Главная » Законодательство

Законопроект о борьбе с мошенничеством. Могло быть лучше (?)

Законодательство
На чтение 7 мин Просмотров 1к. Опубликовано

Последние несколько дней все то и дело говорят о втором законопроекте по борьбе с мошенничеством, которое вносит Правительство в Государственную Думу. Попробовал оценить его с точки зрения реальной эффективности. По крайней мере я так себе это вижу сейчас, до начала принятия и действия законопроекта, который я бегло пробежал глазами.

Содержание
  1. Меры, которые могут реально работать
  2. Меры, создающие видимость борьбы
  3. Меры, которые легко обходятся мошенниками
  4. Меры, которые могут быть даже вредны
  5. В качестве резюме

Меры, которые могут реально работать

  • Единый реестр подозрительных номеров и блокировка на стороне операторов связи. Это полезная мера – операторы смогут автоматически блокировать звонки и SMS с номеров, замеченных в мошенничестве. Но важно, чтобы процесс был быстрым, а критерии попадания — прозрачными. Но самое главное, учитывая что операторы активно продают ранее использованные номера новым абонентам, чтобы была понятная процедура исключения ранее использованного мошенниками номера из базы (а ее пока нет — ее только должны разработать в Правительстве).

    В законопроекте говорится о том, что Минцифры осуществляет правомочия только обладателя информации в центральной базе идентификаторов пользовательского оборудования (оконечного оборудования). Но кто держит эту базу? Кого определит Правительство на эту роль? И, кстати, как будет работать эта база для иностранных SIM-карт, с которыми иностранные граждане могут приезжать в страну?

    Важный нюанс. Что, если ГИС противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, в которой содержится мошеннические номера, недоступна? Должны ли операторы пропускать звонки без проверки? А если они пропустят в этот момент мошеннический звонок, то кто будет отвечать за косяк? И должен ли оператор возмещать ущерб, что он обязан сделать согласно законопроекта, в случае пропуска мошеннического звонка из-за недоступности ГИС

  • Обязательство банков и платежных операторов приостанавливать переводы при признаках мошенничества и возмещать ущерб клиенту. Это может сильно снизить ущерб, если будет реально исполняться. Принцип «push-payment fraud liability» (как в UK) доказал эффективность.

    Мне интересно как уже упомянутая выше ГИС противодействия правонарушениям будет соотноситься с ФинЦЕРТом? С ГИС взаимодействие в реальном времени (интересно, как СБП будет работать в этом случае?), а с ФинЦЕРТ нет и ценность второго существенно снижается. Но судя по тексту законопроекта ему место в схеме тоже нашлось, но схема становится более сложной, чем было раньше (жалко банки). Вопрос об ответственности в случае недоступности ГИС для операторов по переводу денежных средств остается по-прежнему открытым…

  • Запрет изменения идентификаторов устройств (IMEI и аналогов). Сложнее использовать «серые» телефоны и SIM-боксы, что снижает массовость колл-центров мошенников.

  • Требование передачи информации об абоненте-юрлице при звонках. Может снизить эффективность схем, где звонят «из банка/госоргана». Это аналог caller ID authentication.

Меры, создающие видимость борьбы

  • Привязка виртуальных АТС и хостингов к российской национальной системе доменных имен. Это мало влияет на мошенников: они быстро уйдут в зарубежные сервисы и VPN. Реальной пользы почти нет, а легальные компании столкнутся с издержками. Фраза «при наличии технической возможности» превращает эту норму в профанацию. А уж при звонках с мессенджеров эта мера не очень работает.

  • Обязательная российская доменная зона для e-mail при авторизации. Мошенники не ограничены в использовании почтовых сервисов, а пострадают добросовестные пользователи и компании, работающие с зарубежными доменами.

  • Запрет на распространение фишинга и мошеннических сообщений. Мошенники прекрасно понимают всю незаконность своей деятельности и поэтому официальный запрет на них никак не повлияет.
  • Включение в борьбу с мошенниками Национального удостоверяющего центра. Введение в игру НУЦа помогает отсекать откровенно «серые» сервисы, но почти не защищает от социальной инженерии, схем с переводами денег, мошенническими звонками и SMS.

  • Многоуровневое регулирование персональных данных и согласий через ЕСИА. Это больше бюрократия и централизация, чем защита от мошенников. Жертвы чаще теряют деньги из-за социальной инженерии, а не из-за неправильного согласия на обработку ПДн.

    Вообще в законопроекте очень много бюрократии, завязанной на Минцифры, МВД, Центральный банк и иже с ними.

Меры, которые легко обходятся мошенниками

  • Информирование о звонках с иностранных номеров. Мошенники давно используют российские VoIP-шлюзы, подменяют Caller ID и виртуальные номера. Уведомление об иностранном номере затронет только примитивные атаки.

  • Блокирование правонарушений в мессенджерах. Мошенники могут легко менять учетные записи, зарегистрированные в российских мессенджерах, а также брать в аренду учетные записи законных пользователей (дропов), и переключаться между ними.

    Судя по формулировкам, либо законодатели осознанно выводят иностранные мессенджеры из под регулирования, либо планируют запретить их все, оставив только те, которыми владеют российские юрлица или граждане.

    Мне почему-то показалось, могу ошибаться, что авторы исходят из мысли, что у пользователя может быть только одна учетка в мессенджере и она должна быть зарегистрирована только на номер телефона.

  • Лимит на количество карт у физлица (не более 10 у всех банков и 5 — у одного). Мошенники давно работают через «мулов» – подставных лиц, у которых десятки счетов. Сам лимит проблему не решает, а лишь создает неудобства для честных клиентов.

    Авторы законопроекта, видимо, не знают такое понятие как «виртуальная карта». А ведь и банки, и Центральный банк, давно рекомендуют создавать виртуальные платежные карты как раз для защиты денежных средств клиентов.

  • Обязательная идентификация пользователей виртуальных АТС. При массовом использовании подставных лиц и документов это не станет барьером – проверка часто формальная.

    Много отсылок к ГИС противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, в которую надо будет передавать много всего — по звонкам, по сообщениям в мессенджерах, по хостингу, по социальным сетям, по сервисам размещения объявлений. Перечень указанных мер защиты и состав передаваемых сведений еще должны быть определены Правительством Российской Федерации.

Меры, которые могут быть даже вредны

  • Передача записей разговоров оператором связи в государственную систему. Это чревато злоупотреблениями, нарушением конфиденциальности и может подорвать доверие граждан. Кроме того, мошенники редко используют один и тот же канал, так что ценность ограничена. Ну и фраза «при наличии технической возможности» превращает норму в тыкву.

  • Возложение на операторов связи обязанности возмещать ущерб при краже денег. Это может стимулировать операторов не к борьбе с мошенничеством, а к защите себя юридически (затягивание процедур, отказ по формальным основаниям). Реальная помощь жертвам может не улучшиться.

    Подождем правоприменения!

  • Уведомление ЕСИА о факте обработки ПДн. Как требование к любому из нескольких миллионов операторов ПДн сообщать о факте обработки ПДн ЕСИА снизить уровень мошенничества не очень понятно. Но головняка у компаний добавится выше крыши. Особенно в части аттестации фрагментов своих систем, взаимодействующих с ЕСИА, по требованиям ФСТЭК.
  • Установка сертификатов НУЦ в ПО и шифровальные средства, применяемые в России, а также аутентификация сайтов и информационных систем. Ресурсы и внимание уходят на создание громоздкой инфраструктуры, которая не решает ключевые механизмы мошенничества (платежи, поведение жертв, сети мулов) и при этом становится единой точкой отказа.

    При каких условиях установка сертификата НУЦ будет обязательна, законопроект не определяет, оставляя это на откуп Правительства.

  • Блокирование сайтов, торгующих несертифицированными средствами связи. Это может ограничить доступ к сайтам иностранных производителей смартфонов (например, Apple), которые не сертифицировали последние модели своих устройств в России.

    Главное, чтобы сами устройства не блокировали, а зная IMEI, сделать это не так уж и сложно.

В качестве резюме

Законопроект перегружен техническими и бюрократическими требованиями. Есть сильные меры (реестр мошеннических номеров, обязанность банков компенсировать ущерб, запрет на серое SIM-оборудование), но значительная часть положений:

  • либо легко обходится профессиональными мошенниками,

  • либо создаёт нагрузку на бизнес и пользователей,

  • либо создает лишь иллюзию борьбы.

Ключевой пробел: мало внимания к мультиплатформенности мошенничества (они уйдут в мессенджеры, соцсети, криптоплатежи) и поведенческим аспектам (почему жертвы верят мошенникам). Без массового информирования населения, совместной работы банков, операторов и правоохранителей закон рискует стать больше административной, чем практической мерой.

PKI мошенничество
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Александр

    Полезный разбор. Для полноты картины, на мой взгляд, не хватает четырех блоков:

    Международный опыт и реальные метрики. Важно сопоставить подходы UK push-payment liability, PSD2/3 SCA в ЕС, маркировку международных вызовов и массовые просветительские кампании (уровня Stop! Think Fraud) с ожидаемыми KPI у нас. Без целевых метрик (доля предотвращенных P2P-переводов, среднее время оркестрированной остановки, процент возврата средств, снижение успешных социнженерных атак) риск «регуляторной декорации» высок.

    Экономика внедрения для рынка. Нужна оценка совокупной стоимости владения для операторов/банков/ИТ‑платформ: доработка биллинга под маркировку и фильтрацию, интеграция в антифрод-шину, хранение и правовой режим записей разговоров, SLA-доступа к ГИС. Плюс — модель компенсаций и регресса между участниками (кто платит при сбое на стороне связи, банка, посредника) и порог «непреодолимой силы» при недоступности инфраструктуры.

    Техдизайн и устойчивость ГИС/антифрод-координатора. Нужны принципы: отказоустойчивость (active-active в нескольких доменах), минимизация единой точки отказа, атомарные сценарии деградации (graceful fallback, локальные скоринги при потере связи), независимый аудит, прозрачные процедуры включения/исключения номеров/IMEI с апелляцией и сроками, а также защита от злоупотреблений (в том числе внутрисистемных).

    Мультиплатформенность и новые векторы. Отдельные контуры по мессенджерам/соцсетям/маркетплейсам/классифайдам/игровым платформам и крипто-P2P: быстрый обмен сигналами риска, атрибуция платежных «мулов», верификация рекламных кабинетов, антифишинговые доменные инициативы и внятные рамки для AI‑угроз (дипфейки голоса/видео). Плюс — узаконенный статус «межплатформенного оркестратора» для остановки цепочки перевода в реальном времени.

    Что бы добавило эффективности уже сейчас:

    Единая межбанковско-телеком антифрод-шина с реалтайм скорингом и приоритетами остановки операций.

    Процедура «чистой карты» для номеров/IMEI (сроки, бремя доказывания, уведомления контрагентов).

    Четкие SLA/OLA для всех участников и публичные квартальные метрики.

    Обязательные циклические просветительские кампании с A/B‑измерением эффекта, интегрированные в каналы банков и операторов.

    Sandbox и поэтапный запуск (пилоты по регионам/сценариям) с публикацией отчётов об эффективности и побочных эффектах.

    Если эти блоки появятся в доработке, пакет станет не только административно стройным, но и практично рабочим.

    Ответить
    1. Алексей Лукацкий автор

      А я хотел следующую заметку с предложениями написать, но теперь не вижу смысла 🙂

      Ответить
Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.