Restrições para saques em caixas eletrônicos: o que muda a partir de 1º de setembro

Hoje, muitos bancos já estão tentando proteger seus clientes de fraudadores por meio de diversas medidas, inclusive ao sacar dinheiro. No entanto, a partir de 1º de setembro, as instituições de crédito e financeiras poderão passar de advertências para ações, pois o Banco Central da Federação Russa publicou nove sinais pelos quais os bancos identificarão esquemas fraudulentos.

Se a transação for considerada "atípica" para o cliente, a emissão de dinheiro será limitada a 50 mil rublos por 48 horas. O especialista em segurança da informação Anton Redozubov explicou ao MK como as novas regras funcionarão.

— O Banco Central da Federação Russa publicou nove critérios para transações realizadas sob a influência de fraudadores em seu site em 21 de agosto, e eles entrarão em vigor em 1º de setembro. Os bancos terão tempo para se preparar?

— Depois de rever a lista, vi que alguns dos pontos já foram implementados no momento e estão operando dentro da estrutura de regras antifraude – medidas antifraude.

— Estamos falando de indícios como a discrepância entre a natureza, os parâmetros ou o volume da solicitação de saque do cliente e as transações normalmente realizadas por ele, horário e local fora do padrão do caixa eletrônico, valor ou frequência incomuns com que a pessoa solicita saques em dinheiro durante o dia. Ou seja, se o cliente costumava sacar dinheiro três vezes por mês, mas repentinamente saca a cada 10 minutos, isso levantará dúvidas. E também a presença de informações sobre cinco ou mais recusas de saque, inclusive em relação à ultrapassagem do limite de crédito, ou erros na digitação do código PIN durante o dia do calendário. Isso já foi implementado nos bancos ?

— Sim. Mas a lista do Banco Central também inclui itens que refletem nossa realidade financeira moderna. Em particular, indica a solicitação de dinheiro por um cliente de forma incomum, por exemplo, não de um cartão, mas por meio de um código QR. Fala sobre uma mudança na atividade de conversas telefônicas pelo menos seis horas antes de sacar fundos em um caixa eletrônico, um aumento no número de mensagens SMS de números desconhecidos, inclusive em mensageiros, saques de dinheiro dentro de 24 horas após a solicitação de um empréstimo ou crédito e alteração do número de telefone para autorização em serviços bancários online. Sinais de atividade suspeita incluem uma mudança nas características do telefone com o qual o cliente saca fundos, a presença de malware em seu dispositivo e uma pessoa transferindo mais de 200 mil rublos para si mesma por meio do SBP de sua conta em outro banco ou o encerramento antecipado de um depósito no mesmo valor. É preciso admitir: transferências rápidas, chamadas atípicas, picos de atividade em mensageiros - tudo isso frequentemente acompanha cenários de engenharia social e golpes fraudulentos.

— Há muitos critérios. Não será que os cidadãos ficarão simplesmente impedidos de receber dinheiro em espécie, e isso numa época em que a temporada de festas ainda está em andamento e as pessoas precisam de dinheiro em espécie e o sacam em caixas eletrônicos não perto de suas casas, mas em resorts?

— De fato, as regras introduzidas reduzem o risco de bloqueio arbitrário de dinheiro pelos bancos, uma vez que agora eles são obrigados a levar em conta nove fatores, em vez de agir de acordo com algoritmos internos e não totalmente conhecidos, que diferem de banco para banco.

— Há alguma desvantagem nessa decisão do regulador?

— Vejo a principal desvantagem no fato de o método para suspender as restrições não ser descrito. Muito provavelmente, os próprios bancos oferecerão métodos de confirmação. Além disso, falsos positivos frequentes são possíveis, especialmente entre grupos socialmente ativos da população — viajantes, portadores de um grande número de cartões bancários ou clientes de bancos raros que são obrigados a usar caixas eletrônicos aleatórios perto de sua localização, e não aqueles fornecidos por seu banco.

— Há alguma regra nova sendo introduzida que os bancos não tenham usado em suas práticas antes?

— Sim. Por exemplo, um dos pontos afirma que uma transação é suspeita se houver informações sobre a possível implementação de uma transação sem o consentimento voluntário do cliente, "sobre fatores de risco para comprometimento dos dados de um meio de pagamento eletrônico, enviados em mensagens de autorização pelo operador de serviços de infraestrutura de pagamento, se isso estiver previsto nas regras do sistema de pagamento". Este ponto revela a interação entre bancos e sistemas de pagamento na criação de uma proteção antifraude única. Há também pontos que refletem um novo fenômeno para o setor bancário — proteção proativa, quando uma grande quantidade de dados sobre usuários é analisada, onde dados são trocados com operadoras de telecomunicações, onde endereços IP são verificados e muito mais. Aqui, as ações dos bancos visam impedir que fraudadores roubem dinheiro antes mesmo de cometerem um crime.

— Esses critérios ajudarão a proteger os russos?

— Sim, tais recursos aumentarão a proteção dos cidadãos e de suas contas contra fraudadores. A vantagem é que eles afetam as etapas que interferem muito no trabalho dos criminosos, mas muito raramente afetam um cliente bancário de boa-fé. No entanto, devo alertar que isso criará dificuldades para os consumidores, pois temos uma ligação direta: "mais segurança - menos conveniência". E em algum momento, um nível de segurança muito alto começa a prejudicar, mas esta não é a opção atual. A medida extrema aqui seria uma proposta de mudança para ordens de pagamento em papel e cadernetas de poupança, o que seria um retrocesso e uma espécie de reconhecimento da vitória dos criminosos no setor de TI, o que é basicamente inaceitável. E também desacelerará drasticamente os processos e operações de negócios, algo que tanto os clientes quanto os próprios bancos há muito perderam. Por enquanto, a questão é mais sobre como exatamente a "disponibilidade das informações" será confirmada nas agências do Banco Central. Estamos aguardando esclarecimentos do regulador ou, talvez, cada banco desenvolva seus próprios protocolos.

— Vejamos um exemplo específico para entender. Um metalúrgico hipotético de Chelyabinsk normalmente sacava no máximo 50 mil rublos de um caixa eletrônico após receber seu salário e guardava o restante em um cartão para pagamentos que não fossem em dinheiro. Agora, antes de viajar para Sóchi, ele queria sacar 110 mil rublos de uma só vez. Será que ele será recusado?

— Não, eles não vão recusar. No exemplo que você deu, nada mudará para o cidadão. O único fato que se destaca das ações usuais é um saque único de 110 mil rublos em vez de 50 mil rublos. Claramente, não é uma característica significativa. Mas se houver outros fatos, ou o valor for 10 vezes maior, ou houver 10 solicitações de saque em vez de uma, o banco pode impor um limite temporário de 48 horas. Nesse caso, o cartão dele não será bloqueado, mas o limite para saque em dinheiro em um caixa eletrônico será limitado a 50 mil rublos por dia. Infelizmente, o mecanismo para remover essa limitação ainda não foi descrito, por exemplo, ao entrar em contato com uma agência bancária, por isso é impossível dizer como essa verificação será realizada. No entanto, mesmo com essa limitação temporária, o cliente pode receber o valor necessário na agência bancária.