Полиция против Сбербанка: кто защитит 35000 клиентов от мошенников?

С начала пандемии мошенники украли с банковских счетов граждан России 2,8 миллиарда рублей, на 70% больше, чем в 2019 году. Компания НЭС расскажет, как межведомственные раздоры мешают банкам и государству защищать плательщиков.

Ужасающие темпы роста киберпреступности в 2020 году продемонстрировали неспособность правоохранительных органов и банковской системы обеспечить адекватную защиту. А ведь были тревожные сигналы. В сравнительно тихом 2018 году Сбербанк и Московский уголовный розыск с гордостью отчитались о совместном разоблачении банды мошенников. В победном пресс-релизе Сбера черным по белому написано, что на проверку подозрительной активности банку потребовалось целых полгода.

Ничего удивительного, что при скачкообразном росте активности преступников во время пандемии медлительная система контроля мгновенно захлебнулась. В декабре 2020 года управление МВД по Челябинской области, не справляясь с потоком заявлений о мошенничестве, официально попросило уральский Сбер притормозить выдачу онлайн-кредитов. Чтобы хоть так защитить наших наивных граждан. Но кредитное учреждение не увидело смысла в такой потере доходов.

Спустя два месяца из полиции прилетела ответочка. Настолько необычная, что могла бы сойти за первоапрельский розыгрыш. Но нет, силовики так не шутят, это был официальный пресс-релиз ГУ МВД России по Москве. Во втором абзаце управление обвиняет службы безопасности банков по трем статьям:

Не смешно, правда? Причиной столь бурной реакции стали результаты проверки 35000 транзакций клиентов Сбербанка, проведенной по поручению Прокуратуры Москвы.

«А в конце, как водится, оргвыводы». Московское ГУ МВД собирается направить обращения в Центробанк и прокуратуру. Прозрачно намекая на небо в клеточку. Присел же в 2020 на два года начальник сектора прямых продаж Сбера Сергей Зеленин. Как раз за утечку данных клиентов.

На следующий день, 2 апреля, пресс-служба Северо-Западного ПАО Сбербанк ответила, что ничего не знает про 35000 транзакций, и вообще Сбербанк никому ничего не передавал. И смех и грех: на заявление московского УВД отвечает питерское представительство. Естественно, они не в курсе, а центральный офис Сбера отмалчивается.

Стандарт Центробанка СТО БР ИББС-1.0-2010 предписывает банкам реализовывать систему управления рисками, включающую систему обеспечения информационной безопасности (СОИБ). 25 июня Банк России отдельным Положением 716-П уточнил требования к таким системам. В перечень рисков включена возможность присвоения средств клиентов третьими лицами (3.6.2).

А вот насколько сберовский Security Operation Center соответствует требованиям регулятора — дело мутное.

Факт первый: в сентябре 2020 зампред правления и главный спикер Сбера по финансовым мошенничествам Станислав Кузнецов рассказал, что система антифрод — мониторинга уже создана и спасла 850 миллионов рублей, и 80% клиентов от брокеров-мошенников.

Факт второй: почти полгода спустя, в середине февраля 2021 президент Сбербанка Герман Греф сообщил на пресс-конференции, что, оказывается, разработка системы фрод — мониторинга только закончена.

Факт третий. Сервис Сбера «Проверка на мошенничество» был запущен в июне 2020. Вот он, антифрод?

Не спешите радоваться. В пресс-релизе была характерная оговорочка: «сервис поможет расширить систему фрод — мониторинга». Похоже, перед нами столь любимый Грефом народный краудсорсинг, информация о мошенниках собирается руками клиентов и посетителей сайта.

Проведем тест. В феврале 2021 года несколько сайтов брокеров-мошенников были заблокированы Роскомнадзором за предложения финансовых услуг без лицензии. Проверим, что о них знает антифрод Сбера.

Скорее всего, дело было так. По итогам разработки Сбер получил необученный ИИ, нейросеть, пустую базу данных (нужное подчеркнуть).

Дмитрий Губанов, руководитель направления в лаборатории кибербезопасности Sber Graduate, пишет на сайте, что одна из задач лаборатории — поиск новых источников данных для антифрод — системы.

Надо понимать, подразумевались источники структурированной информации, то-есть база тренировочных примеров. Нельзя просто взять и загрузить в ИИ разноформатные публикации на досках объявлений, форумах и соцсетях, результаты такого обучения будут непредсказуемыми. Сбер попробовал было создать список с помощью сервиса «Проверка на мошенничество». Народ не откликнулся.

Вероятно, после этого кредитное учреждение решило делегировать подготовку базы данных Московскому ГУ МВД. Кстати, а почему не Управлению «К»? Мошенничество с использованием компьютерных технологий — его епархия.

Какая роль могла отводиться полиции? Дело в том, что созданные до COVID антифрод — системы ориентированы на предотвращение платежей, совершенных без участия клиента банка. Мошенник, завладев картой или ее данными, переводил деньги со своего компьютера (телефона), по своему адресу, привычным ему способом работы с интерфейсом личного кабинета. Антифрод отслеживал изменения:

И подавал тревожный сигнал. Очевидно, что ранее использовавшиеся Сбером американские и израильские антифрод — системы примерно так и работали.

А в 2020 году внезапно обнаружилось, что при мошенничестве с использованием социальной инженерии владелец карты не меняется, его параметры остаются прежними, и антифрод — система не распознает угрозы.

Для обучения антифрода Сберу понадобился массив данных о платежах, в котором компетентные следователи выделили бы случаи социальной инженерии. Неизвестно, удалось ли банку получить желаемое. Скорее всего, полицейские сначала пытались тихо саботировать, а потом возмутились и заявили, что не будут делать чужую работу.

Уж точно не перед клиентами. В клиентских договорах Сбербанка, термины fraud, фрод, анти — фрод, фрод — мониторинг отсутствуют вообще. В «Условиях банковского обслуживания» пострадавшим от мошенничества предлагается звонить в банк и писать в полицию, управление «К».

И это не только ограничение прав клиента, но и нарушение упомянутого выше Положения Банка России 716-П. Проблема в том, что Закон «О национальной платежной системе» (статьи 8, параграф 5.1, и статья 28, параграф 2), позволяет банку организовывать отслеживание мошенничества в рамках собственной системы управления рисками.

Для чего банку нужна система управления рисками? Для борьбы с убытками. В стратегии управления рисками группы ПАО Сбербанк, раздел «Цели и задачи» так и написано: «минимизация возможных финансовых потерь». Налицо конфликт интересов: не проводя сомнительные платежи, банк теряет доходы.

Судя по официальным публикациям и ответам на обращения жертв мошенников, Банк России последовательно придерживается политики невмешательства в отношения банков с клиентами. Регулятор утверждает, что:

Эти толкования искажают закон 86-ФЗ «О Центральном банке Российской Федерации», статью 56. Согласно которой, Центробанк имеет право и обязан вмешиваться в оперативную деятельность кредитных учреждений в случае нарушения федеральных законов. Это называется надзорная функция.

В статье 74 того же закона прописаны меры, которые Банк России имеет право применять к лицензированным банкам, нарушающим законы. Начиная с штрафа в 0,1% от минимального уставного капитала, это 1 миллион рублей для банков с универсальной лицензией. И вплоть до назначения временной администрации и отзыва лицензии. Санкции применяются, но что-то очень избирательно. За конец 2020 — начало 2021 года лицензий лишились только 6 мелких банков.

В результате, снисходительность регулятора позволяет банкам безнаказанно отделываться от жалоб клиентов шаблонными отписками, и не проводить расследования спорных ситуаций, перекладывая работу на правоохранительные органы.

Крупнейший банк России лидирует и в этом. Каждый отказ в передаче документов клиента на чарджбэк заканчивается предложением обращаться в полицию. Таких случаев очень много, только у нас задокументировано 3300.

Мужчина поверил рекламе псевдоброкера Arotrade, и перевел ему в 2019 году 700000 рублей. Подал в Сбербанк заявление о спорной операции, но получил стандартную отписку: банк не обязан передавать документы на опротестование, решайте вопрос с брокером сами, если считаете его мошенником — обращайтесь в правоохранительные органы.

В начале 2020 года пострадавшего обманули деятели из 24broker, на 50000 рублей. Поскольку он делал платежи с карты VISA Сбербанка, то опротестовал платежи. И получил отказ, с предложением обратиться в правоохранительные органы.

Мнимый брокер Global.FX нагрел гражданина на 13300 рублей в начале 2020 года. Сбер отклонил заявление на чарджбэк, предложив решать дело с брокером в судебном порядке. Либо (сюрприз!) обращаться в полицию.

Все эти межведомственные разборки только отвлекают внимание от реальных способов решения проблем. Еще в апреле 2020 года Банки.ру, Group-IB и Badbank сообщали, что значительная доля платежей в онлайн — казино и брокерам — мошенникам проходят через платежные шлюзы банков для перечислений с карты на карту (P2P).

По мнению Badbank, криминальная схема реализуется при непосредственном участии отдельных банков. Дело в том, что большое число платежей Card2Card у одного держателя карты — характерный признак отмывания денег. Поэтому большинство банковских платежных форм ограничены лимитами на час и сутки.

Достаточно всему банковскому сообществу установить необременительный суточный лимит в один P2P-платеж по карте, и схеме придет конец. Однако этого не происходит. Совсем наоборот: всем известные кредитные учреждения прогоняют через свои P2P-шлюзы платежи жертв мошенников круглосуточно и безо всяких ограничений.

Вот этим обстоятельством полиции действительно стоит заинтересоваться. Как-никак налицо отмывание средств, приобретенных преступным путем, в особо крупном размере, и с использованием служебного положения. УК РФ, статья 174, параграф 4 «б».

#сбербанк, #сбер, #мвд, #полиция, #мошенничество, #фрод