Застереження ЄМА щодо шахрайств при зміні абонентом оператора мобільного зв’язку
Асоціація ЄМА направила листа до Голови Державної регуляторної служби України щодо проекту рішення НКРЗІ про новий порядок перенесення абонентських номерів.
В травні 2019 року в Україні було запущено послугу з перенесення абонентських номерів серед абонентів мобільного зв’язку (далі – MNP). Порядок надання та отримання Послуги чітко регламентований Рішенням Національної комісії, що здійснює державне регулювання у сфері зв’язку та інформатизації (далі – НКРЗІ) від 31.07.2015 № 394 (далі – Порядок).
Чинний Порядок не викликає занепокоєння, оскільки передбачає можливість перенесення виключно номерів абонентів, зареєстрованих у оператора-донора. Таким чином, скористатися MNP може виключно абонент, який у встановленому чинним законодавством порядку попередньо пред’явив документи, що посвідчують особу, та був належним чином ідентифікований оператором, у якого отримує послуги. Це фактично нівелює ризики незаконного заволодіння номером в процесі отримання Послуги.
Однак, на своєму засіданні 17.11.2020 НКРЗІ було схвалено проект рішення «Про затвердження змін до деяких рішень НКРЗІ з питань надання послуг із перенесення абонентських номерів» (далі – Проект). Проект направлено на погодження до ДРС. Поточна редакція Проекту містить небезпечні норми як для галузі телекомунікацій, так і для фінансової безпеки громадян. НКРЗІ вирішила цілковито змінити механіку надання ППН та виключити необхідність реєстрації абонента у оператора-донора та перенести таку реєстрацію на сторону оператора, до якого переходить абонент (оператора-реципієнта). При цьому, оператор-реципієнт не має жодної інформації про історію користування таким номером і не може провести належної перевірки такого користувача.
Механізм реєстрації абонентів на стороні оператора-реципієнта застосовується у деяких країнах світу, де послуги мобільного зв’язку надаються виключно зареєстрованим абонентам, таких як: Туреччина, Іспанія, Норвегія, Данія, Італія, Франція, Ізраїль та ін. Тобто, там, де абоненти вже є зареєстрованими у базового-оператора і ризики викрадення номерів є мінімальними. На жаль, в Україні, де 95% бази абонентів є знеособленими, така модель може стати підґрунтям для дій зловмисників.
За даними 2019 та першої половини 2020 року фінансові установи продовжують фіксувати випадки шахрайства пов’язаного з викраденням абонентських номерів рухомого (мобільного) зв’язку за номерами трьох найбільших операторів. За аналітичними даними учасників Асоціації (95% долі на ринку) в 2019 році сукупні втрати клієнтів банківських установ спричинені соціальним інжинірингом становили 361,99 млн. грн. В порівнянні, в 2018 році сукупні втрати становили 245,81 млн. грн.. Середня сума однієї шахрайської операції по рахунку клієнта-фізичної особи внаслідок викрадення абонентського номера рухомого (мобільного) зв’язку у 2019 році склала 6200 грн. У порівнянні з 2018 роком сума збільшилась на 2580 грн.
За даними 5 небанківських фінансових установ (доля ринку 45%), за перші 6 місяців 2020 року кількість випадків викрадення абонентських номерів рухомого (мобільного) зв’язку з метою отримання доступу до персональних даних клієнтів та оформлення несанкціонованих кредитів склала більше 2000 випадків. Кожна з операцій шахрайського отримання кредиту “коштувала” клієнту від 3500 грн.
У 2020 році банки почали фіксувати випадки викрадення абонентських номерів, що використовуються юридичними особами. Слід зазначити, що фінансові збитки юридичних осіб значно перевищують збитки фізичних осіб. Для прикладу, сума збитку в одному з останніх випадків перевищила 2 млн. грн. В попередні періоди наявність номеру в корпоративній мережі юридичної особи була найкращим захистом від перехоплення управління номером – зараз, навіть наявні механізми перевірки з ідентифікацією представника юридичної особи почали давати збої.
Директор Асоціації ЄМА Карпов О.О. зазначає, що наразі існують застереження зі сторони Національної поліції України, Служби безпеки України, Ради національної безпеки і оборони України стосовно запропонованого механізму надання ППН, зокрема, в частині реєстрації абонентів на стороні оператора-отримувача. Він також повідомив, що якщо «банківська індустрія» почута не буде, то у відповідь будуть здійснюватися заходи, спрямовані на блокування прийняття нормативного-правового акту, в тому числі звернення до суду.
Отже, послаблення контролю за неідентифікованим абонентами мобільного зв’язку через процедуру перенесення номерів спричинить різке зростання шахрайств з використанням методів соціальної інженерії. Враховуючи суттєвий вплив положень Проекту на безпечне користування фінансовими сервісами та на можливість втрати персональних даних через уразливість акаунтів користувачів, що прив’язані до номерів мобільних телефонів, Асоціація ЄМА закликала Голову Державної регуляторної служби України не погоджувати наданий НКРЗІ на розгляд Державній регуляторній службі України Проект.
