Руководитель управления сопровождения основной деятельности и взаимодействия с государственными органами «Джой Мани» Валерий Нечаев рассуждает о том, от какого вида мошенничества сегодня страдают и финансовая отрасль, и потребители финансовых услуг, и как постараться себя обезопасить от нежелательных сюрпризов с кредитной историей.

Пока социальная инженерия становится общим местом, и граждане, кажется, уже почти привыкли, что разговаривать с «сотрудником службы безопасности Сбербанка» или различных «ведомств» не стоит, финансовая отрасль столкнулась с новым видом мошенничества. Онлайн-мошенники, которые с использованием чужих персональных данных оформляют договоры потребительского кредита или займа. Возникает вопрос, как они получают доступ к такому количеству данных о гражданине, чтобы заполнить анкеты кредиторов и пройти все андеррайтинговые проверки?

Береги персональные данные смолоду

Увы, но тут всё до невозможности банально. Охрана персональных данных — в первую очередь задача самого физического лица. А россияне до сих пор слишком халатно к этому относятся, вероятно, не осознавая до конца все риски. Бывают, безусловно, и злоупотребления со стороны тех лиц, которые в силу своих рабочих обязанностей имеют доступ к большому объёму персональных данных большого числа людей. Но…

Приведу примеры из практики. В 2022 году микрофинансовая отрасль столкнулась с массовым сливом данных из Ростелекома. Сотрудник кадровой службы компании брал персональные данные своих коллег и пачками оформлял на них займы. При этом прибегал он и к социальной инженерии: взаимодействовал непосредственно с потерпевшим, убеждал их, что компания якобы делает какую-то соцрассылку и им придёт несколько кодов, которые они должны ему передать, и, возможно, ответить на пару звонков. Со стороны компании всё выглядело совершенно легально: мы направляли коды проверки, они верно использовались, по телефону отвечали люди, подтверждавшие информацию о себе. Пострадавшие были уверены, что просто выполняют какую-то просьбу работодателя, и их не смущали СМС сообщения от финансовых организаций и звонки от них.

Другая схема —  злоумышленник за определённые денежные средства или путём автоматического парсинга собирает максимально возможные сведения о людях. В этом ему помогает тот факт, что персональные данные людей гуляют по сети. На одних только Госуслугах хранится колоссальный объём информации о каждом человеке. Все те каверзные ответы на каверзные вопросы, которые задают компании, чтобы отсеять заявки на предмет мошенничества, содержатся на Госуслугах. Усугубляется в данном случае ситуация ещё и тем, что человек вообще не подозревает, что на его имя оформляют займы, либо получают удалённо банковские услуги. Понятно, что у финансовых организаций есть определённые требования, которые обязывают очень много всего проверять. Но тем не менее случаи, когда у злоумышленников есть такой набор персональных данных и они так маскируются, происходят повсеместно.

Двойная проверка

Это, конечно, очень банально звучит, но первое, о чём надо помнить, чтобы обезопасить себя, —  двойная верификация. Её нужно ставить на всех сервисах, которые предлагают такой механизм.

Второе: не используйте одинаковые пароли. Третье — избегайте ненужных регистраций. Зачастую мы оставляем свои персональные данные там, где в этом вообще не было необходимости. Любой магазин сегодня, даже при оформлении дисконтной карты, собирает такой набор персональных данных, который даже не совсем понятно, для чего им нужен. Также рекомендую проверять кредитную историю хотя бы раз в полгода. Два раза каждый гражданин это может делать бесплатно во всех БКИ. Чтобы изучить собственную кредитную историю, не нужно никаких дополнительных знаний в финансовой сфере, сегодня бюро кредитных историй предоставляют все данные в максимально понятном и доступном формате. И если вы в своей кредитной истории вдруг видите продукт, который вы не оформляли, не стоит списывать это на техническую ошибку. Вероятно, кто-то оформил его за вас. И вам теперь придётся решать этот вопрос, причём чем быстрее, тем лучше.

Ответственность сильного

Финансовая организация, любой финансовый бизнес — сильная сторона правоотношений. Поэтому именно бизнес должен применять все необходимые меры — не только те, которые регулятор сейчас обязал принимать, а гораздо больше — направленные на недопущение совершения мошеннических операций. Информационная безопасность — это процесс дорогой, но без него на финансовом рынке существовать нельзя.

Но если уж случился факт мошенничества, бизнес не должен перекладывать ответственность за ситуацию на пострадавшее физлицо. До сих пор на рынке встречаются недобросовестные практики, когда обратившегося в компанию пострадавшего отправляют в полицию получать постановление о возбуждении уголовного дела, отправляют в суд, предлагают самостоятельно со всем разобраться и все решить. «Подайте исковое заявление о признании договора не заключённым, признайте договор не заключённым и вот тогда мы что-то поправим». Так быть не должно. Такой подход чреват социальными бурлениями.

Финансовая организация, как сторона, обладающая ресурсами и знаниями, должна рассматривать обращения клиента, проводить внутреннюю проверку.

Показатель мошеннических займов в портфеле компаний отрасли достаточно увесист — в ряде случаев может составлять до четверти портфеля. Но на стабильность отрасли с точки зрения кредитного риска или доходности это не влияет никак: обычная просроченная задолженность отнимает у компании в сотни раз больше ресурсов, чем мошеннические займы. Здесь риски для компании другого плана, но, возможно, ещё и более ощутимые — регуляторные и репутационные. Регулятор внимательно следит за мошенничеством на рынке и тем, как компании его устраняют. И если компания самостоятельно не справится с решением проблемы, регулятор придёт и проверит её, что, скорее всего, грозит не только ростом объёма регуляторной работы, но и выявлением нарушений.  Что касается рисков репутационных, то если брать общепринятую систему управления рисками в микрофинансовой отрасли, то кредитный риск — это скорее погрешность, а вот риск потери деловой репутации — это куда важнее. Это не влияет не финансовую устойчивость напрямую, но может подорвать устойчивость регуляторную.