1. Ввести цифровые технологии в аналоговые процессы
В настоящее время мошенники в финансовой сфере активно используют не только социальную инженерию, представляющую собой психологическое манипулирование людьми, активное развитие получили направления, связанные с инвестициями, где обещаются высокие доходы за короткий срок. То есть можно смело говорить, что стали возвращаться схемы, связанные с пирамидами и лжеброкерами.
Тут принцип связан не с запугиванием жертвы, а с выстраиванием доверительных отношений. Присылаются консультантами в личные сообщения видео, где демонстрируется паспорт, сам владелец паспорта, что становится гарантией того, что жертва общается с реальным человеком. Также доводится информация о возможности обращения в суд и к правоохранительным органам, если это будет необходимо клиенту.
После этого идут консультации в мессенджерах, представление договора и тд.
После перевода денег, через короткий промежуток времени, сообщают о готовности вернуть вложения с обещанным процентом, но необходимо заплатить налог на полученный доход, что приводит к переводу денег. Каждый раз приходят сообщения, что снова произошло увеличение дохода, нужно доплатить налог и тд.
Деньги переводятся разным владельцам банковских счетов.
Если в процессе перевода денег жертва отказывается переводить оставшуюся часть денег, ей угрожают обращением в налоговую и МВД, с заявлением об уклонении от уплаты налогов.
Все схемы мошенничества имеют минимум один общий фактор - это использование дроперов (используются PtoP переводы или СБП).
Использование дроперов происходит также на платформах объявлений, где размещаются различные объявления о продаже товаров.
Существенно финансовая грамотность не поможет, так как жертвами мошенников становятся в том числе работающие в финансовой сфере люди, те, кто знают о схемах мошенничества.
Мы никогда не сможем научить людей грамотному поведению в сети, привить им цифровую гигиену. Не потому, что люди необучаемы или не слушают, а потому что цифровые технологии шагнули сильно вперёд по сравнению с теми технологиями, для которых разрабатывались законы, которые защищают банковскую тайну, регламентируют оперативно-розыскную деятельность.
Необходимо снимать определённые барьеры и вводить цифровые технологии в аналоговые процессы.
На наш взгляд Банк России проделал большую работу с дроперами, но, представляется необходимым расширить возможности самих потерпевших обращаться в суды с требования имущественного характера к лицам, которые передают свои банковские карты и тем самым способствуют совершению преступлений.
Имущественная ответственность способна быть превентивным фактором, который позволит снизить участие граждан в дроперской деятельности.
Суть проблемы с обращением в суд заключается в том, что необходимо указать ФИО и место жительство ответчика, если речь о физическом лице, такими данными лицо, совершившее перевод не обладает. При обращении в полицию с заявлением о возбуждении уголовного дела, в большинстве случаев следует отказ с указанием на тот факт, что вопрос необходимо решать в рамках хозяйственного спора. Банк, ссылаясь на банковскую тайну, также не предоставляет информацию о получателе перевода.
На наш взгляд необходимо совершенствовать процедуру работы с банковской тайной.
Ассоциация банков России несколько лет назад согласовывала с Банком России законопроект, предусматривающий изменения в 161-ФЗ (О национальной платежной системе), предусматривающий возможность предоставления данных о получателя, достаточных для обращения в суд с имущественным иском.
Концептуально идея выглядела следующим образом:
1. Отправитель сообщал своему банку об оспаривании операции.
2. Банк отправителя связывался с банком получателя, сообщал об оспаривании операции.
3. Банк получателя связывался с получателем и сообщал о том, что операция на определенную сумму оспаривается, блокировал сумму в оспариваемом размере и предлагал предоставить документы, подтверждающие операцию или добровольно вернуть денежные средства.
4. В случае добровольного возврата оспариваемой суммы процедура прекращалась.
5. При отказе в возврате банк продлевал блокировку на срок до месяца и передавал банку отправителя ФИО и место жительства получателя для того, чтобы получатель мог обратиться в суд.
6. В том случае, если отправитель не обратился в суд и в судебном порядке не был наложен арест, блокировка снималась.
Концепция была построена на принципе добросовестности. То есть если между получателем и отправителем действительно были отношения, они сопровождаются, как того требует Гражданский кодекс, заключением договора, то отправитель знает данные получателя. Кроме того, находящийся в договорных отношениях получатель не будет возражать против предоставления своих данных отправителю, опять же исходя из того, что они у него и так должны быть.
Если денежные средства получены без законных оснований, то эти денежные средства должны быть признаны неосновательным обогащением и должны быть возвращены. Обратный перевод страхует получателя от распространения его данных и от рисков взыскания, так как денежные средства возвращены на счёт, с которого были отправлены.
2. Изменить модель оперативного принятия решений при предотвращении кибермошенничества
Использование информационных технологий и телекоммуникационных сетей для общения с потерпевшими позволяет закончить противоправное посягательство в кратчайшие сроки. Так, по результатам опроса членов Ассоциации банков России после перевода денежных средств потерпевшим они выводятся мошенниками со счета в течение времени - от 40 секунд до 1 часа. Практика показывает, что впоследствии их практически невозможно отследить и вернуть законному владельцу.
В свою очередь, в соответствии с действующим УПК РФ для возбуждения уголовного дела требуется от 3 до 30 суток, а на предварительное расследование – до 2, но не более 12 месяцев.
Основной задачей концептуальной модели видится повышение эффективности защиты прав и законных интересов граждан в виде предотвращения общественно опасных последствий, то есть предотвращения утраты ими имущества. Для этого необходимо создать механизм позволяющий предотвратить вывод денежных средств злоумышленниками практически сразу после перевода их потерпевшим и до непосредственного возбуждения уголовного дела.
На первом этапе предлагается наделить банк полномочием по «блокировке» средств. Закрепление за банком такой обязанности основывается на том, что он является непосредственным участником рассматриваемых общественных отношения с самой ранней стадии осуществления преступного посягательства и в силу своего профессионального статуса обладает способностью распознать подозрительную активность, целью которой является незаконное завладение денежными средствами.
Вместе с тем банк не является субъектом уголовного процесса, следовательно необходима верификация принятого им решения о «блокировке» денежных средств на счете, и самого факта совершения противоправных действий.
В этих целях в досудебное производство по уголовному делу предлагается ввести новый специальный субъект - Искусственный интеллект, призванный на основе технологии больших данных, определить наличие или отсутствие признаков состава преступления и осуществить уголовно-правовую квалификацию противоправного деяния. Представляется, что данное нововведение позволит сохранить оперативность принятия процессуальных решений в целях предотвращения общественно опасных последствий кибермошенничества.
Итак, после «блокировки» денежных средств на счете банк незамедлительно направляет информацию о выявленных подозрительных действиях Искусственному интеллекту, который в свою очередь проверяет ее и по результатам проверки принимает одно из следующих решений:
А) об отсутствии факта совершения подозрительных действий и снятии «блокировки» счета. О чем банку в автоматическом режиме направляется уведомление о необходимости снятия «блокировки»;
Б) о факте совершения подозрительных действий и обоснованности «блокировки» счета. Уведомление о принятом решении направляется:
- в банк (для верификации «блокировки»);
- потерпевшему - владельцу денежных средств (о факте «блокировки» и направлении материалов для возбуждения уголовного дела);
- в правоохранительные органы (в целях возбуждения уголовного дела и осуществления расследования).
Таким образом, суждение Искусственного интеллекта в предлагаемой концепции наделяется процессуальным статусом и по сути заменяет стадию проверки сообщения, в рамках которой осуществляется сбор информации, свидетельствующей о наличии или отсутствии достаточных данных, указывающих на признаки преступления.
Правоохранительные органы, получив от Искусственного интеллекта уведомление о факте совершения подозрительных действий и «блокировки» банковского счета, на основании данных, собранных Искусственным интеллектом, принимают одно решение о возбуждении уголовного дела либо об отказе в возбуждении уголовного дела. В случае возбуждения уголовного дела «блокировка» денежных средств должна будет трансформироваться в арест имущества
Далее производство осуществляется в соответствии с УПК РФ.
Сегодня роль Искусственного интеллекта мола бы быть возложена на ФинЦЕРТ, на базе которого уже создана система информационного обмена между участниками финансового рынка, правоохранительными органами, провайдерами и операторами связи, системными интеграторами, разработчиками антивирусного программного обеспечения и другими компаниями, работающими в сфере информационной безопасности.
3. Защищать не данные, а снижать возможность взаимодействия мошенника с жертвой
Необходимо рассмотреть вопрос смены модели борьбы с мошенниками. Мы должны осознать, что, если мы будем защищать только данные, мы не добьёмся нужного результата. Почти все данные уже утекли в сеть. Люди не меняют документы десятилетиями, телефонные номера также привязаны к абоненту годами. То есть любая утечка, которая произошла будет содержать актуальные данные физического лица долгий период времени. То есть делать основной упор на защиту данных от утечки – бессмысленно.
Изменения в КоАП, ужесточающие ответственность за утечку данных, также не дадут результат. Они будут тяжёлым бременем для компаний, работающих с данными, но не решат проблемы утечек. Так как сейчас многие утечки происходят в том числе, через программные средства направленные на обеспечение защиты или в результате компьютерных атак, которым могут противостоять ограниченное число компаний.
Увеличенные штрафы могут лечь тяжелым бременем на компании IT-сферы, в случае взыскания указанных штрафов в порядке регресса, если утечка произошла через программное обеспечение. Это приведёт к банкротству IT-компаний, оттоку IT-кадров.
Нам необходимо направить все усилия на снижение возможности для мошенника взаимодействовать с потенциальной жертвой.
Сегодня де-факто, на стороне операторов создается риск преступного посягательства и происходит его трансляция на финансовую сферу.
Необходимо усиливать надзор в этой области, осуществлять построение риск- методик и вводить финансовую ответственность за превышение коэффициентов риска. По сути, в той или иной степени это всё работает на банковском рынке, где существуют системы управления риском, внутренний контроль, надзор регулятора и другие процедуры.