Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход
Полные и однозначные рекомендации относительно того, как организовывать специальные процедуры подтверждения идентичности клиентов и аутентичности информационного обмена, до настоящего времени для разных вариантов ДБО не разработаны. Из этого следует, что начиная с внедрения первой же ТЭБ руководству кредитных организаций целесообразно разрабатывать и внедрять процедуры такого рода еще до перехода к физической обработке ордеров и транзакций удаленных клиентов. Варианты их могут быть различны, зачастую для регулярной идентификации дистанционно работающих клиентов используются типовые правила обновления идентифицирующих и аутентифицирующих данных (такой процесс может быть реализован совершенно «естественно»). Вместе с тем на первый план выходят компьютерная грамотность и информированность клиентов кредитной организации, а значит, ее руководству логично было бы предусмотреть:
1) изучение текущей и оценку перспективной обстановки, например, получения информации о тех способах противоправной деятельности, которые уже зафиксированы в банковском сообществе и правоохранительными органами, о «достижениях» хакеров и компьютерных мошенников и т. п.;
2) организацию процесса доведения необходимой информации до клиентов ДБО, например, через офисы, web-сайты, сервис-центр, целевую (адресную) рассылку сообщений электронной почты и т. д.;
3) адаптацию процесса предупреждения клиентов, возможно, за счет усложнения процедур идентификации и авторизации, регулярного переобучения, обновления средств дистанционного доступа и поставочной документации и других процедур.
Все перечисленное позволит предотвратить или, как минимум, серьезно затруднить незаметное использование кредитных организаций в качестве посредников для трансфера или хранения незаконных доходов с использованием новых банковских информационных технологий. Важно, чтобы осознавалось возможное устаревание технологии ФМ и реализующих ее методов и средств по мере внедрения новых видов банковских услуг и развития автоматизации банковской деятельности, а также регулярно (или, как минимум, по мере внедрения каждой новой СЭБ) оценивалась потребность в их модернизации. Наличие в кредитной организации документов, в которых отражается описанный подход, а также возможность практической демонстрации внедренных в связи с переходом к ДБО процедур ФМ, снижают ее потенциальную подверженность компонентам правового и стратегического рисков.
Реализации упомянутых процедур в кредитных организациях посвящен ряд документов Банка России, в частности упоминавшимся в главе 4 Положением 262-П предусмотрено, что:
«2.9. Кредитная организация оценивает степень (уровень) Риска с учетом следующих операций повышенной степени (уровня) Риска: <…>
2.9.11. Осуществление банковских операций и иных сделок с использованием интернет-технологий.
<…>
2.10. Кредитная организация должна уделять повышенное внимание операциям с денежными средствами или иным имуществом, проводимым клиентами, отнесенным к повышенной степени (уровню) Риска».
Необходимо отметить, что проблема заключается не в самих интернет-технологиях — это лишь один из вариантов ДБО и они упомянуты конкретно как наиболее распространенный в российском банковском секторе, а в том, для каких целей может быть использована любая технология ДБО. Практическое выполнение требований нормативных документов и рекомендаций предполагает прежде всего их фиксацию во внутренних документах кредитной организации (причем не ограничиваясь простым цитированием, как это нередко бывает), за которой в оптимальном варианте следует дополнение внутрибанковских процессов новыми процедурами в рамках процесса ФМ. Естественно, предполагается учет в них специфики каждой ТЭБ в связи с содержанием процессов УБР и ВК, а возможно и с работой СД кредитной организации.
Для иллюстрации проявления такой специфики в варианте интернет-банкинга на рис. 5.8 приведена карикатура (с www. cartoonbank.com), которая, по мнению автора, лаконично и точно отражает суть рассматриваемой проблематики.
При осуществлении банковского обслуживания через Интернет кредитной организации следует принимать специальные меры идентификации клиентов и контроля над их действиями, особенно при массовом дистанционном обслуживании и работе через филиалы. Предоставление банковских услуг через Интернет требует, в общем случае, регулярного подтверждения идентичности клиентов, в том числе в целях противодействия возможному противоправному использованию интернет-банкинга. Поэтому кредитной организации целесообразно разработать, документировать и внедрить дополнительные процедуры подтверждения идентичности клиентов ДБО с тем, чтобы они после заключения соглашения на ДБО не исчезали из ее «поля зрения» и одновременно выполнялись установленные нормативными правовыми актами требования к дальнейшей работе с такими клиентами. Мероприятия такого рода в свою очередь будут иметь значение для контролирующих органов в плане подтверждения «отнесения» клиентов ДБО к «повышенной степени (уровню) Риска», как сказано в Положении 262-П.
Кроме того, специалистам кредитных организаций желательно располагать моделями возможной противоправной деятельности, так называемыми шаблонами или «образами»[168]. Типичные мошеннические приемы, реализуемые с помощью технологий электронного банкинга, достаточно хорошо известны и при должном внимании могут быть парированы без угроз для других клиентов кредитной организации и ее самой. В число признаков, помимо установленных законодательно, обычно входят имитация поставок товаров и услуг с задержкой (а затем с отсутствием) предоставления подтверждающих документов (включая авансовые платежи), проведение последовательных операций сомнительного характера в сжатые интервалы времени, переводы на счета за рубежом и др. Банк России в ряде своих писем дал рекомендации кредитным организациям по усилению контроля над операциями, совершаемыми с помощью средств ДБО[169]. Для этого могут дополнительно использоваться прямые и косвенные процедуры, как входящие в их типовой набор, например, подтверждение нахождения клиента по его юридическому или фактическому адресу, так и те, которые кредитная организация определяет самостоятельно — замена средств идентификации, доступа к СЭБ или криптозащиты трафика.
Здесь надо отметить еще и подходы к организации приема и обработки ордеров клиентов ДБО в автоматизированных системах кредитных организаций. Некоторые наблюдения свидетельствуют о том, что за последние годы стала проявляться своеобразная тенденция роста доли банковских операций, относящихся к категории подлежащих обязательному контролю и совершенных с применением систем ДБО, в сопоставлении с долей клиентов кредитных организаций, пользующихся системами электронного банкинга. Даже если доля последних составляет всего 1,5–3 % от общего количества клиентов, они могут давать более половины поводов для отнесения совершаемых по их ордерам операций к указанной категории. Это свидетельствует о целесообразности применения кредитными организациями дополнительных аналитических процедур, позволяющих установить, имеет ли место «крен» такого рода, и, возможно, более внимательно относиться к клиентам ДБО, если возникают подозрения в попытках противоправно воспользоваться отмечавшимися ранее особенностями киберпространства. Однако во многих случаях при передаче потоков данных из СЭБ в БАС ордера клиентов «очищаются» от сеансовой информации, позволяющей установить, через какой канал информационного взаимодействия обращался клиент, а потеря таких признаков не позволяет осуществить даже элементарный статистический анализ в интересах ФМ (или в целях ПОД/ФТ).
В дополнение к этому логично сделать акцент на тех обязательствах, которые может наложить ДБО в своих наиболее «отвлеченных» формах на кредитную организацию с точки зрения контролирующих органов. Принцип «знай своего клиента» (ЗСК) хорошо известен банковскому сообществу по тем же публикациям БКБН, однако в последние годы этот комитет стал уделять ему повышенное внимание в разных отношениях, что связано с усиливающейся тенденцией к использованию систем ДБО для противоправной деятельности. Как пишет БКБН в ряде своих материалов, «банки, не имеющие адекватных программ управления риском, связанным с принципом „знай своего клиента“[170], подвержены значительным рискам, в особенности правовому и репутационному». Поэтому здесь же указывается, что «приятие эффективных стандартов ЗСК представляет собой существенную часть банковской практики управления рисками». Учитывая возможные затруднения с идентификацией клиентов и комплексным анализом их деятельности в многофилиальных структурах, особенно в связи с ДБО, БКБН пропагандирует так называемое «консолидированное управление риском, связанным с клиентами», в связи с чем особый акцент делается на так называемом «групповом подходе» при соблюдения принципа ЗСК[171].