 |
Обслуживание с использованием банкоматов (ATM-banking) и устройств банковского самообслуживания
|
|
|
|
Технологии ДБО с использованием устройств банковского самообслуживания являются одними из наиболее популярных в мире и в России.
Банкоматы и терминалы попадают в категорию ДБО, так как почти полностью предоставляют банковские услуги дистанционно, без посещения клиентом банковской организации. Кроме того, важным фактором для включения их в эту категорию является возможность дублирования основных функций стандартного банк-клиента, который банк предоставляет частным (физическим) лицам для осуществления платежей.
Можно выделить несколько видов ДБО по типу используемых устройств:
· ДБО с использованием банкоматов (ATM-banking) — основано на программном обеспечении, установленном на банкоматах банка.
· ДБО с использованием платёжных терминалов;
· ДБО с использованием информационных киосков.
По виду оказываемых услуг системы ДБО различаются следующим образом:
| Вид оказываемой услуги через систему ДБО | Примеры соответствующих услуг, оказываемых через систему ДБО |
| информационные | предоставление пользователям финансовой информации, например получение выписки, информации о последних операциях, SMS-информирование о каждой транзакции, новости банка, курсы обмена валюты и т.п. |
| транзакционные | проведение клиентом финансовых транзакций, в результате которых происходит зачисление или списание реальных денежных средств, например платежи, переводы со счета или без открытия счета, управление счетом и т.п. |
| коммуникационные/ консультационные | получение клиентом консультации по тому или иному вопросу без посещения офиса банка, в том числе в режиме реального времени, с возможностью идентификации клиента, что, в свою очередь, позволяет банку использовать персональный подход на основе потребляемых клиентом услуг. |
|
|
|
В части финансового обеспечения доступ клиентов к системам ДБО может быть платным и бесплатным, с абонентской платой или без таковой; плата может взиматься за факт оказания услуги или за транзакцию. Все вышеперечисленные способы оплаты обычно комбинируются в зависимости от тарифной политики банка и конкурентной среды. В любом случае стоимость услуг, получаемых с использованием средств ДБО, будет ниже, чем при личном обращении в банк.
Также возможна классификация системы ДБО на три уровня в связи со степенью их комплектации
| минимальный уровень | получение выписок и/или информации о транзакциях |
| типовой уровень | операции с депозитами, кредитами, денежные переводы, информационные сообщения |
| комплексный уровень | все или почти все перечисленные услуги |
Несмотря на проблемы в правовом регулировании системы ДБО, Банк России формирует свою позицию в данной области банковского регулирования и надзора и вырабатывает принципиальные подходы. При этом Банк России старается учитывать мнение российского законодательства и банковского сообщества: было проведено анкетирование почти всех действующих банков, которое позволило получить представление о том, кто из них активно работает в Интернете, какие виды услуг оказывает, сколько имеет интернет-клиентов, какое программное обеспечение применяет, каковы основные проблемы при использовании интернет-технологий.
В целях обеспечения надежности банковской деятельности и защиты интересов клиентов кредитных организаций было разработано Письмо Банка России от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании». Это первый документ Банка России, разработка которого обусловлена именно специфическими особенностями ДБО, которые могут использоваться в противоправных целях.
|
|
|
Перечислим условия, которые гарантируют минимизацию (исключение) практически любых проблем, связанных с применением кредитной организацией как технологий электронного банкинга, так и вообще информационных технологий в своей деятельности, а значит, и сопутствующих рисков:
- грамотная политика информатизации, проводимая кредитной организацией (ее руководством);
- адекватная сложности и масштабам ее деятельности организация внутрибанковских процессов и процедур (управления и контроля);
- тщательно продуманная сетевая архитектура распределенных банковских компьютерных (автоматизированных) систем;
- наличие должным образом организованного внутреннего контроля (аудита) как своеобразной внутрибанковской системы;
- обеспечение информационной безопасности внутрибанковских процедур, операций и хранилищ данных (включая резервные);
- осуществление финансового мониторинга, адекватное применяемым технологиям электронного банкинга;
- полноценное информационное и документарное обеспечение клиентов;
- эффективное взаимодействие применяющей ДБО кредитной организации со своими провайдерами и поставщиками аппаратно-программного обеспечения.
Такая ситуация соответствует оптимальной модели пруденциальной организации ДБО в кредитных организациях. В рассматриваемом Письме Банка России отмечается сам факт, что «в последнее время в российском сегменте сети Интернет участились сетевые атаки на сайты и серверы кредитных организаций, а также попытки неправомерного получения персональной информации пользователей систем ДБО (пароли, секретные ключи средств шифрования и аналогов собственноручной подписи, ПИН-коды и номера банковских карт, а также персональные данные их владельца)». Тем самым сделан акцент на наиболее уязвимые информационные компоненты, которые, во-первых, являются типовыми в ДБО и, во-вторых, могут быть использованы не предусмотренным их владельцами образом. Поэтому самим кредитным организациям уместно заботиться об обеспечении соответствующей грамотности своей клиентуры, обслуживаемой посредством ДБО (и, как показывает практика, изначально склонной нарушать именно правила обеспечения информационной безопасности), с тем, чтобы предотвратить потенциальные проблемы, связанные как с конкретной технологией ДБО, так и с недостаточной информированностью каждого отдельного клиента (пользующегося определенной технологией такого рода, нередко как основной и почти единственной в своих взаимоотношениях с кредитной организацией).
|
|
|
В связи с изложенным, Банк России считает «целесообразным рекомендовать кредитным организациям включать в договоры, заключаемые с интернет-провайдерами, обязательства сторон по принятию мер, направленных на оперативное восстановление функционирования ресурса» (сервера, web-сайта и пр.) при возникновении внештатных ситуаций, а также «ответственность за несвоевременное исполнение» такого рода обязательств.
Условия банковской деятельности в рамках ДБО характеризуются виртуальностью процессов, инициируемых в распределенных компьютерных системах и средствах телекоммуникаций, и взаимной анонимностью кредитных организаций и их клиентов. В основе многих мошенничеств и хищений финансовых средств лежит невозможность обеспечения полной гарантии того, что в каждый момент времени кредитная организация имеет дело с официально зарегистрированным ею клиентом, работающим дистанционно, равно как и клиент может лишь с некоторой степенью уверенности полагать, что он взаимодействует с требуемой ему кредитной организацией.
В качестве мер предосторожности, которые необходимо соблюдать клиентам, пользующимся системами ДБО, кредитные организации могли бы, например, рекомендовать клиентам:
- исключить возможность неправомерного получения персональной информации пользователей систем ДБО (не передавать неуполномоченным лицам);
- осуществлять операции с использованием банкоматов, установленных в безопасных местах (в государственных учреждениях, подразделениях банков, крупных торговых комплексах, гостиницах, аэропортах и т. п.);
- не использовать банковские карты в организациях торговли и обслуживания, не вызывающих доверия;
|
|
|
- при совершении операций с банковской картой без использования банкоматов не выпускать ее из поля зрения;
- не пользоваться устройствами, которые требуют ввода ПИН-кода для доступа в помещение, где расположен банкомат;
- не использовать ПИН-код при заказе товаров либо услуг по телефону/факсу или по сети Интернет;
- при наличии возможности, предоставляемой кредитной организацией, использовать реквизиты карты одноразового использования (так называемой виртуальной карты) для осуществления оплаты товаров либо услуг через сеть Интернет;
- пользоваться услугой SMS-оповещения о проведенных операциях с применением ДБО (в случае возможности получения такой услуги);
- осуществлять информационное взаимодействие с кредитной организацией только с использованием средств связи (мобильные и стационарные телефоны, факсы, интерактивные web-сайты / порталы, обычная и электронная почта и пр.), реквизиты которых оговорены в документах, получаемых непосредственно в кредитной организации».
Как было выяснено, ДБО – это обобщающее понятие для различного вида удаленных банковских услуг. Поэтому следует выделить три наиболее распространенных вида систем дистанционного банковского обслуживания:
1) традиционные системы «клиент-банк», использующие прямую связь с банком по модему и предусматривающие установку специального программного обеспечения на компьютере клиента;
2) системы «телебанк» (телефонного банкинга), предоставляющие платежные и информационные банковские услуги по телефону / телефаксу с использованием компьютерной телефонии;
3) интернет-банкинг - системы предоставления банковских и посредством Интернета, для использования которых клиенту, как правило, не нужно иметь специальное программное обеспечение и можно работать со своим банковским счетом с любого компьютера, подключенного к сети Интернет.
Банки могут предоставлять клиентам все три вида дистанционного обслуживания как в отдельности, так и одновременно комбинациях. Различные виды ДБО могут быть ориентированы на различные группы клиентов.
В Письме Банка России от 31 марта 2008 г. № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга» под интернет-банкингом понимается способ дистанционного банковского обслуживания клиентов, осуществляемого кредитными организациями в сети Интернет (в том числе через WEB-сайт(ы) в сети Интернет) и включающего информационное и операционное взаимодействие с ними.
Там же определены банковские риски, возникающие при осуществлении кредитными организациями операций с применением систем интернет-банкинга: операционный, правовой, стратегический риски, риск потери деловой репутации (репутационный риск) и риск ликвидности.
|
|
|
В рамках данной статьи рассмотрим правовые риски применения интернет-банкинга:
- нарушения кредитной организацией требований законодательства Российской Федерации, в том числе нормативных актов Банка России, из-за недостатков (ошибок) в аппаратно-программном обеспечении систем интернет-банкинга, результатом чего является возникновение оснований для применения мер за нарушения валютного законодательства Российской Федерации, банковской тайны, порядка организации и осуществления внутреннего контроля, в том числе в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, правил осуществления банковских операций, правил бухгалтерского учета, представления недостоверной отчетности;
- несовершенство правовой системы (неурегулированность отдельных вопросов дистанционного банковского обслуживания с применением систем интернет-банкинга и ответственности сторон, в том числе при трансграничном оказании банковских услуг);
- неправомерный доступ к конфиденциальной информации во время ее обработки, передачи или хранения как в самой кредитной организации, так и у провайдеров, с которыми кредитной организацией заключены договоры на обслуживание;
- несоответствие внутренних документов кредитной организации законодательству Российской Федерации, в том числе нормативным, а также иным актам Банка России, и (или) неспособность кредитной организации своевременно приводить свою деятельность и внутренние документы в соответствие с изменениями законодательства;
- неэффективная организация правовой работы, приводящая к ошибкам в действиях служащих и органов управления кредитной организации при разработке и внедрении новых интернет-технологий;
- недостаточность проработки кредитной организацией правовых вопросов при заключении договоров с провайдерами на оказание услуг по выполнению функций обработки, передачи, хранения банковской и другой информации, в том числе определение ответственности провайдеров при невыполнении обязательств по обслуживанию в рамках интернет-банкинга;
- недостаточность проработки кредитной организацией правовых вопросов при заключении договоров с клиентами на оказание услуг интернет-банкинга, в том числе определение ответственности сторон при невыполнении обязательств;
- нахождение филиалов кредитной организации, ее клиентов, пользующихся услугами интернет-банкинга, и провайдеров под юрисдикцией различных государств;
- нарушения условий договоров со стороны как кредитной организации, так и ее клиентов и контрагентов.
В целях обеспечения противодействия преступным посягательствам Банком России предлагается следующее:
- для доступа клиентов к операционному Web-сайту кредитной организации (ее филиала) рекомендуется предлагать клиентам осуществлять информационное взаимодействие с банком в рамках интернет-банкинга с применением технических средств, имеющих заранее оговоренные индивидуальные дистанционно распознаваемые идентификационные признаки (IP- и MAC-адреса, названия и версии интернет-браузеров и т.п.);
- рекомендовать клиенту кредитной организации (ее филиала) в случае отсутствия возможности подключения к Web-сайту кредитной организации сообщать об этом в кредитную организацию по альтернативным, заранее оговоренным, каналам связи;
- кредитной организации при заключении договоров с провайдерами услуг Интернет предусматривать в перечне предоставляемых сервисов обеспечение информационной безопасности силами провайдера (в частности, фильтрация трафика по требованию кредитной организации, информирование о проведении DDOS-атаки, принятие мер по нейтрализации DDOS-атак и т.п.);
- обратить особое внимание клиентов на необходимость строгого сохранения в тайне закрытого (секретного) ключа электронной цифровой подписи;
- обратить внимание клиентов на необходимость немедленной замены ключей электронной цифровой подписи в случаях их компрометации или подозрения на компрометацию, а также по истечении срока действия ключа с периодичностью, установленной документацией на средство криптографической защиты информации и правилами работы в системе. Кроме того, юридическим лицам рекомендуется заменять ключи электронной цифровой подписи во всех случаях увольнения или смены лиц, допущенных к этим ключам, а также руководителей юридического лица, которые подписывали решения (доверенности) о допуске пользователей к ключам электронной цифровой подписи;
- обратить внимание клиентов на увеличение риска хищения и дальнейшего неправомерного использования ключа электронной цифровой подписи и другой аутентификационной информации при доступе к системе интернет-банкинга с гостевых рабочих мест (интернет-кафе и т.д.);
- обращать внимание клиентов на необходимость обязательного постоянного использования клиентами системы интернет-банкинга антивирусного программного обеспечения и своевременной установки обновлений, выпускаемых разработчиками программного обеспечения систем Банк-клиент, операционной системы, web-браузеров (Microsoft Internet Explorer, Mozilla FireFox, Opera и т.д.).
Таким образом, нами предлагается классифицировать виды банковской деятельности, осуществляемой с использованием сети Интернет (интернет-банкинга) следующим образом. С юридической точки зрения с учетом норм действующего международного и российского банковского законодательства к основным видам деятельности интернет-банкинга относятся следующие банковские операции и сделки: открытие и ведение банковских счетов с использованием в качестве инструмента осуществления данной операции сети Интернет; осуществление безналичных расчетов по поручению физических и юридических лиц по их счетам с использованием в качестве инструмента осуществления данной операции сети Интернет; купля-продажа иностранной валюты в безналичной форме с использованием сети Интернет в качестве инструмента данной операции.
|
|
|
