СПБ помогает бороться с мошенничеством в онлайн-займах
В 2022 г. Центробанк РФ получил более 4000 жалоб на мошенников, которые оформляли займы, используя чужие персональные данные. Только за I квартал текущего года поступило уже почти 2000 подобных обращений.
Как борются со злоумышленниками правоохранительные органы и частные кредиторы, рассказал Илья Степанов, директор по регуляторным рискам нашего сервиса онлайн-займов.
— В СМИ все чаще появляются материалы о случаях мошенничества с займами, а на телевидении в красках рассказывают истории людей, столкнувшихся с требованием возврата средств, которые они не брали. Действительно ли мошенничество сейчас является одной из самых больших проблем? Почему это происходит?
— Проблема мошенничества с займами стала наиболее остро проявляться после 2020 года: с началом пандемии многие микрокредитные компании стали полностью переходить на дистанционную выдачу средств: по данным СРО «Мир» сейчас на онлайн приходится более 70% всех выданных займов в стране, и процент увеличивается с каждым годом.
Сложность в том, что онлайн-выдачи происходят по номеру банковской карты, по которой, мы, как кредиторы, по сути не имеем возможности установить получателя.
Несмотря на то, что наш скоринг за последнее время значительно улучшился и совершенствуется каждый день, о 100% защите от мошенников говорить рано. Имея доступ к данным Госуслуг согласно упрощенной процедуре идентификации, злоумышленники получают деньги и наносят ущерб компании, выдавшей заем. Пострадавшим лицом всегда является только кредитор, но на этом СМИ акцент не делают, показывая проблему лишь со стороны человека, на чье имя был оформлен заем.
— Как вы относитесь к тому, что некоторые СМИ преподносят информацию так, что микрокредитные компании вступают в сговор с мошенниками и специально оформляют займы на ничего не подозревающих людей?
— Это самое большое заблуждение, которое не имеет ничего общего с нашей деятельностью. Микрофинансирование — пожалуй, одна из самых регулируемых отраслей экономики России, находящаяся под пристальным и строгим контролем Центробанка. ЦБ осуществляет тщательный и постоянный надзор за соблюдением требований федеральных законов и иных нормативных правовых актов, принятых в стране. Более того, регулятором инициируются проверки на соблюдение всех требований, установленных для финансовой сферы. Крупные игроки микрофинансового рынка соблюдают все правила, потому что серьезные нарушения грозят исключением из реестра ЦБ и отзывом лицензии. Включение в реестр — сложный и долгий процесс, и ни один из цивилизованных представителей рынка не будет рисковать репутацией компании и никогда не будет вступать в сговор со злоумышленниками, это просто лишено смысла.
— Как вы действуете в ситуации, когда к вам обращается человек, на которого мошенники оформили заем?
— На такие обращения мы реагируем оперативно и сразу начинаем внутреннее расследование. Гражданину, на чье имя оформлен заем, мы предоставляем всю необходимую информацию для подачи заявления в правоохранительные органы — им предстоит установить факт мошенничества и выдать соответствующий документ — уведомление о принятии заявления. С этим документом гражданин обращается непосредственно к нам, а мы, в свою очередь, направляем информацию в БКИ на корректировку кредитной истории — запись о займе будет исключена из нее.
Дальнейшее решение происходит уже между нами и правоохранительными органами в установлении лица, завладевшего персональными данными человека.
Гражданин в конечном итоге не несет материального ущерба, а лишь проходит по делу свидетелем, соответственно, никакие средства кредитору ему не нужно возвращать.
— До 1 июля президент России поручил правительству совместно с Банком России рассмотреть возможность создания механизма выплаты банками и кредитными организациями компенсаций гражданам, у которых мошенники украли деньги. Как вы считаете, это правильная инициатива? Поможет ли она решению проблемы?
— О правильности решения говорить сложно, поскольку объективно развитие мошеннических схем пропорционально уровню финансовой грамотности населения. Несмотря на то, что мы регулярно совершенствуем свои антифрод-системы и улучшаем скоринг, люди по-прежнему безответственно относятся к сохранению своих персональных данных — оставляют их на непроверенных сайтах, не защищают аккаунты на Госуслугах, теряют документы. Если это решение будет принято, то на микрофинансовых компаниях это отразится в меньшей степени: во-первых, мы — не банк и не храним у себя средства заемщиков, а во-вторых, материальный ущерб по-прежнему будем нести мы, как единственное пострадавшее лицо в этой ситуации. В этом плане ничего для нас не изменится.
— Как вообще происходит оформление займов по чужим персональным данным? Через какие каналы чаще всего действуют злоумышленники?
— Способов несколько — это получение займа по данным утерянных паспортов, из утечек баз данных, а также в результате кибератак, фишинговых писем с предложением дать доступ к банковским приложениям. Но один из самых распространенных способов — это оформление займа через Госуслуги.
Взламывая аккаунты, мошенники получают доступ к личному кабинету. На самом портале нельзя взять заем, но можно подтвердить личность при его оформлении. Люди, которые не защитили свой аккаунт, всегда находятся в зоне риска.
Есть и так называемый «семейный фрод», когда без ведома человека родственники, друзья или знакомые оформляют заем по его персональным данным и присваивают себе денежные средства.
— Двухфакторная аутентификация Госуслуг — это 100% гарантия защиты от мошенников? Как уберечь свои данные?
— Стопроцентной уверенности в чем-то никогда нет, потому что злоумышленники всегда придумывают новые схемы. Двухфакторная аутентификация Госуслуг — вход на портал по логину, паролю и одноразовому СМС-коду, в значительной степени защищает от мошеннических действий.
Главное правило безопасности — соблюдать цифровую гигиену: не оставлять свои данные на подозрительных сайтах, не доверять звонкам незнакомцев с требованием произвести какие-то действия на телефоне или в банковском приложении, а при потере или краже документов — незамедлительно обращаться в правоохранительные органы.
— Как вы противодействуюте оформлению займов на чужое имя? Какие методы и действия позволяют определять подозрительные займы?
— Сейчас точно можно сказать, что нет универсального способа обезопасить онлайн-кредитование от мошенничества. Развитие фрода и антифрод-систем идет однонаправленно с опережением то в одну, то в другую сторону.
Злоумышленники владеют всеми инструментами, позволяющими мимикрировать под обычного пользователя, имеют неограниченный объем данных физлиц нашей страны и знают принципы работы антифрод-систем компаний. А еще они активно пользуются услугами дропперов — людей, которые за процент помогают реализовывать преступные схемы.
До конца 2021 года мы были уверены, что наши полностью автоматизированные процессы, функционирующие более 3 лет, работают стабильно и без сбоев. Но в 2021 выявляется масштабная уязвимость сайта Госуслуг, в результате которой взламываются десятки тысяч учетных записей пользователей, не защищенных двухфакторной аутентификацией.
В совокупности эти факторы вылились в самый крупный фрод-кейс в истории существования рынка МФО — больше года он проявлялся в разных своих модификацией и в уже существенно измененном виде до сих пор наблюдаются на рынке.
И все же нам удалось увидеть паттерны, разобравшись с которыми мы практически полностью закрыли теоретическую возможность модификации фрод-кейса.
На данный момент мы используем собственные и внешние сервисы, направленных на борьбу с фродом, внедрили эффективные разработки на поведенческих данных и данных по кредитным отчетам, а также используем более 4 антифрод-моделей под разные принципы мошенничества. Особое внимание хочется обратить на возможности СБП — как одного из надежных способов в корне изменить ситуацию с фродом.
— Каким образом? Как это работает? Расскажите об этом подробнее.
— До момента внедрения Банком России системы быстрых платежей, у представителей микрофинансового рынка отсутствовал ключевой показатель проверки — сопоставление лица, которое обращалось за получением денежных средств и лица, на чью банковскую карту в итоге поступают средства. Этим активно пользовались мошенники: имея доступ к персональным данным жертвы, преступники заменяли платежный инструмент на собственный, Тогда, при проверке персональных данных, информация сверялась по всем доступным для МФО базам — спискам недействительных паспортов, системе межведомственного электронного взаимодействия, по данным с Госуслуг, но не вызывала у наших систем подозрений.
Теперь при использовании СБП мы можем сопоставить лица — тех, кто обращается за займом и тех, кто в конечном итоге получает средства. В случае, если при сопоставлении этих данных мы видим несовпадение между лицами, система откажет в выдаче займа, таким образом, исключается возможность получения денег мошенниками.
— Есть ли уже положительный эффект от внедрения нового инструмента проверки?
— Да, безусловно. С внедрением СБП в первом квартале 2022 года, мы перестали фиксировать обращения, связанные с осуществлением мошеннических действий под договорам, заключенным с момента внедрения.
Этот метод позволяет нам справляться не только с профессиональным фродом, но и с практически нерешаемой сейчас проблемой «семейного фрода». Даже если злоумышленник получит доступ к персональным данным жертвы — взломает аккаунт на сайте МФО или завладеет личным кабинетом на Госуслугах, при выборе платежного инструмента ему все равно будет необходимо выбрать собственную карту, иначе эта схема лишена смысла. Тут снова будет несовпадение лиц и средства не будут выданы. По сути, это простое правило полностью закрывает вопрос с мошенничеством на микрофинансовом рынке.
Сейчас мы используем СБП в ручном режиме, но в наших планах в ближайшее время автоматизировать выдачи с его помощью — тогда клиенты будут получать средства исключительно через эту систему, а у нас появится возможность 100% проверки на соответствие предоставленных данных и платежных инструментов.
— На ваш взгляд, какое будущее у этого инструмента?
— СБП может найти свое развитие как один из инструментов упрощенной идентификации и как дополнительная проверка, равнозначная со СМЭВ (система межведомственного электронного взаимодействия) и подтверждение личности заявителя в ЕСИА на портале Госуслуг.
СПБ активно развивается, подключение к ней — дело добровольное, но в будущем, как мне кажется, большая часть сделок будет совершаться именно в ней.
Развитие СБП является стратегической инициативой ЦБ: в силах и в интересах регулятора мотивировать рынок активно использовать возможности системы. Если поощрять эту инициативу, то многие компании, особенно небольшие, будут переходить на этот способ, тем самым упрощая процесс проверки клиента и не теряя средства от выдач займов мошенникам.
— СБП кажется хорошим инструментом для борьбы с мошенничеством, но какая роль должна быть у клиента в этой борьбе?
— Наша позиция в этом вопросе однозначная — нельзя перекладывать ответственность только на людей, а бизнесу нужно быть социально ответственным. Развитие информационных технологий происходит стремительно.
Неудивительно, что часть населения попросту не успевает за ними, в том числе в плане новых уловок злоумышленников. Особенно это касается людей старшего поколения, которые еще не сталкивались на постоянном основе со всеми возможностями Интернета — как положительными, так и, увы, отрицательными.
Надо признать, что цифровая и финансовая грамотность, несмотря на активную просветительскую работу как регулятора, так и участников рынка, все равно остается на низком уровне. В этой ситуации в большей степени, именно нам необходимо искать и внедрять новые эффективные способы решения вопросов с незаконным оформлением онлайн-займов, владеть и полностью управлять ситуацией. Тем самым наша отрасль, к которой у многих до сих пор есть предвзятое отношение, станет примером надежности, безопасности и удобства. Тем более, что у нас есть для этого все возможности и ресурсы.