Кибербезопасность в законе: как изменится 161-ФЗ «О национальной платежной системе»

Летом 2024 года вступят в силу поправки о подозрительных денежных переводах. Изменения коснутся закона о национальной платежной системе. И вероятнее всего, их будет больше.

Что сейчас представляет собой 161-ФЗ? Насколько он соответствует актуальным вызовам кибербезопасности? И какие поправки могут появиться в законе в ближайшие годы? Подробности – в этой статье.

161-ФЗ: что это такое

Федеральный закон №161 описывает, что такое национальная платежная система и как она функционирует. В документе указывается, что ее регулированием занимается Банк России. Также закон уточняет, что именно входит в инфраструктуру национальной платежной системы.

Самое важное – 161-ФЗ обязывает банки предупреждать инциденты с мошенничеством по счетам и проводить проверки при подозрительных переводах денежных средств.

Подозрительные операции определяются по нескольким признакам. Прежде всего, учитывается плохая репутация получателя средств – он должен находиться в реестре недобросовестных получателей, который ведет Банк России. А если точнее, то речь идет о так называемых «фидах» ФинЦЕРТа, которые включают информацию по получателям несанкционированного перевода. По каждому собирается большой список данных: от ИНН и номеров платежных карт до номеров счетов и паспортных данных.

Когда банк получает данные от ФинЦЕРТа, он должен проверить их наличие в своей автоматизированной банковской системе. Если они обнаруживаются, то проводится блокировка дистанционных электронных средств платежа (карт, ДБО) получателя несанкционированного перевода.

Таким образом, при подозрении на мошенничество банк:

• инициирует проверку с блокировкой операции зачисления до пяти дней – при оценке действий получателя, на два дня – если нужно проверить отправителя;
• если проверка пройдена успешно – снимает блокировку, если нет – возвращает средства отправителю.

Также закон о национальной платежной системе устанавливает требования к кибербезопасности организаций, которые участвуют в переводах денежных средств. Все правила описываются в ст. 27 (Обеспечение защиты информации в платежной системе).

К чему готовиться

Важные поправки в 161-ФЗ были подписаны летом 2023 года и вступят в силу 25 июля 2024-го. Цель изменений – усиление методов противодействия мошенничеству. А точнее «переводам без добровольного согласия клиента», если говорить на юридическом языке.

В изменениях отдельно прописана ситуация, когда Банк России подтверждает, что один из участников сделки находится в черном списке (согласно «фидам» ФинЦЕРТа), но деньги все равно перечисляются. В этом случае банк должен возместить сумму перевода клиенту – пострадавшему лицу. Также указывается срок — в течение 30 дней.

Времени для подготовки к новым требованиям у финансовых организаций было предостаточно, считают эксперты. Во всяком случае, теперь все понимают, как технически реализовать работу с «фидами» ФинЦЕРТа. Но в то же время остаются организационные вопросы.

Михаил Горшков

Начальник отдела управления рисками в дистанционных каналах АО «Дальневосточный банк»

Например, следует ли разрешать переводы в пользу «фида», если клиент подтверждает этот перевод? Если подходить формально, то клиент волен сам распоряжаться своими средствами и можно разрешать.

Но в то же время подразумевается, что в базу «фидов» попадают те, кто был замечен в мошеннических операциях. И будет нелогично разрешать перевод в пользу потенциального мошенника.

К слову, Банк России в последнее время активнее дает разъяснения 161-ФЗ. Недавно регулятор ответил на вопросы, которые прозвучали десять лет назад. И даже внес правки в закон.

В частности, изменился основной термин, который обозначает мошенническую операцию. Из-за разных трактовок ее переименовали в «перевод денежных средств без добровольного согласия клиента». Однако неоднозначных формулировок в законе еще много, считают эксперты.

Михаил Горшков

Начальник отдела управления рисками в дистанционных каналах АО «Дальневосточный банк»

В частности, часто обсуждаются период охлаждения, борьба с дропами и в целом работа антифрода на стороне банка-получателя. Здесь кроется ряд нюансов.

В 161-ФЗ нет явного указания, как следует правильно организовать взаимодействие между банком-получателем и банком-отправителем. Например, банк-получатель заблокировал деньги у того, кто ему показался дропом и сообщил… куда? Какой вариант коммуникации должен быть использован, чтобы все получилось и чтобы у регулятора не возникало вопросов относительно исполнения закона?

Также неясным, по его словам, остается вопрос правомерности санкций. С одной стороны, является человек преступником или нет, устанавливает только суд. Зачастую у банка-получателя нет оснований подозревать клиента в том, что он участвует в мошеннической схеме. С другой стороны, информация поступает от банка-отправителя. Причём зачастую уже поздно, когда средства выведены. Оперативно вернуть украденное часто нет возможности.

Михаил Горшков

Начальник отдела управления рисками в дистанционных каналах АО «Дальневосточный банк»

Все еще не решен вопрос о правомерности такого удержания. И получение своих денег, даже если они есть на счете дропа, клиенту предстоит отстаивать через суд о неосновательном обогащении, так как почти невозможно доказать причастность дропа к мошенничеству.  

Также непрозрачной остается тема уведомлений пользователя. Как поясняет Михаил Горшков, пока не определены ни форма, ни параметры такого уведомления. Предполагается, что все необходимое нужно прописывать в договоре. Это уже привело к росту стоимости SMS-сообщений и другим неприятным для клиентов результатам.

Чего ждать еще

Эксперты предполагают, что ответственность банков за «переводы без добровольного согласия клиента» будет только расти. Во всяком случае такие идеи постоянно рассматриваются Банком России. 

Михаил Горшков

Начальник отдела управления рисками в дистанционных каналах АО «Дальневосточный банк»

Например, сейчас активно продвигается стандарт о цифровых отпечатках (СТО БР БФБО-1.7-2023). Фактически речь идет о тех же «фидах» Финцерта, но акцент сделан на используемых мошенниками устройствах. Список параметров, по которым предполагается определять устройство мошенника, пока кажется избыточным и по многим позициям требует работы с вендорами ПО и операторами связи.

Кроме того, есть ряд моментов, которые вызывают вопросы уже сейчас. Например, будет ли учтен вариант, когда инцидент происходит на устройстве клиента, в том числе при самопереводах и удаленном управлении?

Также, по словам эксперта, повышенное внимание сейчас уделяется системам антифрода банков. Банк России пытался привязать обязанность возвращения клиенту по мошенническим операциям к уровню антифрода. Но пока попытки регулятора оказались безуспешными. Оказалось, что оценить эффективность антифрода отдельно взятого банка –- не самая простая задача, так как ландшафт рисков в каждом случае свой и его сложно унифицировать.

Михаил Горшков

Начальник отдела управления рисками в дистанционных каналах АО «Дальневосточный банк»

Но попытки регулятора упорядочить требования к антифроду продолжаются. Есть список признаков осуществления операций без согласия (ОД-2525, на который ссылается 161-ФЗ). Однако в части антифрода банков он имеет обобщенный, рекомендательный характер.

Несмотря на это, в последнее время суды вышестоящих инстанций стали возвращать в нижестоящие суды решения по случаям оспаривания отказов банками операций без согласия с требованием оценить применение антифрода банком к конкретному случаю. И это несмотря на фактическое отсутствие экспертного мнения в судах по данному вопросу.

Кроме того, регулятор уже несколько лет пытается добиться эффективности антифрода на стороне банка-получателя. Теперь у него есть возможность остановить перевод на два дня – об этом постоянно сообщают представители Банка России.

Михаил Горшков

Начальник отдела управления рисками в дистанционных каналах АО «Дальневосточный банк»

Дьявол, как известно, в деталях. Надо понимать, что на стороне банка-отправителя потенциальная или реальная жертва мошенничества, которая в общем случае заинтересована в сотрудничестве и предотвращении хищения своих средств. Обратная ситуация на стороне банка-получателя – потенциальный «дроп» (получатель украденных денег). В самом худшем случае он не склонен идти на контакт. И на данный момент дальше желания и гипотетической возможности дело не идет. Но эта история очень интересна регулятору.

Все эти тенденции, по мнению эксперта, логичны. Статистика по уровню операций без согласия не радует. И регулятор выбирает решать проблему через поднадзорные структуры. Это самый простой для него вариант.

Прогнозы юристов

Эксперты напоминают: количество кибератак за последние два года возросло в несколько раз. Кроме того, национальная информационная безопасность оказалась под угрозой из-за ухода западных компаний и запрета на использование их программ. Ситуация сказалась на всех отраслях, банки – не исключение. 

Андрей Завертяев

Юрист цифровой платформы по разработке и продвижению законодательных инициатив «Инициатор»

По статистическим данным, более 90% российских компаний (включая банковскую сферу) не защищены от атак даже самых низкоквалифицированных киберпреступников. Для предотвращения подобных взломов необходимо иметь не только хороший контроль внутри организации (что предполагают положения ст. 27 ФЗ «О национальной платежной системе»), но и искать принципиально новые меры по защите от цифровых рисков на государственном уровне.

Как быстро и что именно изменится в 161-ФЗ, зависит от нескольких факторов сразу – уточняют юристы. В первую очередь важно, станут ли проблемы безопасности национальной платежной системы очевидными для депутатов и будет ли политическая воля на решение этих вопросов именно сейчас.

Олег Матюнин

Адвокат, председатель комиссии Гильдии российских адвокатов по защите и безопасности бизнеса

Изменения законодательства могут быть обусловлены криминальными тенденциями – новыми способами хищений и видами посягательств на инфраструктуру НПС), а также появлением новых регуляторных и надзорных функций у Центробанка в сфере кибербезопасности национальной платежной системы (с расширением административных полномочий и новыми функциональными обязанностями).

Кроме того, эксперт считает, к новым поправкам в 161-ФЗ может привести появление нового государственного органа или специализированной организации, встроенной в систему ИБ национальной платежной системы.

Выводы

Национальная платежная система – это по-прежнему одна из самых сложных областей с точки зрения кибербезопасности. С одной стороны, банкам приходится соответствовать требованиям законодательства. С другой – со всеми блокировками счетов и проверками им нужно бороться за лояльность клиента.

Ситуация вряд ли изменится в будущем, считают эксперты. Более того,  законодательство будет меняться еще активнее. А значит, банкам придется балансировать и далее.