Русский
Русский
English
Статистика
Реклама

Банк

Recovery mode Как украсть со счета деньги, которых у вас не было?

28.10.2020 02:10:35 | Автор: admin

Прошу не судить строго - ролик записывался на эмоциях, под влиянием разбудившего меня сегодня звонка от друга, чья семья попала более чем на 1 000 000 рублей кредита (его видимо придется отдавать), и которым я, как выяснилось, несмотря на место работы, вряд ли чем-то смогу помочь. Немного позже выяснилось, что потерпевших от это схемы "вам звонит служба безопасности банка", уже казалось бы закрепившейся в анекдотах и мелькающей на демотиваторах в соцсетях, только в среде моих знакомых несколько - и опять, это только те, кто не стыдится рассказать об этом. Схема проста: звонок -> установка трояна -> получение кредита -> вывод денег через банкомат руками самого держателя банковской карты -> пересылка на "защищенный счет".

Если вы считаете, что вы, ваши родители и близкие, на 100% защищены от данной схемы, дальше можно не смотреть.

Стенограмма.

Небольшое вступление.

Я работаю в должности исполнительного директора, в крупном банке, но в данном ролике не будет никаких инсайдерских вещей - только мой личный опыт и опыт моих друзей и знакомых. И да, точка зрения, которую я высказываю, может не совпадать в официальной позицией банка, и местами может не понравиться кому-то из руководителей.

Так случилось, что сегодня мне позвонил друг, и рассказал, что его жену обманули мошенники, и она перевела им целый миллион рублей. Но факт в том, что у нее не было этого миллиона, и через мобильный банк на нее оформили кредит, про который она не знала фактически до момента, когда стало уже поздно.

Внезапно оказалось, что обманутых в моем окружении немного больше чем я думал, в том числе люди моего возраста. И на них тоже в одночасье через мобильный банк был вот так вот взят кредит, который теперь предстоит выплачивать еще долго.

Нельзя сказать, что люди, которые подверглись такому обману - полные дураки. Да, как правило, это женщины, причем не склонные транжирить деньги, дарить их первому встречному - и эти деньги достаются им тяжелым трудом, они крайне боятся их потерять - и как раз на этом страхе играют мошенники в стиле нет времени объяснять, действуй, спасай свои кровные, я щас расскажу как именно, слушай сюда.

Давайте же разберемся, почему так происходит, кто виноват, и что с этим можно было бы сделать - и рассуждать об этом я могу, разумеется, через призму своего опыта.

Начнем с того, что нарушение закона в западном капиталистическом обществе несколько романтизируются, и что отличает ее от нашего общества - там против этого есть некое противоядие в виде непоправимых последствий, клейма судимости.
Оно фактически ставит крест на устройстве на достойную работу, и информация даже об условном сроке - повод для шантажа, причем шантажом профессионально занимаются специальные агентства, которые при каждом переезде или переводе на новую работу грозят рассказать всем соседям и коллегам с каким подонком им предстоит работать.

Я даже не говорю о том, что можно легально застрелить человека, перешагнувшего границу твоего участка или порог твоего дома.

Видимо, поэтому в западном кино образ обаятельного преступника зачастую привлекает людей - ведь они все поставили на карту, а обычных людей от такого поведения давно уже отучили.

Что касается нас, после смены строя на капиталистический, большое количество осужденных или ловко избежавших наказания преступников оказались в выигрыше, поскольку в нужный момент завладели капиталом, и оказались не обременены необходимостью работать, чтобы прокормиться. Ну и сейчас они уважаемые люди, роде того, как корсар Френсис Дрейк получил удостоверение ее величества и стал уважаемым человеком - разница лишь в том, что те состояния были нажиты очень давно, а у нас 90е годы закончились только что, а кое-где еще и продолжаются.

Но допустим, разгул именно бандитизма худо-бедно остановлен, киберпреступность имеет намного лучший имидж, поскольку 1) имеет ореол интеллектуального занятия и 2) позволяет легче избегать наказания, поскольку преступление совершается дистанционно.

Учась в школе, я был фанатом фильма Хакера, Пароль рыба меч и всякого такого. Выписывал журнал Хакер, и внимательно изучал все статьи про взлом. В основном, там описывался так называемый скам - когда воруют данные кредиток, покупают товар, пересылают его за рубеж, потом клиент опротестовывает транзакцию - и эмитент несет убыток, а его покрывает страховая - это такая веселая история про Робина Гуда, который грабит богатых, но мы же все знаем что у них полно денег. Но, в общем-то, первый же случай взлома, произошедший в нашем городе, существенно отличался от романтических историй, показанных в фильме - а узнал я о нем от местного ФСБшника, который не очень понимал, что там случилось, и как действовать в данной ситуации, а звездочку, наверное, хотелось. Ключевой момент данного взлома, что потерпевшей стороной было частное лицо, и в общем-то, там был не столько взлом, сколько мошенничество на доверии с карточками доступа к интернету - и похоже, с тех пор мало что изменилось. Но тот случай заставил задуматься - оказывается, т.н. хакерами намного легче обкрадывать не организации, а частных лиц - а так как я считаю, что с людьми надо поступать строго так как хочешь чтоб поступили с тобой, выступать на стороне этих ребят мне стало крайне брезгливо.

Забегая вперед, в целом быть на той стороне, то есть не создавать, а ломать информационные системы и программные продукты - крайне неэффективно, этих ребят с большой вероятностью ловят, и лезть во все это для обогащения я бы не советовал.

Потом я закончил университет, пытался защитить диссертацию по обнаружении атак на информационные системы. Смысл там был такой, чтоб существуют определенные сигнатуры, паттерны попыток взлома - сканирование портов, переполнения буфера, исполнение так называемого шелл-кода, установка троянов (рут китов), и для обнаружения всего этого, предполагалось использовать нейро-сеть.

Диссертация, к сожалению, была заброшена. После переезда в Москву я немного консультировал ФСБшников по правонарушениям, связанным с ИТ, но в целом моя текущая работа от всего этого довольно далека, и вообще, я считаю, что сфера безопасности в целом довольно скучна (без обид), и на первый взгляд она как будто не видна - вплоть до того момента, как случится громкий провал, после чего ответственных поувольняют к чертовой матери, или удастся ловко отмазаться в стиле ну мы же говорили, что надо все выключить и закрыть на амбарный замок, а нас никто не слушал.

Со вступлением закончили, и можно поговорить непосредственно о технологиях списания денег и навешивании крупных кредитов на ни в чем не повинных граждан.

Основной аспект, который мне во всем этом не нравится, это то, что при установке мобильного банка, народ совершенно не беспокоит, что нарушается ключевой принцип двухфакторной авторизации - у вас и коды подтверждения операций, и сами операции на одном устройстве. Существует такая вещь, как повышение привилегий. Многие наверное слышали про так называемые рутованные телефоны - на которых можно делать больше того, чем разрешено на обычных, например, раньше это решало законодательную программу с записью разговора (это запрещено в США, поэтому такие программы блокировались). Так вот, операционные системы на мобильных имеют уязвимости, через которых и активируются рут-режимы, и теория программного обеспечения говорит о том, что ошибки в программах будут всегда - то есть некая вероятность того, что устройство взломают вплоть до рут прав, всегда останется.

В этом случае, считайте, что вы просто подарили человеку свой телефон, со всеми паролями и доступом к мобильному банку, чужому человеку, и он может делать с ним что угодно. А так как на него же приходят и смски подтверждения, со всеми деньгами можете попрощаться.

Исходя из вышеперечисленного, я категорически не ставлю на телефон мобильный банк, и запретил делать это жене. Впрочем, некоторые женщины не выпускают телефон из рук, поэтому у них их по две штуки, чтоб один можно было поставить на зарядку. Тогда на один можно поставить, а коды подтверждения пусть приходят на другой.

Но чего я не понимал ранее, это того, что замечательные мобильные банки за несколько минут позволяют оформить крупный кредит, получить его на карточный счет, и списать даже его. У меня был тяжелый период в жизни, когда я был нагружен кредитами, и на грани просрочки платежей, и когда мне предложили перекредитоваться под меньший процент, это был просто как глоток свежего воздуха - и за это Сберу спасибо огромное.

Но уже тогда, когда приехала менеджер и попросила потыкать пальцами в планшет, а я спустя сколько-то минут на карту упали деньги, я понял, что уж больно все просто - и если бы у меня на телефоне стоял мобильный банк, то я, или кто-то под моей личиной, мог моментально взвалить на меня неподъемную ношу - в том числе такую, за которую мне никогда в жизни не рассчитаться - подтвердив согласие на слишком большой процент. Это, например, равнозначно тому, чтоб переписать на кого-то квартиру, а для этого действия неспроста нужно находиться в трезвом уме, и желательно чтоб на тебя посмотрел нотариус - не под дулом ли пистолета ты это делаешь, не держат ли родственников в заложниках и так далее.

Возможно (возможно), есть обратная сторона медали - кому-то не удобно ходить в отделение, и даже не удобно встречаться с менеджером у себя на работе, как это сделал я. Кому-то в целом процесс рассмотрения кредита кажется унизительным, и им проще общаться с машиной - которая сразу ответит да/нет.

Но я твердо убежден, что для большинства населения, может быть, для 90 или более процентов, категорически неправильно выдавать кредиты по кнопке, пусть даже банки потеряют на этом часть прибыли.

Потому что люди считают, что их риск взаимодействия с банком ограничен суммой на счете - и в самом худшем случае они только ее и потеряют.

И так и должно было оставаться - а мои знакомые (не отрицая их вины), потеряли в десятки раз больше, и так быть не должно - банк либо должен их защитить от всего этого (например, блокируя работу при установке троянов), либо взять на себя часть ответственности.

Совершенно понятно, что обманутых людей гораздо больше чем кажется - чувство гордости не позволяет многим признаться. И говоря о психологическом аспекте мошеннических схем, многие мои знакомые похваляются тем, что уж они-то точно никогда не поведутся на такие способы. Но про некоторых из них я достоверно знаю, что они отправляли небольшие суммы денег, когда в интернете видели всплывающее окно Вы выиграли приз, перейдите по ссылке! - то есть такое, что вообще за гранью.. То есть данная похвальба - ни что иное, как самоуверенность, которая сейчас слишком дорого обходится.

Поэтому зарекаться от такого не следует. Возможно, именно вам позвонят в тот момент, когда вы будете максимально не готовы к этому - в запарке, спросоня, в состоянии опьянения, или просто в расслабленном состоянии, когда критическое мышление не работает.

И еще пару советов. Взаимодействуя с телефоном, ведите себя так, как будто его уже взломали или украли, или это случится через 5 минут. То есть, обязательно должен быть пароль, СМС при заблокированном телефоне отображаться не должны - сим карту неплохо бы тоже запаролить. Но! При наличии скана паспорта, в сговоре с салоном сотового оператора, симку можно перевыпустить - оригинальная при этом перестанет работать. Уведомляйте банк при первых проблемах со связью.

Со слов работников телекома, подделать можно любой номер, с которого вам звонят. НЕЛЬЗЯ верить ни единому слову тех, кто позвонил вам. Если очень хочется поверить, спросите фамилию, или добавочный, и перезвоните но основной номер, куда вы перезваниваете, должен точно принадлежать организации (он написан на банковской карточке).

Отключите к чертовой матери переводы смсками, как это сделал я в тот день, как узнал, что они существуют, да еще и подключены по умолчанию.

Как только у вас списались деньги - звоните в банк (по номеру на карте и требуйте отменить операцию, чем дольше медлите, тем меньше шансов что это произойдет).

Хочу сказать, чем дольше я занимаюсь информационными технологиями, тем меньше у меня к ним доверия, но как сотруднику банка, грустно слышать упреки - вы же программисты, защитите нас. Мы-то может и защитили бы - но как только деньги из банка ушли, дальше никто для вас ничего сделать не сможет. И программист врядли сможет защитить вас от того, чтобы вы передавали коды злоумышленникам, а в большинстве случаев вы это делаете сами. Не говоря о том, что когда звонят настоящие работники банка и пытаются сообщить клиенту, что его понесло куда-то не туда, особо одаренные посылают их - мол, мне говорили, что мошенники будут звонить и отговаривать от перевода на защищенный счет, но вы не поддавайтесь. В каких-то случаях гораздо дешевле было сидеть и смотреть как списываются деньги с карты (а там лимит на переводы, и снятия), чем суетиться, и в результате переслать миллион кредитных денег на защищенный счет мошенникам.

Пару слов о том, что дескать и милиция тоже ничего не делает. Делает, но не все в ее силах. Дело в том, что все эти сложные схемы с организованными группами, организуются (простите за тавтологию) совсем не для того, чтобы украсть деньги, и сидеть с ними на счете, ожидая когда за тобой придут и посадят, а деньги вернут потерпевшему.

Весь смысл в том, чтобы в середину подставить того, кто не боится ответственности - алкоголика, наркомана, бомжа и т.д., и вывести деньги из зоны досягаемости полиции.

В этой связи хотелось бы передать привет любителям криптовалют, про которых у меня уже был ролик, и многие из которых обиделись. А ведь именно это ответ на тот вопрос, который всегда ставит вас в тупик - для чего вообще нужны криптовалюты. Вот для этого - чтобы избежать наказания за мошенничество, вымогательства, продажу наркотиков, и прочее. Какие-то напуганные женщины под жестким психологическим прессом перевели деньги, их мгновенно сняли с карточки наркомана, и купили криптовалюту, а ее прогнали через миксер, и обналичили за рубежом. Все, никакие полицейские ничего не сделают, они бы заявили в интерпол получателя денег, если бы это была обычная трансграничная свифтовка, или вестерн юнион.

Вот именно это результат работы замечательных информационных технологий, про которые кричат сегодня на каждом углу - и те, кто участвует в криптовалютных аферах обслуживают именно эти преступные схемы, где важна анонимность международных транзакций - других плюсов у криптовалют просто нет, сколько не пытайся натянуть сову на глобус. И без вас, дорогие майнеры, и самодеятельные менялы биткоинов на рубли и обратно (популярный криптовалютный стартап), подобным мошенничеством с мобильными банками было бы заниматься чуть сложнее - если не верите, почитайте например Золотого Теленка, как украв миллион, герой не смог ни потратить его, ни вывезти из страны. Уже во время, когда писали эту книгу, было ясно, как все работает, какой ход мыслей и какие основные движения у мошенников. Все максимально примитивное - украсть и убежать, ну а сейчас еще добавилась возможность сидеть за границей, а на тебя пусть работают неудачники - обманывают, лгут, да пусть за это и сидят - а деньги будут поступать к тебе за кордон.

Поэтому, криптобесы несут часть вины за то, что каким-то легко верным людям придется потратить годы жизнь, чтобы компенсировать украденные средства. И если так совпало, что ты криптобес - любитель криптовалюты и ее пропагандист, и думаешь, что это не про тебя, что ты не причем - постарайся не врать хотя бы себе - ты такой же участник всего этого шабаша, как и все остальные - и свобода от гнета государства, о которой вы так любите рассказывать, тут не причем - она кончилась там, где началась свобода другого гражданина -то есть где обманули первого потерпевшего, и выгнали деньги за рубеж через твой разлюбимый биткоин или эфир.

На этом все. Берегите себя и своих близких.

Подробнее..

Топ-5 софт-навыков дизайнера в банке

04.06.2021 14:18:19 | Автор: admin

Соавтор:Кузнецова Юлия Андреевна - UX-писатель Экосистемы РСХБ

Каким должен быть дизайнер в банке, чтобы и продукт хороший создавал, и коллеги не жаловались. Смотрим через призму софт-навыков вместе с UX-дизайнерами РСХБ.

#1 Коммуникабельность: не просто коллега человек

Дизайнер отличная профессия для интровертов. Рисуешь интерфейсы, слушаешь музыку, ни с кем не общаешься На самом деле, нет!

Работая в банке, ты участвуешь в большом количестве созвонов, слушаешь коллег, предлагаешь свои идеи. Споришь. Много споришь. Убеждаешь. Идешь на компромисс. Вместе с тобой над продуктом работают много других сотрудников продакт-менеджеры, аналитики, разрабы, редакторы, юристы ты должен уметь услышать каждого и найти общий язык.

Общаясь с разными специалистами, ты лучше понимаешь, как устроена работа на проекте и начинаешь понимать, что из твоих решений сработает и поможет банковским клиентам, а что вряд ли будет реализовано и сделано разве что покрасоваться на Dribbble.

Итог: учись разговаривать с людьми и старайся взаимодействовать с коллегами так, как хотел бы, чтобы они взаимодействовали с тобой.

#2 Презентация: готов объяснить свою работу

Вместе с другими командами дизайнеры преследуют общую цель сделать продукт самым успешным на рынке. При этом у каждой команды свое мнение и приоритеты. Что кажется важным для дизайнера, не так важно для разработчика, редактора или бизнеса.

Крутой дизайнер умеет переключить фокус с творческого и ранимого художника на хладнокровного адвоката. Если кто-то говорит: Это плохо сделано, это не значит, что ты плохой. Это значит, что коллега видит в данном решении слабые стороны. Продвинутый дизайнер отключает эмоции и включает голову. Объясняет и обосновывает свою позицию. Задаёт вопросы, внимательно слушает, делает все, чтобы добраться до истины и хорошего продукта.

Итог: Фильтруй плохой фидбек и умей доказать, какую ценность несет твое решение для пользователя и бизнеса, желательно предоставив проверенные факты и исследования.

#3 Аналитика: думает не только о красоте

Немного психолог, аналитик и исследователь банковский дизайнер работает не просто над сайтом с красивыми картиночками, он создает сложный финансовый продукт, в котором пользователь должен чувствовать, что его активы в безопасности.

Хороший дизайнер постоянно анализирует, как пользователи будут взаимодействовать с интерфейсом, удобно ли ему переводить деньги другу, перечислять зарплату сотрудникам или подавать заявку на кредит.

С одной стороны, ты должен на интуитивном уровне понимать психологию взаимодействия с интерфейсом. А с другой всегда остаешься скептиком и тестировать свои гипотезы. Порой пользователи воспринимают ту или иную функцию абсолютно непредсказуемо и не понимают твоей задумки. Одна только фраза Мне нравится. Думаю пользователям понравится тоже не поможет. Нужна аналитика. Много аналитики.

Итог: относись к своим решениям непредвзято. Любая хорошая идея может оказаться плохой во время теста. Исследования помогут тебе делать качественный продукт и соответственно лучше понимать пользователей.

#4 Понимание бизнес-процесса: переводит с банковского языка на человеческий

Юный дизайнер: мастерски работает в Фигме, любит компоненты, боготворит филигранную верстку.

Продвинутый дизайнер: понимает, как устроен бизнес и финансы.

Дизайнер банковских продуктов понимает и как устроен банк, и что хотят от него получить клиенты.

Знает о банке

Знает о пользователе

как устроены процессы внутри банка

над чем работает банк

какие боли клиентов решает

как себя позиционирует и каких принципов придерживается

как работают конкуренты

кто и зачем пользуется банковскими продуктами

с какими проблемами сталкивается

что делает, чтобы решить эти проблемы

Дизайнер понимает интересы обеих сторон и знает, одна маленькая ошибка может привести как к финансовым потерям, так и к потери доверия пользователей. Зная это, он скрупулезно изучает сферу, в которой крутится. Работая над банком для бизнеса, дизайнер сам попробует зарегистрировать ИП, а разрабатывая приложение для инвестиций собирает свой инвестиционный портфель.

Итог: Не зацикливайся только на дизайне. Понимай бизнес, чувствуй пользователей. И не придумывай излишнюю красоту, которая усложняет опыт.

#5 Любознательность: постоянно учится новому

Наши знания постоянно устаревают. Чтобы в один день не найти себя на обочине никому не нужного дизайна, крутой специалист должен постоянно учиться новому, следить за трендами, изучать новые законы, интересоваться смежными темами, узнавать больше о техническом процессе разработки продуктов, интересоваться актуальными технологиями, изучать работы коллег и конкурентов. Только так ты сможешь создать действительно трендовый, стильный и инновационный продукт.

Итог: Я знаю, что ничего не знаю. И в этом не стыдно признаваться, если каждый день пытаешься узнать еще больше.

Подробнее..

Финансовый детектив по-французски как банк потерял пять миллиардов евро

14.03.2021 10:05:42 | Автор: admin

...и не смог уволить сотрудника, который был в этом виноват.

Автор: Артём Наливайко.

Есть такой замечательный французский банк Societe Generale. Точнее не банк даже, а финансовая группа, но не суть. Каждый год правление банка рассылает сотрудникам письмо с кратким рассказом о результатах года. Меняются события, история, менеджмент. Лишь одно имя уже много лет остаётся неизменным.

В этом году Societe Generale близок к тому, чтобы закрыть убытки, нанесённые действиями Жерома Кервьеля.

Башни SG в ПарижеБашни SG в Париже

Так кто этот страшный человек, Жером Кервьель? Как простой трейдер смог нанести такой огромный ущерб? Зачем он это сделал? Но прежде всего а так ли Жером Кервьель был виновен, или у этой истории есть очень неприятное для банка двойное дно, и она достойна быть одним из лучших финансовых детективов 21-го столетия?

Разбираемся.

Жером Кервьель смотрит с удивлением и недовольствомЖером Кервьель смотрит с удивлением и недовольством

Группа Societe Generale раскрыла преступление, исключительное по масштабам и своему характеру: трейдер-одиночка, которому доверили выполнять рядовые операции, незаконно открыл множество позиций в течение последнего года. Воспользовавшись обширными познаниями в области контроля за сделками, почерпнутыми на предыдущей должности, он смог долгое время скрывать свою деятельность. С учетом размеров позиций и чрезвычайно неблагоприятной конъюнктуры рынка мошенничество повлекло за собой убытки в размере 4,9 миллиарда евро -такими словами начинался знаменитый пресс-релиз, опубликованный 24 января 2008 года одним из крупнейших банков Европы.

В одночасье его имя оказалось на первых полосах газет. Финансовый Бен-Ладен - кричали банкиры. Мистер Никто, великий махинатор, трейдер-мошенник - вторили журналисты. Я невиновен - пытался оправдываться Жером, но его толком никто не слушал.

Кем вообще был этот Кервьель? Обычным трейдером невысокого ранга, в задачи которого входила в том числе торговля деривативами сложными и высокорисковыми финансовыми инструментами. Долгое время его работа не вызывала особых нареканий сделки Кервьеля приносили прибыль банку и бонус ему самому. Платили ему не так много около 100 тысяч евро в годовом эквиваленте, достаточно небольшие деньги для банковского трейдера. Поначалу его работа была достаточно однообразной ребалансировать портфель и работать на арбитраже, зарабатывая на разнице в цене на одни и те же финансовые инструменты на разных рынках. Финансовый арбитраж штука практически безрисковая, но как правило весьма низкодоходная. Бывший коллега Кервьеля называл эту работу обезьяньей, то есть достаточно примитивной. Сам Кервьель в мемуарах иронично называл трейдеров уличными проститутками на большой банковской оргии и много раз подчёркивал, что ценность трейдера (как и представительницы древнейшей профессии) определяется только одним его дневным заработком. Фактически, банк требовал от них делать деньги совершенно любым способом.

Ответственность давила чудовищно. Ещё больше давили семейные проблемы годом раньше у Жерома умер отец, а вскоре его бросила жена. Он всегда отлично выглядел и всегда был один, мы никогда не видели его с девушкой - вспоминали потом бывшие коллеги. Вскоре Жером ушел от арбитража в сторону сложной финансовой инженерии, получая то огромную прибыль то не менее гигантские убытки. Так, к лету 2007го его портфель был в минусе на 2,5 миллиарда, но к декабрю он смог не только отыграть потери, но и получить полтора миллиарда прибыли. Та ещё работа, надо сказать.

В один прекрасный день Жером принял на себя чуть больший риск. Потом ещё чуть больший. Потом начал торговать со счетов клиентов практика крайне порочная, но, судя по всему, достаточно частая в те времена. В итоге, стоимость совокупных открытых позициий трейдера перевалила за 50 миллиардов евро в полтора раза больше капитализации самого банка!

Пуркуа бы не па - подумал Жером и пустился во все тяжкие. Он не хотел обманывать своего работодателя, но годовой бонус лучшему сотруднику банка не оставлял ему выбора. По большому счёту, но не делал ничего такого, что не делал бы любой другой трейдер. Жером открывал огромные позиции с огромным риском, вот и всё. EUREX несколько раз сообщала в банк о крупных сделках, но реакции на это не последовало. Финансовый контроль самого банка операции Кервьеля долгое время просто игнорировал. Сам банк потом скажет, что трейдер умело прятал такие сделки за сотнями тысяч рядовых низкорисковых операций на огромные суммы. Скорее всего, это правда - но для чего тогда вообще нужен финансовый контроль?

В начале января Кервьелю позвонили с работы, и предложили на несколько дней покинуть Париж трейдер отказался. А через несколько дней разразился грандиозный скандал. Банк объявил о выявлении сотрудника, который в результате мошеннических и несанкционированных операций нанёс огромный ущерб. Биржи в январе 2008 года и без того лихорадило, а дело Societe Generale изрядно усилило падение, превратив ситуацию в идеальный шторм. Акции компании колоссально упали в цене, всерьёз начались разговоры о банкротстве. Из-за поднявшегося скандала SG был вынужден закрыть все позиции трейдера с огромным убытком порядка 5 миллиардов (!) долларов.

Жером Кервьель и полицияЖером Кервьель и полиция

Проблема быстро перестала быть чисто европейской. Мировая финансовая система это по-сути множество сообщающихся сосудов, и известный закон там тоже работает. Волна от брошенного камня превратилась в небольшое цунами. Где-то за океаном в холодном поту проснулся глава ФРС Бен Бернанке, прозванный Helicopter Ben за своё легендарное предложение разбрасывать деньги с вертолёта. Посмотрев на происходящее, он почесал лысый затылок и снизил ставку резервирования (аналог нашей ключевой ставки) аж на 0,75 процента впервые за 25 с лишним лет!

Самое смешное, что банк не смог уволить Кервьеля сразу согласно французскому трудовому законодательству и контракту трейдера, для этого требовалась личная встреча его представителей с сотрудником, что было невозможно судья первым делом запретил сторонам общаться между собой напрямую до окончания процесса. Результат был предсказуемым, Кервьеля признали виновным в мошенничестве и приговорили к пяти годам тюрьмы (два условно) и выплате штрафа в размере 4,9 миллиардов евро. Кервьель отсидел пять месяцев и стал самым большим должником в мире, ведь для выплаты долгов ему пришлось бы работать непрерывно около 200 000 лет.

Своей вины Кервьель не признал и настаивал на аппеляции. Банк говорил: мы понимаем абсурдность штрафа и готовы к обсуждению, как бы намекая признай свою вину, и мы откажемся от претензий к тебе. Кервьель настаивал на своей невиновности и требовал пересмотра дела. В 2014-м году суд оставил приговор в силе, лишь отменив штраф ввиду его полной абсурдности. Самого трейдера на суде не было он в это время совершал паломничество в Ватикан и встречался с Папой Римским.

Его вина казалась совершенно очевидной, вот только дальнейшие события пошли по совсем неожиданному сценарию. Через два года он сумел выиграть очередную аппеляцию. Внезапно начали всплывать малоприятные для банка подробности так, SG не смог привести сколь-нибудь серьёзных доказательств того, что он не знал об операциях Кервьеля. Также банк не смог доказать, что лишь Кервьель совершал огромные и рискованные сделки, превышая все возможные лимиты. То есть действия трейдера были совершенно нормальной практикой для французского банка! Да и сам Кервьель не получал никакой особой сверхприбыли, кроме предусмотренного контрактом вознаграждения. Но самое удивительно вскрылось дальше офицер полиции, которая в 2008 году вела расследование, заявила, что на неё оказывалось колоссальное давление с требованием сконцентрироваться лишь на фактах, которые бы доказывали вину трейдера (привет, французская коррупция!).

В итоге, суд обязал Societe Generale выплатить трейдеру 150 000 евро за незаконное увольлнение и ещё 300 000 в виде неполученного годового бонуса. Жером Кервьель стал на шаг ближе к тому, чтобы доказать собственную невиновность.

К слову, французское общество в этой ситуации поддержало скорее Кервьеля, чем его работодателя 77% французов верили в том, что он был скорее жертвой обстоятельств. Даже Николя Саркози потребовал принять меры - правда, меры оказались не совсем такие, каких ожидала общественность. Вместо наказания для менеджмента банка, французское правительство просто закрыло образовавшуюся дыру в его балансе за счет денег налогоплательщиков.

А теперь попробуем разобраться, как это произошло и что это вообще было. Действительно ли Жером Кервьель был финансовым террористом 1, в одиночку провернувшим гигантскую аферу? Или история была немного сложнее?

Офис банка Societe GeneraleОфис банка Societe Generale

Собственно говоря, что делал Кервьель? Он открывал ОЧЕНЬ высокорисковые позиции на ОЧЕНЬ волатильном рынке. В какой-то момент Жерому не фортануло, он привлёк таки внимание банка, который был вынужден как-то реагировать.

Вы спросите - а каковы шансы на то, что финансовый контроль пропустит такую несанкционированную открытую позицию на 50 миллиардов? В наши дни они стремятся к нулю. Ей-богу, даже пролететь на вертолёте над Кремлём будет проще. В 2008 году всё было немного иначе, НАСТОЛЬКО иначе, чтобы допускать подобное. Я задал этот вопрос человеку, который в 2008 году работал (какая ирония) на trading desk в Lehmann Brothers. По его мнению, финансовый контроль того времени был исключительно "дырявым" и "формальным" - и при желании Кервьель мог лего его обмануть. Вообще, сам факт сделок Кервьеля возможен в одном из двух случаев. В первом случае мы признаём, что в одном из самых уважаемых банков Европы работали сотрудники столь бездарные, что в качестве руководителя контроллинга можно было с чистой совестью нанимать даже моего кота. Ну а что пользы столько же, зато задорно мяукает, да и на годовом бонусе можно сэкономить даже если выдать его самосвалом корма.

Вся суть проблемы с котом Вся суть проблемы с котом

Другой вариант куда прозаичнее - руководство трейдинга банка было прекрасно осведомлено о сделках Кервьеля, но закрывало на них глаза просто потому, что они были совершенно нормальной практикой. Если так то почему в критической ситуации менеджмент SG сделал всё наихудшим для банка образом? Ведь их действия на первый взгляд выглядят совершенно нелогично ситуация была немедленно предана максимальной огласке, а позиции трейдера были будто нарочно закрыты быстро и с огромным убытком то есть максимально невыгодным для банка образом?

Есть две гипотезы - реалистичная и конспирологическая. Согласно первой, информация о сделках Кервьеля дошла до топ-менеджмента, который поседел от ужаса, и, оценив возможные последствия, предпочел болезненный но надёжный вариант развития событий.

С конспирологической теорией всё немного интереснее. Ещё в феврале 2008 года журналист Сергей Голубицкий высказал такую идею а что, если SG фактически осознанно манипулировал рынком, играя на понижение? И что всё произошедшее грандиозная финансовая афера, а Жером Кервьель в ней лишь пешка? Реакция рынка на произошедшее была с самого начала совершенно очевидной аналитики и до всех событий предсказывали весьма медвежье начало года, а после Кервьеля падение было более чем очевидным. Фактически, потеряв 5 миллиардов долларов, банк (пусть и опосредованно) мог заработать куда больше. О склонности к риску говорит и другой факт в 2018 году американцы наложили на франуцзский банк штраф в размере 1,3 млрд долларов за торговлю с Ираном и Кубой в обход американских санкций. Для того, чтобы его покрыть, SG пришлось продать несколько региональных подразделений. К слову, мой собеседник из Lehmann в эту теорию не верит.

Французы не идиоты. Франуцзы великолепно понимали, что они делают, понимали последствия, возможные риски и возможную прибыль. И согласно конспирологической теории, SG на деле Кервьеля в итоге отлично заработал. Кервьель был обвинён по статье мошенничество, но были ли действия трейдера следствием его желания получить годовой бонус, или он сам был всего лишь пешкой, которой умело манипулировал менеджмент банка, а сама ситуация не более чем попыткой подвинуть рынок? Вероятно, мы никогда этого не узнаем.

А ещё про Кервьеля сняли неплохой фильм ("Аутсайдер"), а перед вторым судебным процессом он выпустил книгу воспоминаний. Такие дела.

Кервьель презентует собственную книгуКервьель презентует собственную книгу

Традиционный словарь и комментарии:

Деривативы производные (от базового актива) финансовые инструменты, главная фишка которых привязка к будущей стоимости актива. Деривативы могут представлять собой как относительно простые конструкции, так и совершенно чудовищных финансовых кадавров. Самый простой дериватив договор на поставку товара через полгода по заранее оговоренной цене. Или право его купить. Или право продать. Или всё вместе.

Касаемо действий Бена Бернанке по сути, он резко снижал ключевую ставку для того, чтобы заткнуть деньгами падающие рынки и таким образом сгладить это самое падение и добавить рынку ликвидности. Подобным образом, например, действовал Алан Гринспен во времена пузыря доткомов и много кто ещё. О личностях Бернанке, Гринспена (которого незабвенный Нассим Талеб называл худшим финансистом всех времён) и самом подходе можно написать небольшую книгу.

медвежий и бычий тренды тренд рынка к сокращению или росту соответственно.

Lehmann Brothers- американский банк, обанкротившийся в 2008 году на фоне американского ипотечного кризиса.

"Мошеннический трейдинг", "rogue-trading"- проведение неавторизованных (нанимателем) операций, в результате которых трейдер принимает на себя излишний риск в обход принятых в банке практик. Один из двух "великих грехов" трейдера наряду с инсайдерской торговлей. Зачастую является скорее gambling чем trading.

Более полный список "трейдерских" потерь: там есть и российские компании!(https://en.wikipedia.org/wiki/List_of_trading_losses)

Автор: Артём Наливайко

Оригинал

Подробнее..

Специфические задачи Data Science в Банке

28.02.2021 18:05:07 | Автор: admin
image

В течение последних пяти лет я проработал в Центральном Аппарате Сбербанка в Управлении Валидации моделей машинного обучения (machine learning, ML) и видел много узких мест, которые возникают при разработке и валидации моделей машинного обучения.

В этой статье сначала предполагал рассмотреть основные информационные системы некоторого абстрактного Банка X, поскольку именно на базе уже сложившихся информационных систем строится работа дата-аналитиков, а также обучаются и работают ML-алгоритмы принятия решений. Но, когда начал писать, вдруг обнаружил, что на самом деле намного интереснее обсудить ряд тем и подзадач, которые всплывают при построении и валидации самых базовых моделей Банка, то есть моделей кредитного риска.



Риск-менеджмент и расчет кредитного риска можно считать прародителями data science в Банке, так как управление кредитным риском является исконно банковской прерогативой. Именно умелое управление рисками позволяет банкам предложить что-то ценное рынку кредитно-финансовых отношений. Представление о том, что банк просто кладет себе в карман процентную маржу между процентом по кредиту и процентом по вкладу в корне не верно, хотя мне иногда приходится такое слышать от людей незнакомых с внутренней кухней банковского бизнеса.

Банк с одной стороны берет на себя все риски невозврата кредита, а с другой стороны дает гарантии вкладчику о возврате вложенных средств. Альтернатива вкладу в Банке, одолжить свои деньги напрямую заемщику без гарантий возврата. Банк же в свою очередь способен давать гарантии, так как с одной стороны обладает подушкой безопасности в виде основного капитала и изначально закладывает потери от невозврата кредитов в свои финансовые показатели (формирует резервы). С другой стороны Банк умеет просчитывать вероятность того, что выданный им кредит заемщик не вернет. Конечно же никто не может предсказать в точности, вернет ли долг конкретное физическое лицо или компания, но в среднем по большому числу заемщиков вероятность оценить можно.

Банк будет финансово устойчивым только в том случае, если та прибыль, которую он зарабатывает на процентной марже покроет убытки от невозврата кредитов и прочие сопутствующие расходы Банка.

Устоявшаяся банковская практика



Перед тем, как перейти к обсуждению прогнозных моделей и непосредственно задач data science, буквально на минуту остановимся на специфике того, как банк работает с клиентом. Банк, и особенно крупный банк, это хорошо организованная система, в которой прописывается буквально каждый шаг. Это касается и взаимодействия с заемщиками.

В частности в отношении заемщиков часто применяется такое понятие, как дефолт. Дефолт это статус, который присваивается клиенту в том случае, когда появляется почти полная уверенность, что клиент деньги банку уже не вернет, по крайней мере в полном объеме. О правилах и процедурах, по которым клиентам присваивается статус дефолта договариваются на уровне специально созданной для этого рабочей группы. А затем вышеоговоренные правила прописывают во внутренней нормативной документации.

Если клиенту присвоен статус дефолта, обычно говорят, что клиент вышел в дефолт. С точки зрения процессов Банка это означает, что будут запущены определенные процедуры взаимодействия с клиентом. Возможно будет решаться вопрос о банкротстве заемщика, Банк попытается реализовать заложенное имущество, взыскать денежные средства с поручителей или продать долг должника коллекторам и т.д.

Так уж исторически сложилось, что ожидаемые потери от невозврата кредитов принято раскладывать на три компоненты:

EL = PD*EAD*LGD

где EL expected loss, ожидаемые потери;
PD probability at default, вероятность того, что заемщику будет присвоен статус дефолта в течение следующего года, начиная с даты оценки;
EAD exposure at default, все те денежные средства, которые клиент на дату выхода в дефолт должен вернуть Банку, включая как выданную денежную сумму, так и проценты, штрафы и комиссии;
LGD loss given default, доля от общей задолженности заемщика перед банком, которую Банк себе уже не вернет. То есть это чистая потеря для Банка;

Если я где-то отхожу от учебных определений и понятий, то заранее прошу прощения, поскольку основная моя цель это не написать правильный пересказ учебников, а ухватить суть существующих проблем. Для это приходится порой рассуждать на пальцах.

Попробуем теперь сформулировать типовую задачу для дата-сайентиста. Первое, что стоит уметь прогнозировать это вероятность дефолта PD. Здесь все кажется просто. У нас задача бинарной классификации. Дайте же нам данные с истинной меткой класса и всеми факторами и мы быстро соберем скрипт с двойной кросс-валидацией и подбором всех гиперпараметров, выберем модель с лучшей метрикой Джини и все будет в порядке. Но почему-то в реальности так не получается.

Нет никакой истинной метки класса


На самом деле истинную метку класса (таргет) мы не знаем. По идее таргет это бинарная переменная, равная нулю, если заемщик здоровый, и равная единице, если заемщику присвоен статус дефолт. Но проблема-то в том, что правила, по которым определяется дефолт, придумываем мы сами. Стоит изменить правила и модель уже не работает даже на тренировочных исторических данных.

Мы плохо знаем своего клиента


С накоплением истории выданных кредитов появляется желание построить более сложные модели, а для этого нужны дополнительные сведения о клиентах. Тут-то и выясняется, что раньше нам эти сведения были не нужны, и соответственно их никто и не собирал. Как результат в собранных выборках много пропусков, что сводит на нет саму идею построить более информированную модель. И, если бы только это.

Наличие большого числа клиентов вызывает соблазн разбить их не сегменты, в рамках которых построить более узкие и в тоже время более точные модели. Но ведь разбиение на сегменты выполняется тоже по какому-то правилу, а это правило строится на все тех же данных о клиентах. И что мы имеем? А мы имеем пропуски в данных, а соотвенно не всегда можем даже понять к какому именно сегменту отнести того или иного клиента.

Регулятор требует делать модели интерпретируемыми


Говоря регулятор, я имею в виду Центробанк, который требует делать модели понятными. Должен быть понятен не только сам прогноз, но и правила, по которым этот прогноз был сделан. Справедливости ради, скажу, что в большей мере такое правило касается только так называемых регуляторных моделей. Регулятор в целях обеспечения устойчивости банковской системы в целом постоянно мониторит деятельность банков по ряду ключевых показателей, среди которых, например, находится расчет достаточности капитала на покрытие непредвиденных потерь во время возможных экономических и финансовых кризисов.
Что означает требование к интерпретируемости? А означает оно, что в большинстве случаев придется довольствоваться моделями в виде логистической регрессии или дерева решений. Про нейронные сети, ансамбли, стекинги и прочие современные архитекторы придется забыть.

Прокрустово ложе устоявшейся банковской практики


Отраслевой стандарт де-факто требует оценивать ожидаемые потери как произведение трех величин: PD, EAD и LGD. Это справедливо только в том случае, когда события развиваются по одному и тому же сценарию. Клиент либо возвращает кредит, либо нет. В первом случае, считается что никаких потерь нет. Во втором же случае, предполагается наличие некоторой суммы под риском (EAD).

На практике, платежное поведение клиентов не сводится к двум простым вариантам, а граница между этими вариантами весьма условна. Заемщик может выйти в дефолт и через месяц, и через год, и через два, а затем после того, как ему присвоят статус дефолт, вдруг вернуться к платежам и выплатить весь кредит. Более того, отклонения от графика платежей могут быть и по суммам и по срокам, с опережением или наоборот отставанием от графика. Финансовый результат для Банка во всех случаях будет разный.

Я не говорю, что нельзя свести все разнообразие вариантов поведения заемщика к схеме расчета трех компонент в принципе. Конечно же все зависит от задачи. Где мы потом хотим эту модель применить? Если для оценки кредитного риска по пулам (группам) заемщиков, то все возможные отклонения учитываются различными калибровками и расчетом средневзвешенных значений. Но, если наша цель заключается в персонализации подхода при выдаче кредита, в том числе в персональном подборе предложений, важным становится прогноз потока платежей со стороны клиента или прогноз чистой приведенной стоимости.

На чем спотыкаются продвинутые data-driven альтернативы



Надо понимать, что вся отраслевая банковская практика была сформирована в те годы, когда не было никакой Big Data или машинного обучения, а все вычисления сводились к построению скоринговых карт. Брали все существенные факторы, влияющие на кредитоспособность заемщика, и оценивали в виде баллов, далее эти баллы суммировали и по сумме баллов определяли выдавать или не выдавать кредит.

С накоплением истории выданных кредитов и развитием вычислительной техники процедуры принятия решений в Банке постепенно усложнялись. Скоркарты превратились в модели логистической регрессии, которые строятся скриптами на python. Клиентов и продукты Банка начали сегментировать для того, чтобы внутри каждого сегмента строить свои узкозаточенные модели. С другой стороны с ростом объемов хранилищ данных появилась возможность собирать и вместе хранить все больше и больше информации во взаимосвязанном виде.

В конечном итоге все движется к идее, когда для каждого пришедшего клиента будет почти мгновенно обнаруживаться наилучшее предложение (оптимальный банковский продукт), которое бы максимизировало CLTV (customer lifetime value) на заданном временном горизонте, либо иную метрику в зависимости от текущего состояния Банка и целей его стейкхолдеров.

Почему бы для решения вышеописанной задачи не применить мощную нейросеть (то есть пресловутый искусственный интеллект)? Перечислю несколько мешающих этому обстоятельств:
Центробанк требует, чтобы модели участвующие в расчете достаточности капитала применялись в живом кредитном процессе. То есть именно эти модели должны применяться в принятии решений о выдаче кредитов, быть интерпретируемыми и проходить ряд обязательных валидационных тестов;
базы клиентских данных постоянно расширяются и дополняются. Например, относительно новыми видами данных является биометрия, веб-аналитика, аналитика мобильных приложений, скоринг социальных сетей. Добавление новых атрибутов происходит в динамике, а соответственно исторических данных по ним у нас практически нет;
продукты и процессы Банка постоянно видоизменяются и требуется перерасчет CLTV по клиентам и расчет NPV (net present value) по новым продуктам. А для того, чтобы построить модель приемлемого качества надо подождать несколько лет, накопить исторические данные и вычислить фактические значения CLTV или NPV на выборке из реальных заемщиков;

Итог:


При всем желании нельзя рассматривать построение прогнозных моделей в Банке как чисто математическую задачу. На практике решаются бизнес-задачи, которые ко всему прочему сильно переплетены с требованиями регулятора в лице Центробанка.

Порой кажется, что в банковскую область могут проникнуть компании извне с сильным data science и поменять правила игры. Но для того, чтобы выдавать кредиты, надо играть по общим правилам, а следовательно становится Банком со всеми вытекающими последствиями.

Появление нового крутого финтех-стартапа в кредитовании, по-видимому, в большей степени завязано на поиск лазеек в правовом поле, чем на внедрение инноваций в машинном обучении.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru