Банкам рекомендовано расширить каналы о рисках кибермошенничества

Банк России обновил методические рекомендации для банков по предупреждению клиентов о рисках хищений собственных и кредитных денег злоумышленниками, а также последствиях вовлечения в деятельность по выводу и обналичиванию похищенных денег (дропперство). Документ расширяет перечень каналов и мероприятий, которые следует использовать при информировании людей.

Регулятор рекомендует банкам разработать сценарии для бесед сотрудников с клиентами при возникновении подозрений, что человек находится под влиянием мошенников и может лишиться денег. Кроме того, банкам рекомендовано предоставлять клиентам сервисы по определению подозрительных звонков и антивирусные программы, в том числе встроенные в мобильные приложения кредитных организаций, которые помогут уберечь граждан от хищений.

Методические рекомендации начнут действовать с 25 июля 2024 года. К этому времени банки смогут подготовиться к исполнению рекомендаций, которые будут способствовать снижению потерь граждан от действий кибермошенников.

Текст документа: 

Центральный банк Российской Федерации (Банк России)

Методические рекомендации по усилению кредитными организациями информационной работы с клиентами в целях противодействия осуществлению переводов денежных средств без добровольного согласия клиента, а также заключению договоров на получение кредитных (заемных) денежных средств под влиянием обмана или при злоупотреблении доверием и осуществлению операций с использованием указанных денежных средств, а также вовлечению граждан в деятельность по выводу и обналичиванию средств, полученных преступным путем

28.02.2024 №3-МР

Согласно статистической информации Банка России наблюдается значительное число переводов денежных средств без добровольного согласия клиента, а именно без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием (далее – перевод денежных средств без добровольного согласия клиента), в том числе с использованием методов социальной инженерии.

Злоумышленники осуществляют действия, направленные на лишение граждан как собственных, так и кредитных (заемных) денежных средств, договоры на получение которых граждане заключают под влиянием обмана или при злоупотреблении их доверием со стороны злоумышленников, а также действия, направленные на вовлечение граждан, в частности молодежи, в деятельность по выводу и обналичиванию денежных средств, полученных преступным путем, в том числе с использованием электронных средств платежа (далее – ЭСП) указанных граждан (далее – дропперство).

В связи с изложенным Банк России рекомендует кредитным организациям усилить информационную работу, направленную на повышение осмотрительности клиентов в отношении сохранности информации, используемой в целях осуществления банковских операций, в частности перевода денежных средств, заключения договоров на получение кредитных (заемных) денежных средств, в том числе с использованием систем дистанционного банковского обслуживания, а также на повышение осведомленности о признаках и последствиях вовлечения в дропперство.

Обязанность кредитных организаций, предусмотренная пунктом 7 Положения Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», может быть реализована посредством информирования клиентов, в том числе о рисках передачи посторонним лицам информации (например, персональных данных, реквизитов платежной карты, пароля из СМС, секретных слов и так далее), использование которой указанными лицами может привести к совершению перевода денежных средств без добровольного согласия клиента.

Кредитным организациям рекомендуется усилить разъяснительную работу с клиентами, чтобы обеспечить доступность восприятия доводимой информации.

Банк России рекомендует кредитным организациям не реже одного раза в полгода оценивать показатели указанной разъяснительной работы и при необходимости актуализировать перечень мероприятий в целях повышения ее результативности. Актуализацию рекомендуется проводить с учетом результатов анализа данных об охвате аудиторий и динамики количества событий, связанных с получением от клиентов информации об осуществлении переводов денежных средств без добровольного согласия клиента и заключении договоров на получение кредитных (заемных) денежных средств под влиянием обмана или при злоупотреблении их доверием со стороны злоумышленников, а также вовлечением в дропперство.

Оперативное получение клиентом (держателем платежной карты) информации о совершенных операциях с использованием платежной карты позволяет ему своевременно выявлять операции, совершаемые без его согласия, проинформировать кредитную организацию – эмитента об этом и приостановить действие платежной карты, что является ключевым фактором оперативного пресечения правонарушений и минимизации убытков в финансовой системе.

В связи с этим Банк России рекомендует кредитным организациям при выборе бесплатного способа информирования клиента о совершенной операции в соответствии с частью 4 статьи 9 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» учитывать необходимость оперативного получения клиентом такой информации.

1. Для информирования клиентов о рисках осуществления переводов денежных средств без добровольного согласия клиента, а также о рисках заключения договоров на получение кредитных (заемных) денежных средств под влиянием обмана или при злоупотреблении доверием и осуществления операций с использованием указанных денежных средств Банк России рекомендует кредитным организациям проводить на постоянной основе:

1.1. Разработку и актуализацию информационно-просветительских Материалов, а также материалов для проведения занятий по финансовой киберграмотности.

1.2. Разработку и актуализацию сценариев разговора (скриптов) для взаимодействия с клиентами при заключении договоров на получение кредитов (займов) при снятии крупных сумм наличных денежных средств, а также при выявлении наличия в операциях признаков осуществления перевода денежных средств без добровольного согласия клиента.

1.3. Информирование клиентов об их правах, предусмотренных законодательством Российской Федерации, а также нормативными актами Банка России.

1.4. Включение информационно-просветительских материалов в рекламные материалы кредитной организации, в том числе размещаемые посредством инструментов наружной рекламы, рекламы в средствах массовой информации и информационно-телекоммуникационной сети «Интернет» (далее – сеть Интернет).

1.5. Размещение информационно-просветительских материалов:

в приложениях дистанционного банковского обслуживания (например, на авторизационных заставках и при осуществлении операций по банковскому счету);

на экранах банкоматов (на заставках и при осуществлении операций по банковскому счету; на экранах банкоматов в виде отдельной заставки с повторением после каждой иной заставки);

на сайте кредитной организации в сети Интернет, в том числе в специальном разделе о противодействии осуществлению переводов денежных средств без добровольного согласия клиента, с постоянным анонсированием данного раздела на главной странице сайта кредитной организации в сети Интернет в первом экране в виде отдельного слайдера, баннера и (или) ссылки;

на страницах кредитной организации в социальных сетях в сети Интернет и мессенджерах;

в помещениях и витринах офисов кредитной организации, в том числе в зоне банкоматов, входной группы, в кассовом узле и местах обслуживания клиентов.

1.6. Проведение обучающих мероприятий, в том числе в игровой форме, также на сайте кредитной организации в сети Интернет и на страницах кредитной организации в социальных сетях и мессенджерах.

1.7. Осуществление регулярного SMS-информирования клиентов или направление им push-уведомлений не реже 1 раза в квартал не менее 80% клиентов.

1.8. Обеспечение взаимодействия работников контакт-центров, онлайн-чатов, онлайн-видеоконсультаций, офисов кредитной организации с клиентами с использованием сценариев разговора (скриптов) для определения и выведения клиента из-под воздействия злоумышленников, например, в случае заключения договоров на получение кредитных (заемных) денежных средств, осуществления операций по снятию крупных сумм наличных денежных средств, а также при выявлении наличия в операциях признаков осуществления перевода денежных средств без добровольного согласия клиента.

Кроме того, кредитным организациям рекомендуется предусмотреть возможность информационного обмена с операторами связи по передаче телефонных номеров, с которых совершались подозрительные звонки.

Кредитным организациям рекомендуется предоставлять клиентам сервисы определителя номера телефона, а также иные сервисы, позволяющие своевременно информировать клиента (до осуществления перевода денежных средств) о наличии признаков осуществления перевода денежных средств без добровольного согласия клиента, фишингового и мошеннического ресурсов.

Кредитным организациям также рекомендуется предоставлять клиентам антивирусные программы и антиспам-системы, в том числе путем встраивания их в приложения дистанционного банковского обслуживания.

При осуществлении клиентами операций с использованием банкоматов рекомендуется внедрение двухфакторной аутентификации, позволяющей проследить связь между держателем ЭСП и лицом, осуществляющим операцию в банкомате.

Кредитным организациям рекомендуется постоянно повышать уровень квалификации сотрудников, которые взаимодействуют с клиентами, в части компетенции по вопросам противодействия осуществлению переводов денежных средств без добровольного согласия клиента, а также заключению договоров на получение кредитных (заемных) денежных средств под влиянием обмана или при злоупотреблении доверием и осуществлению операций с использованием указанных денежных средств.

2. В целях информирования клиентов о рисках и последствиях вовлечения в дропперство (об ответственности за участие в дропперстве, о действиях кредитных организаций в отношении дистанционного банковского обслуживания клиентов, участвующих в дропперстве), формирования негативного образа дропа и профилактики вовлечения в дропперство Банк России рекомендует кредитным организациям осуществлять на постоянной основе:

2.1. Разработку и актуализацию информационно-просветительских материалов, а также материалов для проведения обучающих мероприятий.

2.2. Включение информационно-просветительских материалов в рекламные материалы кредитной организации, в том числе размещаемые посредством инструментов наружной рекламы, рекламы в средствах массовой информации и в сети Интернет.

2.3. Размещение информационно-просветительских материалов:

в приложениях дистанционного банковского обслуживания (например на авторизационных заставках);

на сайте кредитной организации в сети Интернет, в том числе в специальном разделе о противодействии осуществлению переводов денежных средств без добровольного согласия клиента с постоянным анонсированием данного раздела на главной странице сайта кредитной организации в сети Интернет в первом экране в виде отдельного слайдера, баннера и (или) ссылки;

на страницах кредитной организации в социальных сетях в сети Интернет и мессенджерах;

в помещениях и витринах офисов кредитной организации, в том числе в зоне банкоматов, входной группы, в кассовом узле и местах обслуживания клиентов.

2.4. Регулярное проведение обучающих мероприятий, включая обучающие мероприятия в игровой форме, в том числе на сайте кредитной организации в сети Интернет и на страницах кредитной организации в социальных сетях и мессенджерах;

2.5. Осуществление регулярного SMS-информирования клиентов или направления им push-уведомлений не реже 1 раза в квартал не менее 80% клиентов.

Кроме того, в целях противодействия дропперству кредитным организациям при осуществлении клиентами операций с использованием банкоматов рекомендуется внедрение двухфакторной аутентификации, позволяющей проследить связь между держателем ЭСП и лицом, осуществляющим операцию в банкомате.

Банк России рекомендует кредитным организациям при разработке информационно-просветительских материалов, а также при применении каналов и методов их распространения учитывать особенности различных категорий граждан, в том числе социально уязвимых категорий (пожилые граждане, лица с инвалидностью и ограниченными возможностями здоровья и так далее).

Настоящие методические рекомендации подлежат размещению на официальном сайте Банка России в сети Интернет и применяются с 25 июля 2024 года.

С указанной даты отменяются Методические рекомендации по усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям от 19 февраля 2021 года № 3-МР.

Заместитель Председателя Банка России Г.А. Зубарев