Банк вернет деньги после взлома онлайн-банка: когда это правило заработает

Банк России разъяснил новые нормы второго пакета антифрод-мер. Главное изменение для клиентов: банк будет обязан возместить деньги, если мошенники похитили их в результате взлома онлайн-банка с помощью вредоносной программы.

Речь идет не о любой спорной операции и не о любой ситуации, когда человек сам перевел деньги мошенникам. Новый механизм касается случаев, когда хищение связано с вредоносным ПО на устройстве, где установлен онлайн-банк, а банк не выполнил обязанности по защите операции.

По разъяснению ЦБ, норма содержится в законе «Антифрод 2.0», который приняла Государственная Дума. Банк России указывает, что она вступит в действие в 2027 году. По данным «Коммерсанта», меры о компенсациях могут заработать с 1 марта 2027 года.

Для клиента это означает, что ответственность за безопасность дистанционного банка становится конкретнее. Если банк должен был проверить операцию, но не сделал этого, риск хищения не должен полностью перекладываться на клиента.

Чтобы предотвратить такие кражи, банк с разрешения клиента должен будет перед операцией проверять устройство, на котором установлен онлайн-банк. Цель проверки: понять, нет ли признаков вредоносной программы, которая может перехватывать данные, подменять реквизиты или управлять приложением без участия владельца.

Если банк обнаружит угрозу, он должен будет отклонить операцию, уведомить клиента и предложить безопасный вариант: провести перевод с другого устройства или обратиться в офис банка.

Это не значит, что банк получит право просматривать все содержимое телефона. По смыслу разъяснения речь идет о проверке признаков вредоносного ПО, которое влияет на безопасность операции. Но для клиента появится практический момент: если банк просит согласие на такую проверку, отказ может повлиять на дальнейшую оценку спорной операции.

Фактически банк получает не только право, но и обязанность встроить дополнительный фильтр перед списанием денег. Для пользователя это может выглядеть как предупреждение в приложении, отказ в проведении перевода или просьба подтвердить операцию другим способом.

Ключевой принцип такой: компенсировать потери должна та сторона, которая не выполнила обязанности по защите клиента. Это может быть банк или оператор связи.

Если хищение произошло из-за взлома онлайн-банка вредоносной программой, важным будет вопрос, сделал ли банк то, что требовал закон. Например, проверил ли приложение и устройство перед операцией, предупредил ли клиента, отклонил ли перевод при признаках угрозы.

Если банк провел проверку, обнаружил риск, остановил операцию и предупредил клиента, но человек все равно настоял на переводе другим способом, ситуация уже не будет такой простой. В таком случае требовать автоматического возмещения может быть сложнее.

Отдельно стоит понимать разницу между взломом и социальной инженерией. Если человек сам сообщил мошенникам код из СМС, установил приложение по их инструкции или добровольно перевел деньги после разговора, банк будет оценивать обстоятельства. Новое правило усиливает защиту от технического взлома, но не превращает любой мошеннический перевод в гарантированный возврат.

Если человек считает, что деньги похитили мошенники, действовать нужно быстро. Не стоит ждать, что банк сам во всем разберется без заявления клиента.

Что стоит сделать:

• сразу заблокировать доступ к онлайн-банку, карту или счет, если есть риск дальнейших списаний;
• сообщить в банк о спорной операции и попросить зарегистрировать обращение;
• подать заявление в полицию;
• сохранить переписку, СМС, пуш-уведомления, номера телефонов, чеки и скриншоты операций;
• не удалять подозрительное приложение до консультации со специалистом или банком, если оно может быть доказательством взлома;
• проверить телефон антивирусом или обратиться в сервис, если есть признаки заражения.

В публичных разборах новых правил упоминается, что для возмещения может понадобиться постановление о возбуждении уголовного дела по факту хищения. Поэтому после обращения в банк стоит отдельно зафиксировать заявление в правоохранительных органах.

Даже если новый порядок еще не вступил в силу, эти действия остаются полезными. Чем быстрее клиент фиксирует проблему, тем проще восстановить цепочку событий: когда была операция, с какого устройства, были ли предупреждения банка и какие действия совершал сам клиент. Если хотите разобрать похожие сценарии, у Финуслуг есть отдельный материал о том, как мошенники крадут деньги при переводах.

Если банк отклонил операцию и написал, что на устройстве есть признаки вредоносного ПО, не стоит сразу повторять перевод. Такое предупреждение означает, что операция может быть небезопасной.

Разумный порядок действий:

• не переходить по ссылкам из сообщений и не устанавливать приложения «для проверки» по просьбе неизвестных людей;
• обновить банковское приложение только через официальный магазин приложений или сайт банка;
• проверить устройство антивирусом;
• провести операцию с другого устройства, если банк предлагает такой вариант;
• обратиться в офис банка, если перевод срочный или сумма крупная.

В такой ситуации отказ банка провести операцию может раздражать, особенно если перевод нужен срочно. Но именно в этом смысл антифрод-проверки: остановить списание до того, как деньги уйдут на счет мошенников.

Новый порядок не ограничивается только онлайн-банком. В пакете «Антифрод 2.0» есть несколько мер, которые должны работать вместе.

Один человек сможет иметь не более 20 платежных карт во всех банках. Это объясняется борьбой с массовым оформлением карт для передачи мошенникам: такие карты часто используют для вывода и обналичивания похищенных денег.

Также закон устанавливает сроки нахождения сведений о человеке в базе данных о мошеннических операциях. При первом включении данные должны удаляться через один год, при повторном и последующих случаях: через три года. При этом у человека сохраняется право оспорить включение реквизитов в базу.

Еще один блок касается операторов связи. Они должны будут выявлять мошеннические звонки и применять меры защиты. Если при хищении денег свои обязанности не выполнит оператор связи, компенсировать потери должен будет он, а не банк.

Для клиента общий смысл такой: банки, операторы связи и государственная система «Антифрод» должны обмениваться сигналами о рисках до того, как деньги уйдут мошенникам. Детали взаимодействия еще будут уточняться, в том числе отдельным постановлением правительства для операторов связи.

Новые правила заработают не сразу, но базовую защиту онлайн-банка можно проверить уже сейчас.

Стоит начать с устройства. На телефоне не должно быть приложений, установленных по ссылкам от неизвестных людей, «служб безопасности», «сотрудников ЦБ», «операторов связи» или «техподдержки Госуслуг». Банк, ЦБ и госорганы не просят ставить программы удаленного доступа, чтобы «защитить деньги».

Второй пункт: уведомления. Пуши и СМС от банка лучше не отключать, особенно если на карте или счете есть крупная сумма. Уведомление о входе, переводе или смене настроек может помочь быстро заметить проблему.

Третий пункт: лимиты. Если банк позволяет настроить суточные лимиты на переводы, снятие наличных и онлайн-платежи, их стоит привести к реальному сценарию расходов. Чем ниже лимит на случайные операции, тем меньше потенциальный ущерб при взломе.

Четвертый пункт: отдельное устройство или отдельная карта для крупных операций. Если человек редко делает большие переводы, можно не держать крупные суммы на карте, которой он постоянно платит в интернете. Еще один базовый чек-лист есть в материале Финуслуг о том, как защитить банковскую карту от мошенников.

Если вы сравниваете банковские продукты, на Финуслугах можно посмотреть предложения разных банков в одном месте. Но защита денег зависит не только от выбранного продукта: важны настройки безопасности, лимиты, уведомления и то, как быстро клиент реагирует на подозрительные операции. А если есть риск, что мошенники могли оформить кредит на ваше имя, полезно проверить кредитную историю и ошибки в ней.

Новые правила должны усилить ответственность банков за безопасность онлайн-банка. Если деньги украдут через вредоносную программу, а банк не выполнит обязательные проверки, клиент сможет претендовать на возмещение с учетом требований закона и процедуры рассмотрения заявления.

Но это не универсальная страховка от всех мошеннических схем. Если человек сам подтвердил перевод, проигнорировал предупреждение или установил подозрительное приложение, обстоятельства будут разбирать отдельно.

Главное для клиента: не отключать уведомления, не устанавливать приложения по чужим инструкциям, быстро обращаться в банк и полицию при списании денег. А если банк остановил перевод из-за угрозы, лучше сначала проверить устройство, а не пытаться провести операцию любой ценой.

Вернет ли банк деньги, если телефон заразили вирусом?

Да, новое правило предусматривает такую возможность, если деньги похитили из-за взлома онлайн-банка с помощью вредоносной программы. Но важны обстоятельства: выполнил ли банк обязательные проверки, было ли заявление клиента и подтвержден ли факт хищения. Автоматического возврата во всех ситуациях не будет.

Когда новые правила заработают?

По разъяснению Банка России, норма о возмещении денег при взломе онлайн-банка должна вступить в действие в 2027 году. По данным «Коммерсанта», меры о компенсациях могут заработать с 1 марта 2027 года. Точную дату лучше сверять по официально опубликованному тексту закона.

Может ли банк проверять мой телефон перед переводом?

Банк должен будет проверять устройство с разрешения клиента перед проведением операции. Проверка нужна, чтобы выявить признаки вредоносной программы, которая может повлиять на безопасность перевода. Если банк найдет угрозу, он должен отклонить операцию и предложить безопасный способ ее провести.

Что делать, если банк заблокировал операцию?

Не стоит сразу повторять перевод или искать обходной способ. Проверьте устройство, обновите банковское приложение из официального источника, удалите подозрительные программы и свяжитесь с банком. Если перевод срочный, безопаснее провести его с другого устройства или в офисе банка.

Можно ли будет иметь больше 20 банковских карт?

По разъяснению ЦБ, документ устанавливает лимит: не более 20 платежных карт на одного человека во всех банках. Мера нужна, чтобы снизить риск массового оформления карт для мошеннических схем. После официальной публикации закона стоит проверить, есть ли исключения и как банки будут считать карты.