Методические рекомендации Банка России от 28 февраля 2024 г. № 3-МР “Методические рекомендации по усилению кредитными организациями информационной работы с клиентами в целях противодействия осуществлению переводов денежных средств без добровольного согласия клиента, а также заключению договоров на получение кредитных (заемных) денежных средств под влиянием обмана или при злоупотреблении доверием и осуществлению операций с использованием указанных денежных средств, а также вовлечению граждан в деятельность по выводу и обналичиванию средств, полученных преступным путем” (документ не вступил в силу)
Согласно статистической информации Банка России наблюдается значительное число переводов денежных средств без добровольного согласия клиента, а именно без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием (далее - перевод денежных средств без добровольного согласия клиента), в том числе с использованием методов социальной инженерии1.
Злоумышленники осуществляют действия, направленные на лишение граждан как собственных, так и кредитных (заемных) денежных средств, договоры на получение которых граждане заключают под влиянием обмана или при злоупотреблении их доверием со стороны злоумышленников, а также действия, направленные на вовлечение граждан, в частности молодежи, в деятельность по выводу и обналичиванию денежных средств, полученных преступным путем, в том числе с использованием электронных средств платежа (далее - ЭСП) указанных граждан (далее - дропперство).
В связи с изложенным Банк России рекомендует кредитным организациям усилить информационную работу, направленную на повышение осмотрительности клиентов в отношении сохранности информации, используемой в целях осуществления банковских операций, в частности перевода денежных средств, заключения договоров на получение кредитных (заемных) денежных средств, в том числе с использованием систем дистанционного банковского обслуживания, а также на повышение осведомленности о признаках и последствиях вовлечения в дропперство.
Обязанность кредитных организаций, предусмотренная пунктом 7 Положения Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", может быть реализована посредством информирования клиентов, в том числе о рисках передачи посторонним лицам информации (например, персональных данных, реквизитов платежной карты, пароля из СМС, секретных слов и так далее), использование которой указанными лицами может привести к совершению перевода денежных средств без добровольного согласия клиента.
Кредитным организациям рекомендуется усилить разъяснительную работу с клиентами, чтобы обеспечить доступность восприятия доводимой информации.
Банк России рекомендует кредитным организациям не реже одного раза в полгода оценивать показатели указанной разъяснительной работы и при необходимости актуализировать перечень мероприятий в целях повышения ее результативности. Актуализацию рекомендуется проводить с учетом результатов анализа данных об охвате аудиторий и динамики количества событий, связанных с получением от клиентов информации об осуществлении переводов денежных средств без добровольного согласия клиента и заключении договоров на получение кредитных (заемных) денежных средств под влиянием обмана или при злоупотреблении их доверием со стороны злоумышленников, а также вовлечением в дропперство.
Оперативное получение клиентом (держателем платежной карты) информации о совершенных операциях с использованием платежной карты позволяет ему своевременно выявлять операции, совершаемые без его согласия, проинформировать кредитную организацию - эмитента об этом и приостановить действие платежной карты, что является ключевым фактором оперативного пресечения правонарушений и минимизации убытков в финансовой системе.
В связи с этим Банк России рекомендует кредитным организациям при выборе бесплатного способа информирования клиента о совершенной операции в соответствии с частью 4 статьи 9 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" учитывать необходимость оперативного получения клиентом такой информации.
1. Для информирования клиентов о рисках осуществления переводов денежных средств без добровольного согласия клиента, а также о рисках заключения договоров на получение кредитных (заемных) денежных средств под влиянием обмана или при злоупотреблении доверием и осуществления операций с использованием указанных денежных средств Банк России рекомендует кредитным организациям проводить на постоянной основе:
1.1. Разработку и актуализацию информационно-просветительских материалов2, а также материалов для проведения занятий по финансовой киберграмотности.
1.2. Разработку и актуализацию сценариев разговора (скриптов) для взаимодействия с клиентами при заключении договоров на получение кредитов (займов) при снятии крупных сумм наличных денежных средств, а также при выявлении наличия в операциях признаков осуществления перевода денежных средств без добровольного согласия клиента.
1.3. Информирование клиентов об их правах, предусмотренных законодательством Российской Федерации, а также нормативными актами Банка России,
1.4. Включение информационно-просветительских материалов в рекламные материалы кредитной организации, в том числе размещаемые посредством инструментов наружной рекламы, рекламы в средствах массовой информации и информационно-телекоммуникационной сети "Интернет" (далее - сеть Интернет).
1.5. Размещение информационно-просветительских материалов:
в приложениях дистанционного банковского обслуживания (например, на авторизационных заставках и при осуществлении операций по банковскому счету);
на экранах банкоматов (на заставках и при осуществлении операций по банковскому счету; на экранах банкоматов в виде отдельной заставки с повторением после каждой иной заставки);
на сайте кредитной организации в сети Интернет, в том числе в специальном разделе о противодействии осуществлению переводов денежных средств без добровольного согласия клиента, с постоянным анонсированием данного раздела на главной странице сайта кредитной организации в сети Интернет в первом экране в виде отдельного слайдера, баннера и (или) ссылки;
на страницах кредитной организации в социальных сетях в сети Интернет и мессенджерах;
в помещениях и витринах офисов кредитной организации, в том числе в зоне банкоматов, входной группы, в кассовом узле и местах обслуживания клиентов.
1.6. Проведение обучающих мероприятий, в том числе в игровой форме, также на сайте кредитной организации в сети Интернет и на страницах кредитной организации в социальных сетях и мессенджерах.
1.7. Осуществление регулярного SMS-информирования клиентов или направление им push-уведомлений не реже 1 раза в квартал не менее 80% клиентов.
1.8. Обеспечение взаимодействия работников контакт-центров, онлайн- чатов, онлайн-видеоконсультаций, офисов кредитной организации с клиентами с использованием сценариев разговора (скриптов) для определения и выведения клиента из-под воздействия злоумышленников, например, в случае заключения договоров на получение кредитных (заемных) денежных средств, осуществления операций по снятию крупных сумм наличных денежных средств, а также при выявлении наличия в операциях признаков осуществления перевода денежных средств без добровольного согласия клиента.
Кроме того, кредитным организациям рекомендуется предусмотреть возможность информационного обмена с операторами связи по передаче телефонных номеров, с которых совершались подозрительные звонки3. Кредитным организациям рекомендуется предоставлять клиентам сервисы определителя номера телефона, а также иные сервисы, позволяющие своевременно информировать клиента (до осуществления перевода денежных средств) о наличии признаков осуществления перевода денежных средств без добровольного согласия клиента, фишингового и мошеннического ресурсов.
Кредитным организациям также рекомендуется предоставлять клиентам антивирусные программы и антиспам-системы, в том числе путем встраивания их в приложения дистанционного банковского обслуживания.
При осуществлении клиентами операций с использованием банкоматов рекомендуется внедрение двухфакторной аутентификации, позволяющей проследить связь между держателем ЭСП и лицом, осуществляющим операцию в банкомате.
Кредитным организациям рекомендуется постоянно повышать уровень квалификации сотрудников, которые взаимодействуют с клиентами, в части компетенции по вопросам противодействия осуществлению переводов денежных средств без добровольного согласия клиента, а также заключению договоров на получение кредитных (заемных) денежных средств под влиянием обмана или при злоупотреблении доверием и осуществлению операций с использованием указанных денежных средств.
2. В целях информирования клиентов о рисках и последствиях вовлечения в дропперство (об ответственности за участие в дропперстве, о действиях кредитных организаций в отношении дистанционного банковского обслуживания клиентов, участвующих в дропперстве), формирования негативного образа дропа и профилактики вовлечения в дропперство Банк России рекомендует кредитным организациям осуществлять на постоянной основе:
2.1. Разработку и актуализацию информационно-просветительских материалов, а также материалов для проведения обучающих мероприятий.
2.2. Включение информационно-просветительских материалов в рекламные материалы кредитной организации, в том числе размещаемые посредством инструментов наружной рекламы, рекламы в средствах массовой информации и в сети Интернет.
2.3. Размещение информационно-просветительских материалов:
в приложениях дистанционного банковского обслуживания (например на авторизационных заставках);
на сайте кредитной организации в сети Интернет, в том числе в специальном разделе о противодействии осуществлению переводов денежных средств без добровольного согласия клиента с постоянным анонсированием данного раздела на главной странице сайта кредитной организации в сети Интернет в первом экране в виде отдельного слайдера, баннера и (или) ссылки;
на страницах кредитной организации в социальных сетях в сети Интернет и мессенджерах;
в помещениях и витринах офисов кредитной организации, в том числе в зоне банкоматов, входной группы, в кассовом узле и местах обслуживания клиентов.
2.4. Регулярное проведение обучающих мероприятий, включая обучающие мероприятия в игровой форме, в том числе на сайте кредитной организации в сети Интернет и на страницах кредитной организации в социальных сетях и мессенджерах;
2.5. Осуществление регулярного SMS-информирования клиентов или направления им push-уведомлений не реже 1 раза в квартал не менее 80% клиентов.
Кроме того, в целях противодействия дропперству кредитным организациям при осуществлении клиентами операций с использованием банкоматов рекомендуется внедрение двухфакторной аутентификации, позволяющей проследить связь между держателем ЭСП и лицом, осуществляющим операцию в банкомате.
Банк России рекомендует кредитным организациям при разработке информационно-просветительских материалов, а также при применении каналов и методов их распространения учитывать особенности различных категорий граждан, в том числе социально уязвимых категорий (пожилые граждане, лица с инвалидностью и ограниченными возможностями здоровья и так далее).
Настоящие методические рекомендации подлежат размещению на официальном сайте Банка России в сети Интернет и применяются с 25 июля 2024 года.
С указанной даты отменяются Методические рекомендации по усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям от 19 февраля 2021 года N 3-МР.
Заместитель Председателя Банка России |
Г.А. Зубарев |
------------------------------
1 Статистическая информация размещена на официальном сайте Банка России http://www.cbr.ru/information_security/statistics/.
2 Информационно-просветительские материалы - листовки, брошюры, видео- и аудиоролики и иной контент.
3 Звонки с телефонных номеров, в отношении которых имеется информация об их принадлежности злоумышленникам.
Обзор документа
ЦБ выпустил новые рекомендации для банков по предупреждению клиентов о рисках хищений собственных и кредитных средств злоумышленниками, а также последствиях вовлечения в деятельность по выводу и обналичиванию похищенных денег (дропперство). Они начнут применяться с 25 июля 2024 г.
В частности, рекомендуется разработать сценарии для бесед сотрудников с клиентами при возникновении подозрений, что человек находится под влиянием мошенников и может лишиться денег.
Банкам предстоит создать сервисы, позволяющие клиентам определить подозрительные звонки, а также антивирусные программы, которые помогут уберечь граждан от хищений денег. При этом рекомендуется учитывать особенности различных категорий граждан, в т. ч. социально уязвимых (пожилые люди, инвалиды и другие).
Для банкоматов рекомендуется внедрить двухфакторную аутентификацию. Она позволит проследить связь между держателем электронного средства платежа и лицом, осуществляющим операцию в банкомате.