Чтение онлайн

Вместе с тем структура телекоммуникационных сетей радикально отличается от структуры традиционной финансовой системы, на которую были рассчитаны существующие средства защиты от распространения противоправной деятельности. Если традиционные финансовые системы базируются на институциональных посредниках, преследующих собственные денежные интересы, то системы электронной торговли и платежей обеспечивают лишь автоматические соединения. Кроме того, даже существующий контроль за системами электронного финансового трансфера оказывается неэффективен вследствие различий в технологических уровнях, положениях законодательства, требованиях регулирующих органов, особенно в разных странах. Появление технологий электронного банкинга как таковое переводит банковские операции в такую форму, когда реальные, скажем, первичные документы, т. е. представляемые на бумажной основе, в инициируемом транзакционном процессе физически отсутствуют. Собственно-то банковские операции совершаются, естественно, на уровне физическом,

но, так сказать, «внечувственном». Теперь для контроля над электронными банковскими операциями пытаются применять и различные «интеллектуальные», в том числе и эвристические методы типа определения нерациональных и неэффективных операций или финансовых потоков и выявлять на этой основе подозрительную деятельность. Однако о серьезных успехах здесь говорить еще преждевременно.

Вследствие сказанного важно подчеркнуть, что в современных условиях и в ближайшей перспективе контролирующим предоставление финансовых услуг органам требуются от кредитных организаций гарантии соответствия организации и содержания процесса ФМ (ПОД/ ФТ) способам и условиям осуществления ими своей банковской деятельности. Для предоставления гарантий такого рода кредитным организациям полезно прежде всего располагать внутренними документами (начиная с УБР), в которых было бы четко выражено понимание ими специфики ситуации осуществления ФМ на фоне новых банковских информационных технологий, описание используемого для него ПИО, увязка стратегических планов развития ДБО с необходимостью дальнейшего совершенствования ПОД/ФТ, а в вариантах массового ДБО — учет требований, возможно, связанных с работой в РМВ.

Полные и однозначные рекомендации относительно того, как организовывать специальные процедуры подтверждения идентичности клиентов и аутентичности информационного обмена, до настоящего времени для разных вариантов ДБО не разработаны. Из этого следует, что начиная с внедрения первой же ТЭБ руководству кредитных организаций целесообразно разрабатывать и внедрять процедуры такого рода еще до перехода к физической обработке ордеров и транзакций удаленных клиентов. Варианты их могут быть различны, зачастую для регулярной идентификации дистанционно работающих клиентов используются типовые правила обновления идентифицирующих и аутентифицирующих данных (такой процесс может быть реализован совершенно «естественно»). Вместе с тем на первый план выходят компьютерная грамотность и информированность клиентов кредитной организации, а значит, ее руководству логично было бы предусмотреть:

1) изучение текущей и оценку перспективной обстановки, например, получения информации о тех способах противоправной деятельности, которые уже зафиксированы в банковском сообществе и правоохранительными органами, о «достижениях» хакеров и компьютерных мошенников и т. п.;

2) организацию процесса доведения необходимой информации до клиентов ДБО, например, через офисы, web-сайты, сервис-центр, целевую (адресную) рассылку сообщений электронной почты и т. д.;

3) адаптацию процесса предупреждения клиентов, возможно, за счет усложнения процедур идентификации и авторизации, регулярного переобучения, обновления средств дистанционного доступа и поставочной документации и других процедур.

Все перечисленное позволит предотвратить или, как минимум, серьезно затруднить незаметное использование кредитных организаций в качестве посредников для трансфера или хранения незаконных доходов с использованием новых банковских информационных технологий. Важно, чтобы осознавалось возможное устаревание технологии ФМ и реализующих ее методов и средств по мере внедрения новых видов банковских услуг и развития автоматизации банковской деятельности, а также регулярно (или, как минимум, по мере внедрения каждой новой СЭБ) оценивалась потребность в их модернизации. Наличие в кредитной организации документов, в которых отражается описанный подход, а также возможность практической демонстрации внедренных в связи с переходом к ДБО процедур ФМ, снижают ее потенциальную подверженность компонентам правового и стратегического рисков.

Реализации упомянутых процедур в кредитных организациях посвящен ряд документов Банка России, в частности упоминавшимся в главе 4 Положением 262-П предусмотрено, что:

«2.9. Кредитная организация оценивает степень (уровень) Риска с учетом следующих операций повышенной степени (уровня) Риска: <…>

2.9.11. Осуществление банковских операций и иных сделок с использованием интернет-технологий.

<…>

2.10. Кредитная организация должна уделять повышенное внимание операциям с денежными средствами или иным имуществом, проводимым клиентами, отнесенным к повышенной степени (уровню) Риска».

Необходимо отметить, что проблема заключается не в самих интернет-технологиях — это лишь один из вариантов ДБО и они упомянуты конкретно как наиболее распространенный в российском банковском секторе, а в том, для каких целей может быть использована любая технология ДБО. Практическое выполнение требований нормативных документов и рекомендаций предполагает прежде всего их фиксацию во внутренних документах кредитной организации (причем не ограничиваясь простым цитированием, как это нередко бывает), за которой в оптимальном варианте следует дополнение внутрибанковских процессов новыми процедурами в рамках процесса ФМ. Естественно, предполагается учет в них специфики каждой ТЭБ в связи с содержанием процессов УБР и ВК, а возможно и с работой СД кредитной организации.

Для иллюстрации проявления такой специфики в варианте интернет-банкинга на рис. 5.8 приведена карикатура (с www. cartoonbank.com), которая, по мнению автора, лаконично и точно отражает суть рассматриваемой проблематики.

При осуществлении банковского обслуживания через Интернет кредитной организации следует принимать специальные меры идентификации клиентов и контроля над их действиями, особенно

при массовом дистанционном обслуживании и работе через филиалы. Предоставление банковских услуг через Интернет требует, в общем случае, регулярного подтверждения идентичности клиентов, в том числе в целях противодействия возможному противоправному использованию интернет-банкинга. Поэтому кредитной организации целесообразно разработать, документировать и внедрить дополнительные процедуры подтверждения идентичности клиентов ДБО с тем, чтобы они после заключения соглашения на ДБО не исчезали из ее «поля зрения» и одновременно выполнялись установленные нормативными правовыми актами требования к дальнейшей работе с такими клиентами. Мероприятия такого рода в свою очередь будут иметь значение для контролирующих органов в плане подтверждения «отнесения» клиентов ДБО к «повышенной степени (уровню) Риска», как сказано в Положении 262-П.

Кроме того, специалистам кредитных организаций желательно располагать моделями возможной противоправной деятельности, так называемыми шаблонами или «образами» [168] . Типичные мошеннические приемы, реализуемые с помощью технологий электронного банкинга, достаточно хорошо известны и при должном внимании могут быть парированы без угроз для других клиентов кредитной организации и ее самой. В число признаков, помимо установленных законодательно, обычно входят имитация поставок товаров и услуг с задержкой (а затем с отсутствием) предоставления подтверждающих документов (включая авансовые платежи), проведение последовательных операций сомнительного характера в сжатые интервалы времени, переводы на счета за рубежом и др. Банк России в ряде своих писем дал рекомендации кредитным организациям по усилению контроля над операциями, совершаемыми с помощью средств ДБО [169] . Для этого могут дополнительно использоваться прямые и косвенные процедуры, как входящие в их типовой набор, например, подтверждение нахождения клиента по его юридическому или фактическому адресу, так и те, которые кредитная организация определяет самостоятельно — замена средств идентификации, доступа к СЭБ или криптозащиты трафика.

Здесь надо отметить еще и подходы к организации приема и обработки ордеров клиентов ДБО в автоматизированных системах кредитных организаций. Некоторые наблюдения свидетельствуют о том, что за последние годы стала проявляться своеобразная тенденция роста доли банковских операций, относящихся к категории подлежащих обязательному контролю и совершенных с применением систем ДБО, в сопоставлении с долей клиентов кредитных организаций, пользующихся системами электронного банкинга. Даже если доля последних составляет всего 1,5–3 % от общего количества клиентов, они могут давать более половины поводов для отнесения совершаемых по их ордерам операций к указанной категории. Это свидетельствует о целесообразности применения кредитными организациями дополнительных аналитических процедур, позволяющих установить, имеет ли место «крен» такого рода, и, возможно, более внимательно относиться к клиентам ДБО, если возникают подозрения в попытках противоправно воспользоваться отмечавшимися ранее особенностями киберпространства. Однако во многих случаях при передаче потоков данных из СЭБ в БАС ордера клиентов «очищаются» от сеансовой информации, позволяющей установить, через какой канал информационного взаимодействия обращался клиент, а потеря таких признаков не позволяет осуществить даже элементарный статистический анализ в интересах ФМ (или в целях ПОД/ФТ).

В дополнение к этому логично сделать акцент на тех обязательствах, которые может наложить ДБО в своих наиболее «отвлеченных» формах на кредитную организацию с точки зрения контролирующих органов. Принцип «знай своего клиента» (ЗСК) хорошо известен банковскому сообществу по тем же публикациям БКБН, однако в последние годы этот комитет стал уделять ему повышенное внимание в разных отношениях, что связано с усиливающейся тенденцией к использованию систем ДБО для противоправной деятельности. Как пишет БКБН в ряде своих материалов, «банки, не имеющие адекватных программ управления риском, связанным с принципом „знай своего клиента“ [170] , подвержены значительным рискам, в особенности правовому и репутационному». Поэтому здесь же указывается, что «приятие эффективных стандартов ЗСК представляет собой существенную часть банковской практики управления рисками». Учитывая возможные затруднения с идентификацией клиентов и комплексным анализом их деятельности в многофилиальных структурах, особенно в связи с ДБО, БКБН пропагандирует так называемое «консолидированное управление риском, связанным с клиентами», в связи с чем особый акцент делается на так называемом «групповом подходе» при соблюдения принципа ЗСК [171] .