Бизнес ФМ часто получает письма об ограничениях, с которыми сталкиваются клиенты банков, попавшие в так называемую базу ЦБ. Редакция попросила представителей Банка России рассказать об этой «базе» и выяснила, что она существенно осложнила деятельность мошенников.

С момента старта работы «базы ЦБ» так называемый дроп-комплект из сим-карты и банковских доступов подорожал для злоумышленников минимум в 35 раз — с 2-3 тысяч до более чем 70 тысяч рублей.

О том, как работает «база ЦБ» на вход и выход, Бизнес ФМ рассказал директор департамента информационной безопасности Банка России Вадим Уваров. С ним беседовала Елена Марчукова.

В редакцию часто приходят обращения слушателей, связанные с блокировкой в рамках 161-го федерального закона. На что обращать внимание при сделках с криптовалютой? Как не быть заблокированным и как не попасть в базу недобросовестных от ЦБ?

Вадим Уваров: Прежде чем углубиться в детали, давайте уточним несколько ключевых моментов. Блокировкой по 161-му федеральному закону называют приостановку использования электронных средств платежа, то есть непосредственно использование карт и самого онлайн-банкинга. Все эти меры направлены против злоумышленников, которые участвуют в выводе и хищении денежных средств.

Сведения о таких людях и о таких событиях содержатся в специальной базе — базе о случаях и попытках осуществления операций без добровольного согласия клиента Банка России. Она включает паспортные данные лиц в обезличенном виде, номера телефонов, а также реквизиты банковских карт и счетов, на которые поступают похищенные деньги.

Сейчас у нас в базе находятся более 200 тысяч уникальных реквизитов. Я подчеркиваю, что речь здесь идет не о числе людей, а непосредственно об уникальных идентификаторах мошеннических операций. Сведения в нашу базу поступают из двух источников. Основным источником являются кредитные организации, банки. Вторым источником информации у нас является Министерство внутренних дел Российской Федерации. В основе этих сведений лежат заявления пострадавших, которые обращаются в финансовые организации и, соответственно, в полицию.

Дальше мы направляем информацию из базы, которую уже получили и обработали в Банке России, во все кредитные организации, которые обязаны ее использовать в своих антифрод-системах для того, чтобы предотвратить новые хищения, то есть новые переводы на счета злоумышленников. Вот так работает ФинЦЕРТ банка России, и проектировался он именно в этих целях. Поэтому база распространяется среди всех участников информационного обмена.

После того как мы сообщили финансовым организациям сведения из базы, если поступают сведения из МВД России, то по закону банк обязан приостановить использование карты, онлайн-банкинга. Это означает, что фактически в правоохранительных органах уже занимаются расследованием факта мошенничества, когда пришел запрос из МВД. Если информация поступила в базу от банков и никаких запросов из правоохранительных органов не приходило к нам, то приостановка дистанционного банковского обслуживания является правом банка. Банк может это осуществить либо не воспользоваться этим правом.

Если говорить о количестве реквизитов, то оно постоянно меняется в результате взаимодействия с банками и правоохранительными органами. С октября прошлого года мы обязали крупные банки внедрить в мобильные приложения специальный функционал. Это так называемая кнопка, которая позволяет подать заявление о мошеннической операции без посещения самого банка. Также можно получить справку для предоставления информации в полицию. Потому что иногда, когда люди обращаются с заявлением в полицию, они не могут прокомментировать, каким образом было совершено хищение, в какой банкомат человек внес денежные средства, на какие реквизиты он перевел деньги. Поэтому мы попытались создать некий сервис в виде помощника, когда человек может распечатать или предоставить эту справку для коллег из полиции, чтобы они корректно расследовали события. Благодаря такой информации наша база стала пополняться сведениями о хищениях небольших сумм, о которых ранее пострадавшие никуда не сообщали.

Банк России ежедневно получает заявления граждан и юридических лиц об исключении сведений из базы данных. Это отдельный трек работы. В первом квартале этого года к нам в интернет-приемную Банка России поступило порядка 68 тысяч таких заявлений.

Основной объем заявлений у нас поступает, конечно, от граждан, и гораздо меньше таких заявлений поступает от индивидуальных предпринимателей и юридических лиц. Основная категория — это молодежь в возрасте до 25 лет, именно от них чаще всего поступают запросы на исключение сведений из базы данных. Это порядка 53%, если брать в абсолютном количестве от всех, кто обратился в Банк России. Вовлечение молодежи в дропперство — это социально значимая проблема, которая находится в фокусе внимания Банка России.

Вы упомянули, что один из основных источников информации для базы — это банки. Но ведь клиенты банков могут пожаловаться друг на друга из личной неприязни или потому что хотят создать проблему деловому конкуренту. Как верифицируются такие жалобы?

Вадим Уваров: Для того чтобы человек попал в базу, заявитель должен не просто обратиться и заявить об операции без добровольного согласия. Он должен сначала перевести денежные средства, потом заявить об этом в свою финансовую организацию и также обратиться в МВД. Когда поступают сведения от банка-отправителя, в котором обслуживается жертва, то эти сведения поступают ФинЦЕРТ Банка России, и мы эту информацию запрашиваем еще у банка-получателя, в котором обслуживается так называемый потенциальный дроп.

Далее, когда мы получаем информацию о реквизитах этого лица, на которые были выведены денежные средства, мы проводим определенный скоринг. Есть определенные алгоритмы для того, чтобы подтвердить по характеру операции, насколько вероятна причастность человека к дропперской деятельности. И в дальнейшем уже эти сведения мы накапливаем у себя для того, чтобы их агрегировать, обрабатывать и передавать в финансовые организации.

По факту мы с такими случаями не встречались — когда люди специально хотели создать кому-то проблемы. Это достаточно быстро выявляется. И в своих комментариях мы постоянно разъясняем населению, что этот инструмент создан не для сведения счетов, а для борьбы с дистанционными хищениями и социальной инженерией.

Чаще просят себя исключить из базы добросовестные клиенты банков или действительно мошенники?

Вадим Уваров: Есть две категории граждан. Первые — те, кто действительно причастны к совершению преступления и фактически понимают, что на них выводятся денежные средства, похищенные у граждан. Но они могут быть вовлечены по незнанию. Первый сценарий — когда их вовлекли. Например, товарищ попросил получить деньги от кого-то, потому что в настоящее время у него нет с собой карты, обналичить, как говорится, по-дружески. Но по факту идет слепое вовлечение человека в вывод похищенных денег.

Бывает и такое, когда человек сам четко понимает, что это похищенные деньги, он сам их обналичивает. Соответственно, он должен осознавать все последствия данной деятельности.

Бывают случаи, когда человек просто создает условия для хищения. Например, продает доступ к своему онлайн-банкингу вместе с телефонным аппаратом, в котором установлено приложение банка, либо продает свою банковскую карту. Стоимость «дроп-комплекта» сейчас выше, чем два-три года назад, потому что сужается круг лиц, которые вовлекаются в дропперство. С учетом того, что база ЦБ уже заработала, правоохранительные органы могут задать вопросы: «От кого вы получили денежные средства? Как вы были вовлечены в это преступление?»

Какова стоимость этого «дроп-комплекта»?
Вадим Уваров: Вначале, когда все это начинало развиваться, карту можно было купить с рук за 2-3 тысячи рублей. Сейчас, по нашей оценке, стоимость «дроп-комплекта» составляет от 70 тысяч рублей. Потому что по факту начали использовать так называемые прогретые карты, когда карты, например, использовались при покупках в магазинах, когда человек вел обыденную финансовую жизнь и потом каким-то образом стал получателем денежных средств, похищенных у какого-то иного потерпевшего человека.
Злоумышленники тщательно готовятся к самому хищению: 50% успеха заключается в том, чтобы человека «развести» или создать специальные условия для того, чтобы он перевел денежные средства. Остальная часть заключается в том, чтобы получить эти денежные средства и фактически завладеть ими. Бывают случаи, когда переводят денежные средства на карты, которые уже находятся в базе, и здесь возникает история, когда злоумышленники либо фактически не могут снять денежные средства, либо не могут воспользоваться, так как на них наложены определенные ограничения. Поэтому стоимость «дроп-комплекта» выросла. Одна из задач Банка России — сделать дропперскую деятельность экономически невыгодной.
Как именно доказать, что ты добросовестный и не имеешь отношения ни к какой противоправной деятельности?

Вадим Уваров: Процедура обжалования включения сведений в базу данных четко регламентирована нормативным актом Банка России. Срок рассмотрения таких обращений составляет 15 рабочих дней. Изначально мы планировали использовать общую процедуру рассмотрения обращений граждан по 59-му федеральному закону, где этот срок рассмотрения составляет 30 суток с возможностью продления еще на 30 суток. Но с учетом того, что фактически принимаются серьезные меры по ограничению финансовой деятельности граждан, законодатель этот срок четко ограничил 15 рабочими днями.

Мы постоянно совершенствуем процессы, и в декабре прошлого года в тестовом режиме попытались эту процедуру усовершенствовать. В основе этой процедуры лежал возврат средств потерпевшему и урегулирование вопросов с правоохранительными органами. Для того чтобы человек мог выйти из базы, мы пошли на такой шаг: предложили потенциальному дропу либо человеку, попавшему в базу, но который считает себя непричастным к совершению преступления, самостоятельно урегулировать спор и перевести денежные средства потерпевшему человеку.

Как выглядит эта процедура? Мы поменяли формат ответов на поступающие обращения граждан об исключении из базы и теперь предоставляем полную подробную информацию о транзакции, из-за которой сведения попали в базу. С этой информацией человек может самостоятельно обратиться в банк плательщика для урегулирования вопроса, чтобы вернуть похищенные деньги и устранить первопричину возникшей проблемы.

Когда возбуждено уголовное дело по факту мошенничества, то здесь по согласованию с правоохранительными органами мы также предоставляем обратившемуся человеку информацию о номере уголовного дела и о территориальном органе МВД России, который ведет данное расследование.

Этот механизм заработал, он востребован. С начала марта этого года процедурой возврата похищенных денег через банки воспользовались порядка 3 тысяч человек. Общая сумма возвращенных денег этими людьми пострадавшим составляет более 150 млн рублей. По сравнению с общим объемом хищений это пока относительно небольшая сумма. Но если учесть, что эти возвраты были сделаны за полтора месяца и за каждым рублем стоит потерпевший, то очевидно, что это перспективное направление.

Стандартный сценарий: к нам обращается москвичка, многодетная мама, вполне добросовестный пользователь банка — с ее слов. Она участвует в не запрещенной законом так называемой сделке P2P (peer-2-peer), когда пользователи друг другу продают криптовалюту. Она свою валюту продала, за нее получила деньги от другого пользователя — вместе с блокировкой банковских счетов, потому что она стала жертвой мошеннической схемы, так называемого треугольника. Теперь для того чтобы покинуть базу данных ЦБ, она должна вернуть деньги, которые получила за свою криптовалюту, третьему лицу, которое вообще не участвовало в их сделке и которое на самом деле — пострадавшее лицо. Расследование идет в каком-нибудь отдаленном регионе, например Республике Башкортостан. Получается, что ты, будучи добросовестным пользователем банка, совершая законную операцию, можешь лишиться и криптовалюты, и денег. И это законно.

Вадим Уваров: Елена, на самом деле это мой любимый вопрос. Почему криптовалютчики попадают в нашу базу? Когда выстраивалась работа ФинЦЕРТ, мы не думали о том, что в эту базу будут попадать лица, связанные с продажей криптовалюты. На самом деле все риски от продажи криптовалюты люди несут самостоятельно, потому что они не знают, кому они ее продают. И в настоящее время вопрос о том, что денежные средства за продажу криптовалюты должны поступить от того же человека, не урегулирован.

Появился законопроект о регулировании продажи и покупки криптовалюты. Это отдельный трек, который в настоящее время обсуждают законодатели. Основная мысль заключается в том, что по факту данный человек, с одной стороны, тоже является потерпевшим. Но, с другой стороны, когда он получает денежные средства, он считает, что получает их деньги добросовестно за продажу своей криптовалюты. По факту же с человеком рассчитываются деньгами, украденными у другого человека. Только не рассчитываются, а переводят. Добросовестный криптовалютчик становится участником преступления с точки зрения хищения денег у другого человека.

Есть пример на эту тему, который я всегда привожу. Если, например, у человека украли машину, и потом вы ее добросовестно приобрели, машина же вряд ли останется у вас. Скорее всего, ее вернут первоначальному владельцу. Вопрос в том, что это будет сделано через определенные действия, например через суд.

Добросовестные криптовалютчики имеют право обратиться в суд для восстановления своих прав. Наверное, будет установлено, что они тоже являются потерпевшими. Но закон выстроен таким образом, что если человек получил похищенные денежные средства и по данному факту к нам пришел запрос из МВД, то на него налагаются определенные ограничения. Люди, которые попали в историю с «черными треугольниками», тоже попадают под действие данного закона.

Поэтому всем лицам, которые занимаются историями через покупку-продажу криптовалюты, мы очень рекомендуем быть осмотрительными. Люди, которые участвуют в продаже криптовалюты, не всегда читают правила площадок, где все риски за совершение таких операций возложены на самих продавцов.

Банк России не требует возврата, а предлагает механизм добровольного урегулирования спора. Есть люди, которые не идут на эти шаги, но, соответственно, у нас нет и оснований для урегулирования спора и выведения из базы. У таких граждан только один путь — суд. В качестве подтверждения доказательств, как правило, предоставляют скриншоты экрана телефона. Это даже не документальные материалы, на основании которых можно сделать вывод, кому человек продал криптовалюту, в каком объеме. Фотографии экрана телефона можно легко подделать. Подтвердить подлинность этих документов очень тяжело. По нашей оценке, этим должны заниматься представители правоохранительных органов. Разбираться в этом вопросе точно должен не Банк России.

Преследует ли Банк России цель сделать криптовалюту непривлекательным средством платежей, расчетов?
Вадим Уваров: Для нас все очень просто: если человек продает криптовалюту и получает денежные средства за ее продажу, когда не совершено преступление и нет хищения, у Банка России к этим сделкам нет никаких вопросов. Когда человеку переводят похищенные деньги, он попадает в базу. Люди, организующие «черные треугольники», целенаправленно передают реквизиты людей, которые продали криптовалюту, для того чтобы их реквизиты использовали злоумышленники при дистанционном мошенничестве.
Закон принимался законодателями для борьбы с социальной инженерией. Никто не планировал с использованием данных механизмов вводить какие-то ограничения для людей, которые продают либо покупают криптовалюту. У этого закона нет такой цели, и никаких механизмов для затруднения жизни людям, которые используют криптовалюту в своей деятельности, мы не планировали и не планируем.