Сегодня безналичные расчеты получают распространение в Украине, а их объемы и количество постоянно растут, так в 2017 году только объем безналичных операций с использованием платежных карт составил 835,0 млрд грн, что на 46,1% больше по сравнению с 2016 годом, а количество таких операций составила 2300000000 шт., что на 27,7% больше чем в 2016 году.

Вместе с тем на фоне общих положительных показателей развития рынка платежей и расчетов наблюдается высокий уровень количества случаев мошеннических операций с использованием платежных карточек и несанкционированного перевода средств со счетов клиентов, которые обслуживаются с помощью систем дистанционного обслуживания. Большую актуальность приобретают вопросы противодействия преступным действиям, связанным с использованием таких технологий.

Такая информация подтверждается как статистической отчетностью, представляемой банками в Национальный банк Украины (далее - Национальный банк) (например, в 2016 году - 94,6 тыс. Мошеннических случаев с платежными карточками на сумму - 177 200 000 грн, а в 2017 году - 77,6 тыс. случаев на сумму -163 700 000 грн соответственно), так и увеличением количества обращений / жалоб граждан Украины относительно безосновательного списания со счетов, невозврат (или преднамеренного невозврата) средств на счета держателей платежных карточек (по 2016 год - 1007 обращений граждан, а в 2017 году - 1287).

Специалисты банковской системы и правоохранительных органов отделяют такие основные виды мошенничества:

1. Мошенничество с использованием банкомата:

- снятие наличных с использованием "белого" пластика;

- использование скимминговых инструментов (копирование данных платежных карт в том числе с магнитной полосы, запись ПИН-кода и т.д.);

- снятие средств с использованием банкомата без отражения этой операции на счете (Transaction Reversal Fraud)

- снятие наличных держателем платежной карты без ее физического получения (Cash Trapping)

- физические атаки на банкоматы.

2. Интернет мошенничество:

- использование вредоносных программ (вирусов), поддельных сайтов с целью компрометации реквизитов электронных платежных средств и / или логинов / паролей доступа к системам интернет / мобильного банкинга;

- распространение (продажа, распространение) информации о скомпрометированных данных.

3. Мошенничество в терминальной сети:

- осуществление операций с использованием поддельной / похищенной / потерянной платежной карты;

- получение наличных через кассу банка по поддельным документам и платежной картой;

- проведение дублирующих операций кассиром / оператором;

- проведение несанкционированного / неточного списания (когда сумма на чеке и сумма, включенная в расчет, отличаются)

- компрометация кассиром данных платежной карты при расчетах в торгово-сервисной сети с целью их дальнейшего несанкционированного использования;

- использование накладок (скиммеров) на терминальном оборудовании, которое позволяет при осуществлении расчета считывать и передавать данные платежной карты (противоправная договоренность с кассирами)

- установки вредоносных программ которые повреждают программное обеспечение терминалов.

4. Мошенничество в системах дистанционного обслуживания (ДБО)

Несанкционированное вмешательство и / или установки вредоносных программ (вирусов), которые повреждают программное обеспечение персональных компьютеров и перехватывают пароли доступа к счетам, информацию из секретных ключей / токенов и тому подобное.

5. Социальная инженерия

Выманивания мошенниками, которые входят в доверие к владельцам счетов / держателей карт, их персональных данных, реквизитов платежных карточек или побуждение владельцев счетов к осуществлению перевода средств в пользу мошенников.

Отдельного внимания требует вопрос обработки рисков несоблюдения / нарушение банками требований и рекомендаций, касающихся финансового мониторинга, поскольку это создает дополнительную почву для внедрения мошенниками преступных схем и способствует увеличению возможных убытков от такого мошенничества.

Национальный банк Украины видит, что банки Украины должны усилить работу, связанную с предубеждением соответствующих рисков мошенничества. Учитывая указанное Национальным банком Украины подготовлены рекомендации по предотвращению и противодействию мошенничеству в банковской системе, которые прилагаются.

Предупреждение мошенничества с платежными картами

Для предотвращения и противодействия преступлениям с платежными картами банкам нужно направлять усилия на максимальное информирование клиентов - держателей платежных карточек.

Особого внимания требуют оговорки держателей платежных карточек не сообщать третьим лицам собственные персональные данные и / или реквизиты платежной карты (номер платежной карты, ПИН-код, CVV2, срок действия карты, а также код (пароль), который поступает на мобильный телефон для подтверждения перевода / платежа) и другие персональные данные, которые необходимы для осуществления переводов и платежей.

При осуществлении операций с использованием платежных карточек (в том числе мобильных платежей) держателям необходимо соблюдать правила безопасности, установленные банком-эмитентом, осуществлять постоянный контроль за движением средств, обновлять антивирусное программное обеспечение на персональном компьютере, осуществлять своевременное информирование банка об утрате платежной карточки или ее реквизитов или несанкционированные списания по счету, а также следовать рекомендациям, разработанных Национальным банком Украины.

Учитывая активное развитие такого направления, как электронная коммерция, банку необходимо подчеркивать клиентам о целесообразности сохранения (а в случае утраты - немедленного блокирования путем подачи соответствующей заявки к оператору сотовой связи) своего номера "финансового телефона", который может быть использован мошенниками для кражи средств преступным путем.

Подразделениям банков, которые отвечают за банковскую и информационную безопасность, нужно обеспечить высокий уровень безопасности платежей и расчетов, а также осуществлять мониторинг операций с использованием электронных платежных средств (и / или их реквизитов) в режиме 24/7. Мониторинг целесообразно осуществлять с помощью системы мониторинга, которая позволяет выявлять сомнительные операции и принимать меры для уменьшения потенциальных рисков.

Банкам следует сформировать и постоянно сопровождать базу данных инцидентов с электронными платежными средствами на основании данных системы мониторинга.

Мониторинг целесообразно осуществлять на основании информации из собственного процессингового центра (при его наличии) и / или независимого процессингового центра, с учетом внутрибанковских правил, разработанных в соответствии с требованиями законодательства Украины, нормативно-правовых актов Национального банка, правил платежных систем и с учетом требований этих рекомендаций.

В внутрибанковских правилах и договоре с клиентом банкам необходимо учитывать возможность урегулирования нестандартных ситуаций в процессе осуществления операций с использованием платежных карточек и рассматривать обращения / жалобы клиента в соответствии с условиями договора.

Использование систем дистанционного банковского обслуживания

Провести анализ программного обеспечения, установленного на веб-серверах систем "Клиент-Интернет-Банк", а также клиентских частей систем дистанционного банковского обслуживания (далее - ДБО), установленных у клиентов. Принять меры по обновлению устаревших версий программного обеспечения и установки актуальных обновлений безопасности и по устранению уязвимостей программного обеспечения ДБО, операционных систем, другого программного обеспечения, которое используется при подготовке и обмена платежными документами.

Применять защищенные носители ключевой информации для наложения электронной цифровой подписи и методы многофакторной аутентификации.

Разработать порядок действий работников и клиентов банка в случаях выявления несанкционированного доступа (или подозрения в попытке доступа) к счету.

Определить уполномоченных лиц банка, отвечающих за взаимодействие с правоохранительными органами, и порядок такого взаимодействия в случае обнаружения несанкционированных операций, осуществленных с использованием систем ДБО. При осуществлении мероприятий по оперативному обмену информацией, расследований фактов мошенничества, противодействия / предупреждения преступлений с ЭПС (в том числе по их реквизитам) и системами ДБО, представлении информации, заявлений по указанным фактам в правоохранительные органы, банкам следует соблюдать требования законодательства по вопросам защиты данных (клиентов, банков, торговцев и т.д.) и других правил безопасности.

Постоянно проводить разъяснительную работу среди клиентов по обязательному соблюдению требований по защите информации на рабочих местах, где установлена ​​система ДБО, а также по надлежащему обращению с носителями ключевой информации системы ДБО (разработка и доведение до клиентов типовых рекомендаций / инструкций для работы на компьютерах, где устанавливаются клиентские части ДБО, правил использования и хранения носителей ключевой информации).

Разработать памятку для клиентов с такими предупреждениями:

- Делайте невозможным посещение Интернета с персонального компьютера, на котором осуществляется подготовка и отправка документов в банк. Не посещайте сайтов сомнительного содержания и любых других интернет-ресурсов непроизводственного характера (социальные сети, конференции и чаты, телефонные сервисы т.п. ). Не читайте почту и не открывайте почтовых вложений электронной почты, которые поступили от неизвестных или подозрительных адресатов. Не следует осуществлять установку и обновление любого программного обеспечения не из официальных сайтов производителей.

- Настраивайте отдельно сетевое оборудование корпоративных и персональных компьютеров. Доступ к сети Интернет ограничивайте "белым списком" сайтов из всех рабочих мест, на которых осуществляется подготовка, подписание и отправка платежных документов. В "белый список" должны включаться только проверенные сайты самой организации, банков, налоговой службы, других государственных органов, доступ к которым необходим в производственном процессе, серверы обновлений системного и антивирусного программного обеспечения.

- Минимизируйте количество пользователей компьютеров, на которых осуществляется подготовка и отправка документов в банк. Целесообразно ограничить физический доступ к персональным компьютерам, на которых осуществляется подготовка и отправка документов в банк (предоставлять доступ исключительно ответственным работникам, непосредственно уполномоченные и имеют право проводить работы с программным обеспечением системы ДБО).

- Используйте современное антивирусное обеспечение, обновляйте и проводите антивирусную проверку на компьютерах. Подчеркиваем, что вредоносное программное обеспечение способно перехватывать любые данные из банков, персональных компьютеров клиентов и / или личных данных держателей ЭПС и сохранять / распространять такую ​​информацию для дальнейшего несанкционированного использования посторонними лицами преступным путем.

- Обеспечиваете своевременность установки обновлений безопасности операционной системы, браузеров и программного обеспечения компьютеров. Необходимо установить надежные пароли доступа на вход к персональному компьютеру, обеспечить периодическую смену этих паролей.

- Не допускайте несанкционированного использования ключей электронной цифровой подписи, храните ключевые носители способом, исключающим несанкционированный доступ к ним. Генерацию секретных ключей следует выполнять только самостоятельно. Никому (в том числе работникам банка) не сообщать и не передавать пароли к личным секретным ключей. Не записывайте и не храните пароли вместе с носителем ключа.

Финансовый мониторинг

Закон Украины "О предотвращении и противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения" (далее - Закон) обязывает субъектов первичного финансового мониторинга, которыми в том числе являются банки, осуществлять идентификацию, верификацию клиента (представителя клиента), изучение клиента и уточнения информации о клиенте в случаях, установленных законом, обеспечивать в своей деятельности управления рисками и разрабатывать критерии рисков, проводить анализ в соответствии финансовых операций, проводимых клиентом, имеющейся информации о содержании его деятельности и финансовом состоянии с целью выявления финансовых операций, подлежащих финансовому мониторингу, подтверждать при проведении верификации соответствие идентификационных данных личности клиента (представителя клиента) сведениям, указанным в полученных от него официальных документах, а также соответствие оформления официальных документов требованиям законодательства и проверять их силу (действительность) и др.

Согласно с  частью седьмой статьи 9 Закона и частью четвертой 64 Закона Украины "О банках и банковской деятельности" (далее - Закон о банках) банк имеет право истребовать, а клиент (лицо, представитель клиента) обязан предоставить документы и сведения, необходимые для осуществления идентификации и / или верификации (в том числе установление идентификационных данных конечных бенефициарных собственников (контроллеров), анализа и выявления финансовых операций, подлежащих финансовому мониторингу, и другие предусмотренные законодательством документы и сведения, которые истребует банк с целью выполнения требований законодавст ва, регулирующего отношения в сфере предотвращения легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения.

Согласно части первой статьи 10 Закона субъект первичного финансового мониторинга обязан отказать клиенту в обслуживании (в том числе путем расторжения деловых отношений), в частности, в случае установления факта подачи им при осуществлении идентификации и / или верификации клиента (углубленной проверки клиента) недостоверной информации или представления информации с целью введения в заблуждение субъекта первичного финансового мониторинга, а также имеет право отказаться от установки (поддержание) деловых отношений (в том числе путем расторжения деловых оотношений) или проведения финансовой операции в случае непредставления клиентом необходимых для изучения клиентов документов или сведений или установления клиенту неприемлемо высокого риска по результатам оценки или переоценки риска.

Закон (статья 6) и Закон про банки (статья 64) предоставляют банкам право потребовать информацию, касающуюся идентификации клиента (в том числе руководителей клиента - юридического лица, представителя клиента), изучение клиента, уточнение информации о клиенте, осуществления углубленной проверки клиента, у органов государственной власти, государственных регистраторов, банков, других юридических лиц , а также осуществлять мероприятия по сбору такой информации из других источников.

Согласно части седьмой статьи 64 Закона о банках, банк обязан истребовать у органов государственной власти, государственных регистраторов, банков, других юридических лиц информацию (официальные документы), необходимую (необходимые) для анализа соответствия финансовой операции содержания его деятельности и финансовому состоянию.

В случае необходимости получения от третьих лиц конфиденциальной информации о клиенте рекомендуем получать согласие клиента / предусматривать в соглашениях с клиентом право банка на получение соответствующей информации о нем.

Во время выполнения обязанностей по надлежащей идентификации и изучения клиентов банки должны уделять повышенное внимание детальному изучению документов, предоставляемых клиентом, в частности, с целью выявления среди них поддельных. Так, признаками подделки документов, по мнению Национального банка Украины, могут быть:

- несоответствие между штампом и печатью по наименованию юридического лица, несовпадение наименования юридического лица и / или идентификационного кода и / или информации о руководителе в документе данным, содержащимся в Едином государственном реестре юридических лиц, физических лиц - предпринимателей и общественных формирований (далее - ЕГР);

- подчистки, дописки, дорисовывание данных, наличие пятен на отдельных частях документов и тому подобное;

- отклонение от установленной формы документа, утвержденной соответствующим нормативно-правовым актом.

Особое внимание следует уделять оформлению документов, удостоверяющих личность. Так, существуют случаи подделки паспорта гражданина Украины, в частности путем изготовления нового или внесение изменений в настоящий документ. Чтобы выявить поддельный паспорт, прежде всего, необходимо установить, существует ли указанный государственный орган, выдавший документ, принадлежит ли ему оттиск печати, соответствует ли содержание штампов записям, которые в него внесены, правильно ли внесены отметки о семейном положении, месте жительства и т. д.  Внесение ложных сведений о владельце в настоящий паспорт (например, изменение даты рождения, фотографии) происходит, как правило, в потерянных (утерянных или похищенных) паспорте, полученные мошенническими действиями и тому подобное. Такие поддельные паспорта чаще всего используются с целью получения кредитов, продажи недвижимости, получения наличных в кассах банков и тому подобное.

С целью выявления утраченных или похищенных паспортов, могут быть использованы мошенниками с противоправной целью, банкам необходимо пользоваться базой данных по поиску паспорта гражданина среди похищенных и утраченных, администратором которой является Министерство внутренних дел Украины, а также в базе данных недействительных, похищенных или утраченных документов , удостоверяющие личность, которая доступна на официальном сайте Государственной миграционной службы Украины. Доступ к этим базам данных является бесплатным.

Кроме этого, рекомендуем банкам использовать информацию, изложенную в письме Национального банка Украины от 16.02.2007 № 48-012 / 214-1688 относительно способов подделки документов, их признаков и методики обнаружения.

В случае возникновения малейших подозрений, что паспорт гражданина Украины или другой документ, удостоверяющий личность и согласно законодательству Украины может быть использован на территории Украины для заключения сделок, который предоставил клиент (представитель клиента) для установления деловых отношений с банком (или получения банковских услуг ), является поддельным, рекомендуем банкам безусловно использовать полномочия, предусмотренные частью шестой статьи 9 Закона и частью седьмой статьи 64 Закона о банках, согласно которым банк имеет право потребовать, а государственные органы, государственные регистраторы обязаны в течение десяти рабочих дней со дня получения запроса предоставить соответствии с законодательством информацию, касающуюся идентификации и / или необходимой для изучения клиента, уточнение информации о нем или проведения углубленной проверки клиента.

Также широко распространена практика использования для проведения финансовых операций соглашений, содержащих недостоверную информацию относительно сторон, предмета, цены договора, местонахождение определенных объектов и тому подобное.

Кроме этого, обращаем внимание на необходимость внимательного изучения документов о полномочиях представителей клиентов, анализа соответствия учредительных документов юридического лица, сведений из ЕГР документам о назначении / делегирования полномочий и принятия мер для проверки всех сомнительных данных.

В случае возникновения подозрений о предоставлении клиентом (представителем клиента) поддельного документа банк имеет право сообщить об этом в органы Национальной полиции Украины.

НАЦИОНАЛЬНЫЙ БАНК УКРАИНЫ