Beperkingen op geldopnames bij geldautomaten: wat verandert er vanaf 1 september?

Veel banken proberen hun klanten al te beschermen tegen fraudeurs door middel van diverse maatregelen, waaronder het opnemen van contant geld. Vanaf 1 september kunnen krediet- en financiële instellingen echter overgaan van vermaningen naar maatregelen, omdat de Centrale Bank van de Russische Federatie negen signalen heeft gepubliceerd waarmee banken frauduleuze praktijken kunnen herkennen.

Als de transactie als "atypisch" voor de klant wordt beschouwd, wordt de uitgifte van contant geld beperkt tot 50.000 roebel gedurende 48 uur. Informatiebeveiligingsexpert Anton Redozubov vertelde MK hoe de nieuwe regels zullen werken.

— De Centrale Bank van de Russische Federatie heeft op 21 augustus op haar website negen criteria gepubliceerd voor transacties die onder invloed van fraudeurs worden uitgevoerd. Deze criteria treden op 1 september in werking. Zullen de banken voldoende tijd hebben om zich voor te bereiden?

— Nadat ik de lijst had bekeken, zag ik dat een aantal punten op dit moment al zijn geïmplementeerd en binnen het kader van de antifrauderegels – antifraudemaatregelen – vallen.

— We hebben het over signalen zoals de discrepantie tussen de aard, parameters of het volume van het verzoek tot geldopname van de klant en de transacties die hij gewoonlijk uitvoert, een afwijkende tijd en locatie van de geldautomaat, een ongebruikelijk bedrag of een ongebruikelijke frequentie waarmee de persoon gedurende de dag geld opneemt. Bijvoorbeeld, als de klant normaal gesproken drie keer per maand geld opneemt, maar plotseling elke 10 minuten geld opneemt, dan roept dit vragen op. Ook de aanwezigheid van informatie over vijf of meer weigeringen om geld uit te geven, onder meer in verband met overschrijding van de kredietlimiet, of fouten bij het invoeren van de pincode gedurende de kalenderdag. Is dit al geïmplementeerd bij banken ?

— Ja. Maar de lijst van de Centrale Bank bevat ook elementen die onze moderne financiële realiteit weerspiegelen. Zo wordt met name aangegeven dat een klant op een ongebruikelijke manier om contant geld vraagt, bijvoorbeeld niet met een kaart, maar via een QR-code. Er wordt gesproken over een verandering in de activiteit van telefoongesprekken minstens zes uur vóór het opnemen van geld bij een geldautomaat, een toename van het aantal sms-berichten van onbekende nummers, waaronder berichtendiensten, het opnemen van geld binnen 24 uur na het aanvragen van een lening of krediet, en het wijzigen van het telefoonnummer voor autorisatie in online bankieren. Tekenen van verdachte activiteit zijn onder meer een verandering in de kenmerken van de telefoon waarmee de klant geld opneemt, de aanwezigheid van malware op zijn apparaat, en een persoon die meer dan 200.000 roebel via de SBP naar zichzelf overmaakt van zijn rekening bij een andere bank of een storting voor hetzelfde bedrag vervroegd afsluit. Het moet worden toegegeven: snelle overboekingen, atypische oproepen, pieken in activiteit in berichtendiensten - dit alles gaat vaak gepaard met social engineering en frauduleuze oplichting.

— Er zijn veel criteria. Zal het er niet op uitdraaien dat burgers simpelweg geen contant geld meer kunnen opnemen, en dat terwijl de feestdagen nog steeds aan de gang zijn en mensen contant geld nodig hebben en het opnemen bij geldautomaten die niet in de buurt van hun huis zijn, maar bij vakantieparken?

— De ingevoerde regels verkleinen in feite het risico op willekeurige blokkering van geld door banken, omdat ze nu verplicht zijn om rekening te houden met negen factoren, in plaats van te handelen volgens interne en niet volledig bekende algoritmen die van bank tot bank verschillen.

— Zijn er nadelen aan deze beslissing van de toezichthouder?

— Ik zie het grootste nadeel in het feit dat de methode voor het opheffen van de beperkingen niet wordt beschreven. Banken zullen waarschijnlijk zelf bevestigingsmethoden aanbieden. Bovendien zijn er vaak foutpositieve resultaten mogelijk, vooral onder sociaal actieve bevolkingsgroepen – reizigers, bezitters van een groot aantal bankpassen of klanten van zeldzame banken die gedwongen worden willekeurige geldautomaten in de buurt te gebruiken, in plaats van die van hun bank.

— Worden er nieuwe regels ingevoerd die banken nog niet eerder in hun praktijk hebben toegepast?

— Ja. Zo stelt een van de punten dat een transactie verdacht is als er informatie is over de mogelijke uitvoering van een transactie zonder de vrijwillige toestemming van de klant, "over risicofactoren voor het compromitteren van de gegevens van een elektronisch betaalmiddel, verzonden in autorisatieberichten door de exploitant van betalingsinfrastructuurdiensten, indien dit is voorzien in de regels van het betalingssysteem." Dit punt beschrijft de interactie tussen banken en betalingssystemen bij het creëren van één enkele fraudebescherming. Er zijn ook punten die een nieuw fenomeen voor de banksector weerspiegelen: proactieve bescherming, wanneer een grote hoeveelheid gegevens over gebruikers wordt geanalyseerd, wanneer gegevens worden uitgewisseld met telecomoperatoren, wanneer IP-adressen worden gecontroleerd, en nog veel meer. Hier zijn de acties van banken erop gericht te voorkomen dat fraudeurs geld stelen, zelfs voordat ze een misdrijf plegen.

—Zullen deze criteria de Russen helpen beschermen?

— Ja, dergelijke functies zullen de bescherming van burgers en hun rekeningen tegen fraudeurs vergroten. Het voordeel is dat ze van invloed zijn op de stappen die het werk van criminelen aanzienlijk belemmeren, maar zeer zelden op een bonafide bankklant. Toch moet ik waarschuwen dat dit problemen voor consumenten zal opleveren, aangezien we een directe link hebben: "meer veiligheid - minder gemak". En op een gegeven moment begint een te hoog beveiligingsniveau schadelijk te zijn, maar dat is momenteel niet de optie. De extreme maatregel hier zou een voorstel zijn om over te stappen op papieren betaalopdrachten en spaarboekjes, wat een stap terug in het verleden zou zijn en een soort erkenning van de overwinning van criminelen op IT-gebied, wat in principe onaanvaardbaar is. En het zal ook de bedrijfsprocessen en -activiteiten drastisch vertragen, waar zowel klanten als banken zelf allang aan gewend zijn. Voorlopig is de vraag meer hoe de "beschikbaarheid van informatie" precies zal worden bevestigd bij de kantoren van de Centrale Bank. We wachten op verduidelijking van de toezichthouder, of misschien ontwikkelt elke bank haar eigen protocollen.

— Laten we eens een concreet voorbeeld bekijken om dit te begrijpen. Een hypothetische metaalkundige uit Tsjeljabinsk nam na ontvangst van zijn salaris doorgaans niet meer dan 50.000 roebel op bij een geldautomaat en bewaarde de rest van het geld op een kaart voor niet-contante betalingen. Nu, voordat hij op vakantie naar Sotsji ging, wilde hij in één keer 110.000 roebel opnemen. Wordt hem dat geweigerd?

— Nee, ze zullen niet weigeren. In het voorbeeld dat u gaf, verandert er niets voor de burger. Het enige feit dat opvalt ten opzichte van de gebruikelijke handelingen, is een eenmalige opname van 110 duizend roebel in plaats van 50 duizend roebel. Het is duidelijk geen significant kenmerk. Maar als er andere feiten zijn, of het bedrag 10 keer zo hoog is, of er 10 opnameverzoeken zijn in plaats van één, dan kan de bank een tijdelijke limiet van 48 uur invoeren. In dit geval wordt zijn kaart niet geblokkeerd, maar de limiet voor contante opnames bij een geldautomaat wordt beperkt tot 50 duizend roebel per dag. Helaas is het mechanisme voor het opheffen van deze limiet nog niet beschreven, bijvoorbeeld bij contact met een bankfiliaal, waardoor het onmogelijk is te zeggen hoe deze controle zal worden uitgevoerd. Echter, zelfs met een dergelijke tijdelijke limiet kan de klant het vereiste bedrag bij het bankfiliaal ontvangen.