отсутствие соответствующих нормативных правовых актов) должны быть разделены, как это считается необходимым с точки зрения обеспечения гарантий невозможности НСД высокого уровня, может оказаться связанной с угрозами для безопасности информационных активов организации, так как при этом заведомо не выполняется упоминавшийся принцип «четырех глаз». В этом случае те или иные сотрудники, с одной стороны, получают наиболее полные права и полномочия доступа к таким ресурсам, а с другой стороны, оказываются фактически неподконтрольными.
Как отмечает в своей оригинальной книге один известный в прошлом в США мошенник: «Важно помнить: если для людей невольно создаются условия, чтобы они воровали, они будут это делать!», вследствие чего постулируется, что «Доверие — хорошо, но контроль — лучше!»[55]. Данный автор знает, что говорит, когда заявляет в этой книге, что «Абсолютной надежности не существует» и что «Обман не прекращается никогда», — проведя за решеткой несколько лет за махинации с чеками, банкоматные мошенничества и прочую противоправную деятельность, он по освобождении открыл консультационную фирму по организации противодействию корпоративным и другим мошенничествам и написал упомянутую в ссылке книгу. В ней, помимо прочего, он приводит такие данные социологического опроса, которым были охвачены сотрудники нескольких сотен североамериканских компаний, которым задавались вопросы об их отношении к воровству:
Результаты исследований показали, что 10 % работников воровали бы все время, еще 10 % никогда не украли бы, а 80 % воровали бы, если бы у них была для этого причина. Это свидетельствует о том, что руководство компаний должно проявлять обеспокоенность о 90 % своего персонала…
По данным указанного автора:
Банки теряют в пять раз больше денег от хищения денежных средств, чем от вооруженных ограблений. Кража на рабочем месте может быть настолько пагубной для компании, ставшей ее жертвой, что почти одна треть всех банкротств приписываются присвоению чужих средств.
Остается надеяться, что столь безрадостная картина является типичной только для США…
Ситуация усугубляется тем, что в виртуальном пространстве мошенничества совершаются мгновенно и практически незаметно. При виртуальном мошенничестве обычно неизвестно наверняка, кем является злоумышленник. Его нельзя увидеть, потому что это — аноним, скрытый технологиями и автоматизированными системами. Кроме того, как отмечает тот же автор, «Для подавляющего большинства клиентов банков электронные банковские операции все еще остаются загадочными». Практика изучения жалоб клиентов российских банков подтверждает этот неутешительный вывод, поэтому помимо широко обсуждаемой потребности в повышении финансовой грамотности населения логично было бы говорить и о повышении его «технологической грамотности». Сказанное относится и к качеству соглашений о ДБО в том смысле, что в соответствующих договорах, как правило, не оговариваются упоминавшиеся выше его доказательная база и ее юридическая сила.
В настоящее время специфика условий функционирования российского банковского сектора предполагает, как отмечалось, возникновение новых источников компонентов только для следующих банковских рисков: стратегического, операционного, правового, репутационного (потери деловой репутации), ликвидности (неплатежеспособности) и, в некоторых специфических случаях, странового[56]. Чтобы правильно определить состав источников компонентов рисков, способных негативно повлиять на процесс и результаты банковской деятельности кредитных организаций, удобно разбить ИКБД, образуемый той или иной системой электронного банкинга (СЭБ), на своего рода «зоны концентрации источников риска» и проанализировать особенности каждой из них. Затем, в соответствии с принятой в том или ином банке методологией УБР, можно сгруппировать отдельные факторы или источники компонентов рисков по их возможному проявлению в тех или иных типичных банковских рисках, которые описываются, как правило, во внутрибанковских документах типа «Положения об управлении банковскими рискам». Это может оказаться полезным, например, при организации управления рисками по их типам, перечисленным выше, при переходе к применению ТЭБ.
Ниже проводится краткий анализ структуры этих банковских рисков[57] в части свойственных применению ТЭБ и реализующих их СЭБ причинно-следственных связей их компонентов наряду с теми угрозами надежности банковской деятельности, которые привносит ДБО само по себе. Если говорить конкретно о ППД, то, трактуя понятие указанной надежности с точки зрения выполнения кредитными организациями (в широком смысле) своих обязательств перед клиентами и контролирующими органами, можно определить те компоненты типичных банковских рисков, которые непосредственно связаны с опасностью осуществления ППД[58]:
• для операционного риска — это потенциальные финансовые потери, обусловленные мошенническими действиями в отношении кредитной организации и (или) ее клиентов за счет перевода автоматизированных систем, применяемых ею для осуществления банковской деятельности, в нештатные (в широком смысле) режимы функционирования, из-за чего могут осуществляться противоправные действия, включая проведение несанкционированных транзакций или прямые хищения финансовых средств в электронной форме либо конфиденциальной («чувствительной») информации и пр., происходить нарушения доступности автоматизированных систем и (или) непрерывности их функционирования (включая как причины «удачные» сетевые и хакерские атаки, отказы и сбои аппаратно-программного обеспечения для прикрытия мошенничеств как самой кредитной организации, так и ее провайдеров), следствием чего окажется невыполнение кредитной организацией обязательств перед клиентами;
• для правового риска — это потенциальные финансовые потери, обусловленные невыполнением кредитной организацией требований нормативных правовых актов, регулирующих банковскую деятельность, и (или) законодательной неопределенностью дистанционного предоставления банковских услуг, а также судебными издержками/санкциями из-за невыполнения обязательств перед клиентами (включая потерю значимых данных и утечку «чувствительной» информации, нарушение банковской тайны, противоправную деятельность, которая оказывается возможной из-за недостатков аппаратно-программного или программно-информационного обеспечения банковской деятельности как самой кредитной организации, так и ее провайдеров, хищения денежных средств клиентов и т. д.), включая ситуации, в которых клиенты оказываются не способны выполнять свои обязательства перед третьими сторонами по вине кредитной организации и (или) ее провайдеров;
• для риска ликвидности (неплатежеспособности)[59] — это потенциальные финансовые потери кредитной организации из-за хищений ее информационных активов и (или) в форме ее неспособности полностью и своевременно выполнять свои финансовые обязательства в отношении конкретных клиентов в случаях несанкционированных переводов их финансовых средств, изменений в характеристиках управления ликвидностью в условиях открытого сетевого взаимодействия (блокировка автоматизированных систем или каналов/линий связи, непредвиденный отток финансовых средств, крупномасштабные финансовые хищения, другие потери высоколиквидных активов, сбои и отказы в работе аппаратно-программного обеспечения, применяемого для осуществления банковского обслуживания как кредитной организации, так и ее провайдеров), а также недостатки организационного характера, из-за которых финансовые обязательства перед клиентами не выполняются (таким образом возникает своего рода «персональная» неплатежеспособность, то есть в отношении конкретного клиента);
• для репутационного риска — это потенциальные финансовые потери, обусловленные формирующимся негативным общественным мнением в отношении кредитной организации из-за невыполнения ею обязательств перед клиентами (включая недоступность/неработоспособность/неполную функциональность/ненадежность/небезопасность ее автоматизированных систем, потерю (утечку, хищение)/искажение/чувствительных данных из-за недостатков/отказов аппаратно-программного обеспечения кредитной организации и (или) ее провайдеров (в том числе саботажа, компьютерных преступлений (мошенничеств), сетевых, хакерских, вирусных атак, несанкционированного доступа к упомянутым данным, ставших известными судебных исков или сведений о нарушениях конфиденциальности информации (банковской тайны), веб-сайтов-муляжей и т. п.), воздействия на используемые этой организацией веб-сайты (блокировка, искажение контента и пр.);
• для стратегического риска — это потенциальные текущие и перспективные финансовые потери, обусловленные ошибочными бизнес-решениями относительно состава и (или) схемы дистанционного предоставления банковских услуг или неправильной реализацией основных решений такого рода в кредитной организации, которые приводят к возникновению возможностей использования банковских автоматизированных систем для осуществления и (или) прикрытия мошенничеств, нарушения целостности и (или) конфиденциальности клиентских или банковских данных, отмывания денег и финансирования терроризма (включая неправильное распределение функций, в том числе в рамках аутсорсинга, ошибки в способах предоставления и контроля оказания банковских услуг клиентам, в технологических и (или) организационно-технических решениях, приводящие к неадекватности бизнес-моделям, недостаточную отладку, защищенность, управляемость и контролируемость банковских автоматизированных систем и т. п.).
Не исключено, что здесь можно было бы упомянуть и страновой риск (хотя это, скорее, перспектива), поскольку в современной банковской деятельности широко используется международное разделение труда, при котором банки открывают свои филиалы в разных странах, банковский процессинг концентрируется в специальных процессинговых центрах или на вычислительных мощностях крупных кредитных организаций, компаний-интеграторов, то есть в разнообразных формах аутсорсинга. В таких случаях возникают новые виды зависимости надежности банковской деятельности от сторонних для конкретного банка организаций, а вместе с ними — и новые проблемы обеспечения ее надежности, включая гарантии ОИБ как для самого банка, так и для его клиентов, однако в этих условиях полноценный контроль со стороны банка над обеспечивающими организациями становится более проблематичным.
Главными негативными последствиями мошенничеств являются прежде всего финансовые потери. Но это общее понятие целесообразно детализировать, поскольку эти потери могут быть разнородными. Так называемые прямые потери имеют наглядное денежное выражение как для клиента банка, так и для самого банка, поскольку при таких потерях речь идет о реализации компонента риска неплатежеспособности в отношении конкретных пострадавших клиентов. Помимо этих потерь часто приходится говорить о «косвенных» потерях — это расходы на расследование, ущерб от совершенной атаки, приведший к дополнительному расходу ресурсов банка (персонал, время, превентивные меры на будущее и т. д.), компенсационные выплаты и судебные издержки. Здесь проявляются преимущественно компоненты правового риска. Наконец, следует помнить и о, если можно так выразиться, «наведенных» потерях, то есть реализации компонентов репутационного риска: это потенциальная упущенная выгода, связанная с оттоком клиентов, понижением курса акций, негативным общественным мнением (даже просто отсутствие роста клиентской базы) и другие негативные последствия. Ну и, наконец, могут возникнуть компоненты стратегического риска как следствие явления взаимного влияния рисков — нерентабельность скомпрометированной СЭБ и напрасные затраты на ее внедрение.
Говоря об источниках компонентов банковских рисков, нельзя не сказать о тех, которые прямо связаны с понятием новых информационных технологий и автоматизированных систем. Известно, что если раньше внедрение этих технологий и освоение соответствующих автоматизированных систем могло растягиваться на годы, то в последнее время в условиях обостряющейся конкуренции на это уходят всего лишь месяцы. Поэтому помимо таких негативных явлений, как недостаточная отладка и неполноценные приемо-сдаточные испытания новых СЭБ или БАС (что, бывает, выясняется уже в процессе их эксплуатации), может возникать и серьезная зависимость от компаний-разработчиков таких систем. Известны случаи, когда из-за сложности найма или переподготовки собственных специалистов банки «перекупают» специалистов из этих компаний, которые и становятся «автоматически» ответственными за работу новых автоматизированных систем. С одной стороны, это весьма эффективное решение проблемы с обеспечением необходимой квалификации и требуемой в ряде случаев узкой специализации персонала, однако, с другой стороны, неизбежно возникает вопрос: кто в кредитной организации сможет проконтролировать работу таких специалистов и насколько можно быть уверенными в них (то есть в их честности и добросовестности)?
Кроме того, практика свидетельствует о том, что наблюдается нехватка специалистов, способных оценить истинные масштабы новых угроз, связанных с киберпространством, в том числе со стороны вредоносных программ разного рода[60], с которыми может столкнуться кредитная организация и ее клиенты, разработать и внедрить эффективную политику ОИБ, грамотно построить защиту корпоративных вычислительных сетей, включая защиту от действий инсайдеров, внедрить технологию «виртуальных частных сетей» [61], позволяющую защищать чувствительную информацию, передаваемую по сетям связи общего пользования и т. п. При этом чаще всего четкие требования к ОИБ не входят в содержание политики развития ИТ кредитных организаций и не становятся составной частью соответствующей стратегии. Из-за этого появляются компоненты банковских рисков, связанные с недостаточно проработанными планами развития технологического и технического обеспечения банковского обслуживания, выполнения банковских операций и их обеспечением, то есть соответствующим АПО и высококвалифицированным персоналом (основной ресурсной базой).
Общая «беда», сопутствующая внедрению и применению в банках новых информационных технологий, состоит в том, что нередко такие немаловажные внутрибанковские процессы, какУБР, информатизация банковской деятельности, ОИБ, ВК, ФМ и работа других, как считается, «не зарабатывающих» подразделений кредитной организации, вообще финансируются по «остаточному принципу». При этом наблюдаются и такие нежелательные варианты «экономии» на дорогостоящих специалистах, что, как отмечалось, ведет к образованию чрезмерной концентрации полномочий в руках отдельных должностных лиц или к невозможности надежного выполнения довольно «тонких» функций в части ОИБ, таких как настройка брандмауэров, прокси-серверов и т. п. в том смысле, что специалисты, обладающие необходимой для этого достаточно узкой специализацией и высокой квалификацией, во-первых, становятся «штучным товаром», во-вторых, их действия оказывается некому контролировать. Кроме этого, средства сетевой защиты стоят, как правило, недешево, а не в каждом банке руководство имеет полное представление о тех мерах и средствах защиты, которые необходимо приобретать, внедрять, настраивать и сопровождать в связи с каждым новым ИКБД, формируемым той или иной новой ТЭБ. Вследствие этого надежно защитить все «виртуальные ворота» такого рода окажется весьма проблематично, то есть опять-таки может формироваться почва для использования служебных полномочий в личных целях (на исполнительском уровне) с последующим нанесением крупного финансового ущерба банку и его клиентам — это тот же проблемный вопрос о контролируемости информационных сечений, возникающих в ИКБД, между БАС и СЭБ и т. п.
Известно, что «рыба ищет, где глубже, а человек — где лучше», и такого рода поиски неудовлетворенных своим положением специалистов с высокой и достаточной специфичной узкой квалификацией могут приводить к тому, что отдельные банки будут терять определенных специалистов уровня, например, системных администраторов и других, которые при уходе в другую организацию будут уносить с собой всю информацию о составе и архитектуре БАС и СЭБ покидаемого ими банка, порядках, правилах, правах и полномочиях доступа к чувствительным программно-информационным ресурсам ит.п., то есть представлять в итоге совершенно конкретные угрозы для этого банка. Такие угрозы, будучи «сдобрены» плохими взаимоотношениями с прежними работодателями (причины которых — в недостаточной по мнению того или иного лица финансовой оценке его квалификации, трудозатрат, ответственности, функциональной и технологической зависимости и т. п.), могут оказаться причинами последующих инцидентов ППД, причем по своему характеру наиболее серьезных для банка и его клиентов (точнее, принадлежащих им финансовых средств и конфиденциальной информации, что в условиях известной «криминализации» российской экономики может обернуться для участников финансовых отношений непредсказуемыми последствиями). Известны случаи «закладывания» увольняющимися специалистами своего рода «программных бомб», которые через какой-то интервал времени наносят физический ущерб ПИО банков, организации ими скрытых каналов доступа к разным компонентам ПИО, сговора с отдельными сотрудниками подразделения, отвечающего за ИТ или ОИБ с целью совершения впоследствии хищений финансовых средств или конфиденциальной информации и т. д.
В общем случае руководству насыщенных информационными технологиями банков (да и любых кредитных организаций) необходимо учитывать все источники угроз, связанных прежде всего с проявлениями так называемого человеческого фактора, которые показаны на рисунке 3.3[62].
Рис. 3.3. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления В К
Совокупность рассмотренных в настоящем подразделе проблемных вопросов свидетельствует о том, что в области таких наиболее современных электронных банковских технологий, как ДБО, присутствуют серьезные компоненты стратегического риска, чему нередко просто не уделяется внимание (чтобы убедиться в этом, достаточно прочитать те же «Положения об управлении банковскими рисками» в высокотехнологичных кредитных организациях). Очевидно, что если в отношении новых угроз надежности банковской деятельности не принимаются должные меры, препятствующие их реализации, — хотя для этого достаточно начать с полноценного анализа зон концентрации источников компонентов банковских рисков и зон ответственности банка, то и сам бизнес в рамках ДБО может оказаться скомпрометированным. Следствием этого станут финансовые потери банков и их клиентов, а итоговыми последствиями — отказ от использования той или иной СЭБ, то есть в результате, как уже отмечалось, к ее нерентабельности и вообще неокупаемости, возможно, многомиллионных внедренческих и эксплуатационных расходов (чему в российском банковском секторе также имеются примеры). А в обществе возникнут и сомнения в квалификации персонала банка. Порочный круг!
В качестве только одного такого варианта можно привести многогранный и интенсивно развивающийся карточный бизнес. Главная беда здесь заключается в том, что само наличие возможностей осуществления карточных мошенничеств и наблюдаемое интенсивное использование их преступными элементами при негарантированном обеспечении возврата утраченных финансовых средств могут подорвать доверие клиентов кредитных организаций к карточному обслуживанию как разновидности электронного банкинга. Отсутствие полного доверия со стороны клиентов банков к данному виду услуг ДБО проявляется в первую очередь в том, что в подавляющем большинстве случаев пластиковые карты используются для получения наличных денег в банкоматах.
К сожалению, недостатки российского законодательства в части обеспечения предоставления финансовых услуг в электронной форме не удается до настоящего времени компенсировать и с помощью законодательных актов, например принятием Федерального закона «О национальной платежной системе» (имеется в виду прежде всего многострадальная статья 9). На фоне отсутствия полноценного законодательства о предоставлении финансовых услуг «в электронной форме» это также свидетельствует о недостаточности паллиативных мер для обеспечения гарантий надежности вне офисной банковской деятельности. Сказанное относится и к другим видам ДБО. Поэтому кредитные организации фактически вынуждены самостоятельно находить эффективные и полноценные способы предотвращения ППД в киберпространстве, что не у всех из них хорошо получается.
Наиболее очевидные недостатки в организации ДБО российскими банками проявляются в организации договорных отношений с его клиентами и контрактных отношений с провайдерами, возникающими в ИКБД вместе с каждой новой ТЭБ. Эти недостатки очень серьезно затрудняют ведение соответствующей претензионной работы и крайне негативно сказываются на интересах указанных клиентов, в том числе в ходе судебных разбирательств (об этом еще будет говориться в подразделах 3.3 и 3.4).
3.2. Организация финансовых преступлений с помощью технологий электронного банкинга и воздействие на удаленных клиентов кредитных организаций
Как уже отмечалось, преступные сообщества и отдельные криминальные элементы во всем мире охотно применяют «высокие технологии» в своей противоправной деятельности. При этом в России они пользуются, с одной стороны, недостатками российского законодательства (включая Уголовный кодекс РФ), с другой стороны — отсутствием закрепленных в нормативных правовых документах «канонов» ДБО, и, в-третьих, недостаточной финансовой и компьютерной грамотностью клиентуры кредитных организаций. В случае ДБО речь всегда идет об использовании для организации инцидентов ППД маскировки злоумышленника той или иной средой информационного взаимодействия (тем же киберпространством). Руководству кредитных организаций никогда не следует забывать о том, что ППД — это непрерывный процесс, характеризуемый тем, что преступные сообщества постоянно изыскивают все новые способы ОД, совершения мошенничеств, а также хищения конфиденциальной информации. Недостаточное осознание специфики электронного банкинга может привести к появлению серьезных проблем с управлением банковской деятельностью и контролем над ней в плане обеспечения ее надежности и соответствия установленным требованиям (то есть к потере полноценного управления и контроля). Поэтому руководству и персоналу высокотехнологичных банков необходимо отчетливо понимать, кто конкретно может являться агентами угроз, знать их образ действия и применяемые способы маскировки как ППД, так и самих этих агентов.
Для осуществления финансовых преступлений, в особенности ОД, чаще всего используется эффект анонимности пользователя, скрытого киберпространством, что позволяет реализовать многочисленные проводки (трансферы, транзакции) без личной явки в банк. При этом может имитироваться деятельность сколь угодно большого количества клиентов: главное — разжиться достаточным числом средств и полномочий удаленного доступа, для чего преступными сообществами обычно специально и тщательно формируется своя «клиентская база». Можно привести некоторые примеры из материалов реальных расследований.
Наиболее простой способ осуществления одновременно хищений и ОД может основываться, к примеру, на контракте на выполнение неких строительных работ, который заключается между фирмой-посредником и государственной организацией и который никогда не будет выполнен. Эта фирма, в свою очередь, заключает договор с подставными компаниями, которые якобы должны выполнять строительные работы, и эти работы действительно как бы начинаются. Компания-»исполнитель» нанимает за некоторое денежное вознаграждение некое лицо, которое должно сыграть роль ее генерального директора. Такой «директор» является в небольшой банк, расположенный обычно в другом городе, предоставляющий услуги интернет-банкинга, открывает необходимый для осуществления финансовых операций счет, после получения первой фирмой (якобы исполнителем по контракту) бюджетных средств в крупном размере возникают невесть откуда взявшиеся компании со счетами в других банках, и начинается финансовая чехарда, причем, естественно, управление счетами осуществляется дистанционно, так что банк-посредник первый и единственный раз видит упомянутого директора, а поскольку компания иногородняя, то не возникает и мысли проверить ее местонахождение. После того как казенные деньги будут распылены по счетам подставных фирм и «выведены» из оборота, имитация бурной деятельности на объекте прекращается, затраты преступной группировки ограничиваются стоимостью возведения забора и кратковременной арендой технических средств и оказываются существенно меньше выделенных на производство заявленных работ, к примеру десятков миллионов рублей. Через некоторое время за дело берутся следователи, которые выясняют, что по своему юридическому адресу строительная компания никогда не находилась, ее генеральный директор в силу очень преклонного возраста успел своевременно скончаться, отправившись на свою традиционную прогулку, выяснить, кому он передавал средства и права доступа, невозможно, задействованные фирмы-однодневки исчезли, а установить с помощью функций и баз данных той же системы интернет-банкинга, откуда именно и кем осуществлялось управление счетами, невозможно, потому что необходимые для этого данные в составе СИ почему-то не фиксировались (а никто, собственно, и не обязывал банк это делать). В итоге следствие заходит в тупик, а виновных не найти, потому что в схеме были задействованы утерянные и фальшивые документы, бомжи и пр., однако сам банк уже вовлечен в преступную схему, а значит, с большой вероятностью попадает под подозрение в соучастии.
Речь может идти и о крупномасштабных закупках какого-либо оборудования за рубежом, которое отсутствовало в природе, и тогда дистанционное управление счетами в банках-посредниках может вестись как из Москвы, откуда выделяются бюджетные деньги компаниям, обещавшим такие закупки осуществить, так и из-за рубежа, где также окажутся зарегистрированы некие компании-посредники. Здесь счет может идти уже на сотни миллионов и даже миллиарды рублей, поскольку масштабы операций гораздо больше, а проверять целый ряд фирм-нерезидентов (для данного города), тем более зарубежных «партнеров», существенно сложнее. Опять-таки для операций выбирается какой-нибудь среднерусский «банчок», в котором доверенными лицами открываются счета для фирм-посредников, отечественных и зарубежных. Выделенные из бюджета суммы дробятся на несколько или множество финансовых потоков, в выбранном банке, располагающем системой интернет-банкинга, они в рамках ДБО конвертируются и переводятся на счета зарубежных фирм в России, после чего осуществляется их трансфер за рубеж. Никаких поставок, естественно, не происходит, но банк формально ничего не нарушает — в его системе интернет-банкинга и БАС происходят какие-то вполне законные операции, за IP-адресами он следить не обязан (то есть он может даже не фиксировать их, как и другую маршрутную информацию в составе СИ, и тем более не анализировать). Через какое-то время из банка начинают направляться запросы на документы, подтверждающие поставки оборудования, но, к сожалению, отвечать на эти запросы давно уже некому, а доверенные лица растворились на бескрайних российских и мировых просторах. В итоге на счетах в зарубежных банках оседают уже сотни миллионов долларов, однако реальные бенефициары остаются неизвестными, а руководство банка недоуменно пожимает плечами и объясняет следователям и Банку России, что никто не ожидал такого эффекта от дистанционного предоставления банковских услуг, и уж теперь-то ДБО лучше и не заниматься! Однако, немалые премиальные, по-видимому, получены…
ДБО через Интернет может использоваться и для подпольной банковской деятельности, при этом организуется имитация производственной, торговой и даже банковской деятельности, то есть в электронном трансфере фигурируют как реально существующие, так и не существующие бумажные» (или «пустые») банки. Одним из примеров является организация фиктивных поставок товаров и услуг за рубеж, за которые впоследствии взимается компенсация НДС, в том числе — в страны СНГ или бывшего СССР. При этом преступным сообществом организуется управляющий центр, в котором концентрируется большое количество идентификационных данных для обслуживаемых банками лиц и подставных фирм, якобы занятых упомянутой деятельностью, которая может продолжаться годами. Результаты ее оцениваются во многие десятки и сотни миллионов долларов, при этом в управляющем центре ведется свой бухгалтерский учет, а банкам, для того чтобы оказаться замешанными в таких операциях и потом — в числе подозреваемых, достаточно просто не обращать особого внимания на то, откуда ведется управление счетами, не анализировать СИ и не проверять реальное существование участвующих в имитируемой «деятельности» банков-контрагентов, предприятий, компаний, индивидуальных предпринимателей и т. д. Правда, в итоге может возникнуть необходимость каким-то образом оправдывать впоследствии перед контролирующими и правоохранительными органами свою невнимательность к тому, что происходит под видом ДБО, или халатность…
В большинстве известных примеров ППД, связанной с финансовыми хищениями и ОД, применяется централизованная схема управления счетами, хотя немало и вариантов с распределенным управлением ими в разных банках, которых объединяет наличие систем ДБО. Велико и количество ситуаций, в которых используются фальшивые ордера клиентов ДБО, в особенности юридических лиц, со счетов которых деньги уходят на счета физических лиц, упоминавшихся «дропперов» (или «дропов»), обналичивающих денежные средства. Несмотря на то что количество подобных случаев велико и ситуации такого рода продолжают множиться, ни у руководства, ни у персонала банков не возникает мыслей хотя бы убедиться в том, что десятки миллионов рублей со счетов тех или иных фирм совершенно законным образом перекачиваются в карманы физических лиц, якобы выполнявших некие дорогостоящие работы. Подобных своего рода «разведпризнаков» можно набрать немало, причем их целесообразно было бы не только использовать в процессе ФМ, но и «увязывать» с процессом УБР, что должно было бы отражаться и во внутрибанковских документах. В этом могла бы проявляться активность высшего руководства банков, заботящихся о своей репутации.
Для прикрытия мошенничеств в киберпространстве используются различные приемы, варьирующиеся от задействования, как отмечалось, так называемых анонимных или слепых прокси-серверов, которые позволяют скрывать истинное местоположение в мировой паутине злоумышленников, управляющих счетами, до сетевых атак типа Denial of Service (DoS) или наиболее опасных — типа Distributed DoS (DDoS)[63], которыми блокируются вычислительные мощности кредитных организаций и (или) их провайдеров. В то же время наибольший ущерб (по совокупности похищенных средств — за последние несколько лет счет уже идет на миллиарды рублей) наносится клиентам кредитных организаций.
Подавляющее большинство мошенничеств в отношении клиентов ДБО — физических лиц основывается на различных методах так называемой социальной инженерии. Многие виды мошенничеств такого рода, широко распространявшиеся за последние 30 лет в Западной Европе и США, в российских условиях оказались непопулярными из-за исторических различий в развитии инфраструктуры и информационных технологий (скажем, атаки через центры обслуживания или внутриведомственные коммутаторы), вследствие чего здесь они не рассматриваются. Вместо этого весьма быстрое развитие получили способы реализации приемов «социального инжиниринга» на основе вариантов мобильного банкинга. В свою очередь, примерно 70–80 % из них[64] ориентированы на обман владельцев карточных счетов. Ниже приведены отдельные примеры типичных попыток совершения мошенничеств на основе приемов такой разновидности социального инжиниринга (которые тем не менее нередко срабатывают):
• «Проверка персональных данных, перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, необходимо сообщить пин-код службе безопасности банка по телефону…»
• «Ваша карта заблокирована, необходимо связаться со службой безопасности по указанному номеру телефона».
• «Ваша карта заблокирована Центральным банком РФ, необходимо связаться со справочной службой по указанному номеру телефона»[65].
• «Отдел безопасности: ваша карта заблокирована, для разблокировки необходимо сообщить ПИН-код».
• «Ваша карта заблокирована по инициативе банка, срочно оплатите долг 1000 рублей. Телефон…»
• «Операции по вашей банковской карте временно приостановлены, справка по указанному телефону».
• «Действие вашей карты приостановлено ввиду взлома ПИН-кода, перезвоните по указанному номеру телефона».
• «Была попытка взлома ПИН-кода, ваша карта заблокирована, срочно перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, для разблокировки необходимо подойти к ближайшему банкомату и выполнить следующие действия…»[66]
• «Была попытка перевода денег с вашего счета, перезвоните по указанному номеру».
• «С вашей карты списано хх ххх рублей, перезвоните по указанному номеру».
• «С вашего счета произойдет списание на сумму хх ххх рублей, инфо по телефону…»
• «Ваша заявка на перевод в сумме хх ххх рублей принята, перезвоните по указанному номеру».
• «Подготовка перевода на сумму хх ххх рублей с вашего счета завершена, для справки позвоните по указанному номеру телефона».
• «Для подтверждения платежа по вашей карте в размере хх ххх рублей позвоните по указанному номеру телефона».
• «Вам звонят из банка ***, зайдите в интернет-банк и введите пароль…»[67]
• «Вам звонят из банка***, зайдите в интернет-банк, введите пароль и нажмите кнопку “Отмена”»[68].
• «Введите подтверждающие данные для входа в интернет-банк…»
• «Была попытка входа в ваш интернет-банк, для предотвращения мошенничества перезвоните по указанному номеру и приготовьте данные по карте».
Любой звонок обеспокоенного клиента по предлагаемому номеру телефона влечет за собой «уговоры» сообщить данные персональной идентификации удаленного клиента или заставить его «выдать» их другими способами. Как видно, в подавляющем большинстве случаев используется достаточно примитивный подход (из-за чего многие клиенты сразу обращаются в свой банк), при этом интересно отметить, что мошенники зачастую даже не затрудняют себя сменой номеров телефонов, с которых звонят клиентам банков (а на условиях анонимности владельца номера этого и не требуется). Используются десятки вариантов социального инжиниринга такого рода и, что интересно, находятся люди, неоднократно «попадающие» под одни и те же приемы и, как следствие, теряющие деньги более одного раза. Как говорится, «для компьютерных программ могут существовать “заплатки”, но от человеческой глупости их придумать невозможно». Все перечисленные выше подходы (равно как и многие другие) банкам нужно иметь в виду и «обучать» своих клиентов противодействию таким «социальным» атакам, к чему можно добавлять и выпуск специальных памяток, информирование через Интернет и т. д.
Более «тонкие» методы используют своего рода «настройки» на клиентов конкретных сервисов и могут характеризоваться довольно специфической предварительной подготовкой, обескураживающей атакуемого клиента или завлекающего его в ловушку, например:
• Клиенту поступает телефонный звонок с сообщением якобы от сотрудника банка о блокировке карты и крупной суммы на карточном счете в связи со «взломом ПИН-кода», после чего для разблокировки предлагается сообщить реквизиты карты, что тот и делает.
• Клиенту поступает сообщение «Вы выиграли ноутбук, позвоните в банк по указанному номеру телефона»; когда клиент (любитель халявы!) звонит по указанному номеру, ему предлагают дать номер карты и ввести заданный код для перевода средств с его счета, что зачастую и происходит.
• Клиенту поступает телефонный звонок с предложением якобы от сотрудника банка о возможности льготного кредитования на крупную сумму, после чего следует запрос о его идентификационных данных, номере банковской карты и т. п.
• Клиенту поступает телефонный звонок с сообщением якобы от сотрудника банка о необходимости «войти в интернет-банк» и ввести предлагаемый в коротком сообщении, пришедшем на его мобильный телефон, пароль в связи с тем, что надо отменить некую мошенническую операцию.
• Клиенту не удается инициировать сеанс ДБО, после чего ему поступает телефонный звонок с вопросом якобы от сотрудника банка о технических проблемах с ДБО и предложением ввода данных персональной идентификации в поля диалогового окна, которое выводится на экран его дисплея.
Можно было бы также привести десятки подобных примеров и данные о тысячах ежегодных целенаправленных атак на клиентов ДБО высокотехнологичных банков (и на сами банки с проникновениями в их сетевые структуры), при этом за счет низкой компьютерной грамотности клиентов и нередко безразличной позиции банков клиенты терпят убытки и потом предъявляют претензии тем же банкам[69]. Ситуация может существенно осложниться, если «крот» заводится в самом банке или в организации-провайдере, через которую проходят «чувствительные» данные (о чем клиент обычно не знает, поскольку очень слабо представляет собой используемую ТЭБ и ИКБД).
Вместе с тем следует отметить нередко возникающую «солидарность» клиентов, которые, заподозрив, что в их отношении имеет место попытка совершения мошенничества, обращаются в так называемые колл-центры[70] (или сервис-центры, горячие линии и т. п.) и сообщают о таких фактах, предлагая сотрудникам банка уведомлять других клиентов о подобных мошеннических приемах. Учитывая массовость случаев мошенничеств, можно было бы предположить, что колл-центры и службы безопасности банков, к которым за последние три года все чаще обращаются с подобной информацией клиенты ДБО, вполне могли бы разработать и критериальную базу для выявления попыток мошенничеств, и типовые схемы их предупреждения. В их число могли бы (должны бы!) входить и такие схемы, которые были бы направлены на оперативное пресечение очевидных «необдуманных» действий клиентов, которые они совершают по указаниям мошенников, представляющихся сотрудниками «их» банков. Вместе с тем следует отметить, что наилучшим способом противодействия социальному инжинирингу является все же осведомленность как клиентов, так и персонала банков.
Терминальное обслуживание с использованием пластиковых карт давно привлекло внимание криминальных сообществ, и в этом направлении тоже существует своего рода «технический прогресс». Все, вероятно, наслышаны о так называемом скимминге (skimming), однако люди продолжают попадаться даже на нехитрые приемы, и автору множество раз приходилось наблюдать за поведением людей, которые снимали деньги в банкоматах, но перед тем не проводили даже элементарного осмотра устройства, которым пользовались. Казалось бы, нетрудно осмотреть хотя бы «рабочую зону» с клавиатурой и провести пальцами под нависающей над клавиатурой панелью (или заглянуть под нее, да и просто оглядеться полезно), чтобы убедиться в отсутствии глазка миниатюрной видеокамеры, однако кредитные организации явно не учат своих клиентов мерам предосторожности при пользовании банкоматами. В результате известно множество случаев, когда на одни и те же банкоматы в течение суток неоднократно устанавливались и через некоторое время снимались скиммеры, «ворующие» данные персональной идентификации владельцев пластиковых карт, и продолжается это нередко длительное время.
Конечно, некоторые виды банкоматных мошенничеств постепенно уходят в прошлое, как, например, применение накладных клавиатур или использование так называемой ливанской петли (хотя отдельные случаи еще имеют место), но дополнением скимминга стал так называемый шимминг[71] — технология, позволяющая считывать и передавать по радиоканалу данные с банковских карт. Считывающее устройство — плата (шиммер) вставляется в приемный слот (кардридер) с помощью пластиковой опоры, имеющей такие же размеры, как у обычной банковской карты. После его размещения пластиковая опора извлекается, вследствие чего при поверхностном осмотре терминала ничего подозрительного не видно, хотя в принципе подложку шиммера можно увидеть как очень тонкую полоску; иногда на терминале остаются царапины или следы клея, но многие ли клиенты обращают внимание на такие «мелочи»? Похищенные данные передаются преступнику, находящемуся в зоне распространения радиосигнала с приемно-записывающим устройством, поэтому он может не «дежурить» около «заряженного» объекта атаки.
Наконец, возможно, наиболее серьезной проблемой современности, которая связана со всеобщей компьютеризацией, стало шпионское программное обеспечение (SpyWare). Оно ориентировано на поиск и хищение персональной информации пользователей, начиная с их веб-серфинга и заканчивая паролями и банковскими счетами. В отсутствие должных мер обеспечения информационной безопасности персональная информация похищается незаметно для пользователя, даже если никаких внешних изменений в работе его компьютера может не быть (хотя отдельные признаки таких изменений иногда все же бывают заметны). Поэтому необходимо, в частности, объяснять клиентам ДБО, что не следует путать SpyWare с компьютерными вирусами. Программы антивирусной защиты не выявляют шпионские программы, поскольку это совершенно иной вид угроз, реализуемых через недостатки в системном программном обеспечении (например, операционных системах и т. п.) и организации взаимодействия с теми или иными сетевыми структурами. Типичная последовательность действий связана с «заражением» компьютеров неосторожных клиентов так называемыми троянами или программами-шпионами, подстановкой им веб-страниц или веб-сайтов-муляжей для хищения персональных данных и т. п. Таким образом, можно говорить об «эффективном» во многих случаях совмещении технологий сетевых атак, фишинга и фарминга[72], то есть о таких технологиях, о которых, судя по количеству и содержанию жалоб, большинство клиентов ДБО кредитных организаций пока еще не догадываются.
Дополнительным стимулом для быстрого расширения комбинированных атак через виртуальное пространство на клиентов ДБО кредитных организаций за последние два года стало повсеместное распространение смартфонов и компьютерных планшетов, оснащенных мобильными клиентскими компонентами ДБО. Открытость таких операционных систем, как Android, наряду со встроенными возможностями управления информационной безопасностью непосредственно клиентами-пользователями, сформировали дополнительную почву для компьютерных сетевых мошенничеств. Приемы здесь используются те же самые, что и в отношении клиентов интернет-банкинга, тем не менее клиенты охотно покупаются на обещания выигрышей или подарков, расставаясь с данными своей персональной идентификации, «впускают» в свои портативные устройства программы-трояны[73] и другое SpyWare, вынуждая банки проводить все новые расследования и в ряде случаев компенсировать потери. Однако везет таким образом далеко не всем клиентам, так что суммарный счет потерь, связанных с этой частью киберпространства, тоже идет уже на сотни миллионов долларов (по данным СМИ).
Наблюдаемый в современном мире массовый характер мошенничеств такого рода должен был бы, по идее, подталкивать руководство банков к активизации разъяснительно-предупредительной работы с клиентами ДБО, что, естественно, затруднительно при массовом обслуживании, когда счет числа клиентов идет на сотни тысяч и миллионы. Тем не менее это представляется в любом случае желательным, если банки не намерены наращивать свои затраты на судебные издержки, компенсационные выплаты и вообще расходовать свои ресурсы на разбор конфликтных ситуаций с клиентами и контрагентами. В итоге данная проблематика оказывается тесно связанной с недостатками в организации и осуществлении договорной работы с клиентами ДБО и оформлении контрактов с провайдерами, от которых оказывается зависимой надежность банковской деятельности.
Впрочем, самих клиентов ДБО это беспокоит нечасто, потому что интерес к содержанию договорных документов на ДБО проявляет не более 25 % клиентов банков, о чем свидетельствуют опросы населения. В этом проявляется невысокая правовая культура и сохранившиеся до сих пор у значительной части населения надежды на «государство, которое всегда защитит», и эту ситуацию банкам следовало бы учитывать, детально разъясняя клиентам ДБО содержание подписываемых ими договорных документов и те гарантии, которые им предоставляются (или не предоставляются). Причем желательно также убеждаться в том, что клиент правильно понял содержание договора, особенно если в нем активно используется специальная терминология из математического аппарата теории кодирования.
Банк России давно уже обратил внимание на рассматриваемые проблемы и инициировал разработку целого ряда рекомендаций для кредитных организаций (законодательные ограничения не позволяют, к сожалению, разрабатывать нормативные правовые документы, ориентированные на повышение эффективности и надежности применения ИТ и организации ДБО), имея в виду в том числе их работу с клиентурой. В качестве некоторых примеров таких документов[74] можно упомянуть следующие письма Банка России:
— от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании»;
— от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» (далее — 36-Т);
— от 30.01.2009 № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга»;
— от 02.10.2009 № 120-Т «О памятке “О мерах безопасного использования банковских карт”»;
— от 26.10.2010 № 141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания»;
— от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов» и т. п.
Все эти документы ориентированы на защиту интересов клиентов кредитных организаций и самих этих организаций от ППД в киберпространстве. К сожалению, не всеми этими организациями в должной мере уделяется внимание тем документам Банка России, которые не могут по своему статусу считаться нормативными. Да и «массовость» ДБО не позволяет в ряде случаев реализовать полноценный индивидуальный подход даже тем банкам, которые располагают крупными колл-центрами и большим количеством персонала в своих офисах. Впрочем, ситуация постепенно меняется в лучшую сторону, поскольку Банк России в последние годы проводит активную работу по повышению «финансовой грамотности» населения страны.
3.3. Организация противодействия противоправной деятельности в условиях применения технологий электронного банкинга
Изложенное выше теоретически должно было бы подталкивать руководство кредитных организаций к тому, чтобы при принятии решения о внедрении какой-либо системы ДБО предварительно изучать особенности конкретной ТЭБ и информационно-телекоммуникационных систем, которые ее реализуют (то есть формируемого ИКБД и его состава), с позиций определения возможностей адекватного сопровождения ордеров клиентов на выполнение транзакций, самих транзакций, их результатов (включая выявление сомнительных операций, мошенничеств, хищений конфиденциальной информации и определение выгодоприобретателей, а также попыток взлома компьютерных систем). К этому примыкает и анализ систем ДБО на уязвимость к тем или иным видам ППД со стороны его клиентов.
В связи с этим в упоминавшейся выше работе БКБН о консолидированном управлении рисками, связанными с невыполнением принципа ЗСК, дополнительный акцент сделан на контроле над транзакциями клиентов, которые могут иметь связанный характер. Пропагандируемый «групповой подход» имеет важное значение потому, что клиенты-злоумышленники могут действовать через разные каналы доступа к информационно-процессинговым ресурсам банка — разные СЭБ, филиалы, дополнительные офисы, а также объединяться в рамках хозяйственно-экономической деятельности (о чем говорится и в материалах ФАТФ). Поэтому в современных условиях целесообразно отслеживать также такие возможности, как дробление сумм переводимых финансовых средств (например, до неконтролируемых в связи с установленным пределом в 15 000 рублей), использование разных каналов ДБО (на основе комплексного анализа СИ и маршрутной информации в ее составе[75]), сомнительные операции между счетами юридических и группы физических лиц, близкие по времени двунаправленные крупномасштабные переводы, которые могут свидетельствовать об откатах или использовании клиентов ДБО и их счетов в качестве так называемых мулов (то есть о задействовании их счетов в качестве транзитных для сокрытия целевых противоправных финансовых транзакций), работе межрегиональных преступных группировок и т. п.
Кроме того, кредитная организация, дистанционно предоставляющая банковские услуги, может оказаться ненадежной именно с точки зрения своих клиентов или незаметно для себя вовлеченной в ППД (особенно в случаях массового ДБО) и при необходимости выявления в соответствии с законодательством операций, подлежащих обязательному контролю, как говорится, «на проходе» (то и другое связано с репутационным, правовым и даже стратегическим рисками), если ее руководство недостаточно осознает необходимость обеспечения соответствия деятельности «своей» организации теперь уже трем основным принципам:
1. Знай своего клиента.
2. Знай своего работника.
3. Знай свои технологии.
В последнее время на федеральном уровне усиливается акцент на борьбе с противоправной деятельностью в рамках ПОД/ФТ, что необходимо учитывать высокотехнологичным банкам, чтобы не оказаться незаметно для себя в числе нарушителей Закона № 115-ФЗ. Надежная политика и процедуры для реализации принципа ЗСК не только содействуют, как пропагандирует БКБН, общей безопасности и надежности банков, но также защищают целостность банковской системы за счет снижения вероятности превращения банков в транспорт для отмывания денег, финансирования терроризма и другой ППД.
Вследствие этого (в части противодействия возможной ППД) структуру управления кредитной организации целесообразно сформировать таким образом, чтобы как минимум были гарантированы:
Разделение обязанностей, то есть наличие средств, которые гарантировали бы, чтобы те, кто управляет активами, не отвечали за контроль над соответствующими действиями, целостность записей об этом и не были связаны с собственно осуществлением транзакций. Обычно для этого проверяются совместно идентификация, аутентификация и авторизация пользователей (независимо от того, о ком конкретно идет речь: клиентах, операторах, операционистах, администраторах и пр.). Речь идет о грамотном разделении функций управления и контроля, а их не всегда легко определить (как, к примеру, в случае разработки и эксплуатации ПИО в банках).
Компетентность и ответственность персонала, поскольку контроль будет эффективным, только если те, кто его осуществляют, будут иметь необходимую квалификацию и при этом еще будут честными. Это означает, что в современных условиях информатизации, обусловливающих наличие высокой степени риска, недостаточно просто назначить специалистов для исполнения обязанностей, но требуется понимать, что заложенные в автоматизированные системы средства контроля должны действовать именно так, как предполагалось (и к тому же их нельзя было «обойти»).
Должный уровень полномочий ввиду того, что как отмечалось выше, типичной ошибкой в управленческих структурах является чрезмерная концентрация полномочий. Полномочия должны распределяться исключительно в границах необходимости их наличия. Очевидно, это требует от тех должностных лиц, которые управляют распределением полномочий, понимания того, какие существуют уровни полномочий и какие из них требуются в каждом конкретном случае. Здесь также должно действовать ограничение типа «необходимо знать» (то есть не более, чем требуется).
Регистрируемость, которая означает требование наличия средств контроля для регистрации всех решений, транзакций и действий, которые позволят определить, кто, что, когда делал, с должным уровнем уверенности. Как правило, для этого используются специальные компьютерные журналы (файлы — так называемые системные логи и аудиторские трейлы). Само по себе поддержание таких компьютерных журналов ничего особенно не гарантирует, поскольку их наличие может создать в организации ложное чувство безопасности. Поэтому, для того чтобы такие записи оставались эффективными, они должны регулярно тщательно пересматриваться на предмет их адекватности с принятием необходимых корректирующих мер.
Наличие достаточных ресурсов, в число которых входят: персонал, финансирование, оборудование, материалы и методологии. Руководство часто недооценивает стоимость ресурсов, требуемых для осуществления контроля, особенно в условиях распределенных компьютерных систем и ДБО. Мало того, встречаются ситуации, когда руководство просто не понимает необходимости расходов на те или иные специфические аппаратно-программные решения и квалифицированный персонал, обусловленные требованием обеспечения надежности банковской деятельности.
Контроль и проверки, поскольку адекватный надзор соответствующего типа является фундаментальным фактором реализации надежного ВК[76]. При этом он должен быть адекватным именно применяемым кредитной организацией технологиям и архитектурам вычислительных сетей и систем, и это целесообразно отражать в соответствующих распорядительных документах.
Начинать применять описанную идеологию целесообразно с адаптации процесса УБР в кредитной организации. В наиболее общем случае переход организации к применению какой-либо ТЭБ и внедрение реализующей ее автоматизированной системы логично было бы сопровождать (точнее, как отмечает БКБН, предварять) принятием руководством этой организации решений относительно:
— анализа состава источников новых компонентов банковских рисков;
— внесения изменений в описания типичных банковских рисков;
— содержания адаптации УБР;
— модернизации внутрибанковских процессов, связанной с адаптацией УБР;
— выпуска новых редакций соответствующих внутрибанковских документов.
Организация процесса УБР в высокотехнологичной кредитной организации может быть оценена как пруденциальная, только если его реализация заложена во всей системе управления рисками в ней, к которой следует относить целый ряд ее структурных подразделений (а не только то подразделение, которое непосредственно должно, как говорится, «управлять рисками»). Такое управление целесообразно осуществлять обоснованно (в документах), согласованно, последовательно и контролируемо (со стороны высшего руководства банка) в отношении:
— общей методологии управления рисками, включая анализ формулировок банковских рисков на предмет адекватности изменяющимся способам и условиям банковской деятельности, определяемым конкретными ТЭБ и СЭБ;
— следующих из нее административных, технологических и организационно-технических решений;
— внутрибанковских распорядительных документов, отражающих решения такого рода;
— выработки и внедрения новых управленческих и контрольных функций, что обусловлено спецификой внедряемой ТЭБ;
— положений о структурных подразделениях организации и должностных инструкций менеджеров и исполнителей.
В определении, внедрении и эффективном контроле над выполнением таких новых функций и состоит процесс адекватной адаптации деятельности кредитной организации к условиям применения ТЭБ. По существу, необходим именно стратегический подход к управлению банковскими рисками, которые содержат компоненты, обусловленные угрозами возможного осуществления ППД, то есть к воздействию на источники этих компонентов. В совокупности требуется адаптация корпоративного управления в части управления рисками банковской деятельности при ДБО, политики ее информатизации, ОИБ, ВК, ФМ, правового обеспечения, отношений с провайдерами, претензионной работы, функций колл-центров[77] и т. д.
Говоря о процессе управления информационными технологиями (УНТ), целесообразно обращать внимание на то, что время от времени в связи с развитием бизнеса, внедрением ДБО и новых сервисов для клиентов банков, да и просто с обновлением АПО возникает необходимость в его замене. Такие процедуры должны осуществляться обоснованно и контролируемо, чтобы не происходило прерывания деловой активности и прежде всего — выполнения обязательств кредитной организации перед своими клиентами. В части предотвращения ППД это означает, что в процессе замены АПО не должно возникать новых возможностей для НСД, несанкционированной или непроверенной замены отдельных его компонентов, злонамеренного вмешательства в этот процесс и т. д. Целью таких мероприятий является обеспечение гарантий контролируемости структуры и уровней банковских рисков. Это означает, что все изменения:
— обоснованны;
— санкционированы;
— сделаны;
— учтены (документированы);
— экономически эффективны,
а также то, что сделаны только санкционированные изменения.
Указанный контроль требует скоординированных усилий руководства, менеджеров среднего звена, ИТ-персонала, специалистов по ИТ, ОИБ, ВК, ФМ и аудиторов информационных систем. Фактически речь должна идти о гарантированной безопасности БАС и СЭБ, а также протекающих в них процессов и проходящих сквозь них информационных потоков.
Вместе с тем следует помнить, что до настоящего времени идеальных способов и средств ОИБ в сетевых структурах не существует. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками, а мастерство тех, кто защищает банк и его клиентов от реализации компонентов рисков, связанных с инцидентами информационной безопасности, как раз и заключается в том, чтобы в совокупности «охватить» максимально возможное количество зон источников компонентов банковских рисков такими средствами защиты, недостатки которых не совпадают. Обычно в литературе пропагандируется принцип так называемой эшелонированной обороны, который реализуется как за счет полноты документарного ОИБ и «Политики обеспечения информационной безопасности», так и, например, за счет применения брандмауэров и других средств сетевой защиты различных видов, возможно, разных производителей или основанных на различных аппаратно-программных платформах. При этом желательно и разделение обязанностей по их настройке, использованию и контролю. В то же время целесообразно помнить о том, что хотя брандмауэры действительно являются критично важными компонентами сетевой защиты, они защищают не от всех атак и не все атаки способны обнаруживать. Поэтому после них целесообразно устанавливать компоненты IPDS (Intrusion Protection and Detection System — система предотвращения и обнаружения проникновений).
Сетевая защита и грамотный выбор протоколов для передачи чувствительной информации являются основой ОИБ, особенно в структурах распределенных вычислительных сетей (муниципальных и зональных). Прослушивание сетевого трафика или перехват передаваемой по вычислительным сетям информации может раскрыть более чем достаточно сведений для хакера (прежде всего, инсайдера), стремящегося к получению прав и полномочий наиболее высокого уровня, обеспечивающих бесконтрольный доступ к информационным активам. Такие атаки являются пассивными, вследствие чего их труднее обнаружить, поэтому необходимо применять средства обнаружения «прослушки» в вычислительных сетях. Вместе с тем целесообразно учитывать желательность разнообразия средств не только пассивной, но и активной защиты. Если, например, злоумышленники способны использовать специальные программы-»вынюхиватели»[78] для перехвата, допустим, идентификационных кодовых последовательностей в сетевом трафике, то и в качестве средств сетевой защиты уместно применять программы, позволяющие обнаружить и идентифицировать таких «вынюхивателей». То есть речь здесь идет об известном принципе, который можно было бы переформулировать так: «чтобы поймать хакера, нужен хакер». Это относится и к выявлению источников сетевых атак через Интернет, в данном случае — на банковские автоматизированные системы, о чем желательно иметь представление сотрудникам кредитной организации, отвечающим за ОИБ, поскольку многие зловредные действия в киберпространстве стали в последнее время уголовно наказуемыми, и все больше становится специалистов, занятых в том числе проведением расследований в Сети. Впрочем, как и тех, кто занимается ППД «профессионально», о чем тоже не следует забывать.
Уместно также помнить о том, что защиту лучше строить не как «реактивную», а как «проактивную». Речь идет о том, что целесообразно представлять себе возможные действия хакеров и создавать модели нарушителей и возможных атак, а также сценарии их развития и последствий. На основе этого в том числе строится эффективная система ОИБ, определяются методы и средства защиты данных и операций. Кроме того, для управления средствами сетевой защиты и IPDS лучше организовывать в банке обособленную хорошо защищенную сетевую структуру, доступную для использования исключительно тем сотрудникам, которые отвечают за ОИБ. Иногда применяются специальные сетевые решения, которые позволяют вообще скрыть наличие IPDS от потенциального атакующего злоумышленника, для того чтобы на них нельзя было осуществить превентивную атаку для нанесения последующего ущерба организации. Для этого требуется создание отдельной сети управления комплексом IPDS, что может оказаться чрезмерно затратным и создавать неудобства для администраторов, управляющих этими системами, однако может стать и неизбежным. Если же такое решение принимается, то дальнейшее повышение безопасности самих IPDS может быть связано с организацией для них специальной виртуальной частной сети (VPN — Virtual Private Network), через которую будут реализоваться соответствующие функции управления и контроля и которая сама должна быть гарантировано защищена[79].
Поскольку в современном мире, в том числе в банковской сфере, все шире применяются подходы, связанные с аутсорсингом и распределенной обработкой данных, важнейшей задачей является обеспечение гарантий прозрачности ДБО как для высокотехнологичного банка, так и для его клиентов, ориентированных на внеофисное обслуживание (особенно в случае использования информационных технологий и автоматизированных систем, прежде всего СЭБ, предоставляемых провайдерами). В тех случаях, когда заведомо существует неопределенность в процедурах формирования, приема/передачи, хранения данных (в том числе в силу ограничений на доступ к технологиям, устанавливаемых провайдерами), от непрозрачных схем ИКБД предпочтительнее отказываться. В российских условиях принятая во многих зарубежных странах практика обязательного знакомства кредитных организаций с технологиями и автоматизированными системами, которые используются ими на условиях аутсорсинга, пока не закреплена. Это, в свою очередь, приводит к тому, что в случаях хищения конфиденциальных клиентских данных и (или) финансовых средств, равно как и сетевых или хакерских атак на банки и их клиентов возникает неопределенность ответственности, которую практически невозможно разрешить. Несовершенство российского финансового и, в частности, банковского законодательства только способствует возникновению подобных ситуаций, а значит, поиски выхода из них остаются прерогативой самих кредитных организаций, предлагающих ДБО.
Одним из дополнительных, но весьма существенных факторов риска, связанных с аутсорсингом и, как правило, редко учитываемых российскими банками, является отсутствие достаточного внимания к содержанию взаимодействия с провайдерами. За рубежом (в США и Западной Европе) считается, что любая пользующаяся аутсорсингом финансовая организация должна[80] иметь полное представление о таких характеристиках своих провайдеров:
— лицензионные данные;
— история, опыт и отзывы о деятельности;
— состав ИТ и АПО;
— организация ОИБ;
— квалификация ключевого персонала;
— средства обеспечения непрерывности функционирования;
— содержание планов на случай чрезвычайных обстоятельств;
— организация ВК;
— финансовое состояние;
— наличие и содержание субконтрактов на аутсорсинг[81];
— результаты аудиторских проверок.
Данный перечень соответствует минимальным требованиям такого рода, но относится ко всем видам технологического аутсорсинга.
Тем самым обеспечивается прозрачность ИКБД для банка и, во многом, технологическая надежность ДБО. Очевидно, что правильная организация работы с провайдерами прямо зависит от понимания значимости данной проблематики руководством банков. Можно, кстати, отметить, что на это обращается внимание многими зарубежными органами банковского надзора, к примеру, в одном из руководств Федеральной корпорации страхования депозитов США[82], посвященном оцениванию банковских рисков, связанных с информационными системами, сказано: «Если банк взаимодействует с провайдерами компьютерного обслуживания, в число которых входят те, кто занимается проектированием, разработкой, администрированием, обслуживанием систем, обработкой данных, аппаратным и программным обеспечением, то руководство банка отвечает за защиту своих систем и данных от рисков, ассоциируемых с внедряемыми технологиями и компьютерными сетями. Если банк зависит от провайдера, то руководство должно иметь представление о политике и программе провайдера по обеспечению информационной безопасности, чтобы оценить возможности защиты данных самого банка и его клиентов».
Поскольку, как отмечалось ранее, компьютерные системы провайдеров могут использоваться в качестве промежуточных «усилителей» для атак на банки, их специалистам целесообразно время от времени проводить работу по изучению состояния дел с ОИБ у провайдеров (как минимум ежегодно, в соответствии с рекомендациями БКБН). Кроме того, логично было бы обращать внимание руководителей самих провайдеров на то, что от надежности, функциональности и защищенности их систем непосредственно зависит и технологическая надежность обслуживаемого банка, одновременно знакомя их с обязательствами данного банка перед клиентами и теми гарантиями, которые сам банк им обязуется обеспечить[83]. Таким образом, желательно было бы убеждаться также и в том, что специалисты провайдера осведомлены о возможных инцидентах информационной безопасности, сетевых атаках и т. п.
и принимают все необходимые меры для того, чтобы им противостоять, защищая тем самым и связанную с ним организацию и ее клиентов ДБО. Вот только в условиях не слишком развитой инфраструктуры, следствием чего оказывается слабая конкуренция, в весьма немногих российских городах у банков имеются возможности для маневра в отношении провайдеров разного рода. Эту проблематику также целесообразно учитывать при организации процесса УБР в банке и при составлении правоустанавливающих документов, определяющих ее взаимоотношения с клиентами ДБО.
В цитировавшейся в подразделе 3.1 книге по киберправосудию указывается, в частности, что «в современном мире как никогда критично важным для кредитных организаций, через которые проходят денежные потоки клиентов, является внедрение эффективной программы «киберправосудия» наряду с соответствующей подготовкой персонала, кадровой политикой, а также должными внутрибанковскими процедурами». Поэтому банкам целесообразно было бы располагать политикой сбора и сохранения данных, которые можно было бы использовать при необходимости проведения внутренних и внешних расследований, а также в судебных разбирательствах, в первую очередь — СИ и входящей в ее состав маршрутной информации (в зависимости от вида ДБО, используемых систем и каналов связи она будет варьироваться, что также следует учитывать). Такие данные должны быть оперативно доступны, в том числе контролирующим органам, и надежно храниться с гарантиями их быстрого восстановления при наступлении каких-либо форс-мажорных обстоятельств. Эти данные должны лечь в основу специальной «Программы противодействия возможной противоправной деятельности», которую целесообразно разработать руководству кредитной организации и менеджменту служб безопасности, ВК и ФМ и управлять ее выполнением. Считается, что она должна быть частью более общей «Программы защиты активов», а в качестве основы для реализации совокупности соответствующих мероприятий можно было бы воспользоваться схемой, приведенной на рисунке 3.4[84].
Рис. 3.4. Программа защиты активов и программа предотвращения мошенничества, а также их компоненты
По аналогии с «Политикой обеспечения информационной безопасности» в таком документе следует предусмотреть совокупность мероприятий, выполнение которых позволит существенно снизить количество угроз, реализуемых в целях любой ППД. Вследствие этого неизбежна тесная связь мероприятий по ОИБ, формирующих периметр безопасности кредитной организации в киберпространстве, с мерами противодействия возможному противоправному использованию технологий ДБО. Следует отметить, что в данном случае типичный акцент на работу службы безопасности банка не оправдан — процесс эффективного возможной ППД неизбежно является комплексным!
На изучение ситуации с противодействием компьютерным мошенничествам в отношении высокотехнологичных банков и их клиентов было ориентировано Письмо Банка России от 25.02.2013 № 27-Т «О запросе и получении от кредитных организаций информации», в котором содержалась анкета по тематике организации противодействия возможной противоправной деятельности с использованием информационных технологий, в том числе интернет-технологий и других технологий ДБО. К сожалению, указанная анкета имела достаточно общий характер и поэтому может служить преимущественно в качестве принципиального ориентира для банков на те подходы, которым целесообразно было бы следовать при организации противодействия возможной ППД. Как видно из содержания входящих в анкету вопросов, основное внимание целесообразно уделять как раз перечисленным выше внутрибанковским процессам: УИТ, ОИБ, ВК, ФМ, правового обеспечения и претензионной работе.
Темпы развития все новых ИТ и способов их противоправного использования приводят к серьезным проблемам для тех, кто обязан воспрепятствовать осуществлению компьютерных преступлений и проводить компьютерные же расследования, чтобы оставаться, так сказать, «на уровне» развития информационных технологий и тем более предупреждать разрушительную деятельность «плохих парней» (как говорят в США). Вследствие этого весьма желательно оценивать новые технологии с позиций возможного их применения для сокрытия ППД, обхода мероприятий по ОИБ, ВК, ФМ и маскировки действий или маскирования личности злоумышленников. В этом плане крайне важны грамотное распределение функциональных ролей в управленческой иерархии кредитной организации и контроль над ними.
В зарубежной литературе, посвященной тематике киберправосудия, считается, что в организациях знаниями о его законодательной основе и основных принципах осуществления следует обладать:
— членам советов директоров;
— главным бухгалтерам (Chief Financial Officers);
— операционным директорам (Chief Operational Officers);
— руководителям, ответственным за информационные технологии;
— руководителям обеспечения информационной безопасности;
— руководителям службы внутреннего контроля (аудита);
— директорам кадровых служб;
— менеджерам, ответственным за непрерывность бизнеса;
— менеджерам, ответственным за реагирование на инциденты.
Данный перечень не является исчерпывающим, но скорее изначальным. Отмечается, что круг лиц, от которых потребуется наличие знаний такого рода, с течением времени будет неизбежно расширяться за счет охвата второго и третьего уровней управленческой иерархии (при усложнении компьютерных систем организации).
Грамотное осуществление ВК и ФМ в условиях применения ТЭБ стало принципиально важным за последние десять лет, но, к сожалению, это не всегда в должной степени осознается руководством высокотехнологичных кредитных организаций. Как всегда подчеркивает в своих работах БКБН, «банкам необходимо располагать средствами внутреннего контроля, адекватными характеру, видам и масштабам их деятельности. Цель использования средств ВК заключается в содействии обеспечению руководством гарантий упорядоченного и эффективного ведения бизнеса, включая приверженность политике управления, защищенность активов, предотвращение и обнаружение мошенничества и ошибок, точности и полноты записей в бухгалтерском учете, а также своевременной подготовки достоверной финансовой отчетности. Разработка специализированных компьютеризованных информационных систем существенно улучшила возможности для осуществления контроля, однако, в свою очередь, привнесла дополнительные риски, связанные с возможностью отказов компьютерной техники или ее мошеннического использования»[85]. Упоминание новых рисков не совсем уместно, поскольку на самом деле речь следовало бы вести об усложнении их структуры (появлении новых компонентов рисков), но ключевое слово здесь — «адекватный», и это совершенно верный акцент.
В условиях новых ИКБД, создаваемых любой ТЭБ, требования к осуществлению ВК неизбежно повышаются, и сама эта работа становится пропорционально более сложной, требующей дополнительной и достаточно высокой квалификации, позволяющей «проникать» в не раз упоминавшееся в данной главе киберпространство и контролировать протекающие в нем процессы. Нельзя при этом забывать о том, что пространство это простирается от устройств, которыми пользуются клиенты, через телекоммуникационные системы, СЭБ и вычислительные сети до той или иной БАС кредитной организации, реализующей ее так называемый бэк-офис. Именно в нем и реализуется наибольшее количество компонентов таких банковских рисков, как операционный, неплатежеспособности, репутационный и, отчасти, стратегический, чему как раз и должен воспрепятствовать ВК. Отсюда можно сделать вывод, какими знаниями и квалификацией необходимо обладать специалистам службы ВК[86].
Поэтому хорошей практикой при переходе кредитной организации к внедрению ТЭБ можно было бы считать включение в состав службы ВК специалистов, имеющих такую квалификацию, как, например:
— Certified Information Systems Auditor (CISA) — сертифицированный аудитор информационных систем;
— Certified Information Systems Manager (CISM) — сертифицированный менеджер информационных систем;
— Certified Information Systems Security Professional (CISSP) — сертифицированный профессионал по безопасности информационных систем;
— Certified Fraud Examiner (CFE) — сертифицированный инспектор по мошенничеству,
или аналогичную им, хотя специалистов, имеющих соответствующие сертификаты, в России до настоящего времени немного[87]. Обеспечение полной совокупности квалификационных качеств вряд ли достижимо для большинства российских кредитных организаций, однако целесообразно все же осознавать значимость их наличия в современном высокотехнологичном банке.
В то же время служба ВК не должна работать в «безвоздушном пространстве» — эффективный контроль в высокотехнологичных кредитных организациях возможен только в том случае, если в них сформирована система ВК (СВК). Собственно указанная служба является только «ядром» СВК, а ее элементы («датчики») следует располагать во всех структурных подразделениях кредитной организации, во всяком случае — в критически важных для обеспечения надежности банковской деятельности. В число этих подразделений входят, естественно, как минимум ИТ, ОИБ, УБР, юридический департамент и, возможно, ряд других. Организационная схема, соответствующая описанному подходу, может иметь вид, как на рисунке 3.5.
Рис. 3.5. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления ВК
Одно из главных требований, неизбежно следующее из понятия надежной банковской деятельности, — это наличие реальных гарантий того, что ИТ, БАС и все СЭБ действительно являются управляемыми и контролируемыми с подтверждением этого в том числе при внедрении новых ТЭБ. Руководству банков следует осознавать, что служба ВК является наиболее значимым ее подразделением, которое предоставляет руководству достоверную информацию о ее реальном функционировании и состоянии.
В одной из книг по тематике предотвращения мошенничества подчеркивается важность бдительности, умения и опыта своевременного обнаружения первых признаков нарушений, мошенничества и неправильного функционирования систем[88]. При этом отмечается, что, во-первых, высшим руководителям не следует слепо доверять своим подчиненным, должна существовать сбалансированная система проверок за счет наличия внутренних контрольных механизмов и регулярного внешнего аудита, и, во-вторых, что компьютерные системы должны быть эффективными, постоянно проверяться и контролироваться. Традиционного общего «бухгалтерского» ВК недостаточно, а для сохранения уверенности в конфиденциальности, целостности и доступности точной и своевременной информации для принятия решений важно проводить регулярный (по мнению БКБН, как минимум ежегодный) аудит информационных систем. Также немаловажно использовать в аналитических процедурах, связанных с контролем деятельности пользователей ДБО и претензионной работой (см. следующий подраздел), дополнительные технологические признаки возможной ППД, к примеру присутствие в трафике анонимных прокси-серверов или появление каких-то ордеров клиента, связываемых с разными группами IP-адресов, или же близких по времени поступления данных о транзакциях (например, карточных) из удаленных друг от друга мест и т. п. — подобные факты должны настораживать сотрудников ОИБ и ФМ банка как своего рода «разведпризнаки» ППД. Поэтому целесообразно внедрение таких аналитических программ ФМ, которые способны реализовывать экспертную логику такого рода[89]. Можно отметить, что на рынке программно-информационных продуктов, предлагаемых банкам, уже появилась целая линейка средств обнаружения и предотвращения противоправной деятельности (модули, называемые «антифрод», «антидроп» и им подобные[90]).
В части организационно-технических мероприятий руководству банков целесообразно организовать разработку таких документов:
— программа противодействия осуществлению мошенничеств, политика обеспечения информационной безопасности и т. п.;
— порядок доведения до исполнительного органа информации о ситуациях, которые могут свидетельствовать о совершении мошенничеств, и осуществления стресс-тестирования на устойчивость к мошенничествам;
— порядок предоставления прав и полномочий доступа персонала к устройствам, входящим в состав банковских автоматизированных систем и систем электронного банкинга;
— политика подбора надежного персонала;
— порядок ограничения использования мобильных носителей информации;
— порядок сбора информации о совершении компьютерных мошенничеств;
— порядки проведения внутреннего и внешнего аудитов АПО, входящего в состав БАС и других информационных систем;
— порядок контроля и регистрации доступа в помещения, используемые для обработки и (или) хранения критически важной информации;
— порядки пользования электронной почтой и ресурсами Интернет, а также мониторинга использования соответствующих ресурсов;
— порядок контроля поведения персонала с позиций оценки возможностей осуществления мошенничеств или вовлечения в них;
— порядок распределения и контроля логического доступа к аппаратно-программным и информационным ресурсам (включая инструкцию по регистрации пользователей, парольную политику и т. п.);
— порядок использования средств предотвращения и обнаружения сетевых проникновений, перехвата чувствительной клиентской и банковской информации, несанкционированного доступа и т. п. ситуаций;
— порядок ведения, использования и защиты компьютерных журналов;
— порядок разделения функций администрирования (системного, сетевого, информационной безопасности, баз данных и т. п.);
— порядок, определяющий действия операторов колл-центра на обращения клиентов по поводу возможных мошенничеств;
— порядок ведения претензионной работы с удаленными клиентами;
— соглашение с банками-корреспондентами о розыске и возврате денежных средств, переведенных в результате мошенничеств;
— порядок мониторинга профилей операционной деятельности клиентов;
— порядок обращения в правоохранительные органы по фактам выявления компьютерных мошенничеств;
— порядок контроля выполнения «Программы противодействия осуществлению мошенничеств» и т. п.
Помимо прочего, необходимо, естественно, поддерживать актуальность всех перечисленных документов и их соответствие меняющейся с каждым новым внедрением СЭБ ситуации в банке, тем более в способах и условиях банковской деятельности на основе новой ТЭБ.
Суммируя сказанное выше касательно технических мероприятий, необходимо также:
— разделение локальных вычислительных сетей банка на сегменты по функциональным признакам;
— применение средств обнаружения сетевого мониторинга (sniffing’a);
— применение межсетевых экранов при соединении сегментов сетей;
— применение межсетевых экранов при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями;
— применение при соединении ЛВС банка с внешними информационно-телекоммуникационными сетями двухуровневой системы межсетевой защиты;
— проведение проверок отсутствия возможностей несанкционированного подключения к ЛВС КО;
— ведение системных журналов регистрации доступа персонала банка (операторов, операционистов и др.) к компонентам БАС, СЭБ, подготовки корпоративной отчетности ит.п.;
— ведение системных журналов регистрации доступа клиентов банка — пользователей СЭБ к информационно-процессинговым ресурсам этих систем;
— проведение проверок отсутствия возможностей использования на функциональных автоматизированных рабочих местах устройств дистанционного доступа (точки доступа беспроводных сетей, модемы и др.);
— осуществление обязательного контроля над установкой и модификацией программных средств в банке и т. д.
В целом уместно было бы поддерживать также адекватный «арсенал» средств для проведения непосредственно в кредитной организации криминалистической компьютерной экспертизы, имея в виду технические средства и приемы, так как формирование в ее структуре полноценного следственного подразделения вряд ли экономически целесообразно — важно как минимум располагать средствами для фиксации улик и свидетельств внутрисистемного аудита. Поскольку преступники меняют тактику, необходимо понимать их действия и знать, чем именно мошеннические действия отличаются от типовых действий и привычек обычных клиентов. В общем случае, как уже отмечалось ранее, для того чтобы поймать преступника, уместно думать так же, как преступник, при этом руководству кредитной организации следует учитывать, что наилучший подход для осознания угроз ее информационным системам состоит в их оценивании с точки зрения злоумышленника, который к тому же будет стараться скрыть следы своих действий. Итак, при организации противодействия ППД целесообразно реализовать следующие этапы:
— определение в соответствии с установленным порядком причины проведения расследования или соответствующее обоснование;
— определение того, насколько реально проведение эффективного расследования или доведение его до логического завершения;
— определение состава и сбор свидетельств, их сохранение, оформление и систематизация;
— комплексный анализ свидетельств и составление перечней свидетелей, объектов и процедур, относящихся к расследованию;
— подготовка отчета о результатах проведенного расследования и, при необходимости, представление его следственным органам.
Соответствующий набор методов, алгоритмов и средств их реализации целесообразно продумывать для каждой внедряемой ТЭБ (и даже ее однородных вариантов!), так как в противном случае противодействие возможной ППД окажется неэффективным. Излишне говорить о крайней желательности документарного оформления перечисленных мероприятий и такого же «циклического» пересмотра содержания этих документов, порядков, процедур, аналогичных инструкций на предмет актуальности и адекватности реальной ситуации в банке, наращивающем свои «технологические мускулы».
3.4. Особенности организации претензионной работы при применении технологий электронного банкинга
Наряду с изложенным в предыдущих подразделах, весьма важным для банков, переходящих к ДБО, становится внедрение эффективной политики осуществления претензионной работы в отношении клиентов, взаимодействующих с банками дистанционно, а также обеспечение гарантий защиты их интересов. При этом в общем случае необходимо учитывать, что применение разнородных ТЭБ заведомо приводит к различию и в процедурах разрешения конфликтных ситуаций, и в порядке и правилах реализации киберправосудия, и в составе информации, которую, возможно, при необходимости потребуется предоставлять правоохранительным органам и которая, не исключено, будет фигурировать и в ходе последующих судебных разбирательств (имея в виду все варианты ППД). С учетом сказанного выше, руководству банков следует чрезвычайно внимательно относиться к качеству договорных документов с клиентами, включая в их текст детальные описания состава упоминавшейся в подразделе 3.1 доказательной базы и обеспечения ее юридической силы, которые одновременно будут понятны клиентам ДБО и не вызовут разночтений в случаях предъявления судебных исков.
Это же относится к описанию процедур, реализуемых так называемыми конфликтными комиссиями, требований к их составу и квалификации соответствующих специалистов, равно как и определению того, какую юридическую силу будут иметь экспертные заключения такой комиссии в случае, если дело дойдет до судебного разбирательства[91]. Такую же информацию целесообразно отражать и в текстах договоров на ДБО (контрактов, дополнительных соглашений к договору банковского счета и т. п.), а также убеждаться в том, что каждый клиент ДБО ознакомлен с перечисленными видами информации, ответственно подписывает содержащий ее правоустанавливающий документ и подтверждает согласие на использование соответствующих порядков и правил в случаях, когда возникает необходимость в разрешении конкретных — зафиксированных документально — спорных (конфликтных) ситуаций, в том числе при возникновении угроз возбуждения судебных исков[92].
Разрешение «цифровых» аспектов многих современных преступлений требует участия опытных специалистов по криминалистической экспертизе, владеющих необходимыми навыками сбора и анализа улик, содержащихся в компьютерах, а в настоящее время такие аспекты содержатся почти в каждом преступлении, связанном с хищением финансовых средств или конфиденциальной информации, равно как и расследованием инцидентов ПОД/ФТ в целом. В компьютерах разного рода, мобильных телефонах, коммуникаторах, PDA[93], компьютерных планшетах и других электронных устройствах часто хранится информация, которая может оказаться полезной для хода расследования (равно как и в сообщениях электронной почты)[94]. Специалисты, первыми прибывающие на место преступления (а затем и следователи), должны уметь распознавать потенциальные «цифровые» улики и знать, как сохранить их для анализа экспертов.
Состав таких улик в зависимости от конкретных применяемых ТЭБ варьируется, что прямо сказывается как на формировании подмножеств данных, используемых в составе СИ, так и на видах сведений, предоставляемых тем, кто расследует те или иные компьютерные преступления, совершаемые в банковском секторе (инсайдерами банков, крэкерами в отношении банков или хакерами в отношении клиентов ДБО и пр.). К сожалению, до настоящего времени для российской финансовой сферы не разработаны какие-либо нормативные правовые акты, которые хотя бы в общих чертах регламентировали бы организацию специализированных внутрибанковских процедур, ориентированных на предупреждение и обеспечение расследования возможной ППД. Поэтому с формальной точки зрения банки, к сожалению, не обязаны именно пруденциальным образом организовывать и контролировать действия своих удаленных клиентов и провайдеров (входящих в каждый конкретный ИКБД) в связи с теми или иными сомнительными ситуациями (которые впоследствии могут привести как к финансовым, так и к правовым проблемам). Ниже приведен ориентировочный (и заведомо неполный, хотя вполне пригодный для использования) перечень процедур такого рода:
— осуществление многофакторной идентификации клиентов ДБО (включая отслеживание их перемещений);
— сопоставление IP-адресов, с которых поступают ордера клиентов;
— обоснованное блокирование счетов подозрительных клиентов;
— предупреждение и парирование возможных ошибок клиентов, — оперативное реагирование на противоречивые ситуации с клиентами ДБО;
— разработку инструкций для операторов колл-центра с описанием вариантов мошенничеств и оперативного реагирования на них;
— определение в договорах с клиентами ДБО мер безопасности;
— определение в контрактах с провайдерами условий аутсорсинга;
— изучение информационных технологий, используемых провайдерами;
— проверку технологической надежности и безопасности провайдеров;
— использование процедур аутентификации различных информационных сообщений (включая ордера клиентов, сеансовые пароли и пр.);
— принятие конкретных мер по предотвращению мошенничеств, а также установлению ограничений на действия клиентов ДБО;
— определение возможностей обнаружения программ-шпионов, программ-вирусов и другого вредоносного программного обеспечения;
— принятие конкретных мер по обеспечению доступности, функциональности и информационной безопасности ДБО;
— сопоставление номеров телефонов, с которых к клиентам обращаются якобы сотрудники банка или Банка России;
— информирование правоохранительных органов о подозрительных номерах телефонов, с которых клиентам звонят злоумышленники;
— информирование клиентов ДБО о системах провайдеров и их функциях (как минимум связанных с передачей чувствительных данных);
— угрозах, связанных со «странными» телефонными звонками, сообщениями о поступлении MMS, интернет-сообщениями неясного происхождения.
Тем не менее каждое из подобных мероприятий прямо связано с обеспечением гарантий выполнения кредитными организациями обязательств перед своими клиентами и защитой их интересов. Некоторое содействие в плане сохранения СИ в связи с принятием Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» могут оказать отдельные выпущенные «под него» подзаконные акты Банка России, например, Положение от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Однако указанный закон, к сожалению, тоже страдает неполнотой с точки зрения защиты интересов клиентов кредитных организаций, в частности клиентов ДБО.
К претензионной работе имеют отношение многие современные негативные явления, связанные с прямыми и косвенными атаками на клиентов ДБО кредитных организаций, о чем, вообще говоря, целесообразно было бы ставить в известность таких клиентов. Например, в Письме Банка России от 25.06.2009 № 76-Т «О рекомендациях по информированию клиентов о размещении на веб-сайте Банка России списка адресов веб-сайтов кредитных организаций» сообщалось о «появлении в российском сегменте сети Интернет веб-сайтов, имитирующих интернет-представительства ряда российских кредитных организаций. Доменные имена и стиль оформления таких сайтов, как правило, сходны с именами подлинных веб-сайтов банков, а содержание прямо указывает на их якобы принадлежность соответствующим кредитным организациям. При этом посетителям таких веб-сайтов сообщаются заведомо ложные банковские реквизиты и контактная информация. Использование подобных реквизитов, а также вступление в какие-либо деловые отношения с лицами, фактически представляющими “ложные” банки, связано с риском и может привести к нежелательным последствиям для клиентов кредитных организаций». В связи с этим «в целях противодействия распространению подобных негативных явлений Банк России, начиная с 11.06.2009, приступил к регулярному размещению на своем веб-сайте… списка адресов (доменных имен) официальных веб-сайтов кредитных организаций».
Одновременно отмечалось, что «Банк России считает целесообразным рекомендовать кредитным организациям предупреждать клиентов о распространении в сети Интернет недостоверной информации об интернет-ресурсах кредитных организаций, а также информировать их о размещении списка адресов официальных веб-сайтов кредитных организаций на веб-сайте Банка России. Кредитным организациям рекомендуется подготовить и распространить среди клиентов памятку, содержащую исчерпывающую контактную информацию, рекомендации по безопасному использованию банковских интернет-технологий, а также предложения клиентам информировать кредитную организацию о самостоятельно выявленных ложных веб-сайтах банка или о полученных сведениях подобного рода по электронной почте или иным способом. При наличии в распоряжении кредитной организации сведений об установленных ложных веб-сайтах, списки их адресов также целесообразно доводить до клиентов, в том числе путем публикации на официальных интернет-представительствах кредитной организации».
К сожалению, из-за недостатков действующего законодательства Банк России не имеет возможности полноценного регулирования всех процедур организации, управления и контроля ДБО, а также обеспечения его надежности (в широком смысле), вследствие чего кредитные организации вынуждены решать многие из таких вопросов самостоятельно, почему в упоминавшемся Письме Банка России 36-Т[95] и содержится достаточно обширный 5-й раздел, где описываются информационные компоненты, которые целесообразно использовать руководству этих организаций при принятии бизнес-решений в области ДБО. Указанные там информационные компоненты охватывают широкий круг вопросов от управления банковскими рисками в связи с применением ТЭБ и технического обеспечения ДБО до сведений о негативных ситуациях, имевших место при использовании СЭБ (по пяти направлениям информирования). Поэтому 5-й раздел Письма Банка России 36-Т уместно использовать в качестве информационной основы для принятия указанных решений.
Наиболее современный подход к аналитической работе в кредитных организациях связывается с применением технологий так называемых систем поддержки принятия решений (СППР), в которых по существу реализуются элементы так называемого искусственного интеллекта. Это направление идеологически и алгоритмически сходно с другим его направлением — «экспертными системами», давно используемыми в банковских секторах западных стран в аналитических целях (как центральными банками, так и банковским сообществом). Экспертные системы применяются в аналитических целях для поиска решений, требующих комплексного когнитивного анализа информации (например, об уровнях банковских рисков, в целях комплайенс-контроля и др.). Такие системы позволяют использовать обширные информационные базы фактов, так называемые базы знаний и механизмы логического вывода, с помощью которых обеспечивается некий минимальный уровень экспертизы, который в условиях крупномасштабной и многогранной банковской деятельности обеспечить затруднительно в силу сложностей с аналитической обработкой огромных массивов данных, особенно разрозненных[96]. В качестве примеров можно привести функции любого колл-центра и службы поддержки клиентов крупной кредитной организации, формирование, сохранение и аналитическое применение так называемых паттернов (шаблонов, образов) действий клиентов и мошенников (благо для финансового сектора существует уже немало таких разработок, предлагаемых на различных форумах, в том числе банковских). Комплексный анализ такого рода имеет непосредственное отношение к исключению возможностей осуществления и предотвращению ППД, которая далеко не исключена при ДБО, и расследованию ее инцидентов.
СППР обычно комбинируются с хранилищами данных, то есть базы данных используются для принятия фундаментальных бизнес-решений, в том числе за счет так называемого глубокого комплексного анализа данных (что в зарубежной литературе определяется как data-mining). В таких случаях весьма важно, чтобы руководство кредитной организации могло полагаться на точность, полноту, целостность, конфиденциальность и актуальность этих систем, тем более что в условиях массового обслуживания и лавинообразного роста количества ордеров удаленных клиентов СППР (или сходная с ней экспертная система, обеспечивающая минимально необходимый уровень квалификации для принятия решений) может оказаться незаменимым вариантом информационно-аналитической работы персонала и руководства высокотехнологичного банка, в том числе в плане УНТ, управления и контроля функционирования СЭБ. Для полноценной работы СППР требуется полноценное сохранение сведений о поступающих в обработку ордерах клиентов, направляемых в банк в ходе сеансов ДБО, в течение каждого сеанса такого обслуживания каждого клиента с момента начала сеанса и до момента завершения (прерывания) сеанса ДБО. Одновременно необходимо отметить, что банкам целесообразно организовывать комплексный анализ самих ордеров клиентов, в котором используются и данные СИ, поскольку в случае использования многоканальных СЭБ, в особенности с децентрализованной (или распределенной) архитектурой, возможны ситуации пропуска противоправных (или сомнительных) действий клиентов через разные каналы доступа к информационно-процессинговым ресурсам банка, через разные филиалы, дополнительные офисы и т. п.
В завершение настоящего раздела необходимо отметить, что в условиях полностью компьютеризованной современной банковской деятельности и в том числе ДБО руководству высокотехнологичных банков целесообразно было бы формировать в их структуре специальные подразделения (лучше — действующие на постоянной основе), в которые входили бы специалисты с подготовкой по ИТ, ОИБ, экономической безопасности, ФМ, ВК, УБР, правовому обеспечению и, возможно, с другими видами квалификации. Тремя основными задачами таких подразделений можно было бы считать:
1) организацию противодействия возможной ППД в киберпространстве банковской деятельности (включая ЛВС банка);
2) обеспечение проведения расследований инцидентов, связанных с такой деятельностью (отмывание денег, мошенничества, хищение информации);
3) взаимодействие с правоохранительными органами в ходе и по результатам таких расследований (если речь идет об уголовном преследовании).
В самом банке целесообразно организовать специальное взаимодействие между структурными подразделениями, которые имеют прямое отношение к рассмотренной проблематике, что может быть сделано по аналогии с рассмотренным выше взаимодействием в части обеспечения и реализации ВК (рис. 3.6).
Рис. 3.6. Взаимодействие структурных подразделений кредитной организации в рамках противодействия ППД
Приведенная на рисунке 3.6 схема не является исчерпывающей и может быть расширена в зависимости от структуры конкретной кредитной организации, видов и масштабов ее деятельности, типов/вариантов ДБО и СЭБ и т. д. Требуемые дополнительные функции указанных подразделений, равно как и детали информационного взаимодействия между ними, вполне очевидны из вышеизложенного и поэтому здесь не комментируются. Описанное взаимодействие целесообразно отразить в соответствующих распорядительных документах и порядках кредитной организации, а также закрепить в положениях об этих подразделениях и в должностных инструкциях их сотрудников.
Обоснованность, полноту, качество реализации и контролируемость соответствующих функций с течением времени целесообразно проверять, в том числе исходя из оценивания их адекватности тем новым способам и условиям банковской деятельности, которые привносят вместе с собой новые технологии и системы ДБО[97]. В документах БКБН вообще рекомендуется регулярно (ежегодно) оценивать реализацию основных внутрибанковских процессов (управления, контроля, документарного обеспечения, применения ИТ, ОИБ, ВК,ФМ, УБР, взаимодействия с провайдерами и др.) с точки зрения их адекватности способам и условиям банковской деятельности и при необходимости осуществлять их адаптацию, если становятся очевидными какие-либо недостатки в их содержании и организации. Это целесообразно делать с учетом развития банковского бизнеса, внедрения новых сервисов и реализующих их автоматизированных систем и систем электронного банкинга, а также расширяющегося ИКБД. Тем самым может быть сформирована полноценная основа, как информационная, так и операционная, для осуществления эффективной претензионной работы с клиентами ДБО, ориентированной прежде всего на защиту их законных интересов.
Наконец, необходимо помнить о том, что любая методология анализа банковских рисков с течением времени устаревает. Точно так же устаревают и те или иные приемы противодействия ППД, мало того, приходится разрабатывать новые подходы к такому противодействию с учетом постоянно развивающихся технологий и появления новых вариантов предоставления банковских сервисов, особенно в рамках мобильного банкинга, который, не исключено, постепенно вытеснит развитые в настоящее время способы ДБО. В постоянном обновлении банковских технологий, целенаправленном повышении надежности реализующих их автоматизированных систем и совершенствовании противодействия ППД заключается залог надежности современной и перспективной банковской деятельности.
Глава 4
Мошенничество в сфере банковских платежных карт
4.1. Уголовно-правовые аспекты борьбы с противоправными деяниями в сфере банковских карт
Противоправные деяния с использованием банковских карт являются для России относительно новым видом преступления — до 1996 г. в Уголовном кодексе отсутствовало упоминание о каких-либо картах. В новом Уголовном кодексе, вступившим в действие с 1997 г., появилась единственная статья, прямо предусматривающая ответственность за противоправные действия с кредитными либо расчетными картами (статья 187 УК РФ). В 2015 г. в указанную статью были внесены изменения и вместо кредитных расчетных карт в качестве одного из предметов преступления были указаны платежные карты.
Преступления с платежными картами трудно раскрывать. Задержание с поличным происходит очень редко, а после совершения преступления остается слишком мало следов, по которым можно было бы впоследствии отыскать злоумышленника.
Если преступление совершено с использованием банкомата, то зачастую в наличии имеется только видеозапись и в редких случаях могут быть захваченные поддельные карты — «белый пластик». Но видеозапись на банкомате может отсутствовать, либо быть плохого качества, не позволять идентифицировать человека, либо мошенник может закрыть лицо (очки, головной убор, воротник и т. п.). Захваченный банкоматом «белый пластик» может сохранить следы пальцев рук (отпечатки пальцев), но если он был изъят без соблюдения определенных правил, то пока такая карта дойдет до правоохранительных органов, на ней будут «пальцы» только сотрудников банка. Рекомендуется: изымать такие карты с помощью пинцета; для транспортировки карты помещать в бумажные конверты (если поместить карту в полиэтиленовый пакет, то из-за ламинированной поверхности карты отпечатки смажутся); хранить карты при минусовой температуре (в морозильной камере холодильника для предотвращения испарения жиро-потовых следов).
В торговых предприятиях ситуация обстоит ненамного лучше. Видеонаблюдение в магазинах (если оно есть) обычно дает довольно общие планы, не позволяя рассмотреть лица покупателя (идентифицировать личность). После совершения мошеннической операции в магазине остается только чек с подписью, который дает очень мало информации, чтобы установить злоумышленника.
Все это приводит к попаданию таких преступлений в разряд «глухарей», что вызывает нежелание правоохранительных органов заниматься ими и возбуждать уголовные дела (чтобы не портить показатели) и к колоссальному уровню латентности (скрытости) преступлений.
«За 9 месяцев 2012 г. в России количество хищений денежных средств, совершенных с использованием компьютерных и телекоммуникационных технологий, выросло на 60 %», — сообщил А. Мошков (начальник Бюро специальных технических мероприятий МВД России) на конференции в Торгово-промышленной палате РФ, посвященной противодействию киберпреступлениям. По его словам, лидером по темпам роста являются мошенничества с использованием банковских карт. «В 2012 г. полицейскими было выявлено в полтора раза больше подобных преступлений, чем в прошлом году… Общий ущерб от действий злоумышленников превысил 70 млн рублей», — сообщил А. Мошков. Данная информация на порядок меньше цифр, которые официально приводит один только Сбербанк: как сообщил заместитель председателя Сбербанка Станислав Кузнецов, в 2012 г. активизировались мошеннические группировки, которые похищают денежные средства со счетов клиентов банка при помощи установки скиммингового оборудования на банкоматы и аппараты самообслуживания; при помощи разнообразного оборудования для хищения данных карт клиентов преступники похитили более 600 млн рублей.
Рис. 4.1. Данные по потерям в области платежных карт в России
Одной из причин латентности (скрытости) преступлений является несовершенство уголовного и уголовно-процессуального законодательства РФ. В 2012 г. Федеральным законом от 29.11.2012 № 207-ФЗ введены новые виды преступлений, связанные с мошенничеством в сфере банковских услуг.
Рост преступлений, связанных с банковской деятельностью, требует адекватных ответных мер со стороны государства.
10 декабря 2012 г. в Уголовном кодексе РФ начали действовать новые статьи, выделяющие в отдельные виды преступлений мошенничества, связанные с использованием банковских услуг. Теперь как отдельные преступления классифицируются мошенничества в сфере кредитования, с использованием платежных карт, интернет-технологий.
Департамент общественных связей АРБДо этого момента закрепленный в Уголовном кодексе РФ общий состав мошенничества не в полной мере учитывал особенности тех или иных экономических отношений и не позволял обеспечить должную защиту интересов потерпевших. Сегодня особенно актуальна конкретизация составов мошенничества в сфере кредитования и мошенничества с платежными картами.
Президент АРБ Гарегин ТосунянУправление «К» дало положительный отзыв на проект изменения одной из статей Уголовного кодекса РФ (в проекте фигурирующей как статья 159.6)…
…считать хищение с банковских счетов кражей по статье 158 или мошенничеством по статье 159… С точки зрения правоохранительных органов, оба подхода приемлемы, поскольку в любом случае для преступников предусмотрены одинаковые сроки лишения свободы.
BIS JOURNAL (www.ib-bank.ru/bis/a/177)Принятый Государственной Думой Федеральный закон позволит снизить ошибки и злоупотребления во время возбуждения уголовных дел о мошенничестве, будет способствовать повышению качества работы по выявлению и расследованию таких преступлений, правильной квалификации содеянного органами предварительного расследования и судом, более четкому отграничению уголовно наказуемых деяний от гражданско-правовых отношений.
Заключение Комитета Совета Федерации по конституционному законодательству правовым и судебным вопросамЧто же изменилось в Уголовном кодексе РФ и как это будет влиять на борьбу с криминальными деяниями в сфере платежных карт? В статью 159 УК РФ были внесены новые составы преступления, в том числе:
— статья 159.3. Мошенничество с использованием платежных карт;
— статья 159.6. Мошенничество в сфере компьютерной информации.
— Сравним статьи Уголовного кодекса РФ: 158,159 и 159.3,159.6.
Статья 158. Кража
Кража, то есть тайное хищение чужого имущества, — наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет.
2. Кража, совершенная:
а) группой лиц по предварительному сговору;
б) с незаконным проникновением в помещение либо иное хранилище;
в) с причинением значительного ущерба гражданину;
г) из одежды, сумки или другой ручной клади, находившихся при потерпевшем, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до пяти лет с ограничением свободы на срок до одного года или без такового.
3. Кража, совершенная:
а) с незаконным проникновением в жилище;
б) из нефтепровода, нефтепродуктопровода, газопровода;
в) в крупном размере, — наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до полутора лет или без такового, либо лишением свободы на срок до шести лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового.
4. Кража, совершенная:
а) организованной группой;
б) в особо крупном размере, — наказывается лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.
Примечания.
1. Под хищением в статьях настоящего Кодекса понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества.
2. Значительный ущерб гражданину в статьях настоящей главы определяется с учетом его имущественного положения, но не может составлять менее двух тысяч пятисот рублей.
3. Под помещением в статьях настоящей главы понимаются строения и сооружения независимо от форм собственности, предназначенные для временного нахождения людей или размещения материальных ценностей в производственных или иных служебных целях.
Под хранилищем в статьях настоящей главы понимаются хозяйственные помещения, обособленные от жилых построек, участки территории, трубопроводы, иные сооружения независимо от форм собственности, которые предназначены для постоянного или временного хранения материальных ценностей.
4. Крупным размером в статьях настоящей главы, за исключением статей 159.1,159.3,159.4,159.5,159.6, признается стоимость имущества, превышающая двести пятьдесят тысяч рублей, а особо крупным — один миллион рублей.
Статья 159. Мошенничество
1. Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием, — наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет.
2. Мошенничество, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до пяти лет с ограничением свободы на срок до одного года или без такового.
3. Мошенничество, совершенное лицом с использованием своего служебного положения, а равно в крупном размере, — наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового, либо лишением свободы на срок до шести лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового.
4. Мошенничество, совершенное организованной группой либо в особо крупном размере или повлекшее лишение права гражданина на жилое помещение, — наказывается лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.
Статья 159.1. Мошенничество в сфере кредитования
Примечание. Крупным размером в настоящей статье, а также в статьях 159.3, 159.4, 159.5, 159.6 настоящей главы признается стоимость имущества, превышающая один миллион пятьсот тысяч рублей, а особо крупным — шесть миллионов рублей.
Статья 159.3. Мошенничество с использованием платежных карт
1. Мошенничество с использованием платежных карт, то есть хищение чужого имущества, совершенное с использованием поддельной или принадлежащей другому лицу кредитной, расчетной или иной платежной карты путем обмана уполномоченного работника кредитной, торговой или иной организации, — наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев.
2. То же деяние, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до четырех лет с ограничением свободы на срок до одного года или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные лицом с использованием своего служебного положения, а равно в крупном размере, — наказываются штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового.
4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные организованной группой либо в особо крупном размере, — наказываются лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до трех лет л ибо без такового и с ограничением свободы на срок до двух лет либо без такового.
Статья 159.6. Мошенничество в сфере компьютерной информации
1. Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей, — наказывается штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо арестом на срок до четырех месяцев.
2. То же деяние, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до четырех лет с ограничением свободы на срок до одного года или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные лицом с использованием своего служебного положения, а равно в крупном размере, — наказываются штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового и с ограничением свободы на срок до полутора лет либо без такового.
4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные организованной группой либо в особо крупном размере, — наказываются лишением свободы на срок до десяти лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до трех лет либо без такового и с ограничением свободы на срок до двух лет либо без такового.
Квалифицирующие признаки у всех статей применительно к платежным картам практически одинаковые. Отличие будет только в части 3: в статье 158 УК РФ отсутствует в качестве квалификации использование служебного положения:
— часть 2: группой лиц по предварительному сговору, с причинением значительного ущерба гражданину;
— часть 3: с использованием своего служебного положения, в крупном размере;
— часть 4: организованной группой, в особо крупном размере.
А вот предусмотренные наказания у новых статей (159.3 и 159.6 УК РФ) значительно смягчены (таблица 4.1). Часть 1 не предусматривает наказание в виде лишения свободы, максимальное наказание — арест. Но в настоящий момент в связи с отсутствием в РФ арестных домов и невозможностью исполнения данного уголовного наказания судами не назначается данная мера наказания. Таким образом, максимальное наказание по части 1 статьи 159 УК РФ практически снижено для статей 159.3 и 159.6 УК РФ до двух лет принудительных работ. По части 2 и 3 наказание снижено на один год по сравнению со статьей 159 УК РФ.
Таблица 4.1. Меры наказания по статьям 158, 159, 159.3 и 159.6 УК РФ
Помимо общего смягчения наказания во вновь введенных статьях значительно изменены квалифицирующие величины ущерба (таблица 4.2).
Таблица 4.2. Квалифицирующие величины ущерба в статьях 158, 159, 159.3 и 159.6 УК РФ
Таким образом, законодатель считает, что квалифицированный ущерб от мошенничества с использованием платежных карт или в сфере компьютерной информации в шесть раз выше, чем от обычного мошенничества или от кражи. Единственный положительный момент от данного изменения УК РФ — это возможность получать более детализированные статистические данные (до этого невозможно было выделить из массы преступлений мошенничество с картами). Какие-либо другие факторы, способные повысить качество работы по выявлению и расследованию таких преступлений, отсутствуют.
Таблица 4.3. Количество зарегистрированных уголовных дел
Еще одна новелла была внесена в Уголовный кодекс РФ Федеральным законом от 08.06.2015 № 153-ФЗ «О внесении изменений в статью 187 Уголовного кодекса Российской Федерации». Проанализируем данное изменение в законодательстве. Ранее статья 187 УК РФ была сформулирована следующим образом:
Статья 187. Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов
1. Изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет.
2. Те же деяния, совершенные организованной группой, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет или без такового.
Данная редакция вызывала много вопросов и проблем в правоприменительной практике. В частности, при ее применении необходимо было в обязательном порядке установить, что поддельная карта является кредитной либо расчетной. Если предметом преступления являлись карты иностранных эмитентов, это вызывало определенные трудности со стороны оперативно-следственных и экспертно-криминалистических подразделений МВД РФ, так как согласно Положению «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» ЦБ РФ от 24.12.2004 № 266-П, характеристика платежной карты (кредитная или расчетная) определяется не какими-то внешними параметрами (реквизиты, дизайн, защитные элементы и др.), а договором между клиентом и эмитентом:
Расчетная (дебетовая) карта как электронное средство платежа используется для совершения операций ее держателем в пределах расходного лимита — суммы денежных средств клиента, находящихся на его банковском счете, и (или) кредита, предоставляемого кредитной организацией — эмитентом клиенту при недостаточности или отсутствии на банковском счете денежных средств (овердрафт).
Кредитная карта как электронное средство платежа используется для совершения ее держателем операций за счет денежных средств, предоставленных кредитной организацией — эмитентом клиенту в пределах расходного лимита в соответствии с условиями кредитного договора.
Клиентом кредитной организации может быть юридическое лицо, физическое лицо или индивидуальный предприниматель. В то же время держателем карты всегда является физическое лицо, в том числе и корпоративных карт, поскольку карта — это индивидуализированный инструмент доступа к банковскому счету (в случае корпоративных карт счет принадлежит юридическому лицу).
Положение от 24.12.2004 № 266-П дополнительно определяет предоплаченные карты, которое обособлены от кредитных и расчетных карт.
Предоплаченная карта как электронное средство платежа используется для осуществления перевода электронных денежных средств, возврата остатка электронных денежных средств в пределах суммы предварительно предоставленных держателем денежных средств кредитной организации — эмитенту в соответствии с требованиями Федерального закона № 161-ФЗ.
Таким образом, предоплаченные карты в качестве предмета преступления не попадали под действие статьи 187 УК РФ.
Ранее законодатель не совсем корректно сформулировал статью 187 УК РФ, по смыслу приравняв кредитные и расчетные карты к платежным документам. В действительности же сами карты никакими платежными документами не являются. Если посмотреть нормативные документы Центрального Банка России, то банковская карта — это электронное средство платежа.
Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»:
19) электронное средство платежа — средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств.
То есть собственно карта не является платежным документом. Карта является лишь средством, инструментом осуществления безналичных расчетов. Сама по себе карта имеет незначительную стоимость, ценность представляют денежные средства, к которым с помощью карты можно получить доступ. Этот доступ осуществляется путем направления в банк документов (составленных с использованием платежных карт или их реквизитов) на бумажном носителе и (или) в электронной форме. «При совершении операции с использованием платежной карты составляются документы на бумажном носителе и (или) в электронной форме (далее — документ по операциям с использованием платежной карты). Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и (или) служит подтверждением их совершения»[98].
Никакое торговое предприятие не отпустит товар в обмен на карту, в отличие, например, от денег. Если держатель карты желает оплатить покупку картой, то он предъявляет ее кассиру, который с использованием данной карты формирует электронный или бумажный расчетный (платежный) документ, и карта возвращается клиенту. Данный документ направляется в обслуживающий торговое предприятие банк для возмещения суммы покупки (оплаты платежного документа).
Данная технология кардинально отличается от оборота наличных денежных средств. Действительно, если покупатель хочет расплатиться наличными, то ему придется отдать кассиру свои денежные средства, а не делать, допустим, с них копии, чтобы предложить их в качестве средства оплаты. В связи с этим нельзя приравнивать понятие сбыта поддельных денег, ценных бумаг как их физическое отчуждение к сбыту поддельных кредитных или расчетных карт таким же образом.
Что следует понимать под «сбытом» поддельных кредитных или расчетных карт? Ответ на данный вопрос дает Постановление Пленума ВС РФ от 27.12.07 № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате». И хотя определение понятия «сбыт» в данном документе отсутствует, но квалификация хищения денежных средств путем использования похищенной или поддельной кредитной (расчетной) карты (см. пункт 13) в банкоматах, пунктах выдачи наличных (ПВН) кредитных организаций, торгово-сервисных предприятиях (ТСП) даны либо как кража (статья 158 УК РФ), либо как мошенничество (статья 159 УК РФ). Правоприменительная практика трактует сбыт поддельных кредитных или расчетных карт как переход от одного владельца к другому.
Пункт 14 Постановления ВС РФ от 27.12.2007 № 51 содержит также странное утверждение, которое вызывает некоторое недоумение: «Сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, заведомо непригодных к использованию, образует состав мошенничества и подлежит квалификации по соответствующей части статьи 159 УК РФ».
Кто и на каком этапе уголовного преследования определяет, что карта заведомо непригодная к использованию? Какие карты являются заведомо непригодными к использованию? Кому могут быть сбыты поддельные кредитные либо расчетные карты, в том числе и заведомо непригодные к использованию, если под сбытом понимается физическое отчуждение таких карт?
Помимо того, что в России существуют достаточно большие проблемы собственно с институтом экспертизы поддельных кредитных или расчетных карт, — отсутствует единая, общепринятая методика, отсутствуют экспертно-криминалистические подразделения в структуре МВД с необходимой информационной базой и соответствующими специалистами; непонятно, что Верховный Суд понимает под заведомо непригодной картой. На каждой подлинной банковской карте платежных систем Visa и MasterCard на оборотной стороне карты находится полоса для подписи. Рядом с этой полосой имеется надпись: «без подписи недействительна». Означает ли это, что, если происходит сбыт поддельных кредитных, расчетных карт без подписи, то осуществляется сбыт заведомо непригодных карт? Второй не менее интересный вопрос хотелось бы задать Верховному Суду: кому сбываются или могут быть сбыты заведомо непригодные поддельные кредитные или расчетные карты? Поскольку кредитная или расчетная карта всегда связана с каким-либо договором ведения банковского счета (ссудным, расчетным), то подлинную карту держатель получает от кредитной организации (эмитента), с которой у него заключен договор. А вот оборот (сбыт) поддельных кредитных или расчетных карт происходит вне сферы участников платежных систем. То есть одни криминальные элементы изготавливают поддельные карты, сбывают (продают) их, а другие приобретают и используют. Таким образом, получаем нелепую ситуацию: Верховный Суд защищает интересы преступников — «кардеров», которые собирались купить «пригодные» к использованию поддельные кредитные или расчетные карты, а нехорошие сбытчики их обманули и продали «заведомо непригодные» поддельные карты. Вызывает очень большое сомнение, что в правоохранительные органы когда-либо поступит хотя бы одно заявление по данному факту.
До выхода Постановления ВС РФ от 27.12.2007 № 51 статья 187 УК РФ иногда применялась и в случае использования поддельных расчетных или кредитных карт в торгово-сервисных предприятиях при оплате товаров, работ, услуг; после — только для «фабрик», которые занимались изготовлением и продажей поддельных кредитных, расчетных карт.
После внесения изменений в статью 187 УК РФ Федеральным законом от 08.06.2015 № 153-ФЗ данная статья изменила свое название и стала выглядеть следующим образом:
Статья 187. Неправомерный оборот средств платежей
1. Изготовление, приобретение, хранение, транспортировка в целях использования или сбыта, а равно сбыт поддельных платежных карт, распоряжений о переводе денежных средств, документов или средств оплаты (за исключением случаев, предусмотренных статьей 186 настоящего Кодекса), а также электронных средств, электронных носителей информации, технических устройств, компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет.
2. Те же деяния, совершенные организованной группой, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до пяти лет или без такового.
Как видим, наказание и часть 2 указанной статьи не измени лись, существенное изменение, кроме названия, претерпела дис позиция части 1.
Интересно, что после принятия данных изменений в Уголов ном кодексе РФ средства массовой информации почему-то ре шили, что они направлены на противодействие скиммингу:
Президент РФ Владимир Путин одобрил Федеральный закон «О внесении изменений в статью 187 Уголовного кодекса Российской Федерации», предусматривающий введение уголовной ответственности за скимминг.
Скимминг — вид мошенничества, при котором злоумышленники при помощи специального считывающего устройства копируют всю информацию с магнитной полосы карты (имя владельца, номер карты, окончание срока ее действия, CVV— и CVC-код) и изготавливают ее дубликат.
Изменения были внесены в статью 187 Уголовного кодекса (изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов), которая теперь носит название «Неправомерный оборот средств платежей».
Во-первых, приведенное определение скимминга не совсем корректно с точки зрения Уголовного кодекса РФ, так как мошенничество — это хищение чужого имущества или приобретение права на чужое имущество. Под хищением понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества. Как видим, копирование информации с магнитной полосы карты не является хищением имущества, следовательно, не будет являться мошенничеством. Во-вторых, в диспозиции части 1 о неправомерном копировании информации также не упоминается: «предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств». С помощью скиммингового устройства нельзя осуществить прием, выдачу или перевод денежных средств. Можно только неправомерно скопировать важную и конфиденциальную информацию: критичные аутентификационные данные (согласно определению Стандарта безопасности данных индустрии платежных карт PCI DSS). Последующее изготовление и использование поддельных платежных карт скиммингом не является. Также в новой редакции части 1 статьи 187 УК РФ не предусмотрена ответственность за «использование», наказываются только изготовление, приобретение, хранение, транспортировка в целях использования или сбыта и сбыт.
Необходимо отметить, что на этапе рассмотрения Законопроекта № 537952-6 в Государственной Думе РФ действительно одна из поправок предполагала введение уголовной ответственности за скимминг:
Депутат Государственной Думы В. В. Климов: Дополнить статьей 187.1 следующего содержания: «Статья 187.1. Использование технических устройств получения данных владельца платежной карты, необходимых для доступа к его счетам.
1. Неправомерная установка на оборудование кредитной организации, банковского платежного агента (субагента) технических устройств, специально приспособленных для негласного фиксирования и сохранения визуальной и (или) компьютерной информации, необходимой для идентификации владельца платежной карты и доступа к его счетам, а равно изготовление, приобретение, транспортировка, хранение или сбыт таких технических устройств, наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет.
Примечание. Для целей настоящей статьи под оборудованием кредитной организации, банковского платежного агента (субагента) понимается устройство для осуществления в автоматическом режиме (без участия уполномоченного лица кредитной организации или банковского платежного агента (субагента), осуществляющих деятельность в соответствии с законодательством о банках и банковской деятельности) наличных денежных расчетов и (или) расчетов с использованием платежных карт, передачи распоряжений кредитной организации об осуществлении расчетов по поручению физических лиц по их банковским счетам, а также для составления документов, подтверждающих передачу соответствующих распоряжений либо устройство для осуществления наличных денежных расчетов в автоматическом режиме (без участия уполномоченного лица организации или индивидуального предпринимателя, осуществляющих наличные денежные расчеты)».
Однако Комитет Государственной Думы по гражданскому, уголовному, арбитражному и процессуальному законодательству рекомендовал ее отклонить.
В статье 187 (Неправомерный оборот средств платежей) появились следующие новеллы:
1) платежные карты (ранее были только кредитные и расчетные);
2) изготовление в целях использования поддельных платежных карт (ранее было изготовление только с целью сбыта);
3) приобретение, хранение, транспортировка в целях использования или сбыта (ранее не было);
4) документы (ранее платежные документы, не являющиеся ценными бумагами);
5) новые предметы преступления:
— распоряжения о переводе денежных средств;
— средства оплаты (за исключением случаев, предусмотренных статьей 186 УК РФ: поддельных банковских билетов ЦБ РФ, металлической монеты, государственных ценных бумаг или других ценных бумаг в валюте РФ либо иностранной валюты или ценных бумаг в иностранной валюте);
— электронные средства;
— электронные носители информации;
— технические устройства;
— компьютерные программы.
Хотелось бы обратить внимание на сложность конструкции диспозиции части первой указанной статьи. При ее правоприменительной практике неизбежно возникнет ряд вопросов, которые потребуют дополнительных разъяснений.
Первое — это вопрос терминологии, использованной в статье. Перечислим все указанные в статье предметы преступления:
1) платежные карты;
2) распоряжения о переводе денежных средств;
3) документы;
4) средства оплаты;
5) электронные средства;
6) электронные носители информации;
7) технические устройства;
8) компьютерные программы.
Согласно «Положению об эмиссии платежных карт и об операциях, совершаемых с их использованием» от 24.12.2004 № 266-П ЦБ РФ, которое устанавливает порядок выдачи кредитными организациями на территории Российской Федерации платежных карт и особенности осуществления кредитными организациями операций с платежными картами, эмитентом которых может являться кредитная организация, иностранный банк или иностранная организация, платежные карты называются банковскими картами. Кредитная организация вправе осуществлять эмиссию банковских карт следующих видов: расчетных (дебетовых) карт, кредитных карт и предоплаченных карт, держателями которых являются физические лица, в том числе уполномоченные юридическими лицами, индивидуальными предпринимателями (далее — держатели). Расчетная (дебетовая) карта как электронное средство платежа используется для совершения операций ее держателем в пределах расходного лимита — суммы денежных средств клиента, находящихся на его банковском счете, и (или) кредита, предоставляемого кредитной организацией — эмитентом клиенту при недостаточности или отсутствии на банковском счете денежных средств (овердрафт). Кредитная карта как электронное средство платежа используется для совершения ее держателем операций за счет денежных средств, предоставленных кредитной организацией — эмитентом клиенту в пределах расходного лимита в соответствии с условиями кредитного договора. Предоплаченная карта как электронное средство платежа используется для осуществления перевода электронных денежных средств, возврата остатка электронных денежных средств в пределах суммы предварительно предоставленных держателем денежных средств кредитной организации — эмитенту в соответствии с требованиями Федерального закона № 161-ФЗ.
Часть первая статьи 862 (Формы безналичных расчетов) Гражданского кодекса Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ указывает, что «при осуществлении безналичных расчетов допускаются расчеты платежными поручениями, по аккредитиву, чеками, расчеты по инкассо, а также расчеты в иных формах, предусмотренных законом, установленными в соответствии с ним банковскими правилами и применяемыми в банковской практике обычаями делового оборота».
Пункт 3.9 «Положения о платежной системе Банка России» от 29.06.2012 № 384-П уточняет: «Перевод денежных средств осуществляется в рамках следующих форм безналичных расчетов: расчетов платежными поручениями, расчетов инкассовыми поручениями и расчетов в форме перевода денежных средств по требованию получателя средств (прямое дебетование). При осуществлении перевода денежных средств применяются платежные поручения (в том числе платежные поручения на общую сумму с реестром), инкассовые поручения, платежные требования, платежные ордера в соответствии с Положением Банка России № 383-П».
Пункт 1.1 «Положения о правилах осуществления перевода денежных средств» от 19.06.2012 № 383-П ЦБ РФ устанавливает, что «перевод денежных средств осуществляется в рамках следующих форм безналичных расчетов: расчетов платежными поручениями; расчетов по аккредитиву; расчетов инкассовыми поручениями; расчетов чеками; расчетов в форме перевода денежных средств по требованию получателя средств (прямое дебетование); расчетов в форме перевода электронных денежных средств. Перевод электронных денежных средств осуществляется в соответствии с законодательством и договорами с учетом требований настоящего Положения».
Пункт 1.11 Положения № 383-П ЦБ РФ предписывает: «Распоряжения, для которых настоящим Положением не установлены перечень реквизитов и формы, составляются отправителями распоряжений с указанием установленных банком реквизитов, позволяющих банку осуществить перевод денежных средств, и по формам, установленным банком или получателем средств по согласованию с банком. Данные распоряжения применяются в рамках форм безналичных расчетов, предусмотренных пунктом 1.1 настоящего Положения, и должны содержать наименования распоряжений, отличные от указанных в пункте 1.10 настоящего Положения.
Положения настоящего пункта распространяются на заявления, уведомления, извещения, запросы, ответы, составляемые в случаях, предусмотренных настоящим Положением, на заявления, составляемые в соответствии с федеральным законом в целях взыскания денежных средств.
Положения настоящего пункта распространяются на составляемые юридическим лицом в электронном виде или на бумажном носителе распоряжения о получении наличных денежных средств с банковского счета юридического лица при недостаточности денежных средств на его банковском счете».
Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» дает следующие определения:
— электронные денежные средства — денежные средства, которые предварительно предоставлены одним лицом (лицом, предоставившим денежные средства) другому лицу, учитывающему информацию о размере предоставленных денежных средств без открытия банковского счета (обязанному лицу), для исполнения денежных обязательств лица, предоставившего денежные средства, перед третьими лицами и в отношении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа. При этом не являются электронными денежными средствами денежные средства, полученные организациями, осуществляющими профессиональную деятельность на рынке ценных бумаг, клиринговую деятельность и (или) деятельность по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами и осуществляющими учет информации о размере предоставленных денежных средств без открытия банковского счета в соответствии с законодательством, регулирующим деятельность указанных организаций;
— электронное средство платежа — средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств.
В части 1 статьи 5 данного Федерального закона указано:
Оператор по переводу денежных средств осуществляет перевод денежных средств по распоряжению клиента (плательщика или получателя средств), оформленному в рамках применяемой формы безналичных расчетов (далее — распоряжение клиента).
При многообразии терминов и определений практически получается, что определение «электронное средство платежа» включает в себя и платежные карты, и распоряжения о переводе денежных средств, и средства оплаты, и электронные средства, и электронные носители информации, и технические устройства. Получается, что все предметы преступления, указанные в статье 187 УК КФ, кроме документов и компьютерных программ, могут быть определены термином «электронное средство платежа». В таком случае неясно, зачем законодатель обозначил такое множество предметов преступления. Если под данными терминами понималось нечто иное, чем «электронное средство платежа», то необходимо пояснение указанных предметов преступления. Дополнительно, неясность представляют и «документы», указанные в диспозиции части 1 рассматриваемой статьи. Так как термин не определен, то толкование его, с одной стороны, может быть очень расширенным, а с другой — трудно определяемым, то есть невозможно будет вменить конкретное деяние. Однако, как уже было указано, Положение ЦБ РФ № 266-П вводит понятие документа по операциям с использованием платежной карты, который является основанием для осуществления расчетов или служит подтверждением их совершения.
Достаточную неопределенность имеют и признаки предметов преступления и цели противоправного деяния.
Слово «поддельных» относится:
— только к картам, распоряжениям о переводе денежных средств, документам, средствам оплаты;
— или к картам, распоряжениям о переводе денежных средств, документам, средствам оплаты, электронным средствам, электронным носителям информации, техническим устройствам, компьютерным программам?
Слова «предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств» относятся:
— только к электронным средствам, электронным носителям информации, техническим устройствам, компьютерным программам;
— или к электронным средствам, электронным носителям информации, техническим устройствам, компьютерным программам, картам, распоряжениям о переводе денежных средств, документам, средствам оплаты?
При этом указанный признак подделки может по-разному сочетаться и с предметами, и с целью.
Даже сам по себе вопрос определения поддельности только платежных карт является довольно сложным. Какая платежная карта является поддельной? Возможен материальный подлог, который может быть двух видов: 1) полная подделка — карта, выпущенная (эмитированная) не эмитентом и не платежной системой, но имеющая такие технические характеристики и (или) внешний вид, которые позволили бы ее использование в безналичных расчетах; и 2) частичная подделка — карта, выпущенная эмитентом (платежной системой) и несанкционированно модифицированная таким образом, что позволило бы ее использование в безналичных расчетах. Также имеет место и интеллектуальный подлог, когда карта выпущена эмитентом (платежной системой), но осуществлено искажение истины (несанкционированный дубликат карты, карта выпущена на несуществующее лицо и др.). Данные признаки довольно сложно установить в рамках следственных действий, поскольку в некоторых случаях требуется проведение исследований, экспертиз и (или) специальных познаний.
Если же признак подделки относится ко всем предметам преступления (к картам, распоряжениям о переводе денежных средств, документам, средствам оплаты, электронным средствам, электронным носителям информации, техническим устройствам, компьютерным программам), то получается, что уголовная ответственность предусмотрена за изготовление, приобретение, хранение, транспортировку в целях использования или сбыта, а равно сбыт поддельных компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи перевода денежных средств. Что такое поддельная компьютерная программа, предназначенная для неправомерного осуществления приема, выдачи, перевода денежных средств? — Непонятно, как это устанавливать в рамках следственных действий. А если компьютерная программа предназначена для неправомерного осуществления приема, выдачи перевода денежных средств, но не является поддельной, уголовная ответственность отсутствует? Как устанавливать признак поддельности для электронных средств, электронных носителей информации, технических устройств, компьютерных программ?
Если признак подделки относится только к картам, распоряжениям о переводе денежных средств, документам, средствам оплаты, то опять имеем некоторое противоречие. Получается, что уголовная ответственность предусмотрена за изготовление, приобретение, хранение, транспортировку в целях использования или сбыта, а равно сбыт электронных средств, электронных носителей информации, технических устройств, компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи перевода денежных средств, которые при этом не являются поддельными? Но согласно Федеральному закону «О национальной платежной системе» № 161-ФЗ понятие электронных носителей информации включает в себя и платежные карты. То есть если платежная карта является поддельной, то данный электронный носитель информации также является поддельным.
Новая редакция статьи 187 УК РФ предполагает уголовную ответственность за изготовление, приобретение, хранение, транспортировку в целях использования или сбыта, ответственности же за собственно использование поддельных платежных карт, распоряжений о переводе денежных средств, документов или средств оплаты, а также электронных средств, электронных носителей информации, технических устройств, компьютерных программ, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств, — нет.
Принятие Законопроекта № 537952-6 «О внесении изменений в статью 187 Уголовного кодекса Российской Федерации» напоминало известное крылатое выражение «казнить нельзя помиловать». Ситуация была связана с наличием или отсутствием запятой между словами «выдачи перевода» («… предназначенных для неправомерного осуществления приема, выдачи перевода денежных средств, — »).
В тексте внесенного законопроекта запятая между указанными словами отсутствовала, а в пояснительной записке к законопроекту была. В тестах законопроекта к первому, второму и третьему чтению запятая также отсутствовала. Именно в таком виде — «… предназначенных для неправомерного осуществления приема, выдачи перевода денежных средств, — » — законопроект и был принят Государственной Думой.
Указанная запятая значительно меняет смысл диспозиции части первой статьи 187 УК РФ. Если запятая отсутствует, то предметы преступления предназначены для неправомерного осуществления приема, выдачи перевода денежных средств. Получается, что для неправомерного осуществления только выдачи (например, для получения наличных денежных средств в банкомате с использованием поддельной платежной карты) или только перевода денежных средств (например, для оплаты в ТСП с использованием поддельной платежной карты) уголовная ответственность не предусмотрена.
Только при прохождении законопроекта в Совете Федерации РФ в заключении Правового управления Аппарата Совета Федерации было отмечено: «Обращаем внимание, что диспозиция части первой статьи 187 УК РФ содержит указание на расчетную операцию “приема, выдачи перевода денежных средств”. На наш взгляд, указанная формулировка содержит неточность. По нашему мнению, речь должна идти об операциях приема, выдачи, перевода денежных средств». В результате в законопроект, принятый Государственной Думой, было внесено изменение (между словами «выдачи» и «перевода» поставлена запятая) и в таком виде его подписал Президент Российской Федерации. Такой порядок принятия законов не предусмотрен Конституцией РФ.
На обозначенные выше проблемы неоднократно указывалось в ходе рассмотрения Законопроекта № 537952-6 в Государственной Думе РФ. Приведем несколько заключений Правового управления, направленных в Комитет Государственной Думы по гражданскому, уголовному, арбитражному и процессуальному законодательству.
Заключение по проекту Федерального закона от 06.10.2014 № 537952-6:
Текст новой редакции части первой статьи 187… нуждается в уточнении.
Так, используемый в данной проектной норме термин «электронные средства» следует привести в соответствие с терминологией законодательства Российской Федерации, в том числе Федерального закона от 27 июня 2011 № 161-ФЗ «О национальной платежной системе» (далее — Федеральный закон № 161-ФЗ) — электронные средства платежа.
Кроме того, анализ положений Федерального закона № 161-ФЗ, в частности пункта 19 статьи 3 и части 2 статьи 301, позволяет сделать вывод о том, что платежные карты являются и электронными носителями информации, и электронными средствами платежа. В этой связи не совсем корректна формулировка проекта об установлении ответственности за соответствующие действия в отношении «поддельных платежных карт… а также электронных средств, электронных носителей информации».
Также следует уточнить характер документов, о которых идет речь в указанной проектной норме.
Заключение от 28 января 2015 г.:
Нуждается в корректировке текст новой редакции части первой статьи 187… поскольку в соответствии с пунктом 19 статьи 3 и частью 2 статьи 30 Федерального закона от 27 июня 2011 № 161-ФЗ «О национальной платежной системе»… платежные карты являются одновременно и электронными носителями информации, и электронными средствами платежа.
В проектной редакции части 1 статьи 187 УК РФ вместо термина «иные платежные документы, не являющиеся ценными бумагами», используется формулировка «распоряжения о переводе денежных средств, документы или средства оплаты (за исключением случаев, предусмотренных статьей 186 настоящего Кодекса)». Следует иметь в виду, что в соответствии с пунктами 1.10-1.12 Положения о правилах перевода денежных средств (утв. Банком России 19 июня 2012 № 383-П) к распоряжениям о переводе денежных средств относятся не только платежные документы — платежные поручения, инкассовые поручения, платежные требования, платежные ордера, банковские ордера, но и не являющиеся платежными документами заявления, уведомления, извещения, запросы, ответы на заявления, составляемые юридическим лицом в электронном виде или на бумажном носителе распоряжения о получении наличных денежных средств с банковского счета юридического лица при недостаточности денежных средств на его банковском счете.
В этой связи отсутствие в тексте проектной редакции части 1 статьи 187 УК РФ каких-либо уточняющих положений, касающихся характера документов, за изготовление с целью сбыта и (или) сбыт которых предлагается установить уголовную ответственность, не позволяет определить, о каких документах идет речь в данной норме, и допускает произвольно широкое толкование понятия «документы» в связи с неопределенностью его содержания для целей указанной статьи УК РФ.
Замечание аналогичного характера вызывает и формулировка «средства оплаты (за исключением случаев, предусмотренных статьей 186 настоящего Кодекса)», при этом отмечаем некорректность данной формулировки, поскольку каких-либо случаев статья 186 УК РФ не предусматривает.
На наш взгляд, нуждается в уточнении также понятие «электронные средства», предназначенные для неправомерного осуществления приема, выдачи, перевода денежных средств, поскольку законодательство Российской Федерации не содержит определения такого понятия. Если же рассматривать так называемые электронные средства как средства и (или) способы, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов (пункт 19 статьи 3 Федерального закона № 161-АР), то по существу такие «электронные средства, технические устройства…» будут являться средствами изготовления «поддельных платежных карт, распоряжений о переводе денежных средств» и т. д., то есть способом совершения преступления, предусмотренного частью 1 статьи 187 УК РФ.
При таком подходе к изложению диспозиции части 1 статьи 187 УК РФ указанную статью УК РФ необходимо дополнить примечанием, в котором определить, что понимается под тем или иным понятием для целей этой статьи УК РФ.
Кроме того, вряд ли можно признать обоснованным отнесение такой цели, как неправомерное осуществление приема, выдачи, перевода денежных средств, исключительно к изготовлению в целях сбыта или сбыту электронных средств, электронных носителей информации, технических устройств и компьютерных программ. Очевидно, что поддельные платежные карты, поддельные распоряжения о переводе денежных средств изготавливаются с той же целью.
Предлагаемая редакция рассматриваемой нормы УК РФ не позволяет однозначно определить, относится ли признак подделки только к платежным картам, распоряжениям о переводе денежных средств, документам и средствам оплаты, или же в том числе и к электронным средствам, электронным носителям информации и т. д. Тем более что электронный носитель информации в виде платежной карты может подлежать подделке.
…Предлагаемая редакция части 1 статьи 187 УК РФ не отвечает требованию определенности правовой нормы и нуждается в доработке.
Заключение от 3 апреля 2015 г. аналогично заключению от 28 января 2015 г.
Несмотря на все направленные замечания, закон был принят без их устранения.
Однако, несмотря на перечисленные недостатки, новая норма имеет положительные свойства, которые усиливают уголовную ответственность в сфере платежных технологий и позволят правоохранительным органам эффективнее бороться с преступностью.
Если рассматривать поддельные платежные карты, то ранее существовали определенные пробелы в законодательстве, которые позволяли избежать уголовного наказания либо получить небольшое, не связанное с лишением свободы.
Не являлись уголовным преступлением:
1. Изготовление с целью сбыта и сбыт поддельных предоплаченных платежных (в том числе банковских) карт.
2. Изготовление поддельных банковских расчетных либо кредитных карт для использования в целях совершения неквалифицированного мошенничества с использованием платежных карт, группой лиц по предварительному сговору, с причинением значительного ущерба гражданину, с использованием своего служебного положения, в крупном размере.
3. Изготовление поддельных банковских расчетных либо кредитных карт для использования в целях совершения неквалифицированной кражи, группой лиц по предварительному сговору, с причинением значительного ущерба гражданину.
4. В связи с отсутствием информации от иностранных банков невозможно квалифицировать как преступное действие изготовление поддельных банковских расчетных либо кредитных карт иностранных банков-эмитентов в целях хищения чужих денежных средств, в крупном (кража) или особо крупном размере (кража, мошенничества с использованием платежных карт).
В случае предъявления поддельной карты для оплаты в торгово-сервисном предприятии данные действия можно было квалифицировать только как покушение на мошенничество с использованием платежных карт. Срок или размер наказания за покушение на преступление не может превышать трех четвертей максимального срока или размера наиболее строгого вида наказания, предусмотренного соответствующей статьей Особенной части настоящего Кодекса за оконченное преступление (статья 66 УК РФ). Максимальное наказание по части 1 статьи 159.3 — арест на срок до четырех месяцев. Приготовление к указанному виду преступления не подлежит уголовной ответственности, так как уголовная ответственность наступает за приготовление только к тяжкому и особо тяжкому преступлениям (статья 30 УК РФ).
После внесения изменений в статью 187 УК РФ ситуация значительно изменилась. Наказание за использование поддельных платежных карт данная статья не предусматривает. Но в случае предъявления такой карты в магазине можно будет вменить изготовление либо приобретение поддельной карты, ее хранение и транспортировку (до магазина) в целях использования (предъявление для оплаты). Состав преступления формальный (не требует наступления общественно опасных последствий) и будет окончен еще до предъявления карты, хотя именно предъявление карты к оплате объективно доказывает цель использования. При этом максимальное наказание составляет до шести лет лишения свободы. Преступление является тяжким и даже за приготовление к нему предусмотрена уголовная ответственность (не более половины максимального срока или размера наиболее строгого вида наказания, предусмотренного соответствующей статьей Особенной части настоящего Кодекса за оконченное преступление — статья 66 УК РФ). Аналогичная ситуация складывается и с «белым пластиком», используемым для снятия наличных денежных средств в банкоматах. Сам факт хранения «белого пластика» с целью его использования для снятия наличных будет являться оконченным составом преступления по статье 187 УК РФ.
В последнее время получили распространение атаки на банкоматы, связанные с установкой на них вредоносного программного обеспечения, которое позволяет злоумышленнику отдать команду на неавторизованную выдачу наличных денежных средств (прямой диспенс). Изготовление, приобретение, хранение, транспортировка таких компьютерных программ в целях использования (но не само по себе использование), сбыта или сбыт будет также составлять объективную сторону преступления по статье 187 УК РФ.
Как уже было указано ранее, данная редакция статьи 187 УК РФ не предусматривает уголовной ответственности за скимминг. Но цель скимминга — неправомерное получение критичных аутентификационных данных с целью изготовления поддельных платежных карт. Данные действия могут быть квалифицированы как приготовление к преступлению по статье 187 УК РФ, но необходимо обратить внимание, что в данном случае цель изготовления поддельных карт необходимо будет доказать.
Рассмотрим еще одну составляющую объективной стороны преступления, которую можно выделить из диспозиции части 1 статьи 187 УК РФ. «Изготовление… в целях использования или сбыта, а равно сбыт поддельных… распоряжений о переводе денежных средств, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств».
Подлог: ложь, извращение и сокрытие истины в формально правильном правительственном или частном акте (например, совершение акта задним числом, составление акта от вымышленного лица и т. д.)[99].
Подделка документов — в уголовном праве родовое понятие, обозначающее изготовление подложных документов путем полной фальсификации документа или фальсификации отдельных его элементов. Иногда подделку документов обозначают термином «подлог»[100].
Подлог — материализованное (овеществленное) искажение истины, то есть не соответствующие действительности сведения, выраженные в объективной форме на определенных носителях информации[101].
Фальсификация (лат. — подделывать) — 1) подделывание чего-либо; искажение, подмена чего-либо подлинного ложным, мнимым[102].
На основании изложенного можно сделать вывод, что поддельным распоряжением о переводе денежных средств может быть подлинное распоряжение, в которое были внесены несанкционированные изменения. А также поддельным распоряжением о переводе денежных средств может быть и формально подлинное распоряжение, но изготовленное несанкционированно, то есть без волеизъявления правомочного лица (держателя карты, клиента банка, уполномоченного представителя юридического или физического лица и др.). В последнем случае речь идет об интеллектуальном подлоге.
Приведем примеры изготовления поддельных распоряжений о переводе денежных средств.
Выше уже упоминалось определение:
Электронное средство платежа — средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств.
Следовательно, с использованием электронных носителей информации в качестве которых применяются платежные карты можно составить, удостоверить (изготовление) и передать (использование) распоряжение о переводе денежных средств.
Положение 266-П ЦБ РФ
3.1. При совершении операции с использованием платежной карты составляются документы на бумажном носителе и (или) в электронной форме (далее — документ по операциям с использованием платежной карты). Документ по операциям с использованием платежной карты является основанием для осуществления расчетов по указанным операциям и (или) служит подтверждением их совершения.
Если в данном случае будет использована поддельная, утраченная карта либо неправомерно использованы реквизиты платежной карты (интернет-операция), то такое распоряжение будет являться поддельным (интеллектуальный подлог). Так как распоряжение изготовлено без ведома держателя карты, то перевод денежных средств будет неправомерным. Получаем объективную сторону преступления, предусмотренного частью 1 статьи 187 УК РФ.
В последнее время большое распространение получила криминальная деятельность по взлому и несанкционированным операциям в системах интернет-банка и мобильного банка. Так как в указанных системах также формируются (изготавливаются) и направляются в банки для исполнения (используются) распоряжения о переводе денежных средств (на основании которых денежные средства списываются со счетов клиентов) и такие операции являются не санкционированными клиентами (неправомерными), то и в данном случае будет иметь место объективная сторона статьи 187 УК РФ. При этом сумма похищенного, а также успешность перевода на квалификацию не влияют, преступление будет окончено на момент направления в банк такого распоряжения.
Отграничение преступных деяний, заключающихся в «изготовлении в целях использования поддельных… распоряжений о переводе денежных средств, предназначенных для неправомерного осуществления приема, выдачи, перевода денежных средств», от кражи и мошенничества происходит по объекту преступления и моменту окончания преступления. «Изготовление поддельных распоряжений» совершается в сфере экономической деятельности и отличается от объекта, предусмотренного статьями 158, 159.3 и 159.6 УК РФ — общественных отношений к собственности. Конечная цель изготовления и использования поддельных распоряжений — хищение денежных средств. Однако общественная опасность данного действия (момент окончания преступления) наступает гораздо раньше собственно хищения и на первоначальном этапе направлена на другой объект общественных отношений — легитимность безналичных расчетов.
Пункт 12 Постановления Пленума Верховного Суда РФ от 27.12.2007 № 51 указывает, что «как мошенничество квалифицируется безвозмездное обращение лицом в свою пользу или в пользу других лиц денежных средств, находящихся на счетах в банках… В указанных случаях преступление следует считать оконченным с момента зачисления этих средств на счет лица, которое путем обмана или злоупотребления доверием изъяло денежные средства со счета их владельца, либо на счета других лиц, на которые похищенные средства поступили в результате преступных действий виновного». При этом часть 2 статьи 152 УПК РФ говорит: «Если преступление было начато в одном месте, а окончено в другом месте, то уголовное дело расследуется по месту окончания преступления». Следствием этого является следующая ситуация: если из банка похищено 6 млн рублей путем перечисления частями по 1 млн рублей в другие различные банки, то вместо возбуждения уголовного дела по части 4 статьи 159.3 (6) УК РФ максимальное наказание в виде лишения свободы на срок до 10 лет необходимо возбудить шесть уголовных дел (по месту расположения банков, в которые перечислены денежные средства), при этом по части 1 статьи 159.3 (6) УК РФ максимальное наказание всего 4 месяца ареста.
В связи с изменением статьи 187 УК РФ действия по изготовлению поддельных распоряжений будут окончены с момента направления таких распоряжений в банк, местом окончания преступления будет АРМ (автоматизированное рабочее место) клиента, а максимальным наказанием — шесть лет лишения свободы. Хищение денежных средств, которое было осуществлено в результате использования (направления в банк) поддельных распоряжений, необходимо дополнительно квалифицировать по совокупности преступлений (статья 17 УК РФ).
Внесение изменений в статью 187 УК РФ может побудить некоторые банки в срочном порядке внести изменения в свои внутренние документы и договоры с торгово-сервисными предприятиями. Дело с том, что стандартными условиями таких договоров является обязанность работника ТСП при выявлении поддельной карты изъять ее и передать сотруднику банка. Что обусловлено требованиями международных платежных систем. Например, «Правила платежной системы “Виза” по осуществлению операций на территории Российской Федерации» содержат раздел «Требования к возврату изъятых платежных карт», в котором указано: «Требования и процедуры изъятия платежных карт изложены в Операционных правилах платежной системы Visa International. ID#: 010113-010113-000262R». В связи с изменившимся уголовным законодательством сотрудникам торговли и банка могут быть инкриминированы действия по хранению и транспортировке поддельных платежных карт. Поэтому в случае изъятия поддельных платежных карт сотрудниками торговых предприятий данные карты должны передаваться не в банки, а в правоохранительные органы.
Наиболее распространенные преступления в сфере платежных карт:
— использование поддельных карт;
— незаконное использование подлинных карт (без санкции держателя);
— незаконное использование реквизитов карт (Интернет, МО/ТО);
— незаконное использование конфиденциальной информации (скимминг, фишинг, др.).
Рассмотрим, по каким статьям Уголовного кодекса можно квалифицировать данные действия.
Схематично преступные деяния в области поддельных платежных карт можно разбить на три блока (таблица 4.4).
Таблица 4.4. Классификация преступных деяний в области поддельных платежных карт
Квалификацию незаконных действий с реквизитами карт в среде Интернет можно разбить на два блока, так как в данном случае отсутствует этап изготовления поддельных карт (таблица 4.5).
Таблица 4.5. Квалификация незаконных действий с реквизитами карт в среде Интернет
Рассмотрим статьи 138.1, 165, 183, 272, 273 УК РФ.
Статья 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного получения информации
Незаконные производство, приобретение и (или) сбыт специальных технических средств, предназначенных для негласного получения информации, — наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, л ибо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
Статья 165. Причинение имущественного ущерба путем обмана или злоупотребления доверием
1. Причинение имущественного ущерба собственнику или иному владельцу имущества путем обмана или злоупотребления доверием при отсутствии признаков хищения, совершенное в крупном размере, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет либо принудительными работами на срок до двух лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до двух лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев или без такового и с ограничением свободы на срок до одного года или без такового.
2. Деяние, предусмотренное частью первой настоящей статьи:
а) совершенное группой лиц по предварительному сговору либо организованной группой;
б) причинившее особо крупный ущерб, — наказывается принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет или без такового либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев или без такового и с ограничением свободы на срок до двух лет или без такового.
Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну
1. Собирание сведений, составляющих коммерческую, налоговую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом — наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, — наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлекшие тяжкие последствия, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо арестом на срок до шести месяцев, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.
Примечания. 1. Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.
2. Крупным ущербом в статьях настоящей главы признается ущерб, сумма которого превышает один миллион рублей.
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.
В таблице 4.6 приведено максимальное наказание, предусмотренное по части 1 (неквалифицированные преступления) и по максимально квалифицированной части.
Таблица 4.6. Меры наказания за противозаконные деяния в сфере платежных карт
Анализ показывает, что законодатель не видит большой общественной опасности, кроме статьи 187 УК РФ (Фабрики), в противозаконных деяниях в сфере платежных карт. Только максимально квалифицированные преступления признаются тяжкими. Но чтобы предъявить такое обвинение, следствию необходимо обладать определенными доказательствами, которые зачастую можно получить только в рамках оперативно-следственных мероприятий по уже возбужденному уголовному делу. Первоначальное выявление преступления, как правило, дает основания возбудить уголовное дело по неквалифицированной части соответствующей статьи Уголовного кодекса. И только потом, в ходе расследования уголовного дела могут появиться доказательства, дающие основания изменить квалификацию на более тяжкую статью (часть) УК РФ.
Рассмотрим вопросы квалификации несанкционированного использования платежных карт или их реквизитов, а также использования поддельных платежных карт.
По статье 158 УК РФ (Кража) квалифицируются хищения денежных средств из банкомата при помощи утраченных (утерянных, украденных, временно выбывших из владения законного держателя) или поддельных платежных карт. Решение о квалификации деяний в пользу кражи мотивируется тем, что отсутствует лицо (человек), которое вводится в заблуждение (обман), так как банкомат (механизм) нельзя обмануть.
По статье 159.3 УК РФ (Мошенничество с использованием платежных карт) квалифицируется приобретение товаров в торгово-сервисных предприятиях или получение денежных средств в пунктах выдачи наличных с использованием утраченных или поддельных платежных карт. Обязательными признаками данного преступления являются наличие платежной карты (вещь), а также обман уполномоченного работника (человека).
По статье 159.3 УК РФ (Мошенничество в сфере компьютерной информации) квалифицируется приобретение товаров в интернет-магазинах посредством использования похищенных реквизитов платежных карт; перевод денежных средств законного держателя платежной карты в электронные (безналичные) системы финансовых расчетов в Интернете для дальнейшего их использования или обналичивания; хищение безналичных денежных средств со счетов держателей (ДБО). Интересным моментом в данной статье является то, что законодатель исключил из нее признаки обмана, злоупотребления доверием либо предоставления ложных сведений. Хищение чужого имущества или приобретение права на чужое имущество осуществляется путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей. Представляется, что под квалификацию по данной статье должны были бы попадать и хищения из банкоматов, что приводит к коллизии (противоречию) с Постановлением ВС РФ от 27.12.07 № 51. Как было указано выше, уголовная ответственность по статье 158 УК РФ (Кража) значительно больше. Данное обстоятельство, возможно, в будущем будет иметь серьезные последствия.
Часть 3 статьи 49 Конституции РФ
Неустранимые сомнения в виновности лица толкуются в пользу обвиняемого.
Часть 3 статьи 14 УПК РФ. Презумпция невиновности
Все сомнения в виновности обвиняемого, которые не могут быть устранены в порядке, установленном настоящим Кодексом, толкуются в пользу обвиняемого.
Таким образом, сомнения при толковании закона, его применении должны решаться в пользу лица, в отношении которого применяется закон, и если содеянное предусмотрено одновременно несколькими нормами, предусматривающими улучшение положения обвиняемого, то применяется та, которая в наибольшей мере благоприятна для лица[103].
По статье 165 УК РФ (Причинение имущественного ущерба путем обмана или злоупотребления доверием) квалифицируются деяния, когда совершается причинение имущественного ущерба собственнику или иному владельцу имущества путем обмана или злоупотребления доверием при отсутствии признаков хищения. Способ совершения данного преступления (обман, злоупотребление доверием) аналогичен способу, используемому при мошенничестве. Однако преступление, предусмотренное данной статьей, характеризуется отсутствием признаков хищения (изъятие имущества). Так как отсутствует предмет хищения, который всегда материален (физический признак). В случае признания потерпевшим телефонной компании, гостиницы, компании по аренде автомобиля, продаже авиа— и ж/д билетов и др., то есть торгового предприятия, которое предоставляет услуги или выполняет работы, квалификация осуществляется по статье 165 УК РФ. Максимальное наказание предусматривает лишение свободы на срок до пяти лет, что в два раза меньше, чем максимальное наказание по статьям 158, 159.3, 159.6 УК РФ. По части 1 статьи 165 УК РФ ответственность наступает только за ущерб в крупном размере (больше 250 000 рублей).
Помимо уголовной ответственности за небольшие хищения предусмотрена административная ответственность.
Статья 7.27 КоАП РФ. Мелкое хищение
Мелкое хищение чужого имущества путем кражи, мошенничества, присвоения или растраты при отсутствии признаков преступлений, предусмотренных частями второй, третьей и четвертой статьи 158, частями второй, третьей и четвертой статьи 159, частями второй, третьей и четвертой статьи 159.1, частями второй, третьей и четвертой статьи 159.2, частями второй, третьей и четвертой статьи 159.3, частями второй и третьей статьи 159.4, частями второй, третьей и четвертой статьи 159.5, частями второй, третьей и четвертой статьи 159.6 и частями второй и третьей статьи 160 Уголовного кодекса Российской Федерации.
Примечание. Хищение чужого имущества признается мелким, если стоимость похищенного имущества не превышает одну тысячу рублей.
Хищение непосредственно платежных карт, по сути не имеющих стоимости, но предоставляющих возможность получения денежных средств, не формирует состава кражи (преступление является малозначительным), но, возможно, будет являться приготовлением к хищению.
Как видно из анализа статей Уголовного кодекса, при постоянстве объективной стороны преступления, в зависимости от того, кто признан потерпевшим, изменяется субъективная сторона, умысел, а также следствие и квалификация преступления. При этом потерпевшим может быть любой участник расчетов (ТСП, эквайрер, эмитент, держатель). Также важное значение имеет и предмет хищения, что похищено: товар, наличные, безналичные денежные средства; у кого похищен товар или денежные средства, либо признаки хищения отсутствуют.
Поясним это на нескольких схематичных примерах:
1. С использованием поддельной карты осуществлены операции в торговом предприятии на сумму больше 2500 рублей, но меньше 1 500 000 рублей. Если потерпевшим признан банк, то квалификация наступает по части 1 статьи 159.3 УК РФ (при отсутствии других квалифицирующих признаков — группы лиц, использования служебного положения, организованной группы). Максимальное наказание — до 4 месяцев ареста. Если потерпевшим признан держатель карты (с причинением значительного ущерба гражданину), то квалификация наступает по части 2 статьи 159.3 УК РФ. Максимальное наказание — лишение свободы до 4 лет.
2. С использованием поддельной карты осуществлены операции по приобретению авиабилетов на сумму от 2500 рублей до 250 000 рублей. Если потерпевшим признан держатель карты (с причинением значительного ущерба гражданину), то квалификация наступает по части 2 статьи 159.3 УК РФ. Максимальное наказание — лишение свободы до 4 лет. Если потерпевшим признано ТСП, то данное действие является административным правонарушением, квалификация наступает по статье 7.27.1 КоАП РФ. Максимальное наказание — административный штраф в размере до пятикратной стоимости причиненного ущерба, но не менее 5000 рублей.
3. С использованием поддельной карты осуществлены операции по приобретению авиабилетов на сумму от 1 млн рублей до 1,5 млн рублей. Если потерпевшим признан банк, то квалификация наступает по части 1 статьи 159.3 УК РФ (при отсутствии других квалифицирующих признаков — группы лиц, использования служебного положения, организованной группы). Максимальное наказание — до 4 месяцев ареста. Если потерпевшим признано ТСП, то квалификация наступает по части 2 статьи 165 УК РФ. Максимальное наказание — лишение свободы до 5 лет.
4. С использованием поддельной карты осуществлены операции по приобретению авиабилетов на сумму свыше 6 млн рублей. Если потерпевшим признан банк, то квалификация наступает по части 4 статьи 159.3 УК РФ. Максимальное наказание — до 10 лет лишения свободы. Если потерпевшим признано ТСП, то квалификация наступает по части 2 статьи 165 УК РФ. Максимальное наказание — лишение свободы до 5 лет.
Рассмотрим, какие же сложности возникают при квалификации преступления по данным статьям Уголовного кодекса РФ.
Обобщенная технология осуществления расчетов с использованием платежных карт (получение наличных в банкомате) такова:
1. Держатель, используя свою платежную карту, в банкомате формирует расчетный документ (в электронном виде) и направляет этот документ в банк-эквайрер.
2. Получив разрешение от эмитента, эквайрер выдает наличные денежные средства держателю.
3. Эквайрер через платежную систему (ее расчетный банк) направляет расчетный документ в банк-эмитент.
4. Расчетный банк списывает средства со счета банка-эмитента и зачисляет их на счет банка-эквайрера.
5. На основании полученного документа эмитент производит списание со счета владельца (в случае дебетовой карты) или выставляет клиенту счет (при кредитной карте).
6. В случае несанкционированной операции в банкомате действие необходимо квалифицировать согласно Постановлению ВС РФ от 27.12.2007 № 51 по статье 158 УК РФ.
Причинение ущерба собственнику или иному владельцу является обязательным признаком хищения. Иными словами, если нет ущерба, то нет и преступления (кражи). В случае наличия несанкционированных операций по банковским картам иностранных эмитентов в эквайринговой сети российских банков некоторые банки-эквайреры не заявляют о причиненном им ущербе, если на основании правил платежных систем они получили возмещение по данным операциям и финансовая ответственность была возложена на эмитентов. Поскольку нет ущерба, то правоохранительные органы не возбуждают уголовные дела и уголовное преследование и наказание виновных лиц не происходит. Такое положение порождает элемент безнаказанности в преступной среде.
Статья 9 УК РФ. Действие уголовного закона во времени
2. Временем совершения преступления признается время совершения общественно опасного действия (бездействия) независимо от времени наступления последствий.
Постановление ВС РФ от 27.12.2007 № 51
Мошенничество, то есть хищение чужого имущества, совершенное путем обмана или злоупотребления доверием, признается оконченным с момента, когда указанное имущество поступило в незаконное владение виновного или других лиц и они получили реальную возможность (в зависимости от потребительских свойств этого имущества) пользоваться или распорядиться им по своему усмотрению.
Рассмотрим типичную ситуацию: злоумышленник использовал поддельные карты («белый пластик») иностранных эмитентов в банкоматах российских банков, перенос ответственности отсутствует, по правилам платежных систем ответственность возложена на эмитентов. Похищаемое имущество, то есть наличные денежные средства, поступают в незаконное владение злоумышленника, и он получает реальную возможность ими пользоваться после выдачи денежных средств банкоматом. Момент окончания преступления — получение наличных денежных средств. Данные наличные денежные средства принадлежат эквайреру. Следовательно, на момент окончания преступления ущерб нанесен эквайреру. Возмещение ущерба эмитентом осуществляется уже в рамках гражданских правоотношений (правила МПС — гражданско-правовой договор).
В случае хищения денежных средств через банкомат умысел злоумышленника направлен на хищение суммы, выданной банкоматом. То есть при вменении похищенной суммы не учитываются банковские комиссии и конвертация осуществляется по курсу ЦБ РФ. Например, эмитент может взыскать полную сумму ущерба в рамках гражданского иска и обычно в гражданском судопроизводстве. В уголовном деле ответственность наступает только за изъятое из банкомата. Например, злоумышленник с использованием поддельной или утраченной карты получил в банкомате 249 999 рублей, а с учетом комиссий со счета карты была списана сумма более 250 000 рублей. За хищение суммы более 250 000 рублей Уголовный кодекс предусматривает ответственность по квалифицированной части «в крупном размере». Однако в приведенном примере, хотя причиненный ущерб и составляет сумму более 250 000 рублей, квалификации по крупному размеру не будет, так как злоумышленник изъял меньшую сумму.
При квалификации таких действий по статье 159.6 УК РФ наказания будут меньше, а похищенные суммы для квалификации хищения — больше.
При несанкционированном использовании платежных карт в ТСП ситуация выглядит несколько сложнее, но определение ущерба и потерпевшего основано на том же принципе: моменте окончания преступления.
Представляется, что ошибку совершают те, кто пытается определить, кому же в результате мошеннического использования банковской карты в конечном итоге причинен ущерб: торговому предприятию, банку-эквайреру, банку-эмитенту, клиенту или страховой компании? Дело в том, что исходя из конкретных обстоятельств дела, правил платежных систем (которые могут меняться, например, перенос ответственности) квалификации сотрудников банков по претензионной работе в конечном итоге убытки может понести любой из перечисленных субъектов. Причем в ходе претензионной работы сторона, несущая убытки, может меняться (возврат платежа, повторное представление документа, предарбитраж, арбитраж). При этом виновное лицо давно уже изъяло имущество в свою пользу и не имеет никакого отношения к рассматриваемым событиям.
В общем случае платеж в ТСП осуществляется следующим образом:
1. Держатель при оплате товаров (услуг) предъявляет платежную карту (либо ее реквизиты), используя которую, предприятие торговли формирует расчетный документ (бумажный либо в электронном виде) и направляет этот документ в банк-эквайрер.
2. Эквайрер через платежную систему (ее расчетный банк) направляет расчетный документ в банк-эмитент.
3. Расчетный банк списывает средства со счета банка-эмитента и зачисляет их на счет банка-эквайрера.
4. Эквайрер, получив денежные средства, зачисляет их на счет предприятия торговли.
5. На основании полученного документа эмитент производит списание со счета владельца (в случае дебетовой карты) или выставляет клиенту счет (при кредитной карте).
Поскольку мошенничество является одним из видов хищения, то ему присущи общие признаки, названные в Примечании 1 к статье 158 УК РФ (Кража). Нет ущерба — нет преступления.
Обратимся к классической схеме преступления. Мошенник с использованием поддельной банковской карты произвел оплату товаров (работ, услуг) в организации торговли (услуг). В правоохранительные органы должно поступить заявление от лица, которому нанесен ущерб. Если опираться на технологию расчетов с использованием банковских карт, то получаем следующую ситуацию: предприятие торговли составляет расчетный документ и направляет его в банк-эквайрер, тот, в свою очередь, через платежную систему адресует его банку-эмитенту. И уже здесь, исходя из договора банковского счета (кредитный или дебетовый), норм местного законодательства, наличия договоров со страховыми компаниями и т. п., ущерб может быть нанесен держателю, эмитенту или страховой компании. Если карта была эмитирована иностранным банком, то получить заявление в российские правоохранительные органы практически нереально.
Чтобы выполнить требование о заявлении ущерба, рассмотрим ситуацию с мошенническим использованием платежной карты в эквайринговой сети несколько под другим углом, а именно с точки зрения российского гражданского законодательства.
Технология функционирования платежных карт регулируется отдельными договорами. В нашем случае обратим внимание на договор между эквайрером и торгово-сервисными предприятиями (договор об эквайринге).
Предметом данного договора со стороны ТСП является составление документов на бумажном носителе и (или) в электронной форме с использованием платежных карт или их реквизитов при совершении держателями покупок; а со стороны эквайрера — осуществление расчетов с организацией торговли (услуг) по операциям, совершаемым с использованием платежных карт. Иными словами, эквайрер оплачивает предприятию суммы операций с использованием платежных карт всех эмитентов платежной системы, карты которой обслуживаются данным ТСП, за вычетом своей комиссии (торговой уступки). Согласно данному договору, эквайрер несет самостоятельные денежные обязательства перед организацией торговли (услуг) по оплате сумм операций, совершаемых с использованием платежных карт. Это означает, что если организация торговли (услуг), соблюдая все условия договора, составила расчетный документ с использованием платежной карты и представила данный документ в банк-эквайрер для оплаты, то у банка возникает обязательство перечислить предприятию денежные средства по этому документу. Это обязательство не зависит от исполнения другими участниками платежной системы своих обязательств перед эквайрером. Например, если банк-эмитент по каким-либо причинам не перечислил денежные средства эквайреру (например, ввиду переноса ответственности), последний все равно обязан рассчитаться с организацией торговли (услуг), если последнее исполнило все условия договора. Это позволяет рассматривать договор на эквайринговое обслуживание между банком и предприятием в отрыве от всей остальной платежной системы. Данный тезис находит подтверждение и в «Правилах платежной системы “Виза” по осуществлению операций на территории Российской Федерации»: «Участник платежной системы — Эквайрер обязан внести платеж либо кредитовать свое торгово-сервисное предприятие, торгово-сервисное предприятие под спонсорской поддержкой или Поставщика услуг сразу же после предоставления чеков операций».
Тогда представленная выше классическая мошенническая ситуация будет выглядеть следующим образом. В организации торговли мошенник, выдавая себя за законного держателя банковской карты, составил расчетный документ. Данный расчетный документ был направлен в банк-эквайрер, который перечислил по нему денежные средства предприятию. Умысел злоумышленника направлен на обман банка-эквайрера с тем, чтобы тот за счет своих собственных средств (согласно договору на эквайринговое обслуживание) оплатил товар (услуги, работы) и перечислил денежные средства на счет организации торговли. Таким образом, путем обмана (мошенник не является законным держателем карты) было совершено хищение безналичных денежных средств банка-эквайрера. Так как эквайрер понес определенные расходы, связанные с оплатой представленного документа, на основании статьи 15 ГК РФ ему нанесен ущерб. Документом, подтверждающим ущерб, будет платеж банка-эквайрера организации торговли (услуг) по операции с платежной картой.
В случае несанкционированного использования платежных карт в предприятиях торговли умысел преступника направлен на обман эквайрера с тем, чтобы тот за счет собственных средств (договор эквайринга) оплатил товар и перечислил денежные средства на счет ТСП. Момент окончания преступления — перечисление денежных средств со счета эквайрера на счет ТСП. При этом, если эквайрер возмещает ущерб за счет эмитента, то возможно сразу (на стадии следствия) отказаться от гражданского иска, заявив, что он будет подан в гражданском судопроизводстве, либо, подав гражданский иск, отказаться от него до момента удаления суда для вынесения приговора.
Если хищение с использованием реквизитов платежных карт осуществляются в среде Интернет, то статья 159.3 УК РФ не может быть вменена, так как отсутствуют такие признаки, как поддельная или принадлежащая другому лицу платежная карта (карта как вещь в данном случае не используется), а также обман уполномоченного работника организации (операция совершается удаленно, контакт face to face отсутствует). Следовательно, такое преступление необходимо квалифицировать по статье 159.6 УК РФ.
Рассмотрим еще один момент противоправных действий в торговых предприятиях с использованием поддельных карт: сговор кассира с лицами, использующими поддельные или утраченные карты. Для эквайреров такой сговор может повлечь очень значительные финансовые потери. Даже если прямых потерь нет (ответственность по операциям на эмитенте), эквайрер из-за высокого уровня мошеннических операций у своего торговца может попасть под программы платежных систем, влекущие наложение штрафов. Статья 159.3 Уголовного кодекса предусматривает повышенную ответственность за хищения с использованием своего служебного положения (часть 3), что должно было бы являться сдерживающим фактором для недобросовестных кассиров торговых предприятий. Но Пленум ВС РФ Постановлением от 27.12.07 № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате» исключил кассиров ТСП из числа лиц, использующих свое служебное положение:
24. Под лицами, использующими свое служебное положение при совершении мошенничества, присвоения или растраты (часть 3 статьи 159, часть 3 статьи 160 УК РФ), следует понимать должностных лиц, обладающих признаками, предусмотренными примечанием 1 к статье 285 УК РФ, государственных или муниципальных служащих, не являющихся должностными лицами, а также иных лиц, отвечающих требованиям, предусмотренным примечанием 1 к статье 201 УК РФ (например, лицо, которое использует для совершения хищения чужого имущества свои служебные полномочия, включающие организационно-распорядительные или административно-хозяйственные обязанности в коммерческой организации).
Возможно, с внесением изменений в статью 187 УК РФ (Неправомерный оборот средств платежей) указанные сложности будут устранены и правоохранительные органы в вышеперечисленных случаях будут возбуждать уголовные дела по данной статье.
Распространенным способом осуществления противоправных действий является скимминг. Копирование магнитной полосы платежной карты осуществляется с целью изготовления поддельных карт. При этом полученная информация может использоваться как самостоятельно, так и с целью ее продажи. Конечной целью изготовления поддельных карт является хищение денежных средств, и незаконное копирование магнитной полосы можно было бы квалифицировать как приготовление к данному виду преступления. Но возможно ли привлечь к уголовной ответственности злоумышленников на данном этапе их деятельности?
Уголовная ответственность наступает только в случае приготовления к тяжкому и особо тяжкому преступлениям.
Статья 30. Приготовление к преступлению и покушение на преступление
1. Приготовлением к преступлению признаются приискание, изготовление или приспособление лицом средств или орудий совершения преступления, приискание соучастников преступления, сговор на совершение преступления либо иное умышленное создание условий для совершения преступления, если при этом преступление не было доведено до конца по независящим от этого лица обстоятельствам.
2. Уголовная ответственность наступает за приготовление только к тяжкому и особо тяжкому преступлениям.
3. Покушением на преступление признаются умышленные действия (бездействие) лица, непосредственно направленные на совершение преступления, если при этом преступление не было доведено до конца по независящим от этого лица обстоятельствам.
Статья 15. Категории преступлений
1. В зависимости от характера и степени общественной опасности деяния, предусмотренные настоящим Кодексом, подразделяются на преступления небольшой тяжести, преступления средней тяжести, тяжкие преступления и особо тяжкие преступления.
2. Преступлениями небольшой тяжести признаются умышленные и неосторожные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, не превышает трех лет лишения свободы.
3. Преступлениями средней тяжести признаются умышленные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, не превышает пяти лет лишения свободы, и неосторожные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, превышает три года лишения свободы.
4. Тяжкими преступлениями признаются умышленные деяния, за совершение которых максимальное наказание, предусмотренное настоящим Кодексом, не превышает десяти лет лишения свободы.
5. Особо тяжкими преступлениями признаются умышленные деяния, за совершение которых настоящим Кодексом предусмотрено наказание в виде лишения свободы на срок свыше десяти лет или более строгое наказание.
6. С учетом фактических обстоятельств преступления и степени его общественной опасности суд вправе при наличии смягчающих наказание обстоятельств и при отсутствии отягчающих наказание обстоятельств изменить категорию преступления на менее тяжкую, но не более чем на одну категорию преступления при условии, что за совершение преступления, указанного в части третьей настоящей статьи, осужденному назначено наказание, не превышающее трех лет лишения свободы, или другое более мягкое наказание; за совершение преступления, указанного в части четвертой настоящей статьи, осужденному назначено наказание, не превышающее пяти лет лишения свободы, или другое более мягкое наказание; за совершение преступления, указанного в части пятой настоящей статьи, осужденному назначено наказание, не превышающее семи лет лишения свободы.
В применении тяжести преступления к статьям, связанным с хищением, получаем ситуацию, отраженную в таблице 4.7.
Таблица 4.7. Применение тяжести преступления к статьям, связанным с хищением
Если приготовление осуществляется к краже (статья 158 УК РФ), то уголовная ответственность наступает по части 3 (свыше 250 000 рублей) и части 4 (свыше 1 млн рублей либо организованной группой). Если приготовление осуществляется к мошенничеству с использованием платежных карт (статья 159.3 УК РФ) или в сфере компьютерной информации (статья 159.6 УК РФ), то уголовная ответственность наступает только по части 4 указанных статей (свыше 6 млн рублей либо организованной группой). Таким образом, если скимминг квалифицировать как приготовление к краже (статья 158 УК РФ), то необходимо доказать (для наступления уголовной ответственности) приготовление к хищению суммы более 250 000 рублей, а если квалифицировать как приготовление к мошенничеству в сфере компьютерной информации (статья 159.6 УК РФ), то необходимо доказать приготовление к хищению суммы более 6 млн рублей.
Чтобы предъявить обвинение по указанным статьям, если организованная группа отсутствует, необходимо определить ущерб. Установить это можно следующим образом. По номерам скопированных платежных карт необходимо установить банки-эмитенты, направить в данные банки запросы об остатке денежных средств на картах; сложив суммы по остаткам, получим общую цифру ущерба, к хищению которой осуществлено приготовление. Однако проблема заключается в том, что информация о счетах клиентов банков является банковской тайной.
Статья 857 Гражданского кодекса РФ. Банковская тайна
1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.
Согласно статье 26 ФЗ № 395-1 «О банках и банковской деятельности»:
Справки по счетам и вкладам физических лиц выдаются кредитной организацией им самим, судам, органам принудительного исполнения судебных актов, актов других органов и должностных лиц, организации, осуществляющей функции по обязательному страхованию вкладов, при наступлении страховых случаев, предусмотренных федеральным законом о страховании вкладов физических лиц в банках Российской Федерации, а при наличии согласия руководителя следственного органа — органам предварительного следствия по делам, находящимся в их производстве.
Получается, чтобы возбудить уголовное дело по приготовлению к хищению (части 3,4 статьи 158, части 4 статей 159.3,159.6 УК РФ) необходимо установить сумму, которую собирались похитить. Но чтобы получить от банков нужную информацию, запрос должен быть направлен в рамках уже возбужденного уголовного дела. Иначе банки ответят отказом на основании статьи 26 ФЗ № 395-1.
Поэтому необходимо рассмотреть другие статьи Уголовного кодекса РФ, по которым в случае выявленного скимминга можно было бы возбудить уголовное дело и уже в рамках расследования данного дела, направить соответствующие запросы в банки-эмитенты.
Как уже было сказано, в случае скимминга можно инкриминировать приготовление к изготовлению в целях использования или сбыта поддельных платежных карт. По части 1 статьи 187 УК РФ преступление является тяжким (6 лет лишения свободы).
Дополнительно возможно вменение статьи 272 УК РФ (неправомерный доступ к компьютерной информации).
Федеральным законом от 07.12.2011 № 420-ФЗ была введена редакция статьи 272 УК РФ, в которой максимальное наказание, предусмотренное частью 1, — лишение свободы на срок до двух лет, а максимальное наказание за то же деяние, причинившее крупный ущерб (свыше одного миллиона рублей) или совершенное из корыстной заинтересованности (часть 2), — лишение свободы всего лишь на срок до шести месяцев. Получалось, что квалифицированное преступление (причинившее крупный ущерб или совершенное из корыстной заинтересованности) являлось менее общественно опасным. Такая странная ситуация сложилась в связи с тем, что во втором чтении в Государственной Думе Законопроект № 559740-5 «О внесении изменений в Уголовный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации (в части совершенствования законодательства Российской Федерации)» часть 2 статьи 272 предлагалась в следующей редакции:
То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо арестом на срок до шести месяцев, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.
То есть максимальное наказание предусматривало до четырех лет лишения свободы, что вполне логично. Но в третьем чтении данного законопроекта виды наказания арест до шести месяцев и принудительные работы на срок до четырех лет неожиданно поменялись местами и в таком виде изменения были внесены в Уголовный кодекс РФ. Данная несуразность в нашем Уголовном кодексе сохранялась более двух лет. Только 18 ноября 2013 г. в Государственную Думу был внесен Законопроект № 387351-6 «О внесении изменений в статью 272 Уголовного кодекса Российской Федерации», который предлагал устранить это безобразие:
Статья 1
Внести в абзац второй части второй статьи 272 Уголовного кодекса Российской Федерации изменение, исключив из него слова «либо арестом на срок до шести месяцев»,
что и было сделано Федеральным законом от 28.06.2014 № 195-ФЗ:
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.
Примечание 1 статьи 272 УК РФ содержит определение компьютерной информации, которое является крайне неудачным: «сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи».
Это было отмечено в Официальном отзыве Верховного Суда Российской Федерации на Законопроект № 559740-5:
Предложенный в примечании термин «электрические сигналы», на наш взгляд, не вносит достаточной ясности в определение понятия и требует дополнительного пояснения.
А также в Заключении Комитета по информационной политике, информационным технологиям и связи:
…В предлагаемой дефиниции неясен смысл термина «электрические сигналы». Представляется необходимым уточнить данную формулировку.
Несмотря на указанные замечания, они не были учтены при внесении изменения в Уголовный кодекс.
Представляется, что более правильное определение содержится, например, в Соглашении о сотрудничестве государств — участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации (от 1 июня 2001 г.), где компьютерная информация определена в гораздо более широком понимании:
Статья 1 б) компьютерная информация — это информация, находящаяся в памяти компьютера, на машинных или иных носителях в форме, доступной восприятию ЭВМ, или передающаяся по каналам связи.
Существующее в настоящий момент в Уголовном кодексе РФ определение компьютерной информации как электрического сигнала вызывает вопрос: является ли компьютерной информацией машиночитаемая информация, которая хранится на различных носителях, в том числе на магнитной полосе платежной карты, перфоленте, оптических дисках (CD, DVD), магнитных дисках, flash-памяти?
Для ответа на вопрос посмотрим «Элементарный учебник физики»[104]:
Каждый атом вещества можно рассматривать в отношении его магнитных свойств как круговой ток. Магнитное поле намагниченного тела слагается из магнитных полей этих круговых токов.
Процесс намагничивания тела заключается в том, что под влиянием внешнего магнитного поля его элементарные токи в большей или меньшей степени устанавливаются параллельно друг другу и создают результирующее магнитное поле.
Такие наглядные представления о строении атомов являются слишком грубыми и потому неточными, однако они в общих чертах правильно передают сущность дела.
На основании изложенного можно сделать вывод, что при хранении информации на магнитных носителях (в том числе на магнитной полосе платежной карты) имеются электрические сигналы (круговой ток атомов), следовательно, такая информация является компьютерной. При хранении информации на перфоленте, оптических дисках (CD, DVD) электрических сигналов нет, информация не является компьютерной (согласно УК РФ). Но доступ к охраняемой законом компьютерной информации будет неправомерным независимо от средств хранения, обработки и передачи, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. Независимо от того, как хранилась информация, если она была уничтожена, блокирована, модифицирована, скопирована и при этом была представлена в виде электрических сигналов, данная информация является компьютерной. Копирование CD — копирование компьютерной информации (в момент считывания). Стирание CD-RW — доступа к компьютерной информации нет.
Рассмотрим неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ее копирование (перенос информации на другой материальный носитель при сохранении неизмененной первоначальной информации). Так как при использовании скиммеров либо других аналогичных устройств или технологий происходит именно данное действие — компьютерная информация на машинном носителе (информация, записанная в электронном виде на магнитной полосе карты) копируется на другое устройство памяти. Необходимо удостовериться, что копируемая информация охраняется законом. На магнитной полосе банковской карты на первом треке записана фамилия держателя и номер карты, а на втором треке — номер карты. Каким же законом защищается данная информация?
Статья 27 Федерального закона № 1б1-ФЗ «О национальной платежной системе». Обеспечение защиты информации в платежной системе
3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России.
Положение ЦБ РФ № 382-П
2.1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации (далее — защищаемая информация):
информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт.
Одним из основных значимых данных держателей карт является номер банковской карты. Этот номер записан на магнитной полосе платежной карты. Следовательно, информация, копируемая с магнитной полосы платежной карты, защищается Федеральным законом «О национальной платежной системе». Неправомерный доступ к такой информации, если это повлекло ее копирование, будет составлять объективную сторону преступления, предусмотренного статьей 272 УК РФ.
По смыслу Положения 266-П ЦБ РФ банковская платежная карта достоверно устанавливает соответствие между реквизитами (номером) платежной карты и соответствующим банковским счетом. Таким образом, банковская платежная карта указывает на реквизиты банковского счета и данная информация является банковской тайной. Например, можно зачислить (списать) денежные средства на банковский счет, зная только номер банковской карты, соответствие между номером банковской карты и конкретным банковским счетом однозначное. В итоге получение незаконным способом (например, скимминг, покупка через Интернет дампов вторых дорожек или покупка поддельных платежных карт) сведений, составляющих банковскую тайну (номера банковских карт), будет составлять объективную сторону преступления, предусмотренного статьей 183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну).
Необходимо обратить внимание, что квалифицирующие действия по части 3 статьи 183 УК РФ сформулированы недостаточно определенно: «Те же деяния, причинившие крупный ущерб или совершенные из корыстной заинтересованности». Что имеется в виду: деяния, указанные в части первой и второй, или только во второй? Если только во второй, то квалифицирующие действия по частям третьей и четвертой (крупный ущерб, корыстная заинтересованность и тяжкие последствия) будут относиться только к незаконному разглашению или использованию сведений, составляющих банковскую тайну. Но они не будут влиять на квалификацию при собирании сведений, составляющих банковскую тайну, незаконным способом.
Напомним, что в уголовном праве существует презумпция невиновности (часть 3 статьи 14 УПК РФ: «Все сомнения в виновности обвиняемого, которые не могут быть устранены в порядке, установленном настоящим Кодексом, толкуются в пользу обвиняемого»). Которая «предполагает, что обязанность доказывания виновности, а значит, и того, что лицо должно нести ответственность по определенной правовой норме, возлагается на государство. Если же уполномоченные на то государственные органы однозначно не доказали, что надлежит применять четко определенную уголовно-правовую норму, то применяться должна более благоприятная для лица норма. Таким образом, когда возникают непреодолимые сомнения относительно того, по какой уголовно-правовой норме следует квалифицировать содеянное, то применять следует норму более мягкую, благоприятную для обвиняемого»[105].
Интересно, что и судебная практика имеет две точки зрения. Одни суды считают, что в случае скимминга квалификация по части 3 статьи 183 УК РФ отсутствует:
В части квалификации действий подсудимых как совершенных из корыстной заинтересованности суд с данной квалификацией не согласен, поскольку по смыслу закона квалифицирующий признак, содержащийся в части 3 статьи 183 УК РФ — корыстная заинтересованность относится только к незаконному разглашению или незаконному использованию сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.
Уголовное дело № 1-178/2013, Подольский городской суд Московской областиСуд учитывает приведенную государственным обвинителем позицию о квалификации действий подсудимых по части 1 статьи 183, части 3 статьи 272 УК РФ и полностью соглашается с ней, поскольку состав преступления, предусмотренного частью 3 статьи 183 УК РФ, является квалифицированным по отношению к части 2 статьи 183 УК РФ.
Уголовное дело № 1-372/2012, Тверской районный суд г. МосквыДругие суды просто выносят приговоры, предусматривающие уголовное наказание за скимминг по части 3 статьи 187 УК РФ, например: уголовное дело № 1-146/2014, Егорьевский городской суд Московской области, уголовное дело № 1-436/2013, Железнодорожный районный суд г. Екатеринбурга, уголовное дело № 1-144/2013, Рузский районный суд Московской области, уголовное дело № 1-105/2013, Химкинский городской суд Московской области.
Собирание сведений, составляющих банковскую тайну, путем доступа к охраняемой законом компьютерной информации, если это повлекло копирование информации, следует квалифицировать по совокупности части 1 статьи 183 и статьи 272 УК.
Применение скимминговых устройств дополнительно может предусматривать уголовную ответственность за использование компьютерных программ, заведомо предназначенных для несанкционированного копирования компьютерной информации (статья 273 УК РФ (Создание, использование и распространение вредоносных компьютерных программ)).
Создание программы является оконченным преступлением с момента получения объективной формы представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств. Указанная программа должна обладать способностью к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, их системы или сети. Под использованием вредоносной программы понимается ее непосредственное использование для несанкционированного уничтожения, блокирования, модификации, копирования информации, нарушения работы ЭВМ, их системы или сети. Распространение вредоносной программы означает как распространение ее с помощью средств связи, так и простую передачу ее другому лицу в любой форме. В отличие от статьи 272 УК РФ, несанкционированное воздействие может осуществляться на любую компьютерную информацию, а не только на защищаемую законом.
Уголовный кодекс предусматривает также ответственность за незаконный оборот специальных технических средств, предназначенных для негласного получения информации (статья 138.1. УК РФ (Незаконный оборот специальных технических средств, предназначенных для негласного получения информации)).
Незаконный оборот состоит в производстве, приобретении, сбыте специальных технических средств. Основная проблема заключается в отнесении скимминговых устройств к специальным техническим средствам, предназначенным для негласного получения информации.
Постановление Правительства РФ от 01.07.1996 № 770 содержит в перечне видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности, в том числе следующие пункты:
2. Специальные технические средства для негласного визуального наблюдения и документирования.
Сюда можно отнести скрытые, камуфлированные видеокамеры, предназначенные для записи ПИН-кодов держателей платежных карт.
9. Специальные технические средства для негласного получения (изменения, уничтожения) информации с технических средств ее хранения, обработки и передачи.
Сюда можно отнести скимминговые ридеры для копирования магнитной полосы платежной карты и накладные ПИН-клавиатуры для записи ПИН-кодов держателей платежных карт.
Постановлением Правительства РФ от 10.03.2000 № 214 определен список видов специальных технических средств, предназначенных для негласного получения информации, ввоз и вывоз которых подлежат лицензированию.
2. Специальные технические средства для негласного визуального наблюдения и документирования:
б) телевизионные и видеокамеры, обладающие по крайней мере одним из следующих признаков: закамуфлированные под бытовые предметы; имеющие вынесенный зрачок входа (PINHOLE); работающие при низкой освещенности объекта (0,01 лк и менее) или при освещенности на приемном элементе 0,0001 лк и менее;
в) комплекс аппаратуры передачи видеоизображения по кабельным, радио и оптическим линиям связи.
Сюда можно отнести скрытые, камуфлированные видеокамеры, предназначенные для записи ПИН-кодов держателей платежных карт.
9. Специальные технические средства для негласного получения (изменения, уничтожения) информации с технических средств ее хранения, обработки и передачи.
Сюда можно отнести скимминговые ридеры для копирования магнитной полосы платежной карты и накладные ПИН-клавиатуры для записи ПИН-кодов держателей платежных карт.
Действия по обороту специальных технических средств признаются незаконными, если совершаются лицами, не имеющими соответствующей лицензии.
Тракторозаводский районный суд города Челябинска признал Рустама Хасанова виновным в совершении преступления, предусмотренного статьей 138.1 Уголовного кодекса Российской Федерации — «Незаконное изготовление и сбыт технических средств, предназначенных для негласного получения информации» и приговорил подсудимого к штрафу в размере 70 000 рублей в пользу государства.
Житель Челябинска через Интернет изучил информацию о способах производства скиммеров, приобрел необходимые компоненты, изготовил скиммеры и разместил объявление о продаже по 100 000 рублей.
Во время реализации очередного устройства был задержан сотрудниками отдела «К» в ходе оперативно-розыскного мероприятия.
Дело № 1-16/2013Самыми распространенными случаями выявления злоумышленников в сфере платежных карт является задержание их на месте совершения преступления: при использовании поддельных платежных карт в торгово-сервисных предприятиях, банкоматах, при установке (снятии) скимминговых устройств. В таких случаях еще ничего неизвестно обо всей противозаконной деятельности задержанного, если только он на момент задержания уже не находился в оперативной разработке. Обвинение может быть предъявлено только по части 1 статей 158, 159.3, 159.6, 165, 183, 272 УК РФ, и то, скорее всего, преступление не будет окончено, а будет установлен только факт покушения. Возбуждение уголовного дела по части 1 указанных статей Уголовного кодекса влечет за собой следующие особенности. К задержанному на месте преступления может быть избрана мера пресечения. Согласно Уголовно-процессуальному кодексу РФ:
Статья 98 УПК РФ. Меры пресечения
Мерами пресечения являются:
1) подписка о невыезде;
2) личное поручительство;
3) наблюдение командования воинской части;
4) присмотр за несовершеннолетним обвиняемым;
5) залог;
6) домашний арест;
7) заключение под стражу.
Мера пресечения в виде заключения под стражу регулируется статьей 108 УПК РФ.
Статья 108 УПК РФ. Заключение под стражу
1. Заключение под стражу в качестве меры пресечения применяется по судебному решению в отношении подозреваемого или обвиняемого в совершении преступлений, за которые уголовным законом предусмотрено наказание в виде лишения свободы на срок свыше трех лет при невозможности применения иной, более мягкой, меры пресечения. При избрании меры пресечения в виде заключения под стражу в постановлении судьи должны быть указаны конкретные, фактические обстоятельства, на основании которых судья принял это решение. Такими обстоятельствами не могут являться данные, не проверенные в ходе судебного заседания, в частности результаты оперативно-розыскной деятельности, представленные в нарушение требований статьи 89 настоящего Кодекса.
В исключительных случаях эта мера пресечения может быть избрана в отношении подозреваемого или обвиняемого в совершении преступления, за которое предусмотрено наказание в виде лишения свободы на срок до трех лет, при наличии одного из следующих обстоятельств:
1) подозреваемый или обвиняемый не имеет постоянного места жительства на территории Российской Федерации;
2) его личность не установлена;
3) им нарушена ранее избранная мера пресечения;
4) он скрылся от органов предварительного расследования или от суда.
1.1. Заключение под стражу в качестве меры пресечения не может быть применено в отношении подозреваемого или обвиняемого в совершении преступлений, предусмотренных статьями 159–159.6, 160, 165, если эти преступления совершены в сфере предпринимательской деятельности, а также статьями 171–174,174.1,176–178,180-183,185–185.4,190–199.2 Уголовного кодекса Российской Федерации, при отсутствии обстоятельств, указанных в пунктах 1–4 части 1 настоящей статьи.
Иными словами, в отношении подозреваемого или обвиняемого в совершении преступления, за которое предусмотрено наказание в виде лишения свободы на срок до трех лет (часть 1 статей 158, 159.3, 159.6, 165, 272 УК РФ), если отсутствуют обстоятельства, перечисленные в пунктах 1–4 части 1 статьи 108 УПК РФ: подозреваемый имеет постоянное место жительства на территории РФ, личность его установлена (для выполнения первых двух условий достаточно предъявить паспорт), а обстоятельства, указанные в пунктах 3–4, могут и вовсе отсутствовать (если подозреваемый задержан впервые, никакая мера пресечения в отношении него не избиралась и он ни от кого не скрывался), то мера пресечения в виде лишения свободы применяться не может. То же самое относится к подозреваемому, обвиняемому в совершении преступлений, предусмотренных и другими частями статей 159.3, 159.6, 165, если эти преступления совершены в сфере предпринимательской деятельности, а также статьей 183 УК РФ при отсутствии обстоятельств, указанных в пунктах 1–4 части 1 статьи 108 УПК РФ.
Постановлением Пленума Верховного Суда РФ от 19.12.2013 № 41 разъяснено, что преступления, предусмотренные статьями 159.3, 159.6, 165 УК РФ, следует считать совершенными в сфере предпринимательской деятельности, если они совершены лицом, осуществляющим предпринимательскую деятельность самостоятельно или участвующим в предпринимательской деятельности, осуществляемой юридическим лицом, и эти преступления непосредственно связаны с указанной деятельностью.
Таким образом, после задержания злоумышленник имеет все возможности предупредить потенциальных сообщников и уничтожить все имеющиеся следы преступления.
Вероятно, с внесением изменений в статью 187 УК РФ данное положение вещей изменится, так как уголовные дела будут возбуждаться по указанной статье, и максимальное наказание, которое предусмотрено по части 1, составляет до шести лет лишения свободы, и мера пресечения может быть избрана в виде заключения под стражу.
Другая особенность при расследовании таких преступлений заключается в том, что по статьям 158, 159.3 и 159.6 УК РФ (самые распространенные статьи по данным преступлениям) формы предварительного расследования различаются в зависимости от части применяемой статьи. По уголовным делам о преступлениях, предусмотренных частью 1 статей 158, 159.3 и 159.6 УК РФ, предварительное расследование производится в форме дознания (статья 150 УПК РФ), предусмотренных частями 2–4 статей 158, 159.3 и 159.6 УК РФ, предварительное расследование производится в форме следствия (статья 151 УПК РФ). В данном случае возникает конфликт интересов между органами дознания и следствия. Дознаватель не заинтересован расследовать преступления по части 1 статей 158, 159.3 и 159.6 УК РФ, если существует перспектива, что в результате расследования будут установлены такие обстоятельства (квалифицирующие признаки), что дело может быть переквалифицировано на другие части указанных статей УК РФ, так как такое дело ему придется отдать в следствие, то есть дознаватель будет работать «на дядю». Следователь же не может возбуждать уголовные дела по части 1 статей 158, 159.3 и 159.6 УК РФ, так как такие уголовные дела могут быть ему переданы только по письменному указанию прокурора (статья 150 УПК РФ).
При этом статья 26 Федерального закона от 02.12.90 № 395-1 «О банках и банковской деятельности» определяет порядок предоставления информации, составляющей банковскую тайну: справки по счетам и вкладам физических лиц разрешено предоставлять только органам предварительного следствия, по уголовным делам, находящимся в их производстве. Предварительное расследование (статья 151 УК РФ (Подследственность)) производится не только следователями, но и дознавателями. Закон «О банках и банковской деятельности» не разрешает предоставление информации органам дознания даже по расследуемым ими уголовным делам (часть 1 статей 158, 159.3 и 159.6 УК РФ).
При краже денежных средств в сумме от 2500 до 250 000 рублей (статья 158 УК РФ), если потерпевшим признан держатель карты (физическое лицо), то квалификация наступает по части 2 и расследованием преступления занимается следствие. Если потерпевшим признан банк (юридическое лицо), то квалификация наступает по части 1 и уголовное дело ведет дознание. При мошенничестве с использованием платежных карт (статья 159.3 УК РФ) или в сфере компьютерной информации (159.6) в сумме от 2500 до 1,5 млн рублей, если потерпевшим признан держатель карты (физическое лицо), то квалификация наступает по части 2 и расследованием преступления занимается следствие. Если потерпевшим признан банк (юридическое лицо), то квалификация наступает по части 1 и уголовное дело ведет дознание.
В связи с этим для обеспечения возможности обратиться с заявлением в правоохранительные органы и предоставить им сведения, составляющие банковскую тайну, банк должен получить от клиента разрешение на предоставление любым правоохранительным органам информации, определенной как банковская тайна, по несанкционированным клиентом операциям. Такое согласие рекомендуется указать либо в договоре с клиентом (условиях использования платежной карты), либо в заявлении о несанкционированных клиентом операциях.
Необходимо отметить, что в МВД РФ отсутствует подразделение, целенаправленно занимающееся преступлениями в сфере оборота платежных карт. Не осуществляется накопление и анализ информации о криминальной деятельности.
Из-за специфической латентности преступлений необходим большой объем оперативной работы. Необходимо создание со стороны правоохранительных органов, платежных систем, банков единой системы противодействия противоправным деяниям в сфере платежных карт. При расследовании преступлений в сфере банковских карт необходимо выявление всех эпизодов. По номеру карты можно установить все незаконные операции. Данная информация находится в платежных системах и банках. Необходим постоянный публичный контакт и оперативность (сроки расследования) со стороны платежных систем и банков о предоставлении информации по запросам следователей (дознавателей). В РФ отсутствует система для проведения экспертиз поддельных банковских карт. Банк-потерпевший не может проводить экспертизу, а другой банк не заинтересован (только добрая воля).
4.2. Гражданско-правовые вопросы в случае несанкционированного использования платежных карт
Рассмотрим некоторые гражданско-правовые вопросы в случае осуществления операций по поддельным, утраченным картам, с использованием реквизитов карт в сети Интернет. Необходимо данные отношения разделить на две группы:
1. Эквайрер (банк) — торгово-сервисное предприятие (ТСП).
2. Эмитент (банк) — держатель карты (клиент).
Отношения между эквайрером и эмитентом регулируются правилами платежных систем и здесь не рассматриваются.
Отношения между банками (эквайрерами, эмитентами) и их клиентами (ТСП, держателями) регулируются нормами гражданского права и договорными отношениями.
Эквайрер — ТСП. ТСП — индивидуальный предприниматель, коммерческая организация. Оба субъекта занимаются предпринимательской деятельностью. Оба субъекта равноправны. Ответственность определяется нормами гражданского права и положениями договора эквайринга. Если счет ТСП открыт в банке-эквайрере, то составная часть договора эквайринга — договор банковского счета.
Предположим, что в ТСП прошли так называемые мошеннические, то есть несанкционированные держателями карт, операции. Имеет ли право эквайрер не перечислять денежные средства ТСП по данным операциям? Гражданский кодекс определяет ответственность банков перед клиентами за:
1. Несвоевременное зачисление банком денежных средств на счет клиента (ТСП) и поступившие на корреспондентский счет банка (пропущены сроки по статье 849 ГК РФ). Частным случаем является незачисление средств, в том числе ошибочное зачисление на другой счет.
2. Необоснованное списание средств со счета. При этом неустойка исчисляется со дня списания средств до их восстановления по учетной ставке ЦБ РФ на день восстановления на счете.
3. Невыполнение указаний клиента о перечислении денежных средств со счета:
— при внутрибанковских расчетах — незачисление на счет получателя в срок, предусмотренный статьей 849 ГК РФ;
— при межбанковских расчетах — неперечисление в банк-посредник или банк-получатель в срок, предусмотренный статьей 849 ГК РФ.
За данные нарушения банк уплачивает клиенту проценты в порядке и размере, установленном статьей 395 ГК РФ. Такая ответственность является законной неустойкой. На основании этого можно сделать вывод, что условие договора банковского счета об исключении такой ответственности со стороны банка или уменьшении ее размера недействительно (пункт 2 статьи 332 ГК РФ).
В случае возникновения убытков, когда причиненный ущерб не связан с нарушением договорных обязательств ни банком, ни ТСП (например, при мошенничестве третьих лиц), ответственность определяется договором. Правила платежных систем напрямую не действуют. Все случаи, когда эквайрер хочет переложить ответственность на ТСП, в том числе когда на основании правил платежных систем ответственность возлагается на эквайрера, должны быть прописаны в договоре с ТСП. Например: обязанность о предоставлении копии чека по операции, запрет на операции на одном терминале по одной карте в течении короткого времени (15 мин.), ответственность ТСП при интернет-эквайринге (МО/ТО), штрафы платежной системы в случае превышения уровня мошеннических операций, нарушения условий защиты бренда, компрометации данных и несоответствия требованиям стандартов PA DSS и PCI DSS, другое. Следует обратить внимание на следующие требования «Правил платежной системы “Виза”»:
Взыскание штрафов
Все штрафы взыскиваются Оператором платежной системы с участников платежной системы. Участник платежной системы несет ответственность за уплату всех штрафов, вне зависимости от того, оплачивает ли он их самостоятельно, передает другой стороне или увеличивает их сумму при выставлении счета своему клиенту. Участник платежной системы не имеет права сообщать своим клиентам о том, что Оператор платежной системы взимает какие-либо штрафы в отношении деятельности данных клиентов.
В случае если банк не перечислит денежные средства ТСП по мошенническим операциям, даже если есть основания полагать, что сотрудники ТСП причастны к ним, но основания для этого будут отсутствовать в договоре эквайринга, существует вероятность, что ТСП предъявит к банку гражданский иск, который будет удовлетворен.
Отношения между эмитентом (банком) и держателем карты (клиентом) существенно отличаются от описанных выше. Держатель — физическое лицо, некоммерческая организация — несет ответственность только при наличии вины, если только он не использовал банковский счет для целей предпринимательской деятельности. Законодательство о защите прав потребителей определяет их как граждан, имеющих намерение заказать или приобрести либо заказывающих, приобретающих или использующих товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности. В данном случае субъекты неравноправны.
В целом Закон о защите прав потребителей не рассчитан на действие в сфере банковских услуг, но отдельные его положения могут применяться к рассматриваемым отношениям. Одним из наиболее важных следствий применения к договору банковского счета законодательства о защите прав потребителей является то, что клиент имеет право не оплачивать государственной пошлиной иски к банку и такие иски могут быть предъявлены в суд по месту пребывания клиента.
Статья 29 ГПК РФ. Подсудность по выбору истца
7. Иски о защите прав потребителей могут быть предъявлены также в суд по месту жительства или месту пребывания истца либо по месту заключения или месту исполнения договора.
Статья 17 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей». Судебная защита прав потребителей
2. Иски о защите прав потребителей могут быть предъявлены по выбору истца в суд по месту: жительства или пребывания истца;
3. Потребители по искам, связанным с нарушением их прав… освобождаются от уплаты государственной пошлины.
Важным нормативным документом, регулирующим отношения между банками (операторами по переводу денежных средств) и их клиентами при оказании платежных услуг, является Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе». Если его проанализировать в части распределения ответственности между банками-эмитентами и клиентами-держателями платежных карт, можно сделать следующие заключения.
Банк обязан:
1. Информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом (часть 4 статьи 9: «Оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом»). Обращает на себя внимание, что законодатель определяет данное требование для банка как обязанность направить клиенту уведомление. В связи с тем представляется, что если банк не направляет клиенту данное информационное сообщение, а только предоставляет ему возможность каким-либо образом с ним ознакомиться, например прийти в банк и получить выписку или сделать это через личный интернет-кабинет, то банк не выполнит указанное требование. То есть уведомление клиенту направлено не будет.
2. Обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента (часть 5 статьи 9: «Оператор по переводу денежных средств обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента»).
3. Рассматривать заявления клиента в срок не более 30/60 дней со дня получения заявления (часть 8 статьи 9: «Оператор по переводу денежных средств обязан рассматривать заявления клиента, в том числе при возникновении споров, связанных с использованием клиентом его электронного средства платежа, а также предоставить клиенту возможность получать информацию о результатах рассмотрения заявлений, в том числе в письменной форме по требованию клиента, в срок, установленный договором, но не более 30 дней со дня получения таких заявлений, а также не более 60 дней со дня получения заявлений в случае использования электронного средства платежа для осуществления трансграничного перевода денежных средств»).
В свою очередь клиент обязан:
1. Предоставить оператору по переводу денежных средств достоверную информацию для связи с клиентом (часть 13 статьи 5).
2. В случае ее изменения своевременно предоставить обновленную информацию (часть 13 статьи 5: «Клиент обязан предоставить оператору по переводу денежных средств достоверную информацию для связи с клиентом, а в случае ее изменения своевременно предоставить обновленную информацию»).
3. В случае утраты электронного средства платежа (карты) и (или) его использования без согласия клиента направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции (часть 11 статьи 9: «В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции»).
Риск убытков несет банк:
1. Если банк не исполняет обязанность по информированию клиента (часть 13 статьи 9: «В случае если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции в соответствии с частью 4 настоящей статьи, оператор по переводу денежных средств обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента»).
2. После получения банком уведомления от клиента (часть 12 статьи 9: «После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления»).
3. До момента направления клиентом — физическим лицом уведомления о несанкционированных операциях в соответствии с частью 11 статьи 9 (часть 15 статьи 9): «В случае если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента — физического лица о совершенной операции в соответствии с частью 4 настоящей статьи и клиент — физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с частью 11 настоящей статьи, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом — физическим лицом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента — физического лица»).
Риск убытков несет клиент:
1. Если клиент не предоставил банку достоверную контактную информацию (часть 13 статьи 5).
2. Если клиент своевременно не направил банку уведомление в соответствии с частью 11 статьи 9, при этом банк исполняет обязанность по информированию клиента (часть 14 статьи 9).
Обратим внимание, что если клиент потерял карту, то он имеет право направить уведомление о данном факте, только после получения от банка уведомления о совершенной операции. То есть если карту украли, можно не сообщать об этом в банк, а подождать, пока по карте пройдут несанкционированные операции и клиент получит уведомление. Только после этого можно на следующий день прийти в банк и написать заявление.
Данный закон позиционируется как клиентоориентированный, направленный на защиту прав держателей карт. Но так ли это в действительности?
Закон обязывает банки информировать клиента о совершении каждой операции с платежной карты путем направления клиенту соответствующего уведомления. Порядок уведомления должен быть установлен договором. Способ информирования клиента выбирает банк.
5. Закон об НПС не содержит требований об информировании клиента о совершении операций с использованием ЭСП определенным способом, в связи с чем кредитная организация в зависимости от условий заключенного договора об использовании ЭСП и с учетом оценки риска, правил платежной системы, участником которой является кредитная организация, может выбирать любые доступные способы уведомления клиента в электронном виде и (или) на бумажном носителе[106].
Если банк выбирает один определенный способ информирования, то клиент вынужден либо согласиться с данным способом и предоставить свои контактные данные для информирования, либо отказаться от информирования и контактные данные не передавать.
Наиболее часто в России это реализуется путем отправки SMS-сообщений. Реализация данной услуги является для банков затратной: необходимо ее оплачивать операторам или провайдерам мобильной связи. Рынок SMS-уведомлений банков своим клиентам в России в 2013 г. составил $ 70,7 млн (отчет J’son & Partnes Consulting). Может ли банк переложить эти затраты на клиентов, то есть сделать услугу по информированию платной? В самом законе об этом ничего не говорится. Интересна позиция по данному вопросу Центрального Банка РФ. Первоначально ЦБ РФ не исключал, что услуга может быть платной: «Кредитная организация предлагает держателю банковской карты услугу оповещения об операциях, совершенных с использованием банковской карты (например, посредством телефонной связи, SMS-сообщений, электронной почты, почтовой связи и т. д.), в случае если данная услуга является платной, то клиент уведомляется об этом до ее подключения»[107]. Но в 2014 г. ЦБ РФ изменил свое мнение и разместил на сайте ответы на вопросы по применению статьи 9 Федерального закона «О национальной платежной системе» (ЦБ РФ):
1. Возможно ли взимание оператором по переводу денежных средств платы за информирование клиентов о совершении каждой операции с использованием электронного средства платежа в соответствии с требованиями статьи 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее — Закон об НПС)?
Исполнение кредитной организацией законодательно установленной обязанности не может быть обусловлено уплатой клиентом вознаграждения за предоставление информации, в связи с чем в договоре должен быть предусмотрен способ бесплатного информирования клиента в соответствии со статьей 9 Закона об НПС.
Представляется, что такое мнение ЦБ РФ не основано на законе. Банк обязан информировать клиентов о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом. То есть информирование осуществляется в соответствии с договором. Какова природа данного договора? Является ли данная услуга информационной или банковской? Если услуга информационная, то должна действовать статья 779 ГК РФ (Договор возмездного оказания услуг).
1. По договору возмездного оказания услуг исполнитель обязуется по заданию заказчика оказать услуги (совершить определенные действия или осуществить определенную деятельность), а заказчик обязуется оплатить эти услуги.
2. Правила настоящей главы применяются к договорам оказания услуг связи, медицинских, ветеринарных, аудиторских, консультационных, информационных услуг, услуг по обучению, туристическому обслуживанию и иных, за исключением услуг, оказываемых по договорам, предусмотренным главами 37, 38, 40, 41, 44, 45, 46, 47, 49, 51, 53 настоящего Кодекса.
Таким образом, оказание информационной услуги клиенту со стороны банка может быть основано на договоре возмездного оказания информационных услуг. Если же информирование клиента является для банка надлежащим оказанием банком услуг по совершению операций с денежными средствами, исполнение банковской услуги включает обязанность информировать клиента о совершении каждой операции, то данные действия регулируются статьей 851 ГК РФ (Оплата расходов банка на совершение операций по счету).
1. В случаях, предусмотренных договором банковского счета, клиент оплачивает услуги банка по совершению операций с денежными средствами, находящимися на счете.
Как видим, мнение о взимании платы банком за информирование основано на законе. Но если банк не желает спорить с регулятором, а исполнение обязанности по информированию все равно влечет определенные затраты, то они могут быть просто спрятаны в тарифах. С одной стороны, и регулятор доволен — плата за услугу не взимается (в явном виде) и банк не в убытке (стоимость услуги возложена на всех клиентов, в том числе и тех, кто ею не пользуется).
Еще один сложный вопрос, неурегулированный законом, — когда наступает момент получения клиентом информации об операции? Так как «обязанность оператора по переводу денежных средств по направлению клиенту уведомлений, предусмотренных настоящим Федеральным законом, считается исполненной при направлении уведомления в соответствии с имеющейся у оператора по переводу денежных средств информацией для связи с клиентом» (часть 13 статьи 5), а право оспорить операцию у клиента возникает после получения уведомления, то возникает проблема: что является получением со стороны клиента уведомления о совершенной операции? Когда сообщение направлено со стороны банка клиенту, когда сообщение доставлено до телефона (SMS), электронного почтового ящика (e-mail), обычного почтового ящика (письмо) или когда сообщение прочитано клиентом?
Кредитная организация в соответствии с договором об использовании ЭСП вправе устанавливать:
срок (с учетом используемого способа уведомления), когда уведомление считается полученным клиентом, а также порядок подтверждения полученных уведомлений клиентом и кредитной организацией[108]…
Банк может включить в договор условие, которое определяет, что при направлении банком SMS-сообщений или e-mail держателю, SMS-сообщение или e-mail считается полученным держателем в дату отправления SMS-сообщения или e-mail банком. Правомерно это?
Ответы на вопросы по применению статьи 9 Федерального закона «О национальной платежной системе» (ЦБ РФ):
3. В какой момент указанное уведомление считается полученным клиентом?
Закон об НПС не определяет момент, в который уведомление об операции с использованием ЭСП считается полученным клиентом, данное положение целесообразно предусматривать в договоре в рамках установленного им порядка направления уведомлений клиенту.
Правомерность такого условия договора подтверждается и статьей 165.1 ГК РФ (Юридически значимые сообщения):
1. Заявления, уведомления, извещения, требования или иные юридически значимые сообщения, с которыми закон или сделка связывает гражданско-правовые последствия для другого лица, влекут для этого лица такие последствия с момента доставки соответствующего сообщения ему или его представителю.
Сообщение считается доставленным и в тех случаях, если оно поступило лицу, которому оно направлено (адресату), но по обстоятельствам, зависящим от него, не было ему вручено или адресат не ознакомился с ним.
2. Правила пункта 1 настоящей статьи применяются, если иное не предусмотрено законом или условиями сделки либо не следует из обычая или из практики, установившейся во взаимоотношениях сторон.
Таким образом, держатель вынужден ежедневно проверять наличие сообщений от банка. Даже если при этом не пользуется картой, так как вероятность несанкционированной операции присутствует всегда, данное событие, в отличие от утраченной карты, клиентом не контролируется, а времени, чтобы заявить о ее несанкционированном характере, — не позднее дня, следующего за днем получения от банка уведомления. Если банк информирует клиента при помощи SMS-сообщений, клиент вынужден никогда не отключать телефон более чем на один день, даже находясь в роуминге, и ежедневно проверять SMS. Если банк информирует клиента при помощи e-mail, клиент вынужден ежедневно проверять электронную почту, то есть постоянно подключаться к Интернету. Если банк информирует клиента при помощи обычной почты, клиент вынужден ежедневно проверять почтовый ящик, если письма заказные / с уведомлением, то необходимо в момент доставки письма находиться дома либо ежедневно ходить на почту в отдел доставки. Что делать клиенту в случае невозможности ежедневно проверять сообщения от банка: командировка, отпуск, болезнь? Таких кабальных условий нет в цивилизованных странах. Обычная практика оказания банковских услуг обязывает клиента раз в месяц ознакомиться со всеми операциями по счету и в случае несогласия с какими-либо — подать уведомить об этом банк.
Согласно Закону № 161-ФЗ способ уведомления о несанкционированной операции опять выбирает не клиент, а банк. Очень распространенным способом является письменное заявление. Что делать клиенту, если он находится вне доступности офисов, отделений банка, в командировке, отпуске, за границей? Хорошо, если со стороны банка предусмотрены другие (юридически значимые) способы (формы) уведомления, а если нет?
6. Кредитной организации с учетом оценки риска рекомендуется определять способы и порядок информационного взаимодействия с клиентом, обеспечивающие ему исполнение обязанности по уведомлению кредитной организации в соответствии с частью 11 статьи 9 Закона об НПС[109].
В пункте 15 статьи 9 Закона № 161-ФЗ содержится требование о возмещении средств по несанкционированным клиентом операциям, но срок возмещения не указан. Пункт 8 статьи 9 Закона № 161-ФЗ обязывает банк рассмотреть заявление клиента и предоставить ему письменный ответ о результатах рассмотрения в срок 30/60 дней. О возмещении денежных средств не упоминается. В случае принятия банком решения о возврате денежных средств срок возврата не обязательно должен укладываться в срок ответа на претензию. Закон не связывает дату принятия решения (возникновения обязательства) с датой исполнения данного обязательства.
8. В целях рассмотрения заявления клиента, касающегося совершения операций с использованием ЭСП без согласия клиента, кредитная организация может определять в договоре с клиентом:
указываемые клиентом в заявлении сведения и примерный перечень предоставляемых клиентом документов, соответствующих характеру использования ЭСП и операций, которых касается заявление клиента;
примерный перечень документов, предоставляемых кредитной организацией по результатам рассмотрения заявления клиента в случае принятия решения об отказе в возмещении денежных средств по операциям, совершенным без согласия клиента;
срок возмещения денежных средств по результатам рассмотрения заявления клиента по операциям, совершенным без согласия клиента, являющийся разумным[110].
То есть перечень необходимых документов и срок возврата денежных средств опять определяет банк.
Пункт 15 статьи 9 Закона № 161-ФЗ определяет, что банк обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования платежной карты, что повлекло совершение операции без согласия клиента — физического лица.
Порядок использования карты определяет банк. Минимально — это могут быть требования о соблюдении мер по безопасному использованию карты: установка лимитов, гео— (страновых) фильтров, подписка на 3D Secure, требования хранить карту, не разглашать ПИН и др. Здесь достаточно широкое поле действия для банков и возможность в отказе по возврату средств по данному основанию.
Имеющаяся судебная практика говорит о хороших перспективах со стороны банков по выигрышу дел у клиентов. Посмотрим, что же суды считают в настоящий момент нарушением со стороны клиентов порядка использования карт:
…Обязанность сохранять в тайне ПИН-код, не передавать карту и ее данные иным, третьим лицам, возложена на истца
Дело № 33-41578При проведении операций, осуществленных корректно, с соблюдением правил, предполагалось, что распоряжение на снятие денежных средств дано уполномоченным лицом, при этом обязанность сохранять в тайне ПИН-код и номер карты, не передавать карту или ее номер третьему лицу, возложена на истца.
Дело № 33-2824Согласно пункту 6.3.2 Общих условий клиент обязан хранить в секрете ПИН-код и номер карты. Не передавать карту или ее номер третьему лицу. Использование карты третьим лицом будет рассматриваться банком как грубое нарушение договора и может повлечь за собой его расторжение банком в одностороннем порядке.
Дело № 33-5696…Суд первой инстанции пришел к правильному выводу, что у банка имелись основания полагать, что распоряжение на снятие денежных средств дано уполномоченным лицом, установленные банковскими правилами и договором процедуры позволяли банку идентифицировать выдачу распоряжения уполномоченными лицами, при этом договором обязанность сохранять в тайне ПИН-код и номер карты, не передавать карту или ее номер третьему лицу возложена на истца.
Дело № 33-19210Московский городской суд считает, что в случае несанкционированной операции с использованием ПИН-кода ответственность лежит на держателе, так как он не сохранил в тайне свой ПИН-код, то есть нарушил правила безопасного использования карты.
Мировой судья второго судебного участка Ленинградского района г. Калининграда, дело № 2-1869/2012, посчитал, что вина клиента состоит в том, что тот ранее пользовался своей картой в Интернете, что и привело к ее компрометации: «держатель международной банковской карты ранее пользовался услугами Интернета, сам вводил данные своей банковской карты в систему Интернет, следовательно, по его собственной инициативе данные международной банковской карты, держателем которой он является, стали известны неограниченному кругу лиц, что, видимо, позволило третьим лицам воспользоваться данными карты истца в системе Интернет и произвести списание денежных средств по банковской карте».
Один из недостатков Закона видится в том, что на банки возлагается ответственность по утраченным (украденным, утерянным) платежным картам клиентов физических лиц до момента получения ими уведомления об утрате карты. Таким образом, с одной стороны, держатель лишен мотивации безопасного, бережного хранения карты, а банки будут вынуждены нести дополнительные расходы в связи с данным видом потерь. Потери могут возникнуть как в связи с халатным, небрежным отношением держателей к картам (зачем держателю заботиться о безопасности карты — если что-то случится, банк обязан компенсировать ущерб, тем более что закон позволяет клиенту сообщить об утрате карты не сразу, а только на следующий день после того, как по ней пройдут операции), так и вследствие преднамеренных противоправных действий с их стороны (мошенничества). При этом обязанность доказывания, что клиент нарушил порядок использования карты, возложена на банки. Каким образом банки могут доказать, что клиент что-то нарушил? Федеральный закон от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности» запрещает неуполномоченным лицам заниматься оперативно-розыскными мероприятиями.
Статья 6. Оперативно-розыскные мероприятия
Запрещается проведение оперативно-розыскных мероприятий и использование специальных и иных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, не уполномоченными на то настоящим Федеральным законом физическими и юридическими лицами.
Список органов, имеющих такое право, определен, и банки в него не входят.
Статья 13. Органы, осуществляющие оперативно-розыскную деятельность
На территории Российской Федерации право осуществлять оперативно-розыскную деятельность предоставляется оперативным подразделениям:
1. Органов внутренних дел Российской Федерации.
2. Органов Федеральной службы безопасности.
4. Федерального органа исполнительной власти в области государственной охраны.
6. Таможенных органов Российской Федерации.
7. Службы внешней разведки Российской Федерации.
8. Федеральной службы исполнения наказаний.
9. Органов по контролю за оборотом наркотических средств и психотропных веществ.
Закон РФ от 11.03.1992 № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации» также не предоставляет для банков такой возможности.
Статья 3. Виды охранных и сыскных услуг
Частная детективная и охранная деятельность осуществляется для сыска и охраны.
В целях сыска разрешается предоставление следующих видов услуг:
1) сбор сведений по гражданским делам на договорной основе с участниками процесса;
2) изучение рынка, сбор информации для деловых переговоров, выявление некредитоспособных или ненадежных деловых партнеров;
3) установление обстоятельств неправомерного использования в предпринимательской деятельности фирменных знаков и наименований, недобросовестной конкуренции, а также разглашения сведений, составляющих коммерческую тайну;
4) выяснение биографических и других характеризующих личность данных об отдельных гражданах (с их письменного согласия) при заключении ими трудовых и иных контрактов;
5) поиск без вести пропавших граждан;
6) поиск утраченного гражданами или предприятиями, учреждениями, организациями имущества;
7) сбор сведений по уголовным делам на договорной основе с участниками процесса. В течение суток с момента заключения контракта с клиентом на сбор таких сведений частный детектив обязан письменно уведомить об этом лицо, производящее дознание, следователя или суд, в чьем производстве находится уголовное дело;
8) поиск лица, являющегося должником в соответствии с исполнительным документом, его имущества, а также поиск ребенка по исполнительному документу, содержащему требование об отобрании ребенка, на договорной основе с взыскателем.
Получается, что реальная (не формальное нарушение — например, если операция ПИНовая, то клиент разгласил ПИН-код) возможность выяснить, действительно ли клиент нарушил правило использования карты, для банков существует только в рамках расследования уголовных дел. Самые распространенные на сегодняшний день уголовные дела, связанные с платежными картами, — это хищение денежных средств с похищенных карт с использованием ПИН. Такие дела раскрываются при активной помощи потерпевшего (держателя карты), так как именно он заявляет в полицию о хищении карты, ПИН-кода и обстоятельствах, при которых это произошло. При этом держатель карты не скрывает фактов нарушения с его стороны мер по безопасному использованию карты:
…Находясь в доме… у своей знакомой К., О., имея умысел на тайное хищение чужого имущества и преследуя корыстную цель, со шкафа похитила пластиковую кредитную карту Банка «ВТБ24», принадлежащую К., и лист бумаги с записью ПИН-кода данной карточки.
Дело № 1-13-2010…Взял с батареи отопления пластиковую банковскую карту «Виза электрон», принадлежащую Л. После чего в период времени <обезличено> этого же дня из банкомата «Севергазбанк», расположенного в помещении магазина «<обезличено>» по адресу: <обезличено> Б.Д. В. снял деньги, введя ПИН-код, который был записан на пластиковой карте.
Дело № 1-54/2012…Путем свободного доступа зашел в спальную комнату своей матери Б.С. И., откуда со шкафа серванта, расположенного у правой стены комнаты, похитил кредитную карту ОАО «ОТП-Банк», принадлежащую Б.С.И., и, запомнив секретный ПИН-код карты — __№__, указанный на отдельном конверте кредитной карты, в этот же день передал ее своему другу С.О.И. для дальнейшего хищения со счета данной карты денежных средств.
Дело № 1-55/2011…Из сумки ФИО7, висевшей на вешалке, похитила принадлежащие ФИО7 кошелек с находящейся в нем кредитной картой ЕС/МС CR MASS № ОАО «Сбербанк России» на ее имя и фрагментом листа бумаги с ПИН-кодом.
Дело № 1-41/2011…Подсмотрел комбинацию цифр ПИН-кода банковской карты потерпевшего. Приобретя спиртное и продукты питания, В. В. А. и ФИО5 прошли к потерпевшему. Находясь в данной квартире, потерпевший, в силу значительного употребления спиртного, уснул. В. В. А., воспользовавшись этим, и осознавая, что ФИО5 не контролирует ее действия, тайно из кошелька потерпевшего похитила не представляющую материальной ценности банковскую карту на имя ФИО5.
Дело № 1-142/2011…Похитила из женской сумочки банковскую карту банка ОАО «… Банк» и отрезок бумаги, на котором был записан ПИН-код.
Дело № 1-523-2011Платежные системы и ЦБ РФ активно подвигают банки использовать защищенную технологию микропроцессорных платежных карт, операция по чиповой карте в чиповом терминале (банкомате) с использованием ПИН-кода считается наиболее безопасной. Но Федеральный закон № 161-ФЗ говорит, что клиент имеет право отказаться от такой операции. Включение в договор (условия использования карты) требования и ответственности держателя по сохранности карты и ПИН-кода представляется не совсем законным. Так как часть 11 статьи 9 прямо указывает на возможность со стороны клиента утраты электронного средства платежа (карты и ПИН-кода) и его использования без согласия клиента. А часть 1 статьи 16 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» говорит о недействительности условий договора, ущемляющих права потребителя по сравнению с правилами, установленными законам.
1. Условия договора, ущемляющие права потребителя по сравнению с правилами, установленными законами или иными правовыми актами Российской Федерации в области защиты прав потребителей, признаются недействительными.
Более того, за это предусмотрена административная ответственность.
Статья 14.8 Кодекса Российской Федерации об административных правонарушениях. Нарушение иных прав потребителей
2. Включение в договор условий, ущемляющих установленные законом права потребителя, —
влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.
Ответственность клиента в случае утраты карты может быть предусмотрена только в случае его вины, например нарушения правил безопасного использования карты, халатного хранения (забыл, оставил, потерял) и т. п. В случае противоправных действий третьих лиц в отношении клиента, например карта была похищена или осуществлен скимминг, вины клиента в утрате карты (ПИН-кода) нет, следовательно, он не должен нести за это ответственность. Чтобы установить вину клиента, банку необходимо требовать указания в заявлении факта, что карта украдена или потеряна (халатность — наличие вины). В случае несанкционированных операций в результате заражения компьютера, мобильного телефона и т. п. клиента вредоносным программным обеспечением (вирусом) банку необходимо выполнить рекомендации Центрального Банка России.
Письмо от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности»
4.2.5. Предусматривать в договорах положения, в соответствии с которыми кредитная организация не несет ответственность в случаях финансовых потерь, понесенных клиентами в связи с нарушением и (или) ненадлежащим исполнением ими требований по защите от ВК клиентских АРМ систем ДБО, а также включать в договоры описание процедур разрешения споров, возникающих в связи с компрометацией аутентификационной и идентификационной информации, используемой клиентами для доступа к системам ДБО (логины, пароли, биометрическая информация и тому подобное) и (или) с нарушениями в работе клиентских АРМ систем ДБО, в том числе являющимися следствием воздействия на клиентские АРМ ВК (вредоносный код).
После вступления в силу статьи 9 Закона № 161-ФЗ держателю заявление в полицию писать не нужно: если он вовремя уведомил банк о несанкционированной операции по утраченной карте, то ответственность за такие операции возлагается на банк. При этом уже банк будет направлять заявление в полицию о совершенном преступлении. Но если в рамках расследования уголовного дела или доследственной проверки держатель карты правдиво сообщит все обстоятельства утраты карты/ПИН-кода, то существует вероятность, что будет установлено нарушение со стороны клиента мер безопасности и держатель потеряет право на возмещение Банком денежных средств. Получается, что держатель не заинтересован сотрудничать с правоохранительными органами с целью установления преступника, а Закон № 161-ФЗ способствует латентности преступлений в сфере платежных карт.
На сегодняшний момент латентность (скрытность) преступлений в сфере банковских платежных карт достигает 95–99 %. То есть правоохранительными органами возбуждаются уголовные дела только по 1–5 % от общего количества преступлений. Поскольку затраты банков на компенсацию потерь по утраченным картам возрастут, банки будут вынуждены увеличить стоимость самого продукта (банковской карты). Потери по утраченным картам нерадивых, халатных клиентов и даже просто мошенников будут оплачивать добросовестные держатели карт, которые свои карты не теряют (аналогия с кредитами: невозвращенные средства оплачивают добросовестные заемщики; чем больше невозвратов, тем дороже процентная ставка по кредиту). При этом мошенник выполнит все условия, пострадает добросовестный клиент. Для держателей стоимость банковской карты увеличится, возрастут ограничения, лимиты.
Представляется, что в связи с этим более правильно было бы законодательно определить следующее. Риск убытков в случае причинения ущерба при отсутствии вины клиента несет эмитент (банк) инструмента безналичных расчетов (электронного средства платежа). Наличие вины клиента — физического лица доказывается эмитентом (банком). В случае утраты клиентом инструмента безналичных расчетов (электронного средства платежа) риск убытков несет клиент до момента соответствующего уведомления эмитента (банка), после момента уведомления — риск убытков несет эмитент (банк).
4.3. Методы и инструменты оценки рисков на базе мониторинга карточных транзакций
Под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (Федеральный закон «О техническом регулировании» № 184-ФЗ). Оценка рисков — это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат (ГОСТ Р 51897 «Менеджмент риска. Термины и определения» и ГОСТ Р ИСО/МЭК17799 «Информационная технология. Практические правила управления информационной безопасностью»).
Начальным этапом является идентификация риска, то есть процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен, оценка представляет собой общий процесс анализа риска и его оценивания. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.
В результате обмена информацией о риске и его осознании может быть принято решение о его обработке, то есть о выборе и осуществлении мер по модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).
Система управления рисками в платежной системе (Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе») есть комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы с учетом размера причиняемого ущерба. Оператор платежной системы (организация, определяющая правила платежной системы, а также выполняющая иные обязанности в соответствии с упомянутым законом) обязан определить одну из следующих используемых в платежной системе организационных моделей управления рисками в платежной системе:
— самостоятельное управление рисками в платежной системе оператором платежной системы;
— распределение функций по оценке и управлению рисками между оператором платежной системы, операторами услуг платежной инфраструктуры и участниками платежной системы;
— передача функций по оценке и управлению рисками оператором платежной системы, не являющимся кредитной организацией, расчетному центру.
Система управления рисками должна предусматривать следующие мероприятия:
1) определение организационной структуры управления рисками, обеспечивающей контроль за выполнением участниками платежной системы требований к управлению рисками, установленных правилами платежной системы;
2) определение функциональных обязанностей лиц, ответственных за управление рисками, либо соответствующих структурных подразделений;
3) доведение до органов управления оператора платежной системы соответствующей информации о рисках;
4) определение показателей бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;
5) определение порядка обеспечения бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;
6) определение методик анализа рисков в платежной системе, включая профили рисков, в соответствии с требованиями нормативных актов Банка России;
7) определение порядка обмена информацией, необходимой для управления рисками;
8) определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев;
9) определение порядка изменения операционных и технологических средств и процедур;
10) определение порядка оценки качества функционирования операционных и технологических средств, информационных систем независимой организацией;
11) определение порядка обеспечения защиты информации в платежной системе.
Банковская карта как инструмент для совершения безналичных операций по счету клиента в банке-эмитенте относительно обеспечения безопасности:
— может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к счету владельца инструмента;
— может быть ненадлежащим образом использована самим клиентом.
С введением в действие упомянутого закона № 161-ФЗ существовавшие с момента появления банковских карт риски должны обрабатываться следующим образом (в терминах закона банковская карта — это электронное средство платежа, клиентом является физическое лицо) согласно статье 9:
• в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции (часть 11);
• после получения оператором по переводу денежных средств уведомления клиента оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления (часть 12);
• в случае если оператор по переводу денежных средств не исполняет обязанность по информированию клиента о совершенной операции, то он обязан возместить клиенту сумму операции, о которой клиент не был проинформирован и которая была совершена без согласия клиента (часть 13);
• в случае если оператор по переводу денежных средств исполняет обязанность по информированию клиента о совершенной операции и клиент не направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств не обязан возместить клиенту сумму операции, совершенной без согласия клиента (часть 14);
• в случае если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента и клиент направил оператору по переводу денежных средств уведомление, оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом уведомления. В указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента — физического лица (часть 15).
Таким образом, нормативные документы устанавливают требования к оценке рисков в платежной сфере, что, с одной стороны, приводит к необходимости их измерения, а с другой — к выбору адекватных средств и инструментов для их предотвращения или снижения до приемлемого уровня.
4.3.1. Количественная оценка рисков
В простейшем случае для вычисления риска производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий.
Если переменные являются количественными величинами, то риск — оценка математического ожидания потерь. Если переменные — качественные величины, то метрическая операция умножения не определена и в явном виде применять эту формулу нельзя.
В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень обеспечения безопасности, используется модель оценки риска по трем факторам: угроза, уязвимость, цена потери. При этом
тогда:
Данное выражение необходимо рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал — качественная. В последнем случае применяются различные табличные методы для расчета риска в зависимости от трех факторов.
Для оценки угроз и уязвимостей применяются различные методы, в основе которых лежат:
— экспертные оценки;
— статистические данные;
— учет факторов, влияющих на уровни угроз и уязвимостей.
Один из возможных подходов к разработке подобных методик — накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят.
4.3.2. Оценка рисков, связанных с мошенничеством
Риски, связанные с мошенничеством в платежной системе, могут быть оценены количественно, потому что они связаны с проведением несанкционированных транзакций по счету клиента банка с использованием банковской карты как инструмента доступа к нему. Как было отмечено ранее, мошенничество направлено на информационный актив (счет клиента), ценность которого имеет стоимостное выражение. Поэтому для отдельной карты риск будет равен
где Рмош — вероятность проведения мошеннической транзакции по карте,
Sсум — величина доступных средств на счете (в рамках дебетового или кредитного договора банка с клиентом).
Для получения величины риска по указанной формуле необходимо рассчитать вероятность проведения мошеннических транзакций, поскольку величина доступных средств на счете клиента банка известна.
В соответствии с ранее приведенным определением мошенническая операция — операция с использованием банковской карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Мошенническая транзакция может быть совершена при одновременном выполнении следующих условий (рис. 4.2):
— компрометация данных карты — скомпрометированы данные магнитной полосы карты и (или) ПИН-код, ее реквизиты и (или) пароль для операций безопасных платежей в Интернете 3D Secure;
— использование данных карты — для мошенничества по поддельным картам это означает изготовление карты, которая может быть принята к оплате в торгово-сервисном предприятии (ТСП) или банкомате;
— инициирование транзакции — злоумышленник инициирует транзакцию с использованием поддельной карты или скомпрометированных реквизитов;
— завершение транзакции — для операций, проводимых в режиме реального времени (онлайн) это означает авторизацию эмитентом, для операций офлайн — проведение операции по счету карты.
Рис. 4.2. Этапы совершения мошеннической транзакции
Из вышеизложенного следует, что вероятность проведения мошеннической операции Рмош с учетом формул условной вероятности и (1) можно определить следующим образом:
где Р (кпр) — вероятность компрометации данных карт, необходимых для проведения мошеннической транзакции,
P (исп | кпр) — вероятность использования скомпрометированных данных (например, для изготовления поддельной карты),
Р (поп | кпр ? исп) — вероятность проведения несанкционированной транзакции (успех попытки проведения);
Р (обн) — вероятность обнаружения несанкционированной операции эмитентом.
4.3.3. Типы мошенничества
В соответствии с общепринятой классификацией существуют следующие типы мошенничества:
1) использование неполученных карт;
2) использование поддельных карт;
3) проведение транзакций с использованием реквизитов карт;
4) использование украденных или утерянных карт;
5) несанкционированное использование персональных данных держателя карты и информации по счету клиента;
6) другие виды мошенничества.
Следует отметить, что последний тип мошенничества относится к таким несанкционированным операциям, тип которых (из 1–5) определить затруднительно. Фактически данный тип используется для информирования МПС о мошенничестве при условии сложности однозначного установления его типа. Далее рассмотрим особенности мошеннических транзакций типов 1–5 и расчет вероятности успешного проведения мошеннической операции Рмош по формуле (2).
4.3.3.1. Неполученные карты
Данный риск существует для банка-эмитента в том случае, если технологически предусмотрена возможность получения клиентом карты иная, чем лично в руки. Безопасность получения карты держателем обеспечивается организационными и технологическими мерами (например, активация карты клиентом, отсутствие денежных средств на карте до момента активации). В связи с этим данный тип мошенничества рассматривать при расчете рисков не будем.
4.3.3.2. Поддельные карты
Поддельность объекта можно определить по совокупности следующих признаков:
— объект обладает характерными качествами подлинного;
— не соблюдены правила изготовления объекта (технические или правовые);
— цель изготовления или использования поддельного объекта — использование по назначению.
Для проведения транзакции по поддельной карте в ТСП злоумышленник должен представить к оплате карту, внешне похожую на настоящую, чтобы ее «поддельность» не была заметна для кассира. При этом ПИН-код злоумышленнику может не понадобиться, если он не требуется в качестве способа аутентификации держателя такой карты.
Мошенническая транзакция в банкомате может быть проведена только при условии знания злоумышленником ПИН-кода, при этом внешний вид поддельной карты не должен соответствовать оригиналу (может быть использован так называемый белый пластик), поскольку визуальная проверка подлинности карты не производится.
Из вышеизложенного следует, что при знании ПИН-кода поддельная карта будет использована в банкомате, а если ПИН-код неизвестен — то в ТСП. В обоих случаях для изготовления подделки нужны данные магнитной полосы карты — трека. Следует отметить, что в случае микропроцессорной карты для обеспечения обратной технологической совместимости карта часто содержит также и магнитную полосу. В настоящее время злоумышленники подделывают банковские карты, в основном используя существующие уязвимости карт с магнитной полосой. Также обнаружены и опубликованы уязвимости в технологии EMV, приводящие к компрометации данных карты и ПИН-кода, несанкционированной модификации параметров транзакции.
Таким образом, риск по поддельным картам можно рассматривать как сумму двух рисков: с неизвестным злоумышленнику ПИН-кодом и наличием поддельной карты, и поддельной карты с ПИН-кодом, то есть
Определим
С учетом доступных средств на счете клиента для проведения операций в ТСП риск по поддельной карте без знания злоумышленником ПИН-кода можно определить следующим образом:
Величина SсумТСП. может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.
В случае если злоумышленнику известен ПИН-код:
Вероятность Рпод_ПИН (поп | кпр ? исп) в формуле (7) равна 1 (поскольку банкомат не осуществляет визуальную проверку подлинности карты) во всех случаях, кроме того, когда поддельная карта является картой с магнитной полосой без чипа, но содержит сервис-код микропроцессорной карты (первая цифра равна 2 или 6) и банкомат оборудован устройством чтения чипа — в этом случае обслуживания карты банкоматом по магнитной полосе не произойдет. Поэтому формулу (7) можно представить в виде
Величина SсумБКМ может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение транзакций в банкоматах, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.
Исходя из формул (3), (6) и (9), риск по поддельной карте рассчитывается следующим образом:
4.3.3.3. Транзакции без присутствия карты
На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции — 3D Secure. Если транзакция без присутствия карты проведена не с использованием защищенного протокола, то ответственность за мошенничество возлагается на банк-эквайрер. Тем не менее до сих пор большая часть транзакций в Интернете проводится без использования безопасных протоколов. Часто для проведения транзакции в интернет-магазине достаточно просто номера карты, и, дополнительно, срока действия, кода верификации карты CVC2/CW2. Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов, которые, несмотря на запреты и требования безопасности (включая PCI DSS), хранят в своих системах номера карт, сроки действия, CW2/CVC2, иные данные, используемые при осуществлении транзакций.
Из сказанного можно сделать несколько важных выводов:
• возможна компрометация данных банковских карт после проведения легальных транзакций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов;
• если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую транзакцию, как правило, лежит на эмитенте.
Определим
Из формул (3) и (11) следует, что риск по транзакциям без присутствия карты:
4.3.3.4. Украденные и утерянные карты
До момента вступления в силу положений Закона «О национальной платежной системе» № ФЗ-161 в части ответственности банков по несанкционированным транзакциям ответственность за совершенные по утраченным или украденным картам транзакции, в соответствии с договором между банком-эмитентом и держателем карты, часто лежала на последнем. В связи с новыми требованиями закона риски по таким транзакциям банк должен учитывать и обрабатывать, полностью перенести его на клиента теперь не представляется возможным.
Карта может быть утрачена вместе с ПИН-кодом либо без него. В первом случае, который означает совместное хранение карты и ПИН-кода держателем карты, злоумышленник скорее воспользуется картой для получения наличных денежных средств в банкомате. Если же ПИН-код неизвестен, то вероятно проведение мошеннических транзакций в ТСП. Также встречаются факты использования реквизитов физически утерянных карт в Интернете. Определим
При наличии у злоумышленника утраченной карты не требуется изготовление подделки или использование скомпрометированных данных — и подлинная карта, и ее реквизиты доступны. Таким образом, Рутр (исп | кпр) = 0 и с учетом (10) при условии использования поддельной карты либо в банкомате, либо в ТСП:
4.3.3.5. Использование данных клиента и информации по счету
Риск складывается из:
— риска, связанного с использованием персональных данных держателя карты или информации по его счету для открытия нового счета;
— риска, связанного с захватом уже открытого счета.
4.3.4. Расчет рисков для банка-эмитента
Для выявления мошенничества и принятия решений по подозрительным транзакциям в соответствии с полученными ранее результатами следует получить значения следующих величин:
— риск мошенничества по поддельным картам;
— риск мошенничества по транзакциям без присутствия карты;
— риск мошенничества по транзакциям, совершенным с помощью утраченных карт.
Установим следующие исходные предположения при получении количественной оценки рисков:
• имеется база данных совершенных мошеннических транзакций (как удачных, так и пресеченных, как с наличием ущерба, так и без такового);
• имеются данные по всем транзакциям со всеми банковскими картами в платежной системе конкретного банка-эмитента;
• по каждой карте банка-эмитента имеются данные по истории всех транзакций, истории движения средств по счету карты, история изменений статуса карты, история и параметры изменения ограничений операций с картой, дополнительные признаки карты;
• нет никаких специальных данных по уровню осведомленности держателя карты в вопросах информационной безопасности, соблюдения рекомендаций по безопасному использованию карты;
• каждая совершенная клиентом транзакция по карте увеличивает риск проведения мошеннических транзакций в дальнейшем за счет увеличения вероятности компрометации данных карты;
• вероятности обнаружения мошеннических операций с помощью системы мониторинга транзакций (далее — СМТ) в платежной системе зависят только от типа мошенничества.
Заданы критерии риска для оценивания:
Далее следует определить требования к СМТ при ее выборе и эксплуатации.
4.3.5. Системы мониторинга транзакций в платежной системе
Мошенничество с банковскими картами приводит к финансовым потерям и снижению доверия со стороны клиентов к данному банковскому продукту, поэтому важно осознать актуальность мер противодействия и разработать комплексный подход к решению проблемы для уменьшения рисков. Раннее обнаружение мошенничества и принятие адекватных и эффективных мер являются необходимыми условиями обеспечения безопасности платежной системе и должны проводиться в рамках мероприятий по управлению операционным риском в банке.
Характерной особенностью современной задачи защиты информации является комплексность защиты. Под комплексностью понимается решение в рамках единой концепции двух и более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или и то и другое (всеобщая комплексность). Так, MasterCard определяет следующие методы и средства защиты платежной системы от мошенничества и снижения рисков: юридические аспекты, взаимодействие участников, обучение, аналитическая работа, расследования, отчетность, мониторинг, продукты и сервисы. В смысле обеспечения защиты платежной системы от мошенничества следует говорить об инструментальной комплексности и рассматривать СМТ как один из применяемых инструментов.
Как было отмечено ранее (рис. 4.2, для проведения мошеннической транзакции необходимы компрометация данных, их использование злоумышленником и инициирование транзакции. Если эти три условия выполнены, то результат выполнения операции (в случае проведения операции в режиме реального времени — авторизации) определяется эмитентом. При этом следует учитывать способность эмитента до формирования ответа на запрос авторизации проводить его проверку на предмет возможного мошенничества (мониторинг в режиме реального времени).
СМТ предназначена для противодействия мошенничеству на самом последнем этапе, когда мошенническая транзакция уже инициирована и может быть завершена.
Далее сформулируем общие требования к СМТ и задачи мониторинга транзакций в платежной системе:
1. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых транзакций по банковским картам в платежной системе и принятие решений по подозрительным на предмет мошенничества транзакциям для уменьшения рисков.
2. Система мониторинга транзакций является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности платежной системы банка.
Выбор той или иной СМТ банком должен основываться на анализе рисков. Система должна использоваться для снижения финансовых потерь банка и держателей карт (в случае мониторинга эмиссии), снижения недовольства клиентов и повышения доверия к банку.
В стандарте СТО БР ИББС-1.0-2010 мониторинг информационной безопасности (ИБ) организации банковской системы РФ определяется как постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения. Событием мониторинга в данной терминологии является любое событие, имеющее отношение к ИБ. Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации. Основными целями мониторинга ИБ в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные руководством цели.
Исходя из определения ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», мониторинг безопасности информации представляет собой постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.
По терминологии МПС под транзакцией (или операций) понимается одно из следующих определений:
— инициируемая держателем карты последовательность сообщений, вырабатываемых и передаваемых друг другу участниками системы для обслуживания держателей карт, при соблюдении свойств неделимости (должны выполняться все составляющие транзакции или не выполняться ни одна), согласованности (транзакция не нарушает корректности информации в базах данных), изолированности (отдельная транзакция не зависит от других), надежности (завершенная транзакция должна восстанавливаться после сбоя, а незавершенная — отменяться);
— единичный факт использования карты для приобретения товаров или услуг, получения наличных денежных средств или информации по счету, следствием которого является дебетование или кредитование счета клиента.
Таким образом, СМТ в платежной системе является одним из средств выявления и противодействия мошенничеству с банковскими картами.
4.3.5.1. Классификация СМТ
На рисунке 4.2 приведена классификация СМТ.
По скорости реагирования СМТ предлагается подразделять на следующие классы:
1. Системы реального времени (онлайновые, on-line). Такие системы работают в реальном времени, есть возможность влиять на результат авторизации транзакции.
2. Системы псевдореального времени (псевдоонлайновые, pseudo-online, near-online). Анализ транзакций проводится в реальном времени, но невозможно влиять на результат авторизации. Решение может быть принято только после завершения подозрительной (мошеннической) транзакции.
3. Системы отложенного режима (офлайновые, off-line). Периодически (ежедневно, еженедельно и т. д.) формируются специальные отчеты, на основе анализа которых принимаются решения.
По типу принятия решений:
1. Автоматические. Решение по транзакции принимается системой автоматически без участия человека.
2. Автоматизированные. Система предоставляет уполномоченному сотруднику (оператору) информацию для принятия им решения по данной транзакции.
По информации, используемой при анализе:
1. Системы, использующие только данные самой транзакции. В анализе учитываются только параметры транзакции (в соответствии со стандартом ISO 8583) — сумма, название ТСП, категория ТСП, страна и т. д.
2. Системы, привлекающие для анализа историю операций по карте/ТСП. При анализе используется история по прошедшим операциям по данной карте/ТСП.
3. Системы, использующие модели поведения держателей карт и ТСП. Система строит и (или) использует модели поведения держателей карт и ТСП. Анализ транзакции проводится в соответствии с имеющейся моделью, на основании отклонения поведения от модели транзакция признается подозрительной.
По используемому математическому аппарату для анализа:
1. Системы на основе простых логических проверок. Логические проверки включают операции >, <, =, ?.
2. Системы, использующие статистические методы. К используемым методам относятся методы описательной статистики, корреляционного анализа, регрессионного анализа.
3. Системы, привлекающие методы интеллектуального анализа данных (без использования нейронных сетей). Методы интеллектуального анализа данных (data mining), применяемые в анализе транзакций, могут включать методы классификации и прогнозирования, кластерного анализа, поиска ассоциаций.
4. Системы на основе нейронных сетей. Анализ операций проводится на основе адаптивных схем, построенных на нейронных сетях, что позволяет также выявлять ранее неизвестные схемы мошенничества. Эти системы являются дорогостоящими и требуют существенных ресурсов для настройки (обучения нейронной сети).
Рис. 4.3. Классификация СМТ
По типу анализируемых транзакций подразделяются на два класса:
1. Эмиссионные. Анализируются транзакции по картам, выпущенным банком.
2. Эквайринговые. Анализируются транзакции в эквайринговой сети банка.
По способу взаимодействия с процессинговым центром (ПЦ):
1. Интеграция. СМТ расположена в ПЦ и интегрирована с транзакционной и другими автоматизированными системами (например, почтовой, отправки SMS-сообщений и др.).
2. Как сервис. Услуги мониторинга предоставляются как сервис, обеспечивается взаимодействие ПЦ с удаленным сервисом.
МПС MasterCard рекомендует также осуществлять мониторинг эмитентом следующих событий и параметров:
— атаки по сгенерированным номерам карт;
— отрицательные результаты проверок кодов верификации карты;
— операции по картам с истекшим сроком действия;
— транзакции по неверным номерам карт;
— транзакции в возможных точках компрометации;
— операции кредитования и отмены авторизации торговой точкой;
— списки неиспользуемых карт.
Требования к мониторингу эквайринга достаточно похожи, но в них объектами мониторинга являются терминалы и счета ТСП. Рекомендуется учитывать средние суммы транзакций и количество транзакций по терминалу или счету за период.
Требования МПС относятся, прежде всего, к мониторингу в отложенном (офлайн) режиме, иные временные варианты мониторинга в настоящий момент не являются обязательными. Кроме того, проведенный автором анализ текущей ситуации с мошенничеством показывает, что эти меры являются в современных условиях недостаточными.
В связи с этим банк должен разработать собственную политику управления рисками в платежной системе и выбрать ту СМТ, которая соответствует принятой политике, а не просто внедрить наиболее функциональное на данный момент техническое решение. При этом на практике следует добиться допустимого баланса между следующими показателями:
— принятие неадекватных решений по ограничению операций для немошеннических операций;
— пропуск мошеннических операций;
— число сообщений, генерируемых СМТ, об операциях, не являющихся мошенническими;
— величины рисков с учетом работы СМТ и принимаемых на ее основе решений.
В случае выявления подозрительной транзакции банк может предпринять следующие меры ограничения негативных последствий:
• отказ в авторизации этой подозрительной транзакции, если технически это возможно (в данном случае речь идет о мониторинге в режиме реального времени в соответствии с приведенной классификацией);
• блокировка карты, делающая невозможным совершение последующих транзакций по ней (банк-эмитент);
• установка ограничений по последующим операциям на величины покупок в ТСП за период, снятия наличных денежных средств в банкоматах и пунктах выдачи наличных (ПВН) за период, общей суммы операций за период (банк-эмитент);
• установка ограничений по последующим операциям на регион использования карты или категорию ТСП (банк-эмитент);
• информирование держателя карты о подозрительной транзакции, например посредством SMS-уведомлений (банк-эмитент);
• ограничение транзакций в конкретном терминале ТСП или в ТСП (банк-эквайрер).
Реализация приведенных мер реагирования зависит от технических возможностей банка и принятой политики управления рисками, связанными с мошенничеством в платежной системе. Следует отметить, что сложность принятия решения по подозрительной транзакции заключается в том, что в случае пропуска мошеннической транзакции банк может понести финансовые потери, в случае установки ограничений операций по карте банком-эмитентом в результате легальной транзакции клиента возможно нанесение ущерба репутации, недовольство со стороны клиента и, возможно, его потеря.
4.3.5.2. Современные требования рынка к СМТ
Крупнейшие МПС Visa и MasterCard устанавливают общие требования к СМТ для банков в своих нормативных документах и приводят некоторые обязательные и рекомендуемые параметры мониторинга транзакций. Большинство этих параметров относятся к выявлению либо большого числа транзакций по карте или терминалу (торговой точке), либо больших сумм транзакций по карте или терминалу (торговой точке). Однако в настоящее время этих базовых требований недостаточно для построения эффективной СМТ.
По мере развития платежных технологий и внедрения различных средств и методов защиты от мошенничества требования к СМТ со стороны банков становятся все более детализированными, и в значительной степени они относятся к скорости работы системы (как в автоматическом режиме, так и с участием операторов) и удобству настройки и поддержания эффективности работы.
Наличие инструментов бизнес-анализа означает возможность использования в реальном времени различных аналитических методов, включая прогностические, адаптивные и статистические.
Охват всех сервисов и продуктов банка позволяет установить их характерные свойства, взаимосвязи и влияние на клиентов.
Модели поведения держателей карт и ТСП позволяют выявлять нехарактерные транзакции среди всех совершаемых за счет отсечения типичных, не мошеннических.
Обработка ложных срабатываний в автоматическом режиме позволяет системе повышать эффективность работы, снижая ошибки.
Поддержка процесса расследования обеспечивает не только выявление подозрительных и мошеннических транзакций, но и ведение всех процедур, выполняемых до момента завершения расследования и принятия окончательного решения по инциденту (включая взаимодействие с клиентом, внешними сторонами).
Управление инцидентами позволяет приоритезировать подозрительные транзакции (алерты по операциям с картой), обеспечивая быстрый анализ наиболее критичных и важных.
Генерация бизнес-правил — без участия вендора система позволяет автоматизировать создание и изменение существующих правил анализа транзакций в соответствии с текущими потребностями.
Настраиваемость графического пользовательского интерфейса способствует более удобному анализу транзакций, что снижает время реакции оператора и повышает эффективность всей системы в целом.
Мониторинг всех транзакций по счету означает анализ транзакций с использованием всех инструментов доступа к данному счету.
Использование данных из внешних систем позволяет автоматизировать разбор и загрузку в систему данных, используемых при анализе, например данных по мошенничеству в регулярных отчетах от МПС.
Интеграция данных позволяет использовать в системе данные из других систем банка, например системы расследования диспутов в платежной системе, систем Front-End и Back-Office и других.
Географическая гибкость обеспечивает выбор языка пользовательского интерфейса, поддержку различных валют.
Выбор аналитической модели в зависимости от данных транзакции — в системе существуют различные модели, конкретная может быть выбрана исходя из данных текущей транзакции.
Резервирование обеспечивает защиту наиболее критичных данных, реализуя различные политики создания резервных копий в зависимости от важности данных.
Нейронные сети предоставляют новые возможности по оценке подозрительности транзакции на предмет ее мошеннического характера за счет обработки данных по мошенническим и легальным транзакциям и построения соответствующих аналитических моделей.
Гибкая ценовая политика — в зависимости от количества объектов мониторинга (карты, терминалы/ТСП) и функциональных возможностей системы стоимость продукта или сервиса для клиента может различаться.
Наличие программ обучения для пользователей системы и ИТ-специалистов (администраторов, разработчиков) в настоящее время расценивается как достаточно важная характеристика системы.
Проактивное развитие системы — система развивается вендором согласно утвержденному плану развития, что позволяет поддерживать систему в актуальном требованиям рынка состоянии и предоставлять клиентам новые функции.
Зрелость продукта является немаловажным фактором, поскольку вендоры с большой и достаточно старой клиентской базой обладают важными знаниями в части противодействия мошенничеству в платежной сфере (в том числе с учетом региональных особенностей), которые используются в системе.
Адаптация продукта под нужды рынка и конкретных клиентов, включая технологическую гибкость.
Стабильность вендора гарантирует клиентам постоянную поддержку и развитие продукта.
Выбор конкретной СМТ должен быть обоснован текущими и прогнозируемыми потребностями, основываться на оценке рисков в платежной системе. Одним из вариантов решения задачи противодействия мошенничеству является разработка собственной СМТ. Выбору системы из существующих на рынке посвящен следующий раздел.
4.3.5.3. СМТ на рынке
Visa и MasterCard помимо упомянутых выше параметров мониторинга транзакций предлагают также решения в области противодействия мошенничеству. Visa предоставляет сервисы CyberSource Fraud Management для выявления и предотвращения мошенничества в сфере электронной коммерции[111], MasterCard — Expert Monitoring Solutions[112], обеспечивающие оценку транзакций как в реальном времени, так и после авторизации, в том числе с применением методов искусственного интеллекта. Один из обозначаемых плюсов решения MasterCard — это предоставление сервиса для банка, что не требует затрат на развертывание системы мониторинга на собственных серверах.
Несмотря на то что крупнейшие вендоры в мире предлагают услуги по мониторингу как сервис (First Data Fraud Management, FIS Card Fraud Management, TSYS Fraud Management), все же в настоящее время наибольшей популярностью пользуются СМТ, устанавливаемые на серверах банка или ПЦ.
В таблице 4.8 приведены основные поставщики СМТ в мире и их продукты.
Таблица 4.8. Основные поставщики СМТ в мире и их продукты
4.3.5.4. Введение новых условий мониторинга транзакций
Современная СМТ должна, помимо прочего, обеспечивать анализ транзакций на основе явно задаваемых правил. Это требуется банкам для быстрого противодействия вновь выявленным схемам мошенничества, приоритетного мониторинга некоторой группы карт (например, возможно скомпрометированных в некотором стороннем ПЦ в неопределенный интервал времени, причем число карт достаточно велико для их блокировки и перевыпуска), введения временных ограничений операций по некоторым картам и т. д. Эффективность действующих правил и критериев оценки транзакций также должна постоянно поддерживаться путем уточнения условий мониторинга. Общая схема управления условиями мониторинга в правилах анализа транзакций показана на рисунке 4.3.
Рис. 4.3. Управление условиями мониторинга
Каждый факт мошенничества должен анализироваться относительно того, выявлен ли он был или мог бы быть выявлен с помощью СМТ. Если мошенничество было обнаружено с помощью СМТ, то, возможно, требуется уточнение заданных условий анализа транзакций для более раннего обнаружения подобных фактов и (или) снижения количества ложных срабатываний по немошенническим транзакциям. В случае если мошенничество не было выявлено, следует рассмотреть вопрос о добавлении новых условий анализа транзакций в СМТ для того, чтобы аналогичные транзакции могли быть выявлены в дальнейшем.
При изменении заданных условий мониторинга и добавлении новых необходимо оценивать следующие величины:
— степень выявления транзакций определенной схемы мошенничества;
— возможные потери по мошенническим транзакциям, которые могут возникнуть в результате их пропуска при заданных условиях мониторинга;
— количество ложных срабатываний по немошенническим транзакциям;
— нагрузка на операторов СМТ, обрабатывающих подозрительные транзакции;
— нагрузка на операторов call-центра, обеспечивающих взаимодействие с держателями карт для подтверждения транзакций.
4.3.5.5. СМТ на основе нейронных сетей
Из предыдущих разделов становится понятно, что современная СМТ обеспечивает анализ транзакций как минимум на основе правил. Если у банка есть квалифицированные специалисты, способные создавать правила и поддерживать их в актуальном состоянии, то этого часто будет достаточно для организации эффективной защиты от мошенничества в платежной сфере и поддержания рисков на приемлемом уровне.
Тем не менее очень привлекательной выглядит возможность использования аналитических моделей на основе нейронных сетей. Основными преимуществами таких моделей являются построение на основе классифицированных данных о транзакциях (мошеннических и легальных) и их адаптивность с учетом появления информации о новых фактах мошенничества. К минусам следует отнести сложность построения, а также необходимость наличия моделей либо для каждого клиента/ТСП, либо для характерной группы клиентов/ТСП, поведение которых является достаточно типичным. Отдельно нужно строить модель мошенника либо модели для мошенничества различных типов.
Далее в данном разделе рассмотрим один из подходов к построению аналитической модели на основе нейронных сетей.
Задача, которую предстоит решить с использованием модели на основе нейронной сети, относится к распознаванию образов — следует проанализировать транзакцию и сделать вывод о ее принадлежности классу мошеннических, либо к классу легальных транзакций. Нейронные сети, используемые для распознавания, относятся к классу многослойных персептронов (рис. 4.4).
Рис. 4.4. Многослойный персептрон с одним промежуточным слоем
Обучение такой сети происходит следующим образом: каждой входной модели транзакции (вектору информационных признаков транзакции) ставится в соответствие целевое значение О, если транзакция легальная, и 1, если транзакция нелегальная (мошенническая). Вместе они составляют обучающую пару. Для обучения требуется несколько обучающих пар, обычно не меньше произведения количества нейронов в слоях сети. По входной модели транзакции вычисляется выход сети и сравнивается с соответствующим целевым значением. Разность между выходом сети и целевым значением используется для изменения весов дуг, связывающих нейроны в слоях. Эти изменения происходят в соответствии с некоторым алгоритмом, стремящимся минимизировать ошибку. Векторы информационных признаков из обучающей выборки последовательно подаются на вход сети, ошибки вычисляются и веса подстраиваются до тех пор, пока ошибка не достигнет заданного уровня. Следует отметить, что выходным значением может быть не 0 или 1, а, например, число в интервале от 0 до 1 включительно.
Этот процесс зависит от огромного числа факторов и далеко не всегда приводит к желаемому результату. Фактически используется метод проб и ошибок. Требуется опыт работы с нейронными сетями вообще и, в частности, с моделями транзакций, чтобы получить приемлемый результат.
В рассматриваемом подходе исходные признаки транзакции являются отправной точкой. На их основе получаются расширенные признаки транзакции, после чего формируются входные данные для нейронной сети — информационные признаки транзакции.
Таблица 4.9. Исходные признаки транзакции
Относительно представленных в таблице 4.9 данных следует сделать ряд замечаний:
1. Множества мошеннических и легальных транзакций должны быть четко разделимыми, что является необходимым условием обучения нейронной сети.
2. Многие мошеннические транзакции могут быть выявлены только при анализе последовательности транзакций, только по одной сделать вывод о ее мошенническом характере часто бывает невозможно.
Из этого следует, что если множества легальных и мошеннических транзакций плохо разделимы, что встречается достаточно часто (мошеннические транзакции, например, в Интернете на I-Times или Blizzard для одного клиента могут быть вполне типичными для другого), то обучить сеть на полном наборе таких «неразделяемых» данных не получится. Именно поэтому создаются отдельные модели для каждого клиента или каждой карты/терминала, что позволяет учесть особенности транзакций по конкретной карте или конкретному терминалу.
Второе замечание приводит к необходимости расширения набора признаков, которые следует использовать для обучения нейронной сети. Пример набора таких расширенных, то есть не содержащихся непосредственно в данных текущей транзакции, признаков приведен в таблице 4.10.
Таблица 4.10. Расширенные признаки транзакции
Нейронная сеть работает с числовыми значениями, поэтому на ее вход необходимо подавать соответствующие величины. Исходные и расширенные признаки транзакции следует преобразовать в числа, которые будут являться входными значениями для нейронной сети. Вариантами преобразования признаков транзакции может быть такое, которое дает бинарные значения (например, вход сети «транзакция в банкомате» может принимать значения 1 или 0) или действительные числа (например, отношение общей суммы покупок в ТСП за сутки к среднемесячному суточному значению по карте данного клиента или карточного продукта).
Число внутренних слоев может быть подобрано экспериментально, но рекомендуется выбирать не большое их число (2–3), иначе такая топология сети может препятствовать обучению сети. Так, проводимые эксперименты с многослойными нейронными сетями прямого распространения показывали неплохие результаты (сеть обучалась, ошибка не превышала заданной пороговой величины) при наличии двух скрытых слоев.
В СМТ аналитическую модель на основе нейронных сетей можно использовать совместно с другими методами. Например, так, как показано на рисунке 4.5. Первым шагом анализа эмитентской транзакции является извлечение профиля клиента (это может быть статистический профиль, построенный без привлечения методов нейронных сетей) и оценка транзакции на соответствие этому профилю. Такая проверка позволяет учесть характерные транзакции для клиента и снизить число ложных срабатываний на легальных транзакциях, которые для других клиентов могут являться подозрительными на предмет их мошеннического характера. Если транзакция соответствует профилю, то можно считать ее не подозрительной, то есть легальной.
Рис. 4.5. Комбинированная оценка эмитентской транзакции
Если транзакция не соответствует профилю клиента, то на втором шаге проводится оценка транзакции по модели мошенничества. Такая модель может быть единой в СМТ либо их может быть несколько для мошеннических транзакций разных типов — в любом случае ранее выявленные факты несанкционированных операций по другим картам служат сигналом к тому, что и данную транзакцию следует рассматривать как подозрительную. Если шаблон мошеннического поведения применим к данной транзакции — она считается подозрительной (мошеннической).
Третьим шагом является оценка транзакции по модели нейронной сети — ни легального, ни мошеннического характера у данной транзакции не выявлено, значит, следует провести нечеткую оценку с использованием нейросети. На основе выхода сети можно будет сделать вывод о том, считать ли транзакцию легальной или подозрительной.
В заключение следует отметить, что построение и обучение нейронной сети является весьма трудоемким процессом, сильно зависящим от качества и особенностей данных. Так, необходима точная классификация мошеннических и легальных транзакций — все ошибки в такой классификации приведут к неверному обучению сети. Также важно учитывать, что легальные транзакции для одной группы клиентов могут быть признаны мошенническими для другой, и без учета этой специфики провести адекватную оценку с приемлемым уровнем ошибок достаточно сложно (если вообще возможно).
4.3.6. Выводы
Риски, связанные с мошенничеством в платежной сфере, являются ее неотъемлемой характеристикой, полностью исключить которую невозможно. Рациональным представляется подход, связанный с количественной оценкой этих рисков и применением средств и инструментов для их уменьшения, среди которых системы мониторинга транзакций в настоящее время занимают важнейшее место.
Глава 5
Процедуры минимизации рисков при работе с платежными картами
По мере увеличения масштабов карточного бизнеса вопросы минимизации рисков становятся наиболее актуальными. Как говорится в известной пословице: «Деньги сбереженные — все равно что деньги приобретенные». Сохранить заработанные средства также важно, но часто бывает значительно сложнее, чем их непосредственно зарабатывать. Поэтому все чаще мы видим в штате банков людей с красивой должностью «риск-менеджер», призванных предупреждать возникновения риска и последующих потерь для кредитной организации. На тему карточных рисков написано огромное количество различных материалов, затрагивающих все направления данного бизнеса, начиная от общих вопросов теоретического характера и заканчивая узкоспециализированными направлениями. Мы постараемся в рамках настоящей главы дать рекомендации первичных вводных относительно вопросов контроля за рисками в карточном подразделении и выделить два, на наш взгляд, основных риска при работе с картами: операционный риск, возникающий при оформлении и обслуживании карт, а также риски, возникающие у клиентов при использовании карты.
5.1. Операционные процедуры минимизации рисков в карточном подразделении
5.1.1. Хранение, перемещение и выдача заготовок и пластиковых карт
Заготовки пластиковых карт после получения от поставщика рекомендуется передавать и хранить в кассовом хранилище. Получение заготовок карт обычно производится ответственным сотрудником карточного подразделения только в случае необходимости их доставки в персонализационный центр. Физическую доставку карт рекомендуется осуществлять силами подразделения инкассации банка, равно как наличных денег и прочих ценностей. После проведения персонализации готовые пластиковые карты доставляются из персонализационного центра ответственным сотрудником банка, имеющим доверенность на получение персонализированных карт. Доставленные, но не выданные клиенту персонализированные карты хранятся в помещении с ограниченным доступом в металлическом шкафу или сейфе. Во внерабочее время шкаф или сейф запирается, а ключ сдается службе охраны под роспись в журнале.
Карты, сданные клиентами, а также испорченные заготовки карт, возвращенные персонализационным центром, должны быть уничтожены в день их получения ответственным сотрудником карточного подразделения. Во время обработки персонализированных карт сотруднику, выполняющему обработку, запрещается покидать рабочее место, оставляя на столах карты. Они должны быть сданы сотруднику, ответственному за их хранение, и помещены им в металлический шкаф (сейф).
При выдаче карт сотрудник данного подразделения должен разъяснять клиентам необходимость скорейшего информирования службы клиентской поддержки по телефону или при личном посещении офиса банка о факте утраты карты (указывая страну и город, где была утрачена карточка). При поступлении телефонного сообщения от клиента об утрате карточки, сотрудники службы клиентской поддержки блокируют ее в системе авторизации со статусом Decline или Pick Up. Факт блокировки должен быть зафиксирован в электронном журнале блокировки карт с указанием подробностей передачи запроса на блокировку.
При поступлении телефонного сообщения от клиента о краже карты, сотрудники службы клиентской поддержки должны ее блокировать в системе авторизации со статусом Pick Up. Факт блокировки также должен быть зафиксирован в журнале блокировки карт.
5.1.2. Процедуры проверки клиентов при оформлении кредитных карт
5.1.2.1. Первичная проверка клиента и документов сотрудником фронт-офисного подразделения банка (производится сотрудником, принимающим документы на выпуск карты)
Проводится проверка самоличности клиента: сличение внешнего вида клиента с фотографией в документе, удостоверяющем личность, после сличения необходимо снять копию с документа. Сотруднику банка необходимо попросить клиента предоставить (если есть возможность) дополнительно любой другой документ (водительское удостоверение, военный билет, заграничный паспорт, удостоверение служебное, разрешение на ношение оружия и т. п.) и снять с него копию. При разговоре с клиентом необходимо обратить внимание, а непосредственно после беседы зафиксировать следующие данные:
• внешний вид клиента:
— одет плохо (мятая, старая, грязная одежда и т. п.);
— выглядит плохо (небрит, не причесан, без следов использования косметики (если женщина), болезненный вид ит. д.);
• поведение клиента:
— клиент неохотно отвечает на вопросы, путается и не может вспомнить что-либо, не дает информацию для анкеты;
— нервничает, ведет себя дерзко (отвечает вопросом на вопрос, например: «Зачем вам это?», «На что это влияет?»), подробно расспрашивает о мерах воздействия на должников, допустивших просрочку.
Проводится проверка документа, удостоверяющего личность на предмет отсутствия видимых признаков подделки (далее будут приведены наиболее распространение виды мошеннических действий с паспортами):
• механическое удаление, исправление (подчистка, соскабливание, смывание, химическое вытравление) записей, печатей;
• изменение содержания первоначальных записей за счет дописок, исправлений отдельных букв, цифр, внесение в свободные графы новых записей;
• замена фотокарточки;
• замена листов;
• использование недействительного (просроченного) паспорта.
Признаки механических подделок. При осмотре листов паспорта при хорошем освещении под разными углами хорошо различима взъерошенность волокон бумаги и потеря глянцевитости в местах подчистки. При рассмотрении листов паспорта на просвет можно обнаружить утончение поверхностного слоя бумаги в местах подчистки. Места с повышенной глянцевитостью бумаги также свидетельствуют о возможных подчистках с дальнейшей их зашлифовкой. Химические вещества и растворители, попадая на бумагу, могут изменить ее цвет и поверхностную структуру, в результате чего при травлении, смывании записей часто на бумаге появляются окрашенные пятна, разводы, гладкая поверхность бумаги становится шершавой. Выявить эти признаки можно путем осмотра паспорта под разными углами освещения, а также на просвет.
Признаки изменения содержания первоначальных записей. К понятию дописки тесно примыкают дорисовки, которые изменяют конфигурацию букв, цифр и штрихов. Специальные чернила, которыми заполняются паспорта, имеют густо-черный цвет и отличаются характерным блеском. Поэтому дописки отличаются блеском и толщиной линий. При осмотре паспорта с целью обнаружения изменения содержания записей путем дописки необходимо внимательно изучить толщину, цвет и оттенок во всех письменных знаках и их частях, сравнить между собой ширину и наклон букв и цифр, а также их конфигурацию, решить вопрос о наличии или отсутствии признаков повторной обводки.
Признаки замены в паспорте фотокарточки. Фотокарточка владельца паспорта может быть заменена целиком или частично. Частичная замена фотокарточки осуществляется путем присоединения новой фотокарточки к оставленным на паспорте частям старого снимка с размещенными на них оттисками рельефной печати. Как полная, так и частичная замена в паспортах фотокарточек распознается при внимательном осмотре их поверхности под разными углами освещения. Следы отделения фотокарточки от паспорта можно обнаружить по краям фотокарточки в виде отрыва участков поверхностного слоя бумаги с имеющимися на них линиями рисунка защитной сетки. Особенно хорошо следы отделения фотокарточки видны, если прежний снимок по своим размерам был несколько большим, чем вновь наклеенный. Следует обратить внимание на наличие рельефных оттисков на вновь наклеенной фотокарточке (при подделке такие оттиски могут отсутствовать), а также на несимметричность расположения букв в строке оттиска, различную ширину и глубину штрихов, их неровные края, извилистость.
Признаки замены в паспорте листов. Одним из видов подделки паспортов является замена листов с целью уничтожения имеющихся на них различных записей и отметок. В ряде случаев листы паспорта подменяются листами из других паспортов, однако наличие на определенных листах (1, 3, 7, 9,13,19) типографского оттиска серии и номера облегчает обнаружение признаков замены листов уже при беглом осмотре паспорта, так как серии и номера на разных страницах должны совпадать между собой.
Для установления возможной замены листов в паспорте осмотр производится в следующей последовательности:
• сверяются серии и номера на каждой странице паспорта с номером, нанесенным на первую страницу;
• внимательно изучаются линии разделения листов или частей по их конфигурации, наличию и совмещению рисунков защитных сеток, наличию или отсутствию общих элементов (пятен, загрязнений, текстов и т. п.);
• изучаются участки поверхности листа вокруг обозначения серий и номеров с целью обнаружения возможной вклейки этих участков;
• осматриваются буквы серии и цифры номеров для выявления признаков подчистки и рисовки на подчищенных участках новых букв и цифр.
Использование недействительного (просроченного) паспорта. Паспорт подлежит замене по достижении его владельцем 20– и 45-летнего возраста. Для проверки действительности паспорта, замены паспорта в связи с наступлением очередного возрастного периода можно использовать простейшую программу в Excel, результатом работы которой является сообщение о валидности паспорта. Внешний вид такой программы приведен ниже, где пользователь заполняет дату рождения и дату выдачи паспорта клиентом и получает сообщение: valid — паспорт действительный, invalid — паспорт не был заменен вовремя и в настоящий момент недействителен. Такие паспорта могут быть использованы мошенниками для последующего опротестования кредитной сделки или в таком паспорте оказывается переклеенной фотография владельца (для определения этого вида подделки вернитесь к соответствующей проверке).
Возможный внешний вид программы, написанной в среде Excel для определения действительности паспорта, приведен на рисунке 5.1, жирным шрифтом выделены данные, которые вводит пользователь, сотрудник фронт-офисного подразделения для определения действительности паспорта.
После того как заполнена анкета, клиент предоставил паспорт, сотрудник банка должен проверить исходные данные в анкете, и при необходимости провести опрос клиента, а именно по возможности уточнить:
• если в анкете адрес регистрации и адрес фактического проживания отличаются, выяснить причину (сделав пометку в графе «Адрес фактического проживания») и указать время (продолжительность) проживания по указанному (фактическому) адресу;
• если в анкете не указаны городские телефоны места регистрации, фактического местожительства, мобильный телефон, выяснить, почему не указаны телефоны, при этом попросить контактные телефоны ближайших родственников и внести их в анкету (с пометкой в графу «домашний телефон» — «родственник»);
Рис. 5.1. Определение действительности паспорта с помощью Excel
• если в анкете указано имущество, выяснить долю личной собственности (машина, квартира, дача), а также уточнить, есть ли в собственности: земля; доля (%) как учредителя в коммерческой компании; или акции какой-либо компании, и если есть — информация обязательно должна быть внесена в графу «другая собственность»;
• если в анкете указано, что клиент состоит в браке, то уточнить, работает супруг(а) или нет, если нет, то в графе «Другие иждивенцы» должны быть указаны помимо находящихся на попечении других иждивенцев (инвалиды, не работающие родственники или несовершеннолетние родственники), и Ф.И.О. супруга (и);
• если в анкете указано, что клиент имеет карты других банков, уточнить вид карты и в каких банках, а если это кредитные карты или карты с разрешенным овердрафтом, то в графе «Наличие кредитов в банках» обязательно должно быть отражено название банков.
В конце беседы сотрудник банка должен предупредить клиента об ответственности за предоставление недостоверных данных и возможных при этом последствиях. (Возможный вариант: «Хотим вас предупредить, что информация, указанная вами в анкете, будет проверяться, и в случае выявления недостоверной информации вам будет отказано в выдаче карты».)
5.1.2.2. Проверка установочных данных
Выполняется сотрудником, ответственным за вопросы экономической безопасности. При этом требуется установить:
• прописан ли заявитель по указанному адресу прописки;
• существует ли реально адрес прописки, не является ли указанный адрес фиктивным;
• проживает ли реально заявитель по адресу, указанному в качестве заявленного адреса проживания;
• соответствует ли действительности указанное в качестве принадлежащего заявителю имущество: квартира, автомобиль.
5.1.2.3. Проверка данных, связанных с личностью заявителя
Выполняется сотрудником, ответственным за вопросы экономической безопасности. При этом необходимы:
• проверка, не числится ли заявитель в розыске, в ориентировках правоохранительных органов;
• проверка, не оформлен ли документ на бланке, числящемся в перечне украденных, утраченных, признанных недействительными и т. д.;
• проверка по специализированным базам на предмет выявления компрометирующих сведений;
• проверка на наличие судимостей;
• проверка, зарегистрирован ли телефон, указанный в качестве домашнего по адресу, указанному в качестве места фактического проживания;
• проверка возможности связаться с клиентом по домашнему или мобильному телефону. В случае невозможности связаться с первого раза, попытки дозвониться должны осуществляться не менее четырех раз в день, с периодичностью не чаще раза в час. Первый и последний звонок должны быть произведены в 9:00 и 21:00 соответственно. В случае невозможности связаться в течение двух рабочих дней об этом ставится отметка на заявлении;
• звонок по домашнему телефону и получение информации, проживает ли заявитель в квартире, в которой установлен телефон, указанный заявителем;
• проверка, числится ли заявитель в штате организации, указанной в качестве места работы и соответствует ли действительности указанная заявителем должность;
• проверка соответствия уровня дохода возрасту, должностному и имущественному положению (без документарного подтверждения);
• оценка финансовой адекватности:
• реалистичность оценки квартиры заявителем;
• реалистичность указанных расходов.
5.2. Клиентские процедуры минимизации рисков при использовании платежных карт
Подобно пословице: «Спасение утопающих — дело рук самих утопающих», наиболее эффективным способом защиты от мошенничества является правильное использование карты клиентом. Применение клиентами нескольких простых правил при обращении с платежными картами поможет минимизировать риски от наиболее распространенных видов мошенничества, информацию о которых необходимо правильно довести до сведения клиентов.
Мошенничество с использованием банкоматов. Держателю карты желательно стараться избегать использования банкоматов, расположенных в пустынных или неохраняемых местах (таблица 5.1). Если держателю карты кажется, что банкомат «подготовлен» мошенниками любым из нижеприведенных способов, целесообразнее снять деньги в другом.
Таблица 5.1. Меры предосторожности при использовании банкоматов
Мошенничество в торговых точках. Держателю карты не следует ее использовать в подозрительных торговых точках, лавках и ларьках (таблица 5.2).
Таблица 5.2. Меры предосторожности при оплоте картой покупок в торговых точках
Мошенничество в сети Интернет. Для защиты от него необходимо соблюдать меры безопасности, приведенные в таблице 5.3.
Таблица 5.3. Меры предосторожности при оплоте картой покупок в Интернете
Мошенничество под видом работников банка. Представим такую ситуацию. Вам звонят по телефону мошенники под видом работников банка и начинают подробно расспрашивать о реквизитах вашей карты, ПИН-коде, логине и пароле в системе интернет-банк. В таком случае действуйте следующим образом. Спросите Ф.И.О. «сотрудника», разговаривающего с вами. Убедитесь в том, что сотрудник знает номер карты, срок действия, остаток на карте, места ее использования. Если собеседник пытается узнать у вас данные карты, перезвоните в службу клиентской поддержки.
Утеря карты. Если карта утеряна или украдена — необходимо немедленно позвонить в службу клиентской поддержки банка-эмитента. Для того чтобы заблокировать карту, необходимо сообщить оператору службы номер и срок действия карты и, возможно, ответить на его вопросы. Кроме того, желательно уточнить фамилию, имя и отчество оператора, принявшего сообщение. Если держатель карты находится за границей и не может сообщить об утере карты в свой банк, можно обратиться в сервисные центры платежных систем.
Глава 6
Исследование опыта и осведомленности населения по мошенничеству в сфере платежных карт
6.1. Методология исследования
Для анализа потребительского поведения пользователей банковских пластиковых карт были использованы следующие методы исследований:
— всероссийский репрезентативный опрос населения. Объем выборки составил 1600 человек в возрасте от 18 лет в 150 населенных пунктах 40 субъектов Российской Федерации;
— онлайн-опрос активных пользователей финансовых услуг, сталкивавшихся с фактом мошенничества по банковским картам. Объем выборки составил 133 человека — участников интернет-панели в городах с населением от 1 млн человек.
6.2. Привычки пользования банковскими картами у населения РФ
По результатам исследований Национального агентства финансовых исследований, более половины взрослого населения России являются владельцами банковских карт (58 %), при этом доля таких россиян выше среди активных интернет-пользователей (73 % против 34 % в группе непользователей).
Реже всего банковскими картами владеют пользователи финансовых услуг старшего возраста (среди россиян старше 60 лет таких только 23 %) и сельские жители (48 %), что в первую очередь можно объяснить недостаточно развитой платежной инфраструктурой и низким уровне доступности финансовых услуг в целом, а во вторую — более низкими показателями финансовой грамотности населения. Одним из драйверов пользования банковскими картами можно назвать наличие высшего образования (72 % пользователей карт), так как реже прочих категорий населения оформляют пластиковые карты россияне, имеющие среднее образование (48 %) и ниже (25 %).
Рис. 6.2. Доля владельцев банковских карт (% от взрослого населения России)
Источник: НАФИ. 2013 г.
В то же время необходимо отметить, что Россия все еще остается страной, где правит «культ наличности» — доля активных пользователей карт, использующих их для осуществления безналичных транзакций, а не только для снятия наличных средств, значительно меньше общей доли владельцев «пластика». К примеру, каждый третий (32 %) держатель кредитной карты не совершает расчетных или каких-либо других операций с ее помощью. Безналичные расчеты с помощью карты или других платежных инструментов осуществляет менее половины россиян (47,2 %).
Основной причиной такой низкой активности населения в использовании платежных инструментов может служить особая модель формирования рынка финансовых услуг, сформировавшаяся в России. В то время как локомотивом развития платежной индустрии в таких странах, как США и Канада, являются кредитные карты, а в Европе — дебетовые, в России рынок безналичных инструментов оплаты «прирастает» зарплатными картами. Таким образом, пользователи не участвуют активно в выборе кредитно-финансовой организации, и карточный продукт, по сути, навязывается населению, что сказывается на активности его использования.
Рис. 6.3. Модели развития платежной индустрии в различных странах[113]
На каждого активного пользователя пластиковых банковских карт, совершающего безналичные расчеты, приходится в среднем два карточных продукта: 84 % таких россиян имеют зарплатную карту, кредитную — 63 %; дебетовую карту, оформленную по собственной инициативе, — 60 %. Подавляющее большинство использует банковскую карту для оплаты покупок и услуг в местах продаж (98 %), снятия наличных (95 %), платежей через банкомат (83 %).
В точках продаж респонденты оплачивают картой чаще всего продукты питания (85 %), одежду и обувь (71 %), электронику и бытовую технику (66 %), медикаменты, косметику (63 %), другие непродовольственные товары (63 %). Среди интернет-покупок, оплачиваемых картой, преобладают мобильная связь (84 %), услуги интернет-провайдера (74 %), услуги ЖКХ (54 %), а также электроника и бытовая техника (51 %). Около половины группы активных пользователей используют банковскую карту для оплаты товаров и услуг в точках продаж почти ежедневно, а для покупок в Интернете — два-три раза в месяц.
Таблица 6.4. Способы использования банковских карт, % от активных пользователей банковских карт (совершают операции по карте не реже одного раза в неделю)
При таком отношении к безналичным платежам и привычках пользования банковскими картами, россияне часто не имеют достаточно опыта и навыков для анализа действий финансовых организаций и третьих лиц с точки зрения влияния на их финансовое благополучие. Отсутствие возможности оценить потенциальные риски приводит к формированию негативных установок к карточным продуктам в целом. Таким образом, страх перед мошенничеством становится одним из наиболее значимых барьеров к пользованию «пластиком» наравне с отсутствием понимания преимуществ безналичных средств оплаты, страхом потери контроля над расходами и недостаточностью платежной инфраструктуры.
6.3. Осведомленность и опыт столкновения с мошенничеством по банковским картам
Большинство опрошенных россиян осведомлены о существовании мошенничества с банковскими картами — 24 % хорошо осведомлены о видах и способах обмана владельцев карт и еще 57 % что-то слышали о данной проблеме.
По итогам всероссийского опроса НАФИ весной 2013 г., 15 % россиян сталкивались с мошенничеством в сфере использования банковских карт, что составляет четверть (26 %) от числа владельцев банковских карт. Большинство пользователей финансовых услуг отмечают по одному эпизоду — 18 % владельцев карт, два случая отмечали 7 %. 1 % пользователей услуг сталкивались с мошенничеством три и более раз.
Рис. 6.4. Доля владельцев банковских карт (% от взрослого населения России)
Источник: НАФИ. 2013 г.
Среди интернет-пользователей, имеющих банковскую карту, с атаками мошенников сталкивались 30 % участников исследования, при этом 87 % интернет-пользователей имеют в своем окружении пострадавших от мошенничества близких знакомых или родственников. В среднем респонденты называют 2,5 эпизода мошенничества с банковскими картами, с которыми они сталкивались лично, и 2,8 — когда жертвами становились их родственники и знакомые.
Анализ распространенности различных видов мошенничества показывает, что чаще всего респонденты сталкивались с так называемой социальной инженерией — мошенническими методами, которые основываются на использовании фактора доверия и человеческих слабостей. Это, в первую очередь, получение SMS с просьбой предоставить номер карты и CVC/CW-код для подтверждения банковской операции (13 % от числа владельцев карт). Далее по распространенности следуют телефонные запросы о коде доступа, личные обращения и обращения по электронной почте с предложениями проведения взаиморасчетов по карте (всего в сумме 10 %). Также распространено воровство после использования банкомата и потеря банковской карты (по 4 % каждый). Интересно, однако, что при этом абсолютное большинство владельцев банковских карт, сталкивавшихся с мошенничеством, выражают уверенность в том, что банковская карта — достаточно безопасный платежный инструмент (85 %).
Таблица 6.5. Виды мошенничество, с которыми сталкивались пользователи финансовых услуг, % от владельцев банковских карт (совершают операции по карте не реже одного раза в неделю)
Необходимо отметить, что, дистанционные операции по банковским картам (на сайтах интернет-магазинов, с помощью интернет-банка или специализированного мобильного приложения) воспринимаются как менее защищенные от мошенничества по сравнению с транзакциями в торговых точках или снятием наличных в банкоматах. Например, по мнению 38 % россиян, осуществление платежей/переводов дистанционно (то есть вне банковского отделения) небезопасно для денежных средств. Подобное отношение часто приводит к тому, что пользователи финансовых продуктов в первую очередь ожидают попыток изъять средства со счета банковской карты именно со стороны интернет-мошенников и менее ответственно относятся к таким видам мошенничества, как shoulder surfing (подсматривание ПИН-кода или реквизитов карты во время ее использования владельцем), скимминг (установка специальных считывающих устройств на банкоматах) и социальной инженерии.
6.4. Стратегии финансового поведения при пользовании банковскими картами и при столкновениях со случаями мошенничества
По результатам исследований НАФИ, в среднем россиянам известно 1,6 способа защиты от мошенничества с банковскими картами. Среди владельцев банковских карт показатель выше — 2,3 варианта, а в группе столкнувшихся с мошенничеством — уже 2,6 варианта, то есть чем более вовлечен респондент в данную тему, тем выше его осведомленность. Наиболее распространенный метод защиты, известный россиянам — защита ПИН-кода при проведении операций в банкомате (30 %), раздельное хранение карты и пароля (26 %), размещение карты отдельно от наличных (23 %), сохранение полной конфиденциальности данных карты (17 %).
В зависимости от числа используемых способов защиты от мошенничества всех пользователей банковских карт можно разделить на три группы. Самая малочисленная группа — те, чьи карты хорошо защищены, — это пользователи, которые используют шесть и более способов защиты банковских карт. Доля клиентов банков, принадлежащих к данной категории, не превышает 7 %. Пользователи, принадлежащие к наиболее многочисленной группе (69 %), обычно имеют средний уровень защиты банковских карт и используют от одного до пяти способов. Основной используемый способ в обеих группах — защита ПИН-кода (51 % от пользователей банковских карт). 24 % имеют низкий уровень защищенности (не используют ни одного), 69 % — средний (от одного до пяти способов) и 7 % — высокий уровень защиты (от шести и более). Почти четверть россиян (24 %) имеют низкий уровень защищенности карт (не используют ни одного способа защиты). Лучше всего защищены карты активных интернет-пользователей банковских карт: почти половину (47 %) можно отнести к группе высокозащищенных. Подавляющее большинство таких владельцев карт предпочитает использование SMS-информирования о проведении операции по карте (82 %), защиту ПИН-кода (80 %) и раздельное хранение карты и кодов доступа (77 %).
Таблица 6.6. Способы защиты, которыми пользуются владельцы банковских карт, % от всех россиян (совершают операции по карте не реже одного раза в неделю)
Рис. 6.5. Доля владельцев банковских карт (% от взрослого населения России)
Источник: НАФИ. 2013 г.
В случае обнаружения факта мошенничества по картам большинство клиентов (86 %) предпочитает обращаться в банк, три четверти респондентов при этом отметили, что там им смогли помочь (75 %). Несмотря на негативные установки по отношению к кредитно-финансовым организациям, распространенные в среди россиян, действия банка респонденты, столкнувшиеся с фактом мошенничества, оценивают в целом позитивно — доля положительных отзывов о профессионализме и коммуникативных навыках сотрудников и организации взаимодействия с клиентом высокая и составляет 54–55 %. Чуть ниже оценки оперативности решения проблемы — 50 % хороших оценок, 16 % плохих.
Восприятие работы банка тесно связано с результатом: теми, кому вернули пропавшие с карты деньги, все параметры работы оцениваются примерно в три раза выше, чем среди не получивших возмещения.
Рис. 6.6. Опыт обращения в различные организации при столкновении с фактом мошенничества (% от активных пользователей банковских карт, сталкивавшихся с фактом мошенничества)
Источник: НАФИ. 2013 г.
При этом треть россиян (32 %) после случая мошенничества не изменяют свою модель использования банковской карты после столкновения с фактом мошенничества по отношению к их денежным средствам, размещенным на счете банковской карты. Чаще всего подобное равнодушие демонстрируют пользователи, уровень защиты карт которых можно охарактеризовать как низкий (42 % тех, кто не использует ни одного способа защиты), на втором месте по популярности у таких владельцев карт стоит стратегия «ухода в наличные расчеты» — 30 % опрошенных данной категории после столкновения с мошенничеством перестают пользоваться пластиковыми картами или начинают пользоваться ими значительно реже (в целом по выборке данный показатель ниже почти вдвое — 14 %).
Наиболее распространенной стратегией для более ответственных держателей карт является применение различных способов защиты от мошенничества: расширение набора способов защиты (36 и 37 % в группах тех, чьи карты защищены хорошо (шесть и более способов защиты) или на среднем уровне (от одного до пяти способов защиты) соответственно) или решение использовать защиту (18 и 24 % в обеих группах соответственно).
Таблица 6.7. Стратегии реагирования на столкновение с фактом мошенничества (% от активных пользователей банковских карт, сталкивавшихся с фактом мошенничества)
Рост числа столкновений с мошенничеством вызывает увеличение числа использующих стратегию ухода (8 % начинают платить картой реже после одного эпизода, 16 % — после двух и более) и сокращение бездействующих фаталистов: после двух эпизодов продолжают пользоваться как прежде около 40 %, а после трех и более — только 22 %.
В целом уровень финансовой грамотности населения, касающейся защиты персональных данных и банковских карт, а также знания правил поведения и прав потребителей в таких ситуациях, можно охарактеризовать как крайне неудовлетворительный. К примеру, информированность о законодательной гарантии компенсации за проведенную платежную операцию, совершенную без согласия клиента, находится на низком уровне — только 30 % знают о такой возможности при учете высокой активности государственных и общественных организаций в информационной среде, затрагивающей данную тему.
Глава 7
Безопасность банкоматов
Банкоматное мошенничество — противоправные деяния в отношении банкоматов (их технологической инфраструктуры), направленные на хищение денежных средств и информационных ресурсов (в том числе приготовление к такому хищению). В последние годы в России наблюдается неуклонный рост уровня потерь при использовании банкоматов (получение наличных денежных средств с использованием поддельных и утраченных карт): 2009 г. — 348 млн рублей, 2010 г. — 558 млн рублей, 2011 г. — 1378 млн рублей (потери от физических нападений в эти данные не входят). В 2011 г. в России банкоматные потери превысили 50 % уровень от общих потерь по платежным картам.
Угрозы, с которыми сталкивается АТМ[114]-индустрия, можно подразделить на физические и интеллектуальные. К физическим относятся:
— хищение банкомата при помощи ручных приспособлений, механизмов, техники;
— взлом банкомата: разрезание угловой шлифовальной машиной (болгаркой), газосваркой; высверливание замка (ригеля и т. п.); взрыв газообразной смеси;
— вандализм с повреждением монитора, ридера, диспенсера, фальшпанели.
Интеллектуальные угрозы:
— скимминг;
— фальшивый банкомат;
— траппинг (захват карты или наличных);
— кибератаки (вредоносное ПО, др.);
— получение наличных денежных средств по поддельным, утраченным картам.
Эксперты выделяют следующие типы противоправных действий, связанных с банкоматами:
• действия, направленные на держателей карт (ограбление держателя карты при получении или внесении денежных средств (mugging), получение держателем карты денежных средств под принуждением со стороны преступника (forcedwithdrawals) и мошенничество со стороны легитимных держателей карт);
• действия, направленные на денежные средства (хищение банкомата вместе с денежными средствами, взлом сейфа банкомата, хищение денежных средств путем монтажа дополнительных устройств на механизм выдачи купюр (cash trapping), внесение неплатежеспособных/поддельных наличных денежных купюр, ограбление при инкассации и кибератака — хищение наличных денежных средств путем несанкционированного доступа к программному обеспечению);
• действия, направленные на карту и (или) ее реквизиты (копирование магнитной полосы карты (skimming), захват карты в считывающем устройстве (ридере) с целью ее дальнейшего незаконного изъятия (jamming, card trapping), подмена или присвоение карты незаметно для держателя после выполнения операции на банкомате (swapping), фальшивые банкоматы, кибератака — информация о реквизитах карты присваивается путем несанкционированного доступа к программному обеспечению или каналам связи);
• противоправные действия, направленные на ПИН (подглядывание через плечо (shoulder surfing), скрытые видеокамеры, накладные клавиатуры, увеличительные оптические приборы и др.);
• действия, направленные на банкомат (технологию) — нарушение целостности, конфиденциальности или доступности системы (технологии) ATM посредством несанкционированного кибервторжения;
• другие (например, фишинг, обман с использованием социальной инженерии, средств мобильной связи и т. п.).
7.1. Нормативные документы и рекомендации
В настоящий момент появилось достаточно большое количество документов, направленных на обеспечение безопасности банкоматов. Перечислим некоторые из них.
«Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 № 382-П. Данный нормативный документ относит банкоматы к объектам информационной инфраструктуры, к которым предъявляются определенные требования.
2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.
2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:
выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;
выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;
2.6.5. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры принимают и фиксируют во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для: регистрации доступа к банкоматам, в том числе с использованием систем видеонаблюдения.
Когда штатные средства производителей банкоматов отсутствуют, выполнение требований возможно организационными мерами или применяя решения сторонних производителей.
2.7.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры (далее — технические средства защиты информации от воздействия вредоносного кода), на средствах вычислительной техники, включая банкоматы и платежные терминалы, при наличии технической возможности;
регулярное обновление версий технических средств защиты информации от воздействия вредоносного кода и баз данных, используемых в работе технических средств защиты информации от воздействия вредоносного кода и содержащих описание вредоносных кодов и способы их обезвреживания;
функционирование технических средств защиты информации от воздействия вредоносного кода в автоматическом режиме, при наличии технической возможности.
По смыслу данные требования видимо относятся к необходимости использовать на банкоматах антивирусные решения («регулярное обновление… баз данных»). Но для банкоматов их применение является нецелесообразным: банкомат является закрытой средой с ограниченным и заранее известным набором программ, служб, сервисов. Антивирусные программы распознают только уже известное вредоносное программное обеспечение и при этом требуют постоянного обновления своих баз. Для этого, во-первых, необходимо обеспечить канал связи, а во-вторых, неизвестно (так как тестирование никто не проводил), как поведет себя обновленный антивирус по отношению к прикладным программам банкомата. Поэтому более правильно использовать решения по обеспечению контроля целостности программного обеспечения (белые списки). Производители банкоматов такие решения предоставляют: Diebold — SEP 11 (Symantec Endpoint Protection 11), NCR — Solidcore for APTRA. Существуют также предложения сторонних производителей, например GMV — checker ATM security, SafenSoft — TPSecure.
2.7.4. При наличии технической возможности оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают выполнение:
предварительной проверки на отсутствие вредоносного кода программного обеспечения, устанавливаемого или изменяемого на средствах вычислительной техники, включая банкоматы и платежные терминалы;
проверки на отсутствие вредоносного кода средств вычислительной техники, включая банкоматы и платежные терминалы, выполняемой после установки или изменения программного обеспечения.
Проверка на отсутствие вредоносного кода программного обеспечения перед установкой его на банкоматы является необходимой процедурой и должна выполняться в штатном режиме. Чтобы исключить риск случайного заражения банкоматов вредоносным программным обеспечением со стороны инженерно-сервисных служб, установку программного обеспечения необходимо осуществлять с неперезаписываемых носителей информации (CD, DVD).
Штатная техническая возможность проверки на отсутствие вредоносного кода после установки или изменения программного обеспечения отсутствует.
2.18. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов включаются следующие требования.
2.18.1. Оператор по переводу денежных средств обеспечивает проведение классификации терминальных устройств дистанционного банковского обслуживания, к которым относятся банкоматы и платежные терминалы, используемые при осуществлении переводов денежных средств (далее при совместном упоминании — ТУ ДБО), с учетом следующего:
возможностей несанкционированного получения информации, необходимой для осуществления переводов денежных средств;
возможностей осуществления воздействия, приводящего к сбоям, отказам, повреждению ТУ ДБО;
особенностей конструкции ТУ ДБО;
места установки ТУ ДБО.
Оператор по переводу денежных средств фиксирует во внутренних документах отнесение каждого ТУ ДБО к одному из определенных в ходе классификации типов (далее — результаты классификации ТУ ДБО) и проводит пересмотр результатов классификации ТУ ДБО при изменении факторов, влияющих на классификацию ТУ ДБО.
Оператор по переводу денежных средств, наряду с факторами, указанными в абзаце первом пункта 2.3 настоящего Положения, учитывает результаты классификации ТУ ДБО при выборе организационных мер защиты информации, технических средств защиты информации, а также функциональных и конструктивных особенностей ТУ ДБО, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, с целью выполнения требований подпунктов 2.18.3–2.18.8 настоящего пункта.
Классификация ТУ ДБО позволит более адресно и эффективно выбрать для них средства защиты.
2.18.2. Оператор по переводу денежных средств принимает и фиксирует во внутренних документах решения о необходимости установки на (в) ТУ ДБО технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного оборудования.
Речь идет о применении антискимминговых устройств.
2.18.3. Оператор по переводу денежных средств обеспечивает контроль состава объектов информационной инфраструктуры в сегментах информационно-телекоммуникационных сетей, в составе которых присутствуют ТУ ДБО, за исключением случая использования услуг радиотелефонной подвижной связи.
Исходя из определения объектов информационной инфраструктуры (пункт 2.1 Положения 382-П), контроль должен осуществляться только для объектов, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и которые используются для осуществления переводов денежных средств.
2.18.4. Оператор по переводу денежных средств обеспечивает размещение на лицевой панели ТУ ДБО или в непосредственной близости от ТУ ДБО сведений, включающих:
наименование оператора по переводу денежных средств, которому принадлежит ТУ ДБО на правах собственности, аренды, лизинга;
идентификатор ТУ ДБО;
телефонный номер (телефонные номера), адреса электронной почты, предназначенные для связи клиентов, использующих данное ТУ ДБО, с оператором по переводу денежных средств, банковским платежным агентом (субагентом) по вопросам, связанным с использованием данного ТУ ДБО;
порядок действий клиента в случае возникновения подозрения о нарушении порядка штатного функционирования ТУ ДБО, а также в случае выявления признаков событий, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО.
Оператор по переводу денежных средств определяет во внутренних документах порядок работы с заявлениями клиентов о выявленных событиях, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО, и обеспечивает выполнение указанного порядка.
Необходимо упорядочить информирование держателей карт.
2.18.5. Оператор по переводу денежных средств определяет порядок настройки программного обеспечения, средств вычислительной техники в составе ТУ ДБО, включая информацию о конфигурации, определяющей параметры работы технических средств защиты информации, и обеспечивает выполнение указанного порядка.
Необходимо обеспечить безопасное конфигурирование ТУ ДБО (запрет автозапуска, загрузки с внешних носителей, пароли и т. п.).
2.18.6. Оператор по переводу денежных средств обеспечивает периодический контроль состояния ТУ ДБО с целью выявления событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств. К таким событиям в том числе относятся:
несанкционированное внесение изменений в программное обеспечение ТУ ДБО, включая внедрение вредоносного кода;
несанкционированное внесение изменений в аппаратное обеспечение ТУ ДБО (установка несанкционированного оборудования на (в) ТУ ДБО), включая несанкционированное использование коммуникационных портов;
сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт (при наличии данных устройств), устройств приема наличных денежных средств (при наличии данных устройств), устройств выдачи наличных денежных средств (при наличии данных устройств).
В случае выявления событий, указанных в настоящем подпункте, оператор по переводу денежных средств обеспечивает приведение ТУ ДБО в такое состояние, при котором обслуживание клиентов невозможного минимизации возможности наступления негативных последствий выявленных событий или устранения несанкционированных изменений в программном и аппаратном обеспечении ТУ ДБО.
Требует применения дополнительных средств защиты: проактивной защиты программного обеспечения на основе контроля целостности и белых списков, активных антискимминговых устройств с датчиками установки скимминга.
2.18.7. Оператор по переводу денежных средств определяет во внутренних документах и обеспечивает выполнение порядка проведения контроля, предусмотренного подпунктом 2.18.6 настоящего пункта, включая его периодичность, в зависимости от факторов, указанных в абзаце первом пункта 2.3 настоящего Положения, а также в зависимости от:
использования систем удаленного мониторинга состояния ТУ ДБО, применения в соответствии с подпунктом 2.18.2 настоящего пункта технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного на (в) ТУ ДБО оборудования;
результатов классификации ТУ ДБО в соответствии с подпунктом 2.18.1 настоящего пункта.
Контроль может быть непрерывным или периодическим.
2.18.8. Оператор по переводу денежных средств определяет требования к обеспечению привлеченными к деятельности по оказанию услуг по переводу денежных средств банковскими платежными агентами (субагентами) защиты информации при использовании ТУ ДБО. Банковский платежный агент (субагент) обеспечивает выполнение указанных требований.
То есть требования распространяются на банковских агентов и субагентов.
Помимо регулирования вопросов безопасности банкоматов, Банк России в настоящий момент собирает различную статистику, связанную с противоправными действиями, в том числе с использованием банкоматов. В первую очередь это Указание ЦБ РФ от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». В частности, Приложение 2 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Рассмотрим заполнение данной формы (Код формы по ОКУД 0403203) применительно к банкоматам.
8. В графе 2 раздела 3 Отчета указывается один из следующих кодов:
код «2.2» указывается, если инцидент привел к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
— под действие данного кода попадают операции снятия наличных денежных средств в банкоматах с использованием поддельных, утраченных, временно выбывших из владения карт (несанкционированные операции).
код «2.3» указывается, если инцидент может привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
— под действие данного кода попадают действия по установке скимминговых устройств и вредоносного кода.
10. В графе 4 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «4.1» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты в банкомате;
код «4.6» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, банкомата или электронного терминала, и платежная карта использована не была;
коды «4.11.1» — «4.11.6» указываются, если инцидент произошел при эксплуатации отчитывающимся оператором, банковским платежным агентом (субагентом) или операционным центром, находящимся за пределами Российской Федерации, объекта информационной инфраструктуры; при этом код «4.11.1» указывается, если инцидент произошел при эксплуатации банкомата, платежного терминала или электронного терминала.
11. В графе 5 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «5.1» указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы, реализующей технологии дистанционного банковского обслуживания клиентов с использованием банкоматов, платежных терминалов, электронных терминалов.
12. В графе 6 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «6.1» указывается, если причиной инцидента является воздействие вредоносного кода;
код «6.3» указывается, если причиной инцидента является использование электронного средства платежа без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности информации, необходимой для удостоверения клиентом оператора по переводу денежных средств права распоряжения денежными средствами (далее — аутентификационная информация); (снятие наличных).
код «6.7» указывается, если причиной инцидента является размещение на банкоматах и платежных терминалах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств, в том числе аутентификационной информации;
код «6.8» указывается, если причиной инцидента является распространение информации (например, с использованием ресурсов сети Интернет, в том числе электронной почты, а также услуг, предоставляемых операторами связи), побуждающей клиента оператора по переводу денежных средств сообщать информацию, необходимую для осуществления переводов денежных средств от его имени, в том числе аутентификационную информацию; (фишинг, социальная инженерия).
Форма отчета ежемесячная.
Другим документом, предусматривающим отчетность по противоправным действиям в отношении банкоматов, является Указание Банка России от 12.10.2009 № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный Банк Российской Федерации». В частности, Приложение 4 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт». Код формы по ОКУД 0409258. Отчетность включает:
Раздел I. Сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции.
Подраздел I. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.
Подраздел II. Операции, совершенные за пределами территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.
Подраздел III. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных за пределами территории Российской Федерации.
Количество и сумма несанкционированных операций
из них совершенных:
посредством банкоматов (платежных терминалов).
Раздел II. Сведения об инфраструктуре, в которой были совершены несанкционированные операции с использованием платежных карт.
Порядок составления и представления отчетности по форме 0409258:
Сведения о несанкционированных операциях, совершенных с использованием платежных карт:
1. Отчетность по форме 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт» (далее — Отчет) составляется в целях получения сведений о количестве и сумме несанкционированных операций, совершенных с использованием платежных карт, и инфраструктуре, используемой при их совершении.
2. Отчет составляется в целом по кредитной организации (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, осуществляющих депозитно-кредитные операции) и представляется в территориальное учреждение Банка России:
кредитными организациями (включая небанковские кредитные организации) (за исключением небанковских кредитных организаций, имеющих право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций) — не позднее 10-го рабочего дня месяца, следующего за отчетным.
Представляется, что требование направления отчета не позднее 10-го рабочего дня месяца, следующего за отчетным, повлечет неполноту данных. Тем более это будет касаться операций с использованием платежных карт, эмитированных за пределами территории Российской Федерации. То есть эквайринговых операций, так как эквайрер узнает о таких операциях, как правило, от эмитента, через платежную систему и гораздо позднее.
Общие рекомендации по обеспечению банкоматов даны в приложении к письму Банка России от 01.03.2013 № 34-Т «О рекомендациях по повышению уровня безопасности при использовании банкоматов и платежных терминалов»:
Кредитным организациям, в том числе при привлечении специализированных организаций, рекомендуется:
классифицировать места установки устройств по степени риска подвергнуться попыткам физического взлома, установки скиммингового оборудования и (или) воздействия вредоносного кода, а также совершения несанкционированных операций (далее — атаки);
пересматривать классификацию мест установки устройств по мере развития технологий, в том числе технологий атак;
оснащать устройства защитным оборудованием и специальным программным обеспечением, при этом их тип, комплектацию и функциональные возможности рекомендуется выбирать с учетом классификации места установки (предполагаемой установки) устройства;
осуществлять на регулярной основе, в зависимости от классификации места установки устройства, контроль внешнего вида устройства, включая его целостности и отсутствия несанкционированного оборудования, а также действий обслуживающих данное устройство организаций;
использовать системы удаленного мониторинга состояния устройства, обеспечивающие контроль надлежащего функционирования защитного оборудования и специального программного обеспечения;
оборудовать устройства системами видеонаблюдения (минимум двумя видеокамерами) со сроком хранения записей видеосъемки не менее 60 календарных дней. Требования к типу и качеству систем видеонаблюдения, хранению информации, а также местам их установки (внутри или вне устройства) должны обеспечивать получение видеоизображения надлежащего качества;
обеспечить обнаружение, фиксацию фактов атак и попыток их совершения и информирование о них заинтересованных участников рынка розничных платежных услуг, а также Банка России;
проводить анализ и устранять выявленные уязвимости в случаях, когда используемое устройство подверглось атакам или попыткам их совершения;
совершенствовать применяемые решения и процедуры, направленные на обнаружение, фиксацию, идентификацию и предотвращение атак или попыток их совершения;
осуществлять сотрудничество с иными кредитными организациями, а также осуществлять на регулярной основе обмен информацией в целях развития и совершенствования безопасности устройств;
размещать на экране устройства либо в пределах прямой видимости от него предупреждающие сообщения о необходимости соблюдения мер предосторожности при наборе персонального идентификационного номера при использовании устройства;
устанавливать устройства в безопасных местах (например, в государственных учреждениях, своих подразделениях, крупных торговых комплексах, гостиницах, аэропортах и тому подобное) с учетом настоящих Рекомендаций;
осуществлять крепление устройства к стене или к полу в помещениях и к фундаменту вне помещений, если это допускает его конструкция;
устанавливать устройства с антивандальным исполнением корпуса и панелей;
предусматривать при установке устройства возможность его безопасного использования маломобильными группами населения, людьми, с ограниченными возможностями здоровья;
страховать устройства и (или) наличные денежные средства, находящиеся внутри данных устройств.
Относительно физической безопасности банкоматов интерес представляет Письмо Отделения № 1 Московского Главного Территориального Управления ЦБ РФ от 10.08.2011 № 51-52-7/21227 «О направлении информации ГУ МВД России по г. Москве»:
Управление уголовного розыска ГУ МВД России по г. Москве предлагает:
1. Закреплять банкоматы с помощью анкерного крепления.
2. Оборудовать банкоматы фронтальным видеорегистратором со звукофиксацией.
3. Устанавливать в банкоматах GPS-трекер, с помощью которого можно определить местонахождение похищенного банкомата.
4. Использовать химловушки.
5. Усилить ригель замков хранилищ банкоматов.
6. Осуществлять постановку банкоматов на пультовую охрану УВО ГУ МВД России по г. Москве.
В последнее время органы МВД РФ проявляют большой интерес к обеспечению физической безопасности банкоматов. Учитывая парк банкоматов (на 1 июля 2013 г. — 137 865), постановка их на пультовую охрану вневедомственной охраны представляет большой финансовый рынок. В связи с этим МВД разработаны различные документы. В качестве примера в сети Интернет можно найти «Инструкцию по организации комплексной безопасности банкоматов кредитно-финансовых учреждений Краснодарского края (разработана для частных охранных организаций и мониторинговых компаний, осуществляющих охрану банкоматов)», которая является Приложением к Распоряжению ГУ МВД России по Краснодарскому краю от 20.12.2012 № 351.
Для банкоматов существуют рекомендации международных организаций, например Рекомендации по антискимминговым решениям для банкоматов для региона SEPA (Approved by Plenary — 17 December 2008).
1. Минимальные требования для антискимминговых решений с независимым тестированием.
Все поставщики банкоматов и многие их продавцы в состоянии обеспечить антискимминговые решения. Европейская группа безопасности банкоматов (European ATM Security Team — EAST) определила и поддерживает базу данных антискимминговых решений и их функциональных возможностей. Некоторые решения более эффективны, чем другие, однако в настоящее время нет никакого свидетельства или независимой оценки этих решений. Это делает выбор решения трудным, также преступники успешно обошли многие антискимминговые меры. Поэтому Рабочая группа по картам Cards Working Group рекомендует определить минимальные требования для антискиммингового решения и предоставить их для независимого анализа, тестирования и оценки.
Антискимминговое решение может использовать различные подходы, которые должны включать некоторые из ниженазванных:
• Устройство ввода карты в считыватель должно предотвратить крепление скимминговых устройств и (или) сделать такие устройства заметными.
• Необходимо обнаруживать, создавать помехи или нарушать работу скимминговых устройств, когда они присоединены к банкомату.
Везде, где возможно, эти решения должны быть в состоянии обнаружить скимминговые атаки и любое вмешательство
в устройство должно привести к закрытию банкомата или к генерации тревожного сообщения.
Кроме того, рекомендуется, чтобы система контроля банкоматов была в состоянии удаленно обнаружить, находятся ли электронные антискимминговые устройства в рабочем состоянии.
2. Операторы банкоматов должны также рассмотреть дополнительные меры, которые можно использоваться в зависимости от конкретных обстоятельств и экономических обоснований:
• Защитные экраны, чтобы скрыть руку клиента.
• Демонстрация на банкомате предупреждения, просящего клиентов «закрывать и заслонять свой ПИН».
• Демонстрация на банкомате предупреждения о скимминговых устройствах и телефон поддержки клиентов, чтобы сообщить об инцидентах.
• Общие рекомендации относительно безопасного использования банкоматов, которые будут изданы для повышения уровня образования клиентов.
• Предусмотреть неиспользование платежных (ATM) карт в системах контроля доступа, например, для прохода к банкомату.
• Регулярный визуальный осмотр банкоматов обслуживающим персоналом, обученным на предмет поиска скимминговых устройств.
• Использование экранов банкоматов для демонстрации того как должны выглядеть банкомат и считыватель карты.
• Контроль доступа при обслуживании банкоматов с отслеживанием людей, осуществлявших доступ к банкомату.
3. В случае установки нового банкомата в помещении с высоким риском и (или) при межстенном расположении антискимминговое устройство должно быть установлено как стандартная опция поставщиком банкомата или третьим лицом (сервисной службой).
Необходимо провести градацию мест установки банкоматов по категориям риска. Например, к зонам повышенного риска можно отнести межстенные банкоматы, банкоматы вне зоны наблюдения, с 24-часовым доступом. Категории риска места установки банкомата должны периодически пересматриваться.
4. Если банкомат подвергся нападению, антискимминговое устройство должно быть модернизировано.
Так как не все банкоматы или места их расположения одинаково уязвимы, то необходимо дополнительно рассмотреть рекомендации пункта 2 для банкоматов, которые подверглись нападению.
5. Операторы банкоматов, эмитенты и производители карт должны совершенствовать системы и процедуры определения скимминговых атак и мошеннических операций. Необходимо развивать сотрудничество и обмен информацией, чтобы свести потери к минимуму.
PCI Security Standards Council в январе 2013 г. выпустил документ Information Supplement: ATM Security Guidelines, который носит рекомендательный характер. В данном документе говорится, что нужен глобальный стандарт по безопасности банкоматов, регламентирующие документы PCI PTS POI Security Requirements и PCI PIN Security Requirements являются превосходными отправными точками для необходимого стандарта. При этом указывается, что они применяются только для ПОС-терминалов и возможность их применения для ATM только рассматривается PCI SCC. Во-первых, непонятно, что подразумевается под SCC. Возможно, это опечатка и имелся в виду SSC — Security Standards Council? Во-вторых, получается, что регламентирующих документов в отношении безопасности банкоматов со стороны PCI SSC нет, в том числе не подлежат обязательному исполнению PCI PTS и PCI PIN. Хотя в данных документах имеются прямые указания на требования в том числе и к банкоматам. Например, PCI PIN просто начинается с упоминания о банкоматах — в этом документе содержится полный комплект требований по безопасному управлению, обработке и передаче данных персонального идентификационного номера (ПИН) в процессе транзакции платежной карты в режимах онлайн и офлайн в банкоматах и терминалах для производства платежей в месте совершения покупки (ПОС-терминалах). В PCI PTS также говорится, что он распространяется на банкоматы, например ПИН-клавиатура банкомата должна быть сертифицирована по данному документу. Недостаточная проработанность данного документа (ATM Security Guidelines) проявляется в пункте 3.2, в котором говорится, что похищенная на банкоматах информация ПИН и трек (account data) применяются криминалом для изготовления поддельных карт и используется по всему миру, включая снятия в банкоматах, покупки в ПОС с ПИН, а также покупки без ПИН в операциях без присутствия карты. Такое утверждение свидетельствует о полном непонимании технологии мошенничества. Если у злодея есть трек и ПИН, зачем ему нужно в торговом ПОС-терминале осуществлять покупку (с использованием ПИН-кода), вместо того чтобы просто снять наличные в банкомате? Если есть только трек, но ПИН-кода нет, то изготавливают поддельную карту и используют в торговом ПОС-терминале, а не в card-not-present, так как нет CW2/CVC2 и 3D Secure.
Положение ЦБР от 24.04.2008 № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монет Банка России в кредитных организациях на территории Российской Федерации» указывает, что в качестве средств безопасности кредитные организации могут применять специальные кассеты для банкоматов, которые в случае несанкционированного их вскрытия окрашивают купюры специальной краской.
7.3. При перевозке наличных денег, инкассации наличных денег кредитная организация может использовать специальные устройства для упаковки наличных денег, в случае несанкционированного вскрытия которых происходит окрашивание банкнот Банка России специальной краской, обладающей устойчивостью к воздействию растворителей, химических реактивов и другими отличительными характеристиками, позволяющими идентифицировать ее наличие на банкноте Банка России. В этом случае, а также при страховании наличных денег, перевозимых или инкассируемых в автотранспорте, требования, установленные в абзаце первом пункта 7.2 настоящего Положения, к оборудованию автотранспорта могут не применяться.
7.2. Для перевозки наличных денег, инкассации наличных денег кредитные организации, ВСП применяют технически исправный автотранспорт, оборудованный броневой защитой.
Условия приема ЦБ РФ окрашенных купюр от банков определены в Указании ЦБР от 05.06.2009 № 2248-У «Об условиях и по рядке приема на экспертизу и обмена банкнот Банка России, окрашенных специальной краской, на территории Российской Феде рации».
1. Головные расчетно-кассовые центры Банка России (далее — ГРКЦ) принимают на экспертизу от кредитной организации (филиала) (далее — кредитная организация) банкноты Банка России, окрашенные специальной краской в результате срабатывания специальных устройств для упаковки наличных денег (далее — спецконтейнеры).
Кредитная организация принимает от юридического лица, не являющегося кредитной организацией (далее — юридическое лицо), использующего спецконтейнеры, банкноты Банка России, окрашенные специальной краской в результате срабатывания спецконтейнера (далее — окрашенные банкноты) для их передачи на экспертизу в ГРКЦ.
2. Прием на экспертизу и обмен окрашенных банкнот осуществляется ГРКЦ только при наличии у них информации об используемых кредитной организацией (юридическим лицом) спецконтейнерах, а также характеристик специальной краски.
3. Кредитная организация не менее чем за 30 рабочих дней до начала использования спецконтейнеров и специальной краски направляет в Банк России (Департамент наличного денежного обращения Банка России) образцы специальной краски и техническую документацию на спецконтейнеры и специальную краску.
Юридическое лицо не менее чем за 30 рабочих дней до начала использования спецконтейнеров и специальной краски направляет в кредитную организацию образцы специальной краски и техническую документацию на спецконтейнеры и специальную краску.
Кредитная организация не позднее 3 рабочих дней со дня получения от юридического лица образцов специальной краски и технической документации на спецконтейнеры и специальную краску направляет их в Банк России (Департамент наличного денежного обращения Банка России).
По результатам исследования представленных образцов специальной краски и технической документации на спецконтейнеры и специальную краску Департамент наличного денежного обращения Банка России в течение 15 рабочих дней со дня получения образцов специальной краски и технической документации на спецконтейнеры и специальную краску направляет в территориальные учреждения Банка России письменное сообщение, содержащее: характеристики специальной краски, позволяющие идентифицировать ее наличие на банкнотах Банка России, а также полное фирменное наименование кредитной организации (юридического лица), использующего эту специальную краску и спецконтейнеры (далее — сообщение).
4. Прием ГРКЦ на экспертизу окрашенных банкнот осуществляется в порядке, установленном Указанием Банка России от 27.08.2008 № 2060-У «О кассовом обслуживании в учреждениях Банка России кредитных организаций и иных юридических лиц».
7. Направление юридическим лицом окрашенных банкнот в кредитную организацию осуществляется в порядке, установленном Положением Банка России от 24.04.2008 № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации».
8. В случае признания экспертизой окрашенных банкнот платежеспособными их сумма возвращается: ГРКЦ кредитной организации в порядке, установленном Указанием Банка России № 2060-У для сомнительных денежных знаков, кредитной организацией юридическому лицу в порядке, установленном Положением Банка России № 318-П для сомнительных денежных знаков. В случае признания экспертизой окрашенных банкнот имеющими признаки подделки или неплатежеспособными, не содержащими признаков подделки, работа с ними осуществляется в порядке, установленном Указанием Банка России № 2060-У, Положением Банка России № 318-П.
В июле 2014 г. экспертная ATM-группа Ассоциации участников «МастерКард» (АУМ) выпустила «Рекомендации по защите банкоматов от несанкционированного доступа»:
В целях повышения безопасности и защиты от несанкционированного доступа к программному обеспечению банкоматов, работающих под управлением операционной системы Windows, а также для защиты от вредоносных программ рекомендуется произвести следующий комплекс мероприятий:
1. Произведите настройки BIOS.
А. Отключите загрузку с внешних устройств.
После запуска BIOS происходит поиск устройств хранения информации для запуска операционной системы — обычно это жесткий диск. Различные типы BIOS могут использовать разную технику выбора устройств хранения. Некоторые требуют полностью отключить загрузку с внешних устройств. Также есть BIOS, которые имеют способность обходить нормальную процедуру загрузки через PC-клавиатуру, например нажатием клавиши ESC во время загрузки. Такую возможность тоже нужно отключить. В BIOS возможность загрузки с USB при отсутствии загрузочного USB-устройства может не отображаться и, следовательно, при настройке это устройство по факту может оказаться первым. Если в BIOS запрещена загрузка со всех устройств, кроме HD, возможен вариант игнорирования запрета на запуск с CD, рекомендуется установить загрузку с CD второй, то есть когда неисправен HD.
Б. Установите пароль в BIOS.
После того как сделаны все настройки BIOS, доступ к нему должен быть защищен паролем. Большинство BIOS имеют два пароля: Supervisor и User. Нужно использовать только Supervisor. Пароль User должен быть выключен (disabled). Длину и корректные символы для ввода пароля определяет тип BIOS.
2. Осуществляйте инсталляцию ПО на банкомате при отключенном сетевом кабеле.
3. Произведите настройку учетных записей в Windows.
Для доступа к рабочему столу нужно использовать не менее двух учетных записей: администратор и рабочая.
4. Установите парольную политику и измените пароли по умолчанию у всех учетных записей.
Необходимо установить/изменить все пароли, установленные по умолчанию, в том числе для удаленного доступа, установки обновлений и т. п.
5. Отключите функцию автозапуска (autoplay, autorun).
6. Используйте стойкое шифрование каналов связи.
7. Установите межсетевой экран или используйте изолированную сетевую инфраструктуру.
8. Удалите неиспользованные службы и приложения.
9. Установите политику обновлений программного обеспечения (по согласованию с поставщиком ПО).
10. Задайте различные учетные записи пользователя прикладного ПО.
Прикладное ПО должно работать под учетной записью с минимальными полномочиями.
11. Обеспечьте мониторинг сигнала оповещения при открытии верхнего кабинета банкомата.
12. Используйте в диспенсере функцию шифрования.
13. Используйте программное обеспечение контроля запускаемого на исполнение ПО («белый» список).
14. Используйте систему удаленной загрузки терминальных мастер-ключей (Remote KeyManagement).
15. Используйте промышленную операционную систему, поддерживаемую производителем.
16. Используйте прикладное ПО, сертифицированное по стандарту PA-DSS.
17. Банкоматное программное обеспечение должно устанавливаться с инсталляционных дисков по технологии и регламентам, рекомендованным поставщиками банкоматов и ПО.
18. Используйте EPP клавиатуру, сертифицированную по стандарту PCI PTS.
19. Используйте режим ЕРР клавиатуры, соответствующий стандарту PCI PTS (защищенный ввод криптографических ключей).
20. Для неконсольного административного доступа к банкомату используйте программное обеспечение, обеспечивающее стойкое шифрование аутентификационных данных.
21. Заблокируйте или отключите не используемые для обслуживания порты ввода/вывода.
7.2. Некоторые виды атак на банкоматы и средства защиты
7.2.1. Физические атаки
Основные способы — это либо взлом сейфа на месте установки банкомата, либо хищение банкомата и его последующий взлом.
Проблема характеризуется тем, что большинство банкоматов оснащено сейфами первого класса устойчивости к взлому, что позволяет относительно просто и быстро их взламывать. В качестве инструментов используются шлифовальные машины типа «болгарка», газовые резаки, гидравлические инструменты для отжима дверей и др. Некоторое время назад по России прокатилась волна взломов банкоматов NCR, когда использовалась технологическая слабость запирающего механизма ригеля замка. В боковой стенке сейфа напротив середины ригеля с помощью фрезы высверливалось небольшое отверстие, в которое вставлялся прочный металлический стержень, по нему наносился сильный удар, и запорный механизм ломался. В последнее время, в том числе и в России (17 апреля 2013 г., Долгопрудный, ул. Гранитная, отделение Сбербанка), сейфы банкоматов стали взламывать, используя газообразные взрывчатые вещества. Ацетилен или бутан закачиваются в сейф, после чего производится детонация. Достаточно часто банкомат просто похищают и уже после этого вскрывают сейф, что дает больше времени для взлома и не требует какой-либо квалификации.
Штатная защита от хищений банкоматов — это их крепление:
1) к бетонному полу четырьмя анкерными болтами, закрепляемыми в скважине при помощи синтетической смолы, диаметром не менее 12 мм и глубиной не менее 150 мм;
2) к деревянному полу четырьмя анкерными болтами к стальной плите, которая крепится не менее чем четырьмя болтами к балкам перекрытия (рекомендации ATMIA). К сожалению (для банков), не каждый собственник помещения разрешит таким образом закрепить банкомат.
Предложение от производителей банкоматов по усилению устойчивости к взлому — это банкоматы с сейфами третьего класса. Такие банкоматы существенно тяжелее, что, с одной стороны, дополнительно затрудняет хищение самого банкомата, но с другой — накладывает определенные требования по обеспечению соответствующей стойкости к нагрузкам для перекрытий, на которые устанавливается банкомат. К тому же такие банкоматы дороже по стоимости.
Для предотвращения хищения и взлома банкоматов некоторые компании предлагают различные инженерно-технические средства.
Охранные системы. Банкомат оборудуется различными датчиками и выводом тревожного сигнала на пульт охранных структур. Рассмотрим некоторые недостатки данных систем. Во-первых, охранные системы значительно удорожают стоимость владения банкоматами: цена оборудования охранного комплекта и монтажных работ (разовые затраты), стоимость технического обслуживания и услуг оперативного реагирования на срабатывание сигнализации (ежемесячные затраты). Затраты на охранные системы могут превысить потери от хищений и взломов банкоматов. Во-вторых, у банкоматов отсутствует надежный канал передачи тревожного сигнала. Для этой цели обычно используют комплекс из проводной и беспроводной (сотовой) связи. Оба канала достаточно легко нейтрализуются: проводной канал легко обнаруживается и повреждается, для сотовой связи используют «глушилки» или повреждают антенну. В охранных системах исчезновение связи с объектом охраны воспринимается как срабатывание сигнала тревоги. Но для банкоматов пропадание канала связи по различным техническим причинам довольно частая ситуация. Дополнительно злоумышленники могут использовать имитацию обрыва связи как ложных срабатываний охранной сигнализации. Третья проблема — это реагирование на тревожный сигнал. Штатное время прибытия тревожной группы с момента поступления сигнала составляет 10–20 минут. Но в случае срабатывания, например, датчика открытия дверей сейфа банкомата прибытие тревожной группы в любом случае будет запоздалым, так как время между открытием сейфа (срабатывание датчика) и изъятием из него кассет с денежными купюрами составляет всего несколько секунд. Таким образом, установка данного датчика оказывается практически неэффективной. Для обеспечения более раннего реагирования на взлом сейфа банкомата используют другие типы датчиков: вибрации, нагревания, открытия верхнего кабинета, фальшпанели. Но даже они могут не дать ожидаемый результат. Если сейф банкомата (первой категории) вскрывает специалист, то время взлома составит менее пяти минут, что меньше расчетного времени прибытия тревожной группы. Если для взлома сейфа используют газообразные взрывчатые смеси, то указанные датчики также оказываются неэффективными. Даже если установить в сейф датчики-газоанализаторы, то время закачки газа и его взрыва окажется меньше времени прибытия тревожной группы. Для защиты от данной угрозы предлагается совместно с газоанализаторами, которые обнаруживают взрывоопасную смесь, использовать специальное устройство, которое распыляет специальный химикат и изменяет состав взрывчатой смеси, делая взрыв невозможным. Однако такая система может быть нейтрализована, если закачать газ в оболочку. Для того чтобы увеличить время с момента срабатывания сигнала тревоги до момента изъятия денежных средств, на рынке существуют предложения, затрудняющие действия злоумышленников. В качестве таких средств может использоваться стробоскопическая вспышка, безопасный туман (гликоль и вода), пиропатроны с красящими веществами и (или) перцовым газом. На использование таких систем необходимо разрешение собственника помещения. Также нужно иметь в виду, что система может сработать нештатно (ложное срабатывание). Если в дневное время в каком-либо торговом центре из банкомата пойдет слезоточивый газ, то, вероятно, у банка в связи с этим возникнут определенные проблемы. Дополнительные трудности для групп реагирования составляют места расположения банкоматов. Предположим, охранная сигнализация сработала на банкомате, который находится внутри здания (помещения) закрытого (под сигнализацией) в данное время (ночь). Группа реагирования прибывает к месту установки банкомата, но попасть в помещение не может. Необходимо дополнительное соглашение либо с собственником, либо с охранной структурой данного помещения, при этом срабатывание сигнализации на банкомате может быть ложным. В итоге получается, что охранная сигнализация на банкоматах, с одной стороны, достаточно дорогостоящее средство, а с другой — не может обеспечить 100 % безопасности денежных средств.
Для предотвращения хищений со стороны сотрудников инкассации производители банкоматов предлагают кассеты с функцией контроля открытия шторки кассеты.
В качестве универсального средства безопасности, которое должно сделать бессмысленным любое хищение денежных средств из банкоматов, предлагается использование специальных кассет, в случае несанкционированного вскрытия которых происходит окрашивание банкнот специальной краской. Нормативные документы Банка России позволяют использовать данное оборудование (см. Положение ЦБР от 24.04.2008 № 318-П и Указание ЦБР от 05.06.2009 № 2248-У). Но на сегодняшний день они не нашли применения в российских банках. Помимо общего увеличения стоимости банкомата, данные кассеты требуют определенного обращения со стороны служб инкассации для предотвращения ложных срабатываний. Помимо этого, нет гарантии, что купюры, залитые краской, не будут приняты банкоматами с функцией приема наличных в качестве платежеспособных. Прецеденты приема окрашенных евро российскими банкоматами уже были.
В качестве средства безопасности также предлагаются системы видеонаблюдения. Хотя необходимо заметить, что это скорее средство фиксации, которое не может затруднить хищение или взлом банкомата. При выборе данных систем необходимо учитывать следующие моменты:
1. Система работает в автономном режиме — видеоархив хранится локально на банкомате, удаленный доступ для проверки, настройки системы и получения видеозаписей отсутствует. Такая система не требует дополнительного канала подключения, что упрощает и удешевляет ее стоимость. Но для получения видеозаписи необходим выезд сотрудников к банкомату. В случае неисправности такой системы об этом может стать известно только после ее локальной проверки.
2. Система имеет удаленное подключение. Может быть реализован режим только удаленного контроля работоспособности либо дополнительно обеспечена возможность настройки системы и получения видеозаписей. Режим удаленного контроля работоспособности может быть реализован путем интеграции программного обеспечения системы видеорегистрации и банкомата и передачи статусов компонентов системы видеорегистрации по стандартному протоколу подключения банкомата. Удаленное получение видеозаписей требует дополнительного канала подключения.
3. Система видеорегистрации интегрирована с программным обеспечением банкомата. На видеозапись накладываются (в виде титров и записи в базу) системные события работы банкомата (карта вставлена, денежные средства выданы и др.). Интеграция может быть осуществлена по согласованию с производителем банкомата либо без такого согласования (информация в систему видеорегистрации поступает с уровня XFS). В последнем случае банк может иметь определенные проблемы с гарантийным и постгарантийным обслуживанием со стороны производителя банкомата.
4. Видеорегистратор выполнен в виде отдельного устройства или в виде платы видеозахвата, встроенной в системный блок компьютера банкомата. Второй вариант дешевле, но значительно уступает по надежности первому, так как проблемы одного устройства могут привести к проблемам на другом (одна операционная система, «зависание» и др.)
5. При выборе системы видеорегистрации также имеет значение, какие используются видеокамеры, качество видеозаписи, глубина архива.
6. При большом парке банкоматов и удаленном подключении системы видеорегистрации необходимо рассмотреть характеристики автоматизированного рабочего места оператора (контроль, мониторинг, настройка).
Необходимо отметить, что в настоящий момент наиболее востребованным средством минимизации потерь от физических атак на банкоматы является страхование самих банкоматов и находящихся в них наличных денежных средств. Остальные меры безопасности (охранная сигнализация, окрашивание купюр) на сегодняшний день являются для банков слишком затратными — потери от хищений меньше затрат на технические средства безопасности.
7.2.2. Интеллектуальные атаки
Наибольшие потери платежная индустрия несет от всевозможных скимминговых устройств, целью которых является получение информации с магнитной полосы платежной карты и ПИН-кода держателя. Скимминговые устройства могут либо накапливать информацию, либо сразу же передавать ее по беспроводным каналам.
Интересно, что в третьей версии стандарта PCI DSS (Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.0 November 2013) появились требования по отношению к скиммингу. Пункт 9.9 указывает, что необходимо защищать устройства, которые получают данные платежной карты через прямое физическое взаимодействие с картой, от вмешательства и замены (skimming). Однако в примечаниях оговаривается, что эти требования применяются к устройствам, используемым в транзакциях с присутствием карты в торговой точке. То есть требования предъявляются только к ПОС-терминалам, для банкоматов требований по защите от скимминговых устройств нет! (Требование 9.9 является рекомендацией, передовой практикой до 30 июня 2015 г., после становится обязательным.)
Рис. 7.1. Количество скимминговых устройств, выявленных в России. Данные АРЧЕ/АУМ
Копирование магнитной полосы осуществляется такими способами, как:
— установка скиммингового устройства на ридер банкомата;
— установка скиммингового устройства на штатную антискимминговую накладку ридера банкомата;
— установка скиммингового устройства на входной двери в помещение, где установлен банкомат;
— установка скиммингового устройства внутри банкомата;
Копирование ПИН осуществляется следующими способами:
— накладная ПИН-клавиатура;
— pinhole-камера;
— внешняя (вне банкомата) камера;
— ИК-камера.
Производители банкоматов, обеспокоенные данным явлением, стали предлагать дополнительные устройства для защиты банкоматов от этого вида угроз. На первоначальном этапе противодействия скиммингу использовались пассивные антискимминговые устройства, которые просто затрудняли физическую установку скимминга. Однако достаточно быстро появились скимминговые устройства, разработанные специально под пассивные антискимминговые накладки. В результате чего держатели не могли отличить, какое устройство установлено на банкомате.
Вскоре на рынке появились компании, предлагающие активные антискимминговые решения. Данные устройства делятся на две группы:
1. Обнаруживающие скимминговое оборудование: Intelligent Fraud Detection (NCR), secure anti-fraud enhancements (Diebold), Anti-Skimming Module (Wincor Nixdorf), ATMantiskim (ООО «ЛАН АТМсервис»).
2. Подавляющие работу скимминговых устройств: АЕРВ.468200.053 торговая марка «Цербер» (ООО «Ансер ПРО»), StopSkimmer® (ООО «ПиБиэФ Труп»), TMD Security (ЗАО «Новый город», ЗАО «СмартКард-Сервис»), Anti Skimming Solutions ASD (ООО «ПиЭсТи Компани»), Антискиммер-СБ (ООО «Код безопасности»), CardGuard (ООО «БТЕ-Сервис»).
Принципиальное отличие принципов работы первой группы от второй состоит в том, что устройства первой группы, обнаружив скимминговое оборудование, вынуждены либо оставить банкомат работающим и послать сигнал тревоги эквайреру, при этом подвергая риску компрометации карты держателей, либо отключить банкомат, при этом держатели не обслуживаются, эквайрер несет убытки. Устройства второй группы оставляют банкомат работоспособным, а карты держателей в безопасности, несмотря на установку скимминговых устройств. Дополнительно такие устройства могут комплектоваться также датчиками обнаружения скиммеров. Поэтому для банков на первый взгляд такие устройства выглядят более предпочтительными. Но какое конкретное решение выбрать, задача для банка не простая. Диапазон цен на один комплект может колебаться от $300 до $2000. Причем каких-либо методик испытаний либо заключений независимых испытательных лабораторий на сегодняшний момент нет. Каждый производитель заявляет, что его изделие выявляет или подавляет все виды существующих скимминговых устройств. Банк может либо поверить производителю, либо самостоятельно приобрести скиммер и проверить работу антискиммингового устройства. Однако это будет означать только то, что испытуемое оборудование эффективно на конкретном скиммере, какой результат будет на каком-либо другом — неизвестно. При этом необходимо отметить, что конструктивное исполнение излучающих электромагнитные волны (подавляющее излучение) антенн иногда требует очень точных монтажных работ. Смещение антенны на несколько миллиметров может привести к потере эффекта подавления. Дополнительно приходится учитывать и развитие технологий скимминга. Например, использование стереоголовок для считывания магнитной полосы. Такая стереоголовка настраивается таким способом, что одна дорожка читает второй трек магнитной полосы платежной карты, а другая — третий. При стандартном решении, когда третий трек на магнитной полосе пустой, получается стереоэффект (если на третьем треке записана какая-либо информация, то данная схема работает некорректно). Результирующий стереосигнал с двух дорожек обрабатывается, например, с использованием преобразования Фурье. Таким образом, возможно выделение полезного сигнала (информации с магнитной полосы платежной карты), который по амплитуде меньше электромагнитного шума. Эффективность скиммера можно усилить, используя различные материалы для электромагнитного экранирования (пермаллой, метглассы, др.).
Поэтому в настоящий момент банки иногда сталкиваются с ситуацией, когда банкомат был оборудован активным антискимминговым устройством, а компрометация карт все равно произошла. Подобная ситуация возникает не только из-за неэффективной работы антискиммингового устройства, но и в случае установки скимминга вне зоны ридера банкомата. Например, на входных дверях зоны обслуживания банкомата или внутри самого банкомата. Скимминговые устройства устанавливались в межстенные банкоматы путем вырезания отверстия в лицевой панели в районе ридера. Далее скиммер, изготовленный из бытового аудио/видео плеера, подключали к электрическим контактам ридера. В России такая атака была в первые зафиксирована в Москве в январе 2009 г. Во Франции в 2013 г. были обнаружены скимминговые устройства, которые крепились внутри банкомата с помощью магнита и использовали прижимные контакты для снятия электрического сигнала, данная схема обеспечивала очень высокую точность установки устройства. В 2013 г. в США в магазинах Nordstrom были обнаружены устройства, которые устанавливались в разрыв между ПОС-терминалом и компьютером кассы (PS/2) и перехватывали передаваемую информацию — трек. Аналогичные устройства могут быть использованы и в банкоматах: логгер можно установить в разрыв подключения ридера банкомата к компьютеру (USB-порт), перехваченная информация может передаваться по Wi-Fi. Такое устройство будет очень сложно обнаружить даже техническим специалистам при плановом обслуживании (если сотрудник его специально не ищет). В 2014 г. появились мини-скиммеры, которые имеют столь малые размеры, что размещаются внутри ридера банкомата. Помимо того что их очень сложно обнаружить визуально, также их сложно заглушить активным антискиммингом, так как они расположены внутри самого ридера банкомата, а для корректного считывания ридером информации с магнитной полосы карты активный антискимминг должен отключаться в этот момент.
Большой интерес по противодействию скимминговым устройствам представляет опыт «Голландских железных дорог». На своих терминалах по продаже железнодорожных билетов они использовали устройства компании Card Swipe Protection Technology B.V. (CSPTec), принцип действия которых основан на физической защите платежной карты от скимминговых устройств при ее движении вдоль магнитной полосы. Данное решение основано на оригинальном принципе противодействия. Все скимминговые устройства используют штатную функцию движения платежной карты вдоль магнитной полосы при ее помещении в ридер. Именно на этом этапе происходит перехват и копирование информации с магнитной полосы, в том числе и с комбинированных микропроцессорных карт. Производителям банкоматов и терминалов самообслуживания для нейтрализации данного элемента уязвимости необходимо просто изменить конструкцию и компоновку считывателя магнитной полосы платежных карт. Для этого ридер необходимо развернуть на 90 градусов. Карта должна вставляться в банкомат поперек магнитной полосы (полосой вперед-вниз), далее карта помещается в ридер (движение слева направо), магнитная полоса банковской карты находится внутри банкомата при движении в/из ридере (а) и защищена (отверстие ридера узкое) от скимминга, область, в которой держатель карты держит карту пальцами — широкая. Но данные конструктивные изменения возможны только со стороны производителей банкоматов, банки вынуждены покупать те банкоматы, которые предлагают вендоры.
Аналогичный принцип используется в антискимминговой системе ограничения доступа к банкомату StopSkimer Reader компании PBF Group (ООО «ПиБиэФ Труп). Специальный считыватель информации с магнитной полосы платежной карты используется в системах ограничения доступа в помещения, где установлен банкомат. Стоит отметить, что данная компания имеет патенты РФ на полезные модели от 02.09.2011 № 114543 «Антискимминговый кардридер банкомата» и от 21.09.11 № 114545 «Устройство изменения положения карты».
Изделие румынской компании MB Telecom Secure Revolving System (SRS) победило на международной выставке изобретений, проходившей в апреле 2013 г. в Женеве (Швейцария). Механизм SRS работает по следующей схеме: сначала пользователь вставляет карту в банкомат длинной стороной так, что магнитная полоса располагается параллельно стенке банкомата, после чего механизм поворачивает карту на 90 градусов, чтобы считать информацию с магнитной полосы. Затем карта поворачивается обратно и возвращается пользователю.
1 августа 2014 г. Фрэнк Натоли (Frank Natoli), руководитель подразделения, отвечающего за инновации в компании Diebold Inc., объявил о разработке в компании принципиально нового картридера, «неуязвимого для скиммеров». Держатель будет размещать свою карту в слоте картоприемника не узкой стороной, как это было до сегодняшнего дня принято во всем мире, а широкой. Именно за счет этого поворота карты на 90 градусов картридер ActivEdge исключает считывание информации с магнитной полосы карты всеми существующими сегодня типами скимминговых устройств. В дополнение к данному революционному конструктивному решению картридер передает в процессор ATM считываемую с карты информацию в зашифрованном виде, исключая тем самым саму возможность перехвата и компрометации данных на этом участке работы с картой. Каждый ридер планируется поставлять в комплекте со специально разработанной «под него» моделью банкомата, конструкция которого исключает физическую замену преступниками картридера ActivEdge на другой картридер. Представители компании Diebold также уточнили, что устройство «привязано» к конкретному банкомату, поэтому не может быть замещено. Также предусмотрена защита от так называемого внутреннего скимминга и USB sniffing. ActivEdge также имеет средства защиты против такого вида мошенничества, как card-траппинг (захват карты преступниками): в нем предусмотрен усиленный блокиратор карты внутри картоприемника.
Для защиты ПИН-кодов держателей карт производители банкоматов могли бы использовать решение доцента кафедры электропривода и электрооборудования Томского политехнического университета Олега Качина, который предложил новый способ ввода последовательности знаков в электронные устройства, в том числе в ПИН-клавиатуры: «Суть способа состоит в применении клавиатуры с ограниченным углом обзора клавиш и случайным распределением символов и соответствующих им функций по клавишам». Ограничение угла обзора нейтрализует скрытое видеонаблюдение за вводом ПИН-кода, а случайное распределение символов — накладные ПИН-клавиатуры.
Развитием скимминговых устройств со стороны злоумышленников является установка фальшивых банкоматов. Первый зарегистрированный случай установки поддельного ATM произошел в 1993 г., когда преступная группа, известная как Buckland Boys, установила такой банкомат в торговом центре Манчестера. В наше время данный способ мошенничества продолжает существовать. В июне и июле 2013 г. в России были обнаружены три фальшивых банкомата модели Wincor Procash 2050, которые копировали магнитную полосу карты и ПИН-код и передавали их по мобильному каналу связи (GSM). Банкоматы были приобретены после банкротства одного из российских банков. На банкоматах имелись названия банков: «Внешинвестбанк» и «Нефтегазбанк», установлены они были в г. Москве в торговом центре «Охотный ряд», в г. Сочи в торговом центре «Море Молл», в аэропорту «Внуково». Операции по скомпрометированным картам прошли в России, Гватемале и Пакистане.
Помимо фальшивого банкомата держатель карты может столкнуться с недобросовестным владельцем банкоматов. В ряде стран (например, США, Канаде и др.) любой гражданин может свободно купить банкомат, заключить соответствующие договоры на его обслуживание, установить и получать прибыль. То же самое могут сделать и мошенники. Программное обеспечение банкомата модернизируется таким образом, что после введения карты и ПИН-кода мошенники копируют информацию с магнитной полосы карты и сам ПИН. В США в декабре 2003 г. был арестован мошенник, который купил и установил в Калифорнии, Флориде и Нью-Йорке около 55 банкоматов. В результате этого он получил информацию о более чем 21 000 номеров банковских карт 1400 различных банков на сумму более $3,5 млн.
Определенную угрозу для банкоматов составляет так называемый программный скимминг, когда данные магнитной полосы копируются не с платежной карты, а перехватываются при их обработке программным обеспечением банкомата.
С декабря 2007 г. по июль 2008 г. группой лиц с использованием поддельных банковских карт через банкоматы г. Санкт-Петербурга было осуществлено хищение денежных средств со счетов российских клиентов. Характерной особенностью было снятие денежных средств по «своим» картам в «своих» банкоматах, суммы снятий были достаточно большими (обычно несколько сотен тысяч рублей), перед снятиями отмечались операции по проверке баланса. Иногда часть денежных средств с одной карты с большим доступным балансом переводилась на другую карту, которая также была поддельной, но с небольшим балансом доступных средств, и денежные средства снимались с двух карт одновременно. Пострадали более десяти российских банков, однако заявления о совершенных преступлениях поступили в БСТМ (Бюро специальных технических мероприятий) МВД РФ только от ГПБ (ОАО). В результате проведения комплекса оперативно-розыскных мероприятий 36 отделом Управления «К» БСТМ МВД РФ совместно с 9 отделом УСТМ ГУВД по г. Санкт-Петербургу и Ленинградской области было установлено, что организованная преступная группа осуществляет хищение данных с банкоматов, после этого похищенная информация используется для изготовления поддельных платежных карт и снятия наличных денежных средств через банкоматы. Данная группа использовала высокотехнологичные способы совершения преступлений, ранее не встречавшиеся на территории России. В связи с высокой степенью общественной опасности данного вида преступлений министр МВД РФ Р.Г. Нургалиев доложил о нем Президенту РФ Д.А. Медведеву 17.07.2009 г. Приморский районный суд г. Санкт-Петербурга вынес им приговор (см. приложение 1, уголовное дело № 772270, в книге «Безопасность карточного бизнеса: бизнес-энциклопедия»[115]).
Информация с магнитной полосы платежных карт и ПИН-коды держателей похищались с использованием вредоносного программного обеспечения. Программа инсталлируется путем доступа к системному блоку компьютера банкомата. В USB-порт компьютера вставляется flash-память и под рабочей записью запускается исполняемый файл (пароли администратора и BIOS не используются). Осуществляется взаимодействие с оборудованием банкомата на уровне драйверов. Из транзакций перехватываются второй трек и ПИН-блок. У данной преступной группы имелась программа по генерации номеров карт активации. Карты активации генерировались по определенному принципу: часть трека карты составляла заданную константу. На основании этой константы вредоносное программное обеспечение на компьютере банкомата «узнавало» свои карты и позволяло войти в альтернативное меню, управлять которым можно было с ПИН-клавиатуры банкомата. Второй трек магнитной полосы внутри банкомата обрабатывается в открытом виде. Поэтому программа просто перехватывала его и записывала в файл. ПИН-блок на компьютере банкомата обрабатывается в зашифрованном внутри ПИН-клавиатуры виде, то есть на компьютере находится только криптограмма. Но вредоносное программное обеспечение могло расшифровывать ПИН-блоки с использованием штатной функции ПИН-клавиатур, в том числе для PCI EPP (ПИН-клавиатуры, сертифицированной по стандарту PCI DSS).
Было выявлено несколько версий инсталлятора вируса: test4.exe, test5.exe, test6.exe и др. При заражении:
• в директории с: /windows/создается файл, маскирующийся под легальный: lsass.exe (настоящий находится в директории system32);
• программа прописывается в реестр и загружается в память;
• осуществляется взаимодействие с оборудованием банкомата на уровне драйверов;
• из транзакций, направляемых в процессинговый центр, перехватывается второй трек и ПИН-блок;
• ПИН-блок расшифровывается на ПИН-клавиатуре (штатная функция);
• второй трек и ПИН-блок зашифровываются на собственном ключе вируса и записываются в файл trl или trl2 в директории с:/windows/;
• при инициировании транзакции по ранее сгенерированной карте (карты активации, начинаются с цифры 4) активируется ПИН-клавиатура;
• в течение 15–20 секунд можно начать вводить команды, нажимая определенные клавиши на ПИН-клавиатуре:
— запрос версии ПО банкомата;
— сколько накоплено информации (количество карт и ПИН);
— распечатать накопленную информацию на чековую ленту;
— записать накопленную информацию на SIM-карту;
— удалить накопленную информацию;
— удалить вирус (удаляется из памяти, переписывается в реестре в другое место, сохраняется на жестком диске);
— перезагрузить банкомат;
— выдать купюры (требует пароль).
В качестве карт активации использовались следующие карты: 4773419549651379, 4183557684583198, 4460308669682769, 4074195357318139, 4234342506353628, 4797711436470943, 4712874388376864, 4873134660204598, 4625190408744296, 4824182872942026. Программное обеспечение позволяет сгенерировать гораздо большее количество карт, но алгоритм работы генератора номеров был разработан таким образом, что при каждом нажатии на кнопку команды генерации в интерфейсе выдавался список карт из 20 номеров и при каждом новом запуске программы номера генерировались заново в том же порядке. Поэтому злоумышленники использовали ограниченный набор карт активации.
1 декабря 2008 г. о данной проблеме узнала компания производитель банкоматов Diebold, 11 декабря был произведен анализ вредоносной программы в США, 23 декабря была выпущена «заплатка» и предоставлена банкам. Зараженные банкоматы были выявлены в Санкт-Петербурге, Москве, Калининграде, Екатеринбурге, Кемерово, Новокузнецке, Новосибирске, Барнауле, Украине, Объединенных Арабских Эмиратах, ЮАР.
То же самое вредоносное программное обеспечение было обнаружено и на банкомате NCR 5877 в Санкт-Петербурге 5 марта 2009 г. Проведенный анализ показал, что было осуществлено копирование только вторых треков, ПИН-код не был расшифрован. Вредоносное обеспечение не было полностью адаптировано к банкоматам данного производителя.
Указанное вредоносное программное обеспечение на банкоматах Diebold имеет функцию выдачи купюр из кассет. Для ее активации программа запрашивает пароль, который формируется по определенному алгоритму, обычно один злоумышленник активировал команду на банкомате, вредоносное ПО выдавало код, в ответ на который нужно было ввести другой, связанный с ним. Код ответа сообщался сообщником по телефону. Данная уязвимость сохраняется и на сегодняшний день. Множество таких атак были отмечены в 2009–2010 гг. в России, в 2011 г. — на территории Украины.
Возможность получения наличных денежных средств из банкомата (без его взлома или хищения) является одной из криминальных целей.
В сентябре 2006 г. телекомпания WAVY-TV сообщила об инциденте в Virginia Beach, (штат Вирджиния, США), где хакер получил права администратора на ATM и изменил номиналы загруженных купюр на 5-долларовые вместо 20-долларовых. Это стало возможно в результате того, что пароли доступа в систему были оставлены по умолчанию.
В 2006 г. на Украине были отмечены очень высокотехнологичные атаки на инфраструктуру банкоматных сетей. В результате инкассации ATM разными банками-эквайрерами зафиксированы значительные суммы недостач. При этом в историях авторизаций ATM-операций на суммы недостач не обнаружено, на хосте зафиксированы отключения ATM (переход в офлайн). При анализе электронных журналов ATM обнаружены авторизационные запросы на 5 грн., 10 грн. и авторизационные ответы на 4000 грн., 8000 грн. (40 купюр — максимальное количество, выдаваемых на один раз купюр по 100 грн. или 200 грн.). Операции проводились в ATM разных банков с использованием одних и тех же номеров карт. Мошеннические операции не видны хосту (ATM в офлайн), невозможно осуществлять мониторинг мошеннических транзакций. Злоумышленники избрали своей целью банкоматы, подключенные с использованием радиорелейных каналов связи, при этом банки не использовали ни VPN-каналы, ни функцию MAC. Предположительно, данная атака была осуществлена путем перехвата подключения банкомата на мошеннический эмулятор хост-системы процессинга. Мошенники вставляли карту в банкомат и направляли запрос на выдачу наличных денежных средств. Но данные запросы не попадали к эквайреру, эмулятор хоста мошенников на все запросы выдавал положительную авторизацию. В то время как банкомат выдавал мошенникам денежные средства, эквайрер думал, что с банкоматом просто отсутствует связь.
2008 г., Линкольн (штат Небраска, США). Двум молодым парням, Джордану Эске и Николасу Фостеру, удалось обмануть банкомат, при помощи стандартных кодов «убедив» машину, что она наполнена однодолларовыми купюрами вместо двадцаток.
В 2009 г. в Великобритании был зафиксирован случай «мошеннической подмены хоста». Банкомат был отсоединен от хоста процессингового центра и подключен к ноутбуку. При использовании в данном банкомате карт на авторизационные запросы отвечал не эмитент, а эмулятор хоста.
2009 г., Башкортостан. В крупном уфимском супермаркете злоумышленники, использовав пароль администратора по умолчанию, установили собственный курс американской валюты в банкомате, повысив его до 1500 рублей. Загружая в банкомат по одной купюре, они обменяли $800 на 1,2 млн рублей.
4 марта 2009 г. в г. Москве с поличным задержан злоумышленник при попытке получения наличных из банкомата Smartcash 107 (компании Europeum), оборудованного диспенсером DeLARue с интерфейсом RS-232. Он подключил к ноутбуку диспенсер банкомата и использовал программу NMDWTest (специализированная тестовая программа, созданная компанией — производителем банковского оборудования De La Rue для технического обслуживания и проверки функционирования модуля для выдачи банкнот NMD-100). С помощью данной программы возможно извлечение банкнот без вскрытия сейфовой части банкомата.
В 2013 г. банкоматы подверглись атаке вредоносным кодом под названием Ploutus. Распространяемый в текущей версии с помощью CD-дисков код направлен на перехват контроля над банкоматом с целью извлечения имеющихся в нем наличных денег. Анализ инцидентов показал, что злоумышленники, получив доступ к CD-приводу банкомата, помещали туда новый загрузочный диск. С этого диска загружались файлы вредоносной программы Ploutus на жесткий диск банкомата и отключались установленные в системе антивирусные программы. После успешной загрузки вредоносного кода в систему Ploutus активировался определенной комбинаций нажатий на функциональные клавиши устройства, после чего появлялась возможность отправлять команды на выдачу наличных денег с внешней клавиатуры. Атака была зафиксирована в Мексике, Китае, Франции, Бразилии, Малайзии на банкоматах NCR, Wincor Nixdorf.
Для защиты от вмешательства в работу программного обеспечения банкоматов предлагаются разные методы и способы. В большинстве случаев заражение или вмешательство в штатную работу происходит путем доступа к компьютеру банкомата через верхний кабинет. Обычно крышка верхнего кабинета открывается одним ключом для большой серии (типа) банкоматом данного производителя. Можно обеспечить защиту от несанкционированного доступа в верхний кабинет банкомата путем монтажа дополнительного замка. При реализации данной защитной меры необходимо учитывать следующие вопросы. Если монтируется механический замок, то это будет накладывать дополнительные сложности управления доступом к механическим ключам. При этом необходимо иметь ввиду, что остается вероятность изготовления дубликата механического ключа. Электронные системы контроля доступа более предпочтительны. Но и они обладают определенными недостатками. Необходимо обеспечить оперативное обновление базы идентификаторов, разрешающих открытие замка. Данная задача может быть решена удаленно, но при этом потребуется организация канала связи к системе контроля доступом, либо локально, но в таком случае необходимо будет каждый раз совершать объезд банкоматов. Важное значение будет иметь и тип запирающего механизма. Если используется нормально закрытый (при отсутствии электрического питания замок закрыт), то в случае какой-либо неисправности (обрыв, повреждение провода, электронных компонентов и т. п.) возникнет сложность санкционированного открытия крышки верхнего кабинета. В некоторых моделях банкоматов при этом невозможно будет получить доступ и к сейфу (открыть его). При использовании нормально открытого замка (при отсутствии электрического питания замок открыт) необходимо решить вопрос с источником бесперебойного питания и определиться с требованием по времени его работы (после окончания емкости такого источника крышка откроется). Дополнительно механический замок будет защищать и от установки скимминговых устройств внутри банкомата (потребуется разрушение корпуса).
Защиту от установки вредоносного программного обеспечения можно обеспечить и программными средствами. Как уже упоминалось выше, необходимо использовать решения по обеспечению контроля целостности программного обеспечения: Diebold — SEP 11 (Symantec Endpoint Protection 11), NCR — Solidcore for APTRA. Существуют также предложения сторонних производителей, например GMV — checker ATM security, SafenSoft — TPSecure.
Серьезную угрозу для технологии платежных карт представляет компрометация криптографических ключей. При несоблюдении процедур по безопасному управлению криптографическими ключами возможна их компрометация. При несанкционированном доступе к криптографическому модулю (HSM) возможен подбор ПИН-кода, генерация нового ПИН-кода, перешифрование ПИН-блока форматов «О», «1», «3» (ISO 9564-1) в ПИН-блок формата «2» (дает возможность определить ПИН-код по заранее введенным и зашифрованным ПИН-блокам), генерация зонального мастер-ключа (ZMK) и выгрузка под ним других криптографических ключей (терминального мастер ключа — ТМК, терминального рабочего ключа — ТРК, ключа эмитента — IWK, ключа эк-вайрера — AWK, ключа проверки ПИН — PW), с использованием данных ключей можно получить ПИН-код. Формат ПИН-блока «2» считается небезопасным. В «Правилах платежной системы “Виза” по осуществлению операций на территории Российской Федерации» (утверждены генеральным директором Стивеном Паркером 29 ноября 2012 г.) определены «Требования к обеспечению безопасности ПИН-кодов»: «Участник платежной системы — эквайрер обязан обеспечить безопасность ПИН-кода, используемого для удостоверения личности клиента — физического лица при проведении операции в соответствии с Руководством по реализации требований к обеспечению безопасности ПИНа в индустрии платежных карт (PCI PIN Security Requirements). В том случае, если участник платежной системы — эмитент получает от Visa незащищенный ПИН-блок, он обязан перевести его в безопасный формат». Допустимые форматы ПИН-блока согласно PCI PIN Security Requirements (документ распространяется только на эквайреров): для транзакций в режиме реального времени шифрование ПИН-кодов должно проводиться только согласно ISO 9564-1 ПИН-блок форматы «О», «1» или «3». Формат «2» должен использоваться для ПИН-кодов, которые передаются из картридера на карту. Таким образом, эквайрер обязан использовать защищенный формат ПИН-блока, Visa может его перешифровать в незащищенный формат и отправить эмитенту, эмитент обязан его перешифровать в защищенный формат. Все, кроме Visa, обязаны выполнять PCI PIN Security Requirements. В этом же документе определен порядок использования формата «2» (незащищенного) — только в связи с офлайновой верификацией ПИН-кода или для операции по смене ПИН-кода в связи со средой смарт-карты. В данном случае, а именно операции по смене ПИН-кода, имеет место снижение уровня безопасности из-за необходимости обеспечения бизнес-требования. Так как необходимо использовать (разрешить) на криптографическом модуле (HSM) формат ПИН-блока 34 (Thales)/2 (ISO), который формирует одинаковые ПИН-блоки для одинаковых ПИН-кодов на идентичных ключах. При инсайде можно посылать на HSM хостовые команды (KU или KY) и перешифровать ПИН-блок из формата О (ISO) в формат 2 (ISO). Далее злоумышленник сохраняет полученные ПИН-блоки формата «2» и путем их сравнения находит ПИН по известным значениям.
Стоит отметить, что требования по безопасности к эмитентам со стороны стандарта PCI DSS несколько ниже, чем к эквайрерам. Пункт 3.2 Payment Card Industry (PCI) Data Security Standard говорит, что эмитенты и компании, обеспечивающие услуги эмиссии, могут иметь обоснованную необходимость хранения критичных аутентификационных данных. Такая необходимость должна иметь обоснование с точки зрения бизнеса, а хранимые данные должны быть надежно защищены. Получается, что стандарт разрешает эмитентам использовать технологии, которые для эквайреров считаются небезопасными. Например, эмитент может даже передавать ПИН-коды держателям электронным методом в незашифрованном виде — пункт 10.1, подпункт n) Payment Card Industry (PCI) Card Production Logical Security Requirements Version 1.0 May 2013: «n) The PIN must only be decrypted immediately before it is passed to the final distribution channel (e.g., the telephone or e-mail system)». В пункте 3.2.3 PCI DSS version 3.0 говорится, что если ПИН или ПИН-блок будут храниться и будут украдены, то злоумышленник получит возможность совершения мошеннических операций с использованием ПИН-кода (например, для получения наличных через банкомат). При этом указанные данные эквайреру хранить запрещено, а эмитенту они должны быть известны: «These values should be known only to the card owner or bank that issued the card. If this data is stolen, malicious individuals can execute fraudulent PIN-based debit transactions (for example, ATM withdrawals)». Это означает, что, когда банк заявляет о получении сертификата соответствия стандарту PCI DSS, то можно говорить о безопасности чужих карт, а обеспечена ли безопасность собственных карт, неизвестно! Например, многие банки предоставляют услугу по получению ПИН-кода посредством SMS-сообщений. В этом случае ПИН-код передается держателям карт в открытом виде по незащищенному каналу.
Уязвимость эмитентов, сертифицированных на соответствие PCI DSS, подтверждена инцидентами по компрометации критичных аутентификационных карточных данных. 8 ноября 2008 г. в течение 30 минут денежные средства банка Royal Bank of Scotland снимались в более чем 130 банкоматах 49 городов мира, в том числе в Нью-Йорке, Атланте, Чикаго, Монреале, Гонконге, Москве, похищено $ 9 млн. Процессингом Royal Bank of Scotland являлся RBS WorldPay Inc., который на момент компрометации имел сертификат соответствия PCI DSS (дата проверки 31 июля 2008 г., QSA — Trustwave). RBS WorldPay в марте 2009 г. на основании правил PCI DSS был исключен из списка соответствующих стандарту. Но сразу же сделал заявление, что вновь пройдет сертификацию в мае 2009 г. Что и было выполнено (31 мая 2009 г., QSA — Verizon Business). Вероятно, уязвимости, использованные злоумышленниками, не были связаны с невыполнением требований стандарта PCI DSS. Позднее Федеральная служба безопасности России по данному инциденту задержала Виктора Плещука и Евгения Аникина, которым было предъявлено обвинение по пункту «б» части 4 статьи 158 УК РФ «Кража в особо крупном размере». Виктор Плещук заключил досудебное соглашение о сотрудничестве со следственными органами и был приговорен Калининским райсудом Петербурга к шести годам условно. Евгений Аникин был приговорен Заельцовским районным судом Новосибирска к пяти годам лишения свободы условно.
Аналогичная атака была осуществлена в 2013 г. на ближневосточные банки Muscat и Ragbank, в результате которой было похищено $45 млн. Злоумышленники взломали процессинговые компании (EnStage и ElectraCard Services), скомпрометировали данные о дебетовых картах (ПИН и трек), увеличивали доступный лимит снятия наличных и по поддельным картам обналичивали средства через банкоматы, расположенные более чем в двух десятках стран по всему миру. Оба процессинговых центра были сертифицированы по PCI DSS (EnStage: 31 декабря 2011 г, ControlCase India; ElectraCard Services: 29 августа 2011 г., ControlCase). Данную атаку международные платежные системы Visa и MasterCard назвали cash-out и выпустили бюллетени безопасности, в которых была несколько приоткрыта технология атаки на ПИН-коды. Хакеры использовали штатную процедуру запроса легальным держателем карты ПИН-кода. То есть фактически произошел взлом эмитентской части процессинговых систем, которая не входит в зону аудита PCI DSS.
При сговоре офицеров безопасности, владеющих компонентами криптографических ключей LMK (локальный мастер ключ), ZMK, ТМК, PW, также возможна компрометация ПИН-кода. При печати ПИН-конвертов на первом слое конверта остаются следы ударов печатающей головки матричного принтера (проколы иголок), по которым можно восстановить ПИН-код. При передаче ПИН-конверта держателю на этапе транспортировки возможно вскрытие конверта, компрометация ПИН-кода и последующее изготовление нового конверта.
Europay в октябре 1999 г. признала скомпрометированными около 65 000 карт, побывавших в России. Все они проходили через банкоматы, обслуживавшиеся процессинговым центром Union Card. В марте 2006 г. в СМИ была опубликована информация, что в результате компрометации терминальных мастер-ключей в сети Ситибанка скомпрометированы 600 000 карт.
От компрометации криптографических ключей в эквайринговой сети надежно защищает система Remote Key Management, которая обеспечивает удаленную загрузку терминальных мастер-ключей. Данную технологию поддерживают производители криптографических модулей Thales (HSM 8000) и банкоматов NCR, Diebold, Wincor. Российский производитель ПОС-терминалов Yarns также обеспечивает удаленную загрузку терминальных криптографических ключей.
EMV-миграция предполагает постепенный переход от карт с магнитной полосой к картам с микропроцессором. Для обеспечения совместимости двух технологий на время переходного периода появляются комбинированные карты, то есть на карте присутствуют и магнитная полоса, и микропроцессор. Как это ни парадоксально звучит, но на время переходного периода использование комбинированных карт с магнитной полосой и микропроцессором увеличивает уязвимость технологии платежных карт. Связано это с тем, что уязвимости карт с магнитной полосой складываются с уязвимостями МПК и в результате появляются новые уязвимости, которые отсутствуют, если рассматривать магнитную полосу и МПК по отдельности.
Наиболее слабой с точки зрения безопасности карт с магнитной полосой является собственно магнитная полоса. Ее легко скопировать, легко изготовить подделку (то есть записать информацию на другую карту или заготовку), наибольшие потери для банков приносит скимминг. Переход на МПК влечет за собой неоспоримое преимущество: поддельный микропроцессор изготовить гораздо сложнее, тем самым обеспечивается высокий уровень безопасности финансовых операций и сокращение потерь от мошенничества. Однако это касается «чистых» МПК без магнитной полосы. К уязвимостям стандарта EMV следует отнести легкую доступность ПИН-кода (учитывая, что магнитная полоса остается на комбинированных картах, по ним возможно проведение не EMV-операций, что увеличивает риск компрометации карт в целом). Как следствие, в настоящий момент наблюдается значительный рост установки скимминговых устройств на банкоматах в России.
Эффективным методом борьбы со скиммингом является полная EMV-миграция и введение международными платежными системами правил переноса ответственности по всему миру. Данные Европейского Центрального Банка показывают, что, несмотря на рост уровня соответствия EMV с 2007 по 2009 г., относительный уровень потерь в данный период вырос с 0,045 % до 0, 05 %. Только в 2010 г. он снизился до 0,04 %, когда уровень соответствия EMV достиг по картам 81 %, по ПОС-терминалам 90 %, по банкоматам 96 %. Таким образом, безопасность стандарта EMV сказывается только при достаточном насыщении рынка. Данный вывод косвенно подтверждается снижением требований к ТСП по уровню на соответствие стандарту PCI DSS со стороны платежной системы Visa при достижении количества EMV-транзакций 75 % по региону, а также отмена штрафов ТСП в США при компрометации данных держателей карт со стороны MasterCard с 2015 г., если не менее 75 % операций в EMV-терминалах.
Стандарт EMV в предприятиях торговли предполагает аутентификацию карты и эмитента, но не предусматривает аутентификацию подлинности терминала, в связи с чем усиливаются атаки на сам терминал — от простой подмены до модернизации. С появлением МПК и развитием технологии платежных карт появляются новые источники компрометации ПИН-кода. Программа «ЧИП и ПИН» предполагает введение ПИН-кода при операциях в торговых предприятиях. Это приводит к тому, что увеличивается общее количество точек ввода ПИН-кода (количество торговых терминалов во много раз превышает количество банкоматов), места установки торговых терминалов отличаются от мест установки банкоматов (при вводе ПИН-кода рядом с держателем находится кассир и другие клиенты — нет зоны безопасности), торговый терминал является менее защищенным по сравнению с банкоматом, торговый терминал менее контролируем со стороны эквайрера, чем банкомат (отключение от процессинга, модернизация, подмена).
Проанализируем, как влияет «ЧИП и ПИН» на такие типы мошенничества, как утраченные (украденные, потерянные) и поддельные карты.
Очевидно, что требование ввести ПИН-код при совершении покупки в торговом предприятии сокращает потери по утраченным картам, так как злоумышленник ПИН-код не знает. Однако мошенник может узнать ПИН-код держателя банковской карты, подглядев его, пока тот вводит свой код, выполняя операции в ТСП, далее карта похищается. На использование поддельных карт требование ввода ПИН-кода оказывает неоднозначное влияние. Если бы использовались карты только с микропроцессором (без магнитной полосы), то программа «ЧИП и ПИН» себя оправдывала бы. В реальности получается, что программа «ЧИП и ПИН» на переходном этапе от карт с магнитной полосой к МПК увеличивает потери, и прежде всего потери в банкоматах.
В настоящий момент из-за более сложной и дорогостоящей технологии мошенники не подделывают ЧИП. Мошеннические операции по МПК проводятся по магнитной полосе или с использованием реквизитов (МО/ТО, Интернет). Одним из распространенных способов компрометации платежных карт является следующий: мошенники, используя программу «ЧИП и ПИН», копируют в торгово-сервисных предприятиях ПИН-код держателя и магнитную полосу карты, а не микропроцессор (подделывать микропроцессор сложно). В результате изготавливается поддельная карта, с помощью которой снимаются денежные средства в банкоматах, не умеющих работать с микропроцессорными картами, либо по картам которых разрешен fallback. Таких банкоматов на сегодняшний день достаточно большое количество как в России, так и за рубежом, особенно в США.
Фиксируется множество атак, направленных на хищение магнитной полосы и ПИН-кода на терминалах. Если в банкоматах устройство ввода ПИН-кода представляет собой единый неразделяемый модуль, который при попытке его вскрыть уничтожает хранимые данные (криптографические ключи), то в большинстве ПОС-терминалов контактная площадка для ввода ПИН-кода и криптомодуль разнесены и имеют соединительное звено, с которого можно перехватить вводимый держателем ПИН.
До технологии «ЧИП и ПИН» недобросовестный сотрудник торгового предприятия мог только скопировать магнитную полосу карты (скимминг). Теперь же он получает возможность дополнительно узнать и ПИН-код как просто подглядев за его вводом, так и с использованием технических средств (например, видеокамер), так как держатели привыкли вводить ПИН-коды в ТСП. В результате эффективность деятельности мошенников увеличивается, а потери банков растут, поскольку при похищении только информации с магнитной полосы карты необходимо изготовить поддельную карту, что требует определенных затрат. Далее с такой картой нужно прийти в магазин и осуществить покупку. Мошенник не знает доступный на карте баланс, всегда есть риск, что персонал торговой точки определит поддельность карты и злоумышленника задержат правоохранительные органы. В случае же копирования второго трека полосы карты и получения ПИН-кода затраты на изготовление «белого пластика» минимальны. Использование такой карты в банкомате влечет значительно меньший риск быть задержанным по сравнению с предприятием торговли, а также у злоумышленников есть возможность снять все денежные средства, доступные на карточном счете.
Мошенник может узнать ПИН-код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит свой код, выполняя операции в ТСП. При этом магнитная полоса может негласно копироваться или позднее карта похищается. В банкоматах данная угроза также существует, но уровень ее существенно ниже. При грамотной установке банкоматов существует так называемая зона безопасности, пространство, которое отделяет держателя карты, пользующегося банкоматом, от остальных людей в очереди. В торговом предприятии такую зону создать невозможно, дополнительно рядом с держателем присутствует кассир, который также может видеть вводимый ПИН-код.
Использование ПИН-кода в программе «ЧИП и ПИН» не влияет на уровень потерь по поддельным картам. Так как мошеннические операции производятся по магнитной полосе, то метод верификации держателя карты, определенный эмитентом в Cardholder Verification Method Туре не имеет значения. Верификация держателя происходит согласно Service Code — 201 (МПК, нормальная авторизация, нормальная верификация). Получается, что сокращение мошенничества по поддельным картам с МПК происходит не за счет требования ввода ПИН-кода в ТСП, а за счет применения на карте ЧИПа. Если при обслуживании МПК по ЧИПу верификацию держателя производить по подписи, то мошенничество по поддельным картам не увеличится относительно верификации по ПИН. Представляется, что использование программы» ЧИП и ПИН» на переходный период для комбинированных карт является стратегической ошибкой. Необходимо при обслуживании комбинированных карт в предприятиях торговли оставить использовавшийся ранее на картах с магнитной полосой способ верификации держателя по подписи. Для уменьшения потерь от банкоматного мошенничества из-за компрометации ПИН-кодов в торговых предприятиях для верификации держателя необходимо использовать chip-and-signature (чип и подпись). Данная схема реализована в Азии. Для банков-эмитентов это не приведет к увеличению потерь по поддельным картам, так как при проведении мошеннической операции по магнитной полосе МПК абсолютно неважно, как была запрограммирована верификация держателя на микропроцессоре. Для повышения общего уровня безопасности ПИН-кода требуется соблюдение требований PCI DSS, РА DSS, PTS PCI и усиление криптографической безопасности — криптографический алгоритм 3DES с ключами двойной длины; поточное шифрование, создание VPN-туннелей при подключении терминальных устройств к процессинговым центрам; использование функции макирования (MAC) на всех терминальных устройствах; внедрение технологии удаленной загрузки терминальных мастер-ключей (Remote Key Management).
Негативные последствия программы «ЧИП и ПИН»:
• Увеличение количества компрометаций ПИН-кодов за счет появления новых точек их ввода (ТСП).
• Увеличение потерь по банкоматному мошенничеству. Потери по скомпрометированной карте в ATM больше, чем в ТСП. В 2010 г. в России банкоматные потери составляли 40 % от всех потерь в сфере платежных карт, в 2011 г. — уже 55 %. Согласно Gartner, с 2009 по 2010 г. потери американских банков увеличились от ATM skimming на 13 %, от POS PIN на 71 %. По данным Fair Isaac Corporation, в 2011 г. компрометация ПИН была распределена между банкоматами и ПОС-терминалами в соотношении 25 и 75 % соответственно.
• Компрометация ПИН как аналога собственноручной подписи, как следствие — увеличение мошенничества со стороны держателей карт. Данный вид мошенничества ставит под сомнение собственно ПИН-код как аналог собственноручной подписи держателя, а, следовательно, и легитимность операций, в том числе и законных держателей, подтвержденных ПИН-кодом. Негативные последствия данной дискредитации ПИН для банков-эмитентов будут очень болезненны.
Переходить на стандарт EMV, безусловно, необходимо. Однако процесс перехода сопровождается увеличением потерь в индустрии платежных карт. Чем быстрее будет осуществлен процесс перехода и более высокий процент технологического соответствия EMV (карты, POS, ATM), тем меньше будет потерь, тем безопаснее и привлекательнее станут карты. В связи с этим все участники индустрии с большим нетерпением ждут миграции на технологию EMV крупнейшего региона — США, без которого все усилия остальных регионов приносят результаты гораздо ниже ожидаемых.
В последнее время на рынке банкоматов были отмечены случаи атак на терминалы (банкоматы) с функцией приема наличных денежных средств (cash-in). Цель данных атак — внести неплатежеспособные купюры в банкомат как платежеспособные с последующим выводом данных денежных средств. В августе 2011 г. в г. Екатеринбурге в банкоматы, принадлежащие Уральскому Банку ОАО «Сбербанк России» вместо банкнот были внесены неплатежеспособные купюры «Билет банка прикол» в размере более миллиона рублей. Можно предположить, что подобные атаки, направленные на изготовление поддельных машиночитаемых банкнот, будут только усиливаться. Связано это с особенностью уголовного законодательства России. Дело в том, что изготовление таких банкнот не влечет уголовной ответственности по статье 186 УК РФ «Изготовление, хранение, перевозка или сбыт поддельных денег или ценных бумаг», предусматривающей по части 1 лишение свободы на срок до восьми лет, так как на самой купюре написано, что она не является платежным средством. Поэтому их изготовление, хранение, перевозка и сбыт совершенно безопасны. Даже внесение таких банкнот в банкомат не образует оконченного состава преступления. Действия можно квалифицировать только как приготовление к краже. Но уголовная ответственность предусмотрена Уголовным кодексом РФ только за приготовления к тяжким и особо тяжким преступлениям. На практике это означает, что при внесении неплатежеспособных машиночитаемых купюр на сумму менее 250 000 рублей уголовная ответственность не наступает до момента получения внесенной денежной суммы. Снятие же денег может осуществляться за пределами России. В 2013 г. многие российские банки на некоторое время прекратили прием пятитысячных купюр. Это было связано с атакой, использующей неплатежеспособные банкноты, машиночитаемые как подлинные денежные купюры. Визуально они выглядели как грубая подделка, зачастую купюры изготавливались в черно-белом изображении, но банкоматы не могли выявить подделку. Дело в том, что для определения подлинности банкнот сканер банкомата проверяет их на машиночитаемые признаки: в видимом спектре, инфракрасном, ультрафиолетовом, магнитном. При современном уровне техники те элементы защиты, которые считывают сканеры банкомата, можно считать аналогичными сканирующими устройствами и передать на соответствующие принтеры. Изготовленная банкнота будет определяться банкоматом как подлинная. Другой способ атаки на cash-in — это использование склеенных купюр. Мошенники разрезают девять пятитысячных купюр и склеивают из фрагментов тонким матовым скотчем десять банкнот. Размер поврежденных купюр составляет 157x65 мм (обычные параметры — 157x69 мм), но при этом они принимаются банкоматами и платежными терминалами для зачисления на счет и в качестве платежей как банкноты Банка России стандартного размера. От четырех купюр отрезают по четверти, разрезанные купюры сдают в банк (осталось 75 % площади), из четырех четвертинок склеивают одну купюру и пополняют ей счет карты в банкомате с функцией приема наличных. Из нескольких купюр разного достоинства склеивают купюры, которые воспринимаются cash-in как купюры самого большого номинала.
7.2.3. Атаки на держателей карт
Одним из объектов атак злоумышленников является держатель карты. Изучение судебной практики по уголовным делам показывает, что самыми многочисленными случаями противоправных действий в области платежных карт являются дела по фактам хищения денежных средств с использованием похищенных карт и ПИН-кода. ПИН-код может быть получен различными способами: похищен вместе с картой, подсмотрен, получен от держателя в результате угроз или даже пыток. Известны случаи, когда держатели карт, работающие вахтовым методом в районах Крайнего Севера, просили банки блокировать их карты на время своего проезда с места работы домой, так как такие рейсы встречали криминальные элементы с целью получения денежных средств. ПИН-код держателя может быть подсмотрен при использовании карты в банкомате или торговом предприятии. Особенно опасно вводить ПИН-код в торгово-сервисных предприятиях, так как при его введении нормальной является ситуация, что в кассу стоит очередь и за спиной держателя находится человек, который видит, как вводится ПИН-код. Помимо этого, недобросовестный владелец или сотрудник магазина может оборудовать место установки ПОС или кассового терминала скрытой системой видеонаблюдения. Подглядывание ПИН-кода может быть особенно опасно, если банк-эмитент предоставляет держателям карт возможность изменить ПИН-код и держатель установил одинаковый ПИН-код ко всем своим картам (чтобы легче запомнить). В этом случае компрометация такого ПИН-кода может привести к хищению денежных средств со всех карт. Иногда держатели карт сталкиваются с так называемым дружественным мошенничеством: член семьи, близкий друг, коллега по работе и т. п. берет карту втайне от законного владельца и, зная ПИН-код, получает деньги в банкомате. На банкоматах также могут устанавливаться различные ловушки, предназначенные либо для захвата карты, либо для захвата наличных денежных средств. При захвате карты обычно злоумышленник «помогает» держателю с целью узнать еще и ПИН-код. Такой «доброжелатель» может похитить у держателя карту и без каких-либо устройств, а просто отвлекая держателя в момент, когда карта выходит из банкомата.
В последнее время большое распространение получил обман держателей карт с использованием средств мобильной связи. Обычно клиент получает на телефон SMS-сообщение, что по какой-то причине его карта заблокирована, дополнительную информацию можно получить по указанному телефону. Характерной особенностью таких сообщений является отсутствие в них реквизитов карт, хотя банки всегда указывают последние цифры номера карты держателя. Так как у одного держателя может быть несколько карт и карты могут быть разных банков, в сообщении необходимо явно указать, о какой карте идет речь. Но мошенники не знают номера карты, а зачастую и банка-эмитента. Банк можно угадать, например Сбербанк — крупнейший эмитент. В остальном расчет злоумышленников строится на методах социальной инженерии. При звонке держателя (номер телефона, конечно же, не совпадает с контактными телефонами банка, указанными на оборотной стороне карты) держатель должен пройти процедуру идентификации, при этом разглашается номер карты и другая критичная информация (срок действия, кодовое слово, последняя легитимная операция). После этого может быть несколько вариантов действий мошенников. Используя полученную конфиденциальную информацию, они могут перезвонить в банк-эмитент и, выдав себя за держателя, либо изменить какие-либо данные, например номер мобильного телефона, либо получить какие-то дополнительные сведения. Другой вариант действий — держателю сообщают, что по его карте прошли какие-то операции, например оплата нескольких мобильных телефонов, «банк» (мошенники) посчитал их подозрительными и просит держателя подтвердить их легитимность. Так как держатель никаких операций не совершал, то просит их отменить. Для этого мошенники просят держателя пройти к банкомату и выполнить операции отмены оплаты мобильных телефонов. На самом деле держатель, инструктируемый «злодеями», не отменяет операции, а своими собственными руками осуществляет перечисление денежных средств на чужие телефоны. Указанная схема используется и при незаконных интернет-операциях, когда банк для их подтверждения высылает держателю одноразовые пароли с использованием SMS. В этом случае в качестве легенды по отмене несанкционированных операций у держателя запрашивают данные коды и, получив их, проводят интернет-операции.
Для получения данных кодов мошенники пытаются перехватить высылаемые банками SMS-сообщения. Это возможно упоминавшимся уже способом получения персональных данных держателя с последующим изменением номера телефона в банке. Также мошенники могут изготовить поддельную доверенность и обратиться в представительство оператора мобильной связи с заявлением об утрате телефона и просьбой выдать новую SIM-карту со старым номером. В этом случае старая SIM-карта у держателя перестает работать, а все SMS-пароли банк высылает на телефон, находящийся у злоумышленников. Для борьбы с таким мошенничеством некоторые банки контролируют процесс смены SIM-карт. Особенно уязвимы мобильные телефоны, а вмести с ними и мобильный банкинг или его элементы, стали с распространением смартфонов, особенно с операционной системой Android. Разработано множество вариантов вредоносного программного обеспечения, направленного и на хищение SMS-паролей, которые не показываются держателю (так же как не показываются и другие сообщения от банка, например об операциях оплаты), и на полный контроль работы мобильного телефона — возможность получать сообщения и формировать команды (сообщения). До появления каких-либо новых технологических решений для телефонов, особенно с операционной системой Android, использование мобильного банка достаточно рискованно.
Приведем некоторые меры безопасности, которые необходимо соблюдать держателям карт с целью не допустить несанкционированных операций по своим картам.
7.2.4. Общие рекомендации для держателей карт по мерам безопасности
Платежные карты являются средством доступа к денежным средствам, находящимся на вашем банковском счете, поэтому отношение к их использованию и хранению должно быть аналогично отношению к наличным денежным средствам. Чтобы использование платежных карт было удобным и приятным, а ваши денежные средства оставались в сохранности, просим вас обратить внимание на следующие простые правила и рекомендации.
1. Храните карту вне доступа третьих лиц, не передавайте карту и (или) не сообщайте ее реквизиты (номер, срок действия, код безопасности на полосе для подписи) третьим лицам, кроме случаев, когда это требуется в процессе оплаты товаров/услуг.
2. Проявляйте аккуратность при хранении и вводе ПИН-кода (не храните записанным вместе с платежной картой). Помните о том, что ответственность за операции, совершенные с использованием ПИН-кода, возлагается на клиента.
3. Будьте бдительны при получении электронных писем или SMS-сообщений якобы от имени банка (например, о блокировке карты или каких-либо платежах), особенно если они содержат ссылки или номера телефонов для связи, отличные от телефонов на оборотной стороне вашей карты. Ссылки в электронных письмах могут вести на мошеннический сайт. Не сообщайте никакой информации о себе и ваших картах позвонившим лицам. При возникновении подозрений звоните в банк по телефонам «горячей линии». Помните о том, что информация о коде безопасности карты (CVC2/CW2), ПИН-коде, а также о паролях/кодах на проведение/отмену операций никогда не запрашивается сотрудниками банка.
4. Используйте услугу SMS-информирования для контроля операций по своим банковским картам, а также возможности мобильного банка для управления суточными лимитами. Оперативное получение SMS-уведомлений по операциям с вашей платежной картой и возможность моментальной самостоятельной блокировки платежной карты без телефонного звонка в банк позволит вам своевременно отреагировать на несанкционированный доступ к карточному счету.
5. При совершении операций с использованием платежных карт в торгово-сервисных предприятиях или банкоматах таких стран, как Украина, Таиланд, США, Бразилия, Турция существует высокая вероятность того, что данные карты и ПИН-код станут доступны мошенникам без ведома держателя карты. Поэтому после посещения этих стран рекомендуется по возможности установить необходимый вам суточный лимит расходования по карте. Использование возможностей системы мобильного банка позволят вам повысить суточный лимит / разблокировать банковскую карту перед проведением операций и понизить лимит / блокировать карту сразу же после совершения операции или при возвращении из страны пребывания. В целях снижения риска потерь рекомендуется установление удобного вам суточного лимита расходов по всем вашим картам, в том числе при использовании их на территории Российской Федерации.
6. Защиту карты от подделки обеспечивает наличие на карте встроенного чипа. Обслуживание в торговых предприятиях платежных карт с использованием чипа обеспечивает должный уровень безопасности.
7. Если банк предоставляет возможность самостоятельного выбора регионов обслуживания и видов операций, разрешенных для вашей платежной карты, рекомендуется ограничить платежную карту использованием только в регионе пребывания и менять настройки в соответствии с планируемыми поездками.
8. Защита от мошенничества по реквизитам платежной карты (в сети Интернет) обеспечивается подключением платежной карты к сервису проведения дополнительной аутентификации платежей по технологии 3D Secure при операциях на сайтах с логотипами Verified By Visa/MasterCard SecureCode (защищенные сайты). Платежи на таких сайтах требуют дополнительной верификации держателя карты со стороны эмитента, например введения одноразового пароля, направляемого в момент операции на номер мобильного телефона. Поскольку кража реквизитов платежной карты возможна не только через Интернет, данный сервис служит вам независимо от того, используете ли вы свою карту в Интернете.
9. Не реже раза в месяц получайте выписку по вашим карточным счетам в отделении банка или оформите заявление о ежемесячном предоставлении ее вам по электронной почте. Из-за специфики проведения расчетов через платежные системы только из выписки можно почерпнуть полную информацию о движениях по счету.
10. Для звонков в банк используйте только телефоны горячей линии банка, указанные на оборотной стороне карты и на официальном сайте банка.
11. Не отключайте без необходимости телефон, на который должны приходить сообщения об операциях! При смене номера мобильного телефона не забудьте незамедлительно уведомить об этом банк.
Услуги с использованием мобильной связи для защиты ваших средств предоставляют следующие основные возможности:
1. Получение SMS-уведомлений:
— об авторизованных операциях по счету платежной карты (авторизованные операции — операции, осуществляемые с проверкой текущего платежного лимита и статуса проверяемой карты);
— об увеличении платежного лимита карты, в том числе зачисление денежных средств на счет карты;
— о запросе через банкоматы / устройства самообслуживания информации о доступной сумме платежного лимита;
— о приостановке/возобновлении действия платежной карты;
— о неуспешной операции по платежной карте.
2. Направление запросов (и получение информации о результате их обработки) для:
— установки по запросу держателя карты суточного/месячного расходного лимита по платежной карте;
— временного приостановления проведения авторизуемых операций по счету платежной карты;
— возобновления возможности проведения авторизуемых операций по счету платежной карты.
3. Подключение сервисов возможно в отделении банка или его банкоматах.
4. Для наиболее полного использования всех возможностей сервисов разработаны специальные приложения для сотовых телефонов.
7.2.5. Особенности обслуживания карт в отдельных странах
Для повышения безопасности использования платежных карт банк может использовать систему мониторинга, учитывающую характерные признаки мошенничества, выявленные в ходе анализа других случаев мошенничества или по информации от международных платежных систем.
Таким образом, в ходе проведения тех или иных операций с использованием платежных карт системой мониторинга банка в динамическом режиме могут накладываться ограничения, если проводимая операция распознается системой как подозрительная. Особенное внимание уделяется операциям с использованием платежных карт в рисковых странах и регионах, таких как США, Латинская Америка или Юго-Восточная Азия, в силу того что в данных регионах не распространены защищенные чиповые технологии, часто фиксируются факты компрометации платежных карт и ПИН-кодов при проведении операций в банкоматах (особенно характерно для Таиланда) и торговых предприятиях. Установленные системой мониторинга банка геоограничения могут изменяться держателем платежной карты самостоятельно, а также при обращении по телефонам круглосуточной службы поддержки держателей платежных карт.
В целях минимизации неудобств при пользовании платежной картой рекомендуется информировать банк о сроках своего пребывания в перечисленных рисковых регионах.
Для обеспечения максимальной защиты от мошенничества платежные карты могут выпускаться с предустановленными ограничениями по операциям покупки и снятия наличных в рисковых регионах.
США. В отличие от большинства других стран, в США платежные карты обслуживаются преимущественно по магнитной полосе. Терминалы и банкоматы, способные обслуживать платежные карты по чипу, на текущий момент остаются редкостью. Таким образом, чип как основной элемент защиты против мошенничества по поддельным платежным картам практически не работает в США, что приводит к увеличению рисков проведения по платежной карте мошеннических операций.
В связи с резким увеличением в настоящее время мошеннической активности на территории США и в целях обеспечения безопасности денежных средств возможны ограничения на операции в данном регионе. В целях минимизации неудобств при пользовании картой рекомендуется информировать банк о сроках своего пребывания в США.
Страны Юго-Восточной Азии. В связи с большим количеством зафиксированных случаев компрометации платежных карт (совместно с ПИН-кодом) при пользовании банкоматами на территории Таиланда, учитывая географию последующих несанкционированных операций, системой мониторинга банка могут блокироваться карты при попытках снятий в банкоматах на территории ряда стран Юго-Восточной Азии. В связи с вышеизложенным, в целях минимизации неудобств при пользовании платежной картой рекомендуется информировать банк о сроках своего пребывания в данном регионе.
Турция. Одним из наиболее распространенных способов компрометации платежных карт (совместно с ПИН-кодом) на территории Турции является перехват данных платежной карты и ПИНа при совершении операций, связанных с получением наличных денежных средств в терминалах. По этой причине не рекомендуется пользоваться услугами таких пунктов, если они не располагаются непосредственно при каком-либо банке.
7.2.6. О мерах безопасности при использовании банкоматов
1. Старайтесь пользоваться одними и теми же банкоматами, которые вам хорошо известны.
2. В случае необходимости использовать новый банкомат, выбирайте хорошо освещенный и установленный в удобном месте.
3. Прежде чем подойти к банкомату, осмотрите окружающее пространство. В случае нахождения поблизости подозрительных людей воспользуйтесь другим банкоматом.
4. Перед тем как подойти к банкомату, достаньте свою карточку и держите ее в руках. Не открывайте бумажник, кошелек, сумку, барсетку непосредственно около банкомата или в очереди к нему.
5. Перед использованием банкомата осмотрите его внешний вид. Если вы обнаружите наличие каких-либо посторонних изделий, предметов, проводов, следов конструктивных изменений, воспользуйтесь другим банкоматом.
6. Будьте особенно осторожны, если кто-то посторонний предлагает вам около банкомата помощь, даже если у вас застряла карточка или возникли проблемы с проведением операции. Не набирайте ПИН-код на виду у «помощника», не позволяйте себя отвлечь, так как в этот момент мошенники могут забрать из банкомата вашу карточку или выданные денежные средства.
7. Если у банкомата за вами находится очередь, убедитесь, что никто не может увидеть ваш ПИН-код.
8. При вводе ПИН-кода находитесь как можно ближе к банкомату, вводите ПИН-код средним пальцем руки (при этом, ладонь руки оказывается раскрытой и злоумышленнику гораздо сложнее увидеть, какие кнопки вы нажимаете), по возможности второй рукой закрывайте клавиатуру от постороннего обзора.
9. Вводите ПИН-код только после того, как банкомат попросит вас об этом.
10. Не применяйте физическую силу, чтобы вставить карточку в банкомат.
11. Всегда сохраняйте все распечатанные банкоматом квитанции.
12. Если вам кажется, что банкомат работает неправильно, нажните кнопку «отмена», заберите свою карточку и воспользуйтесь другим банкоматом. Если проблемы возникли после момента ввода запрошенной суммы, не отходите от банкомата до тех пор, пока не убедитесь в завершении операции, отказе в выдаче или в появлении на экране приглашения провести новую операцию.
13. После получения денежных средств положите наличность и карточку в бумажник, кошелек, сумку и т. п. и только после этого отходите от банкомата.
14. Запомните свой ПИН-код. Если вы его запишете, всегда будет вероятность, что кто-нибудь сможет его узнать.
15. Никогда и ни при каких обстоятельствах не сообщайте никому свой ПИН-код, в том числе родственникам, знакомым, сотрудникам банка или правоохранительных органов.
16. Установите ежедневный лимит снятия денежных средств. Если вам понадобится снять сумму, превышающую разрешенную, можно на время повысить или совсем снять лимит.
17. Подключитесь к системе информирования об операциях по карточке по мобильному телефону при помощи SMS-сообщений. Это позволит не только сразу же узнать о несанкционированной вами операции по карте, но и сразу же ее заблокировать.
18. Ежемесячно получайте и проверяйте выписки по вашему карточному счету.
19. Относитесь к хранению карточки так же, как вы относитесь к наличным денежным средствам.
20. При пользовании карточкой в торговых предприятиях, следите, чтобы карточка не исчезала из вашего поля зрения. При необходимости ввести ПИН-код закройте клавиатуру рукой так, чтобы ни продавец, ни находящиеся рядом с вами клиенты не видели введенных цифр. Если кто-то увидит ваш ПИН-код, после этого карточку могут украсть и быстро снять все денежные средства в банкомате. Не вводите ПИН-код для выдачи наличных в местах, не обозначенных как пункт выдачи наличных какого-либо (желательно знакомого вам по названию) банка.
21. Запишите и всегда храните с собой, но отдельно от карточки, номер вашей карты, номер телефона вашего банка, кодовое слово, по которому банк аутентифицирует вас как законного держателя. Эта информация будет необходима вам в случае возникновения каких-либо проблем с карточкой (например, в случае ее утраты).
22. Если в результате какой-либо подозрительной ситуации вам показалось, что ваш ПИН-код стал известен посторонним людям, обратитесь в банк для блокировки и перевыпуска карты или поменяйте ПИН-код, если банк разрешает это.
7.2.7. Мероприятия по уменьшению банкоматных эмиссионных потерь
1. 100 % эмиссия карт EMV.
2. На регионы, не входящие в liability shift program, по умолчанию для всех карт с использованием фильтров на страны устанавливаются нулевые лимиты.
3. Все карты делятся на две группы:
а) нулевой лимит на страну, не входящую в liability shift program, может подниматься держателем самостоятельно либо банком (по распоряжению клиента) на определенный период времени (планируемое время пребывания);
б) карта устанавливается в список исключений (VIP, характер работы и др.), лимит на страну не устанавливается, банк определяет суточный лимит, который держатель может самостоятельно изменить в любое время.
4. Операции из стран, не входящих в liability shift program, имеют приоритетный статус в системе фрод-мониторинга.
5. Ужесточение правил фрод-мониторинга для стран, не входящих в liability shift program.
6. Для стран, входящих в liability shift program, смягчение правил фрод-мониторинга и отказ от отдельных правил.
7. Обучение держателей карт, снижение «человеческого фактора».
8. SMS-информирование держателей и управление счетом (лимиты, блокирование).
9. Запрет возможности выбора ПИН-кода держателем.
10. Генерация случайного ПИН-кода.
11. Контроль HSM слабого ПИН-кода при генерации.
12. Проверка ПИН-кода методом PW.
13. Проверка ПИН-кода по PW, записанному на магнитную полосу, а не по базе (исключает фишинг для ATM).
14. При записи образа магнитной полосы в ЧИП использование iCW.
15. Страхование эмиссионных рисков (несанкционированные операции по платежным картам).
7.2.8. Мероприятия по уменьшению банкоматных эквайринговых потерь
1. 100 % EMV-миграция.
2. При выборе места установки банкоматов учитываются вопросы безопасности.
3. Наличие зоны безопасности перед банкоматом.
4. Установка активных антискимминговых устройств — функция обнаружения и подавления.
5. Контроль со стороны работников банка (техников, инкассаторов) установки скимминговых устройств.
6. Криптографическая безопасность (3DES, MAC, VPN, Remote Key Management).
7. Использование ЕРР-клавиатур, сертифицированных по стандарту PIN Transaction Security Devices PCI.
8. Наличие систем видеозаписи.
9. Изображение передней панели банкомата на экранной заставке.
10. Подключение устройства jitter (джеттер).
11. Использование кассет с функцией окрашивания купюр.
12. Использование систем охранной сигнализации, контроля доступа к банкомату (в сервисную зону, сейф).
13. Использования «уникального» ключа для доступа к верхнему кабинету банкомата.
14. Использование прикладного программного обеспечения, сертифицированного по стандарту PA-DSS.
15. ПО контроля целостности — проактивная защита от вредоносных программ, «белый» список приложений.
16. Безопасное конфигурирование системного блока ATM:
— загрузка только с жесткого диска;
— отключить загрузку со съемных носителей, включая автозапуск;
— включить пароль на BIOS;
— использовать пароль на учетную запись администратора в Windows;
— сменить пароль по умолчанию на прикладное программное обеспечение банкомата;
— при подключении банкоматов через публичные сети использовать межсетевые экраны и шифрование каналов связи (SSL, VPN);
— удалите неиспользуемые службы и приложения;
— политика обновлений программного обеспечения (по согласованию с вендором);
— приложения работают под «рабочей» учетной записью с минимальными полномочиями.
17. Страхование банкоматов и наличности.
Примечания
1
См. подробнее: Чиханчин Ю.А. Международное сотрудничество в сфере борьбы с легализацией доходов, полученных преступным путем, и финансированием терроризма как фактор укрепления глобальной и региональной безопасности // Финансовая безопасность. № 1. Июнь 2013 г.
(обратно)2
Из выступления Председателя Банка России Э.С. Набиуллиной на конференции «Актуальные вопросы реализации государственной политики в сфере противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» 18 декабря 2013 г. (http://cbr.ru/pw.aspx?file = /press/press_centre/Nabiullina_18122013. htm).
(обратно)3
Уголовный кодекс США содержит больше 100 статей, нарушение которых относится к категории преступлений, связанных с отмыванием денег. Эти преступления охватывают области деятельности от торговли наркотиками и финансового мошенничества до похищения и шпионажа. В Уголовном кодексе Российской Федерации подобных статей значительно меньше.
(обратно)4
При использовании обратной ссуды преступник вкладывает деньги в офшорное предприятие, находящееся под его тайным контролем, а затем «ссужает» сам себе сумму вложенных им средств. Этот технический прием срабатывает, поскольку в некоторых странах трудно определить, кто на самом деле контролирует счета.
(обратно)5
Двойное выставлении счет-фактуры. Это мошенническая уловка ввоза (или вывоза) средств в ту или иную страну, где одно из офшорных предприятий ведет двойную бухгалтерию. Чтобы ввезти «чистые» деньги в другое государство, некое предприятие в стране назначает завышенную цену на определенный товар или услугу. Для вывоза средств (например, чтобы избежать уплаты налогов) предприятию выставляется завышенная счет-фактура.
(обратно)6
Например, 44 фунта (примерно 20 кг) кокаина стоят около $1 млн. Вес наличности суммой $1 млн равен 256 фунтам (примерно 116 кг). Наличность почти в шесть раз превышает вес наркотиков.
(обратно)7
По данным Российского отделения ЮС, во II квартале текущего года было поставлено около 1 960 000 планшетов, что, по оценкам ЮС, более чем вдвое превосходит аналогичный прошлогодний показатель (см. подробнее: Колесов А. Российский компьютерный рынок как отражение экономической ситуации/PC Week/RE. № 20. 20 августа 2013 г.).
(обратно)8
Управление по борьбе с финансовыми преступлениями (Financial Crimes Enforcement Network — FinCEN) было создано в 1990 г. Основная задача — содействие правоохранительным органам СИТА в борьбе с легализацией доходов от криминальной деятельности как на национальном, так и на международном уровне.
(обратно)9
Международная организация Financial Action Task Force (FATF), созданная в 1989 г. странами «Большой семерки». Сейчас в ФАТФ входит более 30 государств. Российская Федерация является членом ФАТФ с июня 2003 г. 30 июня 2013 г. Норвегия передала России председательство в этой организации. Утверждение российской заявки на 2013–2014 гг. означало, что Россия находилась на хорошем счету и имела высокий рейтинг своей антиотмывочной системы. Через год в права председателя вступила Австралия.
(обратно)10
Серийный платеж относится к прямой последовательной цепочке оплаты, когда электронный перевод и сопровождающее его сообщение о платеже поступают вместе от отправляющего финансового учреждения к получающему финансовому учреждению непосредственно или через одно или более транзитных финансовых учреждений, например банки-корреспонденты (Рекомендации ФАТФ. Международные стандарты по противодействию отмыванию денег, финансированию терроризма и финансированию распространения оружия массового уничтожения / Пер. с англ. — М.: Вече, 2012.— С. 110).
(обратно)11
Платеж с маршрутной инструкцией относится к электронному переводу, который объединяет сообщение о платеже, направленное непосредственно отправляющим финансовым учреждением в получающее финансовое учреждение, с маршрутной инструкцией финансирования (сопровождение) от отправляющего финансового учреждения в получающее финансовое учреждение через одно или более транзитных финансовых учреждений (там же. С. 109).
(обратно)12
См. подробнее: Королев В. Загадки 11 сентября. Почему упали башни? — М.: Вече, 2007 и Кузнецов Д. События 11 сентября 2001 года и проблема международного терроризма в зеркале общественного мнения. — М.: URSS, 2009.
(обратно)13
В 2001 г. Европарламент ввел требование обязательной идентификации клиентов, которое распространяется на операции, превышающие €150000.
(обратно)14
RAND (англ. РЭНД — аббревиатура от Research and Development — «Исследования и разработка») — американский стратегический исследовательский центр. Является некоммерческой организацией.
(обратно)15
Сайт платежной системы Liberty Reserve прекратил работу 24 мая 2013 г. Одновременно в Испании был арестован глава компании Артур Будовский, также известный как Артур Беланчук и Эрик Палц, а также финансовый менеджер платежной системы Аззедин эль-Амин. В тот же день в нью-йоркском Бруклине взяли под стражу бывшего совладельца Liberty Владимира Каца и программиста Марка Мармилева. Еще один технический сотрудник проекта, Максим Чухарев, был арестован в Коста-Рике. Двое подозреваемых, Ахмед Яссин Абдельгани и Аллан Эстебан Идальго Хименес, по-прежнему находятся в розыске. Кроме того, были закрыты еще пять сайтов и арестованы 45 принадлежавших владельцам платежной системы счетов в банках США. На них хранилось $25 млн.
(обратно)16
См. подробнее: Панов А. Джо Фальшивый может украсть все // Новая газета. № 58. 31 мая 2013 г.
(обратно)17
См. подробнее: Петрова С. Любимый банк криминального мира // Ведомости. № 129. 22 июля 2013 г.
(обратно)18
По данным А. Комарова, аттестат вместе с SIM-картой (у WebMoney транзакция подтверждается SMS) и сканом паспорта стоит обычно $150–400.
(обратно)19
HYIP (High Yield Investment Program) — мошеннические проекты, похожие на инвестиционные фонды с высокой доходностью. В основном online-проекты, которые работают с электронными валютами.
(обратно)20
См. подробнее: «Криптовалютчики под колпаком» // Коммерсант-Деньги. № 27. 15 июля 2013 г.
(обратно)21
Достов В.Л., Шуст П.М., Валинурова А. А., Пухов А. В. Электронные финансы. Мифы и реальность. — М.: КНОРУС: ЦИПСиР, 2012. — С. 133.
(обратно)22
Другие фигуранты дела отделались аналогичными наказаниями.
(обратно)23
См. подробнее: Бочкарева Т. Виртуальная прачечная // Ведомости. № 093. 30 мая 2013 г.
(обратно)24
К таковым преступлениям относятся: уклонение от уплаты налогов (но не налоговая оптимизация), незаконное обогащение с использованием инсайдерской информации, отмывание денег и пр.
(обратно)25
Однако банковская тайна может быть раскрыта ее носителем в судебном порядке.
(обратно)26
В соответствии со статьей 23 он подчиняется Федеральной полиции.
(обратно)27
Организованная преступная группировка — участие лица в организации, структура и состав участников которой содержатся в тайне и целью деятельности которой является совершение преступлений с применением насилия или охраны преступно нажитого имущества.
(обратно)28
Отмывание денег — совершение лицом действий по сокрытию источников приобретения, способов отчуждения и иных сделок с имуществом, полученным в результате совершения фелонии, о чем он знал или должен был знать.
(обратно)29
Уведомление также необходимо направлять и в случае прекращения деловых переговоров в связи с подозрениями в совершении клиентом вышеуказанных действий.
(обратно)30
Фелония (англ, felony) — понятие в праве, означающее преступление.
(обратно)31
См. подробнее, например, статьи: Пономарев А. Цюрих, откройся! // Национальный банковский журнал. № 9. Сентябрь 2009 г.; Саркисянц А. Европейские банки: перспективы развития на фоне кризиса // Бухгалтерия и банки. № 4. Апрель 2009 г. и др.
(обратно)32
Типовая модель конвенции Организации экономического сотрудничества и развития (ОЭСР) представляет собой проект двустороннего налогового соглашения из 30 статей, который в большинстве случаев используется как базовый документ для подготовки и начала переговоров между заинтересованными государствами и не является для них строго обязательным.
(обратно)33
Международное и зарубежное финансовое регулирование: институты, сделки, инфраструктура: Монография / Под ред. А.В. Шамраева: в 2 ч. Ч. 2. — М.: КНОРУС; ЦИПСиР, 2014. — С. 287–292.
(обратно)34
Лямин Л.В. Применение технологий электронного банкинга: рискориентированный подход. — М., КНОРУС; ЦИПСиР, 2011.
(обратно)35
Financial Crimes Enforcement Network (Сеть для противодействия финансовым преступлениям — специальное бюро в Казначействе СИТА).
(обратно)36
Насколько известно автору, проект соответствующего федерального закона был разработан еще в 2000 г. и «хранится» в Государственной думе, однако дальше дело, похоже, так и не пошло, тогда как во многих цивилизованных странах законодательные акты такого рода работают давно и успешно.
(обратно)37
В терминологии Письма Банка России от 23.06.2004 № 70-Т «О типичных банковских рисках».
(обратно)38
В данном случае используется терминология, отличающаяся от общепринятой в соответствующей отечественной литературе, поскольку речь далее идет о возникновении новых угроз надежности банковской деятельности с точки зрения анализа возможного вмешательства в нее преступных элементов, о чем необходимо иметь отчетливое представление руководителям и персоналу высокотехнологичных кредитных организаций, а также их клиентам. Как следствие, возникают новые составляющие типичных банковских рисков, связанные с противоправной деятельностью, из-за которых смещаются их профили и повышаются уровни.
(обратно)39
Здесь, к слову, можно отметить, что использование понятия «банковская автоматизированная система» в отличие от часто встречающейся в литературе аббревиатуры АБС (автоматизированная банковская система) представляется предпочтительным, имея в виду именно назначение автоматизированных систем в банках, с учетом того, что понятие «банковская система» определено в Федеральном законе «О банках и банковской деятельности», но представлять ее автоматизированной до настоящего времени затруднительно.
(обратно)40
Этой проблематике Банк России посвятил письмо от 24.03.2014 № 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности».
(обратно)41
Под информационными сечениями в данном случае понимаются те места в компьютерных системах (в том числе сетевых, распределенных), через которые потоки данных передаются из одной системы или подсистемы в другую, либо претерпевают какие-либо преобразования.
(обратно)42
Речь в данном случае идет о двойном независимом параллельном контроле.
(обратно)43
К сожалению, нельзя сказать, что описанный подход до настоящего времени является общепринятым в российском банковском секторе.
(обратно)44
Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С. 37–54.
(обратно)45
Этот риск в отечественной литературе известен также как риск потери деловой репутации, но в данном контексте используется международная терминология.
(обратно)46
Например, Положения Банка России от 29.08.2008 № 321-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма”», от 02.03.2012 № 375-П «О требованиях к правилам внутреннего контроля кредитной организации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и др.
(обратно)47
Международные стандарты по противодействию отмыванию денег, финансированию терроризма и финансированию распространения оружия массового уничтожения / Пер. с англ. — М.: Вече, 2012.
(обратно)48
«Due diligence and transparency regarding cover payment messages related to cross-border wire transfers», Basel Committee on Banking Supervision, Bank of International Settlements (BIS), Basel, May 2009.
(обратно)49
“Consolidated KYC Risk Management”, Basel Committee on Banking Supervision, Basel, BIS, Oct. 2004.
(обратно)50
Данный вид риска в цитируемой работе не поясняется, но из контекста можно понять, что речь идет о связанных операциях, совершаемых либо одним клиентом через разные филиалы банка, либо группой связанных какими-либо отношениями лиц.
(обратно)51
Certified Fraud Examiner.
(обратно)52
Ковасич Дж. Л. Противодействие мошенничеству. Как разработать и реализовать программу мероприятий. — М.: Маросейка, 2010.
(обратно)53
По материалам книги A.J. Marcella, Jr., D. Menendez “Cyber Forensics”, 2nd ed., Auerbach Publications, Taylor & Francis Group, Boca Raton, FL, USA, 2008.
(обратно)54
При наиболее общем подходе понятие «пользователь» охватывает всех участников ИКБД как в банке, так и вне его, то есть и операционистов, и операторов, и администраторов (системных, сетевых, баз данных, информационной безопасности и т. п.), а также клиентов ДБО.
(обратно)55
Абигнейл Ф.У. Поймай его, если сможешь, или он поймает тебя. — М.: Поколение, 2007.
(обратно)56
В зарубежной практике риск-ориентированного банковского надзора в области ДБО рассматриваются все банковские риски (хотя их полный состав варьируется в зависимости от идеологии надзора, принятой конкретным федеральным ведомством), поскольку в некоторых странах допускается более «демократичный» подход к регламентации банковской деятельности, обеспечивающей организационно-финансовые потребности бизнеса: в ряде случаев можно дистанционно открывать банковские счета, оформлять кредиты и т. п.
(обратно)57
В данном случае используется нетипичная терминология, обусловленная акцентом на возникновении новых угроз надежности банковской деятельности, проявляющихся в уровнях и профилях типичных банковских рисков.
(обратно)58
В последующих определениях используется понятие «кредитная организация» более широкое, чем «банк», поскольку они касаются и небанковских организаций.
(обратно)59
В данном случае имеется в виду то, что традиционное понятие «ликвидность» обретает новое смысловое содержание с точки зрения выполнения банками своих финансовых обязательств.
(обратно)60
Так называемого в общем случае класса вредоносного кода malicious ware или, сокращенно, malware.
(обратно)61
Virtual Private Network — VPN.
(обратно)62
Ковасич Дж. Л. Противодействие мошенничеству. Как разработать и реализовать программу мероприятий. — М.: Маросейка, 2010.
(обратно)63
Атака типа «распределенный отказ в обслуживании».
(обратно)64
Оценка автора (Л. Лямина) по данным литературы и собственных исследований, хотя встречаются и оценки в 90 %.
(обратно)65
Банк России в сообщениях такого рода упоминается часто, видимо, «для солидности».
(обратно)66
По командам злоумышленника клиент собственноручно переводит деньги на его счет.
(обратно)67
На дисплее клиента появляется изображение с веб-сайта-муляжа, практически идентичное настоящему диалоговому окну с веб-сайта банка, после ввода пароля происходит хищение денежных средств.
(обратно)68
На самом деле для кнопки «Отмена» в апплете запрограммирована команда подтверждения ввода, но клиент реагирует на само слово, полагая как раз, что ничего негативного не произойдет.
(обратно)69
Детальный анализ карточных мошенничеств здесь не проводится, поскольку существует полноценная литература по данной проблематике, см., например: «Безопасность карточного бизнеса. Бизнес-энциклопедия» (разделы 1 и 3). — М.: МФПА; ЦИПСиР, 2012.
(обратно)70
От англ, call-center — центр телефонного обслуживания, центр обработки вызовов.
(обратно)71
От англ, shim — тонкая прокладка, прослойка.
(обратно)72
Автоматическая переориентация клиента, который намерен зайти на официальный веб-сайт кредитной организации, с помощью атаки на сервер доменных имен или веб-сайты, которые посещают клиенты; в этом случае активно атакуются автоматизированные системы провайдеров.
(обратно)73
Trojan — от «троянского коня» из мифов Древней Греции.
(обратно)74
Разработка таких «предупреждений» продолжается и в настоящее время.
(обратно)75
Кстати говоря, за счет анализа данных такого рода была успешно раскрыта и пресечена деятельность целого ряда преступных групп, занимавшихся ППД, сходной с приведенными выше примерами.
(обратно)76
R. Cascarino, “Auditor’s guide to information systems auditing”, John Wiley & Sons, Inc., Hoboken, New-Jersey, USA, 2007.
(обратно)77
Лямин Л.В. Управление рисками в условиях применения электронного банкинга // Управление в кредитной организации. 2010. № 2. С. 82–92.
(обратно)78
Sniffers (от англ, to sniff — нюхать, чуять).
(обратно)79
Лямин Л.В. Корпоративное управление сетевой защитой // Управление в кредитной организации. 2012. № 3. С. 57–67.
(обратно)80
Кстати сказать, в соответствии с тем или иным федеральным законом, регламентирующим финансовую или, в частности, банковскую деятельность.
(обратно)81
В этом случае требуется если не посещение представителями обслуживаемой организации субконтрактора, то как минимум изучение содержания договора основного провайдера с ним на предмет соответствия политике аутсорсинга, принятой в организации-заказчике.
(обратно)82
Federal Deposit Insurance Corporation — FDIC.
(обратно)83
Следует отметить, что в договорных документах на ДБО российских банков такие гарантии встречаются крайне редко.
(обратно)84
Это несколько видоизмененная схема, приведенная в цитировавшейся выше книге ДжЛ. Ковасича.
(обратно)85
“The relationship between banking supervisors and banks’ external auditors”, Basel Committee on Banking Supervision, Basel, BIS, Jan 2002.
(обратно)86
Лямин Л.В. Специфика организации внутреннего контроля в условиях электронного банкинга // Внутренний контроль в кредитной организации. 2013. № 2. С. 46–53.
(обратно)87
По имеющейся у автора информации, их пока еще менее 400 на всю страну.
(обратно)88
Компьютерное мошенничество. Битва байтов / Под ред. Д.Т. Уэллса. — М.: Маросейка, 2010.
(обратно)89
Лямин Л.В. Особенности управления финансовым мониторингом в условиях электронного банкинга // Банковское дело. 2011. № 1. С. 70–74; № 2. С. 70–74.
(обратно)90
От англ, anti-fraud, anti-drop и т. п.
(обратно)91
Следует отметить, что в договорных документах на ДБО конфликтные и согласительные комиссии упоминаются часто, однако, как правило, чисто формально, без описания условий их деятельности и того, чего будут стоить их экспертные заключения в судебных разбирательствах.
(обратно)92
Лямин Л.В. Особенности претензионной работы при электронном банкинге // Банковское дело. 2012. № 11. С. 46–50.
(обратно)93
Personal Digital Assistant — личный цифровой помощник, своего рода микрокомпьютер.
(обратно)94
В случаях расследования компьютерных преступлений ее и взять-то зачастую оказывается больше неоткуда.
(обратно)95
Его содержание уместно трактовать в отношении всех ТЭБ, а не только технологии интернет-банкинга, фигурирующей в названии данного документа, — это несложно, причем без потери общности содержания данного документа Банка России, поскольку он носит общий характер и может быть использован в приложении к любой ТЭБ.
(обратно)96
Это тем более справедливо при большом количестве клиентов банка, в случаях применения технологий «хранилищ данных» и углубленного анализа данных, а также разработки моделей угроз, составления шаблонов или образов (patterns) действий клиентов, мошеннических действий, сетевых и вирусных атак и т. д.
(обратно)97
См. также: Лямин Л.В. Новые аспекты корпоративного управления в условиях использования электронного банкинга // Управление в кредитной организации. 2012. № 3. С. 40–52.
(обратно)98
Положение ЦБ РФ от 24.12.2004 № 266-П «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт» // Вестник Банка России. № 17. 30.03.2005.
(обратно)99
Малый энциклопедический словарь: В 4 т. Т. 3 / Репринтное воспроизведение издания Брокгауза-Ефрона. — М.: Терра, 1997.
(обратно)100
Тихомирова Л. В., Тихомиров М.Ю. Юридическая энциклопедия. Издание 5-е, доп. и перераб. / Под ред. М.Ю. Тихомирова. — М.: 2001.
(обратно)101
Там же.
(обратно)102
Там же.
(обратно)103
Уголовное право Российской Федерации. Общая и Особенная части / Под ред. А.И. Чучаева. — М.: Контракт; Инфра-М, 2013.
(обратно)104
Ландсберг Г.С. Элементарный учебник физики. Т. 2. Электричество и магнетизм. — М.: Наука, 1985.
(обратно)105
Уголовное право Российской Федерации. Общая и Особенная части: Учебник / Под ред. А.И. Чучаева. — М.: Контракт; Инфра-М, 2013.
(обратно)106
Письмо ЦБ РФ от 14.12.2012 № 172-Т «О рекомендациях по вопросам применения статьи 9 Федерального закона “О национальной платежной системе”» // Вестник Банка России. № 73. 19.12.2012.
(обратно)107
Приложение к письму Банка России от 22.11.2010 № 154-Т «О рекомендациях по раскрытию информации об основных условиях использования банковской карты и о порядке урегулирования конфликтных ситуаций, связанных с ее использованием».
(обратно)108
Письмо ЦБ РФ от 14.12.2012 № 172-Т «О рекомендациях по вопросам применения статьи 9 Федерального закона “О национальной платежной системе”» // Вестник Банка России. № 73. 19.12.2012.
(обратно)109
Там же.
(обратно)110
Там же.
(обратно)111
https://developer.visa.com/cybersource
(обратно)112
http://www.mastercard.com/us/company/en/whatwedo/products.html
(обратно)113
Study published by Accenture back in 2011 «Mobile commerce landscape» Federal Reserve Survey of Consumer Finances, US Census Bureau, Sallie Mae, Com Score, Experian Payment behavior in Germany in 2011. Deutsche Bundesbank.
(обратно)114
Банкомат (англ. ATM — automated telling/teller machine).
(обратно)115
Доронин А., Демчев И.А., Алексанов А.К. и др. Безопасность карточного бизнеса: бизнес-энциклопедия. — М.: МФПА; ЦИПСиР, 2011.
(обратно)Оглавление
Предисловие Глава 1 Мошенничество в системах дистанционного банковского обслуживания (ДБО) и электронных денег 1.1. Практика мошенничества в системах ДБО 1.2. Российский рынок электронных денег 1.3. Портрет пользователя электронных денег, потребительское поведение 1.4. Схемы мошенничества, способы информирования пользователей и методы профилактики 1.4.1. Вредоносное ПО 1.4.2. Фишинг 1.4.3. Методы, рассчитанные на доверие пользователей 1.5. Распространенные виды мошенничества в сфере электронных денег Глава 2 Электронные платежи: риск возможного использования для легализации преступных доходов 2.1. Общая модель отмывания денег 2.2. Электронные платежи 2.3. Использование систем электронных платежей для отмывания денег 2.4. Уроки Liberty Reserve 2.5. Выводы Глава 3 Использование современных форм платежей для легализации преступных доходов и организация противодействия 3.1. Новые факторы риска для кредитных организаций и их клиентов в условиях применения технологий электронного банкинга 3.2. Организация финансовых преступлений с помощью технологий электронного банкинга и воздействие на удаленных клиентов кредитных организаций 3.3. Организация противодействия противоправной деятельности в условиях применения технологий электронного банкинга 3.4. Особенности организации претензионной работы при применении технологий электронного банкинга Глава 4 Мошенничество в сфере банковских платежных карт 4.1. Уголовно-правовые аспекты борьбы с противоправными деяниями в сфере банковских карт 4.2. Гражданско-правовые вопросы в случае несанкционированного использования платежных карт 4.3. Методы и инструменты оценки рисков на базе мониторинга карточных транзакций 4.3.1. Количественная оценка рисков 4.3.2. Оценка рисков, связанных с мошенничеством 4.3.3. Типы мошенничества 4.3.4. Расчет рисков для банка-эмитента 4.3.5. Системы мониторинга транзакций в платежной системе 4.3.6. Выводы Глава 5 Процедуры минимизации рисков при работе с платежными картами 5.1. Операционные процедуры минимизации рисков в карточном подразделении 5.1.1. Хранение, перемещение и выдача заготовок и пластиковых карт 5.1.2. Процедуры проверки клиентов при оформлении кредитных карт 5.2. Клиентские процедуры минимизации рисков при использовании платежных карт Глава 6 Исследование опыта и осведомленности населения по мошенничеству в сфере платежных карт 6.1. Методология исследования 6.2. Привычки пользования банковскими картами у населения РФ 6.3. Осведомленность и опыт столкновения с мошенничеством по банковским картам 6.4. Стратегии финансового поведения при пользовании банковскими картами и при столкновениях со случаями мошенничества Глава 7 Безопасность банкоматов 7.1. Нормативные документы и рекомендации 7.2. Некоторые виды атак на банкоматы и средства защиты 7.2.1. Физические атаки 7.2.2. Интеллектуальные атаки 7.2.3. Атаки на держателей карт 7.2.4. Общие рекомендации для держателей карт по мерам безопасности 7.2.5. Особенности обслуживания карт в отдельных странах 7.2.6. О мерах безопасности при использовании банкоматов 7.2.7. Мероприятия по уменьшению банкоматных эмиссионных потерь 7.2.8. Мероприятия по уменьшению банкоматных эквайринговых потерь
