Нажмите "Enter" для пропуска содержимого

Взлом Сбербанка-онлайн и хищение денег со счета

Федеральный закон от 27.06.2011 N 161-ФЗ (ред. от 28.11.2018) «О национальной платежной системе» (с изм. и доп., вступ. в силу с 01.01.2019)

Статья 8. Распоряжение клиента, порядок его приема к исполнению и исполнения

5.1. Оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента. Признаки осуществления перевода денежных средств без согласия клиента устанавливаются Банком России и размещаются на его официальном сайте в информационно-телекоммуникационной сети «Интернет». Оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).
(часть 5.1 введена Федеральным законом от 27.06.2018 N 167-ФЗ)

5.2. Оператор по переводу денежных средств после выполнения действий, предусмотренных частью 5.1 настоящей статьи, обязан в порядке, установленном договором, заключенным с клиентом:
1) предоставить клиенту информацию:
а) о совершении им действий, предусмотренных частью 5.1 настоящей статьи;
б) о рекомендациях по снижению рисков повторного осуществления перевода денежных средств без согласия клиента;
2) незамедлительно запрашивать у клиента подтверждение возобновления исполнения распоряжения.
(часть 5.2 введена Федеральным законом от 27.06.2018 N 167-ФЗ)

5.3. При получении от клиента подтверждения, указанного в пункте 2 части 5.2 настоящей статьи, оператор по переводу денежных средств обязан незамедлительно возобновить исполнение распоряжения. При неполучении от клиента подтверждения, указанного в пункте 2 части 5.2 настоящей статьи, оператор по переводу денежных средств возобновляет исполнение распоряжения по истечении двух рабочих дней после дня совершения им действий, предусмотренных частью 5.1 настоящей статьи.
(часть 5.3 введена Федеральным законом от 27.06.2018 N 167-ФЗ)

А вот что представляют из себя эти Признаки, в соответствии с которыми Оператор должен блокировать перевод на два дня.

«Признаки осуществления перевода денежных средств без согласия клиента» (утв. приказом Банка России от 27.09.2018 N ОД-2525)

Утверждены
приказом Банка России
от 27 сентября 2018 года N ОД-2525
ПРИЗНАКИ
ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ
БЕЗ СОГЛАСИЯ КЛИЕНТА

1. Совпадение информации о получателе средств с информацией о получателе средств по переводам денежных средств без согласия клиента, полученной из базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента, формируемой Банком России в соответствии с частью 5 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе» (далее — база данных).

2. Совпадение информации о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств, с информацией о параметрах устройств, с использованием которых был осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, полученной из базы данных.

3. Несоответствие характера, и (или) параметров, и (или) объема проводимой операции (время (дни) осуществления операции, место осуществления операции, устройство, с использованием которого осуществляется операция и параметры его использования, сумма осуществления операции, периодичность (частота) осуществления операций, получатель средств) операциям, обычно совершаемым клиентом оператора по переводу денежных средств (осуществляемой клиентом деятельности).

Наиболее интересен здесь третий признак. В моем случае мошеннические переводы должны по идее попасть под все параметры:
— характер переводов совсем не мой; никогда не переводил ночью, после множественных запросов подтверждения смены логина, и сменой настроек безопасности.
— объемы, суммы, частота переводов 10 переводов с одной карты и 2 с другой за несколько часов в адрес лица, которому никогда переводы не осуществлялись до этого.
— место и устройство, естественно айпи адрес у него был свой и устройство.

Ниже ЦБ в ответе на 18-19 вопросы конкретизирует свою позицию по идентификации устройства.

У банков возникли вопросы к новым поправкам и их безопасники собрались и накатали ряд вопросов в адрес ЦБ с целью уточнить непонятные моменты.

Вопрос: Ассоциация банков провела заседание Комитета по информационной безопасности, на котором обсуждались изменения в деятельности подразделений кибербезопасности банков в связи с вступлением в силу Федерального закона от 27.06.2018 N 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств».
По итогам заседания было принято решение о представлении в Банк России вопросов, имеющихся у членов Комитета, о порядке работы по противодействию переводам денежных средств без согласия клиента (свод вопросов прилагается).
Приложение: вопросы кредитных организаций на 8 л. в 1 экз.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 7 декабря 2018 г. N 56-3-2/226

Департамент информационной безопасности Банка России рассмотрел вопросы кредитных организаций в связи с вступлением в силу Федерального закона от 27.06.2018 N 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» (далее — Федеральный закон N 167-ФЗ), направленные Ассоциацией банков России (Ассоциация «Россия»), и сообщает следующее.
В соответствии с Федеральным законом от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (далее — Федеральный закон N 86-ФЗ) Банк России не наделен полномочиями по представлению официального толкования законодательства Российской Федерации.
Вместе с тем полагаем возможным сообщить мнение Департамента информационной безопасности Банка России в отношении вопросов, относящихся к компетенции (отдельные вопросы, изложенные в обращении, относятся к компетенции иных структурных подразделений Банка России).

Вопросы 3-4
3. Относятся ли требования Закона N 161-ФЗ ко всем операциям по платежным картам (торговый эквайринг, списания на основании распоряжений по оплате, оформленных клиентами в устройствах самообслуживания, и т.п.)? В технологиях ПС нет понятия «возобновить», есть только «одобрить» и «отклонить». Допустим ли в целях исполнения требований Закона отказ в исполнении распоряжения (авторизации операции) и обязан ли банк самостоятельно инициировать новое распоряжение от имени клиента в случае отсутствия подтверждения операции в течение двух дней? Возможно ли оговорить области применения соответствующих положений в зависимости от технологических особенностей операций по переводу денежных средств (например, ограничить только операциями в каналах ДБО и т.п.), или Банк России полагается на внесение платежными системами/банками изменений в имеющиеся технологии и процессы?
4. Учитывая, что Закон N 161-ФЗ требует приостановить исполнение распоряжения, но не отказать в приеме его к исполнению, каким образом должны реализовываться требования Закона в случае, если процедура расчетов не предусматривает «заморозки» («холдирования») средств на счете клиента, а напротив, предполагает автоматическое и моментальное исполнение распоряжения клиента с немедленным списанием средств (и, соответственно, немедленное наступление безотзывности перевода) сразу после приема распоряжения к исполнению (к примеру, при формировании распоряжения в системе дистанционного банковского обслуживания)?

Ответ ЦБ
С учетом части 5.1 статьи 8 Федерального закона N 161-ФЗ требования о приостановлении исполнения распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, распространяются на все переводы денежных средств, в том числе с использованием платежных карт.
Согласно позиции ряда операторов платежных систем с учетом технологии проведения операций по переводу денежных средств с использованием платежных карт под термином «Приостановление исполнения распоряжения» следует понимать отказ в авторизации операции, в то время как «Возобновление исполнения распоряжения» означает обеспечение возможности проведения по запросу клиента авторизации операции, аналогичной приостановленной по сумме, валюте, получателю и назначению, при наличии доступного остатка денежных средств на банковском счете клиента, к которому привязана платежная карта клиента, либо достаточного кредитного лимита, предоставляемого кредитной организацией — эмитентом клиенту по банковскому счету, к которому привязана платежная карта, либо при наличии у клиента доступного остатка электронных денежных средств, осуществление операций с которыми предусматривает использование платежной карты клиента.

Вопрос 5
5. Правильно ли трактовать норму п. 9.1 ст. 9 N 161-ФЗ «В случаях выявления оператором по переводу денежных средств операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, оператор по переводу денежных средств приостанавливает использование клиентом электронного средства платежа и осуществляет в отношении уменьшения остатка электронных денежных средств плательщика действия, предусмотренные ч. 5.1 — 5.3 ст. 8 настоящего Федерального закона» как требование немедленно при выявлении признаков перевода денежных средств без согласия клиента в одном из переводов полностью заблокировать электронное средство платежа — карту и (или) ДБО? Или достаточно заблокировать возможность использования электронного средства платежа для выполнения аналогичных приостановленной операций по способу оплаты (например, интернет-эквайринг), цели платежа (например, оплата услуг) получателю и подобных критериев? Осуществляется ли приостановление использования клиентом только того ЭСП, при помощи которого составлено распоряжение в целях осуществления перевода, соответствующего признакам осуществления перевода денежных средств без согласия клиента, выявленное оператором по переводу денежных средств, или всех ЭСП, в том числе и тех, при помощи которых клиент может потенциально составить подобное распоряжение? В случае приостановления в соответствии с Законом N 161-ФЗ использования токена, формируемого к банковской карте в системах Apple Pay, Google Pay, Samsung Pay, допустимо ли сохранение у клиента возможности проведения операции с использованием самой банковской карты?

Ответ ЦБ
В соответствии с частью 9.1 статьи 9 Федерального закона N 161-ФЗ в случаях выявления оператором по переводу денежных средств операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, оператор по переводу денежных средств приостанавливает использование клиентом электронного средства платежа и осуществляет в отношении уменьшения остатка электронных денежных средств плательщика действия, предусмотренные частями 5.1 — 5.3 статьи 8 Федерального закона N 161-ФЗ.
Следовательно, оператор по переводу денежных средств приостанавливает использование клиентом электронного средства платежа, которое использовалось при проведении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента.

Вопрос 13
13. Если на телефоне у клиента находится вирус, который скрывает СМС (у клиента нет информации о совершении операции), увеличит ли уровень фрода проведение операции через два дня?

Ответ ЦБ 

Согласно пункту 2.7.2 Положения Банка России от 09.06.2012 N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее — Положение N 382-П) оператор по переводу денежных средств обеспечивает формирование для клиентов рекомендаций по защите информации от воздействия вредоносного кода.
Кроме того, в целях предотвращения ситуации, описанной в обращении, пунктом 2.10.5 Положения N 382-П установлено требование, согласно которому при осуществлении переводов денежных средств с использованием сети Интернет и (или) размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер по использованию раздельных технологий и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемых договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента.

Вот здесь мне не очень понятно, о какой реализации раздельных технологий идет речь

Вопрос 17
17. Учитывая, что Закон N 161-ФЗ связывает возникновение обязанностей банка по приостановлению исполнения распоряжения с выявлением операции, соответствующей признакам осуществления перевода без согласия клиента, возникают ли указанные обязанности у банка в случае, если операция подпадает только под один признак из сформулированных Банком России?

Ответ ЦБ
В соответствии с частью 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента.
Таким образом, оператор по переводу денежных средств должен совершить указанные выше действия в случае выявления операции, соответствующей хотя бы одному из признаков осуществления перевода денежных средств без согласия клиента, установленных приказом Банка России от 27.09.2018 N ОД-2525 «Об установлении признаков осуществления перевода денежных средств без согласия клиента».

Вопросы 18-19
18. На основании каких данных банку необходимо определять место совершения операции?
19. На основании каких данных банк может определить нетипичное устройство, с которого осуществляется операция по переводу денежных средств?


Ответ ЦБ

По вопросам N N 18, 19
Сведения о месте осуществления операции, устройстве, с которого осуществляется операция по переводу денежных средств, операторам по переводу денежных средств необходимо определять на основании информации, определяющей параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента. К указанной информации относятся данные о:
— сетевом адресе компьютера и (или) коммуникационного устройства (маршрутизатора);
— международном идентификаторе абонента (индивидуальном номере абонента клиента — физического лица);
— международном идентификаторе пользовательского оборудования (оконечного оборудования) клиента — физического лица;
— идентификаторе банкомата, платежного терминала.

Вопрос 20
20. Как часто будет обновляться информация об актуальных признаках? Может ли банк блокировать платежи, которые не соответствуют этим признакам? Какие будут санкции, если платеж, соответствующий данным признакам, не будет остановлен/подтвержден клиентом?

Ответ ЦБ
По вопросу N 20
Признаки осуществления перевода денежных средств без согласия клиента планируется дополнять и корректировать с учетом практики применения норм Федерального закона N 167-ФЗ.
Согласно части 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента.
В связи с изложенным оператор по переводу денежных средств обязан приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России. Оператор не вправе приостанавливать исполнение распоряжения о совершении операции, не соответствующей указанным признакам.
За нарушение требований Федерального закона N 167-ФЗ Банк России вправе применить меры, предусмотренные статьей 74 Федерального закона N 86-ФЗ.
Принимая во внимание, что для реализации предусмотренных Федеральным законом N 161-ФЗ требований операторам по переводу денежных средств необходимо провести комплекс организационно-технологических мероприятий, Банк России считает целесообразным воздержаться от применения мер, предусмотренных статьей 74 Федерального закона N 86-ФЗ, в части выполнения операторами по переводу денежных средств требований частей 5.1 — 5.3 статьи 8, частей 11.1 — 11.5 статьи 9, частей 4, 6 статьи 27 Федерального закона N 161-ФЗ, в течение 180 дней с даты вступления в силу Федерального закона N 167-ФЗ. на момент мошенничества 180 уже истекли 
Соответствующее информационное письмо размещено на официальном сайте Банка России в сети Интернет (от 09.10.2018 N ВН-03-56-3-2/3398).

Вопрос 21 
21. Планируется ли разработка методик, позволяющая банкам-плательщикам/банкам-получателям по косвенным признакам самостоятельно распознавать, что данные средства перечисляются/поступают по переводам без согласия клиентов?

Ответ ЦБ
По вопросу N 21
Согласно части 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).
Таким образом, характер, параметры и объем операций, обычно совершаемых клиентом, определяются оператором по переводу денежных средств самостоятельно, исходя из своей риск-ориентированной модели. Теоретически могут сказать, что любые действия и характеристики не попадают под описанные в их внутренних документах. 

Вопрос 30
30. Оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности). Требует ли данное положение документирования во внутренних документах организации правил определения подозрительных операций? Данные правила являются информацией ограниченного доступа и не раскрываются за пределами соответствующей функции, а соответственно, должны представляться, например, в рамках проверки, регулятору.

Ответ ЦБ
По вопросу N 30
Согласно части 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).
Таким образом, данное положение требует определения во внутренних документах, регламентирующих процедуры управления рисками, процедур выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента.

Станьте первым комментатором

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *