Замдиректора департамента банковского регулирования и надзора ЦБ ВЛАДИМИР САФРОНОВ ответил на вопросы корреспондента Ъ ВАРВАРЫ ВАСИЛЬЕВОЙ.
— Каким образом ЦБ регулирует деятельность банков в интернете?— ЦБ относительно недавно приступил к разработке подходов в части регулирования и надзора деятельности кредитных организаций, осуществляющих банковское обслуживание посредством интернет-технологий. Мы ориентируемся здесь на опыт европейских органов банковского надзора и регулирования. В настоящее время регулирование деятельности банков в интернете носит только рекомендательный характер. ЦБ провел в этой сфере два крупных мероприятия. Первое — тематическое анкетирование кредитных организаций с целью формирования общей картины применения ими интернет-технологий для обслуживания клиентов. В анкету был включен и ряд вопросов относительно условий применения таких технологий. Тем самым еще до начала каких-либо мероприятий регулирующего характера ЦБ косвенно дал понять банкам, на что именно он намерен обращать в дальнейшем особое внимание. В частности, в анкете мы спрашивали о наличии в банках таких внутренних документов, как положение об интернет-услугах, методика оценки рисков, связанных с их применением, план действий на случай непредвиденных обстоятельств, регламент контроля над операциями такого рода и так далее.
— А каким было второе мероприятие?
— Выпуск указания оперативного характера ЦБ от 07.05.03 #70-Т "О рекомендациях по информационному содержанию и организации web-сайтов кредитных организаций". Его появление было обусловлено выводами, полученными после анализа результатов проведенного в 2002 году тематического обзора состояния банковских web-сайтов. Тогда мы выяснили, что значительная часть банков весьма индифферентно относилась к своим представительствам в интернете. Представляемая ими на своих сайтах информация была далеко не полной, например, очень редко размещалась публикуемая отчетность, нередко встречались противоречивые и откровенно ошибочные сведения.
В настоящее время ЦБ завершает работу над проектом указания "О порядке информирования кредитными организациями ЦБ о внедрении и использовании в банковской деятельности интернет-технологий", которое предназначено для создания информационной основы надзора в данной области. Этот проект весной текущего года прошел апробацию в российских банковских ассоциациях, в целом получил одобрение и был доработан с учетом предложений, полученных от банков.
— Существуют ли какие-либо ограничения для банков, работающих с филиалами через интернет?
— Никаких ограничений или специальных требований со стороны ЦБ для банков, предоставляющих своим клиентам обслуживание через интернет, в настоящее время нет. На данном этапе ЦБ считает, что речь идет не о новом виде банковских услуг, а лишь о новой технологии их предоставления. Хотя специфика этой технологии обуславливает возникновение дополнительных источников или факторов риска для кредитных организаций, о чем свидетельствует и мировая практика. Поэтому, несмотря на то что ЦБ не предполагает в настоящее время устанавливать какие-либо особые критерии в отношении банков, внедривших технологию интернет-банкинга, таким организациям целесообразно самостоятельно организовать процессы выявления и мониторинга добавочных рисков, связанных с публичным характером интернета. Что касается ЦБ, то основной акцент мы делаем на качестве систем управления рисками в самих кредитных организациях, включая организационно-технические мероприятия и процедуры внутреннего контроля. Если качество таких систем окажется недостаточно высоким, то, конечно, могут быть введены те или иные ограничения на деятельность банков, как это обычно бывает и в случаях выявления других недостатков в их работе.
— Планирует ли ЦБ ужесточить контроль за банками, занимающимися интернет-банкингом?
— Ужесточение контроля, если это можно так назвать, сводится в целом к введению одной, упоминавшейся выше, формы отчетности, которая предполагается нерегулярной, то есть ориентирована на несколько конкретных событий в деятельности банка, связанных с интернетом. Это выход кредитной организации в сеть, преобразование ее информационного сайта в операционный, закрытие сайта и некоторые другие. При этом в дальнейшем не исключена модернизация содержания формы этой банковской отчетности.
В деятельности банков сейчас появляются проблемы, с которыми раньше им не приходилось сталкиваться. Они связаны с возможностями использования технологий дистанционного банковского обслуживания для мошеннических операций в крупных размерах. В этой связи как банкам, так и органу банковского регулирования и надзора есть над чем подумать. Поэтому, если говорить об ужесточении контроля, то в первую очередь речь надо вести об усилении контроля со стороны самих кредитных организаций. Проблему "обезличенности" при дистанционном банковском обслуживании им придется решать самим. ЦБ не стремится к установлению жестких требований к применению тех или иных банковских компьютерных технологий и уж тем более конкретных систем. Очевидно, что большинство проблем связано не с конкретными технологиями, а с тем, как они используются. Что касается текущего контроля, то сотрудники ЦБ, работающие в рамках тематики интернет-банкинга, продолжают проводить регулярные обзоры web-сайтов кредитных организаций. Эта работа ориентирована в основном на оценку прозрачности размещенной в сети информации банков.
— С какими проблемами сталкиваются банки, предлагая услуги интернет-банкинга?
— Результаты анкетирования, проведенного ЦБ, показали, что у банков, работающих с клиентами через интернет, есть определенные проблемы. Можно выделить следующие восемь наиболее существенных вопросов, которые, как оказалось, по своему содержанию выходят за рамки интернет-банкинга: отсутствие правовой базы интернет-банкинга (в частности, закона об электронных финансовых услугах); отсутствие организационно-правового механизма реализации закона об электронной цифровой подписи; отсутствие единого стандарта на электронные и финансовые документы и контракты для интернет-банкинга; сложность сертификации систем криптозащиты информации в государственных органах; необходимость внесения изменений и дополнений в законодательные акты о валютном контроле; отсутствие систем стандартизации и сертификации программного обеспечения, используемого для электронных платежей; отсутствие юридических норм на шифрование при обмене конфиденциальной информацией; отсутствие правоприменительной практики разрешения спорных вопросов при электронном обслуживании, в том числе банковском. Помимо этих проблем банки также отметили слабую информационную инфраструктуру в ряде регионов, невысокое качество систем электронной связи, недостаточную "техническую грамотность" клиентов и так далее.
— Как ЦБ может помочь в решении этих проблем?
— Очевидно, что все эти проблемы ЦБ решить не в состоянии, прежде всего потому, что для этого требуется внесение изменений и дополнений в существующую законодательную базу, а также принятие новых законов. Например, Банк России не может полностью взять на себя разработку закона об электронно-финансовых услугах или его аналога, потому что банковская деятельность лишь часть финансовой сферы. Мы сейчас интенсивно изучаем законодательную базу некоторых европейских стран и соответствующие рекомендации Базельского комитета по банковскому надзору. В дальнейшем ЦБ планирует разработать рекомендации, которые позволили бы банкам ослабить негативное влияние недостаточно развитой правовой базы интернет-банкинга. Кроме того, учитывая, что полная законодательная база в данной области будет сформирована еще нескоро, ЦБ ориентирует банки на совершенствование систем внутреннего контроля и развитие технологий управления банковскими рисками, в том числе за счет учета источников рисков, имеющих технологический характер.
— Чем рискуют клиенты, пользующиеся услугами интернет-банкинга?
— Для клиентов риски, связанные с интернет-банкингом, обусловлены действием нескольких факторов. Во-первых, это проявление составляющих операционного риска, поскольку клиент попадает в зависимость от функционирования сложных сетевых компьютерных систем, которые иногда из-за специфических сбоев начинают "жить своей жизнью". Из-за этого возникает возможность пропадания трансакций, искажения данных, проблемы с аутентификацией ордеров и т. д. Кроме того, давно существуют такие явления, как компьютерное мошенничество и кражи.
Во-вторых, это одно из проявлений репутационного риска, что связано со сложностью обеспечения 100-процентной защиты и безопасности компьютерной информации в банках. Клиент должен быть убежден в том, что данные о состоянии его счетов, проводках и т. п. не будут уничтожены, искажены или похищены. При этом нельзя забывать о сложности современных банковских технологий, так что далеко не каждый клиент способен разобраться в терминологических хитросплетениях, привнесенных компьютерной эпохой в банковскую деятельность. То есть клиент, не обладая специальной квалификацией, должен понимать, подходит ли ему система, предлагаемая банком, а банк, в свою очередь, должен совместить простоту работы с системой с ее надежностью и безопасностью.
В-третьих, это перенос на клиента части правового риска ввиду недостаточной проработанности банковского законодательства, неизбежно отстающего от технологического прогресса в банковском деле. Клиент может быть вполне убежден в правомерности тех или иных операций, в первую очередь трансграничных, тогда как недостатки или расхождения в законодательных актах могут привести к неожиданным для него потерям или задержкам в осуществлении банковских операций. Следует добавить, что серьезное внимание необходимо уделять не только рискам клиентской стороны, но и рискам, возникающим у самих кредитных организаций. Однако это отдельная, весьма обширная тема для обсуждения.