Правовое поле интернет-банкинга

 ВЛАДИМИР СТОЛЯРОВ, юрисконсульт ИД «Положевец и партнеры», law@samag.ru

Правовое поле интернет-банкинга

Различные гаджеты прочно и надолго вошли в нашу жизнь, а интернетом мы пользуемся практически без перерывов, в режиме нон-стоп. За последнее десятилетие число пользователей Сети выросло в сотни, а то и в тысячи раз. Поэтому спектр услуг, оказываемых банками через сеть Интернет, весьма обширен

Безусловно, столь бурный технический прогресс не мог не отразиться и на банковской сфере. На сегодняшний день все банки, ориентированные на розничное предоставление услуг, дают клиентам возможность осуществить ряд операций дистанционно, не выходя из дома, через сеть Интернет. Как правило, осуществление подобного рода услуг происходит двумя способами: либо через специальный интернет-сайт, где клиент посредством входа в личный кабинет может осуществлять операции, либо через специальное приложение, разработанное банком для мобильных устройств, в котором клиенту опять же понадобится зайти в свой личный кабинет, введя уникальную комбинацию логина и пароля.

Вышеописанная система и называется интернет-банкингом. В нормативной правовой базе определение дано в Письме Центрального банка Российской Федерации от 31 марта 2008 г. № 36-Т «О рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга»:

«Интернет-банкинг – способ дистанционного банковского обслуживания клиентов, осуществляемого кредитными организациями в сети Интернет (в том числе через веб-сайт(-ы) всети Интернет) и включающего информационное и операционное взаимодействие с ними».

Данное определение весьма широко толкуется Банком России, таким образом, к понятию «интернет-банкинг» возможно подвести осуществление любых операций и контактов клиента с банком через интернет.

Спектр услуг, оказываемых банками через сеть Интернет, весьма обширен. Банки предоставляют следующие возможности;

• узнать сумму на своих счетах и вкладах;
• переводить денежные средства со своего счета другим лицам;
• открыть вклад как в валюте, так и в рублях;
• совершать обмен валюты;
• оплачивать поступающие счета;
• получать различную справочную информацию;
• некоторые другие возможности.

Многими теоретиками права отмечается, что фактически ограничений нет: кассовое обслуживание клиентов на дому в ряде случаев не ограничивается их счетами в национальной валюте. Японские банки, например, сообщают своим клиентам сведения о состоянии их счетов, открытых в Нью-Йорке, Лондоне и т.д. Таким образом, можно сделать вывод о том, что сколь-нибудь серьезных ограничений на выполнение операций клиентами банка в порядке самообслуживания, не выходя из дома, практически не существует. Клиент банка может выполнить любую банковскую операцию в любое время дня и ночи.

Однако во всеобщем техническом прогрессе и удобстве есть ряд очень важных проблем с безопасностью. Существует множество случаев краж денежных средств через интернет-приложения банков, а также утечки персональной информации граждан.

Еще пару десятилетий назад классическими методами преступников были открытые вооруженные нападения на банки и граждан либо скрытые кражи наличных денег в людных местах. Наиболее острые умы придумывали хитрые истории, разыгрывая ситуации, в которых люди, введенные в заблуждение, сами отдавали деньги преступникам.

На сегодняшний день методы грабежа также случаются, совершают их люди, мягко говоря, не очень умные, а вот скрытые хищения нередко совершают совсем не глупые люди, но спониженным уровнем социальной ответственности, отсутствием воспитания и понимания дисциплины и порядка. С последней категорией мошенников бороться сложнее всего.

В сфере интернет-банкинга распространены такие методы, как хакинг (взлом) интернет-сайтов банков, а также перевод денежных средств на свои счета без ведома клиентов банков. Чисто технически второе осуществить проще, поскольку к интернет-банкингу подключены миллионы мобильных устройств клиентов различных банков, через них иосуществляются кражи.

Классической схемой является загрузка на мобильное устройство вредоносного программного обеспечения, которое манипулирует устройством так, как это нужно злоумышленникам. Многие из владельцев этих устройств (если не все) плохо разбираются в технике, которой они владеют, и своими действиями дают возможность преступникам дистанционно осуществлять контроль над устройством, а впоследствии и украсть деньги с их счетов в банках.

Один из самых ярких примеров такого взлома был описан средствами массовой информации весной 2015 года. Тогда сообщалось, что жертвами преступников стали около 20-30тысяч человек, смартфоны и гаджеты пострадавших были заражены специальным вирусом, который переводил денежные средства на подконтрольные мошенникам счета, априходящие из банка смс-сообщения с информацией о списании блокировались тем же «замечательным» вирусом. Таким образом, люди даже не знали, что с их счетов утекают деньги. К счастью, преступники были пойманы бдительными сотрудниками министерства внутренних дел.

Безусловно, банками осуществляется внутренний контроль, в том числе «контроль за управлением информационными потоками (получением и передачей информации) иобеспечением информационной безопасности». Тем не менее очевидно, что обеспечение безопасности в сфере интернет-банкинга недостаточно. Необходимо вводить и развивать новые превентивные меры, закрепленные на законодательном уровне, и все это должно делаться в рамках осуществления государственного контроля банковского сектора.

Конечно, кредитные организации сами стараются во многом обеспечивать дополнительную информационную безопасность, уже сейчас нередко любую транзакцию со своего счета нужно подтверждать какими-либо дополнительными действиями, помимо инициации самой транзакции на сайте банка, либо в мобильном приложении. В России чаще всего такими действиями является введение кода из смс-сообщения, присланного из банка, но возможны и другие варианты, так, в одном из скандинавских банков при оплате покупок в интернете необходимо через банковское приложение подтвердить транзакцию, запрос на подтверждение появляется на экране устройства, на котором установлено приложение.

Однако, помимо этого, дополнительно необходимо ужесточить положения законодательства по данному вопросу. Сделать это можно одним из следующих способов:

• осуществление государственного контроля за вводом в эксплуатацию банковских интернет-приложений, в том числе интернет-сайтов;
• активное развитие электронной подписи среди населения, законодательное закрепление ее использования при осуществлении банковских транзакций;
• введение обязательного страхования от взлома интернет-приложений.

Рассмотрим теперь достоинства и недостатки каждого из этих пунктов по отдельности.

Осуществление государственного контроля за вводом в эксплуатацию банковских интернет-приложений, в том числе интернет-сайтов

Этот пункт возможно реализовать путем принятия некоторых изменений в Федеральный закон от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе». В целом данный нормативный правовой акт имеет достаточно обширный предмет регулирования и охватывает не только национальную платежную систему карт «Мир», но и вообще любой перевод денежных средств электронным способом. В своем потенциале закон может быть одним из фундаментальных в данной сфере, однако он требует доработки. В частности, в нем отсутствует прямое регулирование интернет-банкинга, эта сфера отдается в ведение Банка России.

Таким образом, можно предложить следующие изменения:

• необходимо дополнительно ввести в Федеральный закон «О национальной платежной системе» главу 4.2 под названием «Требования к вводу в эксплуатацию ифункционированию программ для ЭВМ в сфере электронных платежей», которая бы регулировала предлагаемые нововведения. Суть новелл состоит в следующем: каждая кредитная организация, собирающаяся ввести новое программное обеспечение либо интернет-сайт, которые предоставят пользователям возможность осуществлять электронные платежи (речь идет как об интернет-банкинге, так и об электронных денежных средствах), должна будет это программное обеспечение (интернет-сайт) зарегистрировать в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор). Этот государственный орган, в свою очередь, должен будет в определенные сроки провести проверку данного программного обеспечения (интернет-сайта), проанализировать степень соответствия современным требованиям к безопасности. Роскомнадзор должен будет вести специальный реестр всех программ ЭВМ (интернет-сайтов), успешно прошедших проверку и получивших разрешение на ввод в эксплуатацию. В случае неуспешной проверки должны быть вынесены замечания, которые устраняются кредитной организацией,желающей ввести в эксплуатацию программное обеспечение или интернет-сайт с соответствующим функциональным набором возможностей. За нарушение данной процедуры возможно введение административной ответственности.
• Помимо этого, следовало бы в Федеральный закон «О национальной платежной системе» внести изменения в статью 1, добавив в предмет регулирования закона интернет-банкинг, т.к. в нынешней редакции регулирование данной сферы этим законом подразумевается, но не называется в тексте первой статьи.
• Кроме того, в статье 3 необходимо закрепить понятие интернет-банкинга, которое можно продублировать из Письма Банка России от 31 марта 2008 г. № 36-Т «Орекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга».
• Необходимо также добавить понятие программы ЭВМ в сфере электронных платежей, сформулировав его следующим образом: программа ЭВМ – электронное средство платежа, представляющее собой совокупность данных и команд, позволяющих функционировать ЭВМ в целях осуществления перевода электронных денежных средств (электронных платежей).

Мы рассмотрели первый вариант совершенствования законодательства в сфере интернет-банкинга. Данный метод может показаться абсурдным, но его достоинством можно назвать полный контроль государства над безопасностью в сфере любых электронных платежей. Если грамотно и четко организовать всю процедуру регистрации, то количество краж может сократиться. Однако данный вариант не лишен серьезных недостатков:

• Первый из них – это высокая дополнительная нагрузка на государственные органы в целом и работников Роскомнадзора в частности.
• Второй недостаток – это тот факт, что скорее всего ни один государственный орган (в том числе Роскомнадзор) не обладает набором необходимых кадровых специалистов, чтобы качественно оценивать безопасность программного кода, а также применяемые в программном обеспечении методы шифрования.

Таким образом, для реализации подобной идеи, вероятнее всего, необходимо будет вносить изменения во внутреннюю структуру Роскомнадзора и подбирать новых высокооплачиваемых специалистов в сфере информационных технологий.

Активное развитие электронной подписи среди населения, законодательное закрепление ее использования при осуществлении банковских транзакций

Второй вариант усовершенствования законодательства в сфере интернет-банкинга касается развития уже не раз упомянутой в предыдущих номерах нашего журнала электронной подписи. Смысл его в том, чтобы разграничить электронные транзакции на две категории:

• первая – платежи, не требующие никакой электронной подписи;
• вторая – платежи, для совершения которых требуется простая электронная подпись.

Логично, что платежи первой категории должны быть небольшими, а ко второй категории будут относиться платежи в рамках суточного лимита на осуществление транзакций, нобольшей суммы, нежели платежи первой категории.

Для примера: без применения электронной подписи предоставить возможность осуществлять в сутки не более трех интернет-транзакций общей суммой не более 20 тысяч рублей. Все платежи, превышающие лимит этой суммы, либо любой платеж, если до этого за сутки уже было сделано три платежа, должен быть подтвержден электронной подписью. Дополнительно отметим, что вопрос о суточном ограничении на сумму и количество платежей для первой категории является сугубо дискуссионным, чтобы принять конкретное решение, потребуется узнать мнение экспертов в данной области.

Для внесения данных изменений необходимо предусмотреть такие меры в главе 2 Федерального закона «О национальной платежной системе». Представляется целесообразным просто внести дополнительную статью касательно таких ограничений, чтобы не нагромождать уже существующие. При этом следует отметить, что аналогичные требования должны касаться и электронных денежных средств. Более детальное и всеобъемлющее регулирование будет осуществляться нормативными актами Банка России.

Достоинством данного подхода является активное развитие института электронной подписи, будет сделан дополнительный шаг к переходу на электронный документооборот, ведь подобная мера простимулирует многих граждан получить электронную подпись.

К тому же будет достигнута основная цель – повышена безопасность счетов граждан плюс безопасность платежей в контексте противодействия отмыванию доходов, полученных преступным путем, и финансированию терроризма (тем более что статья 4 Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов преступных путем и финансированию терроризма» предусматривает установление другими законами мер по противодействию указанной преступной деятельности).

Среди недостатков стоит отметить усложненную процедуру платежей, относящихся ко второй категории, а также необходимость для банков предусмотреть в своих мобильных приложениях, а также на интернет-сайтах техническую возможность подтверждения платежа электронной подписью.

Еще возникает вопрос о том, как осуществлять платежи второй категории через гаджеты, смартфоны и планшеты, не имеющие соответствующего USB-порта для подключения электронной подписи документов. Однако этот вопрос больше относится к разработчикам и производителям данного электронного инструмента, а также касается не столько интернет-банкинга, сколько института электронной подписи в целом, что уже выходит за рамки нашего исследования.

Введение обязательного страхования от взлома интернет-приложений

Последним вариантом совершенствования законодательства было предложение по введению обязательного для банков страхования от взлома банковских интернет-приложений (интернет-сайтов). Суть предложения состоит в том, что необходимо обязать банки осуществлять страхование на случай убытков, понесенных в результате взлома их интернет-приложений. Однако данная идея представляется далеко не самой удачной, потому что страхование ответственности все-таки внутреннее дело каждой организации, а счета (в том числе и с электронными денежными средствами) граждан и без того застрахованы в соответствии с действующим законодательством о страховании вкладов физических лиц.

***

Итак, мы рассмотрели три возможных варианта совершенствования законодательства в целях обеспечения безопасности в сфере интернет-банкинга.

Стоит также отметить, что данные предложения не касаются транзакций, осуществляемых банковскими картами в магазине, поскольку они не относятся к сфере интернет-банкинга, однако любые платежи в интернете (в том числе и с использованием номера карты) уже подпадают под сферу исследования.

Наиболее успешным, на наш взгляд, является вариант с электронной подписью, поскольку недостатки касаются лишь некоторых неудобств, но в целом это компенсируется развитием электронного документооборота и несет в себе, помимо безопасности, еще и популяризацию электронных подписей среди населения.

По недавним заявлениям Центробанка проверка безопасности интернет-, мобильного и прочих видов дистанционного банкинга начнется уже в этом году. Качество платежных сервисов банков будут проверять с точки зрения защищенности от так называемых киберугроз. Будем надеяться, несмотря на то что интернет-банкинг существует в России давно ипользуются им миллионы людей по всей стране, эту сферу полностью (ну или хотя бы большую ее часть) возьмут под свой контроль государственные органы и обеспечение безопасности клиентских операций перейдет на качественно новый уровень.

Комментарии могут оставлять только зарегистрированные пользователи