"БАНКИ И ФИНАНСЫ" №11 (102) ноябрь 2003 (www.infotag.md)


БАНКОВСКАЯ СИСТЕМА УСТАЛА ЖДАТЬ



Сергей БАЛАБАН



Для многих уже стало очевидным, что будущее деловых контактов и развития банковской системы - за оперативностью и мобильностью, которые дает электронная связь. Здесь мы не будем обсуждать вопросы безопасности цифровой подписи как таковой. Специалисты и СМИ делали это до сих пор, в то время как весь мир успешно их использовал. Недавно Национальный банк Молдовы своим постановлением принял регламент «об использовании систем клиент - банк», тем самым опередив выход основного закона «об электронном документе и цифровой подписи».

Если быть объективным, то система безбумажного документооборота между Нацбанком и комбанками существует в Молдове начиная с 1995 г. По утверждению сторон, юридических сбоев она еще не давала. Другое дело системы «клиент - банк», здесь проблемы имели место, но на общем статистическом фоне (три разбирательства, по которым только одно дошло до суда) они выглядят весьма благополучно. Сейчас системами «клиент-банк» пользуются 13 банков
(табл. 1, данные Deeplace IMSP), половина из которых разрабатывалась собственными силами. Остальные используют программы, поставляемые на местный рынок компаниями Slavans Grafica (Deeplace), Netinfo, >R-Style.

Как утверждают специалисты, систему «клиент - банк» правильнее было бы назвать «системой дистанционного банковского обслуживания», так как в классическом варианте она должна включать в себя несколько подходов реализации: классический – когда для клиента разрабатывается специальное программное обеспечение, устанавливающееся на компьютере потребителя; интернет – банкинг, обеспечивающий доступ к счету с любой точки мира; телефон-банкинг, подразделяющийся на мобильную WAP и SMS-технологию, и обычную стационарную, в которой код вводится простым набором цифр с телефонной клавиатуры.

Парадоксально, но длительное выживание индивидуальных подписей некоторые специалисты склонны связывать не с отсутствием нужных технологий, а с психологическим аспектом — мнимой возможностью в любой момент отказаться от подписи. Внедрение электронной подписи документов исключает такую возможность.


ЛЮБАЯ СИСТЕМА «КЛИЕНТ-БАНК» ДОЛЖНА...


…КАК МИНИМУМ
РЕШАТЬ ПЯТЬ ЗАДАЧ:


— получать информацию об остатке средств на любом из счетов клиента;

— получать выписки со счетов клиента за произвольный период времени;

—  отправлять в банк платежные поручения на перевод средств;

— получать информацию обо всех платежах, поступивших на счета;

— отправлять и получать из банка текстовую информацию.

Кроме этого, многие клиенты желают иметь программу с удобным, дружественным интерфейсом, чтобы она запоминала часто повторяющихся получателей платежей, позволяла переносить «платежные документы» из бухгалтерской программы и многое другое. И все это должно носить конфиденциальный характер.

Но все же ключевым моментом любой системы дистанционного банковского обслуживания является ее юридическая защищенность.


Геннадий ЧЕРНЕЙ,
директор департамента информационных технологий
Национального банка РМ


«БиФ»-Profit: Что является юридической основой нового регламента использования системы клиент - банк? известно, что закон о цифровой подписи еще не принят.

Г. Ч.: Мы достаточно долго ждали закона о цифровой подписи, он мог бы стать хорошей основой для упорядочивания электронного документооборота. В то же время имеющееся законодательство уже признает существование электронных документов, подписанных электронной подписью.

Юридическим основанием для разработчиков регламента послужил закон «Об информатике», в частности две его статьи, регламентирующие электронный документооборот. В статье 33 предусмотрено, что при составлении электронной подписи допускается применение криптографических методов, а в статье 34 прямо указывается на то, что электронный документ, содержащий электронную подпись, является эквивалентом документа, заверенного от руки.

Определены двусторонние контракты между клиентом и банком, в которых будут определены порядок и процедуры применения цифровой подписи.

«БиФ»-Profit: Клиент не может и не должен разбираться в «рисках», которым подвергает его банк, как минимум клиент хочет получить услугу, которая входит в правовое поле страны проживания. Насколько электронно-цифровая подпись будет легитимна в суде?

Г. Ч.: С учетом упомянутого закона об информатике, основой для рассмотрения споров у нас, как и за рубежом, остается договор между клиентом и банком. Национальный банк не может жестко регламентировать их отношения, так как это не входит в его компетенцию. Принятие Национальным банком регламента «Об использовании системы клиент - банк» обеспечит сбалансированность рисков между клиентом и банком. Комбанки же, сами должны будут разработать и внедрить такую политику и процедуру управления, чтобы обсуждаемые нами риски были минимальными.

Другой вопрос, что пока не определены процедурные аспекты использования цифровой подписи. Именно этот пробел должны восполнить регламент и двусторонний договор между клиентом и банком.

С реализацией всех условий, определенных регламентом, в частности с заверением у нотариуса бланка публичного ключа, у клиента и банка появится больше взаимной ответственности.

«БиФ»-Profit: Известна ли Вам зарубежная практика легализации электронной подписи? Не является ли перекладыванием дополнительной ответственности на клиента включение в цепочку нотариуса?

Г. Ч.: Мы не перекладываем ответственность, а всеми силами стараемся сбалансировать ее модель. Электронный документо-оборот в развитых странах формировался в иных условиях. Там для легализации электронных ключей и выдачи на них сертификатов уже давно существуют лицензированные государством уполномоченные. Важно, что перед тем, как выдавать сертификат, они должны идентифицировать конкретного клиента, проверить все данные, включенные в сертификат. У нас пока нет другой организации, кроме нотариата, которая смогла бы взять на себя перечисленные обязанности.

После принятия закона о цифровой подписи ситуация в этом смысле может поменяться и в нашей стране - появятся независимые организации, которые смогут выдавать сертификаты публичных ключей.

«БиФ»-Profit: В настоящий момент при использовании электронных систем клиент должен как минимум раз в квартал заверять бумажные дубликаты платежных документов у банковских операционистов. Как будут обстоять дела после вступления в силу регламента?

Г. Ч.: Согласно существующему законодательству банки, которые обслуживали своих клиентов через электронные системы, не имеют права списать со счетов деньги без бумажных документов. То есть клиент в любом случае должен был представить в банк платежный документ на бумажном носителе.

После вступления в силу нового регламента (с 1 января 2004 г.) банки смогут списывать средства со счетов клиентов только на основе электронных документов.

Однако как клиент, так и банк в своих архивах должны будут оставлять заверенные первыми лицами бумажные копии платежных документов. Регламентом предусмотрено, что используемое банками программное обеспечение должно позволить распечатать документ как в банке, так и у клиента.

Я хотел бы подчеркнуть, что рассматриваемый регламент не предполагает полного нормативного обеспечения электронного документооборота как на стороне клиента, так и банка, он не отменяет существующие требования к финансовому документообороту. Возможно, с принятием закона о цифровой подписи и внесением изменений в соответствующие нормативные акты ситуация изменится, и распечатка электронных документов не понадобится.

«БиФ»-Profit: Повлечет ли введение новых правил замену и унифицирование действующих информационных систем?

Г. Ч.: Да, часть банков должна будет изменить свое программное обеспечение, а также принципы работы. НБМ через требования, приведенные в регламенте, задает «верхний порог» допустимого уровня рисков. Банки, в свою очередь, основываясь на имеющихся у них политиках управления рисками, для их уменьшения могут внедрить дополнительные процедуры контроля.

«БиФ»-Profit: Почему регламент ограничивает электронный документооборот только леевыми операциями?

Г. Ч.: В техническом плане проведение валютного платежного документа вполне разрешимая задача, так как мало чем отличается от леевого. Однако порядок проведения валютных операций предусматривает сопровождение платежного документа дополнительными на бумажном носителе. Поэтому, во избежание злоупотребления доверием банкиров, в таких случаях представитель клиента должен будет посетить банк лично.




Вячеслав КУНЕВ, директор компании Slavans Grafica S.R.L. (Deeplace IMSP)


«БиФ»-Profit: Как Вы смотрите на то, что Нацбанк, приняв постановление о вводе в действие регламента «использования системы клиент - банк», опередил выход закона «о ЭЦП и электронном документе»?

В.К.: Нацбанк сумел убедить всех, что этот документ крайне необходим как для пользователей услуг, так и для всей банковской системы. Быстрее всего, часть положений регламента перейдет в закон, а значит, больших разночтений не будет.

Ситуация, когда ключ знают одновременно клиент и работники банка, с юридической точки зрения, крайне несовершенна, и создает множество коллизий. Клиент всегда мог сказать, что не делал запрос на проводку платежа, так же как банк мог безнаказанно сослаться на действия клиента. Нацбанк своим решением снимает эту проблему.

«БиФ»-Profit: Наверное, не совсем правильно, когда функции центра сертификации будут исполнять сами же банки. В спорных случаях ответчик/истец (банк) и свидетель (центр сертификации) окажутся в одном лице. Сколько центров сертификации потребуется в будущем?

В.К.: Если системы «клиент - банк» будут полностью соответствовать требованиям регламента, в которых жестко оговорены условия протоколирования и журнализации всех действий, то в доказательном плане никаких проблем не должно быть. В хороших системах внести изменения в журнализацию практически невозможно, это не могут сделать даже их разработчики.

Пока не приняты все законные и подзаконные акты, легализующие деятельность и статус центров сертификации, можно говорить только о их функционировании в рамках банковской системы.

«БиФ»-Profit: За рубежом центры сертификации переданы на откуп предпринимателям. Во что может обойтись организация такого учреждения?

В.К.: Во многом это будет зависеть от будущего закона «Об ЭЦП и электронном документе» и последующих подзаконных актов, где будут оговариваться требования к центрам сертификации, их иерархия и другие моменты. Нацбанк, по всей видимости, пока временно возьмет на себя функцию корневого центра. В дальнейшем эту функцию должен взять на себя государственный Центр сертификации. На мой взгляд, наиболее целесообразно его создание при департаменте информационных технологий или СИБ. Эти организации обеспечены необходимым уровнем физической и иной безопасности, другими важными условиями для хранения и обработки накапливаемой информации. Банки не очень стремятся брать на себя функции центров сертификации, им не нужны еще одна головная боль и дополнительные расходы.

Пока у нас четко не оговорены условия функционирования центров сертификации, можно предположить, что при их организации можно уложиться в сумму $10-50 тыс. Если говорить о полноценном центре, со всеми системами защиты, то потребуется не менее $200 тыс., что и станет камнем преткновения для наших бизнесменов. В условиях низкой популярности услуги и слабой платежеспособности агентов (сейчас пользователей систем «клиент - банк» в Молдове насчитывается не более 1,5 тыс., а именно они будут основными клиентами центров сертификации на первом этапе) сделать такую деятельность окупаемой будет крайне сложно.

«БиФ»-Profit: Можете ли определить место Молдовы в обсуждаемой нами области хотя бы в рамках стран СНГ?

В.К.: В России закон о цифровой подписи уже принят, на Украине аналогичный закон вступает в силу с 1 января 2004 г., все необходимые нормативные акты должны быть приняты и гармонизированы в соответствии с этим законом к 31 июня 2004 года. Судя по содержательной части местных документов, регламентирующих цифровой документооборот, можно говорить о Молдове, как о стране с наиболее жестко прописанными нормами на всем пространстве СНГ. Об этом говорят и западные эксперты. к примеру, голландские аудиторы, консультирующие один из местных банков, удивились уровню безопасности наших систем, сказав, что они соответствуют самому высокому по их шкале - пятому классу безопасности. Классу, которому многие банки запада пока еще не соответствуют.

«БиФ»-Profit: Но ведь следует учесть и разницу в менталитете.

В.К.: В западных странах нормативные требования в этой области значительно либеральнее. Отличаются они тем, что бремя доказательства в случае возникновения конфликта в рамках систем «клиент - банк» лежит на истце, что делает процессы, инициированные клиентами заведомо проигрышными. Но их банковский менталитет, в соответствии с которым выгоднее следовать определению «клиент всегда прав», делает подобного рода услугу заманчивой и безопасной как с точки зрения положительного разрешения спорных вопросов, так и для прикладного использования. Банку проще и выгоднее удовлетворить требование клиента, нежели раздувать скандал.

У нас же, в условиях, когда любой школьник, посчитавший себя великим хакером, пытается влезть в закрытую систему, принятие жестких ограничений оправданно.

«БиФ»-Profit: Когда, по Вашим оценкам, в Молдове появятся системы WAP-банкинга? По какому пути пойдет развитие систем дистанционного обслуживания?

В.К.: Мы проводили исследования этого вопроса, и выяснилось, что для проведения WAP-технологии в жизнь клиенту потребуется приобрести новые sim-карточки с большим объемом памяти, кроме того, чрезвычайно высока стоимость средств цифровой подписи для мобильного банкинга - все это не соответствует реальным возможностям основной массы пользователей нашей страны. Быстрее всего, телефонный, SMS и WAP-банкинги пока будут использоваться только как инструменты для получения дополнительной информации, т.е. информационного сервиса.

Магистральный путь развития систем дистанционного банковского обслуживания - это реализация идеологии Any-banking, т.е. «банк везде» - это когда клиент получает доступ к банковским сервисам непосредственно в момент возникновения такой потребности, в любое время, в удобной для него форме. Т.е. банк должен предоставлять наряду с традиционными формами обслуживания любые иные: «клиент-банк», «интернет-банк», «телефон-банк», «SMS и WAP-банкинг» и некоторые другие. А клиент должен выбирать, какая именно форма обслуживания (или их набор) для него оптимальны. Сейчас же в большинстве случаев выбор у клиента весьма ограничен.

Сегодня системы цифровой подписи никак не привязаны к индивидуальным антропологическим и физическим особенностям его пользователя, т.е. отчуждены от него. В будущем, скорее всего, системы биологической идентификации и цифровой подписи будут объединены. Для идентификации пользователя уже сейчас можно использовать данные, считанные с радужной оболочки, голоса, кожного покрова. Внедрение таких систем поможет сделать еще один шаг на пути к безопасности, широкому распространению электронного документооборота.



По некоторым данным, совокупный ущерб, приносимый государству и частному бизнесу использованием подложных документов, в том числе и в банковской сфере, соизмерим с четвертью суммы бюджетных поступлений. Для того, чтобы уберечься от юридических и финансовых неприятностей при проведении сделок, проводке финансовых платежей и других не менее важных документов, высокотехнологичные страны предлагают объединить свои усилия в расширении правового статуса цифровой подписи. Комиссия ООН по международному торговому законодательству (Uncitral) должна согласовать структуру, которая поможет государствам унифицировать свои законы о цифровой подписи.