Агенту нужен надзор
Банк России утвердил Стратегию развития национальной платежной системы (НПС), в которой определены основные направления и принципы развития электронных платежных услуг - применение инновационных технологий, расширение географии и сферы применения платежных карт, расширение инфраструктуры.
Регулятор занимает активную позицию в этих вопросах, и это очень весомый фактор и стимул совершенствования НПС. Важнейшее направление ее развития - это переход к процедурам обработки платежей в реальном времени. Кроме высокой скорости транзакций, многие участники стремятся получить и более полную информацию о платеже, что позволяет облегчить внутренний учет за счет автоматизированного согласования входящих платежей по мере их поступления и ранее выставленных счетов.
Значительное внимание в стратегии уделяется гармонизации российских и международных стандартов. Система национальных платежей будет работать с учетом открытых стандартов, примерами которых являются ISO 20022, ISO 8583. А повышение эффективности розничных платежных систем обеспечит создание ЕКРИ (единой клиринговой расчетной инфраструктуры) федерального уровня, которой пока нет в нашей стране. Стратегия затрагивает и правовые основы регулирования платежных услуг. Необходимо структурировать рынок небанковских платежных агентов, уточнить правовой статус субъектов оказания услуг по приему платежей, нормативно определить обязанности субъектов оказания платежных услуг в отношении предоставления ими пользователям информации, которая должна быть понятной и способствовать формированию осознанного выбора услуг.
Конечно, работать надо и в области психологии потребителей. Ряд предложений участников НП "НПС" касались повышения доверия населения к безналичным платежам. Стратегия предусматривает комплекс мер, направленных на повышение безопасности использования электронных средств платежа, включая формирование национальной системы безопасности платежного пространства и системы контроля и оповещения о фактах хищения денежных средств в системах дистанционного банковского обслуживания. По оценкам наших экспертов, из 500 тысяч платежных терминалов только половина зарегистрирована в ФНС, фактически этот сегмент финансового рынка работает без надзора (он сводится к возбуждению уголовных дел против наиболее недобросовестных игроков). Хотя меры контроля рынка формально существуют: специальный закон был принят еще в 2009 году, и правительство должно было определить уполномоченный надзорный орган, однако он так и не появился.
НП "НПС" последовательно выступает за формирование действенной системы надзора за платежными агентами ввиду общего низкого уровня контроля их деятельности и низкой эффективностью предусмотренных законом N 103-ФЗ механизмов. Чтобы снять инфраструктурную напряженность, участники НПС рассматривают возможность предоставления широких функций банковским платежным агентам, выступающим от имени кредитной организации и полностью контролируемых с точки зрения направления финансовых потоков. Необходимо активнее стимулировать развитие системы банковских платежных агентов, в том числе путем расширения перечня осуществляемых ими операций, стандартизации услуг и тарифов.
В рамках создания финансового мегарегулятора НП "НПС" выступил с инициативой постепенного включения банков в систему саморегулирования, чтобы при наличии возможности вырабатывать универсальные правила в виде рекомендаций, стандартов, сертификации специалистов. Банковским профессиональным объединениям необходимо предоставить право на обжалование нормативных и ненормативных правовых актов, право представлять интересы членов СРО в судах. При этом очевидно, что уровень развития саморегулирования в бизнес-сообществе еще далек от того, чтобы доверить ему надзорные функции в какой-либо части.
Ключевым документом в сфере защиты информации для основных участников платежной системы является стандарт Банка России по обеспечению информационной безопасности организаций банковской системы РФ (СТО БР ИББС). Он покрывает потребности банков, но если говорить о новых технологиях (мобильные платежи на базе premium-sms, платежи мобильной коммерции, NFC и т.д.), то требования СТО БР ИББС к этим участникам платежных систем неприменимы, поскольку мало кто из участников таких платежей является кредитной организацией. Для всех новых участников технологической цепочки нужны новые стандарты информационной безопасности платежей, которые еще предстоит разработать.
Сегодня действует большое количество нормативных актов Банка России, над соблюдением которых осуществляется весьма строгий надзор. Конечно, можно задать вопрос, почему же тогда происходят хищения, почему до сих пор мы не покончили с киберпреступностью? Ответ заключается в том, что идеально защищенных систем не бывает, всегда сохраняются определенные уязвимости, которые используют преступники, и задача банков - вести непрерывную, методичную борьбу, стремясь к повышению защищенности средств клиентов. Профессиональное сообщество в лице НП "НПС" также помогает совершенствовать меры противодействия преступникам. Примером могут служить Методические рекомендации для клиентов, пострадавших от мошеннических действий в системах дистанционного банковского обслуживания, которые разработаны НП "НПС" совместно с АРБ при активнейшем участии Банка России и БСТМ МВД России.
В качестве следующего шага в деле разработки систем предупреждения и оперативного реагирования на инциденты, связанные с нарушением информационной безопасности планируется создать информационную систему сбора и предоставления участникам национальной платежной системы сведений о фактах хищения денежных средств (система "Фрод-мониторинг"). Эту инициативу поддерживают Банк России, Совет Федерации, банковское сообщество.
Самым слабым звеном на всем фронте борьбы с киберпреступлениями, к сожалению, остаются потребители. Но парадокс в том, что они сами не всегда заинтересованы в должной защите. Часть из них даже отторгает методы защиты, если технологии кажутся слишком сложными и могут затруднить доступ к средствам. Решением могло бы стать, на наш взгляд, установление требований к минимальному уровню защиты Банком России. А далее банки должны предлагать, а клиенты должны иметь возможность самостоятельно принимать решения о необходимости повышения этого минимального уровня.