Банк России намерен признать потери клиентов банков от атак хакеров и мошенников, использующих социальную инженерию, к операционным рискам, пишет «Коммерсантъ». Регулятор будет «накапливать статистику, классифицировать клиентские потери, анализировать их и требовать от банков устанавливать лимиты допустимых потерь». В случае превышения границы ЦБ будет «настаивать, чтобы банк принимал меры».
Эксперты с опаской относятся к инициативе Банка России и видят в идее больше популизма, чем реальной возможности повлиять на операционные банков. Кроме того, если клиент сам совершил операцию, пусть и при использовании против него социальной инженерии, то в отчетность этот случай включается только при обращении клиента в банк и в правоохранительные органы. Всего 4% граждан подают такие заявления.
Самым распространенным видом кибермошенничества — более 80% случаев — в 2018 году стала социальная инженерия – метод получения доступа к информации, основанный на психологии людей, показали результаты исследования Сбербанка. Например, клиент размещает объявление на сайте, от потенциального «покупателя» совершается звонок, в ходе которого клиент сам сообщает ему реквизиты своей банковской карты, зачастую даже предоставляя СМС-пароли для того, чтобы злоумышленник мог совершить все операции от имени клиента.
В дополнительном сборе характеристик операционного риска есть предел разумной целесообразности, за которым этот сбор только усложняет процесс, не принося дополнительной пользы. Поэтому важно соблюдать баланс между защитой и требованиями, заключили эксперты.