«Беловоротничковая» криминальная деятельность приводит к существенным убыткам юридических и физических лиц, пострадавших от кражи средств с их банковских счетов, а также у пользователей электронных платежных систем. Постараемся понять, может ли все‑таки Интернет стать безопасной транзакционной средой, и если да, то что для этого необходимо.

Какие существуют риски в сфере электронных платежей?

В известных классификациях среди рисков электронных платежей выделяются: риск утраты ликвидности (т.е. риск неисполнения эмитентом своих обязательств в результате недостаточности размера его активов)1, кредитный риск (риск получения убытков вследствие неисполнения своих обязательств третьими лицами — банками-участниками, расчетными банками и прочими), правовой риск (в результате действий или событий правового характера), операционный риск (риск убытков в результате недостатков организации системы или злоупотребления лиц, имеющих доступ к системе), риск потери управляемости в результате утраты руководством контроля над одним из вышеперечисленных рисков. Экспертами Банка международных расчетов также выделяются репутационный, процентный и рыночный риски.

Однако все чаще (не всегда обоснованно) в составе категории «операционный риск» (иногда в качестве самостоятельного объекта) постулируется наличие специфических рисков, которые носят самостоятельный характер и не укладываются толком ни в одну из вышеперечисленных категорий. Это, например, риск утраты личных данных пользователя электронных денег, риск взлома электронного кошелька, риск утраты данных или денежных средств из-за сбоя оборудования системы, риск похищения данных клиентов, осуществленного посредством хакерских атак на клиента, банк, магазин или на обслуживающий процессинговый центр, риск чарджбеков (требований клиентов, в т.ч. недобросовестных, к магазину о возврате средств, предъявляемых через обслуживающий банк) и т.п.

Впору говорить о возникновении новой отдельной категории рисков электронных денег и электронных платежей, — рисков, связанных с безопасностью транзакций.

Эффективная электронная платежная система (далее — ЭПС), по классическому определению Р. Сиферса (1997 г.), — это такая ЭПС, которая может мгновенно подтверждать сделку, позволяет контрагентам напрямую обмениваться информацией и ценностями без привлечения третьей стороны, находясь внутри безопасной транзакционной среды.

Безопасность ЭПС имеет шесть основных уровней:

 — идентификация — представление всех участников сделки, у которых возникают по ней права и обязательства;

 — аутентификация — процесс проверки с целью убедиться, что оба участника сделки являются теми, за кого они себя выдают;

 — авторизация — указание на инициатора сделки;

 — доверие — уверенность, что ни у кого нет доступа к данным, не являющимся им функционально необходимыми;

 — уверенность в целости и полноте передаваемых данных во время сделки;

 — гарантия неотказа клиента от совершенного платежа и платежеспособности клиента.

Некоторые эксперты особо выделяют группу требований к прайвеси.

Давайте проанализируем, обеспечивается ли в настоящее время должный уровень безопасности применительно к электронным транзакциям.

Как риск безопасности платежей стал основной их проблемой

Согласно данным опроса ВЦИОМ (осень 2011 г.), интернет-пользователи составляют 49% россиян, но только 29% из них имеют опыт шопинга в Сети. Самый востребованный товар — одежда и обувь (такие товары случалось покупать 9% опрошенных). В пятерке самых популярных онлайн-покупок также оказались предметы электроники, книги (а вместе с ними журналы, видео- и аудиодиски, компьютерные игры), железнодорожные и авиабилеты и путевки (по 7%), а также мелкая бытовая техника (6%).

При этом, согласно отчету компании Symantec (лето 2011 г.), убытки от киберпреступлений в мире составляют $114 млрд в год. В 2010 г. от действий хакеров и интернет-мошенников пострадал 431 млн человек. Количество жертв злоумышленников в Сети превысило число пострадавших от преступников в реальной жизни в три раза.

Только за первую половину 2011 г. нападению хакеров подверглись такие компании, как Google, Sony, EMC. В нашей стране много шума наделала DDoS-атака на популярный интернет-ресурс «Живой журнал».

Согласно данным исследования компании Trusteer (осень 2009 г.), во всем мире 0,47% клиентов банка становятся жертвами фишинговых атак каждый год: это $2,4–9,4 млн ежегодных потерь на каждый миллион клиентов онлайн-банкинга. По оценке автора, для нашей страны процент жертв киберпреступлений в 4–5 раз выше указанной цифры.

Киберпреступность в России набирает высокие обороты. Сегодня это уже отдельный бизнес с четко выстроенными процессами. Примерно с 2007 г. в России начались адресные кибератаки в финансовом секторе, направленные на хищение денег с банковских счетов. Хакерские сообщества стали организованными, более профессиональными. Массовые нападения на российские банки начались с 2009 г. А в 2010 г. среди угроз информационной безопасности мошенничество в системах ДБО2 вышло на первое место по масштабам ущерба: стали появляться массовые инциденты атак в режиме онлайн на пользователей ДБО. По данным МВД России, средний ущерб по каждой удавшейся киберкраже составляет более 3 млн руб. Оценка возможных косвенных потерь банка — от 1,3 до 1,5 млн руб.1 за день проведения атаки. Летом 2011 г. Управление «К» МВД сообщило, что за последний год деятельность российских интернет-преступников стала активнее в два раза. По данным компании Group-IB, около 15% киберкраж приходится на физических лиц, а средняя сумма похищенных средств у физлица составляет 150 тыс. руб.

По данным компании ESET, сегодня 95% троянских программ направлены на банковские счета. А за 2010 г. киберпреступники заработали в России около €2,5 млрд3: это 36% от общемирового заработка кибермошенников за год. По прогнозам специалистов, в 2012 г. эта цифра составит около $3,7 млрд, а в 2013 г. удвоится. Таким образом, в ближайшем будущем общие доходы российского сегмента киберпреступности могут составить практически половину от общемирового показателя4.

Росту кибермошенничества способствуют рост рынка ДБО, рост уровня профессионализма и финансовой подпитки киберпреступников. При этом уровень общей компьютерной грамотности остается по-прежнему низким, поэтому количество пострадавших пользователей увеличивается параллельно росту популярности финансовых услуг.

По опросу ProfiOnlineResearch (ноябрь 2009 г.), у 2% опрошенных мошенники крали с карточки деньги, еще у 16% от краж пострадали знакомые, друзья или родственники. Вернуть всю пропавшую сумму посчастливилось лишь 15% пострадавших, часть похищенного обратно получили 19%. 86% краж составили суммы менее 30 тыс. руб. В успехе кражи опрошенные винят как владельцев карт (25%), так и банки (23%).

Масштабность явления выводит на первый план проблему разработки системы управления рисками, связанными с дистанционным банкингом, с электронными платежами, в том числе осуществляемыми с использованием сети Интернет.

Какие «слабые места» чаще всего использует киберпреступность?

Типичная проблема при платеже в сети Интернет — попытка перехвата данных во время транзакции или похищение информации из базы данных. При этом взломы баз данных процессинговых компаний практически не отмечались. Во многом это объясняется тем, что все эти компании обязательно используют один из четырех уровней PCI DSS1. Зато DDoS-атаки, прерывание обслуживания из-за атаки на сети финансово-банковских учреждений и крупных корпораций неоднократно имели место.

 Наиболее распространенный вариант мошенничества — фишинг — нацелен на получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем и личных сообщений от имени популярных брендов, банков или соцсетей. Фишеры пытаются обманным путем добиться того, чтобы пользователь посетил фальшивый сайт и ввел на нем свои конфиденциальные данные, что позволяет мошенникам получить доступ к его счетам. Практикуется также вишинг (голосовой фишинг) — тогда вместо поддельного сайта используется якобы банковский телефонный номер.

Сам термин «фишинг» известен с 1996 г. Первой известной попыткой захвата учетных записей ЭПС с целью получить доступ к финансовым данным клиентов стала атака на платежную систему e-gold в июне 2001 г. А уже к 2004 г. фишинг стал основной киберопасностью для юридических лиц. Целью фишеров сегодня являются клиенты банков и ЭПС. К 2008 г. число пострадавших от фишинга в США возросло до 5 миллионов.

В 2010–2011 гг. по России прокатилась волна скимминга — компрометации данных банковских карт с помощью специальных считывающих устройств, устанавливаемых на банкоматы.

По статистике компании Group-IB, схемы атак со стороны интернетмошенников представлены в нескольких стандартных вариантах: атака на ключ электронной цифровой подписи (далее — ЭЦП) пользователя (копируется ключ из незащищенного хранилища (flash-накопитель, жесткий диск и т.д. — 70% случаев хищения) или оперативной памяти компьютера (5%), атака на криптографические возможности токена (15%), действия внутреннего злоумышленника на стороне клиента (инсайд — 10%), подмена документа в момент его подписания ЭЦП (менее чем в 1% случаев хищений).

Кроме того, серьезный минус применения банковских карт в Сети — тяжелое наследие offline в виде операций типа MOTO (mail order telephone order). Любой человек, узнавший номер вашей карты, может заплатить вашими деньгами практически в любом интернетсервисе. Реквизиты вашей карты могут быть украдены когда и где угодно. Они воруются непосредственно в банках или магазинах (взлом баз данных хакерами, увольнение сотрудника магазина или банка или его прямой сговор со злоумышленниками). Официант ресторана или бара, на пару минут взявший прокатать вашу карту, может переписать себе ее реквизиты. Наконец, чтобы украсть реквизиты, достаточно подсмотреть их, стоя рядом с владельцем кредитки возле банкомата или в магазине.

Как защищается от киберпреступников финансово-банковский сектор?

Проблема стала настолько актуальной для российского банковского сообщества, что Банк России выпустил специальное Письмо от 30.01.2009 № 11?Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга», в котором содержатся описание мошеннических схем и перечень мер противодействия этим угрозам.

Уже сейчас некоторые банки — эмитенты карточек поддерживают защищенную технологию передачи пользовательских данных 3D Secure.

Целый ряд банков и ЭПС предлагают клиентам для вынужденных платежей по карте в Интернете получение виртуальной карты. Данная карта привязана к счету клиента, но ее не существует физически, а есть только ее номер. Пополнять карту нужно со счета в банке или платежной системе с помощью ЭЦП суммой, необходимой для текущей покупки, так, чтобы остаток на карте всегда был близок к нулю.

К сожалению, действительно серьезно к проблемам информационной безопасности и оценке связанных с ней рисков в России подходят лишь самые крупные банки и ЭПС, для небольших же финансовых институтов это не приоритетная задача. Зачастую банки просто не умеют обеспечивать эффективность своих затрат на информационную безопасность, и тогда реальные меры безопасности подменяются имитацией защиты, создавая у клиентов иллюзию защищенности. Бороться с высокотехнологичными преступниками надо постоянно и последовательно, а это недешево.

Существуют различные методы для борьбы с фишингом. Это в первую очередь обучение пользователей, браузеры, предупреждающие об угрозе фишинга, усложнение процедуры авторизации, борьба с фишингом в почтовых сообщениях, услуги мониторинга (некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов), юридические меры.

Так, успешно действует схема сотрудничества антивирусной компании ESET с Банком ВТБ24 по нейтрализации мошеннического ПО: банкиры предоставляют сотрудникам ИТ-компании ссылки на сайты, после перехода на которые клиенты фиксировали хищения денежных средств со своих счетов, а те в свою очередь помогают банкирам расследовать преступления в системах ДБО.

Отдельно хотелось бы упомянуть уникальный проект ИТ-компании и страховщика («Аладдин Р.Д.» и РОСНО) по страхованию клиентов дистанционного банкинга.

 Крупнейшая американская ЭПС PayPal с 2007 г. запустила Программу мониторинга платежей (Payment Review program). Эта программа — система раннего обнаружения — помогает защитить аукционных онлайн-продавцов от мошеннических платежей. Обнаружив сомнительный платеж, PayPal тут же пошлет продавцу тревожное оповещение по e-mail. Продавцу порекомендуют поместить платеж в статус «предстоящего», в то время как PayPal в течение суток проведет расследование. Если PayPal решит, что платеж вероятно законен, то уведомит продавца, что он может отправить товар, заказанный покупателем. Если PayPal решит, что платеж вероятно мошеннический, он будет автоматически отменен.

В ЭПС WebMoney с апреля 2010 г. вступили в силу новые требования для обменных пунктов: не совершать обмены в пользу третьих лиц. Клиент должен вводить/выводить средства в электронной валюте только на/со своего имени, свой банковский счет и т.д. В свою очередь Сбербанк в сентябре 2011 г. предупредил клиентов об участившихся случаях получения мошеннических sms-сообщений с информацией о блокировке карты, изменении ПИН и др. Ситибанк с июня 2011 г. предоставил себе право по новым договорам блокировать или приостанавливать использование банковской карты в случае нарушений со стороны клиента.

При этом некоторыми экспертами отмечается, что банки зачастую неохотно идут на сотрудничество с правоохранительными органами в расследовании киберпреступлений, опасаясь за сохранность своей коммерческой информации или полагаясь на работу собственных служб безопасности (особенно в случаях, когда средства были украдены не со счета в этом банке).

Активную работу в области безопасности и управления рисками ведет Комитет по безопасности и управлению рисками Ассоциации российских членов Europay (АРЧЕ), также с 2008 г. работает закрытый межбанковский информационный ресурс, посвященный борьбе с карточным мошенничеством, — Форум безопасности АРЧЕ. В нем участвуют 170 человек из 86 банков, включая ЦБ РФ. Появлению в начале 2010 г. так называемого «банкоматного вируса» обязана своим рождением Экспертная ATM Группа. Она насчитывает 20 человек и работает на постоянной основе в тесном сотрудничестве с коллегами из European ATM SecurityTeam (EAST). Осенью 2010 г. АРЧЕ объявила о вступлении в Международный совет по стандартам безопасности индустрии платежных карт PCI SSC.

Проявляют ли достаточную активность российские правоохранительные органы?

Основные проблемы в расследовании подобных преступлений в России таковы: нехватка специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело до суда и обвинительного вердикта; лояльное законодательство по отношению к киберпреступности; некачественное взаимодействие с зарубежными структурами, борющимися с киберпреступниками. Непрост и вопрос квалификации действий киберпреступников: кража это или мошенничество? В 2006 г. суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Сергостьянц был приговорен к 6 годам условного срока и возмещению компаниям ущерба в размере 3 млн руб.

Первое крупное дело против банды фишеров началось осенью 2009 г. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере (было похищено не менее 6 млн руб.).

26 декабря 2010 г. произошла подмена платежной страницы web-сайта Chronopay.com на фишинговую страницу. Временное похищение доменного имени компании сопровождалось размещением фальсифицированного письма ее руководителя, якобы информирующего всех клиентов компании о взломе ее базы данных, а также публикацией в Сети номеров нескольких сотен банковских карт и имен их держателей, частично собранных на фальшивой платежной странице web-сайта, просуществовавшей несколько часов. Приложив невероятные усилия, платежная система смогла вернуть домен всего за 3 дня, однако, по ее данным, в ходе фишинговой атаки пострадало порядка 490 человек.

В марте 2012 г. автору статьи довелось комментировать сюжет для Первого канала, в котором с помощью альпинистского снаряжения в Москве брали киберпреступников. Управление «К» МВД России и центр информационной безопасности ФСБ пресекли деятельность преступной группы, которую организовали два брата. С компьютеров арендованного офиса они рассылали троянские программы на сайты известных организаций, интернет-изданий и банков. «При помощи вредоносной программы злоумышленники имели возможность управлять счетами организаций. Они перенаправляли денежные средства на свои счета, а впоследствии на пластиковые карты, которые были оформлены на подставных лиц, и дальше обналичивали денежные средства на территории города Москвы», — сообщила пресс-секретарь Управления «К» МВД России Л. Жукова. За полгода братья заработали больше 60 млн руб. В тот же день МВД России заявило об окончании расследования первого в России уголовного дела о компьютерном фишинге2. По данным Следственного комитета МВД, два брата уже из Санкт-Петербурга с помощью студента калининградского вуза и фальшивой web-страницы ДБО меньше чем за год сняли денежные средства (более 13 млн руб.) со счетов 140 человек из 46 регионов страны. Обвиняемым вменяется неправомерный доступ к охраняемой законом информации, использование и распространение вредоносных программ, а также мошенничество в особо крупном размере. Задержанным грозит десятилетний срок. В январе–сентябре 2011 г. следователи МВД России возбудили более 1000 уголовных дел по фактам мошенничества в сфере ИТ (за весь 2010 г. было возбуждено 750 дел). Эти данные обнародовал начальник Бюро специальных технических мероприятий (БСТМ) МВД России А. Мошков на международной конференции Antifraud Russia 2011.

Сегодня Уголовный кодекс РФ содержит три статьи по компьютерным преступлениям. Но, безусловно, требуются их детализация и наработка прецедентов уголовного преследования по ним. Осенью 2011 г. российские парламентарии обсудили президентские поправки в Уголовный кодекс и предложили в отношении людей, нарушающих правила хранения и передачи компьютерной информации, вместо президентских трех лет лишения свободы установить срок пять лет, а максимальное наказание за создание вирусных программ снизить с пяти до четырех лет.

Недавно Верховный суд РФ внес в Госдуму законопроект, добавляющий в Уголовный кодекс статью «Мошенничество с платежными картами».

Делались предложения и по дополнению ст. 187 УК РФ. Согласно ее действующей редакции, изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, наказывается лишением свободы на срок до 6 лет со штрафом в сумме от 100 до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет. Аналогичные деяния, совершенные организованной группой, наказываются лишением свободы на срок до 7 лет со штрафом в сумме до 1 млн руб. или в размере заработной платы или иного дохода осужденного за период до 5 лет либо без такового.

Еще одной общей бедой как для отечественной экономики в целом, так и для рискографии финансово-банковской сферы является наличие десятков, если не сотен, тысяч «номинальных лиц» — это лица без определенного места жительства, недееспособные или алкоголики, чьи паспорта используются преступниками для регистрации компаний, получения карточек и кредитов. Подобная деятельность, разумеется, должна активнее отслеживаться банками и пресекаться правоохранительными органами. Следует отметить активность налоговых органов, которые за 2011 г. сильно «проредили поголовье» фирм-однодневок, добившись исключения из Единого государственного реестра юридических лиц сотен тысяч компаний, фактически не ведущих никакой деятельности. Однако и здесь работы непочатый край.

Как ведут себя законодатели и регуляторы?

Регуляторов в области информационной безопасности в нашей стране три: ЦБ РФ, ФСТЭК России1, ФСБ России. Основным документом по информационной безопасности банка является Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0?2008). Ожидается новая редакция документа.

Федеральный закон от 27.07.2006 № 152?ФЗ «О персональных данных» был принят еще в 2006 г. Но ни регулятор, ни сами банки к введению этого закона в полном объеме готовы не были. Это вызвало годичную отсрочку вступления закона в силу.

Антиотмывочные поправки в законодательство ввели в России, как и практически во всех развитых странах, для банков и ряда других институтов обязанность идентификации плательщика, а вместе с ним — и выгодоприобретателя. Всего два подряд нарушения этой обязанности в России могут стоить банку лицензии!

Обсуждались четыре возможных варианта соблюдения данного правила. Это путь физического присутствия (сотрудника банка у терминала), путь биометрии (оба весьма дороги), путь, связанный с ЭЦП (требует предварительной поголовной электронной паспортизации россиян), и путь «избегания повторной идентификации» (например, на основе существующей идентификации клиентов мобильных операторов). Также применяется оформление сотрудников ритейлеров и почты, непосредственно общающихся с клиентом, как сотрудников банка, уполномоченных проводить идентификацию.

А что на Западе?

Первые компьютерные вирусы появились в 1986 г. Побороть с тех пор киберпреступность Запад, разумеется, не смог. Так, потери одной только Великобритании от кибермошенников за 2011 г. составили около ?38,4 млрд ($61 млрд). Но правовой механизм защитыот подобных преступлений действует неумолимо и эффективно.

Первый случай судебного преследования физического лица за изготовление и распространение компьютерного вируса имел место в 1995 г. Британец Кристофер Пайл (он же Черный Барон) признал себя виновным по 11 обвинениям по разделам 2 и 3 Закона о неправомерном использовании компьютерных технологий и был приговорен к 18?месячному сроку.

Двадцать шестого января 2004 г. Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Уже в 2005–2006 гг. прошла серия задержаний фишеров в США, Бразилии, Японии, Великобритании, ряде европейских стран. Эта тенденция не теряет силу и поныне. Многочисленные резонансные «посадки» фишеров имели место и в 2010–2011 гг. В Великобритании в 2006 г. был принят Закон о мошенничестве, предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества.

Активно борются с фишингом компания Microsoft, другие транснациональные корпорации, финансовые учреждения.

Важный прецедент, заставляющий финансистов задуматься о сохранности клиентских персональных данных: в 2007 г. Norwich Union Life, один из крупнейших британских страховщиков, был оштрафован на рекордную сумму ?1,26 млн за то, что оказался не в состоянии защитить клиентов от мошенничества с персональными данными. Обманывая сотрудников call-центра страховщика, мошенники смогли украсть данные о 632 клиентах страховщика и успешно превратили в наличные 74 полиса общей стоимостью ?3,3 млн.

Рекордный срок, запрошенный обвинением для фишера, — 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт и неправомерное использование товарных знаков (дело Дж. Бретт Гудина, США, 2006–2007 гг.).

Комитетом министров Совета Европы в 2001 г. была принята Европейская конвенция о киберпреступности, нацеленная на создание международной структуры для борьбы с киберпреступлениями.

Правовая квалификация: хакер украл деньги у банка или у клиента?

В России клиент, у которого пропали средства со счета в банке, как правило, получает от банка отказ в возмещении украденных хакером средств со ссылкой на п. 3 ст. 845 Гражданского кодекса РФ. Указанный пункт гласит: «Банк не вправе определять и контролировать направления использования денежных средств клиента и устанавливать <…> ограничения его права распоряжаться денежными средствами по своему усмотрению». Нередко банк привлекает себе на помощь формулировки Федерального закона от 10.01.2002 № 1?ФЗ «Об электронно-цифровой подписи» и стандартные пункты договоров с клиентами об РКО, перелагающие на клиента ответственность за любые действия, осуществляемые с его ЭЦП. Статистика судебных тяжб банков с клиентами дает следующий результат: 70 на 301 в пользу банков.

Иной порядок действует для клиентов ЭПС.

Согласно частям 11–16 ст. 9 Федерального закона от 27.06.2011 № 161?ФЗ «О национальной платежной системе» в случае утраты электронного средства платежа (далее — ЭСП) и (или) его использования без согласия клиента обязанность (или отсутствие обязанности) оператора по переводу денежных средств возместить клиенту сумму операции, совершенной без согласия клиента после получения уведомления, зависит от анализа следующих моментов:

 — имело ли место информирование клиента оператором по переводу денежных средств о совершенной операции?

 — имело ли место информирование клиентом оператора по переводу денежных средств об утрате ЭСП и (или) его использования без согласия клиента (не позже дня т+1)?

 — смог ли оператор по переводу денежных средств доказать, что совершение операции без согласия клиента обусловлено нарушением самим клиентом порядка использования ЭДС 2 ?

 При обсуждении проекта этого закона Рабочей группой при Комитете Госдумы РФ по финансовому рынку нами высказывалось опасение3, что данный порядок приведет к шквалу киберпреступлений в адрес ЭПС и их клиентов, причем настоящих жертв киберпреступников трудно будет отделить от мнимых, вовремя заявляющих об утрате ЭСП, но находящихся в сговоре с преступниками. Операторы рынка могут справиться с проблемой путем ужесточения договорной базы, вводя презумпцию ответственности клиента за утрату ЭСП в свои оферты… От этого, впрочем, клиентам не станет легче, а кибермошенникам — труднее. Налицо пока нерешенная проблема.

Кардинально изменить ситуацию могут новые нормы, которые предлагается внести в Гражданский кодекс. Вот цитата из законопроекта: «Банк несет ответственность перед клиентом за списание денежных средств со счета по распоряжению неуполномоченного лица в размере списанной суммы и процентов, установленных пунктом 1 статьи 852 настоящего Кодекса, и в том случае, когда банк не мог установить, что распоряжение выдано неуполномоченным лицом». При этом «клиент должен действовать с необходимой осмотрительностью и заботливостью, чтобы не допустить распоряжение денежными средствами неуполномоченными лицами». Суд вправе уменьшить размер возмещаемых убытков, если банк докажет, что клиент не был достаточно осмотрителен. Однако доказывать это должен именно банк. А при наличии вины банка он обязан возместить клиенту причиненные убытки в полном объеме.

Специалистами нашей компании был разработан специальный перечень критериев. Он в каждой конкретной ситуации позволяет обоснованно судить о том, были ли должным образом выполнены обслуживающим пострадавшего клиента банком, а также банком, в котором находится счет получателя инициированного хакером платежа, требования действующих нормативных актов, и, следовательно, о том, выполнили ли эти кредитные организации свои обязательства перед клиентом и государством.

Трудно сказать, какой процент отечественных хакеров и их пособников будет в результате реализации описанного в статье комплекса защитных мер оказываться на скамье подсудимых и получать за виртуальные преступления реальные тюремные сроки. Можно быть уверенными в одном. Доверие клиентов к российским кредитным картам, ЭПС, к банкам в целом и к дистанционному банкингу как к наиболее удобному и дешевому инструменту взаимодействия с ними не должно быть утрачено.