В этом году главной темой конференции стало полное вступление в силу ФЗ-161 «О национальной платежной системе» (закон должен заработать с 1 января 2013 года). Наибольшую озабоченность у банков вызывает статья 9, которая позволяет клиентам опротестовать практически любую совершенную транзакцию. Раньше для возврата денег клиент должен был доказать, что он выполнил все требования безопасности банка, а теперь банк должен возвращать деньги, если не докажет, что клиент нарушил правила безопасности. На доказательство отводится очень короткий срок — неделя.
Банки боятся, что вместо мошенничества с дистанционным банковским обслуживанием, для защиты от которых был разработан закон, возникнет проблема мошенничества с возвратами платежей. Ведь теперь любая сделка, выполненная с соблюдением всех требований безопасности, может быть оспорена, и банку придется искать предлог для невозврата денег по платежу. Создается парадоксальная ситуация, когда банк заинтересован в обнаружении на рабочем месте клиента вредоносного кода, что является гарантией от последующего требования возврата платежа, хотя, конечно, клиент будет заинтересован в обеспечении безопасности транзакций.
Илья Сачков, генеральный директор Group-IB, считает, что в первое время действия нового закона уровень мошенничество с необоснованным требованием возврата денежных средств может достигнуть 15%. В своих прогнозах он сослался на опыт Франции, где аналогичный закон был введен несколько лет назад. Тогда уровень мошенничества с использованием данного закона составил около 5%. Впрочем, представители банков считают, что все зависит от позиции судов по этому вопросу: «Пробные инциденты, конечно, будут, и банкам придется их расследовать, чтобы доказать свою невиновность, — отметил Сергей Черноморов, председатель совета директоров платежной системы HandyBank, — однако все будет зависеть от доказательств, которые потребуются суду».
Следует отметить, что Центробанк организовал сбор статистики по инцидентам в банковской системе. Статистика по нарушениям уже собирается, и регулятор отмечает наличие банков с большим количеством инцидентов — до нескольких сотен в день. «Это означает, что система обработки событий в этих банках настроена неправильно, — отметил Андрей Курило, заместитель директора департамента регулирования расчетов Центробанка. — В большинстве же банков в день происходит не более двух-трех инцидентов». Регулятор рассчитывает подвести официальную статистику по инцидентам в банковской сфере, чтобы понять, насколько ситуация опасна.
Впрочем, по словам Курило, вполне возможно, что в положение о статистике по инцидентам добавятся новые требования по сбору статистики инцидентов, связанные с сохранением сеансовой информации, такой как IP- и MAC-адреса. Эти требования, скорее всего, не будут жесткими, поскольку банк далеко не всегда может точно установить адрес клиента. В любом случае банкам в своей системе придется собирать дополнительную информацию о работе клиентского приложения дистанционного банковского обслуживания: кроме информации о счетах и поручениях, им, скорее всего, придется фиксировать и указанные Центробанком сеансовые параметры соединения, а возможно, и более широкие данные: координаты из геолокационных сервисов, версии операционных систем и другие технические параметры транзакции. Все эти сведения могут пригодиться при проведении расследования и доказательства в суде неправомерных требований клиентов. Причем набор этих дополнительных параметров может различаться в разных банках — он будет определяться не только требованиями статистики Центробанка по инцидентам, но и требованиями судов по проверке соблюдения требований безопасности клиента.