Банки богатые - пусть платят!

Банки богатые - пусть платят!
Именно это известное высказывание бывшего первого зама 8-го Центра ФСБ напомнило мне норму нового финансового законодательства.

"11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции
12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления".

Что гласит данная норма ст.9 ФЗ "О национальной платежной системе" (вступает в силу через 18 месяцев после вступления в силу ФЗ)? А гласит она всего-навсего, что в случае любой хакерской атаки и незаконного снятия средств со счетов клиентов, банк будет обязан вернуть украденные деньги.

Приостановить мошеннический платеж (при условии, что его своевременно выявили) банк не имеет права по банковским правилам - это может сделать только клиент. По закону об НПС банк обязан перевести средства незамедлительно. Т.к. снятие средств со счетов обычно проводится в очень сжатые сроки и с момента перевода до момента обналичивания может пройти всего 3-4 часа, то большинство клиентов не в состоянии своевременно дать указание банку о незаконном списании средств со счета. Нередко деньги списываются за 20-30 минут до рейса и банк уже не в состоянии их своевременно вернуть.

Что у нас получается в этом случае? Банк всегда в проигрыше! Остановить мошенничество он не имеет права, а по закону деньги необходимо вернуть проштрафифшемуся клиенту.

Немного спасает ситуацию ч.13 ст.7 закона об НПС. Согласно ей банк обязан незамедлительно после перевода средств уведомить клиента об исполнении распоряжения на перевод. Об этом же говорит и ч.4 ст.9. Если клиент не сообщит в однодневный срок о том, что распоряжение незаконное, то дальше вступают в силу уже условия договора между клиентом и банком, а не требования закона. Однако по ФЗ банк "обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента". Кто его знает, что имел ввиду законодатель. Могу предположить, что речь идет о опубликовании контактов для связи и обеспечение бесперебойной работы этих контактов. В любом случае, банку остается надеяться на то, что он уведомил клиента, который забыл сообщить о незаконном списании средств. Только в этом случае банк освобождается от необходимости возмещения украденных денег.

Правда с уведомлением возникает еще один нюанс, о котором законодатель не думал. Каким образом банк будет оповещать? SMS? E-mail? Телефонный звонок? Но у нас далеко не у всех граждан (особенно в регионах) есть такие средства коммуникаций. Почта? Но тогда ни о какой оперативности уведомления и речи не идет - клиент не в состоянии будет в течение дня уведомить банк о незаконности списания. И опять же кто будет платить за эти уведомления? Сейчас SMS-информирование у многих банков - услуга платная. По закону об НПС уведомление становится обязанностью, а не правом, и банк не имеет право взимать за него деньги. Т.е. затраты опять ложатся на банк. Готов ли банк их принять безоговорочно или он захочет разделить траты с клиентом, а то и полностью переложить их на него? Ставки по кредитам, а также по ДБО могут возрасти...

ЗЫ. Кстати, в ч.4 ст.9 прописан срок хранения информации по электронным платежам - эту норму можно использовать и в контексте сроков хранения ПДн.

ЗЗЫ. Банк в соответствии с ч.3 ст.9 теперь обязан до заключение договора "информировать клиента об условиях использования электронного средства платежа, в частности о любых ограничениях способов и мест использования, случаях повышенного риска использования электронного средства платежа". Т.е. теперь это уже не просто пожелание - сообщать клиенту о рисках и требованиях по ИБ, но и обязанность банка.
законодательство риски
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!