Этим летом некоторые акционеры ОАО ЛУКОЙЛ получили письма от брокерской компании с предложением продать свои акции по цене ниже рыночной. Как утверждают специалисты, мошенники сделали эту рассылку, пользуясь украденной в 2005 году базой данных. Данный инцидент вновь заставил задуматься о проблемах безопасности реестров акционеров, без решения которых невозможно защитить права собственности акционеров.
Инцидент с ЛУКОЙЛом
Как сообщало информационное агентство Reuters, кемеровская брокерская компания "Интеллект-Капитал" в августе обратилась к нескольким миноритариям ЛУКОЙЛа с предложением продать свои акции, причем по цене ниже среднерыночной. В письмах содержалась конфиденциальная персональная информация: фамилия, имя, отчество миноритарного акционера, а также размер его пакета, что прямо указало на утечку из реестра акционеров.
Информация была устаревшей — так, например, многие акционеры к моменту получения писем уже продали свои пакеты. Это может говорить о том, что для рассылки были использованы данные реестра ЛУКОЙЛа, украденного, по данным некоторых источников, еще в 2005 году. Тогда в интернете появились объявления о продаже за несколько тысяч долларов реестра компании-регистратора НИКойл, дочернего предприятия ЛУКОЙЛа, обслуживающего реестры многих крупных российских акционерных обществ, включая материнскую компанию.
Кроме того, в прошлом месяце были зафиксированы случаи телефонных звонков акционерам ЛУКОЙЛа с предложениями обратиться в несуществующий филиал регистратора НИКойла для обновления сведений о себе. При этом НИКойл не имел к указанным звонкам никакого отношения. То, что между рассылкой "Интеллект-Капитала" и сомнительными звонками прошло менее недели, может говорить о том, что это звенья одной цепи. Возможно, отправители желали получить дополнительную информацию об акционерах перед рассылкой.
И в 2005 году, и по поводу последнего инцидента в НИКойле утверждают, что с их стороны утечки не было, но не дают развернутых комментариев на эту тему. В ЛУКОЙЛе тем временем запущено служебное расследование.
По сведениям аналитического центра Perimetrix, в рассылаемых письмах предлагалось продать акции по заниженной цене 1700 руб. против среднерыночной цены, превышающей 1900 руб., что может говорить о спекулятивной направленности рассылки. С середины июля до середины августа цены на акции компании на ММВБ падали, но многие аналитики были уверены, что эта ситуация вскоре должна измениться. Вероятнее всего, бумаги ЛУКОЙЛа пытались скупить с целью дальнейшей спекулятивной перепродажи.
При этом не исключен и вариант изготовления поддельных передаточных распоряжений и доверенностей для незаконной передачи и продажи акций. Также возможна законная покупка одной-двух акций с целью получения образцов подписи продавца и его паспортных данных, которые в дальнейшем будут использоваться для нелегитимного захвата всего пакета ценных бумаг.
Конечно, ЛУКОЙЛу сейчас вряд ли угрожает возможность подвергнуться недружественному поглощению. Однако не исключено, что указанная рассылка была попыткой скомпрометировать нефтяную компанию и ее дочернего регистратора, например, с целью помешать успешному завершению важных тендеров и сделок. Нужно отметить и то, что такие скупки иногда практикуются крупными совладельцами компаний перед собраниями акционеров. В любом случае использование для рассылки закрытой конфиденциальной информации из реестра акционеров ЛУКОЙЛа является незаконным.
Кто ответит за реестр?
Реестр — это данные на бумажном и/или электронном носителе, идентифицирующие акционеров и удостоверяющие их права. Эмитент может вести реестр самостоятельно либо пользоваться услугами компании-регистратора. Регистратор обязан иметь лицензию на деятельность по ведению реестров владельцев именных ценных бумаг. Ведение реестров владельцев именных ценных бумаг регулируется в России такими актами, как постановление ФКЦБ России от 2 октября 1997 года N27 "Об утверждении положения о ведении реестра владельцев именных ценных бумаг", приказ ФСФР России от 27 декабря 2007 года N07-113/пз-н "О требованиях к порядку ведения реестра владельцев именных ценных бумаг эмитентами именных ценных бумаг" и другими приказами ФСФР.
Информация об акционерах и принадлежащих им ценных бумагах хранится на лицевых счетах в реестрах. Это имена и фамилии владельцев акций, данные об их адресах, содержании документов, удостоверяющих личность, о виде, категории и государственном регистрационном номере выпуска принадлежащих им ценных бумаг, их номинальной стоимости, операциях по лицевым счетам. Регистратор осуществляет открытие лицевых счетов и внесение в них изменений, сверку количества ценных бумаг различных категорий на лицевых счетах и эмиссионном счете эмитента; предоставляет информацию из реестра различным лицам и органам. Регистратор предоставляет информацию из реестра эмитенту, акционерам и некоторым государственным и негосударственным органам, причем область прав на получение такой информации урегулирована недостаточно.
По мнению регуляторов рынка, в том числе экспертов Федеральной службы по финансовым рынкам (ФСФР), самостоятельное ведение реестра обществами связано с большим числом ошибок и нарушений, поэтому компании следует стимулировать к передаче реестров независимым регистраторам. Ошибки, по мнению представителей ФСФР, проистекают от низкого уровня юридической подготовки персонала обществ, а также их недостаточной оснащенности техническими и организационными средствами ведения реестров.
Нужно отметить положительную роль регистраторов — в свое время введение их института снизило остроту корпоративных войн на российском рынке, поскольку предотвратило повсеместное ведение компаниями двойных и тройных реестров. Регистратор лучше оснащен оборудованием и технологиями, может страховать свои профессиональные риски, в большинстве случаев дорожит репутацией и средствами, затраченными на выход на рынок.
Источниками утечки информации, ведущей к компрометации реестра, может быть не только регистратор, но и эмитент, акционеры и государственные органы. С одной стороны, ведение реестров — бизнес регистраторов, и они должны нести соответствующие профессиональные риски. С другой стороны, возлагать всю ответственность за реестр только на регистратора несправедливо, так как часто при хищениях акций присутствует вина эмитента. Например, эмитент не сообщил вовремя регистратору об изменениях в составе топ-менеджмента, что дало возможность скомпрометировать реестр, используя старые данные. Кроме того, эмитент должен нести ответственность за свой выбор добросовестного или недобросовестного регистратора.
В связи с возможностью различных ситуаций эксперты, регуляторы рынка и судебные органы в России пока не пришли к однозначному выводу о том, какой должна быть ответственность за реестр акционеров — односторонней регистратора или эмитента, солидарной или субсидиарной.
Приманка для рейдера
В России законодательно закреплена безналичная форма эмиссионной ценной бумаги. Это означает, что права акционера вытекают не из документарной формы акции, а из реестра. Удостоверяются они выпиской из реестра. Это породило следующую ситуацию: изменение в реестре ведет к изменению собственников общества.
Именно поэтому реестры акционеров в России стали желанной целью рейдеров и гринмейлеров. Первые стремятся к незаконному захвату предприятия, а вторые — к получению голосующего пакета и дестабилизации работы компании в целях финансового шантажа. Существует и опасность со стороны недобросовестных перекупщиков, пытающихся быстро захватить и перепродать акции, по возможности избежав при этом эвикции (возмещения покупателю убытков, возникших из-за отсутствия прав собственности у продавца). Захват реестра может также стать козырной картой одной из сторон в корпоративном конфликте внутри общества.
Неправомочные изменения в реестре могут осуществляться через фиктивные передаточные распоряжения, арест реестра по подложным судебным актам, фиктивные протоколы собрания участников юридического лица о назначении генерального директора, поддельные свидетельства о праве на наследство и т. д.
Злоумышленники пользуются тем, что законодательство и сложившаяся практика не предоставляют акционерам (особенно миноритарным) достаточных возможностей по защите своих прав от незаконного отчуждения. Доказывать незаконность изменений в реестре во многих случаях приходится через суд, что долго, дорого и сложно. Даже при выигрыше дела найти похитителя часто либо не удается, либо у него не оказывается значительного имущества для возмещения потерь.
Страдает при этом не только акционер, но и эмитент, который должен возмещать ущерб своих акционеров, подвергаясь при этом угрозе недружественного поглощения и атак гринмейлеров. В результате смены реестра важные решения собраний акционеров и крупные сделки эмитента могут быть признаны недействительными, что может вести к полной дестабилизации работы и даже банкротству. Пока идут суды о признании изменений в реестре незаконными, новые "совладельцы" предприятия зачастую успевают назначить своих менеджеров и распродать все ценное имущество общества.
Регистраторы при этом могут занимать совершенно разные позиции. Одни встают на сторону законных владельцев и защищают их права. Другие придерживаются нейтралитета, третьи действуют, несмотря на репутационные риски, в интересах захватчиков. Особенно вероятен третий вариант, если регистратор аффилирован с финансово-промышленными группами, недружественными по отношению к атакуемому обществу. "До тех пор пока в России широко применяются "серые" и черные схемы финансово-хозяйственной деятельности, акционеры не будут способны контролировать работу обществ и участвовать в распределении их доходов. Пакеты акций — всего лишь инструмент борьбы рейдеров, их настоящая цель — получение контроля над "серыми" финансовыми потоками",— говорит директор по маркетингу Perimetrix Денис Зенкин.
Как защитить реестр
Согласно российскому законодательству, информация реестра акционеров должна быть защищена такими методами, как ограничение доступа неуполномоченных лиц, использование специальных помещений (операционного зала, архива, хранилища сертификатов), оборудования и сертифицированного программного обеспечения.
Нужно отметить, что указанные требования несколько устарели и не соответствуют современным стандартам защиты информации. Например, к ним нужно добавить обязательное использование систем отказоустойчивого хранения данных и резервного копирования, средств криптографической защиты, защиты от инсайда, в том числе контроля доступа к сменным носителям.
Отметим, что очень сложной и опасной ситуацией для регистратора является получение передаточного распоряжения от частного лица, имеющего доверенность от акционера, заверенную нотариусом. Такую доверенность практически невозможно верифицировать: владелец акций не всегда находится в зоне доступности, а нотариусы не обязаны подтверждать какую-либо информацию по телефону. Защитой от подобной практики могло бы быть использование удостоверений не нотариусов, а финансовых организаций, отвечающих за ошибки и подделки реальными деньгами, а также применение электронно-цифровой подписи. "Регистраторы не имеют технических, юридических и временных ресурсов для верификации подписей и печатей передаточных распоряжений на бумажных носителях. Это часто приводит к внесению в реестры акционеров недостоверной информации. Для борьбы с этим явлением российским регистраторам и нотариальным конторам нужно внедрять системы электронного документооборота и электронно-цифровой подписи. Это обеспечит как секретность и достоверность вносимой информации, так и оперативность процедур ведения реестров",— прокомментировала гендиректор ИВЦ ИНСОФТ Елена Бойченко.
Основная идея электронно-цифровой подписи заключается в использовании закрытого ключа пользователя для шифрования, а открытого — для расшифровки документов. Документ, подписанный электронно-цифровой подписью, не может быть тайно изменен злоумышленником, поскольку зашифрованный текст используется для создания кодов обнаружения манипуляций (MDC-кодов).
Процесс расшифровки сопровождается верификацией такого кода, а поскольку открытый ключ доступен каждому, данную проверку может осуществить любой получатель сообщения, в том числе регистратор. К тому же, так как закрытый ключ должен быть доступен только своему законному владельцу, электронно-цифровая подпись позволяет устанавливать и автора документа. Это защищает регистратора, который теперь может быть уверен как в аутентичности и целостности передаточного распоряжения, так и в том, что его авторство не сможет быть оспорено.