Чтение онлайн

«2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон».

Допуская применение «аналога собственноручной подписи» (АСП), ГК РФ не определяет конкретные требования к таким средствам, чтобы их можно было обоснованно считать такими «аналогами» и использовать сторонами удаленного информационного взаимодействия (в данном случае кредитной организацией и ее клиентами, хотя такие средства целесообразно применять и в удаленном взаимодействии с провайдерами — при ведении ими web-сайтов кредитной организации и пр.). Поэтому остаются нерешенными вопросы о том, наличие каких свойств означает собственноручную подпись и отсутствие хотя бы одного из каких свойств не позволяет считать «электронный документ» имеющим юридическую силу. Решение их остается за кредитными организациями, которые должны при необходимости обеспечить адекватное подтверждение идентичности и аутентичности, равно как и за их клиентами, которые, не имея, как правило, специальной

подготовки (в части теории кодирования), должны решать, соглашаться им на предлагаемые кредитной организацией условия ДБО или нет. Кстати, в итоге в упомянутых договорных документах появляются фразы типа «все операции, производимые с использованием PIN-кода, оспариванию не подлежат», цитируемые при рассмотрении претензий, связанных с последствиями карточных мошенничеств.

Надо отметить и то, что для разрешения спорных или конфликтных ситуаций часто предполагается создание специальных технических или согласительных комиссий, — это фиксируется в документах, определяющих соглашение на ДБО. Однако, как правило, порядок создания и работы таких комиссий, требования к квалификации ее членов (подтверждаемых конкретными документами), описание результатов ее работы с подготовкой документов, которые примет к рассмотрению, допустим, Арбитражный суд, и т. п., не указываются. Ссылка из ст. 160 на ст. 434 ГК РФ «Форма договора» незначительно проясняет ситуацию, поскольку в ней сказано следующее:

«1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.

Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась.

2. Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору».

Следует подчеркнуть, что в какой бы форме ни осуществлялось сетевое информационное взаимодействие между сторонами договорных отношений, гарантии целостности, конфиденциальности и однозначности такого взаимодействия должны быть установлены и понятны обеим взаимодействующим сторонам, особенно клиентам кредитных организаций.

Кстати сказать, упоминаемый в выдержке из ст. 160 «закон» — это Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи», который так и не получил механизма собственной реализации (других ссылок обнаружить не удалось) и о котором клиенты ДБО также имеют минимальное представление, тем более что чаще в текстах договоров фигурирует именно понятие АСП (как правило, не определяемое). Здесь можно отметить еще и такое текстуальное расхождение: в ст. 160 ГК РФ сказано об «электронно-цифровой подписи», а Федеральный закон говорит об «электронной цифровой подписи» (как говорится, «почувствуйте разницу»). Это тоже свидетельствует о целесообразности точного определения и согласования того, что должно составлять доказательную базу электронного банкинга и каким образом гарантировать юридическую силу его свидетельств. Причины же, по которым клиенты ДБО соглашаются с текстами неполных и не очень понятных договорных документов, для автора остаются загадкой.

В тех случаях, когда все условия выполнения взаимных обязательств (включая ОИБ), подтверждения идентичности и аутентичности, разрешения спорных ситуаций и т. п. оговорены точно, уровни правового и репутационного рисков удается существенно снизить уже потому, что возникает гораздо меньше разногласий при возникновении конфликтных ситуаций и упрощается претензионная работа. Из изложенного следует потребность согласованного объединения усилий и квалификации нескольких подразделений кредитной организации, внедряющей ТЭБ, для того чтобы правовое, технологическое и техническое обеспечение ДБО можно было считать в совокупности полноценным и сопряженным с минимальными (остаточными) уровнями компонентов типичных банковских рисков (которые хеджируются). Организация и контроль указанного взаимодействия являются, естественно, прерогативой высшего руководства кредитной организации и ее исполнительных органов, и в оптимальном варианте то и другое находит свое отражение во внутрибанковских документах, включая положения о соответствующих структурных подразделениях.

Упоминавшееся ранее физическое отсутствие во взаимодействии клиента и кредитной организацией реальных, например, платежных документов, приводит к возникновению дополнительных проблемных задач, которые в свою очередь ассоциируются с компонентами типичных банковских рисков. При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера, он, управляя процессом через предоставляемый ему на экране компьютерного устройства (от АРМ, ноутбука или коммуникатора и мобильного телефона) интерфейс (гиперссылки — в случае варианта интернет-банкинга), переводит СЭБ в некий режим работы, априори, ему естественно, неизвестный (но предполагаемо штатный). Для клиента этот переход выглядит как изменение в составе интерфейса, с которым он имеет дело, произошедшее на экране компьютера или в окне браузера и превращающее изображение в хорошо знакомую в этом случае форму платежного поручения. Далее клиент заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей-списков, выполняет служебные процедуры (например, с АСП) и подтверждает отправку ордера на платеж. Клиент обычно выполняет нужные действия, руководствуясь инструкциями по эксплуатации СЭБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки, если бы было заранее «известно» о них, тем самым защищая и кредитную организацию (в каком-то смысле выполняя отдельные функции ОИБ и правовой защиты). Конечно, представить такую ситуацию для всех клиентов и систем электронного банкинга невозможно.

Поэтому помимо изложенного в параграфе 5.7 не исключено, что в системах электронного банкинга и БАС логично было бы предусматривать некие механизмы защиты, в известной мере аналогичные

«искусственному интеллекту» (особенно важно это в тех случаях, когда ощущается нехватка интеллекта естественного). Кстати сказать, в ряде случаев кредитные организации все равно располагают в информационном сечении между системой интернет-банкинга (ИБ) и банковской автоматизированной системой операторов, но этот вариант пригоден в тех случаях, когда число клиентов ИБ не превышает, например, тысячи, а их по всей стране уже миллионы, и число их постоянно растет. В любом варианте тем не менее остаются открытыми вопросы, что делать, например, если клиент вместо платежа в пять тысяч «денег» отправил пятьдесят или допустил ошибку в реквизитах платежа, или ввел «недопустимое» значение (оказавшееся допустимым из-за пробела в программе и методике проведения ПСИ) и т. д., а потом пытается разрешить недоразумение. Кроме того, клиент может проводить сеанс из интернет-кафе (что не было запрещено ему договором на ДБО) или из банковского интернет-отделения вольного города Бремена и создать инцидент информационной безопасности, либо кредитная организация окажется объектом сетевой атаки и указанный инцидент будет создан, либо СЭБ окажется недоступна и т. п. В подобных ситуациях компоненты типичных банковских рисков, связанных с использованием ДБО, очевидны и точно так же очевидна и необходимость предусматривать их, разрабатывая модели угроз надежности банковской деятельности. К слову, можно отметить, что инциденты информационной безопасности оказываются эффективным способом проверки «достаточности» АСП, что предполагает учет таких ситуаций в программах и методиках ПСИ (как минимум), а лучше на более ранних этапах испытаний.

Применение любой СЭБ предполагает ответственное отношение руководства кредитной организации к определению порядка и содержания претензионной работы с клиентами ДБО. Поскольку в основном соответствующие мероприятия имеют отношение к сбоям в работе ее АПО или оборудования провайдеров, проведению расследований инцидентов информационной безопасности и решению спорных вопросов, связанных с ошибками, допускаемыми клиентами, т. е. разрешению конфликтных ситуаций в рамках этой работы, то базовый набор ее направлений можно считать определенным. Поэтому от исполнительных органов кредитной организации зависит организация и контроль осуществления разработки такого внутрибанковского документа, как «Порядок ведения претензионной работы при дистанционном банковском обслуживании» [175] , содержание которого, во-первых, охватывало бы все технологии электронного банкинга, внедренные в кредитной организации (из чего следует наличие ее «доли» в метапроцессе электронного банкинга), во-вторых, соответствовало бы составу направлений (причин) возникновения угроз надежности банковской деятельности — с точки зрения клиентов ДБО.

Если в системе ИБ используется «толстый клиент», то на стороне клиента остается информация о переданном ордере и о проведенной операции (с помощью квитирования). Таким образом, в случае каких-либо нарушений в функционировании ИКБД, включая банковские автоматизированные системы (отказы, аварии, сбои, НСД, вмешательство хакеров и др.), можно полагать, что «следы» действий клиента останутся, хотя останется также и вопрос юридической силы этих следов (если развитие проблемной ситуации все же дойдет до судебного разбирательства, в чем проявится реализация компонентов операционного, правового, репутационного и стратегического рисков, а в худшем для клиента случае — и риска неплатежеспособности). Соответственно если в договорных документах состав и порядок использования подобных свидетельств предусмотрены (возможно, наряду с данными из файлов компьютерных журналов кредитной организации, хотя к ним у клиентов доверие заведомо меньше), то претензионная работа существенно упрощается.

В случае же использования для ДБО СЭБ с «тонким клиентом» вопрос гарантий подтверждения того, что именно имело место во время сеанса связи клиента с кредитной организацией, может оказаться весьма запутанным даже при возможности вывода и анализа контрольных распечаток. Эта проблематика относится к уже поднимавшемуся вопросу «обеспечения невозможности отказа», например, от проведенной операции. Очевидно, что при таком варианте ДБО очень важно исключить возникновение таких ситуаций, когда клиент заявляет о направлении им ордера на выполнение неких действий, а кредитная организация не признает этого факта, или, напротив (как чаще всего бывает при компьютерных мошенничествах), она проводит некий платеж или перевод средств со счета клиента, а тот впоследствии утверждает, что никаких распоряжений относительно этого не давал (в том числе при выдаче денежных средств через банкомат). Решение этой проблемы также предполагает разработку моделей угроз надежности банковской деятельности, сценариев их возможного развития и тщательный анализ последствий этих сценариев для самой кредитной организации, для ее клиента и, конечно, для ее имиджа «Банк XXI века», ради которого нередко и внедряются новейшие банковские информационные технологии (без анализа реальных потребностей в них, стратегического или бизнес-планирования, ТЭО и т. п.).

В связи с изложенным необходимо предусмотреть формирование, поддержание и достаточно долгосрочное хранение доказательной базы по ордерам клиентов кредитной организации и предоставленным банковским услугам (прежде всего по выполненным в соответствии с ними операциям). Для этого в кредитной организации должны приниматься руководящие решения относительно определения состава клиентских и банковских данных, порядка их формирования и сопровождения (включая процедуры восстановления в нештатных ситуациях) и необходимые процедуры, входящие в состав определенного таким образом комплексного внутрибанковского процесса. Этот процесс (часть процедур которого относится к процессам ОИБ, ВК и ФМ) следует разработать и официально утвердить, распределить ответственность и обязанности, права и полномочия, управляющие и контрольные функции, а также организовать соответствующее управленческое наблюдение. Наиболее важными вопросами, которые необходимо решать при этом, является обеспечение целостности, доступности и конфиденциальности упомянутых массивов данных, однако надо заметить, дело не ограничивается взаимоотношениями кредитной организации и ее клиентов ДБО.