Национальная система платежных карт (НСПК — оператор карт «Мир») ввела новый стандарт для борьбы с неправомерными трансакциями (документ есть у «Известий»). С 1 ноября к кредитным организациям, которые выпускают и принимают к оплате «Мир», будут применяться санкции, если ежемесячные операции без согласия клиентов (кражи денег, оплата чужой картой в магазинах и интернете) составят более 1 млн рублей. В НСПК уверили, что нынешние значения фрода в разы ниже установленных в стандарте. Новые требования затрагивают массовые кражи — более чем у 100 клиентов, оценили для «Известий» эксперты.
Миллионное ограничение
По требованию НСПК с 1 августа доля неправомерных операций у банков, работающих с платежной системой «Мир», не должна превышать 0,5% от суммы всех трансакций, или 1 млн рублей в месяц. Количество мошеннических оплат должно быть ниже 0,2% у банков-эквайеров (которые принимают платежи) и 0,07% у эмитентов, выпускающих карты, отмечается в документе платёжной системы. До этого аналогичных требований НСПК не предъявляла.
1 ноября НСПК начнет принимать меры. Если показатель будет превышен, оператор карт «Мир» инициирует проверку и поставит кредитную организацию под особый контроль на ближайшие шесть месяцев, чтобы устранить несоответствие.
Новый стандарт «Мира» — типовой документ, который есть у всех платежных систем, заявили «Известиям» в НСПК. Он позволяет определить ориентиры для участников рынка и установить границы допустимых значений. Даже отдаленное приближение к этим показателям подразумевает более тщательный мониторинг и контроль операций, подчеркнули в финансовой корпорации.
— Текущие показатели банков – участников платежной системы «Мир» в разы ниже установленных стандартом предельно допустимых значений, — добавили в НСПК.
Неправомерными считаются операции, совершенные без согласия владельца карты, причем, как подчеркнули в Сбербанке, в статистику попадают не только мошеннические действия, но и, например, платные подписки или операции, о которых клиент забыл. В крымском РНКБ также отметили, что учитываются и операции, проведенные в результате противоправных действий. Например, если злоумышленники украли банковскую карту и используют ее в магазинах и в интернете или снимают деньги через банкомат.
Мошенничества с использованием «социальной инженерии» также выступают неправомерной транзакцией, добавил предправления банка «Фридом Финанс» Геннадий Салыч. Он отметил, что банки также обязаны направлять данные по несанкционированным операциям в ЦБ, но со стороны регулятора санкции в случае превышения контрольного значения не применяются.
Поскольку НСПК комплексно анализирует уровень фрода в банках (долю и суммарный доход неправомерных операций), установленные пороги адекватны и Сбербанк их не превышает, заявили «Известиям» в кредитной организации. В МКБ и крымском РНКБ также сообщили, что требования НСПК выполняются в полной мере.
— В то же время в МКБ позитивно оценивают новшество, поскольку оно простимулирует отдельных участников рынка внимательнее следить за эквайрингом, — заявил представитель банка.
Внутренние правила банков зачастую более строгие, чем ограничения платежных систем, отметили в БКС Банке. Тем не менее единые для всех требования позволят повысить прозрачность фрод-мониторинга.
Сотня пострадавших
Международные платёжные системы предъявляют аналогичные требования, рассказали в «Открытии»: установление порога контролируемых операций — сложившаяся практика. При этом у Visa и MasterCard требования менее жесткие — несмотря на то что в других странах уровень мошеннических операций в среднем выше, добавили в «Сбере».
В MasterCard «Известиям» сообщили, что ведут мониторинг деятельности банков-эмитентов и эквайеров с точки зрения безопасности по целому ряду показателей, но не уточнили, по каким именно. Представитель Visa не ответил на запрос «Известий».
Платежная система Visa начисляет штрафы за количество неправомерных операций: чем их больше, тем выше взыскание, знает партнер технологической практики КПМГ в России и СНГ Оксана Борисова. По ее словам, поскольку НСПК сама устанавливает объем «допустимых» неправомерных операций, оператор национальной платежной системы разрешает несколько нарушений, объем которых не превышает 1 млн рублей в месяц.
— Сумма невысокая, но банкам заранее дается шанс на несколько ошибок. Это может дать возможность работы по мелким мошенническим схемам, — отметила Оксана Борисова.
По данным Центра мониторинга и реагирования на компьютерные атаки (ФинЦЕРТ) Банка России, в 2019 году объем операций без ведома клиентов составил 6,5 млрд рублей. Средняя сумма хищений — 10 тыс. рублей, говорилось в отчее ФинЦЕРТ. В ЦБ оперативно не ответили на запрос «Известий» об эффективности нового стандарта НСПК для борьбы с кражами с карт.
Если средняя сумма мошеннической операции — 10 тыс. рублей, то в 1 млн укладывается объем кражи у 100 человек в месяц — это можно считать массовым обманом, оценил вице-президент Ассоциации банков России Алексей Войлуков. По его словам, именно тогда платёжная система начинает аудит и помогает банку закрыть изъян в кибербезопасности.
В то же время установленный лимит предполагает кражи в среднем у трех-четырех человек ежедневно. Для крупных игроков, например для Сбербанка, это довольно жесткое ограничение: возможно, новое правило непросто будет выполнить, считает Алексей Войлуков. С другой стороны, он отметил, что крупнейшие банки сами далеко продвинулись с точки зрения защиты своих клиентов от мошенников.