Дарья Верестникова, коммерческий директор SafeTech
На прошлой неделе Госдума приняла, а Совет Федерации одобрил закон, дающий право гражданам устанавливать самозапрет на оформление кредитов в банках (микрозаймов в МФО). Принят был этот документ для защиты граждан от социальных инженеров, которые убеждают доверчивых банковских клиентов оформить потребительский кредит и перевести его на «безопасный счет». На фоне новостей о новом законе появилось немало радужных комментариев от разных экспертов в стиле «наконец!», «дождались». Я не настолько явно разделяю всеобщую радость. Для меня очевидно – законодатели были вынуждены принять этот закон для защиты граждан от мошенников, хотя на самом деле невыдачей кредитов в пользу социальных инженеров озаботиться должны были прежде всего сами банки. То есть закон – благо, но у проблемы могло бы быть и иное решение.
Проблема социальной инженерии действительно серьезная. По данным ЦБ, мошенники в 2023 году похитили у клиентов банков 15,8 млрд руб., что на 11,5% больше, чем годом ранее. При этом, как отмечала глава ЦБ Эльвира Набиуллина, социальная инженерия все больше и больше перетекает в кредитный фрод, каждый четвертый рубль, похищенный из банков, - заемные средства. То есть, потери от кредитов в пользу мошенников составили в прошлом году порядка 4 млрд руб.
Сократить количество подобных инцидентов необходимо, другой вопрос - как. Я всегда считала и продолжаю считать, что именно кредитные организации должны прилагать максимум усилий для защиты своих клиентов от различных киберугроз (утечек персональных данных, социальной инженерии, взлома мобильного банка), меняя процессы, устанавливая новый софт или внедряя решения по безопасному подтверждению финансовых операций. Для этого у банков есть все ресурсы – деньги, квалифицированные специалисты. Однако для кредитных организаций повышение уровня безопасности – это не только дополнительные расходы, но и лишние телодвижения – нужно менять бизнес-процессы, внедрять софт, привыкать к изменениям. Зачем это все, когда забота о клиентах в очень многих кредитных организациях не более чем маркетинговый слоган? Поскольку в случае кредитов в пользу мошенников убытки несет не банк, а жертва атаки, то какой смысл банкам стараться и что-то изобретать для сокращения инцидентов, это не их печаль и не их потери. Далеко не все кредитные организации ведут себя подобным образом – есть те, кто реально инвестирует в безопасность своих клиентов. И правильнее было бы банкам перенимать опыт более клиентоориентированных коллег. Но нет.
Я переживаю, что благодаря новому закону отдельные банки могут сделать спасение утопающих заботой исключительно самих утопающим. Если граждане хотят защититься от социальных инженеров, то они должны сами проявить инициативу - сходить в МФЦ и устанавливать самозапрет (подать заявление через Госуслуги). На основании этого заявления бюро кредитных историй будет делать соответствующую пометку в кредитной истории человека и, вуаля, ни банк, ни микрофинансовая организация не смогут выдать потребительский кредит или займ (до снятия запрета). Исключение – ипотека, автокредит, кредит на образование. С точки зрения не самых ответственных банкиров все выглядит весьма удобно – кредитная организация не предпринимает ничего, ее клиенты сами защищаются. Установили запрет – молодцы, не установили – сами виноваты.
Опять же – прекрасно, что законодатель дал возможность людям защитить себя (а в отдельных случаях – и родственников) с помощью самозапрета. Но, как вы думаете, сколько людей реально пойдут в МФЦ с этой целью? Мне кажется – максимум 5% от работоспособного населения, остальные понадеются на «авось». Самозапрет через Госуслуги – более рабочий вариант, но и там, с учетом закредитованности и инертности населения, будет еще максимум 5%. Защиты всех и вся не будет.
На мой взгляд, существует куда более эффективные и не нуждающийся в принятии новых законодательных актов способ существенно сократить количество мошеннических кредитов – просто не раздавать ссуды людям не убедившись, что они точно осознают, что делают. Например, правильное предложение высказала на недавнем Уральском форуме глава ЦБ – ввести период охлаждения, чтобы с момента одобрения до возможности получения реальных заемных денег проходило до 48 часов. У человека будет возможность остановиться, подумать. Кроме того, в большинстве случаев мошенничеств при переводе заемных средств на «безопасный счет» клиент подтверждает транзакцию кодом из СМС, не видит деталей операции и не может понять, что деньги уходят вовсе не в ЦБ, а на карту физлица. Качественные антифрод-системы и работа с клиентами также снижают уровень мошенничеств.
И, повторюсь, на финансовом рынке есть примеры, когда банки ведут активно борются с кредитным фродом: к работе с клиентами, ведомыми социальными инженерами, подключают профессиональных психологов; внедряют безопасные способы подтверждения транзакций; даже кейсы с введением по инициативе кредитной организации периода охлаждения на рынке есть.
Но пока это лишь разрозненные инициативы отдельных игроков. И депутаты вынуждены принимать законы, которые могут хоть немного изменить ситуацию.