В ноябрьском номере НБЖ было опубликовано интервью заместителя председателя Банка России Михаила Сенаторова, в рамках которого обсуждался вопрос о том, как банки могут избежать выплат компенсаций за «увод» средств со счетов клиентов. НБЖ предложил участникам банковского рынка прокомментировать тему.
М. СЕНАТОРОВ: За рубежом такая практика стала появляться. Банки теперь обязаны компенсировать потери средств со счетов клиентов, если эти потери вызваны недостаточной защищенностью клиентов или недостаточно развитым обслуживанием клиентов со стороны банков. Правильно ли это? Представим себе, что налицо фишинг - подмена данных клиента и, как результат, списание средств с его счета. Может ли банк этому воспрепятствовать в самом начале процесса, пока клиент еще не понес серьезных потерь? Да, может, если внимательно отслеживает и анализирует операции клиента - где он обычно платит, какие суммы, какие товары или услуги чаще всего приобретает, то есть если у банка есть профиль клиента. Предположим, что много лет подряд этот профиль был одним и вдруг он резко изменился: клиент начал приобретать товары в других странах и платить за них совсем другие суммы, чем обычно. Банк это видит, и он должен обязательно с клиентом переговорить, выяснить, не переехал ли он, не изменилось ли его финансовое положение. Если клиент на эти вопросы дает отрицательный ответ, то банк начинает расследование, и процесс хищения средств со счета не заходит далеко.
Банк ВТБ
Карл СУММАНЕН, вице-президент
С тем, что сказано, я согласен. Действительно, такая практика есть и, действительно, fraud detection - это один из наиболее перспективных механизмов борьбы с мошенничеством. Но это только один из способов. Для максимально эффективного решения проблемы мошенничества в области дистанционного финансового обслуживания должна быть выстроена комплексная система противодействия, включающая как вышеуказанный способ, так и сбалансированную систему ответственности сторон.
На мой взгляд, существующая редакция закона, к сожалению, не может считаться сбалансированным подходом.
Прежде чем обсуждать, как регулировать ответственность, надо сформулировать цели, которых мы хотим достичь, и ограничения, которые мы хотим заложить. В зависимости от этого режим регулирования ответственности может получаться совершенно различным. Например, если исходить из ложного представления о том, что главная и единственная цель претензионной работы, построенной в соответствии с Законом «О национальной платежной системе», - всеми силами защитить клиентов как слабую, бестолковую и безнадежно безграмотную сторону от сильных, хищных и беспринципных банков, и ради этого снять такое очевидное ограничение, как невозможность неотвратимого безнаказанного воровства, то логично действовать так, как предлагает сейчас государство: переложить все риски и ответственность на провайдеров (банки). Вопросы о том, каким образом при таком регулировании будет работать система в целом и что произойдет с фродом и условиями предложения клиентам услуг, похоже, особенно законодателя не волнуют.
По-моему, основная цель регулирования должна заключаться в том, чтобы выстроить сбалансированную справедливую систему, в которой все участники защищены и имеют возможность получить необходимую информацию. Каждая из сторон может принять решение и взять на себя риск, при этом все несут ответственность за свои действия в пределах, не превышающих их физические возможности. Также необходимо принять и ограничения, например, система не должна допускать возможность неотвратимого и безнаказанного причинения ущерба другой стороне. И, наконец, самое очевидное: ни одна из сторон не будет обязана доказывать то, чего она физически не в состоянии доказать.
Режим регулирования в значительной степени помимо целей и ограничений зависит от особенностей оказываемых услуг и режима их использования (операций), которые предлагаются клиентам. Подход к регулированию обязательно должен быть дифференцированным, поскольку разные с точки зрения рисков и безопасности инструменты регулировать единообразно нельзя -либо перетянем гайки в одном месте, либо недотянем в другом.
В общем и целом я бы выделил две основные категории услуг, различающиеся по уровню риска: услуги с высоким минимальным риском (платежные карты и любые инструменты, использующиеся для покупок в Интернете без должной аутентификации и авторизации списаний) и услуги с низким минимальным риском (системы ДБО). Относительно первой категории я согласен с тем, что риск может быть перенесен на банк, который, в свою очередь, должен иметь возможность перенести риск на получателя платежа - торгово-сервисное предприятие. Для минимизации потерь от реализованных рисков в этом случае важным становится условие оперативного уведомления банка клиентом о неправомерном списании средств с его счета.
В случае с услугами второй категории подход должен быть принципиально иным. Я имею в виду следующее. Во-первых, регулятор устанавливает минимальный набор средств защиты, который банк должен обеспечивать клиенту, например в виде стандартов. Этот набор определяется исходя из соображения, что при условии строгого соблюдения клиентом всех правил, установленных банком, риск потерь при проведении операции в обычных условиях не превышает некоторую достаточно малую величину. Во-вторых, регулятор контролирует предоставление банками минимального набора средств защиты. В-третьих, банк может (но не обязан) предоставить клиенту дополнительные средства защиты (ограничения на суммы, виды операций, режимы и каналы проведения, использование дополнительного подтверждения транзакции и т.п.). В-четвертых, банк обязан дать клиенту возможность получить полную и изложенную в доступной для понимания обычным пользователем форме информацию о рисках, основных и дополнительных средствах защиты, правилах использования средств защиты и оборудования, применяемого при проведении операции. То есть клиент должен четко понимать риски, знать, что он может делать и чего не может, и должен в письменном виде подтвердить, что ознакомлен с правилами и осознает все риски.
Далее клиент обязан использовать все средства защиты из минимального набора и в дополнение к ним может применять вспомогательные средства защиты, в случае использования которых клиент может быть поощрен банком с помощью уменьшения тарифов и снятия разного рода ограничений, поскольку риск для финансово-кредитной организации снижается.
В случае если при исполнении банком дистанционно переданного поручения клиента на проведение операции выполнены три условия: банк обеспечил минимальный набор средств защиты в соответствии с требованиями регулятора, проинформировал клиента о рисках и правилах поведения, убедился, что клиентом выполнены все его требования в части безопасности, - вся ответственность за проведенную операцию возлагается на клиента. В этой ситуации при поступлении от клиента опротестования операции банк вправе, но не обязан вернуть ему всю похищенную сумму или ее часть.
Безусловный недифференцированный перенос рисков на банки означает, что цены на оказание услуг вырастут (это не шантаж, это закон экономики -риски неизбежно закладываются в стоимость) и, что хуже всего, вырастут одинаково для всех клиентов, честных и не очень. Кроме того, банки в стремлении уменьшить свои риски начнут вводить разного рода ограничения, что сделает сервисы менее удобными для клиентов.
В итоге получится, что добросовестные клиенты начнут платить дополнительные тарифы для компенсации потерь, которые банки несут от действий недобросовестных клиентов, а также будут страдать от ухудшения качества услуг. Все это не только нелогично и несправедливо, но и серьезно препятствует развитию рынка и оказанию финансовых услуг населению, в частности решению задачи снижения доли наличных в денежном обороте.
ТрансКредитБанк
Алексей КИРИЧЕК, директор департамента сопровождения розничного бизнеса
Мы полагаем, что столь бескомпромиссный подход законодателей не решает проблемы растущего объема мошеннических операций, а лишь перекладывает ответственность на плечи банков.
Те масштабы мошеннических операций, которые наблюдают участники рынка, уже сейчас требуют более комплексных и эффективных мер.
Мы бы хотели заострить внимание на том, что безопасность операций клиента зависит в том числе и от него самого. Рассмотрим простой пример: клиент потерял карту, на которой был приклеен PIN-код, злоумышленник снял весь остаток средств по карте. Кто должен нести ответственность в такой ситуации?
Кроме того, вопросу неотвратимости наказания за мошеннические операции также должно уделяться более пристальное внимание как со стороны законодательных, так и со стороны правоохранительных органов. На сегодня статистика раскрываемости преступлений, связанных со скиммингом карт, пугающе мала. При этом банки понимают и осознают свою ответственность за безопасность вкладов клиентов, направляя огромные средства на меры по ее обеспечению.
В подобной редакции закон может вызвать всплеск активности мошенников. Боюсь, что может возникнуть целый ряд претензий и оспариваний операций, совершенных по факту самими клиентами.
РОСГОССТРАХ БАНК
Владимир ЕГОРЫЧЕВ, начальник отдела информационной защиты
На сегодняшний день ситуация в области мошенничества банковскими картами складывается таким образом, что ответственность за карту несет, прежде всего, клиент. И если он своевременно не уведомляет банк о потере, краже и прочих несанкционированных действиях с картой с целью ее блокировки, то платежные системы все подобные операции по «пластику» (до момента уведомления банка-эмитента) не считают мошенническими, и вернуть средства клиенту по ним бывает достаточно сложно.
Согласно 161-ФЗ ситуация меняется в пользу клиента, но не в пользу банка-эмитента. Прежде всего, в связи с поправками в закон об НПС банк должен будет обеспечить уведомление клиента о каждой операции, проходящей по его карте, в том числе направлять уведомления о несанкционированном списании. В свою очередь, клиент, обнаружив, что по его карте прошло мошенническое списание денежных средств, обязан в течение следующего дня уведомить об этом кредитную организацию. Если уведомление клиента поступило в указанный срок, банк будет обязан возместить клиенту сумму операции, осуществленной при помощи электронного средства платежа, а потом уже разбираться с причинами мошенничества.
На первый взгляд, от банков ожидается, что они будут прилагать значительно больше усилий, чтобы информировать клиентов о том, как избежать утраты денежных средств в результате несанкционированных действий третьих лиц, а также активнее прорабатывать проблему безопасности платежей. Однако при этом у кредитных организаций возникает достаточно много вопросов.
Во-первых, это мошенничество со стороны своих же клиентов. Почему бы клиенту не совершить покупку, например, в сети Интернет, а банку направить уведомление, что операцию совершил не он, и ценой блокировки и перевыпуска карты получить возврат денежных средств и остаться с покупкой?
Во-вторых, зачем клиенту следить за безопасностью своей карты, смотреть, чтобы она не попала в чужие руки (например, при оплате в кафе, когда карту уносят из поля зрения), не расплачиваться на сомнительных сайтах, если он уверен, что банк в любом случае вернет ему средства? То есть здесь теряется основная степень защиты, которая работает сегодня, - бдительность держателя карты.
В-третьих, относительно обязанности банка-эмитента информировать клиентов об операциях по SMS: где заканчивается ответственность кредитных организаций за доставку сообщений и начинается ответственность мобильных операторов? Даже сегодня банки настоятельно рекомендуют клиентам подключать SMS-информирование для получения возможности отслеживать все действия с картой в режиме online, но пока далеко не все клиенты пользуются этой услугой. Так, часть из них отказывается от получения подобных SMS на телефон, так как они не хотят, чтобы кто-то несанкционированно узнал информацию о состоянии их счета.
По неофициальным оценкам банков, около 15-30% оспоренных операций приходится на «нечистоплотных» клиентов, которые пытаются представить собственные операции как мошеннические. В связи с этим с января 2014 года доля таких операций может возрасти в несколько раз. Каким образом будут вычисляться подобные мошенники и какую ответственность они должны нести, пока неясно.
Промсвязьбанк
Валентина КУЗЬМИНА, директор департамента платежных карт
Целью предлагаемых мер, безусловно, является защита клиентов от мошенничества. Конечно, клиент не должен нести ответственность за несанкционированные операции. Но, к сожалению, не предусмотрена защита интересов банка и его контрагентов от недобросовестных действий клиентов при оспаривании операций. По-моему, было бы целесообразно ввести лимиты безусловных возмещений, а по остальным операциям проводить расследования и применять дифференцированный подход.
Инвестторгбанк
Светлана КРОШКИНА, заместитель председателя правления
Влияние закона обязательно потребует реорганизации штатной структуры банков, изменений в работе подразделений, дополнительных расходов по усовершенствованию информационных систем. Чтобы снизить риск мошеннических операций, необходимы меры ужесточения контроля и технического усложнения процедур, что повлияет на возможность использования карт и может привести к повышению тарифов.
Согласно ст. 9 161-ФЗ в случае отсутствия факта уведомления клиента о совершенной операции банк обязан возместить клиенту сумму операции, совершенной без его согласия. Не исключен риск технического сбоя при доставке уведомлений на стороне провайдеров и операторов сотовой связи. Также не стоит забывать о возможности мошенничества со стороны недобросовестных клиентов, злоупотребляющих своими правами. Клиент, совершив крупную покупку, может сообщить в банк о несовершении им данной операции и неполучении уведомления от банка о совершенной операции. В случае спорной ситуации банку требуется доказать факт направления клиенту уведомления определенного содержания, а, как правило, в базах данных провайдеров и операторов сотовой связи не хранятся такие объемы информации в течение срока исковой давности.
Вышеизложенное может вынудить банки к установлению дополнительных ограничений и отказа от немедленного выполнения поручения клиента, требуя дополнительных подтверждений о совершенных операциях.
Транскапиталбанк
Игорь АНТОНОВ, руководитель дирекции карточного, депозитного и электронного бизнеса
На наш взгляд, в законе практически вся ответственность в случае мошенничества с банковскими картами возложена на плечи кредитных организаций. Хотя зачастую сами держатели создают возможность возникновения подобных ситуаций с их специальными карточными счетами. Если у покупателя в магазине украли кошелек, где лежала заработная плата, ни работодатель, ни магазин не будут возмещать данный ущерб. По сути, карта - это тот же личный кошелек, только электронный, и ответственность за его сохранность в первую очередь несет его держатель.
Безусловно, кредитная организация должна предоставить клиенту максимально защищенный современными технологиями инструмент, включая инструкции и рекомендации по его использованию, а также на постоянной основе осуществлять мониторинг профиля держателя карты. Но ответственность за безопасность должна адекватно разделяться между банком и клиентом. В противном случае финансово-кредитная организация станет подобием страховой компании, что в конечном счете может повлечь за собой ужесточение условий выпуска карты и повышение тарифов обслуживания.
СДМ-БАНК
Денис ДАВЫДОВ, директор департамента розничного бизнеса
В целом все абсолютно правильно сказано. Причем то, что говорит М. Сенаторов, по большому счету уже сейчас можно отследить в тех или иных системах мониторинга мошеннических транзакций. Есть программы, которые моделируют покупательское поведение клиента и, если оно резко меняется или наблюдается разовое отклонение, дают сигнал специальным круглосуточным службам. С держателем карты связывается оператор, и все сомнения разрешаются. И у банка есть связь с клиентом, и клиент имеет возможность отслеживать, как банк его ведет.
Эти системы, конечно, еще требуют развития, нельзя сказать, что на сегодняшний день во всех банках они совершенно отлажены и работают идеально, но есть более простой и достаточно действенный способ отслеживания мошеннических операций - это информирование клиентов о прохождении платежей в режиме реального времени с помощью SMS-сообщений. Этот сервис есть практически у всех банков, и он работает.
С другой стороны, хотелось бы отметить, что «банк должен клиенту все и всегда» - позиция не совсем правильная. На мой взгляд, клиент тоже должен проявить хотя бы какую-то степень заинтересованности в сохранности своих средств, например, подключиться к услуге SMS-информирования, чтобы вовремя получать данные о каждой совершенной транзакции. И, конечно, сразу сообщать в банк, что платеж проведен не им, тогда у финансово-кредитной организации будет возможность быстро реагировать на мошенничество.
Банк «Западный»
Ольга ТИМОХИНА, заместитель председателя правления
В условиях, когда большинство банков Российской Федерации поставило перед собой задачи развития альтернативных online-операций с использованием индивидуальных профилей к банковским картам, личных кабинетов и платежных терминалов, вступление в силу Федерального закона «О национальной платежной системе», на мой взгляд, позволит значительно повысить лояльность клиентов к проведению операций с использованием банковских карт.
Финансово-кредитным организациям новый закон даст стимул к внедрению более современных и надежных систем мониторинга операций, совершаемых клиентами, а также к установке более современного и защищенного программного обеспечения, позволяющего обезопасить операции с использованием карт. Кроме того, меры, предусмотренные новым Федеральным законом, призваны защищать интересы добросовестных клиентов, в том числе посредством качественного изучения банками клиентского профиля. Безусловно, это даст возможность минимизировать потери держателей карт, хотя полностью их не исключит.
Конечно, введение банками описанных выше мер, а также необходимость возврата потерянных клиентами средств повлекут за собой повышение финансовых затрат банков. Однако их вполне нивелирует экономия за счет выведения сотрудников фронт-офисов банков из процесса проведения банковских операций и за счет более активного использования банковских карт.
Абсолют Банк
Мария КОХАНЮК, начальник управления транзакционных и сберегательных продуктов
Системы, позволяющие проводить мониторинг профиля клиента банка, уже есть. Если сейчас они используются не во всех финансово-кредитных организациях, то это только вопрос времени. Настроены они могут быть по-разному: от жесткого варианта с автоматическим блокированием карты (что не всегда удобно клиенту) до уточняющего звонка держателю карты с просьбой подтвердить операцию (но в этом случае она уже совершена).
Однако отрицательным моментом здесь является то, что такие системы не дают стопроцентной гарантии безопасности ни для клиента, ни для банка. Мошенники изобретательны, и схем обмана добросовестных, но доверчивых держателей карт довольно много. Например, клиент получает SMS о якобы заблокированной карте с просьбой перезвонить. Далее его просят подойти к банкомату, и он своими руками с подтверждением PIN-кода переводит средства мошенникам, якобы вводя специальные коды для разблокировки карты. В этом случае клиент использует привычный ему банкомат, вводит PIN-код - никаких признаков мошенничества система не заметит.
Недобросовестный держатель карты банка имеет массу возможностей для получения необоснованного возмещения от финансово-кредитной организации. И никакие системы, оценивающие отклонения от стандартного поведения клиента, банку, к сожалению, не помогут.
ФлексБанк
Марина МИШУРИС, председатель правления
На уровне концепции все, о чем говорит заместитель председателя Банка России, выглядит правильно и красиво. Более того, технология мониторинга «необычных» транзакций по картам не новое явление на рынке, и большинство банков такие мероприятия осуществляют. Суть в деталях: было бы интересно послушать мнение регулятора о необходимой степени жесткости такого мониторинга.
Если вставать на позицию «банк сам виноват, что не уследил за транзакциями по карте и не заблокировал «странную» с точки зрения клиентского профиля операцию», то получается, что для минимизации потерь необходимо осуществлять такой мониторинг в самом строгом режиме. А это, в свою очередь, ударяет по качеству клиентского обслуживания. Представьте себе чувства держателя карты, который, к примеру, не сможет снять деньги в заграничном банкомате во время первой после долгого перерыва заграничной поездки, потому что банку покажется подозрительной смена места использования карточки. А потом клиент еще потратится на телефонный разговор с банком, который захочет узнать, не переехал ли держатель карты.
Даже если не брать такие экстремальные примеры, клиенты достаточно негативно относятся к избыточным, по их мнению, звонкам со стороны банков, которых в этом случае будет достаточно много. Получается, что кредитная организация при таком подходе превращается в какого-то «большого брата», требующего у клиента детального отчета о малейших изменениях в его судьбе, что некомфортно даже с психологической точки зрения. Кроме того, мониторинг никак не поможет отследить скимминг, фишинг и т.д., если злоумышленник, к примеру, будет снимать деньги в банкоматах в том же городе, что и клиент.
В итоге снизить свои потери путем неких предупредительных действий банк не может, потому что не обладает необходимым инструментарием, действующим в 100% случаев. А область применения имеющихся в распоряжении механизмов ограничивается необходимостью быть дружественным к клиенту, то есть не раздражать его бесконечными звонками и уточнениями. Так что остается единственный способ компенсации потерь - повышение тарифов. Это означает, что выгодная гражданам норма законодательства, напротив, ухудшает их положение.
МЕТКОМБАНК
Ольга ФРОЛОВА, заместитель председателя правления
Настоящий закон в том виде, в котором он принят, может породить множество случаев злоупотребления. Потенциальные убытки, которые может понести банк в связи с этим, вынудят кредитную организацию минимизировать риски, отказывая клиентам в исполнении поручений в режиме реального времени до дополнительного подтверждения авторства совершенных операций по счету. Это может дискредитировать саму идею online-операций.
В целях минимизации возможного ущерба кредитные организации вынуждены будут хеджировать данные риски всеми возможными способами, что может привести к увеличению стоимости банковских услуг и в результате негативным образом отразиться на клиентах. Надеемся, что регулятор прислушается к мнению участников рынка о необходимости внесения поправок в закон, предусматривающих детальную регламентацию распределения ответственности кредитной организации и клиента - физического лица в данном вопросе.
Банк «Стройкредит»
Валерий РЫЖКОВ, начальник управления платежных технологий
После вступления в силу закона о НПС банки столкнутся с быстрым ростом претензий и злоупотреблений со стороны клиентов. Все это повлечет за собой дополнительные операционные расходы, убытки, постоянные споры и тяжбы, увеличивающие издержки банков. Считаю, что необходимо проработать и прописать на законодательном уровне четкие критерии и принципы взаимодействия клиентов и банков. Нужно четко сформулировать ответственность обеих сторон, необходимо прописать порядок урегулирования спорных ситуаций в случае несанкционированного списания средств с карты.
Если порядок не будет проработан и прописан в законе, банки будут заниматься «самодеятельностью» ради того, чтобы соблюдать требования закона. Они начнут вводить собственные правила, повышать тарифы. И все это не лучшим образом отразится на клиентах и, соответственно, на развитии карточной инфраструктуры в стране. Получится, что добропорядочным держателям карт, которые соблюдают элементарные правила безопасности, придется переплачивать за тех людей, которые пишут свой PIN-код прямо на карте.
Начать дискуссию