5.1. Новизна технологий электронного банкинга
Несмотря на то что ДБО используются в отечественной банковской деятельности уже достаточно давно, связанные с ним факторы остаются недостаточно осознаны. Об этом свидетельствует тот факт, что большинство кредитных организаций все еще не связывают внедрение новых банковских информационных технологий с необходимостью адаптации процесса управления банковскими рисками, начиная с внесения изменений во внутрибанковские документы, регламентирующие этот процесс, или разработку и утверждение их новых редакций. Такой вывод основывается на результатах специальных исследований, проводившихся Банком России начиная с конца 2003 г. до 2008 г. включительно.
Справедливости ради необходимо отметить, что в ходе этих исследований было установлено наличие в ряде крупных кредитных организаций близких к пруденциальному подходов к организации банковской деятельности в новых условиях применения технологий электронного банкинга, что проявлялось в основном как частичная адаптация внутрибанковских процессов документарного обеспечения и информатизации банковской деятельности, внутреннего контроля и финансового мониторинга, обеспечения информационной безопасности, организации отношений с клиентами и контрагентами и т. д. Однако говорить о том, что отечественным кредитным организациям удается в полной мере учитывать в управлении банковскими рисками новые и достаточно специфические факторы и источники банковских рисков, связанные с применением той или иной конкретной технологии ДБО, пока еще нельзя. Главной из причин этого является опережающее внедрение технологий такого рода по сравнению с методическими разработками, направленными на совершенствование управления банковскими рисками. При этом надо отметить, что к управлению рисками банковской деятельности руководство ряда кредитных организаций относится как к формальному аспекту выполнения обязательств перед Банком России, тогда как на самом деле внедрение технологий электронного банкинга должно начинаться с анализа потенциальных факторов и источников риска.
Кредитным организациям, отвечающим на вызовы условий конкуренции в области предоставления финансовых услуг, неизбежно приходится совершенствовать и развивать технологическое и техническое направления своей банковской деятельности, однако эти процессы зачастую не предваряются анализом потенциального смещения их профилей риска, а также причин, приводящих к такому смещению. А ведь именно результаты такого анализа должны являться основанием для изменения основных внутрибанковских процессов.
Основным системным фактором неконтролируемого смещения профиля риска кредитной организации является то, что их руководители не до конца понимают назначение процедур выявления, анализа, оценки, мониторинга банковских рисков и процесса управления ими в целом. В то же время новая, априори не полностью известная специалистам кредитной организации технология электронного банкинга всегда содержит неизвестные изначально источники рисков, которые, реализуясь в зонах ответственности кредитной организации, приводят к последующим излишним потерям или затратам, не обоснованным при пруденциальной организации банковской деятельности в виртуальном пространстве технологий электронного банкинга. При этом увеличиваются риски клиентуры ДБО, предлагаемого кредитными организациями. Следствием таких источников риска становятся мошенничества, осуществляемые в виртуальном пространстве или через него, включая хищения финансовых средств, разрушительные сетевые атаки (хакерские, крэкерские, фармерские, вирусные и т. п.), отмывание денег и финансирование терроризма с тяжелыми правовыми последствиями для кредитной организации, судебные разбирательства, инициированные пострадавшими клиентами, и т. д.
5.2. Недостаточное развитие законодательной базы электронных финансов
По сравнению со странами, которые исторически принято считать цивилизованными или "развитыми", российское финансовое законодательство отстает практически по всем направлениям, в том числе распределенным компьютерным системам или "предоставлению финансовых услуг в электронной форме". В силу такого положения кредитным организациям приходится самостоятельно решать множество достаточно непростых вопросов правового характера в области электронного банкинга.
Основными операциями, ради выполнения которых клиенты электронного банкинга прибегают к дистанционному банковскому обслуживанию, являются переводы денежных средств в локальных или глобальных масштабах. Важным вопросом поэтому прежде всего является адекватная интерпретация определений понятий платежей и расчетов, которые используются во всех документах, связывающих кредитную организацию и ее клиентов, работающих с ней через виртуальное пространство. К сожалению, в тексте Граждан-ского кодекса Российской Федерации (ГК РФ) однозначные определения такого рода практически полностью отсутствуют.
Если говорить о платежах, то в ст. 140 ГК РФ сказано лишь, что "платежи на территории Российской Федерации осуществляются путем наличных и безналичных расчетов", но что именно понимается под самим "платежом", уже более 15 лет остается неизвестным.
Не лучше обстоит дело и с определением понятия "расчеты". В главе 46 "Расчеты" ГК РФ сказано буквально следующее.
"§ 1. Общие положения о расчетах
Статья 861. Наличные и безналичные расчеты
1. Расчеты с участием граждан, не связанные с осуществлением ими предпринимательской деятельности, могут производиться наличными деньгами (статья 140) без ограничения суммы или в безналичном порядке.
2. Расчеты между юридическими лицами, а также расчеты с участием граждан, связанные с осуществлением ими предпринимательской деятельности, производятся в безналичном порядке. Расчеты между этими лицами могут производиться также наличными деньгами, если иное не установлено законом.
3. Безналичные расчеты производятся через банки, иные кредитные организации (далее – банки), в которых открыты соответствующие счета, если иное не вытекает из закона и не обусловлено используемой формой расчетов.
Статья 862. Формы безналичных расчетов
1. При осуществлении безналичных расчетов допускаются расчеты платежными поручениями, по аккредитиву, чеками, расчеты по инкассо, а также расчеты в иных формах, предусмотренных законом, установленными в соответствии с ним банковскими правилами и применяемыми в банковской практике обычаями делового оборота.
2. Стороны по договору вправе избрать и установить в договоре любую из форм расчетов, указанных в пункте 1 настоящей статьи".
Вот, собственно, и все.
В статье 847 "Удостоверение права распоряжения денежными средствами, находящимися на счете" ГК РФ указано, что:
"1. Права лиц, осуществляющих от имени клиента распоряжения о перечислении и выдаче средств со счета, удостоверяются клиентом путем представления банку документов, предусмотренных законом, установленными в соответствии с ним банковскими правилами и договором банковского счета….
<…>
3. Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (пункт 2 статьи 1 60), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом".
При использовании технологий электронного банкинга рассматриваемые положения принципиально важны, поскольку после заключения кредитной организацией с клиентом договора банковского счета и дополнительного к нему соглашения (или отдельного договора (контракта) о ДБО, клиент становится в известной степени "невидим" для кредитной организации, поскольку сеансы связи (информационного взаимодействия) с организацией организуются и реализуются им "из-за горизонта". Точно так же "за горизонтом" оказывается и кредитная организация с точки зрения клиента электронного банкинга. На этом феномене основано, кстати, очень большое количество финансовых преступлений, о возможности которых кредитной организации лучше знать заранее и принимать адекватные меры противодействия, снижая тем самым уровни сопутствующих банковских рисков.
Поэтому важнейшим вопросом как с точки зрения информационной безопасности, т. е. в данном случае защиты финансовых средств клиента и принадлежащей ему информации, так и с позиций противодействия возможной противоправной деятельности, относящейся к отмыванию денег и финансированию терроризма, является обеспечение подтверждения идентичности и аутентичности клиента. К сожалению, нельзя сказать, что этот вопрос нашел свое адекватное отражение в ГК РФ.
Что касается оформления собственно договоров и сделок, то в ст. 160 "Письменная форма сделки" ГК РФ (опережающей, кстати, приведенные выше положения, следствием которых она по сути является) сказано:
"2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон".
Допуская применение "аналога собственноручной подписи" (АСП), ГК РФ ничего не говорит о требованиях, которым должны удовлетворять средства такого рода, используемые сторонами удаленного информационного взаимодействия – кредитной организацией и ее клиентом. Таким образом, остается неясным, какие именно свойства АСП позволяют его таковым считать, т. е. наличие каких именно свойств означает воспроизведение собственноручной подписи, а отсутствие хотя бы одного из таких свойств уже не позволяет считать "электронный документ" имеющим юридическую силу. Решение этих вопросов ГК РФ в неявной форме перекладывает на кредитную организацию, которая должна при необходимости обеспечить адекватное подтверждение идентичности и аутентичности, и на клиента, который, не имея, как правило, специальной подготовки (не просто математической, а еще и в части теории кодирования), должен решить, устраивают его предложения кредитной организации или нет.
Упоминаемый в выдержке из ст. 160 ГК РФ "закон" – это Федеральный закон от 10 января 2002 г. № 1-ФЗ "Об электронной цифровой подписи", так и не получивший эффективного механизма реализации. Помимо сказанного следует отметить и текстуальное расхождение: в ст. 160 ГК РФ сказано об "электронно-цифровой подписи", а Федеральный закон, на который дается ссылка, говорит об "электронной цифровой подписи". Расхождение в терминологии вызывает определенные сомнения и в существе вопроса: речь идет об одном и том же понятии или нет? Таким образом, кредитной организации необходимо задуматься, что должно составлять доказательную базу электронного банкинга и каким образом гарантировать юридическую силу его свидетельств.
Все свидетельства в сфере электронного банкинга изначально существуют исключительно в нечувственной форме, поэтому для обеих сторон дистанционного информационного взаимодействия в рамках электронного банкинга взаимные доказательства мало что значат. Следовательно, для разрешения спорных ситуаций необходимо создание специальных технических и согласительных комиссий, и это фиксируется в документах, определяющих соглашение о ДБО. Однако зачастую порядок создания и работы таких комиссий, требования к квалификации их членов (подтверждаемые конкретными документами), методы подготовки документов, которые примет к рассмотрению, допустим, арбитражный суд, и т. п. не описываются. Почему клиенты электронного банкинга соглашаются с текстами таких договоров или у них просто нет выбора?
Ссылка в ст. 160 ГК РФ на ст. 434 "Форма договора" незначительно проясняет ситуацию, поскольку в ней сказано:
"1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.
Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась.
2. Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору".
В какой бы форме ни осуществлялся обмен между агентами информационного взаимодействия, гарантии целостности, конфиденциальности и однозначности такого взаимодействия должны быть установлены и понятны всем сторонам, особенно клиентам кредитных организаций. Возможно, все это не имеет принципиального значения (а отсутствие определений и несовпадение формулировок в законодательных актах это, по существу, подтверждает), однако в тех случаях, когда документов традиционного вида не существует физически, а все расчеты и платежи осуществляются, как говорят, "в электронной форме", следует задуматься о конкретных гарантиях, которые могут быть предложены в связи с определенной технологией электронного банкинга. Как бы то ни было, кредитным организациям целесообразно обратить внимание на те пробелы в банковском законодательстве, которые им приходится (и еще придется) заполнять собственными усилиями, организуя взаимодействие со своими клиентами и провайдерами. В противном случае реализация ряда компонентов операционного, правового, репутационного и стратегического банковских рисков неизбежна.
5.3. Отсутствие подзаконных актов, необходимых для электронного банкинга
Возможно, большой беды в отсутствии законодательной базы электронного банкинга и не было бы, если бы Банку России законодательно были делегированы полномочия регулирования и надзора в этой области. Например, в Федеральном законе от 10 июля
2002 г. № 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" устанавливалось его право на определение принципов пруденциальной банковской деятельности или хотя бы принципов надежного применения банковских информационных технологий и систем, учитывая, что эта деятельность во многом превратилась в информационную дисциплину. Тогда за счет подзаконных актов Банка России можно было бы установить соответствующие требования или, как минимум, определить принципы надежности электронного банкинга. Далее можно было бы разработать методические рекомендации по их реализации и самооценке степени соответствия им со стороны кредитных организаций.
Конечно, такой вариант не оказал бы решающего влияния на "электронные финансы" в целом, поскольку "регулятором" затрагивалась бы лишь сфера банковской деятельности. Однако уже в таком частном варианте закладывалась бы основа, на которую могли бы опираться все финансовые услуги, оказываемые дистанционно, потому что кредитные организации составляют весомую часть мира финансов и на принятые ими подходы применения технологий электронного банкинга неизбежно будут ориентироваться их партнеры, составляющие остальную часть этого мира. Этот путь является, безусловно, более "долгим и тернистым", нежели формирование эффективной законодательной базы финансовых операций и услуг удаленного информационного обмена агентов такого взаимодействия. Впрочем, путь, которым идут отечественные кредитные организации сегодня, намного сложнее и "тернистее", что сказывается в первую очередь на клиентах и отчасти сотрудниках этих организаций.
Поэтому целесообразно как можно внимательнее относиться к текстам соглашений о ДБО и взаимным обязательствам участвующих в нем сторон. Для кредитных организаций основная проблема заключается в том, что над текстами договоров такого рода работают специалисты, которые далеко не всегда могут разговаривать на одном языке: информатизаторы, специалисты по информационной безопасности, юристы, ответственные за претензионную работу, операционисты и пр. Что касается клиента, то ему приходится понимать все написанное в договоре!
5.4. Отсутствие устоявшихся подходов к применению электронного банкинга
В отсутствие должной нормативной базы каждой кредитной организации приходится самостоятельно или опираясь на опыт коллег, не всегда, впрочем, удачный, предотвращать возникновение банковских рисков, связанных с применением технологий ДБО (электронного банкинга). Фактически кредитные организации вынуждены идти путем проб и ошибок, начиная с вопросов построения банковских автоматизированных систем и систем электронного банкинга, стыкуемых с ними, и кончая решением правовых вопросов в неурегулированной области ДБО.
Практика свидетельствует, что большинство кредитных организаций, внедряющих системы электронного банкинга и затем продолжающих наращивать "технологическую мускулатуру", расширяя спектр электронных услуг за счет новых систем такого рода, не имеют полного и адекватного своей банковской деятельности технико-экономического обоснования этого внедрения. Следствием этого становится ряд неожиданностей, с которыми они сталкиваются, когда деятельность по ДБО в самом разгаре, клиентская база его стремительно растет, переваливая за тысячи и десятки тысяч, а количество ордеров клиентов увеличивается чуть ли не в геометрической прогрессии.
Лавинообразный рост потребности в ДБО приводит к функциональной перегрузке банковских автоматизированных систем, когда сначала сотни, а затем тысячи клиентов начинают одновременно работать с системами электронного банкинга. Следствием оказывается совершенно легитимная атака типа "наводнение", которую не в силах преодолеть серверные мощности кредитной организации. После того как значительная часть клиентов кредитной организации сталкивается с невозможностью в разумные интервалы времени выполнить необходимые им именно "здесь и сейчас" операции или хотя бы получить нужную информацию от своей кредитной организации, они начинают "обрывать" телефоны, вследствие чего "захлебывается" также ее сервис-центр. Очевидно, что сделай специалисты кредитной организации необходимые расчеты, заблаговременно получив от своего руководства соответствующие указания, проблем можно было бы избежать без лихорадочного технического перевооружения для парирования подобной атаки.