Доклад "Правовые риски дистанционного банковского обслуживания"


Актуальность исследования возникновения правовых рисков в системе дистанционного банковского обслуживания обусловлена тем, что тенденцией последних лет стало развитие технологий дистанционного банковского обслуживания клиентов и особо динамичного развития системы электронного банкинга, основными составляющими которых являются интернет-банкинг[1] и мобильный банкинг[2].

С развитием дистанционного банковского обслуживания возрастает актуальность безопасности его использования, т.к. появились новые источники банковских рисков. Особенностью выполнения операций с использованием систем электронного банкинга является то, что сами банковские операции переходят в такую форму, когда привычные первичные документы на бумажной основе физически отсутствуют[3].

Существуют следующие банковские риски, которые возникают при осуществлении кредитными организациями операций по дистанционному банковскому обслуживанию: операционный, правовой, стратегический риски, риск потери деловой репутации (репутационный риск) и риск ликвидности[4].

Остановимся подробнее на правовых рисках, т.к. они считаются наиболее значимыми в системе дистанционных банковских услуг.

По мнению Орлова А. «двигателем, приводящим в действие механизм реализации правового риска, являются деяния лиц, участников гражданского оборота, которые таким образом стремятся к желаемому результату»[5].

Существуют факторы, которые влияют на появление правовых рисков при дистанционном банковском обслуживании: нарушение кредитной организацией законодательства РФ; неурегулированность отдельных вопросов дистанционного банковского обслуживания с применением систем интернет-банкинга и ответственности сторон, в том числе при трансграничном оказании банковских услуг; неправомерный доступ к конфиденциальной информации во время ее обработки; несоответствие внутренних документов кредитной организации законодательству РФ; неэффективная организация правовой работы, приводящая к ошибкам в действиях служащих и органов управления кредитной организации при разработке и внедрении новых интернет-технологий; недостаточность проработки кредитной организацией правовых вопросов при заключении договоров с провайдерами на оказание услуг по выполнению функций обработки, передачи, хранения информации; недостаточность проработки кредитной организацией правовых вопросов при заключении договоров с клиентами на оказание услуг интернет-банкинга, в том числе определение ответственности сторон при невыполнении обязательств; нахождение филиалов кредитной организации, ее клиентов, пользующихся услугами интернет-банкинга, и провайдеров под юрисдикцией различных государств; нарушения условий договоров со стороны как кредитной организации, так и ее клиентов и контрагентов.

Таким образом, под правовым риском при осуществлении дистанционного банковского обслуживания предлагается понимать вероятность получения кредитной организацией убытков (реального ущерба и упущенной выгоды) в результате действий (бездействия) ее собственников, руководителей, работников, клиентов и контрагентов, связанных с нарушением законодательства РФ; неправомерным доступом к конфиденциальной информации; недостаточностью проработки кредитной организацией правовых вопросов при заключении договоров с клиентами на оказание услуг интернет-банкинга.

Проанализируем наиболее распространенные источники правового риска, которые могут возникать в кредитной организации в связи с использованием дистанционного банковского обслуживания:

  1. Невозможность полноценного контроля провайдеров услуг. Такая проблема есть не только у банков, но и у регулятора. В настоящее время Банк России прорабатывает вопрос законодательного закрепления данного вида контроля.
  2. Документарное обеспечение бизнес-процессов, связанных с управлением правовым риском (в части использования кредитной организацией систем электронного банкинга). Т.е. во внутренних документах кредитной организации должны быть закреплены:

- роль органов управления всех уровней (распределение полномочий, прав и обязанностей, ответственности, подчиненности и подотчетности структурных подразделений кредитной организации и конкретных сотрудников, в обязанности которых входит управление правовым риском, связанным с функционированием систем электронного банкинга);

- реализация учетной политики кредитной организации во внутрибанковских автоматизированных системах с учетом особенностей применения систем электронного банкинга;

- определение допустимого уровня правового риска и порядок информирования органов управления кредитной организации о выявленных источниках правового риска.

Основной угрозой в системе дистанционного банковского обслуживания является хищение денежных средств. Практически не существует банка, который хотя бы раз не столкнулся с попыткой хищения денег у своих клиентов[6]. Проблема состоит в том, что расследование киберпреступлений в настоящее время в России очень затруднено. Этому способствуют и новизна сферы, и специфичность состава преступлений, и малочисленный состав подразделений органов внутренних дел, ответственных за расследования, а также ряд других факторов. В то же время суммы финансовых потерь увеличиваются. Так, убытки от противоправных действий киберпреступников в рамках дистанционного банковского обслуживания клиентов в среднем для одного банка составляют 10 млн руб. в год[7]

В сложившихся условиях российский рынок невольно становится центром развития киберпреступности. По экспертным оценкам, к концу 2010 г. количество активно действующих хакеров составило около 20 тысяч. При этом ответственность за свои действия в среднем несут только 5–7 преступников, что не составляет даже 0,1% от общего количества. Это, в свою очередь, является фактором роста числа новых противоправных действий[8].

Мошенничество в системе электронного банкинга требует оперативной и компетентной реакции. Только быстрые и слаженные действия специалистов службы информационной безопасности банка, пострадавшего клиента, независимых криминалистов и сотрудников правоохранительных органов позволят вернуть денежные средства и поймать злоумышленников.

Расследование инцидента обычно идет двумя путями: цифровым и экономическим. Цифровой путь расследования рассматривает цифровые доказательства, технические методы совершения преступления с целью идентификации участников преступной группы, которые организовали техническую часть преступления, чтобы затем через них выйти на подельников. Экономический путь более привычен для МВД. Он представляет собой классическую оперативную разработку в первую очередь людей, которые организовали обналичивание украденных денег.

Развитие услуг и методов реагирования на компьютерные инциденты, укрепление международного сотрудничества, а также совершенствование законодательства и правоприменения позволят в дальнейшем более результативно отвечать на преступные действия мошенников.

Для выявления и оценки факторов правовых рисков кредитной организации применяются различные методы идентификации и получения сведений о клиентах дистанционного банковского обслуживания и выгодоприобретателях. Вплоть до привлечения аудиторских компаний. Главный принцип, в соответствии с требованиями федерального законодательства − «знай своего клиента». В первую очередь нужна чёткая регламентация информационного обмена между подразделениями и служащими − определение оснований, порядка и периодичности предоставления отчетов и прочей информации о правовых рисках. Распределение полномочий и ответственности между подразделениями и служащими исключает пересечение их функций. Эффективность управления правовыми рисками выявляется специально проводимыми контрольными мероприятиями.

Согласно типовому сценарию реагирования на инциденты в системах электронного банкинга сотрудникам банка необходимо предпринять следующие действия:

  1. После получения информации об инциденте с системой электронного банкинга идентифицировать пострадавшего клиента и мошеннические платежи.
  2. Составить служебную записку, в которой фиксируется информация об инциденте (время и место возникновения инцидента, а также другие сведения, которые возможно зафиксировать без проведения специальных мероприятий).
  3. В случае если платежные поручения не исполнены - отменить их.
  4. Проинформировать официальным письмом банк - получатель денежных средств о факте инцидента и необходимости остановить транзакции по счетам мошенников, а также направить информационное письмо в МВД о факте совершения мошенничества.
  5. Собрать журналы работы с системой ДБО пострадавшего клиента за определенный срок до совершения мошенничества.
  6. Осуществить выезд к пострадавшему клиенту с целью сбора дополнительной информации об инциденте.

Итак, главным способом борьбы с правовыми рисками является последовательная формализация процессов правового сопровождения планирования, мониторинга и контроля дистанционных банковских операций посредством разработки в кредитной организации соответствующих внутренних нормативных документов. Для дистанционного банковского обслуживания стандартизуются ключевые банковские операции − порядок, процедуры и технологии. Распределяются «зоны ответственности» кредитной организации и клиента. Клиент документально предупреждается о возможных приёмах мошенничества.

Также следует применять и технические меры минимизации правовых рисков при дистанционном банковском обслуживании. Адрес операционного сайта, посредством которого проводятся банковские операции клиентов, является конфиденциальной информацией. Он должен сообщаться только зарегистрированным пользователям системы дистанционного банковского обслуживания в порядке, установленном кредитной организацией.

Во всех режимах работы сайта во время дистанционного банковского обслуживания информационный обмен банка с клиентом должен осуществляться с использованием средств шифрования. Электронный документооборот между кредитной организацией и клиентами через операционный сайт требует использования средств аутентификации электронных сообщений, контроля целостности и подтверждения подлинности электронного сообщения, в том числе электронной подписи.

Таким образом, правильно выстроенная и сбалансированная система управления правовыми рисками минимизирует существующие угрозы кредитно-финансовой организации.

Литература

  1. Письмо Банка России от 31 марта 2008 г. № 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга" // ВБР. – 2008. - №16.
  2. Орлов А. Управление банковскими репутационными рисками (Практический комментарий к Рекомендациям Банка России) // РЦБ. – 2006. - №7.
  3. Писемский А.М. Мошенничество в системах ДБО: преступление и наказание // Защита информации. Инсайд. - 2011. - № 2.
  4. Ревенков П.В. Компоненты правового риска в условиях электронного банкинга // Юридическая работа в кредитной организации. – 2011. – №2.

[1] Управление банковскими счетами и картами через Интернет и web-браузер в режиме on-line

[2] Управление банковскими счетами и картами с КПК, коммуникаторов и смартфонов

[3] Ревенков П.В. Компоненты правового риска в условиях электронного банкинга // Юридическая работа в кредитной организации. – 2011. – №2.

[4] Письмо Банка России от 31 марта 2008 г. № 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга" // ВБР. – 2008. - №16.

[5] Орлов А. Управление банковскими репутационными рисками (Практический комментарий к Рекомендациям Банка России) // РЦБ. – 2006. - №7.

[6] Писемский А.М. Мошенничество в системах ДБО: преступление и наказание // Защита информации. Инсайд. - 2011. - № 2.

[7] Ревенков П.В. Компоненты правового риска в условиях электронного банкинга // Юридическая работа в кредитной организации. – 2011. – №2.

[8] Там же.