По информации «Известий», Центробанк направил банкам письма, обязывающие их отчитываться по всем нарушениям и инцидентам, возникающим при переводе денежных средств клиентов. Несоблюдение этого требования повлечет проверку регулятора.

Центробанк хочет контролировать все нарушения, связанные с переводом денежных средств по разным каналам (банкоматы, терминалы, интернет- и мобильный банкинг, окна в банковском офисе). Для этого регулятор разработал новую форму отчетности «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

В Национальном платежном совете (НПС) «Известиям» пояснили, что новая форма отчетности вводится регулятором в преддверии создания Центра по борьбе с киберпреступностью. Он будет формироваться при НПС. В Совете отметили, что в настоящее время сводной статистики по киберпреступлениям нет, она ведется банками в хаотичном порядке:

— Между тем, эти сведения должны аккумулироваться в одном месте, — добавил представитель НПС. — Поэтому ЦБ начал предпринимать конкретные шаги для разрешения ситуации. Кроме того, защиту информации при денежных переводах регламентирует ФЗ «О Национальной платежной системе».

В письмах, разосланных ЦБ (экземпляр есть у «Известий»), говорится, что банки должны фиксировать все случаи, связанные с нарушениями при переводе денежных средств клиентами. Предположим, гражданин расплатился картой в кафе, CVV-код с обратной стороны его «пластика» был списан недобросовестным официантом или администратором, а те потом использовали данные для совершения покупок в интернете. Или, например, клиент пришел в банковский офис для того, чтобы перевести средства в другой город родителям, а операционистка отправила не ту сумму. Фиксироваться должны также случаи скимминга, когда злоумышленники устанавливают на банкоматы специальные устройства, считывающие информацию с чужих банковских карт, а затем благодаря полученным данным похищают деньги.

Так, за I квартал 2012 года в России было зафиксировано 362 случая установки скимминговых устройств на банкоматы, а за II квартал — на 30% больше. При этом за весь 2011 год таких случаев было 397. Банки также должны будут сообщать ЦБ о вирусах, приводящих к сбоям в системах интернет- и мобильного банкинга, о нарушениях в работе платежных терминалов — по сути, обо всех инцидентах, которые привели к потере клиентских денег. Нормы закона «О национальной платежной системе», в соответствии с которыми банки в течение 24 часов будут обязаны возвращать на карты клиентов все средства по всем спорным операциям, вступают в силу только с 1 февраля 2013 года.

Согласно новой форме отчетности, игроки должны будут предоставлять ЦБ таблицу с указанием выявленных нарушений при денежных переводах в бумажном виде. В ней указываются сам факт инцидента, его дата, оператор платежной системы, последствия нарушения (включая сумму ущерба), предпринятые действия по устранению его последствий, а также факт обращения в правоохранительные органы. Если нарушений нет, во всех соответствующих графах проставляются нули.

— Банки, заполняя форму, будут вынуждены отслеживать основные «болевые точки», такие, как интернет-банкинг, процессинг, — комментирует ведущий эксперт отдела рейтингов кредитных институтов «Эксперт РА» Антон Картуесов. — Заполнение формы в таком формате будет стимулировать кредитные организации более четко структурировать случаи сбоев в платежных системах и в дальнейшем быстрее на них реагировать. К отслеживаемым инцидентам, в частности, относятся вирусные атаки, простои платежных систем, внешние воздействия (например, DDoS-атаки).

Как следует из писем ЦБ, отчетность по денежным переводам должна предоставляться игроками ежемесячно (или по требованию Банка России) — не позднее десятого рабочего дня, следующего за отчетным. То есть, по итогам августа банки должны будут отчитаться в середине сентября. Некоторые банкиры признались «Известиям», что будут неохотно предоставлять регулятору сведения обо всех нарушениях. О некоторых регулятору, по-видимому, придется узнавать с подачи клиентов — например, когда последуют иски в суды.

— Никаких последствий для банков (за исключением трудозатрат на подготовку новой формы отчетности и сдачу ее в ЦБ) не будет, — считает начальник аналитического управления Национального рейтингового агентства Карина Артемьева. — Если в ходе мониторинга не найдется нарушений.

Тем не менее, эксперты на условиях анонимности уверяют «Известия», что одной бумажной волокитой процесс не ограничится:

— Непредоставление отчетности повлечет проверки регулятора, которые могут иметь самые разные последствия. ЦБ может обратить внимание на другие сферы деятельности игрока, в том числе уличить его в нарушении богатого на санкции «антиотмывочного» законодательства. Крайняя мера за несоблюдение 115-ФЗ — отзыв лицензии.

В 1997 году в России была введена уголовная ответственность за преступления в сфере компьютерной информации, а в 1998 году в МВД России создано специальное подразделение по борьбе с преступлениями в сфере информационных технологий, подразделение «К». Наказание, предусмотренное УК за незаконное получение и использование сведений, составляющих банковскую тайну (ст. 183), а также за неправомерный доступ к компьютерной информации (ст. 272), может составлять до 5 лет лишения свободы. По мнению представителя НПС, эти санкции смогут в полной мере применяться только после того, как нововведения ЦБ заработают на практике. Получить оперативный комментарий ЦБ не удалось.