Назад к блогу

Банки обязаны возвращать средства жертвам фишинга: что значит новое мнение адвоката‑генерала ЕС для управления внешней атакующей поверхностью

3 мин. чтения1 просмотровИИ-генерация

Банки обязаны возвращать средства жертвам фишинга: что значит развитие нормативной базы ЕС для управления внешней атакующей поверхностью

В последние годы в Европейском союзе усиливается внимание к защите потребителей от финансовых потерь, связанных с фишинг‑атаками. На основании директивы о платежных услугах (PSD2) и рекомендаций Европейского банковского управления (EBA) финансовые учреждения обязаны принимать меры по возврату средств, списанных в результате несанкционированных транзакций, если клиент своевременно сообщил о подозрении на мошенничество. Такие нормативные положения усиливают защиту потребителей и создают новые требования к процессам управления рисками в банковском секторе.

Суть юридической позиции

  • Ключевой вывод: банки обязаны возвращать деньги пострадавшим, если клиент доказал, что транзакция была несанкционированной и своевременно сообщил о ней.
  • Источник: директива PSD2 (статья 71) и рекомендации EBA по управлению рисками фишинга, опубликованные в 2023 году.
  • Контекст: положения применяются в случаях, когда клиент сообщает о компрометации учётных данных, а банк не смог предотвратить несанкционированный перевод.

Почему это важно для организаций, контролирующих внешнюю поверхность атаки

Фишинг остаётся одной из самых распространённых техник компрометации учётных записей. Внешняя поверхность атаки (External Attack Surface Management, EASM) охватывает все публично доступные ресурсы, домены, IP‑адреса и сервисы, которые могут стать точкой входа для злоумышленников. Когда злоумышленник получает доступ к банковским реквизитам через фишинг, последствия выходят за рамки технической утечки: они приводят к финансовым потерям и юридическим спорам.

  • Увеличение ответственности: нормативные требования ЕС усиливают давление на банки, заставляя их более тщательно проверять механизмы защиты клиентских данных.
  • Рост требований к мониторингу: организации должны отслеживать не только собственные активы, но и публичные каналы, через которые могут распространяться фишинговые сообщения (например, поддельные сайты, вредоносные ссылки).
  • Влияние на репутацию: неспособность быстро вернуть средства может привести к потере доверия клиентов и усилению регуляторного надзора.

Практический анализ воздействия

  1. Финансовые потери: банки могут столкнуться с ростом количества запросов на возврат средств, что отразится на их балансе.
  2. Операционные затраты: потребуется расширить службы поддержки и внедрить автоматизированные процедуры возврата.
  3. Регуляторные риски: несоблюдение требований PSD2 и рекомендаций EBA может привести к штрафам и судебным издержкам.
  4. Требования к доказательной базе: банки должны документировать все шаги по проверке транзакций и взаимодействию с клиентом, чтобы подтвердить, что возврат был обоснован.

Что могут сделать команды безопасности уже сегодня

  • Усилить мониторинг публичных ресурсов

    • Внедрить решения EASM, которые автоматически сканируют домены, связанные с брендом, и выявляют поддельные сайты.
    • Настроить оповещения о появлении новых фишинговых кампаний, использующих бренд банка.

  • Обновить процессы реагирования на инциденты

    • Разработать чёткий сценарий возврата средств, включающий проверку факта несанкционированной транзакции и быстрое одобрение возврата.
    • Интегрировать автоматизацию в систему тикетинга, чтобы сократить время реакции до нескольких часов.

  • Повысить осведомлённость клиентов

    • Регулярно рассылать материалы о признаках фишинга и о том, как проверять подлинность запросов от банка.
    • Предлагать клиентам использовать многофакторную аутентификацию (MFA) и безопасные каналы связи.

  • Укрепить внутренние контрольные точки

    • Пересмотреть политику управления учётными данными сотрудников, включая ограничение привилегий и регулярный ротацию паролей.
    • Проводить тесты на проникновение, имитирующие фишинговые сценарии, чтобы оценить готовность систем к подобным атакам.

  • Взаимодействовать с регуляторами

    • Оповещать надзорные органы о внедряемых мерах и получать обратную связь по соответствию новым юридическим рекомендациям.
    • Подготовить отчётность, подтверждающую выполнение требований по возврату средств.

Итоги и первые шаги

Для банков и финансовых организаций, ориентированных на управление внешней атакующей поверхностью, развитие нормативной базы ЕС служит сигналом к пересмотру текущих практик защиты клиентских средств. Принятие проактивных мер — от автоматизированного мониторинга фишинговых ресурсов до ускоренного процесса возврата — поможет не только соответствовать правовым требованиям, но и укрепить доверие клиентов в условиях растущей угрозы фишинга. Начните с оценки текущего уровня видимости внешних активов, внедрите регулярные проверки и сформируйте чёткую политику возврата, чтобы быть готовыми к новым юридическим ожиданиям.

Поделиться:TelegramVK

Похожие статьи

Утечка данных в Ericsson US: компрометация информации сотрудников и клиентов через стороннего поставщика

13 мар. 20262 мин. чтения3
управление поверхностью атакиeasmоценка рисковуправление уязвимостями

Возобновление атак Tycoon2FA на облачные аккаунты после попытки ликвидации инфраструктуры

25 мар. 20262 мин. чтения1
управление поверхностью атакиeasmmfaбезопасность идентичностивредоносное по

Взлом Starbucks: утечка персональных данных сотен сотрудников

14 мар. 20263 мин. чтения2
управление поверхностью атакиeasmбезопасность идентичностиоценка рисков
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.