Докажи, что ты не дроп. Россияне могут столкнуться с блокировками счетов из-за попадания в базу данных ЦБ

С 25 июля вступил в силу закон о двухдневном периоде охлаждения. Теперь банки обязаны будут приостанавливать на два дня перевод клиента, если он отправляет деньги на подозрительный счет из специальной базы данных ЦБ. Мера направлена против дропперов (дропов) — людей, которые с разной степенью осознанности помогают мошенникам похищать средства граждан.

Для отправителя в этом больше плюсов, ведь если банк допустит оплошность, он должен будет по закону вернуть деньги, однако добросовестным получателям, которые по тем или иным причинам попали в базу, скорее всего, будет сложно доказать свою благонадежность. Если раньше с подобными трудностями сплошь и рядом сталкивался бизнес, теперь это может коснуться и обычных граждан.

Главная польза инициативы в том, что, если банк сразу переведет деньги по реквизитам, указанным в специальной базе данных «О случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента», он будет должен вернуть всю сумму клиенту в течение 30 календарных дней. Это новелла, потому что сейчас в большинстве случаев вернуть деньги жертве мошенников не удается. Банки ссылаются на то, что клиент сделал перевод на «безопасный счет» добровольно.

Теперь кредитные организации должны будут сверять реквизиты получателя с базой и в случае соответствия приостанавливать перевод на два дня, сразу сообщив клиенту причину. Как правило, ему приходит СМС-сообщение или пуш-уведомление.

Даже если клиент подтвердит свое согласие или попробует совершить операцию повторно, деньги все равно не отправятся, пока не истек период охлаждения. Он отсчитывается от момента, когда клиент дал согласие на операцию или попытался совершить ее снова, и заканчивается на следующий день в 24 часа.

Если время вышло и клиент все-таки настаивает на переводе, ответственность за дальнейшую судьбу денег с банка снимается. И если на том конце провода действительно были мошенники, шансов вернуть похищенное мало. Хотя в 2023 году банкам и удалось вдвое увеличить долю возвращенных средств, но речь все равно идет только о 8,7 % (1,38 млрд рублей) от общего объема украденного мошенниками.

Закон направлен на борьбу с дропами. Это люди, которые помогают мошенникам по своей воле или нет — предоставляют свои счета или снимают наличные с карт в банкоматах по заданию «работодателя». Сомнительный заработок предлагают в интернете, и обычно откликаются на такие «вакансии» люди, которые остро нуждаются в деньгах, — социально неблагополучные категории граждан, студенты и даже подростки, которые с согласия родителей могут получить карты с 14 лет. При этом граждане могут не понимать, что помогают обманывать пенсионеров и других доверчивых граждан.

Банки и другие участники информационного обмена с ЦБ предоставляют регулятору информацию о счетах, замеченных в таких операциях. Так и появилась специальная база данных. Как отмечает ЦБ, реквизиты попадают туда после дополнительной проверки, а еще сведения могут поступать из МВД. «Уже сейчас в нашей базе тысячи таких счетов», — сообщил на днях директор Департамента информационной безопасности ЦБ Вадим Уваров. Более точное количество реквизитов, попавших в черный список, не называется.

На самом деле банки и раньше должны были приостанавливать переводы на счета из базы данных ЦБ. Разница в том, что теперь, допустив подобное, они несут ответственность перед клиентом и должны давать ему двухдневный период на обдумывание своих действий.

Наличие счета отправителя в базе — это один из признаков мошеннической операции, которая должна быть приостановлена. Также приостановка была обязательна для нетипичных операций (по сумме перевода, периодичности, времени и месту совершения) и совершаемых с устройства, которое, по данным регулятора, использовалось ранее злоумышленниками.

С 25 июля ЦБ расширил список признаков мошеннических операций с трех до шести. Теперь приостановка возможна, если мошенническим счет признала собственная антифрод-система банка, даже если пострадавшие клиенты не жаловались в кредитную организацию на обман и реквизитов получателя нет у регулятора. Кроме того, банки обязаны приостанавливать зачисление денег, если им поступила информация о возбужденном уголовном деле в отношении получателя, и учитывать данные сторонних организаций, например операторов связи. Они сообщают, если засекли подозрительную активность абонента перед переводом.

При выявлении хотя бы одного из этих признаков банк с сегодняшнего дня должен приостановить перевод на два дня. Если человек подтверждает перевод или совершает его повторно, распоряжение должно быть исполнено, но только если счета получателя нет в той самой мошеннической базе данных.

Инициатива скорее позитивная и в какой-то степени она усложнит работу мошенников, но не стоит ждать, что это панацея, говорит специалист по кибербезопасности, руководитель аналитического центра Zecurion Владимир Ульянов.

«Эта база может использоваться для идентификации тех злоумышленников, которые уже попались. Но опять же надо понимать суть их работы. Если они попались, большинство их, что называется, явок и паролей [скомпрометированы], они уже понимают, что не смогут их эффективно использовать, поэтому будут перебирать какие-то другие инструменты, другие возможности находить», — говорит он.

С другой стороны, что отличает использование дропов от другого типа мошенничества — создания фишинговых сайтов? Количество людей, которые могут оформить карты, не бесконечно, как и число карт, доступных для оформления, в то время как фишинговых сайтов можно создать миллионы, сколько их ни блокируй. Со временем база будет расширяться, и чем дольше она просуществует, тем более эффективной будет, считает эксперт.

По его мнению, мошенники будут находить другие способы вывода денег, привлекать еще людей, возможно, нерезидентов или тех, кто периодически въезжает и выезжает из страны, но это затруднит им жизнь и повысит для них стоимость «услуг» дропов. «Что касается попадания добропорядочных людей, я надеюсь, что процент ошибок будет ничтожно мал, хотя исключать такое, конечно, не стоит», — отмечает Ульянов.

Как в случае с любым новым механизмом, проверка реквизитов по базе может работать неидеально. В перечне могут оказаться не только действительно причастные к преступлениям счета, но и данные добросовестных граждан и компаний. О том, что это реальные риски, уже заговорил бизнес. Как пишет «Коммерсант», ЦБ планирует рассмотреть вопрос исключения из черного списка законопослушных организаций. Регулятор запросил у банков сведения о таких юрлицах. В разговоре с изданием глава Национального совета финансового рынка (НСФР) Андрей Емелин отметил, что «потенциальный «белый» список будет небольшим». Попавшие в «черный» люди и организации столкнутся с серьезными трудностями.

Во-первых, если сведения о вас или вашей организации попали в базу данных, банки имеют право приостановить использование ваших платежных карт и других электронных средств платежей до тех пор, пока информация не будет исключена. А если данные поступили из МВД, банки просто обязаны их заблокировать.

Во-вторых, добиться исключения сведений о себе из базы можно, но сделать это непросто. Есть два способа: обратиться с заявлением в любой из банков, где клиент обслуживается, или напрямую в интернет-приемную ЦБ, выбрав в качестве темы обращения «Информационную безопасность». Гражданам в заявлении нужно указать ФИО, серию и номер паспорта, названия банков, которые сообщили о включении сведений в базу, номера счетов, карт или электронных кошельков, а также номер телефона. Для ИП и компаний этот список короче, но отличается не сильно — например, предпринимателям и фирмам обязательно нужно указать ИНН и для последних не нужно ФИО. Подробные списки можно найти на сайте регулятора. Кроме того, обратиться с заявлением в ЦБ может сам банк, если считает, что данные о его клиенте попали в базу необоснованно.

Банк России в течение 15 рабочих дней рассмотрит заявление и примет решение о целесообразности исключения реквизитов из базы данных. Решение в зависимости от способа обращения либо придет клиенту напрямую, либо через банк.

Если пришел отказ, единственный способ его оспорить в соответствии с законом (369-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе») — обращаться в суд.

«Формально решение об отказе в удовлетворении заявления о разблокировке принимается ЦБ РФ, что указывает на то, что именно он будет являться надлежащим ответчиком в суде, но в зависимости от конкретных обстоятельств не исключено, что зачастую банк-оператор будет привлекаться к участию в деле в качестве соответчика», — говорит управляющий партнер бюро юридических стратегий Legal to Business Светлана Гузь.

Четких рекомендаций, как избежать блокировки, нет, но если она произошла, паниковать не стоит. Деньги со счета можно получить в отделении банка, предъявив паспорт или другое удостоверение личности. Зарплата и социальные выплаты продолжат приходить, их можно будет получить аналогичным образом.

Пытаться открыть счета в других банках до разрешения ситуации с проблемным счетом точно не стоит, предупреждает Светлана Гузь. «Даже при обращении в другую кредитную организацию с большой долей вероятности банк откажет в открытии нового счета, поскольку, как только банк блокирует расчетный счет, информация сразу же направляется в службу Росфинмониторинга и такой клиент автоматически попадает в «черный список» банков», — отмечает она.

Кроме того, такие действия могут негативно быть восприняты самими банками и судом, если до него дойдет.

Компании и ИП на протяжении многих лет сталкиваются с приостановками операций по счетам и отказами в открытии новых счетов от банков в связи с подозрениями в нарушении антиотмывочного законодательства. Последней инновацией в этом плане был запуск платформы «Знай своего клиента» (ЗСК) в июле 2022 года. Идея в том, что система делит организации по уровню риска на «зеленых», «желтых» и «красных». Больше всего достается последним — им могут заблокировать счет без возможности вывести средства. На старте сообщалось, что эту группу составляют 0,7 % юрлиц и ИП, но в первый год работы платформы доля выросла вдвое, до 1,4 % (98 тысяч из 7 млн зарегистрированных компаний и ИП).

Разумеется, систему много критиковали, в частности за то, что под раздачу попадают не только мошенники, но и законопослушные предприниматели. «Фонтанка» описывала несколько подобных кейсов и длинную процедуру оспаривания статуса. Для начала компании нужно выяснить у банка, что именно он посчитал тревожным сигналом, продираясь через чат-боты к живым сотрудникам. Чтобы успешно оспорить присвоение уровня риска, нужна конкретика. Если уладить вопрос с банком не получилось, следующий шаг — обращение в межведомственную комиссию ЦБ и Росфинмониторинга. Если комиссия оставляет решение в силе, можно обратиться в суд.

По словам Светланы Гузь, сейчас действительно участились случаи блокировки банками расчетных счетов — чаще всего по мотивам антиотмывочного 115-ФЗ. Он предусматривает достаточно широкие основания для приостановки операций по счетам и даже ограничения доступа к личному кабинету.

«В последнее время это часто является проблемой даже для самых благонадежных участников оборота. При этом внесение изменений в закон о национальной платежной системе делает полномочия банков по блокированию счетов еще шире», — говорит юрист.

По ее словам, судебная практика, как правило, встает на сторону заявителей, если удается подтвердить реальность операций достаточным объемом документов, но их объем может существенно отличаться от случая к случаю. «При должном скрупулёзном подходе к делу суды довольно часто встают на сторону бизнеса», — подчеркивает она.

Процедуру обжалования планируют ускорить и приблизить к той, что касается исключения из «мошеннической» базы данных. Компания и ИП, которым присвоили высокий уровень риска, смогут обращаться с заявлениями напрямую в ЦБ, а тот будет рассматривать их в течение 15 дней. Как говорил «Коммерсанту» вице-президент Ассоциации банков России Алексей Войлуков, межведомственная комиссия «действует не особенно оперативно».

Чтобы предотвратить попадание в группу риска, предпринимателям советуют качественно проводить проверку контрагентов, избегать транзитных операций, множественных юридических адресов и стараться избегать совмещения должностей, надлежащим образом вести и хранить первичную учетную и бухгалтерскую документацию. Также для организаций важно поддерживать связь с банком в случае необходимости.

Евгения Горбунова, «Фонтанка.ру»