Національний банк України

НАЦІОНАЛЬНИЙ БАНК УКРАЇНИ
ЛИСТ

від 04.07.2018 р. № 57-0009/36366

Банкам України

Рекомендації для зниження ризику шахрайських операцій

На сьогодні безготівкові розрахунки набувають поширення в Україні, а їх обсяги та кількість постійно зростають, так у 2017 році тільки обсяг безготівкових операцій з використанням платіжних карток склав 835,0 млрд грн, що на 46,1 % більше у порівнянні з 2016 роком, а кількість таких операцій становила 2,3 млрд шт., що на 27,7 % більше ніж в 2016 році.

Водночас на фоні загальних позитивних показників розвитку ринку платежів та розрахунків спостерігається високий рівень кількості випадків шахрайських операцій із використанням платіжних карток та несанкціонованого переказу коштів з рахунків клієнтів, які обслуговуються за допомогою систем дистанційного обслуговування. Відповідно більшої актуальності набувають питання протидії злочинним діям, пов'язаним з використанням таких технологій.

Така інформація підтверджується як статистичною звітністю, що подається банками до Національного банку України 1 (далі - Національний банк) (наприклад, у 2016 році - 94,6 тис. шахрайських випадків з платіжними картками на суму - 177,2 млн грн, а у 2017 році - 77,6 тис. випадків на суму -163,7 млн грн відповідно), так і збільшенням кількості звернень/скарг громадян України стосовно безпідставного списання з рахунків, неповернення (або навмисного неповернення) коштів на рахунки держателів платіжних карток (за 2016 рік - 1007 звернень громадян, а у 2017 році - 1287).

____________
1 Відповідно до постанови Правління Національного банку України від 01.03.2016 № 129

Фахівці банківської системи та правоохоронних органів відокремлюють такі основні види шахрайства:
1. Шахрайство з використанням банкомату:

- зняття готівки з використанням "білого" пластику;

- використання скіммінгових інструментів (копіювання даних платіжних карток у т. ч. з магнітної смуги, запис ПІН-коду тощо);

- зняття коштів із використанням банкомату без відображення цієї операції на рахунку (Transaction Reversal Fraud);

- зняття готівки держателем платіжної картки без її фізичного отримання (Cash Trapping);

- фізичні атаки на банкомати.
2. Інтернет шахрайство:

- використання шкідливих програм (вірусів), підроблених сайтів з метою компрометації реквізитів електронних платіжних засобів та/або логінів/паролів доступу до систем інтернет/мобільного банкінгу;

- розповсюдження (продаж, поширення) інформації щодо скомпрометованих даних.
3. Шахрайство в термінальній мережі:

- здійснення операцій із використанням підробленої/викраденої/втраченої платіжної картки;

- отримання готівки через касу банку за підробленими документами та платіжною карткою;

- проведення дублюючих операцій касиром/оператором;

- проведення несанкціонованого/неточного списання (коли сума на чеку та сума, яка включена до розрахунку, відрізняються);

- компрометація касиром даних платіжної картки під час розрахунків у торговельно-сервісній мережі з метою їх подальшого несанкціонованого використання;

- використання накладок (скімерів) на термінальному обладнанні, яке дозволяє під час здійснення розрахунку зчитувати та передавати дані платіжної картки (протиправна домовленість з касирами);

- встановлення шкідливих програм які пошкоджують програмне забезпечення терміналів.
4. Шахрайство в системах дистанційного обслуговування (ДБО)

Несанкціоноване втручання та/або встановлення шкідливих програм (вірусів), які пошкоджують програмне забезпечення персональних комп'ютерів та перехоплюють паролі доступу до рахунків, інформацію з секретних ключів/токенів тощо.
5. Соціальна інженерія

Виманювання шахраями, які входять в довіру до власників рахунків / держателів карток, їх персональних даних, реквізитів платіжних карток або спонукання власників рахунків до здійснення переказу коштів на користь шахраїв.

Окремої уваги потребує питання опрацювання ризиків недотримання/порушення банками вимог і рекомендацій, що стосуються фінансового моніторингу, оскільки це створює додаткове підґрунтя для впровадження шахраями злочинних схем та сприяє збільшенню можливих збитків від такого шахрайства.

Національний банк України вбачає, що банки України мають посилити роботу, пов'язану з упередженням відповідних ризиків шахрайства. Враховуючи зазначене Національним банком України підготовлено рекомендації стосовно запобігання та протидії шахрайству в банківській системі, що додаються.

Додатки:

1. Рекомендації з питань упередження шахрайства з платіжними картками.

2. Рекомендації з питань інформаційної безпеки в системі ДБО.

3. Рекомендації з питань фінансового моніторингу.

Перший заступник Голови К. В. Рожкова

Додаток 1
Рекомендації з питань упередження шахрайства з платіжними картками

Для запобігання та протидії злочинам із платіжними картками банкам потрібно скеровувати зусилля на максимальне інформування клієнтів - держателів платіжних карток.

Особливої уваги потребує застереження держателів платіжних карток не повідомляти третім особам власні персональні дані та/або реквізити платіжної картки (номер платіжної картки, ПІН-код, CVV2, термін дії картки, а також код (пароль), який надходить на мобільний телефон для підтвердження переказу/платежу) та інші персональні дані, які необхідні для здійснення переказів та платежів.

Під час здійснення операцій із використанням платіжних карток (у тому числі мобільних платежів) держателям необхідно дотримуватися правил безпеки, які встановлені банком-емітентом, здійснювати постійний контроль за рухом коштів, оновлювати антивірусне програмне забезпечення на персональному комп'ютері, здійснювати своєчасне інформування банку щодо втрати платіжної картки або її реквізитів чи несанкціоновані списання за рахунком, а також дотримуватись рекомендацій, розроблених Національним банком України та розміщених на сторінці офіційного Інтернет-представництва в мережі Інтернет: http://bank.gov.ua/doccatalog/document?id=70904.

Враховуючи активний розвиток такого напряму, як електронна комерція, банку необхідно наголошувати клієнтам про доцільність збереження (а у разі втрати - негайного блокування шляхом подання відповідної заявки до оператора стільникового зв'язку) свого номера "фінансового телефону", який може бути використаний шахраями для викрадення коштів злочинним шляхом.

Підрозділам банків, які відповідають за банківську та інформаційну безпеку, потрібно забезпечити найвищий рівень безпеки платежів та розрахунків, а також здійснювати моніторинг операцій з використанням електронних платіжних засобів (та/або їх реквізитів) в режимі 24/7. Моніторинг доцільно здійснювати за допомогою системи моніторингу, яка дозволяє виявляти сумнівні операції та вживати заходів для зменшення потенційних ризиків.

Банкам слід сформувати та постійно супроводжувати базу даних інцидентів з електронними платіжними засобами на підставі даних системи моніторингу.

Моніторинг доцільно здійснювати на підставі інформації з власного процесингового центру (у разі його наявності) та/або з незалежного процесингового центру, з урахуванням внутрішньобанківських правил, розроблених відповідно до вимог законодавства України, нормативно-правових актів Національного банку, правил платіжних систем та з урахуванням вимог цих рекомендацій.

У внутрішньобанківських правилах та договорі з клієнтом банкам необхідно враховувати можливість врегулювання нестандартних ситуацій у процесі здійснення операцій із використанням платіжних карток та розглядати звернення/скарги клієнта відповідно до умов договору.

Додаток 2
Рекомендації з питань безпеки використання систем дистанційного банківського обслуговування

Провести аналіз програмного забезпечення, встановленого на веб-серверах систем "Клієнт-Інтернет-Банк", а також клієнтських частин систем дистанційного банківського обслуговування (далі - ДБО), встановлених у клієнтів. Вжити заходів щодо оновлення застарілих версій програмного забезпечення і встановлення актуальних оновлень безпеки та щодо усунення вразливостей програмного забезпечення ДБО, операційних систем, іншого програмного забезпечення, яке використовується під час підготовки та обміну платіжними документами.

Застосовувати захищені носії ключової інформації для накладання електронного цифрового підпису та методи багатофакторної автентифікації.

Розробити порядок дій працівників та клієнтів банку у випадках виявлення несанкціонованого доступу (чи підозри в спробі доступу) до рахунку.

Визначити уповноважених осіб банку, які відповідатимуть за взаємодію з правоохоронними органами, та порядок такої взаємодії у разі виявлення несанкціонованих операцій, здійснених із використанням систем ДБО. Під час здійснення заходів щодо оперативного обміну інформацією, розслідувань фактів шахрайства, протидії/попередження злочинам із ЕПЗ (у тому числі за їх реквізитами) та системами ДБО, поданні інформації, заяв за вказаними фактами до правоохоронних органів, банкам слід дотримуватись вимог законодавства з питань захисту даних (клієнтів, банків, торговців тощо) та інших правил безпеки.

Постійно проводити роз'яснювальну роботу серед клієнтів щодо обов'язкового дотримання вимог з питань захисту інформації на робочих місцях, де встановлено систему ДБО, а також щодо належного поводження з носіями ключової інформації системи ДБО (розроблення та доведення до клієнтів типових рекомендацій/інструкцій для роботи на комп'ютерах, де встановлюються клієнтські частини ДБО, правил використання та зберігання носіїв ключової інформації тощо).

Розробити пам'ятку для клієнтів з такими застереженнями:

"- Унеможливлюйте відвідування Інтернету з персонального комп'ютера, на якому здійснюється підготовка та відправка документів до банку. Не відвідуйте сайтів сумнівного змісту та будь-яких інших інтернет-ресурсів невиробничого характеру (соціальні мережі, конференції та чати, телефонні сервіси т. п.). Не читайте пошту та не відкривайте поштових вкладень до електронних листів, які надійшли від невідомих або підозрілих адресатів. Не слід здійснювати установку та оновлення будь-якого програмного забезпечення не з офіційних сайтів виробників.

- Налаштовуйте окремо мережеве обладнання корпоративних і персональних комп'ютерів. Доступ до мережі Інтернет обмежуйте "білим списком" сайтів з усіх робочих місць, на яких здійснюється підготовка, підписання та відправлення платіжних документів. У "білий список" повинні включатися виключно перевірені сайти самої організації, банків, податкової служби, інших державних органів, доступ до яких необхідний у виробничому процесі, сервери оновлень системного та антивірусного програмного забезпечення.

- Мінімізуйте кількість користувачів комп'ютерів, на яких здійснюється підготовка та відправка документів до банку. Доцільно обмежити фізичний доступ до персональних комп'ютерів, на яких здійснюється підготовка та відправка документів у банк (надавати доступ виключно відповідальним працівникам, які безпосередньо уповноважені та мають право проводити роботи з програмним забезпеченням системи ДБО).

- Використовуйте сучасне антивірусне забезпечення, оновлюйте та проводьте антивірусну перевірку на комп'ютерах. Наголошуємо, що шкідливе програмне забезпечення здатне перехоплювати будь-які дані з банків, персональних комп'ютерів клієнтів та/або особистих даних держателів ЕПЗ та зберігати/поширювати таку інформацію для подальшого несанкціонованого використання сторонніми особами злочинним шляхом.

- Забезпечуйте своєчасне встановлення оновлень безпеки операційної системи, браузерів та програмного забезпечення комп'ютерів. Необхідно встановити надійні паролі доступу на вхід до персонального комп'ютера, забезпечити періодичну зміну цих паролів.

- Не допускайте несанкціонованого використання ключів електронного цифрового підпису, зберігайте ключові носії у спосіб, що виключає несанкціонований доступ до них. Генерацію секретних ключів слід виконувати тільки самостійно. Нікому (у тому числі працівникам банку) не повідомляти та не передавати паролі до особистих секретних ключів. Не записувати і не зберігати паролі разом з носієм ключа."

Додаток 3
Рекомендації з питань фінансового моніторингу

Закон України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі - Закон) зобов'язує суб'єктів первинного фінансового моніторингу, якими в тому числі є банки, здійснювати ідентифікацію, верифікацію клієнта (представника клієнта), вивчення клієнта та уточнення інформації про клієнта у випадках, встановлених законом, забезпечувати у своїй діяльності управління ризиками та розробляти критерії ризиків, проводити аналіз відповідності фінансових операцій, що проводяться клієнтом, наявній інформації про зміст його діяльності та фінансовий стан з метою виявлення фінансових операцій, що підлягають фінансовому моніторингу, підтверджувати під час проведення верифікації відповідність ідентифікаційних даних особи клієнта (представника клієнта) відомостям, зазначеним в отриманих від нього офіційних документах, а також відповідність оформлення офіційних документів вимогам законодавства та перевіряти їх чинність (дійсність) тощо.

Згідно з частиною сьомою статті 9 Закону та частиною четвертою статті 64 Закону України "Про банки і банківську діяльність" (далі - Закон про банки) банк має право витребувати, а клієнт (особа, представник клієнта) зобов'язаний надати документи і відомості, необхідні для здійснення ідентифікації та/або верифікації (в тому числі встановлення ідентифікаційних даних кінцевих бенефіціарних власників (контролерів), аналізу та виявлення фінансових операцій, що підлягають фінансовому моніторингу, та інші передбачені законодавством документи та відомості, які витребує банк з метою виконання вимог законодавства, яке регулює відносини у сфері запобігання легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення.

Відповідно до частини першої статті 10 Закону суб'єкт первинного фінансового моніторингу зобов'язаний відмовити клієнту в обслуговуванні (у тому числі шляхом розірвання ділових відносин), зокрема, у разі встановлення факту подання ним під час здійснення ідентифікації та/або верифікації клієнта (поглибленої перевірки клієнта) недостовірної інформації або подання інформації з метою введення в оману суб'єкта первинного фінансового моніторингу, а також має право відмовитися від встановлення (підтримання) ділових відносин (у тому числі шляхом розірвання ділових відносин) або проведення фінансової операції у разі ненадання клієнтом необхідних для вивчення клієнтів документів чи відомостей або встановлення клієнту неприйнятно високого ризику за результатами оцінки чи переоцінки ризику.

Водночас Закон (стаття 6) і Закон про банки (стаття 64) надають банкам право витребувати інформацію, яка стосується ідентифікації клієнта (в тому числі керівників клієнта - юридичної особи, представника клієнта), вивчення клієнта, уточнення інформації про клієнта, здійснення поглибленої перевірки клієнта, в органів державної влади, державних реєстраторів, банків, інших юридичних осіб, а також здійснювати заходи щодо збору такої інформації з інших джерел.

Згідно з частиною сьомою статті 64 Закону про банки банк зобов'язаний витребувати в органів державної влади, державних реєстраторів, банків, інших юридичних осіб інформацію (офіційні документи), необхідну (необхідні) для аналізу відповідності фінансової операції змісту його діяльності та фінансовому стану.

У разі необхідності отримання від третіх осіб конфіденційної інформації про клієнта рекомендуємо отримувати згоду клієнта / передбачати в угодах з клієнтом право банку на отримання відповідної інформації про нього.

Під час виконання обов'язків щодо належної ідентифікації та вивчення клієнтів банки повинні приділяти підвищену увагу детальному вивченню документів, які надаються клієнтом, зокрема, з метою виявлення серед них підроблених. Так, ознаками підроблення документів, на думку Національного банку України, можуть бути:

- невідповідність між штампом і печаткою за найменуванням юридичної особи, неспівпадіння найменування юридичної особи та/або ідентифікаційного коду та/або інформації про керівника в документі з даними, що містяться в Єдиному державному реєстрі юридичних осіб, фізичних осіб - підприємців та громадських формувань (далі - ЄДР);

- підчищення, дописки, домальовування даних, наявність плям на окремих частинах документів тощо;

- відхилення від встановленої форми документа, яка затверджена відповідним нормативно-правовим актом.

Особливу увагу слід приділяти оформленню документів, що посвідчують особу. Так, існують випадки підроблення паспорта громадянина України, зокрема шляхом виготовлення нового або внесення змін у справжній документ. Щоб виявити підроблений паспорт, насамперед, необхідно встановити, чи існує зазначений державний орган, що видав документ, чи належить йому проставлений відбиток печатки, чи відповідає зміст штампів записам, які в нього внесені, чи правильно внесені відмітки про сімейний стан, місце проживання тощо. Внесення неправдивих відомостей про власника у справжній паспорт (наприклад, зміна дати народження, фотокартки) відбувається, як правило, у втрачені (загублені або викрадені) паспорти, здобуті шахрайськими діями тощо. Такі підроблені паспорти найчастіше використовуються з метою отримання кредитів, продажу нерухомості, отримання готівки в касах банків тощо.

З метою виявлення втрачених або викрадених паспортів, які можуть бути використані шахраями з протиправною метою, банкам необхідно користуватися базою даних з пошуку паспорта громадянина серед викрадених та втрачених, адміністратором якої є Міністерство внутрішніх справ України, а також у базі даних недійсних, викрадених або втрачених документів, що посвідчують особу, яка доступна на офіційному веб-сайті Державної міграційної служби України 1. Доступ до цих баз даних є безкоштовним.

____________
1 Доступна за посиланням: https://nd.dmsu.gov.ua.

Крім цього, рекомендуємо банкам використовувати інформацію, викладену в листі Національного банку України від 16.02.2007 № 48-012/214-1688 щодо способів підробки документів, їх ознак та методики виявлення.

У разі виникнення щонайменших підозр, що паспорт громадянина України або інший документ, що посвідчує особу та відповідно до законодавства України може бути використаним на території України для укладення правочинів, який надав клієнт (представник клієнта) для встановлення ділових відносин з банком (або отримання банківських послуг), є підробленим, рекомендуємо банкам безумовно використовувати повноваження, передбачені частиною шостою статті 9 Закону та частиною сьомою статті 64 Закону про банки, згідно з якими банк має право витребувати, а державні органи, державні реєстратори зобов'язані протягом десяти робочих днів з дня отримання запиту надати відповідно до законодавства інформацію, що стосується ідентифікації та/або що необхідна для вивчення клієнта, уточнення інформації про нього або проведення поглибленої перевірки клієнта.

Також досить поширеною є практика використання для проведення фінансових операцій угод, які містять недостовірну інформацію щодо сторін, предмета, ціни договору, місцезнаходження певних об'єктів тощо.

Окрім цього, звертаємо увагу на необхідність уважного вивчення документів щодо повноважень представників клієнтів, аналізу відповідності статутних документів юридичної особи, відомостей з ЄДР документам щодо призначення/делегування повноважень та вжиття заходів для перевірки всіх сумнівних даних.

У разі виникнення підозр щодо надання клієнтом (представником клієнта) підробленого документа банк має право повідомити про це органи Національної поліції України.