Спорный антифрод: казахстанцев планируют защищить от кредитного мошенничества

Фото: © © Depositphotos.com/Stiven

БВУ в Казахстане обяжут возвращать клиентам снятые с их карт средства и списывать кредиты, если суд решит, что мошенничество стало следствием несоблюдения банком процедур информационной безопасности и требований к анти­фрод-системам. Соответствующие поправки регулятор готовится внести в законодательные акты.

Как будет развиваться open banking в Казахстане и кого допустят к пилоту

Казахстан в этом вопросе идёт по пути европейских регуляторов →

Судя по ситуации, цифровой банкинг возник настолько быстро, что регулятор не смог оперативно среагировать и предложить меры контроля, которые оградили бы население от мошеннических действий со стороны третьих лиц. И теперь пытается наверстать упущенное. Данные криминальной статистики свидетельствуют о процветании телефонного мошенничества с использованием социальной инженерии, когда злоумышленники выманивают у граждан их финансовые данные. Конкуренция же банков за быстроту выдачи онлайн-кредитов снизила порог идентификации клиента до минимума, чем не преминули воспользоваться мошенники. Мигрирующие в интернете персональные данные (частично купленные, частично неумышленно «слитые» в Сеть) позволяют оформить кредит на огромный круг лиц. Но и здесь в большинстве случаев в основе мошеннически оформленных кредитов лежит социальная инженерия. По этой причине любые разговоры о возмещениях пострадавшим от мошенников клиентам, банки воспринимают очень болезненно.

Для минимизации кредитного мошенничества АРРФР разработало дорожную карту. В ее рамках создают антифрод-центр на базе Национальной платежной корпорации и усиливают требования к безопасности мобильных приложений БВУ. Центр объединит банковские системы противодействия мошенничеству в единую сеть. Тогда в случае мошенничества в одном банке информация мгновенно поступит в остальные, чтобы они адаптировали свои системы с учетом этого кейса. Планируется, что антифрод-центр в том числе объединит черные списки, формируемые Агентством по финансовому мониторингу, МВД и другими органами.

Для работы с мошенничеством на уровне клиентов регулятор предлагает останавливать начисление вознаграждения в случае выявления признаков мошенничества по кредитам. А также выплачивать компенсации по банковским картам, если судом доказан факт мошенничества из-за несоблюдения банком процедур информационной безопасности. АРРФР вместе с госорганами готовит алгоритм, доказывающий факт мошенничества, где будут четко прописаны все типологии мошеннических операций и требования к информационной безопасности и мобильным приложениям БВУ. По этому поводу регулятор совместно с рынком готовят совместный меморандум.

Опрошенные Forbes Kazakhstan банкиры воздержались от уточнения деталей готовящегося документа. Они лишь отметили накал дискуссии в рабочих чатах, поскольку БВУ невыгодна инициатива регулятора. Последняя ставит банки в положение, когда придется резко повысить ресурсную нагрузку: нанять IT-специалистов, приобрести технологии и «железо», и затраты, естественно, лягут в стоимость услуг и продуктов. Важно, что инициатива регулятора снижает скорость и удобство для клиентов, привыкших к крайней доступности кредитных средств, что особенно проявляется в лояльности к наиболее технологичным банкам.

Когда клиент не прав

В Ассоциации финансистов Казахстан (АФК) пояснили, что, несмотря на активные дискуссии и предложения, государственные органы не дают точного определения, какое именно мошенничество подразумевается и должно быть минимизировано с помощью предлагаемых мер, в том числе перекладывания на банки ущерба, возникшего по вине мошенников. Первый заместитель председателя Совета АФК Ирина Кушнарева говорит, что банки могут и должны нести ответственность, а также возмещать потери клиенту, если они возникли вследствие нарушения безопасности внутренних систем, порядка работы и прочего, то есть когда средства были украдены по вине банка без ведома и участия клиента. Такие случаи единичны и не требуют дополнительного законодательного регулирования, и сейчас «точно не они в фокусе внимания общества», замечает Кушнарева. В данный момент «широко обсуждаются схемы квалифицированного мошенничества с использованием социальной инженерии, когда мошенник путем обмана убеждает клиента добровольно отдать свои деньги или предоставить доступ к своим счетам».

Собеседница считает, что предложение остановить начисление вознаграждения и взыскания по кредиту на основании признания клиента потерпевшим в рамках досудебного расследования не повлияет на распространенность мошенничества и не защитит граждан от мошенников. Тем более что «когда будет доказано, что клиент сам оформил заявки и разрешения, то все приостановленные суммы будут доначислены». Кроме того, говорит Кушнарева, инициатива порождает вопрос, какой именно орган должен признавать клиента потерпевшим, на какой срок будут приостанавливать и когда возобновлять начисление, если расследование не даст результатов. Ведь мошенники в это время «будут продолжать свою деятельность без каких-либо затруднений».

Одно из условий использования интернет-банкинга – не передавать третьим лицам собственные параметры авторизации (доверенный номер, пароль, одноразовый SMS-пароль). Реальные же случаи показывают, что клиенты игнорируют нормы безопасности. Судебная практика за 2021–2022 годы говорит, что судебные отказы в удовлетворении исков физических лиц к банкам о недействительности займа в связи с онлайн-мошенничеством обусловлены неосторожностью и неосмотрительностью самих клиентов. Кушнарева замечает, что в соответствии с действующим законодательством банк по своей инициативе не имеет права ограничивать свободу распоряжения клиентом своими деньгами. Поэтому клиента, считает она, безусловно, «можно признать пострадавшим от мошенников, но нельзя финансовые последствия его действий переносить на банки».

Учет и контроль

В Первом кредитном бюро (ПКБ), исходя из опыта работы с кредитными историями, связывают мошенничество с картами и кредитами с социальной инженерией, где основой для мошенничества является не проникновение в интернет-банкинг путем взлома, а скорее получение паролей, SMS-кодов и прочих сведений для доступа к клиентскому аккаунту и хищения денежных средств клиента. Хотя такое действие может быть классифицировано как взлом, главным образом это ошибка самого клиента, так как мошенники получают доступ к данным, которые передаются им самим. Доказать, что это произошло неосознанно, «крайне сложно, так как это не исключает возможности заинтересованности со стороны клиента». Если регулятор придет к выводу, что во всех таких случаях финансовые организации несут ответственность по умолчанию, по мнению ПКБ, это может привести к злоупотреблению недобросовестными клиентами данной системой.

Бинур Жаленов, Нацбанк: Неконтролируемая цифровизация – угроза банковской конкуренции

Почему при внедрении ИИ и цифровых продуктов нового поколения на финансовом... →

Комментируя вероятность несоблюдения банками процедур безопасности и требований к антифрод-системам, в ПКБ отмечают, что развитие технологий привело к новым потенциальным угрозам, которые невозможно полностью устранить или минимизировать. Поэтому финансовые организации должны «активно вкладываться в антифродовые решения, чтобы снизить потери для клиентов, риски для своей репутации и возможные убытки, причиняемые мошенниками всем сторонам». В ПКБ замечают, что чем более сложной будет процедура идентификации и аутентификации, тем труднее и дороже будет взломать аккаунт клиента. Но даже качественная биометрическая идентификация, правильная мультифакторная аутентификация, а также использование биометрической облачной электронной цифровой подписи (ЭЦП) могут максимально защитить аккаунт, но не исключить риски мошенничества на 100%. Дело в том, поясняют в ПКБ, что биометрическая идентификация и облачная биометрическая ЭЦП, по сути, основываются на сравнении или сопоставлении двух фотографий. Если мошенники смогут пройти биометрическую идентификацию, то смогут обойти и биометрическую облачную ЭЦП. Чтобы предотвратить такие случаи, необходимо постоянно совершенствовать алгоритмы распознавания и проверки «живости» данных, а также применять дополнительные факторы проверки. Если такие требования станут законодательным стандартом, это позволит снизить риск ошибочной аутентификации/идентификации», ожидают в ПКБ.

Также в условиях динамичного развития ИИ, когда вероятность взлома возрастает, крайне важно, «чтобы биометрические сервисы не были доступны через веб-страницы, где присутствует дополнительная прослойка в виде веб-браузера, которая легко позволяет произвести инъекцию видео потока (deep fake) для обмана биометрической идентификации». Далее для повышения уровня защиты «необходимо рассматривать и включать несколько биометрических модальностей». Вначале можно использовать простое распознавание лица, а затем добавить данные об отпечатках пальцев (fingerprints), а также распознавание голоса или сканирование радужной оболочки глаза (IRIS). При использовании нескольких модальностей «вероятность взлома или несанкционированного доступа к счетам клиентов будет минимальной».

Как известно, цена и риск имеют прямую зависимость. Перечисленные меры окажут существенное влияние на рынок онлайн-кредитования: получение кредитов станет более сложным. «Возможно, на начальном этапе произойдет заметное снижение объемов выдачи быстрых кредитов и онлайн-займов, но с течением времени обе стороны смогут усовершенствовать процессы и восстановить объемы», – прогнозируют ситуацию в ПКБ.

В АФК считают, что вместе с защитными технологиями будут меняться и методы социальной инженерии. По словам Кушнаревой, практика показывает, что под влиянием мошенников клиент проходит все новые системные проверки. Вовлечение же дополнительных систем «может также создать дополнительные «слабые точки» и способы обхода защиты, выстраиваемой банками».

От частного – к общему

В качестве альтернативы методу «быстрых побед» и простых решений по сокращению потерь клиентов за счет банков финансовый сектор предлагает наладить системную совместную работу по нескольким направлениям. Есть позитивный пример, когда по предложению сектора приняли меры по пресечению возможности подмены телефонных номеров при звонках в Казахстан из-за границы. Сейчас эта проблема в целом решена благодаря совместным действиям АФК, банков, МВД и мобильных операторов. Для борьбы было выбрано верное техническое решение – блокировка такого телефонного трафика на уровне операторов связи. Однако данный пример является единичным случаем, когда проблема имела четкую схему, позволяющую решить ее относительно простыми способами. Сейчас банки преимущественно автоматически информируют клиента в мобильном приложении в режиме реального времени о подаче кредитной заявки, о подписании договора банковского займа и о выдаче займа.

В РК падают темпы кредитования: ставки выросли до семилетнего максимума

Улучшение экономической ситуации в первом квартале 2023 года через подъем д... →

Чтобы оперативно находить решения по новым мошенническим схемам, необходимо постоянно получать статистически значимую информацию по текущей ситуации, говорит Кушнарева. Но, по ее словам, государственные органы не собирают такой оперативной статистики, а у частных финансовых институтов есть законодательные ограничения по обмену подобной информацией. Поэтому в АФК самой действенной мерой считают создание антифрод-центра. Он обеспечит оперативный информационный обмен с регуляторами и между финансовыми организациями, в том числе по мошенническим операциям и лицам, вовлеченным в такие операции. «Мы также поддерживаем инициативу по внедрению обязательной услуги «стоп кредит» на базе кредитных бюро, позволяющей клиентам добровольно ограничить возможность выдачи кредитов на свое имя. Такая функция тоже имеет ряд технических сложностей и не всегда будет срабатывать в случае социальной инженерии, но все же снижает риск», – комментирует собеседница.

В ПКБ приветствуют создание антифрод-центра, но замечают, что в этом вопросе «они ушли немного вперед». Сейчас рынок использует множество разработанных антифрод-сервисов. Один из них направлен на предотвращение так называемого кредитного «шопинга». Сервис представляет собой кредитную заявку, когда клиент обращается в кредитную организацию, а организация передает данные о его запросе (место, время, сумма) в ПКБ. Все данные записываются, и, если клиент обратится в несколько банков одновременно, они будут иметь информацию о первом запросе. На основе этих данных анализируются паттерны и делаются выводы о возможном кредитном мошенничестве. Кроме того, ПКБ получил техническую возможность получать информацию о выдаче любого кредита в режиме онлайн от финансовых организаций. Любая финансовая организация, обратившись за кредитным отчетом, сможет видеть запись о кредите, выданном даже несколько минут назад.

Среди сервисов по противодействию мошенникам важно отметить и скоринг мошенничества. Он позволяет выявить потенциальных мошенников, которые имеют просрочку по первым трем платежам. Еще один сервис – верификация, позволяющая проверить данные клиента с помощью данных кредитного бюро и обнаружить все контракты, привязанные к номеру телефона или адресу.

В целом же, резюмируя тему, важно повышать финансовую грамотность населения и более активно разъяснять как механизм психологического воздействия мошенников, так и способы защиты от него. Эту работу должен взять на себя банковский омбудсмен.