Банковское дело
УДК 336.71
ВОЗРАСТАНИЕ ПРАВОВОГО РИСКА В УСЛОВИЯХ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ*
П.В. РЕВЕНКОВ, кандидат экономических наук, заведующий сектором департамента банковского надзора E-mail: rpv@mail.cbr.ru
Х.А. ТЕР-АВЕТИСЯН, заведующий сектором департамента лицензирования деятельности и финансового оздоровления кредитных организаций E-mail: tka@cbr.ru Банк России
В статье рассматриваются преимущества систем дистанционного банковского обслуживания. Приведены основные угрозы со стороны компьютерных мошенников как для клиентов, так и для коммерческих банков в условиях действия данных систем. Рассмотрены новые источники правового риска при дистанционном банковском обслуживании в связи с принятием Федерального закона от 27.07.2011 № 161-ФЗ «О национальной платежной системе».
Ключевые слова: дистанционное банковское обслуживание, правовой риск, компьютерные преступления, информационная безопасность
Дистанционное банковское обслуживание: возможности и основные угрозы. Технологию дистанционного банковского обслуживания (ДБО) можно по праву назвать одним из самых заметных нововведений в банковском бизнесе за последние 15-20 лет. В условиях ДБО клиент может совершать
* Настоящая статья выражает исключительно мнение авторов и не отражает позиции Банка России.
свои операции, не имея привязок к месту и времени. Учитывая, что наибольшее распространение среди клиентов коммерческих банков получили системы интернет-банкинга и мобильного банкинга1, в случае с интернет-банкингом достаточно иметь компьютер с установленным на нем web-браузером и
доступом к Интернету, а при мобильном банкинге -
" 2
находиться в зоне приема сотовой связи2.
В настоящее время ДБО наиболее развито в Западной Европе и США. По данным консалтинговой компании Forrester Research, число «мобильных клиентов» американских финансовых учреждений удвоились за 2007-2010 гг., а к 2015 г. ожидается,
1 Под интернет-банкингом понимается управление банковскими счетами и картами через Интернет и web-браузер в режиме on-line. Мобильный банкинг - управление банковскими счетами и картами с карманных персональных компьютеров, коммуникаторов и смартфонов.
2 Результаты анализа банковской отчетности по форме 0409070
«Сведения об использовании кредитной организацией интернет-технологий», поступающей в Банк России от кредитных органи-
заций, также подтверждают заметное преобладание интернет-банкинга и мобильного банкинга среди всех видов ДБО.
что каждый пятый взрослый американец будет пользоваться услугами мобильного банкинга3.
Объем платежей через системы интернет-банкинга в России вырос по итогам 2012 г. на 40% - до 590 млрд руб4. Проникновение мобильного интернет-доступа в РФ на текущий момент приблизительно в 2 раза превышает аналогичный показатель в среднем в мире, но при этом уступает значению показателя для ряда стран Западной Европы, США, Японии и Южной Кореи.
Учитывая, что технология ДБО фактически переносит нагрузку операционных работников кредитных организаций на клиентов (клиенты сами заполняют свои первичные документы, проверяют правильность их заполнения и направляют в банк), значительно снижается себестоимость банковской деятельности (в том числе затраты на выполнение самих банковских операций). Добавим, что кредитные организации, предоставляющие услуги по ДБО клиентов, значительно повышают свои конкурентные преимущества перед кредитными организациями, специализирующимися на классическом банкинге (т.е. обслуживание клиентов только в офисах).
Сейчас в России кредитные организации предоставляют разнообразные наборы электронных банковских услуг посредством технологии ДБО. К основным можно отнести:
- осуществление всех коммунальных платежей (электроэнергия, газ, телефон, квартплата, теплоснабжение и др.);
- оплату счета за связь (телефон, сотовая связь, Интернет, кабельное и спутниковое телевидение, обучение и пр.);
- денежные переводы на любой счет в любом банке;
- перевод средств в оплату счетов за товары, в том числе купленные через интернет-магазины;
- покупку и продажу иностранной валюты;
- пополнение (списание) денежных средств со счета пластиковой карты;
- предварительное оформление различных видов счетов (срочные, сберегательные, пенсионные) и перевод на них денежных средств;
- получение выписки о состоянии счета за определенный период в различных форматах;
- получение информации о поступивших средствах на банковский счет в режиме реального времени;
3 Сотовый бум // Банковская практика за рубежом. 2011. № 6.
4 Ахмедова А. Банки уходят в Интернет // Деловой Петербург 2013. № 26.
- получение информации об осуществленных платежах;
- получение других услуг: подписка на журналы и газеты, брокерское обслуживание (покупка и продажа ценных бумаг, создание инвестиционного портфеля, возможность участия в паевых фондах банка, участие в торгах и т.д.).
Наряду с неоспоримыми преимуществами системы ДБО внесли принципиальные изменения в информационный контур банковской деятельности, добавив в него интернет-провайдеров (в случае интернет-банкинга), операторов сотовой связи (в случае мобильного банкинга) и других участников.
Виртуальный характер взаимодействия, при котором отсутствует прямой контакт банка с клиентами, стал причиной расширения профилей типичных банковских рисков5, значительно увеличив их техническую составляющую. Постоянное изменение (в ряде случаев - упрощение) способов идентификации клиентов в условиях ДБО привели к значительному возрастанию активности кибер-преступников, которые стали использовать системы ДБО для кражи денег со счетов клиентов.
Приведем некоторые данные, подтверждающие угрожающие масштабы киберпреступлений.
По результатам ежегодного исследования киберпреступлений Norton Cybercrime Report, в 2012 г., специалисты компании Symantec оценили общий ущерб пользователей Интернет от киберпреступлений в мире в 110 млрд долл., а число пострадавших - в 556 млн пользователей глобальной сети6.
Дороже всего киберпреступность обходится китайцам, которые, по оценке Symantec, за 12 мес. потеряли 46 млрд долл. Сумма ущерба в США составила 21 млрд, в Западной Европе - 16 млрд, в том числе в Германии - 3,67 млрд, во Франции -3,25 млрд, в Великобритании - 2,9 млрд долл. В Германии число жертв достигло 15 млн, в Великобритании - 12,5 млн, во Франции - свыше 10 млн.
Сведения по Российской Федерации впервые были представлены в отчете за 2012 г.: более 30 млн чел. в той или иной степени пострадали от хакеров за исследуемый период. В пресс-релизе компании Symantec говорится, что ущерб от деятельности
5 Перечень типичных банковских рисков приведен в письме Банка России от 23.06.2004 № 70-Т «О типичных банковских рисках».
6 С содержанием отчета можно познакомиться на сайте URL: http://www.semantec.com.
киберпреступников в России оценивается почти в 2 млрд долл.
В нашей стране в 2012 г. 74% компьютеров были заражены вирусами, вредоносным программным обеспечением: это самый большой показатель в мире7.
Опубликованное антивирусной компанией исследование констатирует увеличение количества новых мошеннических схем по сравнению с 2011 г., рост угроз, нацеленных на социальные сети и мобильные устройства. Согласно проведенным опросам каждый пятый (21%) интернет-пользователь старше 18 лет пострадал от рук киберпреступников.
По данным МВД России, за первое полугодие 2012 г. в нашей стране было зафиксировано 5 696 киберпреступлений (почти на 11% больше, чем за аналогичный период 2011 г.). Среди них преобладали преступления, связанные с созданием, распространением и использованием вредоносных программ, а также с мошенничеством в сети Интернет8.
Самыми распространенными преступлениями в сфере применения информационных технологий являются мошенничества в Интернет. За первое полугодие 2012 г. было зафиксировано 1 443 преступления (рост на 44%).
По мнению экспертов известной российской компании Group-IB, общий оборот киберпреступ-лений в Интернет, организованных русскоязычными гражданами России, стран СНГ и ближнего зарубежья, составил 1,9 млрд долл.9. При этом, по оценкам экспертов, общий мировой фактический ущерб от киберпреступлений в 2012 г. составил 18 млрд долл. Подавляющее большинство подобных хищений (более 90%) - мошеннические операции со счетами юридических лиц10. Следует отметить, что по сравнению с 2011 г. (когда ущерб составил 490 млн долл.) в 2012 г. было довольно существенное снижение (на 9%) ущерба от хищений в системах интернет-банкинга (в 2012 г. он составил 446 млн долл.). Согласно экспертным оценкам специалистов компании Group-IB, сокращение масштабов хищений в системах интернет-банкинга произошло вследствие синергии влияния четырех основных факторов:
7 На втором месте Китай (66% - по данным отчета).
8 Подробнее на URL: http://www.mvd.ru/news/item/146788.
9 См. отчет Group-IB о состоянии киберпреступности (report 2013), размещенный на официальном сайте компании URL: http://www. group-ib.ru.
10 Объемы хищений в интернет-банкинге снизились на 9%
в 2012 г. / ПЛАС: информационно-аналитический журнал.
2013. № 10.
- ликвидация в 2012 г. ряда крупных преступных группировок, обладавших масштабными ботнетами11 и оперировавших «троянами» СагЬегр, Но1р1^ и др.;
- создание межбанковского списка «дроппов» (т.е. обмен сведениями о лицах и организациях, причастных к обналичиванию похищенных денежных средств);
- активное внедрение российскими банками современных промышленных антифрод-решений;
- сдерживание роста новых группировок кибер-преступников организационными и техническими методами.
Однако следует отметить, что распространение киберпреступлений в России объясняется тремя основными причинами:
- наличием технической возможности похитить денежные средства организаций и физических лиц;
- наличием возможности обналичить украденные средства (в том числе с использованием криптовалюты ВйСот);
- практически полной безнаказанностью кибер-преступников (вследствие сложившейся в стране правоприменительной и судебной практик).
Добавим, что реальные показатели объемов киберпреступности в нашей стране могут быть на порядок выше официальной статистики, поскольку мошенничества характеризуются высоким уровнем латентности (по оценкам специалистов, он достигает 90%12). Основные проблемы при расследовании подобных уголовных дел следующие:
- сложно установить (в случае совершения преступления с использованием компьютерной техники) само событие преступления и правильно его классифицировать;
- возникают значительные затруднения при проведении следственных действий по обнаружению, изъятию, фиксации и исследованию компьютерной информации;
- у следователей часто отсутствуют как опыт расследования преступлений, совершаемых с использованием компьютерной техники, так и знания самой техники.
Ответственность за киберпреступления. В России система правосудия слишком терпимо относится к киберпреступникам. Следственные ор-
11 Ботнет (Ъо1:пе1;) - компьютерная сеть, состоящая из некоторого количества зараженных компьютеров.
12 Олимпиев А.Ю. Преступления в кредитно-банковской сфере. М.: ЮНИТИ-ДАНА. 2013. 279 с.
ганы стараются не возбуждать дел примерно в 80% случаев кибермошенничества. Достаточно привести несколько получивших известность примеров.
Российский хакер, похитивший из Королевского банка Шотландии около 10 млн долл., был осужден на пять лет условно13. Условные сроки также получили фигуранты дела о хищении около 13 млн руб. у клиентов банка ВТБ 24 (2012 г.). Потерпевшими по данному уголовному делу признаны более 170 граждан из 46 регионов РФ. По информации МВД России, это было первое уголовное дело в нашей стране о компьютерном фишинге. Преступники создали копию оригинальной web-страницы банка. После этого приобрели набор вредоносного программного обеспечения, задачей которого после активации на зараженном компьютере являлось изменение или подмена некоторых параметров, задействованных в функционале «банк-клиент». В результате любые обращения клиентов банка к официальному банковскому сайту перенаправлялись на серверы, принадлежащие мошенникам, где последние разместили поддельную web-страницу. На ней, по данным МВД России, клиенты банка вводили свои персональные данные, и эти сведения получали мошенники. Получив доступ к счетам, преступники различными способами обналичивали деньги14.
Во многих развитых странах за подобные преступления можно получить реальные сроки.
Бурное развитие технологии ДБО и, как было отмечено, безнаказанность за совершенные преступления вызывают повышенную активность у киберпреступников, в арсенале которых для несанкционированного доступа к информационным системам имеется широкий и постоянно обновляющийся набор технологического инструментария.
Угрозы со стороны киберпреступников в условиях ДБО могут быть направлены как на клиентов, так и на банки.
В первом случае возможна ситуация, когда клиент вводит пароль в «неправильном» месте или оставляет его в системе сохраненным и дает возможность злоумышленникам воспользоваться им. Угрозы для клиентов также связаны с недостаточно безопасными способами авторизации: у пользователя нет карточки паролей, либо его доступ
13 См. подробнее URL: http://www.gazeta.ru/techzone/ 2011/n/29_a_3852078.shtmL
14 Хакеры, похитившие 13 млн руб. у клиентов ВТБ 24, осуждены условно. URL: http://www.audit-it.ru/news/finance/488998. html.
в систему обеспечивает лишь одно слово или один пароль, который человек может записать где-то и который кто-то может увидеть15.
Во втором случае утечка информации происходит на этапе передачи данных в кредитную организацию. В настоящее время такие ситуации очень редки, поскольку кредитные организации располагают достаточными ресурсами для того, чтобы защитить информационные системы.
Зона ответственности кредитной организации гораздо шире, так как в ней находится комплексное обеспечение безопасности системы. Для этого банки стараются делать все возможное, чтобы защитить ключи электронной подписи и процедуру формирования подписи для платежных документов на стороне клиента. При этом конечный пользователь (клиент) все же должен соблюдать элементарные нормы информационной безопасности на своем рабочем месте, когда имеет дело с системой «клиент-банк». Учитывая тот факт, что клиент защищен меньше, чем банки, кибермошенники сместили свои действия именно на клиента. Они пошли по пути наибольшей экономической целесообразности и наименьшего сопротивления: зачем взламывать сервер «клиент-банк», что сложно и дорого, если можно просто украсть ключи электронной подписи, которые находятся в компьютере клиента. Определенная озабоченность правоохранительных и регулирующих органов стала причиной проведения разъяснительной работы среди клиентов банков по наиболее распространенным случаям кибермо-шенничества и способам защиты от них. Клиенты, использующие для выполнения своих операций системы ДБО, стали активнее применять устройства защищенного хранения ключей электронной подписи и защищенной выработки электронной подписи посредством доверенных устройств отображения по подписи платежного поручения, с помощью доверенных каналов подтверждения платежа и использования доверенной среды для работы с сервером «клиент-банк»16.
15 По мнению банковских экспертов, при ДБО имеют место в основном клиентские риски, связанные с тем, что банк не предусмотрел эффективной технологии защиты информации.
16 По статистике, 70% атак на клиентскую часть современных систем ДБО происходит при хранении закрытых ключей аутентификации и электронной подписи на незащищенных носителях, поэтому многие банки переходят на технологии строгой многофакторной аутентификации с формированием и хранением закрытого ключа электронной подписи в неизвле-каемом виде на ШВ-токене или смарт-карте.
Следует отметить, что в большинстве случаев при атаках на системы ДБО применяются методы социальной инженерии, средством защиты от которых опять же является повышение уровня осведомленности клиентов кредитных организаций в вопросах обеспечения информационной безопасности. В качестве основной угрозы при использовании методов социальной инженерии выступает заражение клиентских рабочих станций вредоносным программным обеспечением и компрометацией идентификационных данных клиента17.
Есть еще одна особенность у российских коммерческих банков. Поскольку в РФ чрезвычайно распространены «коробочные» системы ДБО (iBank, BSS, Inist и др.), то злоумышленникам для написания вредоносной программы, функциональность которой покроет сразу десятки банков, достаточно проанализировать работу единственной системы. Это приводит к снижению издержек на разработку и поддержку вредоносных программ и увеличивает объемы хищений.
Также необходимо отметить технологическое преимущество создателей вредоносных программ перед разработчиками банковских систем. Если создатели вредоносного программного обеспечения используют труд квалифицированных реверс-инженеров для анализа работы банковских систем, совершенствования своих программ в целях противодействия обнаружению, анализу и разбору, то разработчики систем «банк-клиент» не ставят перед собой задачи по противодействию модификации (обратной разработки) программного кода своих продуктов. Такая тенденция, когда разработчики систем ДБО находятся на шаг позади злоумышленников, может привести к более широкому распространению технологий автоматического проведения мошеннических платежей.
Закон защитил клиента. В связи с принятием Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» у участников рынка возник ряд вопросов технического и правового характера относительно порядка его применения
17 Зараженный компьютер может быть использован для производства DoS-атак (от англ. Denial of Service, отказ в обслуживании) и DDoS-атак (от англ. Distributed Denial of Service, распределенный отказ в обслуживании) - это разновидности атак на вычислительную систему. Цель этих атак - довести систему до отказа, т.е. создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступа к предоставляемым системой ресурсам, либо этот доступ затруднен.
(в частности, регулирование процедур и положений, предусмотренных ст. 9).
Регулятор - Банк России в письме от 24.12.2012 № 14-27/1011 сообщил, что, исходя из концепции Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», ст. 9 ориентирована на защиту прав клиента - физического лица как экономически более слабой стороны отношений между кредитной организацией и ее клиентом. При этом было пояснено, что кредитной организации предоставлено право отказать клиенту в заключении договора об использовании электронного средства платежа, а также приостанавливать использование электронного средства платежа. Банк России обратил внимание на то, что установленные ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» обязанности кредитных организаций не являются принципиально новыми по отношению к требованиям действующего законодательства Российской Федерации, в том числе законодательства о защите прав потребителей.
В целях обеспечения участникам рынка - кредитным организациям условий для надлежащей подготовки к реализации требований ст. 9 законодателем была предусмотрена отсрочка вступления в силу ее положений на 18 мес. (до 01.01.2014).
Также в целях обеспечения исполнения кредитными организациями требований ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» Банком России издано письмо от 14.12.2012 № 172-Т «О рекомендациях по вопросам применения статьи 9 Федерального закона «О национальной платежной системе». В этом письме отражены наиболее актуальные для кредитных организаций вопросы применения ст. 9, включая способы и порядок уведомления клиентов, рассмотрения заявлений клиентов, касающихся совершения операций с использованием электронного средства платежа без согласия клиента.
Остановимся подробнее на рекомендациях регулятора.
При заключении с клиентом договора об использовании электронного средства платежа кредитной организации рекомендуется на основе предоставленной клиентом и иной доступной информации оценивать степень риска, связанного с предоставлением клиенту конкретного вида электронного средства платежа, и предоставлять клиенту соответствующие электронные средства платежа с учетом результатов оценки риска. Для этого кредитная организация устанавлива-
ет методику оценки рисков в своих внутренних документах, включающую, в том числе, критерии оценки и характеристику случаев повышенного риска. При этом в отношении клиентов, с которыми заключены договоры об использовании электронного средства платежа на дату вступления в силу ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», кредитной организации рекомендуется определить возможность сохранения действующих условий использования электронного средства платежа или необходимость их изменения с учетом оценки риска и обеспечивать соблюдение требований указанной статьи в соответствии с имеющейся информацией для связи с клиентом.
До заключения договора с клиентом кредитная организация предоставляет ему информацию, требуемую в соответствии с Федеральным законом от 27.06.2011 № 161-ФЗ «О национальной платежной системе», а также может предоставлять дополнительную информацию:
- о мерах безопасного использования электронного средства платежа;
- о возможных дополнительных требованиях и ограничениях при использовании электронного средства платежа в зависимости от оценки риска;
- о способах и сроках уведомления о совершении каждой операции с использованием электронного средства платежа;
- об отсутствии у кредитной организации обязанности возмещать остаток (его часть) электронных денежных средств в случае утраты клиентом неперсонифицированного электронного средства платежа или совершения операций с его использованием без согласия клиента (при заключении договора об использовании электронного средства платежа в целях осуществления перевода электронных денежных средств).
Кредитной организации рекомендуется страховать собственные риски, связанные с совершением операций с использованием электронного средства платежа, без согласия клиента, а также обеспечивать возможность страхования клиентом рисков, связанных с совершением операций с использованием электронного средства платежа.
Кредитная организация с учетом отсутствия в Федеральном законе от 27.06.2011 № 161-ФЗ «О национальной платежной системе» требований об информировании клиента о совершении операций с использованием электронного средства платежа определенным способом в зависимости от условий
заключенного договора об использовании электронного средства платежа и с учетом оценки риска, правил платежной системы, участником которой является, вправе выбирать любые доступные способы уведомления клиента.
Кредитной организации (с учетом оценки риска) рекомендуется определять способы и порядок информационного взаимодействия с клиентом, обеспечивающие исполнение обязанности по уведомлению кредитной организации в случае утраты электронного средства платежа и (или) его использования без согласия клиента в соответствии с ч. 11 ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе».
При привлечении третьего лица для направления клиенту уведомлений о совершении операций с использованием электронного средства платежа кредитная организация может включить в договор с таким третьим лицом требование о сохранении соответствующей информации в течение срока, предусмотренного ч. 6 ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», а также о предоставлении сохраняемой информации по запросу кредитной организации, в том числе для рассмотрения заявлений клиентов, включая случаи возникновения споров, связанных с использованием электронного средства платежа, в срок, обеспечивающий соблюдение требований ч. 8 ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе».
В целях рассмотрения заявления клиента, касающегося совершения операций с использованием электронного средства платежа без согласия клиента, кредитная организация может определять в договоре с клиентом:
- указываемые в заявлении сведения и примерный перечень предоставляемых клиентом документов, соответствующих характеру использования электронного средства платежа и операций;
- примерный перечень документов, предоставляемых кредитной организацией по результатам рассмотрения заявления клиента в случае принятия решения об отказе в возмещении денежных средств по операциям, совершенным без согласия клиента;
- срок возмещения денежных средств по результатам рассмотрения заявления клиента по операциям, совершенным без согласия клиента, являющийся разумным.
Для эффективной реализации основных целей Федерального закона от 27.06.2011 № 161-ФЗ «О
национальной платежной системе» Банк России предоставляет информационные ответы на вопросы, интересующие участников рынка, связанные с применением отдельных норм.
Например, 26.04.2013 и 30.09.2013 Банк России информировал о признании в соответствии с ч. 2 ст. 22 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» платежных систем CONTACT, «Виза», «Золотая Корона» и «МастерКард» социально значимыми и сообщил о включении информации о признании указанных платежных систем социально значимыми в реестр операторов платежных систем.
В части обеспечения информационной безопасности Банк России информирует о следующем: учитывая, что использование электронного средства платежа осуществляется на основании договора об использовании электронного средства платежа, заключенного оператором по переводу денежных средств с клиентом, возможность приостановления или прекращения использования электронного средства платежа по инициативе оператора по переводу денежных средств при осуществлении мошеннических действий третьих лиц может быть предусмотрена в таком договоре в качестве элемента порядка использования электронного средства платежа (ч. 9 ст. 9).
Требование о безусловном возмещении оператором по переводу денежных средств суммы операции клиенту, совершенной без его согласия, после направления оператору по переводу денежных средств уведомления, предусмотренного ч. 11 ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», установлено ч. 1 2 данной статьи.
Вместе с тем порядок уведомления клиентом кредитной организации, предусмотренный ч. 11 ст. 9, может быть конкретизирован в заключаемом между ними договоре в зависимости от используемого электронного средства платежа и сроков уведомления кредитной организацией клиента о совершенных операциях. При этом установленный ч. 11 ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» максимальный срок уведомления клиентом кредитной организации (не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции) способствует заинтересованности клиента в сохранении электронного средства платежа и исключении нарушений порядка его использования.
Если оператор по переводу денежных средств исполняет обязанность по уведомлению клиента -физического лица о совершенной операции в соответствии с ч. 4 ст. 9, и клиент - физическое лицо направил оператору по переводу денежных средств уведомление в соответствии с ч. 11 указанной статьи Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», оператор по переводу денежных средств должен возместить клиенту сумму указанной операции, совершенной без согласия клиента до момента направления клиентом - физическим лицом уведомления. При этом в указанном случае оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение операции без согласия клиента - физического лица. Указанная норма соответствует существующей мировой практике регулирования рынка платежных услуг и призвана обеспечить защиту интересов клиентов при использовании ими электронных средств платежа.
Необходимость защиты прав гражданина как экономически слабой стороны в правоотношениях между кредитной организацией и клиентом была подтверждена Конституционным Судом Российской Федерации в постановлении от 23.02.1999 № 4-П.
В связи с этим, по мнению Банка России, оценка инициативы участников национальной платежной системы по внесению изменений в ст. 9 возможна только после анализа результатов реализации соответствующих норм Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе».
Следует также отметить, что за месяц до вступления в силу ст. 9 в прессе появилась информация о попытке внесения изменений в условия и порядок возврата клиентам средств, украденных с банковских карт, путем установления конкретных сроков возврата клиентских средств. Они были согласованы Минфином России с Банком России и направлены на рассмотрение в Правительство Российской Федерации.
Предполагается увеличить срок, в течение которого клиент обязан сообщить в банк о потере карты или несанкционированном списании средств с нее, с одного до десяти дней. По действующей норме Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе», если клиент в течение суток не уведомил банк о мошеннических операциях, обязанности возвращать украденные
деньги у банка нет. Второе важное изменение - в поправках фиксируются конкретные сроки возвращения клиенту украденных с карты средств. Ни в действующей редакции закона, ни в предыдущих версиях поправок этот вопрос не был конкретизирован. Имеется лишь указание на сроки рассмотрения банками претензий клиентов. Теперь предлагается возвращать денежные средства в сроки от 30 до 60 дней (в зависимости от вида операции). При этом сделана также поправка в интересах банковского сообщества. Банки были обязаны безоговорочно возвращать деньги, если они не уведомили клиента о совершенной по его карте операции. Теперь предлагается предоставить им право не возвращать денег, если банк докажет, что клиент нарушил порядок использования карты. Таким образом, обязанность банка вернуть клиенту украденные с карты деньги, в случае если он не уведомил клиента об операции, может отпасть. У банков появится возможность сначала провести расследование инцидента, а затем, если не обнаружится злой умысел клиента, вернуть ему похищенное.
В результате проведенного анализа особенностей одной из самых обсуждаемых статей Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» в банковском сообществе
можно сделать вывод, что с вступлением ее в силу у кредитных организаций, предоставляющих услуги по ДБО клиентов, возникают дополнительные источники правового риска, которые могут стать причинами финансовых потерь. Очевидно, что банки хорошо обдумывают первоочередные мероприятия по минимизации возможных последствий проявления правового риска в условиях ДБО клиентов.
По мнению авторов, необходимы существенные доработки действующих договоров на осуществление банковских операций, выполняемых с помощью систем ДБО, усиление мер по обеспечению информационной безопасности в банках и постоянные уведомления клиентов о новых способах мошенничества, а также предупреждение их об ответственности за мошеннические действия, направленные против банков.
Список литературы
1. Кинг Б. Банк 2.0. Как потребительское поведение и технологии изменят будущее финансовых услуг: пер. с англ. М. Мацковской. М.: Олимп-Бизнес. 2012. 512 с.
2. Ревенков П.В. Дистанционное банковское облуживание: актуальные направления регулирования // Банковское дело. № 9. 2012. С. 57-62.
Banking
INCREASE OF LEGAL RISK IN THE CONDITIONS OF REMOTE BANKING
Pavel V. REVENKOV, Khachatur A. TER-AVETISIAN
Abstract
The article considers advantages of systems of remote banking. The authors point out to the main threats from computer swindlers both for clients and for commercial banks in the conditions of action of system's data. The paper offers new sources of legal risk at remote banking according to adoption of the Federal Law "On National payment system" of July 27, 2011 № 161.
Keywords: remote bank service, legal risk, computer crimes, information security
References
1. King B. Bank2.0. Kak potrebitel'skoepovedenie i tekhnologii izmeniat budushchee finansovykh uslug [BANK 2.0. How Customer Behavior and Technology
will Change the Future of Financial Services Forever]. Moscow, Olimp-Biznes Publ., 2012, 512 p.
2. Revenkov P.V. Distantsionnoe bankovskoe obsluzhivanie: aktual'nye napravleniia regulirovaniia [Remote banking: actual directions of regulation]. Bankovskoe delo - Banking, 2012, no. 9, pp. 57-62.
Pavel V. REVENKOV
Bank of Russia, Moscow, Russian Federation rpv@mail.cbr.ru
Khachatur A. TER-AVETISIAN
Bank of Russia, Moscow, Russian Federation tka@cbr.ru