Не прошло и кода: банки и МФО опасаются запрета на кредитование с помощью СМС
Банкиры и микрофинансисты всерьез опасаются отмены использования простой электронной подписи (ПЭП) — кода подтверждения, который клиент получает в СМС при выдаче кредитов и займов. Такой поворот фактически ставит под вопрос существование рынка дистанционных заимствований, который держится именно на простоте. Об этом «Известиям» сообщили в ряде организаций. 13 января президент поручил рассмотреть возможность создания механизма выплат компенсации клиентам, пострадавшим от мошенников, а уже через четыре дня Верховный суд признал ничтожным кредит, который был заключен дистанционно мошенниками. Опрошенные «Известиями» эксперты считают, что этот прецедент приведет к радикальным переменам на рынке дистанционного кредитования. При этом все они сходятся во мнении, что проблему нужно решать, и решать комплексно. Одним из важнейших элементов может стать самозапрет на кредиты, который планируется сделать нормой закона.
Тревожные звоночки
Вторая половина января для юристов и специалистов по кибербезопасности банков и МФО выдалась напряженной. Сначала президент дал поручение правительству и ЦБ рассмотреть возможность компенсации жертвам мошеннических действий, а следом свое слово сказал ВС. Прецедент выдался действительно громким и породил опасения относительно введения запрета на дистанционную выдачу кредитов с использованием ПЭП. Простая электронная подпись — это тот самый код, который присылает банк и который нужно ввести для подтверждения операции. Что эквивалентно тому, что вы расписались в договоре.
Финансовые институты привыкли считать, что если человек ввел код и поставил свою простую подпись, вся ответственность лежит на нем. В этом смысле решение ВС, который встал на сторону гражданки, которую обманули мошенники и взяли на нее кредит, является значимым прецедентом. По мнению юриста КА «Юков и партнеры» Никиты Суклина, после этого определения стандарт доказывания, а именно доказать, что в отношении человека применялись мошеннические действия, может измениться в пользу обманутых заемщиков.
Да и сами критерии дистанционного кредитования могут измениться драматически, поскольку у финансистов исчезла уверенность, что ответственность за слабые места безопасности при таком формате останется на потребителе.
Как отметила руководитель проекта Народного фронта «За права заемщиков», координатор платформы «Мошеловка» Евгения Лазарева, развитие дистанционных услуг по выдаче заемных средств, к сожалению, не сопровождается достаточной безопасностью их оказания.
— С 2019 года количество преступлений, совершенных в отношении потребителей, растет стремительно, ущерб исчисляется миллиардами. По разным оценкам, пострадавшим удается вернуть деньги и снять с себя долговые обязательства по вине злоумышленников менее чем в 5–10% случаев, — сообщила она.
При этом, добавила эксперт, системы безопасности организаций спокойно пропускают кредитные операции, при которых заемные средства тут же уходят на счет третьих лиц. Хотя в соответствии с требованиями 115-ФЗ («Об отмывании…») они однозначно попадают в разряд подозрительных.
Аналогичное предупреждение зафиксировано и в определении Конституционного суда от 13 октября 2022 года № 2669-0, где указывается, что при таких операциях организации должны принимать повышенные меры предосторожности.
— Однако пока для банков и МФО не предусмотрена система компенсаций пострадавшим от мошеннических действий и за всё расплачивается жертва, они не слишком мотивированы увеличивать расходы на безопасность, — уверена Евгения Лазарева.
Нет силы в простоте
Сама по себе ПЭП ни у юристов, ни у экспертов вопросов не вызывает. По словам Никиты Суклина, несмотря на относительную новизну онлайн-кредитования, сам по себе дистанционный формат вполне укладывается в классические гражданско-правовые институты. Ранее, например, договоры между сторонами, находящимися в разных местах, могли заключаться посредством писем, телеграмм и т.п. Теперь речь идет о более современных средствах.
— Применительно к дистанционным кредитным договорам эту функцию идентификации выполняет ПЭП — сообщение кода, пришедшего в СМС, признается аналогом собственноручной подписи и придает электронному документу юридическую силу, — поясняет представитель КА «Юков и партнеры». — Но основная проблема осталось той же, что и десятки лет назад: достоверное определение лица, выразившего волю на заключение договора.
Кстати, удостоверение личности заемщика — принципиальный момент при оспаривании договора, если он был заключен под воздействием мошенников. По мнению Никиты Суклина, если кодом завладели злоумышленники и сообщили его банку, договор будет недействительным. Заемщик в этом случае волю на получение денежных средств не выражал, что аналогично подделке подписи на бумажном документе.
Действительно, даже если человек и сообщает заветные цифры мошенникам, то, как правило, не для того, чтобы выразить согласие на кредит, а в ответ на их уловки — «подтвердите личность», «это нужно для перевода на безопасный счет». Но в самом СМС наряду с кодом содержится и предупреждение, что нельзя сообщать его никому, даже сотрудникам банка. Чем, собственно, организации и подстраховываются.
В случае, который в январе рассматривал ВС, на стороне клиентки банка был и тот факт, что СМС было набрано латинскими буквами. Это позволило ей сослаться на то, что она не до конца разобралась в содержании.
Впрочем, подтверждение с телефона заемщика может быть отправлено и без его участия, но — при полной иллюзии, что это сделал он. Руководитель направления безопасности финорганизаций компании Infosecurity a Softline Company Юлия Задубровская обращает внимание, что мобильные давно используются как карманные мини-компьютеры, при этом оставаясь довольно уязвимыми.
— Сейчас, как и раньше, идет некое противостояние между удобством и безопасностью. ПЭП в виде СМС тоже служит таким камнем преткновения. С одной стороны, в некоторых случаях она может заменять собственноручную подпись, с другой, такой способ может быть скомпрометирован получением несанкционированного доступа к мобильному устройству или дублированием SIM-карты, — сказала эксперт по кибербезопасности.
Без ПЭП и суда нет?
Эксперты уверены: система дистанционных выдач должна быть реорганизована таким образом, чтобы простота находилась в балансе с безопасностью.
— Прежде чем выдать по коду из СМС кредит или заем, кредитор должен удостовериться, что деньги одалживает именно заемщик, а не третье лицо, воспользовавшееся его данными или завладевшее доступом к его гаджету. Это увеличивает срок осуществления трансакции, но и дает возможность от нее отказаться, если возникли подозрения, — уверена Евгения Лазарева.
По мнению Никиты Суклина, стоит задуматься о технических изменениях, например, многофакторной аутентификации и т.п.
Юлия Задубровская полагает, что клиенты банков должны самостоятельно принимать решение о возможности использования ПЭП для банковских операций:
— В том числе должны иметь возможность отказаться от такого способа подтверждения в пользу более защищенного, например, УКЭП (усиленная квалифицированная подпись. — Прим. «Известия») или подписи на бумаге. В банке, в свою очередь, должны доводить до сведения клиентов не только плюсы, но и риски использования ПЭП.
Руководитель Лаборатории блокчейн и финтех Школы управления «Сколково» Егор Кривошея также думает, что отмена выдачи кредитов с простым подтверждением может быть заградительной.
— Скорее нужны опции самозапрета, а также протоколы действий в случае мошенничества. Заградительные ограничения на использование ПЭП для получения кредита могут сделать клиентский опыт менее привлекательным, особенно в МФО, — подчеркнул эксперт.
Самозапрет — не панацея
В Центробанке не ответили на вопрос «Известий» о возможных ограничениях на дистанционное кредитование с использованием ПЭП. Там считают, что значительным вкладом в безопасность таких услуг может стать введение «самозапрета» на кредиты и займы.
Как рассказали «Известиям» в пресс-службе регулятора, законопроект, закрепляющий этот механизм, прошел межведомственное согласование, получил концептуальную поддержку рынка и готовится к внесению в Госдуму. В ЦБ надеются, что любой человек сможет обезопасить себя от ситуации, когда мошенники на его имя оформляют кредит или заем.
Хотя правозащитники из ОНФ выступали инициаторами введения самозапрета (сначала предлагалось распространить его на людей старшего возраста и социально незащищенные слои — «Известия»), они считают его лишь одним из элементов усовершенствования защиты от мошенников. В частности, как отметила Евгения Лазарева, нужно действовать сразу в нескольких направлениях.
Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев считает, что проблему банковского мошенничества нужно решать не в одном звене, а на протяжении всей цепочки. Например, один из важнейших источников получения персональных данных — утечка от самих же банковских сотрудников.
— Регламенты и практики кибербезопасности финучреждений самые сильные из всех отраслей. Тем не менее проблемы по части контроля за выполнениями требований по защите данных банками всё же есть, — заявил он.
Необходимые требования уже есть, нужно стремиться к их выполнению, согласен и руководитель направления Group-IB по противодействию финансовому мошенничеству Павел Крылов.
— Если кредитная организация не выполняет действующие правила и по ее вине произошло мошенничество, она должна быть готова компенсировать средства клиентам. Необходим механизм, при котором банк должен быть заинтересован в применении современных подходов к обеспечению безопасности, — сказал эксперт.
В проекте «За права заемщиков» не сомневаются: когда кредиторов обяжут компенсировать похищенные деньги, им станет выгоднее предоставлять возможности самоограничения, более тщательно проверять кредитоспособность заемщиков, вкладываться в системы безопасности и следить за добросовестностью сотрудников.
По мнению юриста Никиты Суклина, выплачивать деньги пострадавшим кредитные организации могут или из резервов, сформированных для этих целей, или через создание централизованного аналога Системы страхования вкладов.