"Банковская система - не полигон" - глава НП НПС Андрей Емелин

[Муж 37]

13.11.2012 Андрей Емелин: Наш главный принцип - не навреди

Глава НП "НПС" Андрей Емелин в интервью агентству ИНТЕРФАКС рассказал о деятельности НПС и вступающих в силу положениях закона "О национальной платежной системе", направленных на защиту интересов клиентов банков.

С Нового года вступают в силу отдельные положения закона "О национальной платежной системе", которые усиливают защиту интересов клиентов банков, использующих электронные средства платежа, при несанкционированном списании средств.

О том, к каким негативным последствиям для банков это может привести и что кредитные организации могут предпринять в данном случае, в интервью агентству "Интерфакс-АФИ" рассказал президент НП "Национальный платежный совет" Андрей Емелин.

- Недавно НП "НПС" выступило с инициативой перенести на год сроки вступления в силу отдельных положений закона "О национальной платежной системе". Кроме того, вы предлагаете изменить ряд положений закона, в частности, при неправомерном списании по электронному средству платежа установить лимит безусловного возмещения, например, в 3 тыс. рублей в день. С чем связаны эти предложения?

- Речь идет о рисках в связи со вступлением в силу положений статьи 9 закона в нынешней редакции, которые мы оцениваем как весьма высокие. Законодателем сделан шаг навстречу потребителю, но при этом полностью проигнорированы те риски, которые возникают в банковской системе. Мы считаем, что это не только несправедливо, но и безответственно.

Наше предложение о переносе срока сформулировано с учетом необходимости решения ряда вопросов обязательно до введения нового порядка возмещения по оспоренным операциям.

Первый вопрос - порядок уведомления об операциях по неперсонифицированным электронным средствам платежа (ЭСП). Если мы не идентифицировали клиента, то каким образом его можно уведомить и по каким реквизитам? Однако на этот вид ЭСП продолжает распространяться общая норма об уведомления клиента и, что более важно, возможность оспаривания любой операции, по которой не получено уведомление.

Второй вопрос касается ответственности при списании средств. Требуется создание ряда контрольных механизмов, которые позволили бы предотвратить возможные мошенничества: криминализация определенных действий, связанных с мошенничеством при использовании ЭСП, система учета информации об инцидентах информационной безопасности и т.д. Однако они законодательством так и не установлены.

Полностью разделяя посыл законодателя в области защиты интересов потребителей при реальном мошенничестве при списании, ускорении рассмотрения этих вопросов, гарантированного возмещения по неправомерным транзакциям, мы также понимаем, что целью законодателя не было и не должно было быть создание механизмов, облегчающих жизнь мошенникам. Поскольку, хотя это и не было задачей, но по факту так получилось, мы предлагаем учесть этот возможный неожиданный эффект и скорректировать его заранее, а не постфактум, как нам сейчас предлагают.

А третий вопрос, вытекающий из первых двух, - это необходимость переноса сроков введения статьи 9 закона 161-ФЗ как минимум на год - два, чтобы успеть привести законодательство в соответствие с новым порядком.

Что касается дальнейшей проработки вопросов ответственности, то мы предлагаем закрепить более справедливую модель распределения ответственности - так называемую обратную франшизу. Сразу обращу внимание, что мы знаем западный опыт, где работает прямая франшиза - там до $50 в США и до 150 евро в Евросоюзе проводится расследование, а на сумму свыше нее возврат идет сразу. В России в основном люди очень удивлялись, когда мы им рассказывали о такой модели. Во Франции при такой системе особых проблем не возникает, но у них многолетняя история развития электронных средств платежей, другая правовая культура, эффективная судебная система, система уголовной ответственности за мошенничество, система сбора информации о лицах, которые были уличены в таких преступлениях. А у нас нет доступной информации даже по лицам, осужденным за такие мошенничества.

- Власти предлагают дождаться, пока закон заработает, а потом уже делать выводы. Почему вы считаете, что нельзя поступить так - скорректировать закон только в том случае, если что-то пойдет не так?

- Мы считаем, что вопрос слишком экономически и системно значимый, чтобы пускать дело на самотек либо закрывать глаза на серьезные системные риски, учитывая, что жертвой может быть банк любого уровня и любого региона. По большому счету, мошенник, который доберется до какого-нибудь не очень большого банка, может истребовать к возврату настолько большую сумму, что даже может привести, например, к нарушению норматива достаточности капитала и отзыву лицензии. Это почти фантастический сценарий, но только почти, потому что в принципе при большом желании он реализуем. И никакой системы противодействия этому сейчас нет - банк должен будет сначала отдать деньги, и только потом разбираться. Цепочку мошенников можно раскрутить за 1,5-2 года, да и то если удастся, а за это время с банком может произойти что угодно. А если мошеннических списаний в одном банке будет несколько?

Мы являемся абсолютными сторонниками усиления защиты прав потребителей финансовых услуг. Мы понимаем, что когда ты можешь писать в банк долгими месяцами и ничего не получать в ответ, когда ты даже получаешь подтверждение, что списание было инициировано не тобой, но все равно не получаешь денег, когда деньги получаешь в 10 раз дольше установленного срока - это ненормально. Но с этим надо бороться другими методами - за нарушение закона надо карать отдельных участников, а не устанавливать завышенную планку для всех.

Это, кстати, следовало бы сделать универсальным принципом регулирования, поскольку сейчас неэффективность системы государственного контроля в той или иной сфере почти всегда пытаются компенсировать завышенными требованиями к хозяйствующим субъектам с последующим наказанием вовсе не самых злостных нарушителей, а наиболее прозрачных и крупных участников рынка.

Мы очень надеемся, что инициатива, переданная нами законодателю, будет рассмотрена до конца года, и будет принято разумное и взвешенное решение. В конце концов, банковская система - не полигон. На ней очень опасно испытывать теоретические конструкции - слишком высока цена ошибки. А получается, что государство сознательно рискует деньгами вкладчиков и кредиторов банков, пытаясь защитить клиентов, переводящих свои средства.

На самом деле, статистика показывает, что при нынешней системе количество инцидентов в сфере информационной безопасности небольшое, значит, ныне действующая система обеспечения защиты информации и взаимодействия с клиентами по списаниям работает, хотя и с серьезными недостатками. Как будет работать новая система - не знает никто, зато риски видны любому специалисту. Очень показательно, что никто не спорит, что риски есть, но оптимисты предлагают сначала "опробовать" новую систему, а потом ее исправлять, а реалисты - сначала устранить очевидные перекосы и только потом эту систему запускать.

- Оценивался ли уровень издержек банков, и можно ли спрогнозировать уровень потерь исходя из нынешнего количества случаев мошенничеств?

- Это практически невозможно. В ныне действующей системе совершить мошенничество по схеме, которую дает возможность использовать закон с 1 января 2013 года, нельзя. Поэтому экстраполировать какой-то опыт тоже нельзя - это будет недобросовестная статистика. Как я говорил, сейчас таких инцидентов немного и средняя сумма ущерба по ним - $64. Сейчас мошенник понимает, что его будут отслеживать на каждом этапе, что ему не дадут денег сразу. Единственное, на что он может рассчитывать - это на списание средств в конце довольно длинной цепочки (похищение информации, выставление ложных поручений, "разгон" по картам и снятие наличных).

С 1 января станет возможным никакую цепочку не выстраивать. Любое лицо сможет оспорить любую транзакцию и ничего не доказывая получить деньги назад. Такой системы у нас не было никогда. Предположить, какая будет "глубина нравственного падения" мошенников при запрашивании суммы, невозможно. Это может быть любая цифра, абсолютно любая.

Мы сейчас формулируем рекомендации банкам. Единственное, что могут предпринять банки в такой ситуации для снижения рисков - это меры юридического и организационно-технического характера. В частности, резко снизить лимиты по операциям.

Мы еще на стадии обсуждения модели предлагали, что если уж необходимо установить такую жесткую систему ответственности, то предоставить банку и клиенту право менять эту модель по своему усмотрению в договоре в зависимости от установленных лимитов, вида ЭСП, истории отношений банка с клиентом. И там, где клиент согласен более разумно распределять ответственность, сохранить действующие лимиты, а для всех стальных сделать минимальный дневной лимит в 1-5 тыс. рублей. Это будет ужасно неудобно, но нам останется только принести извинения за изобретательность законодателя.

Поскольку большинство финансовых рисков можно застраховать, мы привлекали страховщиков на предмет оценки потенциальных рисков в такой системе. Страховщики пожимают плечами и спрашивают, на какой актуарной основе им строить расчеты. Ни западная, ни нынешняя российская статистика для этого не подходят. При этом любой инцидент может привести к серьезным потерям. Зачем страховщикам заходить на поле, на котором они кроме мин ничего не видят, там ни одной тропы нет. Почти гарантированный страховой случай - это не очень хорошо для страховщиков.

Банки, конечно, придумают, как им настроить свои системы. Большинство организаций совершенно разумно намерены сначала проводить расследования, а только потом возвращать средства. Формально этот подход строго соответствует закону. Но балансирование на уровне прочтений законов - не очень правильный подход. Мне кажется, что потребитель больше выиграет, если система будет рационализирована на уровне закона.

- Вы упомянули о рекомендациях банкам. В каком состоянии их подготовка и что они будут содержать?

- Они почти готовы. Рекомендации предложат снижение лимитов, закрепление порядка уведомления об операциях в договоре, обязательную детальную регламентацию порядка использования электронного средства платежа. Поскольку часть 15 статьи 9 закона отсылает к нарушению порядка использования ЭСП как основанию для отказа от возмещения, но нормативно порядок не закреплен, он должен быть зафиксирован в договоре.

Предвижу, что даже после установления четких правил потом начнутся жалобы клиентов, что они чего-то не видели, не поняли, не имели в виду. Но это уже совсем другая, судебная история.

- Что касается урезания лимитов по операциям с ЭСП, с чисто бытовой точки зрения это ведь нечестно для людей, которые, например, участвуют в зарплатных карточных программах.

- Да, я согласен, я тоже считаю, что это неправильно. Мы это обязательно разъясним. Но это единственные шаги в совершенно безвыходной ситуации, в которую нас поставил законодатель. Законодатель говорит, что права потребителей лучше всего защитить таким образом, чтобы любая сумма была им возвращена. Мы ему говорим, что это может привести к мошенничеству, а он говорит - да, но давайте посмотрим, к какому. То есть банк из средств своих кредиторов и вкладчиков должен будет взять деньги и отдать их мошеннику просто потому, что законодатель решил поэкспериментировать. Но банк должен контролировать риски, и нам остается лимитировать операции, потому что в этом случае сумма возврата будет незначительной, и потеря ее не будет системно значимой. Я и начал с того, что извинился за очевидный дискомфорт для добросовестных пользователей.

Это для России совершенно типичная ситуация: мы находим какой-то узкий проблемный сегмент, который нужно закрыть, однако начинаем бить сразу "по площадям". Например, нашли группу платежных терминалов, которые "крышует" какой-то недобросовестный банк, и не придумали ничего лучше, как потребовать от банков использовать контрольно-кассовую технику во всех банковских терминалах и по всем небанковским операциям. Все банки каждую точку оказания услуг с использованием терминала должны будут оборудовать контрольно-кассовой техникой, и пусть банки где хотят берут деньги.

- Если вернуться к закону о национальной платежной системе, Ассоциация российских банков тоже выступала с определенными инициативами по изменению модели ответственности. В частности, предложения были в ряде случаев перед транзакцией спрашивать у клиента, согласен ли он на нее. Вы как-то координировались в предложениях?

- Мы обсуждали несколько вариантов, как решить проблему. Предыдущий, перед обратной франшизой вариант, который мы обсуждали, был такой - предлагалось разделить все ЭСП на три категории. Первая категория - та, которая технологически не позволяет запросить подтверждения операций, типа некоторых карт с магнитной полосой, вторая - которая представляет возможность подтверждения операции, и третья - ЭСП, с которыми без PINа совершить операции невозможно. И в зависимости от того, к какой категории относится ЭСП, предлагалось три варианта: если первая категория - работает действующая редакция закона, если вторая - то риски распределяются в соответствии с договором. А в третьем случае, где практически невозможно подделать поручение клиента и почти заведомо имеет место мошенничество, там все разворачивалось наоборот - клиент не имеет права получить возмещение, если банком не были нарушены правила осуществления перевода.

Но мы от этой идеи отказались ввиду того, что очень сложно четко распределить ЭСП по категориям, на практике читателю закона будет тяжело понять, к какой категории относится его ЭСП. После этого мы обратились к идее обратной франшизы, когда маленькие суммы сразу возвращаются, а требования о возврате больших - предварительно рассматриваются. Мы посчитали, что лимит по обратной франшизе в 3 тыс. рублей более чем вдвое покрывает среднюю сумму транзакции, которая сейчас составляет 1,2 тыс., а также посмотрели, что в рамках оплаты ЖКХ это покрывает львиную долю платежей. То есть если в пределах этой суммы что-то ошибочно спишется, никой проблемы не будет.

- А если недобросовестный клиент будет снимать за каждую операцию по 3 тыс. рублей? Постепенно он ведь может снять крупную сумму?

- Лимит в 3 тыс. рублей, который мы предлагаем, это дневной лимит. Что же касается постоянного снятия, практически все службы безопасности сказали нам, что у них есть механизм контроля за такого рода мошенниками. То есть попытка в течение, скажем, двух недель каждый день оспаривать транзакцию на 3 тыс. рублей приведет к тому, что через месяц этот клиент будет без карты и в стоп-листах банков. Это проконтролировать гораздо легче, чем разовые крупные списания.

- Еще одна тема, которая неоднократно поднималась банковским сообществом - тема закона США Foreign Account Tax Compliance Act (FATCA), при неприсоединении к положениям которого с Нового года банкам грозят санкции. В августе было совещание по этому поводу, но с тех пор по этому поводу никаких известий. В каком сейчас состоянии проработка вопроса присоединения к FATCA?

- В октябре прошло совещание у первого вице-премьера Игоря Шувалова. В октябре же в рамках Совета по иностранным инвестициям задавался прямой вопрос премьеру. Нам сказали, что эта тема будет выводиться на межгосударственный уровень через консультации с БРИК, и, как я понимаю, будет предложено некое унифицированное решение для стран БРИК в отношении FATCA.

Очевидно, этот вариант еще дальше отодвигает нас от момента принятия решения. Я боюсь, что эти консультации займут существенное время, потому что у Китая, насколько я знаю, достаточно жесткая позиция по поводу взаимодействия с IRS (налоговая служба США - Internal Revenue Service). Плюс многосторонность консультаций и высокая квалификация переговорщиков подразумевают длительность переговоров.

А у нас уже в августе время было на исходе. Мы просили сформулировать официальную позицию, но до сих пор ее не получили. А ведь у банков к 1 января должна быть четкая определенность, должны ли они заключать индивидуальные соглашения с IRS, или будет некое межправительственное соглашение. Только если что-то фантастическое произойдет, определенность может появиться до 1 января, скорее всего, мы уйдем очень далеко в 2013 год.

Что мы будем делать, когда решения не окажется в нужный момент - непонятно, потому что у нас есть "дочки" иностранных банков, у которых "мамы" уже давно все решили. И вряд ли кто-то будет выстраивать два параллельных разнонаправленных контура в рамках одной финансовой группы. При отсутствии официальной позиции России по этому вопросу каждый банк будет предоставлен сам себе, что принципиально неправильно.

После того, как была озвучена позиция ФНС России, что информацию нужно будет, скорее всего, передавать централизованно, мы предложили Банку России и ФНС России создать рабочую группу, чтобы выработать хотя бы порядок сбора и передачи информации, причем для этого не нужно дожидаться соглашения, это можно было начинать делать еще с прошлого года. Банкам-то эту систему передачи информации еще строить, она не создается по мановению волшебной палочки. И эта система должна быть унифицирована очень похоже на нынешнюю систему ПОД/ФТ - система выявления лиц по унифицированным моделям, фиксация определенного перечня информации, который должен быть согласован и утвержден. Это работа не на два дня, но мы пока не знаем, чтобы кто-нибудь к ней приступил.

- В октябре НП "НПС" направляло в ЦБ письмо, в котором выступило против требований к банкам знать IP- и МАС-адреса клиентов, использующих дистанционное банковское обслуживание. Почему банки резко отреагировали на эту инициативу?

- Нам пришла информация, что после получения нашего обращения было принято решение эту ситуацию не торопить, провести еще один раунд консультаций. Потому что есть масса других, менее болезненных способов реализовать потребности с фиксацией IP-адресов без введения этого обязательного контроля. Поправки в положение N262-П притормозили, и я надеюсь, что будет изменена сама модель. То есть мы будем заходить через положение N382-П, которое касается требований по обеспечению информационной безопасности. Через него гораздо легче фиксировать IP-адреса по результатам сессии связи с клиентом по ДБО и просто их хранить. Для целей МВД этого более чем достаточно, это не требует еще большего утяжеления конструкции ПОД/ФТ и в то же время полностью решает проблему, которую хотели решить путем введения таких поправок.

Ведь основной целью являлась фиксация IP-адреса, с которого ведется сеанс связи, с тем, чтобы в дальнейшем иметь подтверждение, что то или иное платежное распоряжение вышло именно с этого IP-адреса. Это никак не связано с предварительной идентификацией клиента, с выявлением и обновлением этой информации, с установлением MAC-адресов. Банки и так фиксируют IP-адреса, это просто нужно формализовать в системе защиты информации. А встраивание этих требований в систему ПОД/ФТ - это перенесение их в совершенно другую область, где действуют совсем другие правила, другие специалисты. В результате на пустом месте рождается серьезная проблема. А у нас главный принцип, как у врачей - не навреди.

/Финмаркет/