Банк России планирует улучшить мониторинг переводов граждан в Системе быстрых платежей (СБП), чтобы препятствовать мошенническим операциям. Каждому переводу будет присваиваться риск-балл (уровень подозрительности транзакции) и банки будут делиться этими данными друг с другом, сообщил первый замдиректора департамента ЦБ по информационной безопасности Артем Сычев на XII Уральском форуме по безопасности финансовой сферы.
Когда деньги переводятся внутри банка, тот видит и получателя, и отправителя платежа. Это позволяет ему настроить правила противодействия мошенническим транзакциям, а в СБП механизм обмена данными об операциях отсутствует.
«СБП построена так, что банк отправителя не знает, кто на том конце, и не может принять правильное антифрод-решение, не может правильно выстроить риск-балл», — сказал Сычев. Он также пояснил РБК, что сейчас ЦБ консультируется с банками и другими участниками платежного рынка и пытается определить, на основе каких данных будет определяться риск-балл той или иной операции: «Думаю, что в ближайшее время мы с ними договоримся и сервис запустится в полном объеме».
Риск-балл может зависеть, например, от данных об отправителе и получателе средств, об особенностях формирования самого платежа, перечислил Сычев: «Благодаря этой информации банк получателя платежа будет знать о том, как воспринимать транзакцию с точки зрения фрода (мошенничества)».
ЦБ и Национальная система платежных карт (НСПК) разработали и представили участникам СБП механизмы развития антифрод-процессов в дополнение к уже действующим банковским системам безопасности. Доступ к новым механизмам они получат после того, как ЦБ опубликует обновленную документацию, сообщил РБК представитель НСПК.
СБП была запущена ЦБ и НСПК в начале 2019 года. Она позволяет переводить деньги между счетами разных банков по номеру телефона без участия карт, а с осени — оплачивать покупки с помощью сканирования смартфоном QR-кода. В СБП участвуют 37 банков и пять платежных компаний. К ней до сих пор не подключился Сбербанк.
Как Сбербанк ускорил работу ЦБ
По словам Сычева, стандарт информационного обмена СБП изначально предполагал, что операциям будет присваиваться риск-балл, но из-за новизны системы не хватало сведений о самих операциях. «Сейчас объем таких данных есть и мы можем говорить о каких-то практических шагах по улучшению этого сервиса», — сказал он РБК.
Ускоренной разработке системы обмена о переводах способствовал Сбербанк, знают два источника РБК на финансовом рынке. Как системно значимый банк, он обязан был по закону подключиться к СБП до 1 октября 2019 года, но не сделал этого до сих пор. Для Сбербанка было принципиально важно именно отстроить систему обмена информацией о переводах в СБП, чтобы банки могли предупреждать участников перевода о возможных мошеннических транзакциях и защищать своих клиентов, говорит один из собеседников. Риск-балл и обмен информацией появились бы и без Сбербанка, но позже, добавляет другой собеседник.
Небезопасность СБП — одна из причин, по которым Сбербанк вовремя к ней не присоединился, говорил ранее глава банка Герман Греф. «Мы видим, что пока это небезопасно, будем обсуждать, как нам всем вместе сделать это безопасным», — заявлял он. В январе 2020 года зампред правления Сбербанка Станислав Кузнецов рассказал, что банк направил в ЦБ предложения о совершенствовании кибербезопасности СБП.
Как новая система поможет бороться с мошенниками
Создать систему обмена данными о переводах на межбанковском уровне — задача достаточно сложная, но необходимая, это должно помешать мошенникам быстро выводить украденные деньги, считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. «Характеристики, которые могут включатся в риск-балл, позволят отследить все подозрительные операции: например, переводы на нехарактерную сумму или абсолютно новому получателю, операции с устройства, ранее замеченного в проведении подозрительных транзакций. Далее банк будет принимать решение о блокировке такого платежа и выяснять ситуацию с клиентом», — пояснил он.
«Как правило, фрод-мониторинг операций осуществляется при переводах внутри одного банка, он позволяет легко отследить мошеннические транзакции, поскольку банки знают своих клиентов и знают, что для них характерно, а что нет. Ответственность за такой мониторинг лежит на банках-эмитентах и платежных системах», — добавил Кузнецов.
ВТБ участвует в обсуждениях модернизации антифрод-системы для СБП и рассчитывает, что это повысит предсказательную способность его собственной антифрод-системы, сообщили в пресс-службе банка. Новый механизм должен повысить эффективность антифрод-системы СБП, полагает и директор департамента информационной безопасности МКБ Вячеслав Касимов. Альфа-банк анализирует операции через СБП с самого начала ее работы с помощью собственных внутренних антифрод-систем, замечает директор по цифровому бизнесу и член правления банка Иван Пятков. В банке «Русский стандарт» сообщили, что поддерживают инициативу ЦБ. Другие участники системы, а также Сбербанк не ответили на запросы РБК.
Евгения ЧЕРНЫШОВА