В прошлой статье мы поняли, что это за явление такое – несанкционированная операций (назовем ее проще – фрод (fraud)). Можно конечно спорить, является ли операция фродовой если сам клиент ее провел, но при этом будучи введенным в заблуждение или же нет? Мое мнение-да, это в чистом виде фрод сродни подлогу. Рассматривая последствия уже случившегося фрода необходимо понимать, как может поступить банк при обращении к ней клиента, который стал жертвой подобного социального мошенничества.
В первой статье мы четко выяснили, что социальная инженерия – это инструмент побуждения клиента к нарушению условия банковского обслуживания (проще говоря к разглашению данных и/или предоставлению доступа к ним), что на корню убивает работоспособность 9й статьи, что собственно аккуратно заявляет ЦБ в своем ежегодном обзоре (https://www.cbr.ru/Content/Document/File/103609/Review_of_transactions_2019.pdf) самый последний абзац (не прошло и года, как говорится). Но пока никаких заявлений о том, как именно они хотят ее менять непонятно, банковское сообщество однозначно примет эту новость негативно и не напрасно.
Стоит отметить, что в 21 м веке на слуху термин «Клиентоориентированность», которая является производной от краеугольного камня современных финансовых технологий – удобства. Кредитные организации в значительной степени беспокоятся о так называемом CSI (Customer Satisfaction Index или Индекс Клиентской Удовлетворенности), который измеряется как правило в разрезе коммуникаций по схеме Банк-Клиент. Это важный показатель, который демонстрирует насколько в действительности клиент удовлетворен работой банка и его взаимодействия с ним. Если переложить эту схему на обращения клиента в банк по тематике «социальное мошенничество», то можно с высокой степенью уверенности предположить, что по данной тематике этот индекс скорее всего будет весьма низкий по вполне понятной причине, которая заключается в том, что у клиента в результате несанкционированной операции были похищены денежные средства, естественное желание которого в таком случае –вернуть их. Банк, рассматривая такое обращение может либо удовлетворить требование клиента за счет собственных средств и в случаях, описанных в прошлой статье, несмотря на нарушение условий договора клиентом либо отказать в выплате. В любом случае кредитная организация несет убыток либо в виде возмещения средств клиенту – «покупки» так называемого CSI, либо в виде снижения CSI в случае отказа клиенту возлагая на себя репутационный риск с возможными отложенными последствиями.
Так или иначе решить данную проблему таким образом, чтобы удовлетворены остались все, насколько мне известно, не удалось пока никому и нигде (страхование тоже не панацея, а просто перенос вопроса с больной головы на здоровую, да еще и с некоторыми нюансами). Но существует ли такое решение на самом деле? Попробуем ответить на этот вопрос далее, предварительно рассмотрев, что еще предпринимают банки для решения данной задачи.
-
Повышение финансовой грамотности клиента
Ряд кредитных организаций особенно крупных, (в том числе и ЦБ) стараются размещать на своих сайтах информацию о мерах безопасности и способах противодействия социальному мошенничеству, дополнительно распространяя в своих отделениях и офисах специальные буклеты с аналогичным содержание как и прочие материалы о безопасном использовании электронных средств платежа, параллельно распространяя специализированные ролики на тему противодействия социальному мошенничеству через определенные компании, так называемые «контентмейкеры», которые специализируются на популяризации определенных тем в публичном пространстве в случае если кредитной или другой организации требуется сохранить статус инкогнито для хеджирования вполне конкретных рисков возникновения репутационного ущерба. Такой подход в свою очередь можно назвать весьма осторожным и фактически он выглядит как «одергивание самого себя за рукав», принимая во внимание, возможные риски для репутации, кредитные организации как правило воздерживаются от излишней популяризации от своего лица мер противодействия социальному мошенничеству (можно предположить, что общественность подумает, что данная кредитная организация не безопасна. Хотя на мой взгляд такой подход – заблуждение), и та же страница по безопасности находится далеко не в самом видном месте . В итоге, теоретическая эффективность этих мер носит скорее рекламный характер нежели несет какую-либо практическую пользу при этом измерить ее крайне проблематично.
-
Развитие систем фрод-мониторинга (от англ. Fraud – мошенничество).
Уже много лет банки уделяют внимание развитию своих систем фрод-мониторинга или закупке готовых решений от разного рода компаний. Это системы, которые призваны отслеживать операции клиента банка, в банкоматах банка, POS-терминалах и удаленных каналах обслуживания. Смысл этих систем заключается в том, что должны быть в полной мере идентифицированы, как и сам клиент её совершающий. В итоге счета и карты каждого клиента представляют для кредитной организации не только набор наших персональных данных, но и в первую очередь профиль наших операций, т.е. для кредитной организации клиент – это набор приходно/расходных операций со всеми его устройствами и тд. Данные системы могут быть как онлайновыми, квази-онлайновыми так и оффлайновыми, то есть такие системы могут отслеживать операцию в реальном времени до момента её совершения (каналы ДБО), в момент совершения (в процессинге кредитной организации) или же уже после ее совершения (офлайновый мониторинг). Мы же поговорим о тех, которые работают в онлайн режиме и в каналах ДБО, так как они наиболее эффективны из всех представленных.
Как только клиент попадает в кредитную организацию и начинает пользоваться её продуктами в различных каналах, то система фрод-мониторинга начинает отслеживать его операции и формировать профиль клиента (более простые версии систем, просто отслеживают операции). Смысл такого мониторинга на самом деле не в тотальном контроле за нашими операциями, а в риск-менеджменте, так как пострадавший клиент – проблема для банка во всех смыслах. Непосредственно сам мониторинг технически представляет собой некий набор правил, по которым проверяются все операции в подотчетной системе канале. В случае если операция соответствует заложенному в системе правилу, то она выдает сотруднику кредитной организации оповещение с разной степенью риска и требует разного рода действий. Какие это действия и что конкретно делает система с подозрительной операцией зависит от конкретных правил, конкретной кредитной организации и конкретного случая, но как правило вариантов действия несколько, а именно. Операция пропускается, операция блокируется, операция и профиль блокируется, блокируется личный кабине – профиль клиента ДБО (личный кабинет или же мобильное приложение). Далее клиенту отправляется уведомление с просьбой перезвонить в банк или же банк самостоятельно совершает звонок клиенту.
Цель такого рода взаимодействия всего одна –понять действительно ли сам клиент совершает операцию. В противном случае клиента могут попросить обратиться в банк для подтверждения своей личности, несмотря на то, что в законодательстве указано (Положение о правилах осуществления переводов денежных средств 383 П, п.1.24), что, если оператор по переводу (это банк) принял платеж, то клиент уже является идентифицированным, что по сути является удобным только для социальных мошенников, так как будучи введенным в заблуждение клиент действительно самостоятельно совершает перевод или же нарушает условия обслуживания.
В целом же данная система может быть эффективна, при условии наличия серьезных компетенций у специалистов её настраивающих, но тем не менее сама по себе тоже не панацея (хотя лучше ничего еще не придумали и в нашей стране платежная безопасность развита лучше всех) от такого рода социального мошенничества, что как раз кредитные организации и осознают, так как эти самые правила в любом случае настраиваются вручную под известную логику несанкционированных операций и хранится эта логика за семью печатями по вполне понятным причинам. Так же существуют попытки создать продвинутые системы фрод-мониторинга, которые базируются на байесовских сетях и способны к самообучению.
Как следствие, к распознаю операции, которая отличается от типичного финансового профиля клиента кредитной организации, но эффективность такой системы вызывает сомнения, так как опираясь на статистику выше, можно задаться вопросом, а почему тогда доля несанкционированных операций, в том числе, и прогнозируемых растет? (К слову, это заявление от кредитной организации, обладающей в том числе такой системой фрод-мониторинга для каналов ДБО, при этом стоит учесть, что многие клиенты, став жертвой социального мошенника не обращаются в кредитную организацию, понимая низкую вероятность возврата средств. То есть оценка занижена естественным образом). Можно допустить предположение, которое будет верно с высокой долей вероятности, что для эффективного самообучения таких систем требуется в подотчетном ей канале(ах) в буквальном смысле показывать системе какие операции являются подозрительными, несанкционированными, а какие легитимными в определенном процентном соотношении от общего объема операций проходящих в этих каналах, а принимая во внимание, что чем крупнее кредитная организация тем сложнее эта задача из-за загруженности тех самых каналов. При этом необходимо учесть достаточно большую стоимость таких систем, которая делая их малодоступными для небольших кредитных организаций приводит нас к выводу о низкой эффективности таких систем, дополнительно учитывая, что при этом обучать такую систему нужно вручную и соответственно без ошибок, так как неверная маркировка операции приведет к нарушению логики и модель просто перестанет работать эффективно, создавая большие трудности для кредитной организации и самих клиентов. Подобные системы являются сложным механизмом с очень тонкой настройкой и сопровождением поэтому наполнены они теми же стандартными правилами, как и обычные системы фрод-мониторинга и именно поэтому в публичном пространстве нет широкой огласки таких платформ фрод-мониторинга в виде прорывной технологии и отчасти это одна из причин роста несанкционированных операций.
Вот практически все меры, которые есть на сегодняшний момент. В целом борьба с фродом (особенно социальной инженерией) ведется у нас на уровне каждого банка отдельно, отдельно в правоохранительных органах и отдельно в ЦБ. Один за всех и каждый за себя, при том, что решение этой проблемы уже есть…но об этом, как и главных причинах роста фрода в следующих материалах.