Гроші у небезпеці. Чи є управа на цифрових шахраїв і в чиїх вона руках

У попередній публікації я навів деякі статистичні дані з різних видів онлайн-шахрайства в Україні. Оцінки кількості постраждалих починаються з десятків тисяч, сукупного збитку — сотнями мільйонів гривень.

Фахівці визнають, що у цих злочинів дуже висока латентність, тобто частка постраждалих, що не заявляють про скоєні злочини. Іншими словами, ми бачимо лише верхівку айсберга.

Виникає питання хто ж протидіє "цифровому свавіллю"? Чи є управа на шахраїв і в чиїх вона руках? Якщо говорити про органи влади, на передньому краю боротьби з шахрайствами у цифровому середовищі знаходяться Національний банк України (НБУ) і Національна комісія з регулювання звʼязку та інформатизації (НКРЗІ).

У комерційному секторі найбільше цією проблемою займаються банки, небанківські фінансові установи та оператори мобільного звʼязку.

Давайте розглянемо, як стосуються ці прекрасні люди до найбільш вивченої проблеми — протиправному заволодінню номерів мобільного звʼязку для подальших атак на фінансові, цифрові та інші активи громадян.

• НБУ

На жаль, в Нацбанку цю проблему просто ігнорують. Всупереч рекомендаціям Євросоюзу, НБУ не бачить проблеми у використанні номерів мобільного звʼязку для ідентифікації користувачів фінансових послуг.

З його боку немає ні офіційних рекомендацій на цей рахунок, ні нормативних вимог. Як результат, фінансові установи надходять як бог на душу покладе, або зовсім ігноруючи ризики своїх клієнтів, або обмежуючись половинчастими заходами.

Причини такого ставлення банківського "регулятора", швидше за все, приховані в його оцінках масштабів проблеми. Згідно представлених недавно даних сума втрат від незаконних операцій такого типу склала приблизно 0,0061% від загального обсягу. На думку НБУ, це занадто мало, щоб бити на сполох і псувати банкам життя.

• Варто зазначити, що точно так само, тобто ніяк, в НБУ реагують на іншу болючу проблему — масові зловживання так званих небанківських фінансових установ.

Під цією невинною вивіскою ховаються сумнозвісні "мікрофінансові організації" (МФО), найбільш криміналізований різновид кредитного бізнесу.

Щоб максимально спростити собі життя, МФО масово використовують укладення кредитних договорів онлайн, без особистого спілкування із заявником. Відверто криві, "діряві" з точки зору безпеки процедури укладення кредитних договорів викликали до життя масову практику їх оформлення на випадкових осіб, чиї копії паспорта злочинці здобувають в тих самих банках та обмінних пунктах.

НБУ не тільки не поклав край цим порочним практикам, але збирається їх остаточно легалізувати. Вивчення офіційних коментарів відомства змушує зробити висновок про, то чи некомпетентність, чи то неадекватність його співробітників.

• НКРЗІ

Відомство, яке регулює, між іншим, мобільний звʼязок, безпекову проблематику у цифровому світі, по-перше, щиро не розуміє, а по-друге — ігнорує.

Наприкінці минулого року НКРЗІ з третьої спроби протягла новий порядок процедури перенесення номерів мобільного звʼязку. Ключовою новацією стала подача заяви оператору, до якого хоче перейти на обслуговування заявник.

Абсолютна більшість учасників публічного обговорення висловилися проти таких змін. Справа у тому, що зараз заяву отримує той самий оператор, який обслуговує абонента, і знають про нього майже всі.

Немає проблеми упевнитися, що заявник справді є законним користувачем номеру, який переноситься. Новий порядок відкриває дорогу для крадіжки номера, на що вказували його критики.

Озвучені представниками НКРЗІ контраргументи змушують зробити висновок, що вони просто не розуміють предмет, який беруться обговорювати. Наприклад, вони зажадали від операторів довести актуальність проблеми розкрадання номерів. Це просто безглуздо, оскільки подібна інформація знаходиться у банківських установ і поліції.

• Банки

Банківські установи повертаються обличчям до цієї проблеми без особливого бажання. Їм дуже подобається використовувати мобільний звʼязок як просту, зручну і, головне, безкоштовну заміну професійних засобів ідентифікації клієнтів.

Щоб вирішити проблему крадіжки номерів необхідна допомога з боку операторів звʼязку. Оператори хочуть за це грошей, а це зовсім не те, що може бути цікаво банкірам.

Довгий час банківська спільнота ігнорувала стогони своїх постраждалих клієнтів і вмовляння операторів спільними зусиллями вирішити проблему. Тон тут ставив тоді ще приватний Приватбанк і його команда нестримних інноваторів. Саме ці люди і поклали початок використанню мобільного звʼязку для ідентифікації клієнтів.

Націоналізація Приватбанку допомогла зрушити цей камінь з місця. Починаючи з 2018 року українські банки впроваджують у себе спеціалізовані послуги, розроблені для них операторами мобільного звʼязку.

За словами представників професійних асоціацій, у 2020 році ця практика стала масовою, а з початку 2021 року розпочинає приймати риси обовʼязкової для поважаючих себе банківських установ.

• Небанківські фінансові установи

Левову і найбільш токсичну частину небанківських фінансових установ складають мікрофінансові організації. Це дуже специфічний бізнес, у якого завжди були великі проблеми з репутацією.

Ці проблеми виникли не на порожньому місці — МФУ безперервно шукають (і знаходять!) Можливість обійти усталені норми, щоб зменшити свої витрати і збільшити охоплення потенційної клієнтури.

Для них критично важливо максимально спростити процедуру підписання кредитної угоди. Безпека громадян хвилює ці контори в найостаннішу чергу.

Зіткнувшись з терором впевнених у своїй безкарності мерзотників, не маючи грошей і сил на малоефективні засоби правового захисту, які постраждали за краще віддати чужі борги.

• Оператори мобільного звʼязку

Поки що єдині, хто по-справжньому зацікавлений у вирішенні проблеми крадіжки "фінансових" номерів — оператори мобільного звʼязку. Хитромудрі банкіри і МФУ мало того що використовують операторські мережі не за призначенням — вони фактично переклали на операторів репутаційні ризики.

Наприклад, у Приватбанку традиційно відфутболювали своїх клієнтів, які втратили гроші через крадіжку номера. Їм пропонувалося вимагати відшкодування у оператора, який, мовляв, не проявив достатню пильність.

На щастя, після націоналізації банку крига скресла і банківські установи починають звертатися до операторів за спеціалізованими послугами.

На сьогоднішні відомі кілька подібних послуг, призначених для захисту номера мобільного звʼязку від заволодіння шахраями.

Наприклад, коли останній раз номер, який перевірявся, переносили на іншу карту.

Якщо це сталося кілька годин або хоча б днів тому — це привід для особливої уваги. Є можливість перевірити скільки різних телефонів використовувалися з номером, що перевіряється. Якщо їх занадто багато — це також привід для занепокоєння.

В ідеалі, банки повинні використовувати для ідентифікації своїх клієнтів повноцінні рішення, вже давно представлені на ринку. Однак поки що для цього немає ні нормативних вимог регулятивних органів, ні інтересу самих банкірів.