На сьогодні безготівкові розрахунки набувають поширення в Україні, а їх обсяги та кількість постійно зростають, так у 2017 році тільки обсяг безготівкових операцій з використанням платіжних карток склав 835,0 млрд грн, що на 46,1% більше у порівнянні з 2016 роком, а кількість таких операцій становила 2,3 млрд шт., що на 27,7% більше ніж в 2016 році.

Водночас на фоні загальних позитивних показників розвитку ринку платежів та розрахунків спостерігається високий рівень кількості випадків шахрайських операцій із використанням платіжних карток та несанкціонованого переказу коштів з рахунків клієнтів, які обслуговуються за допомогою систем дистанційного обслуговування. Відповідно більшої актуальності набувають питання протидії злочинним діям, пов'язаним з використанням таких технологій.

Така інформація підтверджується як статистичною звітністю, що подається банками до Національного банку України-1 (далі - Національний банк) (наприклад, у 2016 році - 94,6 тис. шахрайських випадків з платіжними картками на суму - 177,2 млн грн, а у 2017 році - 77,6 тис. випадків на суму -163,7 млн грн відповідно), так і збільшенням кількості звернень/скарг громадян України стосовно безпідставного списання з рахунків, неповернення (або навмисного неповернення) коштів на рахунки держателів платіжних карток (за 2016 рік - 1007 звернень громадян, а у 2017 році - 1287).

Фахівці банківської системи та правоохоронних органів відокремлюють такі основні види шахрайства:

1. Шахрайство з використанням банкомату:

- зняття готівки з використанням "білого" пластику;

- використання скіммінгових інструментів (копіювання даних платіжних карток у т.ч. з магнітної смуги, запис ПІН-коду тощо);

- зняття коштів із використанням банкомату без відображення цієї операції на рахунку (Transaction Reversal Fraud);

- зняття готівки держателем платіжної картки без її фізичного отримання (Cash Trapping);

- фізичні атаки на банкомати.

2. Інтернет шахрайство:

- використання шкідливих програм (вірусів), підроблених сайтів з метою компрометації реквізитів електронних платіжних засобів та/або логінів/паролів доступу до систем інтернет/мобільного банкінгу;

- розповсюдження (продаж, поширення) інформації щодо скомпрометованих даних.

3. Шахрайство в термінальній мережі:

- здійснення операцій із використанням підробленої/викраденої/втраченої платіжної картки;

- отримання готівки через касу банку за підробленими документами та платіжною карткою;

- проведення дублюючих операцій касиром/оператором;

- проведення несанкціонованого/неточного списання (коли сума на чеку та сума, яка включена до розрахунку, відрізняються);

- компрометація касиром даних платіжної картки під час розрахунків у торговельно-сервісній мережі з метою їх подальшого несанкціонованого використання;

- використання накладок (скімерів) на термінальному обладнанні, яке дозволяє під час здійснення розрахунку зчитувати та передавати дані платіжної картки (протиправна домовленість з касирами);

- встановлення шкідливих програм які пошкоджують програмне забезпечення терміналів.

4. Шахрайство в системах дистанційного обслуговування (ДБО)

Несанкціоноване втручання та/або встановлення шкідливих програм (вірусів), які пошкоджують програмне забезпечення персональних комп'ютерів та перехоплюють паролі доступу до рахунків, інформацію з секретних ключів/токенів тощо.

5. Соціальна інженерія

Виманювання шахраями, які входять в довіру до власників рахунків/держателів карток, їх персональних даних, реквізитів платіжних карток або спонукання власників рахунків до здійснення переказу коштів на користь шахраїв.

Окремої уваги потребує питання опрацювання ризиків недотримання/порушення банками вимог і рекомендацій, що стосуються фінансового моніторингу, оскільки це створює додаткове підґрунтя для впровадження шахраями злочинних схем та сприяє збільшенню можливих збитків від такого шахрайства.

Національний банк України вбачає, що банки України мають посилити роботу, пов'язану з упередженням відповідних ризиків шахрайства. Враховуючи зазначене Національним банком України підготовлено рекомендації стосовно запобігання та протидії шахрайству в банківській системі, що додаються.

Додатки:

1. Рекомендації з питань упередження шахрайства з платіжними картками.

2. Рекомендації з питань інформаційної безпеки в системі ДБО.

3. Рекомендації з питань фінансового моніторингу.

Для запобігання та протидії злочинам із платіжними картками банкам потрібно скеровувати зусилля на максимальне інформування клієнтів - держателів платіжних карток.

Особливої уваги потребує застереження держателів платіжних карток не повідомляти третім особам власні персональні дані та/або реквізити платіжної картки (номер платіжної картки, ПІН-код, CVV2, термін дії картки, а також код (пароль), який надходить на мобільний телефон для підтвердження переказу/платежу) та інші персональні дані, які необхідні для здійснення переказів та платежів.

Під час здійснення операцій із використанням платіжних карток (у тому числі мобільних платежів) держателям необхідно дотримуватися правил безпеки, які встановлені банком-емітентом, здійснювати постійний контроль за рухом коштів, оновлювати антивірусне програмне забезпечення на персональному комп'ютері, здійснювати своєчасне інформування банку щодо втрати платіжної картки або її реквізитів чи несанкціоновані списання за рахунком, а також дотримуватись рекомендацій, розроблених Національним банком України та розміщених на сторінці офіційного Інтернет-представництва в мережі Інтернет: http://bank.gov.ua/doccatalog/document?id=70904.

Враховуючи активний розвиток такого напряму, як електронна комерція, банку необхідно наголошувати клієнтам про доцільність збереження (а у разі втрати - негайного блокування шляхом подання відповідної заявки до оператора стільникового зв'язку) свого номера "фінансового телефону", який може бути використаний шахраями для викрадення коштів злочинним шляхом.

Підрозділам банків, які відповідають за банківську та інформаційну безпеку, потрібно забезпечити найвищий рівень безпеки платежів та розрахунків, а також здійснювати моніторинг операцій з використанням електронних платіжних засобів (та/або їх реквізитів) в режимі 24/7. Моніторинг доцільно здійснювати за допомогою системи моніторингу, яка дозволяє виявляти сумнівні операції та вживати заходів для зменшення потенційних ризиків.

Банкам слід сформувати та постійно супроводжувати базу даних інцидентів з електронними платіжними засобами на підставі даних системи моніторингу.

Моніторинг доцільно здійснювати на підставі інформації з власного процесингового центру (у разі його наявності) та/або з незалежного процесингового центру, з урахуванням внутрішньобанківських правил, розроблених відповідно до вимог законодавства України, нормативно-правових актів Національного банку, правил платіжних систем та з урахуванням вимог цих рекомендацій.

У внутрішньобанківських правилах та договорі з клієнтом банкам необхідно враховувати можливість врегулювання нестандартних ситуацій у процесі здійснення операцій із використанням платіжних карток та розглядати звернення/скарги клієнта відповідно до умов договору.

Провести аналіз програмного забезпечення, встановленого на веб-серверах систем "Клієнт-Інтернет-Банк", а також клієнтських частин систем дистанційного банківського обслуговування (далі - ДБО), встановлених у клієнтів. Вжити заходів щодо оновлення застарілих версій програмного забезпечення і встановлення актуальних оновлень безпеки та щодо усунення вразливостей програмного забезпечення ДБО, операційних систем, іншого програмного забезпечення, яке використовується під час підготовки та обміну платіжними документами.

Застосовувати захищені носії ключової інформації для накладання електронного цифрового підпису та методи багатофакторної автентифікації.

Розробити порядок дій працівників та клієнтів банку у випадках виявлення несанкціонованого доступу (чи підозри в спробі доступу) до рахунку.

Визначити уповноважених осіб банку, які відповідатимуть за взаємодію з правоохоронними органами, та порядок такої взаємодії у разі виявлення несанкціонованих операцій, здійснених із використанням систем ДБО. Під час здійснення заходів щодо оперативного обміну інформацією, розслідувань фактів шахрайства, протидії/попередження злочинам із ЕПЗ (у тому числі за їх реквізитами) та системами ДБО, поданні інформації, заяв за вказаними фактами до правоохоронних органів, банкам слід дотримуватись вимог законодавства з питань захисту даних (клієнтів, банків, торговців тощо) та інших правил безпеки.

Постійно проводити роз'яснювальну роботу серед клієнтів щодо обов'язкового дотримання вимог з питань захисту інформації на робочих місцях, де встановлено систему ДБО, а також щодо належного поводження з носіями ключової інформації системи ДБО (розроблення та доведення до клієнтів типових рекомендацій/інструкцій для роботи на комп'ютерах, де встановлюються клієнтські частини ДБО, правил використання та зберігання носіїв ключової інформації тощо).

Розробити пам'ятку для клієнтів з такими застереженнями: