Банк России предлагает возложить на кредитные организации ответственность за возврат похищенных средств из банковских приложений клиентов, если деньги были украдены при помощи вируса. Однако эксперты указывают, что в данном случае приложение банка не взламывается, а открывается паролем, полученным по ссылкам, отправленным с помощью фишинговых писем или СМС. Современные же антивирусы против такого вредоносного программного обеспечения малоэффективны.
На совещании президента России Владимира Путина с правительством глава Банка России Эльвира Набиуллина обратила внимание на одну «тревожную тенденцию» — распространение вирусов, с помощью которых мошенники сначала скрытно получают контроль над телефоном жертвы, видят там все пароли, а затем получают контроль над приложением банка. По ее словам, банк с согласия клиента должен брать на себя и обеспечивать антивирусную защиту своего приложения. «Если клиент согласился, а банк оказался не в состоянии защитить свое приложение от взлома, он должен компенсировать похищенное»,— считает Эльвира Набиуллина.
В феврале на Уральском форуме по кибербезопасности глава ЦБ отмечала, что мошенники активно распространяют вредоносную программу типа SpyNote, с помощью которой открывают банковские приложения и крадут деньги со счетов россиян.
По данным ЦБ, за последние полгода около 40–50% хищений со счетов граждан были совершены именно так.
Юристы считают, что для того, чтобы ввести такую материальную ответственность банков, достаточно нормативных документов. По словам старшего юриста a.t.Legal Ильи Пасенко, поправками в закон «О национальной платежной системе», которые вступили в силу в середине 2024 года, введена ответственность банков за совершение ими операций со средствами клиентов без проверки, что такие операции совершает именно клиент, а не мошенники.
Таким образом, по его мнению, Банк России может своим приказом установить критерии мошеннических переводов с использованием программ-вирусов, ответственность же банков, в том числе по возврату средств клиента, будет наступать по действующему закону.
27,5 миллиарда рублей
похитили злоумышленники у клиентов банков в 2024 году, по оценке ЦБ
Вместе с тем юристы отмечают, что ссылки на скачивание вируса мошенники могут направлять с помощью фишинговых писем или СМС, которые замаскированы под легитимное приложение. При этом загрузка будет происходить не из официальных приложений. Директор петербургского офиса юридической компании «Митра» Алина Лактионова отмечает: «Такое действие может быть оспорено банками как необоснованное, если будет доказано, что клиент проявил грубую неосторожность, например скачав приложение из неофициального магазина или перейдя по фишинговой ссылке». По ее мнению, скорее всего, банки пропишут одним из условий освобождения от ответственности во взаимоотношениях с клиентами в таких ситуациях условие скачиваний только из официальных приложений.
Эксперты считают, что в случае, когда гражданин скачал на смартфон вирус, устанавливающий контроль злоумышленника над устройством и читающий его пароли и коды из СМС, некорректно говорить о взломе приложения банка.
МВА-профессор бизнес-практики по цифровым финансам РАНХиГС Алексей Войлуков отмечает, что в этом случае приложение самого банка взломано не было, а открыто корректно и наказывать его не за что. «Возможно, стоит потребовать от банка, чтобы его мобильное приложение работало только при одновременно корректно работающем антивирусе от производителя, одобренного ЦБ, и, если оно работает при отключенном антивирусе, тут может наступать ответственность банка»,— говорит он. Но если при работающем антивирусе деньги похищены, то, по его мнению, здесь должна наступать ответственность разработчика антивируса, а не банка.
На годовой коллегии МВД обсудили борьбу с IT-преступностью
Вместе с тем технический директор SafeTech Павел Мельниченко отмечает, что «антивирусы полезны в качестве средства цифровой гигиены, но малоэффективны против современных вирусов для мобильных платформ и мобильное приложение по управлению деньгами не должно полагаться только на него». В частности, в настоящее время для банковских приложений опасны два типа вирусов: удаленное управление (типа SpyNote) и перехват СМС/пуш-сообщений. Как поясняет господин Мельниченко, SpyNote позволяет управлять телефоном удаленно и любой сервис, вход в который или подтверждение операций основаны на СМС/пуш-сообщениях, может быть взломан с его помощью: «Госуслуги», мобильный банк или инвест-приложения. Поэтому у мошенников нет необходимости взламывать само банковское приложение.
В любом случае возможные требования регулятора потребуют от банков серьезных доработок своих мобильных приложений, расходы на которые будут переложены на клиентов. При этом, по словам Алексея Войлукова, мелким и средним банкам «может оказаться вообще проще отказаться от использования мобильного приложения», но тогда непонятно, как обеспечить, чтобы «все российские банки в будущем работали с цифровым рублем».