Мудрый Экономист

Мошенничество с банковскими картами: бороться или предотвращать?

"Расчеты и операционная работа в коммерческом банке", 2014, N 6

На практике при рассмотрении заявлений клиентов суды часто уделяют большое внимание тому, насколько подробно в договоре карточного счета или в банковских правилах описаны безопасные способы использования карты и меры противодействия карточным мошенникам. Какие угрозы хищения средств с банковских карт встречаются чаще всего? О чем должен быть проинформирован клиент при получении банковской карты? Как защититься от мошеннических действий преступников?

Прошел уже целый год с того момента, как начали действовать положения ст. 9 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (далее - Закон N 161-ФЗ). Одним из наиболее дискуссионных моментов на этапе подготовки и обсуждения Закона стало разграничение ответственности клиента и банка за мошеннические действия, совершенные с использованием банковской карты или ее реквизитов. В итоге был принят вариант, против которого возражали многие банки, а попытки Банка России и Минфина России откорректировать эту статью, к сожалению, не увенчались успехом - в основном из-за позиции Государственно-правового управления Президента Российской Федерации.

Положения ст. 9 Закона N 161-ФЗ в окончательной редакции пока недостаточно конкретизированы и допускают различное толкование, что создает для банка риски потерь из-за возможных требований клиента о возмещении ущерба от мошеннических действий. Даже в тех случаях, когда банк сделал все возможное, чтобы сохранить средства клиента, а потери были вызваны небрежным отношением последнего к хранению карты либо сохранению в тайне ее данных, такие риски существуют.

Безусловно, необходимо довести до сведения клиента информацию о рисках, возникающих при использовании карты, обучить его приемам безопасного использования карты и тем самым сформировать безопасное поведение клиента, что, в свою очередь, приведет к снижению потерь от мошенничества как для клиента, так и для банка. Тот факт, что банк проинформировал клиента о возможных угрозах и дал рекомендации, как поступить, значительно усилит позицию банка как в процессе рассмотрения претензии клиента о несанкционированной транзакции, так и в случае рассмотрения дела в суде.

Кстати, Директива Европейского парламента и Совета Европейского союза от 13.11.2007 N 2007/64/ЕС "О платежных услугах на внутреннем рынке и о внесении изменений в Директивы 97/7/ЕС, 2002/65/ЕС, 2005/60/ЕС и 2006/48/ЕС и об отмене Директивы 97/5/ЕС" однозначно возлагает на клиента затраты размером до 150 евро за каждую несанкционированную операцию, совершенную в результате использования потерянного или украденного платежного инструмента или в результате утраты клиентом средств безопасности платежного инструмента. Естественно, если будет доказано мошенничество самого клиента, то он дополнительно возместит банку все понесенные убытки.

Основным документом, предназначенным для извещения клиента о возможных рисках и описания принципов безопасного использования банковских карт, должна стать памятка о мерах безопасного использования банковских карт (далее - памятка), размещенная на сайте банка и упомянутая в договоре использования карты как неотъемлемая его часть. При создании Памятки необходимо ориентироваться на рекомендации Банка России, в частности на Приложение к Письму Банка России от 02.10.2009 N 120-Т "О памятке "О мерах безопасного использования банковских карт".

Рассмотрим наиболее часто встречающиеся угрозы хищения или утери средств, которым подвержены держатели банковских карт, а также способы предотвращения этих угроз и минимизации ущерба. Усилия банка, направленные на обучение клиента и формирование инструктивной и договорной базы, значительно снизят потери банка от действий мошенников.

Сотрудник банка при выдаче карты должен убедиться, что клиент поставил свою подпись на обратной стороне карты, проинформировать его о содержании памятки, а также по возможности дать ознакомиться с памяткой или довести до сведения клиента следующие общие рекомендации в зависимости от места использования карты.

Банкомат или пункт выдачи наличных

Основные угрозы:

Чтобы избежать нападения у банкомата, необходимо пользоваться банкоматами в безопасных местах (в отделениях банков, крупных торговых центрах, хорошо освещенных и многолюдных местах) и всегда использовать зеркала, установленные на лицевой панели банкомата, чтобы посмотреть, не стоит ли кто-то за спиной. Если в момент, когда клиент подходит к банкомату, к нему приближаются один или несколько человек, операцию желательно прекратить до исчезновения угрозы. Большинство нападений происходит в Латинской Америке, но возможны нападения и в других местах, особенно в странах с невысоким уровнем доходов населения.

Скиммер (мошенническое устройство для копирования магнитной полосы) часто сделан очень качественно, и определить на глаз, установлен ли на банкомате скиммер, неспециалисту весьма проблематично. В любом случае необходимо осмотреть приемную щель банкомата и использовать его, только если ничто не вызывает подозрений. Обязательно следует прикрывать рукой клавиатуру в момент ввода ПИН, чтобы камера (если таковая будет установлена злоумышленниками) не могла его зафиксировать. Если устройство для доступа в помещение, где находится банкомат, требует ввода ПИН для открытия двери, оно однозначно установлено мошенниками.

Часто мошенники используют различные устройства для удержания купюр. Если банкомат начал отсчитывать деньги, а затем не выдал требуемую сумму - следует осмотреть окно выдачи наличных денег: не исключено, что там установлено какое-то дополнительное устройство. В этом случае банкомат, как правило, формирует отмену операции. Следует обязательно дождаться SMS от банка об отмене операции или связаться со службой поддержки.

Мошеннический способ завладеть картой, известный специалистам как "ливанская петля", выглядит так, словно банкомат "проглотил" карту. Это происходит, когда преступники вставляют в приемное устройство банкомата кусочек пластика - в результате карта застревает в банкомате. Находящийся рядом "доброжелатель" предлагает держателю карты ввести ПИН, а затем говорит: "Вот тут за углом отделение банка, вчера у меня было то же самое, и они мне сразу помогли, вы сходите, а я покараулю". Когда владелец карты уходит, мошенник достает карту и снимает наличные. Если карта захвачена банкоматом, надо, не отходя от него, позвонить в свой банк и заблокировать карту, а уже потом заниматься вопросом, как ее извлечь.

Чтобы избежать использования поддельного банкомата, единственная функция которого - скопировать карту и узнать ПИН, следует пользоваться банкоматами только в тех местах, где сложно установить поддельный банкомат. Оптимальный вариант - внутри отделения банка, в международной зоне аэропорта или другой зоне ограниченного доступа. Банкоматы, установленные на улице в безлюдных местах, потенциально наиболее опасны.

В некоторых странах (особенно в Турции) существует услуга выдачи наличных на предприятиях торговли. Часто они называются postoffice (почтовое отделение). В таком "отделении" весьма высок риск того, что при выдаче денег мошенники получат копию карты и узнают ПИН, поэтому пользоваться данным сервисом крайне нежелательно.

Торговая точка (магазин, ресторан, билетная касса)

Основные угрозы:

Нельзя выпускать карту из виду при проведении платежа. Находясь в ресторане, нужно попросить принести переносной терминал, а если его нет - пройти к терминалу и проследить за операцией оплаты.

Необходимо тщательно проверять сумму и валюту чека, а при расхождении суммы в чеке с суммой счета - требовать отмены операции. Часто за рубежом выписывают чек в рублях, а внизу на чеке написано мелким шрифтом, что клиент согласен с конверсионной операцией. Держатель карты должен знать, что он имеет право отказаться от платежа в рублях и потребовать провести платеж в местной валюте или долларах. Если прошла отмена операции, следует сохранить чек с информацией об отмене; если возникают сомнения в благонадежности места оплаты - отказаться от оплаты картой.

Дистанционные платежи, интернет-банк, телефон, SMS

Основные угрозы:

На персональном компьютере держателя карты должны быть установлены лицензионное программное обеспечение и регулярно обновляемый антивирус.

Клиент должен всегда контролировать адрес сайта, на котором совершает покупку: часто мошенники изменяют одну букву в адресе, полностью сохраняя дизайн оригинального сайта.

Перед использованием нового интернет-магазина обязательно нужно посмотреть отзывы о нем в Сети. Мошенники часто маскируют под обычную оплату товара перевод на свою карту или электронный кошелек, поэтому важно проверять адрес в строке окна для ввода пароля.

Очень внимательно следует относиться к предложениям товаров и услуг, если их цена существенно ниже рыночной или если магазин требует быстрой оплаты, сообщая, что низкая цена действует очень непродолжительное время.

Нельзя вводить в Интернете ПИН своей карты и сообщать кому-либо ее данные (номер, срок действия, проверочный код), за исключением ввода данных в специальное окно интернет-магазина. При этом в строке браузера адрес должен начинаться с последовательности https://. Никогда не следует сообщать другим лицам пароли, полученные от банка по SMS. Мошенники пытаются получить эти пароли, объясняя, что "разблокируют карту", "возвратят деньги" и т.д. Пароль, полученный от банка, может быть введен в окно на сайте, и это единственное место, где он необходим. Не следует загружать в память смартфона различные "программы обеспечения безопасности", "новые опции", не позвонив в банк для подтверждения возможности загрузки. Для оплаты покупок в Интернете желательно иметь отдельную банковскую карту (или виртуальную карту) и переводить на нее средства только для текущих покупок в Сети.

Фишинг

Мошенники могут получить доступ к денежным средствам, используя методы социальной инженерии (фишинг). Часто фишинг начинается с получения клиентом SMS о блокировке карты или списании средств, в котором указан контактный телефон мошенников.

Основные угрозы:

Банк должен вести непрерывную разъяснительную работу с клиентами, описывая принципы, которые используют мошенники. Следует регулярно напоминать клиенту о недопустимости сообщения третьим лицам по телефону или иным путем любой информации, полученной от банка.

В любой нестандартной ситуации, особенно при проблемах с картой, клиенту следует позвонить в банк и сообщить о проблеме.

Необходимо постоянно информировать клиента, что для контактов с банком он должен использовать исключительно номера телефонов, указанные на карте или размещенные на сайте банка. Также следует предупредить клиента, что в случае разглашения по телефону номера карты, срока ее действия и проверочного кода, а также паролей, полученных от банка, клиент может понести потери.

Таким образом, для минимизации потерь от мошенничества с картами банку недостаточно внедрять современные технологические принципы дополнительной защиты (двухфакторную аутентификацию, продуманную политику управления паролями, постоянный контроль работоспособности сайтов банка и обеспечение информационной безопасности, использование дополнительных методов аутентификации, таких как отпечатки пальцев, одноразовые пароли, криптокалькуляторы и т.д.). Необходимо развивать взаимодействие с клиентами, обучать их методам безопасного использования карты, ответственному отношению к хранению как самой карты, так и любой конфиденциальной информации, касающейся персональных данных клиента, информации о счетах, картах и технологиях интернет-платежей.

В договорной базе целесообразно предусмотреть обязанность клиента следовать инструкциям банка по безопасному использованию карты и ответственность клиента за ущерб, понесенный им в случае нарушения таких инструкций.

Ю.А.Божор

Начальник

управления пластиковых карт

ОАО Банк "Открытие"