Электронные деньги - сущность, функции. Современные системы электронных платежей

Кроме того, серьезный минус применения банковских карт в Сети — тяжелое наследие offline в виде операций типа MOTO (mail order telephone order). Любой человек, узнавший номер вашей карты, может заплатить вашими деньгами практически в любом интернетсервисе. Реквизиты вашей карты могут быть украдены когда и где угодно. Они воруются непосредственно в банках или магазинах (взлом баз данных хакерами, увольнение сотрудника магазина или банка или его прямой сговор со злоумышленниками). Официант ресторана или бара, на пару минут взявший прокатать вашу карту, может переписать себе ее реквизиты. Наконец, чтобы украсть реквизиты, достаточно подсмотреть их, стоя рядом с владельцем кредитки возле банкомата или в магазине.

Как защищается от киберпреступников финансово-банковский сектор?

Проблема стала настолько актуальной для российского банковского сообщества, что Банк России выпустил специальное Письмо от 30.01.2009 № 11?Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга», в котором содержатся описание мошеннических схем и перечень мер противодействия этим угрозам. Уже сейчас некоторые банки — эмитенты карточек поддерживают защищенную технологию передачи пользовательских данных 3D Secure. Целый ряд банков и ЭПС предлагают клиентам для вынужденных платежей по карте в Интернете получение виртуальной карты. Данная карта привязана к счету клиента, но ее не существует физически, а есть только ее номер. Пополнять карту нужно со счета в банке или платежной системе с помощью ЭЦП суммой, необходимой для текущей покупки, так, чтобы остаток на карте всегда был близок к нулю.

К сожалению, действительно серьезно к проблемам информационной безопасности и оценке связанных с ней рисков в России подходят лишь самые крупные банки и ЭПС, для небольших же финансовых институтов это не приоритетная задача. Зачастую банки просто не умеют обеспечивать эффективность своих затрат на информационную безопасность, и тогда реальные меры безопасности подменяются имитацией защиты, создавая у клиентов иллюзию защищенности. Бороться с высокотехнологичными преступниками надо постоянно и последовательно, а это недешево.

Существуют различные методы для борьбы с фишингом. Это в первую очередь обучение пользователей, браузеры, предупреждающие об угрозе фишинга, усложнение процедуры авторизации, борьба с фишингом в почтовых сообщениях, услуги мониторинга (некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов), юридические меры. Так, успешно действует схема сотрудничества антивирусной компании ESET с Банком ВТБ24 по нейтрализации мошеннического ПО: банкиры предоставляют сотрудникам ИТ-компании ссылки на сайты, после перехода на которые клиенты фиксировали хищения денежных средств со своих счетов, а те в свою очередь помогают банкирам расследовать преступления в системах ДБО. Отдельно хотелось бы упомянуть уникальный проект ИТ-компании и страховщика («Аладдин Р.Д.» и РОСНО) по страхованию клиентов дистанционного банкинга. Крупнейшая американская ЭПС PayPal с 2007 г. запустила Программу мониторинга платежей (Payment Review program). Эта программа — система раннего обнаружения — помогает защитить аукционных онлайн-продавцов от мошеннических платежей. Обнаружив сомнительный платеж, PayPal тут же пошлет продавцу тревожное оповещение по e-mail. Продавцу порекомендуют поместить платеж в статус «предстоящего», в то время как PayPal в течение суток проведет расследование. Если PayPal решит, что платеж вероятно законен, то уведомит продавца, что он может отправить товар, заказанный покупателем. Если PayPal решит, что платеж вероятно мошеннический, он будет автоматически отменен.

В ЭПС WebMoney с апреля 2010 г. вступили в силу новые требования для обменных пунктов: не совершать обмены в пользу третьих лиц. Клиент должен вводить/выводить средства в электронной валюте только на/со своего имени, свой банковский счет и т.д. В свою очередь Сбербанк в сентябре 2011 г. предупредил клиентов об участившихся случаях получения мошеннических sms-сообщений с информацией о блокировке карты, изменении ПИН и др. Ситибанк с июня 2011 г. предоставил себе право по новым договорам блокировать или приостанавливать использование банковской карты в случае нарушений со стороны клиента. При этом некоторыми экспертами отмечается, что банки зачастую неохотно идут на сотрудничество с правоохранительными органами в расследовании киберпреступлений, опасаясь за сохранность своей коммерческой информации или полагаясь на работу собственных служб безопасности (особенно в случаях, когда средства были украдены не со счета в этом банке).

Активную работу в области безопасности и управления рисками ведет Комитет по безопасности и управлению рисками Ассоциации российских членов Europay (АРЧЕ), также с 2008 г. работает закрытый межбанковский информационный ресурс, посвященный борьбе с карточным мошенничеством, — Форум безопасности АРЧЕ. В нем участвуют 170 человек из 86 банков, включая ЦБ РФ. Появлению в начале 2010 г. так называемого «банкоматного вируса» обязана своим рождением Экспертная ATM Группа. Она насчитывает 20 человек и работает на постоянной основе в тесном сотрудничестве с коллегами из European ATM SecurityTeam (EAST). Осенью 2010 г. АРЧЕ объявила о вступлении в Международный совет по стандартам безопасности индустрии платежных карт PCI SSC.

Проявляют ли достаточную активность российские правоохранительные органы?

Основные проблемы в расследовании подобных преступлений в России таковы: нехватка специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело до суда и обвинительного вердикта; лояльное законодательство по отношению к киберпреступности; некачественное взаимодействие с зарубежными структурами, борющимися с киберпреступниками. Непрост и вопрос квалификации действий киберпреступников: кража это или мошенничество? В 2006 г. суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Сергостьянц был приговорен к 6 годам условного срока и возмещению компаниям ущерба в размере 3 млн. руб. Первое крупное дело против банды фишеров началось осенью 2009 г. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере (было похищено не менее 6 млн. руб.). 26 декабря 2010 г. произошла подмена платежной страницы web-сайта Chronopay.com на фишинговую страницу. Временное похищение доменного имени компании сопровождалось размещением фальсифицированного письма ее руководителя, якобы информирующего всех клиентов компании о взломе ее базы данных, а также публикацией в Сети номеров нескольких сотен банковских карт и имен их держателей, частично собранных на фальшивой платежной странице web-сайта, просуществовавшей несколько часов. Приложив невероятные усилия, платежная система смогла вернуть домен всего за 3 дня, однако, по ее данным, в ходе фишинговой атаки пострадало порядка 490 человек. В марте 2012 г. автору статьи довелось комментировать сюжет для Первого канала, в котором с помощью альпинистского снаряжения в Москве брали киберпреступников. Управление «К» МВД России и центр информационной безопасности ФСБ пресекли деятельность преступной группы, которую организовали два брата. С компьютеров арендованного офиса они рассылали троянские программы на сайты известных организаций, интернет-изданий и банков. «При помощи вредоносной программы злоумышленники имели возможность управлять счетами организаций. Они перенаправляли денежные средства на свои счета, а впоследствии на пластиковые карты, которые были оформлены на подставных лиц, и дальше обналичивали денежные средства на территории города Москвы», — сообщила пресс-секретарь Управления «К» МВД России Л. Жукова. За полгода братья заработали больше 60 млн. руб. В тот же день МВД России заявило об окончании расследования первого в России уголовного дела о компьютерном фишинге2. По данным Следственного комитета МВД, два брата уже из Санкт-Петербурга с помощью студента калининградского вуза и фальшивой web-страницы ДБО меньше чем за год сняли денежные средства (более 13 млн. руб.) со счетов 140 человек из 46 регионов страны. Обвиняемым вменяется неправомерный доступ к охраняемой законом информации, использование и распространение вредоносных программ, а также мошенничество в особо крупном размере. Задержанным грозит десятилетний срок. В январе–сентябре 2011 г. следователи МВД России возбудили более 1000 уголовных дел по фактам мошенничества в сфере ИТ (за весь 2010 г. было возбуждено 750 дел). Эти данные обнародовал начальник Бюро специальных технических мероприятий (БСТМ) МВД России А. Машков на международной конференции Antifraud Russia 2011.

Сегодня Уголовный кодекс РФ содержит три статьи по компьютерным преступлениям. Но, безусловно, требуются их детализация и наработка прецедентов уголовного преследования по ним. Осенью 2011 г. российские парламентарии обсудили президентские поправки в Уголовный кодекс и предложили в отношении людей, нарушающих правила хранения и передачи компьютерной информации, вместо президентских трех лет лишения свободы установить срок пять лет, а максимальное наказание за создание вирусных программ снизить с пяти до четырех лет. Недавно Верховный суд РФ внес в Госдуму законопроект, добавляющий в Уголовный кодекс статью «Мошенничество с платежными картами». Делались предложения и по дополнению ст. 187 УК РФ. Согласно ее действующей редакции, изготовление в целях сбыта или сбыт поддельных кредитных либо расчетных карт, а также иных платежных документов, не являющихся ценными бумагами, наказывается лишением свободы на срок до 6 лет со штрафом в сумме от 100 до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет. Аналогичные деяния, совершенные организованной группой, наказываются лишением свободы на срок до 7 лет со штрафом в сумме до 1 млн. руб. или в размере заработной платы или иного дохода осужденного за период до 5 лет либо без такового.

Еще одной общей бедой как для отечественной экономики в целом, так и для рискографии финансово-банковской сферы является наличие десятков, если не сотен, тысяч «номинальных лиц» — это лица без определенного места жительства, недееспособные или алкоголики, чьи паспорта используются преступниками для регистрации компаний, получения карточек и кредитов. Подобная деятельность, разумеется, должна активнее отслеживаться банками и пресекаться правоохранительными органами. Следует отметить активность налоговых органов, которые за 2011 г. сильно «проредили поголовье» фирм-однодневок, добившись исключения из Единого государственного реестра юридических лиц сотен тысяч компаний, фактически не ведущих никакой деятельности. Однако и здесь работы непочатый край.

Как ведут себя законодатели и регуляторы?

Регуляторов в области информационной безопасности в нашей стране три: ЦБ РФ, ФСТЭК России1, ФСБ России. Основным документом по информационной безопасности банка является Стандарт Банка России: «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (СТО БР ИББС-1.0?2008). Ожидается новая редакция документа. Федеральный закон от 27.07.2006 № 152?ФЗ «О персональных данных» был принят еще в 2006 г. Но ни регулятор, ни сами банки к введению этого закона в полном объеме готовы не были. Это вызвало годичную отсрочку вступления закона в силу. Антиотмывочные поправки в законодательство ввели в России, как и практически во всех развитых странах, для банков и ряда других институтов обязанность идентификации плательщика, а вместе с ним — и выгода приобретателя. Всего два подряд нарушения этой обязанности в России могут стоить банку лицензии! Обсуждались четыре возможных варианта соблюдения данного правила. Это путь физического присутствия (сотрудника банка у терминала), путь биометрии (оба весьма дороги), путь, связанный с ЭЦП (требует предварительной поголовной электронной паспортизации россиян), и путь «избегания повторной идентификации» (например, на основе существующей идентификации клиентов мобильных операторов). Также применяется оформление сотрудников ритейлеров и почты, непосредственно общающихся с клиентом, как сотрудников банка, уполномоченных проводить идентификацию.

А что на Западе?

Первые компьютерные вирусы появились в 1986 г. Побороть с тех пор киберпреступность Запад, разумеется, не смог. Так, потери одной только Великобритании от кибермошенников за 2011 г. составили около 38,4 млрд. ($61 млрд.). Но правовой механизм защиты от подобных преступлений действует неумолимо и эффективно. Первый случай судебного преследования физического лица за изготовление и распространение компьютерного вируса имел место в 1995 г. Британец Кристофер Пойл (он же Черный Барон) признал себя виновным по 11 обвинениям по разделам 2 и 3 Закона о неправомерном использовании компьютерных технологий и был приговорен к 18?месячному сроку. Двадцать шестого января 2004 г. Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Уже в 2005–2006 гг. прошла серия задержаний фишеров в США, Бразилии, Японии, Великобритании, ряде европейских стран. Эта тенденция не теряет силу и поныне. Многочисленные резонансные «посадки» фишеров имели место и в 2010–2011 гг. В Великобритании в 2006 г. был принят Закон о мошенничестве, предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества. Активно борются с фишингом компания Microsoft, другие транснациональные корпорации, финансовые учреждения. Важный прецедент, заставляющий финансистов задуматься о сохранности клиентских персональных данных: в 2007 г. Norwich Union Life, один из крупнейших британских страховщиков, был оштрафован на рекордную сумму 1,26 млн. за то, что оказался не в состоянии защитить клиентов от мошенничества с персональными данными. Обманывая сотрудников call-центра страховщика, мошенники смогли украсть данные о 632 клиентах страховщика и успешно превратили в наличные 74 полиса общей стоимостью ?3,3 млн. Рекордный срок, запрошенный обвинением для фишера, — 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт и неправомерное использование товарных знаков (дело Дж. Бретт Гудина, США, 2006–2007 гг.). Комитетом министров Совета Европы в 2001 г. была принята Европейская конвенция о киберпреступности, нацеленная на создание международной структуры для борьбы с киберпреступлениями.

Правовая квалификация: хакер украл деньги у банка или у клиента?

В России клиент, у которого пропали средства со счета в банке, как правило, получает от банка отказ в возмещении украденных хакером средств со ссылкой на п. 3 ст. 845 Гражданского кодекса РФ. Указанный пункт гласит: «Банк не вправе определять и контролировать направления использования денежных средств клиента и устанавливать <…> ограничения его права распоряжаться денежными средствами по своему усмотрению». Нередко банк привлекает себе на помощь формулировки Федерального закона от 10.01.2002 № 1?ФЗ «Об электронно-цифровой подписи» и стандартные пункты договоров с клиентами об РКО, перелагающие на клиента ответственность за любые действия, осуществляемые с его ЭЦП. Статистика судебных тяжб банков с клиентами дает следующий результат: 70 на 301 в пользу банков. Иной порядок действует для клиентов ЭПС. Согласно частям 11–16 ст. 9 Федерального закона от 27.06.2011 № 161?ФЗ «О национальной платежной системе» в случае утраты электронного средства платежа (далее — ЭСП) и (или) его использования без согласия клиента обязанность (или отсутствие обязанности) оператора по переводу денежных средств возместить клиенту сумму операции, совершенной без согласия клиента после получения уведомления, зависит от анализа следующих моментов:

— имело ли место информирование клиента оператором по переводу денежных средств о совершенной операции?

 — имело ли место  информирование клиентом оператора  по переводу денежных средств  об утрате ЭСП и (или) его использования  без согласия клиента (не позже  дня т+1)?

 — смог ли оператор  по переводу денежных средств  доказать, что совершение операции  без согласия клиента обусловлено  нарушением самим клиентом порядка  использования ЭДС 2 ?

 При обсуждении проекта  этого закона Рабочей группой  при Комитете Госдумы РФ по  финансовому рынку нами высказывалось  опасение3, что данный порядок  приведет к шквалу киберпреступлений  в адрес ЭПС и их клиентов, причем настоящих жертв киберпреступников  трудно будет отделить от мнимых, вовремя заявляющих об утрате  ЭСП, но находящихся в сговоре  с преступниками. Операторы рынка  могут справиться с проблемой  путем ужесточения договорной  базы, вводя презумпцию ответственности  клиента за утрату ЭСП в  свои оферты… От этого, впрочем, клиентам не станет легче, а  кибермошенникам — труднее. Налицо  пока нерешенная проблема. Кардинально изменить ситуацию могут новые нормы, которые предлагается внести в Гражданский кодекс. Вот цитата из законопроекта: «Банк несет ответственность перед клиентом за списание денежных средств со счета по распоряжению неуполномоченного лица в размере списанной суммы и процентов, установленных пунктом 1 статьи 852 настоящего Кодекса, и в том случае, когда банк не мог установить, что распоряжение выдано неуполномоченным лицом». При этом «клиент должен действовать с необходимой осмотрительностью и заботливостью, чтобы не допустить распоряжение денежными средствами неуполномоченными лицами». Суд вправе уменьшить размер возмещаемых убытков, если банк докажет, что клиент не был достаточно осмотрителен. Однако доказывать это должен именно банк. А при наличии вины банка он обязан возместить клиенту причиненные убытки в полном объеме. Специалистами нашей компании был разработан специальный перечень критериев. Он в каждой конкретной ситуации позволяет обоснованно судить о том, были ли должным образом выполнены обслуживающим пострадавшего клиента банком, а также банком, в котором находится счет получателя инициированного хакером платежа, требования действующих нормативных актов, и, следовательно, о том, выполнили ли эти кредитные организации свои обязательства перед клиентом и государством. Трудно сказать, какой процент отечественных хакеров и их пособников будет в результате реализации описанного в статье комплекса защитных мер оказываться на скамье подсудимых и получать за виртуальные преступления реальные тюремные сроки. Можно быть уверенными в одном. Доверие клиентов к российским кредитным картам, ЭПС, к банкам в целом и к дистанционному банкингу как к наиболее удобному и дешевому инструменту взаимодействия с ними не должно быть утрачено.