Регулирование предоплаченных инструментов розничных платежей

РЕФЕРАТ

по курсу «Экономика»

по теме: «Регулирование предоплаченных инструментов розничных платежей»

1. Факторы, оказывающие воздействие на развитие систем электронных денег в мире

Продукты в области электронных денег (ЭД) предназначены для использования в качестве общего многоцелевого платежного средства и для выполнения малых встречных розничных платежей, предлагая замену монетам и банкнотам. Они должны дополнять, а не заменять собой традиционные инструменты розничных платежей, таких как чеки, кредитные и расчетные карты. В Приложении 1 содержится краткий обзор системных конструктивных особенностей программ в области электронных денег, которые существенно различаются в зависимости от страны и продукта. Большинство программ работает с пополняемыми картами, позволяющими периодически пополнять балансы с банковских счетов через банкоматы, по телефону или через Интернет. Во всех случаях установлены относительно низкие лимиты максимальной стоимости, хранящейся на карте (обычно несколько сотен долларов США). Практически во всех программах отсутствует возможность перевода стоимости из одного кошелька в другой без участия эмитента. В то же время в некоторых странах электронные деньги объединены с другими функциональными возможностями: кредитной или расчетной картой, удостоверением личности держателя, в нескольких странах карточные программы адаптированы к сетевым платежам. В Приложении 2 содержатся данные об использовании продуктов в области электронных денег. В целом ряде карточных программ количество выпущенных карт и торговых терминалов является значительным, однако вследствие низкого уровня использования объем ежедневных операций пока небольшой, а средняя сумма одной операции мала -- как правило, несколько долларов США.

Расширение использования электронных денег связано с различными факторами, как ускоряющими их развитае, так и ограничивающими его, воздействуют на достижение максимальной эффективности, в том числе экономичности, оперативности, удобства использования, надежности и безопасности.

Факторы, непосредственно оказывающие воздействие на развитие систем электронных денег, связаны, с одной стороны, со степенью заинтересованности эмитентов, клиентов и предприятий торговли (услуг) в применении ЭД и, с другой стороны, с уровнем контроля со стороны регулирующих органов за развитием данных систем.

В качестве основных стимулов развития систем электронных денег для эмитентов могут выступать следующие факторы:

уровень доходов от взимаемой с держателей ЭД и предприятий торговли (услуг) платы за услуги, связанные с предоставлением возможности проведения платежей ЭД;

уровень доходов от инвестирования средств, являющихся обеспечением выпущенных в обращение ЭД.

Важными факторами, оказывающими воздействие на развитие систем ЭД, являются спрос держателей ЭД на ЭД и заинтересованность предприятий торговли (услуг) в ЭД. Спрос держателей на электронные деньги зависит от:

преимуществ платежей посредством ЭД в сравнении с традиционными платежными инструментами (платежные карты, чеки и т. д.);

размера комиссий, взимаемых эмитентами с держателей ЭД за возможности проведения ими платежей с использованием данного платежного инструмента;

осознаваемой безопасности при проведении платежей посредством ЭД;

простоты обращения с электронными устройствами, на которых производится учет ЭД;

развитости инфраструктуры, принимающей к оплате электронные деньги.

Заинтересованность предприятий торговли (услуг) зависит от:

размера комиссий за услуги, взимаемых эмитентами и операторами систем за возможность реализации товаров (работ, услуг) за ЭД;

затрат на приобретение электронных терминалов, обеспечивающих проведение платежей посредством ЭД;

прогнозируемых размеров увеличения товарооборота;

размера сокращения расходов, связанных с реализацией товаров (работ, услуг) за наличные деньги.

Однако одним из ключевых факторов является готовность потребителей и предприятий торговли (услуг) принять новую парадигму оплаты в сфере розничных платежей, базирующуюся на новых информационных технологиях.

Следующий важный фактор, определяющий развитие систем ЭД, связан с контролем со стороны регулирующих органов за развитием данных систем.

Подходы к контролю за развитием систем ЭД в Европе и США, где системы получили наиболее широкое распространение, существенно различаются: в Европе -- относительно строгий контроль, в США -- невмешательство на начальной стадии реализации систем ЭД, т. е. опора на саморегулирование при достаточной развитости денежного рынка.

Политика Евросистемы разъясняется в докладе об электронных деньгах, опубликованном Европейским центральным банком (далее -- ЕЦБ) в августе 1998 г., и более детально изложена в мнении ЕЦБ1 по поводу проекта законодательства по электронным деньгам. В этом докладе особо акцентируется внимание на семи минимальных требованиях в рамках регулирования выпуска ЭД в Евросистеме.

Эмитенты ЭД должны подлежать пруденциальному надзору.

Системы ЭД должны регулироваться надежными и прозрачными правовыми нормами.

Системы ЭД должны поддерживать адекватные меры безопасности против таких угроз, как мошенничество и подделка.

В системах ЭД должен быть реализован механизм противодействия таким злоупотреблениям, как, например, отмывание денег.

Системы ЭД должны предоставлять центральному банку соответственную статистику для целей определения политики в отношении ЭД.

Эмитенты ЭД должны быть обязаны законом погашать ЭД по требованию их держателя.

ЕЦБ должен иметь возможность налагать на всех эмитентов ЭД резервные требования.

Эти требования являются основой для выработки центральными банками Евросистемы общей политики при осуществлении надзора за системами ЭД. В частности, контроль за платежными системами преследует цели обеспечения надежности, эффективности и доверия к электронной валюте. Новые события в развитии систем ЭД (платежи через Интернет посредством мобильных телефонов) могут потребовать дальнейшего пересмотра стандартов надзора. Изучается вопрос, связанный с обеспечением надлежащего контроля в сфере методологии установления стандартов и оценки в отношении технической безопасности систем ЭД в Евросистеме, как важной составляющей их надежного функционирования и защиты от преступного злоупотребления.

Принятое недавно законодательство Евросистемы по ЭД устанавливает регулирующие рамки для эмиссии ЭД, являющейся компетенцией традиционных кредитных учреждений и кредитных учреждений нового типа учреждений в сфере электронных денег (УЭД). Новые рамки определены в двух директивах: Директива Европейского Парламента и Совета 2000/46/ЕС о занятии, осуществлении и пруденциальном контроле за предпринимательской деятельностью учреждений-эмитентов электронных денег и Директива Европейского Парламента и Совета 2000/28/ЕС, вносящая поправку в Директиву 2000/12/ЕС, относящуюся к осуществлению предпринимательской деятельности кредитными учреждениями.

Новые регулирующие нормы в рамках Директивы 2000/46/ЕС позволяют УЭД осуществлять свою деятельность на всей территории Европейского Союза. Основные элементы системы регулирования включают:

Ограничение деятельности. Статья 1 ограничивает предпринимательскую деятельность УЭД эмиссией электронных денег, предоставлением взаимосвязанных финансовых и нефинансовых услуг и выпуском и управлением другими средствами платежа, за исключением предоставления каких-либо форм кредита. Предпринимательская деятельность УЭД включает также хранение данных на электронных устройствах от имени других предприятий или государственных учреждений.

Погашаемость. Статья 3 предусматривает, что предъявитель (держатель) электронных денег в течение срока их годности может требовать от эмитента их погашения по номинальной стоимости в банкнотах и монетах или путем бесплатного перевода на счет, но в случае взимания эта плата не может превышать суммы расходов, необходимых для совершения этой операции. Договор между эмитентом и предъявителем ясно определяет условия погашения и должен предусматривать минимальный порог. Порог не может превышать 10 евро.

Требования к первоначальному капиталу и поддерживаемым собственным средствам. Требование к первоначальному капиталу и минимуму собственных средств для УЭД представляет собой сумму 1 000 000 евро, потребность в капитале также определяется на поддерживающей основе (ст. 4);

Ограничение инвестиций. В соответствии со ст. 5 УЭД должно иметь вложения в размере не меньшем своих непогашенных финансовых обязательств по выпущенным электронным деньгам, в высоко ликвидные активы с 0 или, при условии количественных ограничений, 20% взвешенным кредитным риском. Ограничения относятся также к деятельности УЭД в сфере производных инструментов. Эти виды деятельности могут осуществляться только для целей хеджирования рыночных рисков. Наложение соответствующих ограничений на рыночные риски, вытекающие из деятельности в сфере ЭД, является прерогативой государств-членов.

Проверка специфических пруденциальных требований в отношении первоначального и поддерживаемого капитала, ограничений на вложения и рыночных рисков компетентными органами не менее двух раз в год (ст. 6).

Разумная и осмотрительная деятельность в отношении управления, административных и учетных процедур и адекватных механизмов внутреннего контроля (ст. 7).

Отказ от применения обязательств в отношении положений Директив (об электронных деньгах) 2000/46/ЕС и 2000/28/ЕС (ст. 8). Национальные органы могут разрешить отказ от обязательств, если устройство хранения не может содержать более 150 евро и выполнено одно из следующих условий:

а) общий совокупный размер финансовых обязательств, относящихся к выпущенным в обращение ЭД, обычно не превышает 5 млн евро и никогда не превышает 6 млн евро;

б) обмен ЭД происходит исключительно внутри группы, к которой принадлежит УЭД;

в) предпринимательская деятельность в сфере ЭД ограничена их местонахождением или они принимаются только предприятиями, имеющими тесные финансовые или деловые взаимоотношения с УЭД, такие как, например, общая маркетинговая или сбытовая система.

В указанных выше случаях, эмиссия ЭД ограничивается территорией той страны -- члена ЕС, чья организация предполагает их эмиссию.

В отношении вышеуказанной Директивы 2000/28/ЕС следует отметить, что она вносит поправку в определение кредитного учреждения, включая в них УЭД, т. е. всех эмитентов электронных денег в определение кредитной организации, наряду с учреждениями, которые получают депозиты или прочие подлежащие возмещению денежные средства от граждан и предоставляют кредиты от своего собственного имени. Данное положение подразумевает, в сочетании со ст. 19.1 Статута Европейской Системы Центральных банков (ЕСЦБ) и Европейского Центрального Банка, что ЕЦБ может налагать минимальное резервное требование на всех эмитентов ЭД.

Таким образом, если директивы по ЭД фокусируют внимание на надежности и устойчивости эмитентов ЭД, то контроль Евросистемы за платежными системами сосредоточивает внимание на надежном и эффективном функционировании систем ЭД. Для того, чтобы системы ЭД были надежными и эффективными, а эмитенты -- надежными и устойчивыми, Евросистема сформулировала семь минимальных требований к системам ЭД. В тоже время в развитии систем безопасности ЭД и технической безопасности все более важным становится подход, предусматривающий общий контроль технической безопасности. В настоящее время Евросистема занимается дальнейшим изучением возможных инициатив в этой области.

В США придерживаются мнения, что вводимое законодательство и правила регулирования систем электронных денег на начальной стадии их развития не должны сдерживать технологические (структурные) инициативы в данной области.

Федеральная Резервная Система и другие банковские учреждения США также не рекомендуют ограничивать выпуск ЭД каким-либо определенным типом учреждений. Эмиссия может происходить в самых разнообразных формах. Например, федеральные банковские учреждения, включая и Федеральную Резервную Систему, и Управление контролера денежного обращения, одобрили инвестиционное участие банков и банковских холдинг-компаний в капитале небанковских эмитентов карт с хранимой стоимостью общего назначения при соблюдении некоторых условий. Такие эмитенты и соглашения по эмиссии ЭД должны в целом подлежать проверке или другим видам контроля со стороны первичных регуляторов инвестирующих банковских холдинг-компаний. Эмитенты ЭД, являющиеся недепозитными учреждениями, могут подлежать регулированию в рамках действующих правительственных постановлений, применяемых, например, к таким эмитентам платежных инструментов, как дорожные чеки. Эти регулирующие постановления часто предполагают проверку со стороны государственных банковских органов, портфельные ограничения, аудит и требования предоставления отчетности.

Также хотелось бы отметить, что для регулирующих органов (центральных банков) любой страны, в которой реализуются новые информационные технологии в сфере розничных платежей (системы электронных денег), важно найти баланс интересов между противоположными суждениями относительно введения ограничений на реализуемые проекты электронных денег в данной сфере, относительно статуса эмитентов (здесь имеется в виду предоставление права на эмиссию электронных денег не только кредитным организациям) -- с одной стороны, и защитой потребителей, экономической эффективностью и конкуренцией -- с другой.

В качестве возможных отрицательных факторов могут выступать расходы, связанные с повышенным требованием к обеспечению безопасности и устойчивости систем электронных денег к техническим сбоям, защите информации и т. п.

Нарушения системы безопасности электронных денег могут возникнуть на уровне потребителя, предприятия торговли (услуг) или эмитента и проявляться в попытках похищения специальных устройств потребителя или торговца, на которых хранятся электронные деньги, создании фальшивых электронных денег или изменении данных, хранимых в этих устройствах. Неоперативное выявление нарушений системы защиты электронных денег также напрямую связано с обеспечением безопасности. Операторы системы ЭД должны осуществлять мониторинг программы электронных денег на постоянной основе с целью выявления нарушений системы защиты (метод текущего контроля). Вопросы, связанные с обращением электронных денег, следует также учитывать при оценке безопасности систем ЭД. Поскольку информация об операциях, как правило, носит анонимный характер, это вызывает сложности у операторов системы электронных денег в установлении причин нарушений системы защиты. Реализация на практике такой технической процедуры, как отслеживание (фиксирование) каждой совершенной операции с электронными деньгами посредством централизованного ведения баз данных позволит выявить нарушения в системе электронных денег на ранней их стадии. Вместе с тем отслеживание каждой операции существенно увеличивает ее себестоимость, что ставит под вопрос целесообразность внедрения такой системы, поскольку в этом случае себестоимость операций может превышать суммы платежей. Ниже приведем выводы, которые были сделаны экспертами банка международных расчетов в области безопасности систем электронных денег:

существует возможность создания систем электронных денег, в частности систем на основе чипов, которые смогут обеспечивать должный уровень безопасности по сравнению с другими обычными платежными системами;

не существует какого-либо одного метода обеспечения безопасности, который сам по себе гарантировал бы существенную защиту, необходимо использовать комбинацию ряда организационных и технических методов;

во всех проектах, рассмотренных и испытанных экспертами, центральная операционная система играет важную роль в защите системы;

возможность перевода электронных денег между различными инструментами клиентов, на которых хранятся электронные деньги, снижает безопасность системы (главный фактор, снижающий безопасность, это не перевод электронных денег сам по себе, а то, что при переводе электронных денег с одного инструмента на другой не аккумулируется никакая информация);

ожидается, что в ближайшем будущем произойдут быстрые изменения уровня безопасности систем электронных денег.

С этими выводами нельзя не согласиться, однако последние исследования показали, что безопасность чипов (смарт-карт) не является достаточно высокой. Еще в 1996 г. была доказана возможность «вскрытия» информации с помощью обычного персонального компьютера и лабораторного оборудования стоимостью около 300 долл. А в 2002 г. Кембриджская лаборатория проводила эксперименты по вскрытию смарт-карты -- и оборудование стоило уже около 30 долл. Вышеприведенные цифры показывают, что это соотношение достаточно быстро меняется не в пользу законопослушных клиентов.

Таким образом, потенциальные преступления с использованием систем электронных денег отрицательно влияют на их развитие. Можно выделить два общих типа преступлений, ассоциирующихся с внедрением платежных систем, реализующих технологию электронных денег.

Во-первых, существует вероятность, что системы электронных денег могут быть внедрены в сферу розничных платежей лишь с преступной целью: отмывания «грязных денег», уклонения от уплаты налогов или незаконной организации азартных игр (электронная лотерея, тотализатор и т. д.). Следует отметить, что в настоящее время в тех странах, где уже реализованы подобные системы, пока еще не отмечено свидетельств вышеуказанных видов преступной деятельности. Можно предположить, что, если эти продукты получат действительно широкое распространение, преступники могут попытаться найти пути и возможности использования электронных денег для анонимных переводов средств, приобретенных противозаконными способами. В то же время электронные деньги, предназначенные для осуществления мелких и средних платежей, как правило, имеют системное ограничение для систем массовых платежей по максимальной сумме, единовременно находящейся в пользовании одного потребителя, и по сумме разовой сделки, что в свою очередь накладывает ограничение на интересы в использовании этого инструмента в преступных целях.

Второй вид преступлений -- это «атака» на сами продукты на основе электронных денег, например, попытки подделки (несанкционированная эмиссия), всевозможные виды мошенничества или нарушение функционирования системы. К сожалению, мошенничество и попытки подделки постоянно сопутствуют существующим платежным механизмам. Например, мошенничество с кредитными картами и их подделки ведут к потерям, значительно превышающим миллиард долларов США ежегодно.

Денежная эмиссия -- это главным образом выпуск в обращение обязательств эмиссионного учреждения (центрального банка) строго против узаконенного вида резервов. По отношению к электронным деньгам это определение можно трактовать следующим образом (см. выше: электронные деньги -- денежная стоимость, которая эмитируется после получения денежных средств в размере не менее объема, принимаемых на себя обязательств). В том случае, если это равенство не соблюдается, речь может идти о несанкционированной эмиссии.

Анализ факторов, влияющих на развитие систем ЭД, показал, что наиболее значимым как с точки зрения потребителей, так и эмитентов ЭД является обеспечение безопасности функционирования таких систем, возможность противостоять угрозам мошенничества, появление которых, учитывая бурный прогресс в информационных технологиях и высокую квалификацию мошенников, крайне трудно прогнозировать. С точки зрения оператора системы ЭД, наибольшую опасность представляет несанкционированная эмиссия электронных денег, которую предотвратить невозможно, но бороться с которой необходимо. Таким образом, при функционировании систем ЭД существует вероятность возникновения убытков или недополучения доходов по сравнению с прогнозируемым вариантом. Эту вероятность будем определять с помощью категории «риск». Перечисленные выше факторы, определяющие развитие систем ЭД, непосредственно связаны с такими рисками, как операционный, риск репутации, правовой, стратегический, выявление и оценка которых является важной задачей при разработке политики безопасности функционирования кредитных организаций, осуществляющих эмиссию электронных денег.

2. Идентификация рисков в системах электронных денег

Развитие систем электронных денег порождает ряд проблем, как политического характера, вызывающих озабоченность центральных банков и других государственных органов, так и социально-экономического характера, таких как защита прав потребителя, конкуренция, доступность, широта применения. Учитывая это, необходимо ответственно подойти к вопросу оценки потенциальных рисков, присущих данным системам, последствия которых определены не достаточно.

В зависимости от того, какая технология переноса информации в электронном виде о денежных обязательствах эмитента реализована в системе ЭД (с устройства одного держателя на устройство другого держателя или отсутствует такая возможность), а также от способа хранения электронных денег на устройстве клиента (микропроцессорной карте или программном обеспечении, установленном на жестком диске персонального компьютера), размеры и виды рисков существенно различаются. В силу быстрых изменений в информационных технологиях, на которых базируются системы ЭД, ни один список рисков не может быть всеобъемлющим. Следует пояснить, что под термином «информационные технологии» понимают систему методов и способов сбора, накопления, хранения, поиска и обработки информации на основе применения средств вычислительной техники (далее -- компьютерные системы).

В стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» под риском информационной безопасности понимается сочетание вероятности нанесения ущерба и тяжести этого ущерба. Специфические типы рисков, возникающие перед эмитентами ЭД, могут быть сгруппированы согласно категориям, содержащимся в документе «Управление рисками в банковских операциях в электронном виде и применение электронных денег», подготовленном Базельским комитетом по банковскому надзору1, в котором также наиболее полно освещены проблемы управления рисками в системах электронных денег.

С большой уверенностью можно утверждать, что риски, рассматриваемые в указанном документе, подпадают под те же общие категории, что и те, которые присущи существующим традиционным розничным платежным механизмам, расчеты в которых осуществляются посредством чеков, платежных карт: операционный риск, риск потери репутации, правовой риск и стратегический риск. Проанализируем эти виды рисков.

Операционный риск. В настоящее время общепринятое определение операционного риска отсутствует. В практической деятельности кредитных организаций под определение операционного риска попадает любой риск, не входящий в категорию рыночного или кредитного риска; поэтому многие кредитные организации рассматривают операционный риск как риск потерь, возникающих в результате различного рода технических ошибок.

Базельский комитет по банковскому надзору принял общее для банковского сектора определение операционного риска, а именно: «...риск прямых и косвенных потерь, вызванных неадекватными внутренними процессами или упущениями, связанными с ошибками персонала или отказами систем, или связанными с внешними факторами». Аналогичное определение принял и Банк России. Согласно Рекомендациям Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» под операционным риском понимается риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий. Определение базируется на лежащих в основе причинах операционного риска (человеческий фактор, ошибка в процессе обработки, отказ системы и внешние факторы) и предусматривает их выявление. Такое определение, основанное на причинной модели, позволяет выработать общие подходы к управлению операционным риском в рамках финансовых организаций, деятельность которых, в том числе, связана с эмиссией электронных денег.

Следует отметить, что в системах ЭД операционный риск проистекает из возможности понести убытки из-за значительных недостатков в их надежности и безопасности, которые в большинстве случаев связаны с человеческим фактором.

Под термином «надежность» системы ЭД понимается свойство системы ЭД сохранять во времени в установленных пределах все параметры, обеспечивающие выполнение требуемых функций в заданных условиях эксплуатации. Отечественная специализированная литература по теории надежности посвящена надежности машин и механизмов и не рассматривает данное понятие (свойство) применительно к платежным системам, представляющим собой набор инструментов, банковских процедур, технических и институциональных структур, осуществляющих безналичные переводы денежных средств между субъектами финансово-хозяйственной деятельности (кредитными организациями и их клиентами -- юридическими и физическими лицами). Вместе с тем, учитывая, что системы ЭД базируются на информационных технологиях, важным элементом которых, как уже отмечалось выше, являются компьютерные системы, представляющие собой сложный комплекс разнообразного оборудования и программного обеспечения, то такие параметры надежности, как безотказность функционирования и исправность, применимы к данным системам. Проблема надежности в банковском деле имеет особое значение: так как неполнота или недостоверность информации, несвоевременность или ошибки при обработке ведут не только к прямым финансовым потерям, но и к утрате доверия к банку.

Под термином «безопасность» системы ЭД понимается такое состояние системы, при котором с требуемой вероятностью обеспечивается ее устойчивость к случайным или преднамеренным воздействиям, которые приводят к материальному (моральному) ущербу потребителя электронных денег или их эмитента.

Нарушения системы безопасности ЭД могут возникнуть на уровне потребителя (держателя ЭД), предприятия торговли (услуг) или эмитента и проявиться в попытке кражи ЭД как в процессе платежа, так и непосредственно с устройства держателя.

Важно отметить, что нарушение безопасности может также привести к мошенничеству, создающему дополнительную ответственность эмитента. В связи с этим вопросы, связанные с мошенничеством в системах ЭД, являются приоритетными при проектировании данных систем. Типичные примеры мошенничества в системах ЭД:

несанкционированное изменение данных (суммы, валюты) при осуществлении платежа ЭД (например, во время оплаты товаров (работ, услуг), реализуемых через сеть Интернет);

отказ держателей ЭД от совершенной операции (например, от оплаты ЭД за товары (работы, услуги)). Как и с традиционными банковскими услугами, злоупотребления клиентов, умышленные или неумышленные, являются еще одним источником операционного риска. В отсутствие у эмитента ЭД адекватных мер проверки совершенных сделок, держатели ЭД могут отрицать сделки, санкционированные ими ранее, чем нанесут эмитенту финансовые убытки;

совершение операций с ЭД под именем другого держателя. В данном случае при осуществлении операций используются чужие идентификаторы и пароли, позволяющие получить несанкционированный доступ к устройству законного их держателя;

использование специальных программ, позволяющих вносить несанкционированные изменения в программное обеспечение эмитента (держателя ЭД), может привести к ложной эмиссии ЭД, в результате которой у эмитента возникнут непокрытые обязательства перед принимающими платежи в ЭД предприятиями (торговли, услуг), которые обычно подлежат выполнению (или погашению) по номинальной стоимости. Следует отметить, что риск подделки ЭД возрастает, если их эмитенты не предпринимают адекватных мер по обнаружению и изъятию подделок. Кроме того, у эмитента могут быть еще расходы по восстановлению скомпрометированной системы.

Существуют различные типы программных угроз. Эксперты классифицируют угрозы по поведению, по типу распространения и по типу активизации. В последние годы программные угрозы почти всегда ассоциируются с вирусами. Однако вирусы являются только небольшой частью так называемых вредоносных программ. К ним также относятся программы, которые открывают несанкционированный доступ в систему («задние двери»), копируют самих себя для переполнения ресурсов («бактерии»), проникают из компьютера в компьютер по сети («черви») или в которых декларирована одна функция, а в действительности выполняется иная («троянские кони») и пр.

Следует отметить, что одна и та же программа в руках администратора защиты выступает в роли средства обеспечения информационной безопасности системы, а в руках злоумышленника -- оружием для осуществления атаки или сканирования сети при проведении подготовки к атаке. В настоящее время существуют программы, которые автоматически ищут слабые места в безопасности компьютера, сообщают об обнаружении проблем, чтобы затем эти проблемы могли быть решены. Указанные программы, к ним относятся, например, SATAN (Security Administrator Tool for Analyzing Networks) и COPS (Computerized Oracle and Password System), могут быстро протестировать компьютер или компьютеры в сети на сотни известных слабых мест. Подобная функциональность делает эти средства очень полезными для тех, кто ищет в системе наиболее уязвимое место, чтобы затем ее «вскрыть».

Другой вид операционного риска возникает в случае, если организация предполагает осуществлять эмиссию ЭД и выбирает соответствующую технологию, которая недостаточно хорошо разработана или внедрена. Кроме того, многие эмитенты предпочитают положиться на внешних разработчиков системы ЭД, на посторонних экспертов для ее внедрения и обслуживания. Реализация проекта системы ЭД с привлечением специализированных фирм-разработчиков (в первую очередь эмитенты сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов. Однако такое партнерство приводит к зависимости от указанных фирм, и общий уровень обслуживания эмитентами своих клиентов -- держателей ЭД определяется результатами работы нескольких, нередко никак не связанных между собой компаний, сотрудники которых могут не знать специфику платежей посредством ЭД. В случае, если технология систем ЭД базируется на технологии платежей, осуществляемых через сеть Интернет (система e-cash, система PayCash и аналогичные им), или отдельные платежи посредством ЭД осуществляются через сеть Интернет, то зависимость от сторонних провайдеров (организаций, оказывающие техническую и информационную поддержку в сети Интернет) может иметь материальные последствия для эмитента. В данном случае речь идет об исполнении указанными организациями своих обязательств перед эмитентом за уровень качества услуг, ими гарантируемый, а также случаи форс-мажора, уменьшающие или приостанавливающие обязательства провайдера. Более крупные банки со значительными ресурсами могут предпочесть покупку компьютерного оборудования и операционных систем и/или разработку необходимого прикладного программного обеспечения самостоятельно. Этот вариант может дать наивысшую гибкость в части приспособления предлагаемых услуг к клиентам.

Быстрый темп изменений, характерный для указанных информационных технологий, вызывает необходимость их модернизации, что, в свою очередь, повышает требования эмитентов ЭД к адаптационным способностям своего персонала и увеличивает опасность возникновения трудностей при переходе к более сложным интегрированным электронным решениям. Довольно часто внедрение более производительной технологии оборачивается для сотрудников -- эмитентов ЭД и их потребителей если не хаосом, то значительными операционным проблемами. К указанному типу операционного риска можно отнести и ошибки, возникающие во время технического обслуживания системы или при использовании специальных программ, применяемых для исправления ранее допущенных ошибок. Причиной их зачастую являются некорректные операции персонала, ошибки же вследствие неполадок в компонентах оборудования относительно редки. Еще одним источником возникновения ошибок являются исправления, вносимые в стандартные пакеты программного обеспечения (например, в электронный кошелек) с целью удовлетворения потребностей конкретного пользователя.

Риск, связанный с отказом в функционировании как самой системы ЭД, так и устройств держателя ЭД, вследствие сбоев в работе программного и аппаратного компонентов средств вычислительной техники (компьютерные системы) эмитента ЭД и/или устройства держателя ЭД, также относится к операционным рискам. Современные компьютерные системы представляют собой сложный комплекс разнообразного оборудования и программного обеспечения, неполадки в работе любого из компонентов которого могут привести к сбою в работе всей системы. Зачастую компоненты системы сконцентрированы в одном месте, что увеличивает ее уязвимость в случае непредвиденных происшествий. К существенным убыткам может привести отсутствие плана мероприятий в случае сбоев в работе компьютерной системы или низкое качество таких планов. Отсутствие такого плана ведет к задержкам при принятии управленческих решений и, соответственно, как к прямым убыткам (учитывается каждый день простоя), так и косвенным -- угроза потери деловой репутации, которая более подробно будет рассмотрена далее.

К операционным рискам также относится риск неадекватного исполнения управляющим звеном своих обязанностей. Вся полнота ответственности за защиту деятельности банка от рисков, описанных выше, лежит на управленческом звене кредитной организации, которое должно обеспечить разработку:

а) превентивных мероприятий по минимизации вероятности возникновения не штатных ситуаций. Примером подобных мероприятий могут служить планировка расположения компьютерных центров, процедуры контроля за вводом информации, установка паролей доступа и т. д.;

б) мероприятий но минимизации негативных последствий нештатных ситуаций. Такой перечень должен включать в себя создание резервных коммуникационных и компьютерных сетей, разработку планов действий в чрезвычайных ситуациях и т. д. К подобным мероприятиям можно также отнести страхование от мошенничества персонала, повреждений программного обеспечения и оборудования, неплановых затрат по восстановлению информации.

Риск репутации -- это риск, проявляющийся в сокращении клиентуры банков, оттоке фондов, сбросе банковских акций и пр. вследствие негативного общественного мнения о деятельности данного банка. Этот риск может быть вызван действиями, которые создают негативное общественное мнение в отношении операций банка, в результате которых способность банка устанавливать и поддерживать отношения с клиентами будет значительно ослаблена. Риск репутации может возникнуть в ответ на действия самого банка или действия третьих сторон. Он может быть прямым следствием обнародования информации о повышенном риске или проблемах в других категориях риска, в частности в области операционного риска.

Риск репутации может возникнуть, если системы ЭД не функционируют эффективно, как ожидалось, и тем самым вызывают широкую негативную реакцию пользователей (как держателей ЭД, так и предприятий торговли (услуг), принимающих в оплат)' за реализуемые товары ЭД) данных систем. Значительная брешь в системе безопасности, будь она результатом внешнего или внутреннего вмешательства, также может подорвать доверие пользователей. Такой риск может возникнуть в случаях, когда держатель ЭД испытывает трудности с совершаемыми операциями, поскольку не получил адекватной информации -- как пользоваться услугой и каковы процедуры разрешения проблем (например, таких как утеря ЭД и/или специального средства, сбои при осуществлении платежей ЭД и т. п.).

Репутации банка может быть нанесен ущерб при обслуживании в рамках проекта платежей посредством ЭД. Хорошо организованный маркетинг, включая раскрытие информации, является одним из способов обучения потенциальных клиентов и помогает ограничить риск репутации. Клиенты должны понять, что именно они могут обоснованно ожидать от той или иной услуги либо вида обслуживания, а также каким рискам они могут подвергаться и какие выгоды получить в случае осуществления платежей в рамках данной системы. Собственно концепции маркетинга необходимо четко координировать с адекватными заявлениями относительно раскрытия информации. Банкам не следует рекламировать свою систему ЭД, основываясь на тех свойствах или параметрах, которыми данная система не обладает. Маркетинговая программа должна представлять продукт объективно.

Ошибки и мошенничество третьей стороны также могут поставить банк перед риском репутации. Значительные потери, вызванные ошибками других учреждений, которые предлагают аналогичные продукты или услуги в сфере розничных платежей, могут привести к тому, что клиенты банка будут относиться к его услугам подозрительно, даже если сам банк не имеет таких проблем.

Риск репутации возможен в случае прямых целенаправленных нападок на банк. Например, хакер, проникнув в банковскую «паутину», вносит изменения, чтобы умышленно распространить неправильную информацию о банке и его услугах.

Риск репутации имеет значение не только для отдельно взятого банка, но и для всей банковской системы. Если, к примеру, репутации банка-эмитента ЭД, оперирующего в глобальном масштабе, нанесен значительный ущерб, безопасность других банковских систем может быть поставлена под вопрос. В крайних случаях такая ситуация может привести к перебоям всей банковской системы.

Правовой риск, связанный с эмиссией ЭД, возникает из нарушений действующего законодательства в силу того, что операции с ЭД относительно новы, права и обязанности участников таких сделок во многих случаях, как правило, не вполне определены, и юридические реалии оформляются медленнее, чем экономические. Это расхождение особенно заметно в сфере розничных услуг, расчеты в которой осуществляются данными платежными средствами.

Судебное разбирательство, в котором участвует банк, может повлечь определенные издержки, а судебное решение -- отрицательные имущественные последствия как для данного банка-эмитента ЭД, так и для других банков.

В дополнение к этому, правовой риск может возникнуть из-за сомнения в действительности некоторых соглашений, заключенных путем электронных средств.

Технология платежей ЭД выходит за рамки национальных границ. Возникают вопросы, связанные с необходимостью соблюдения различных национальных законов и инструкций, включая законы защиты прав потребителя, правила приватности и законы по «отмыванию» денег. Неправильная их оценка, а также существующая неопределенность в отношении указанных новаторских платежей может привести к непреднамеренному нарушению законодательства тех стран, где такие платежи осуществляются, что в конечном итоге ведет к правовым рискам.

Много убытков связано с некачественной юридической документацией. Установленный в банках порядок обязательного визирования юристами договоров и процедур снижает этот риск. Проблемы, по мнению специалистов, возникают либо по причине недостаточной квалификации работников юридической службы, либо по причине их невнимательности (последнее происходит, как правило, в случае слишком высокой загруженности работников). Кроме того, много усилий приходится прилагать для своевременного внесения изменений в документацию в условиях часто меняющегося законодательства (решение проблемы облегчает установленная должным образом процедура мониторинга нормативной базы). Специалисты в этой области рекомендуют применять «правило существенности», когда внимание юристов концентрируется на операциях, несущих «значительный» (определяемый для каждого банка индивидуально) риск потери денежных средств, а также «правило особого подхода к нестандартным операциям» (означает, что для всех договоров, отличных от стандартных, устанавливается индивидуальный порядок рассмотрения).

Системы ЭД могут быть привлекательны для реализации всевозможных схем, связанных с легализацией доходов, полученных преступным путем (общепринятый термин -- «отмывание» денег). Поскольку платежи ЭД анонимны и могут производиться на расстоянии, эмитенты могут столкнуться с возрастающими трудностями в применении традиционных методов обнаружения и предотвращения криминальной деятельности. Проблема идентификации клиентов при совершении платежей посредством ЭД, особенно если платежи согласно российскому законодательству и нормативным актам Банка России подлежат особому контролю, стоит остро. Согласно Федеральному закону от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» операции с денежными средствами подлежат обязательному контролю, если сумма, на которую она совершается, равна или превышает 600 тыс. руб. либо равна сумме в иностранной валюте, эквивалентной 600 тыс. руб., или превышает ее, а по своему характеру данная операция относится к одному из видов операций, установленных ст. 6 Закона. Суть контроля сводится к обязательной идентификации лица (данные паспорта, адрес места жительства и пр.), осуществляющего такую операцию, а также к документальному фиксированию и представлению в уполномоченный орган не позднее рабочего дня, следующего за днем совершения операции, сведений по указанным операциям (см. ст. 7). Однако технология платежей посредством ЭД (например, с использованием предоплаченных карт с микропроцессором) позволит обналичить сумму денежных средств, попадающую под обязательный контроль, который в силу указанных причин неосуществим, или осуществить перевод, минуя банковскую систему.

На международном уровне эта проблема подверглась тщательному анализу со стороны специалистов «большой семерки» в ходе многосторонних обсуждений в рабочих группах по противодействию «отмывания» незаконных средств (FATF). В июне 1996 года к Рекомендации FATF была добавлена рекомендация № 13, которая гласила, что «...все страны должны обратить особое внимание на схемы «отмывания» денег, свойственные новым или развивающимся технологиям и предпринимать меры для предотвращения их использования в подобных схемах...».

Проблема, связанная с «отмыванием» денег, также отмечается в докладе Группы десяти «Электронные деньги: защита потребителя, применение закона, надзор и проблемы операций через границу», подготовленном в апреле 1997 г.

Эмитенты ЭД могут столкнуться с правовым риском в отношении охраны приватности клиентов -- держателей ЭД. Клиенты, которые не были адекватно информированы о своих правах и обязательствах, могут возбудить против эмитента дело. В некоторых странах в этом случае к банку могут быть применены регулирующие санкции.

Стратегический риск отражает текущее и перспективное влияние на доходы или капитал ошибочных управленческих решений, несоответствующей реализации решений или недостаточной способности к ответным действиям на изменения в отрасли. Этот риск зависит от совместимости стратегических целей той или иной организации, деловых стратегий, разработанных для достижения этих целей, ресурсов, отведенных для данных целей и качества реализации стратегий. Ресурсы, требуемые для осуществления деловых стратегий, делятся на материальные и нематериальные. Они включают каналы связи, операционные системы, сети доведения услуг, а также управленческие способности и возможности. Собственные характеристики конкретной организации должны быть оценены в сопоставлении с воздействием экономических, технологических, конкурентных, регулятивных и других внешних факторов. Банк, взявший на вооружение новую технологию, получает наибольшую прибыль в случае верного ее выбора, поскольку отсутствует конкуренция на быстрорастущем сегменте финансового рынка (банк фактически является монополистом), и наоборот, терпит максимальные убытки, если сделанный выбор ошибочный -- ставка на крупные вложения в стратегические инвестиции проиграна.

Руководство банка должно осознать риски, связанные с эмиссией ЭД, до принятия решения о разработке конкретного вида деятельности. Банку следует также оценить, располагает ли он достаточной квалификацией и ресурсами для идентификации, мониторинга и контроля рисков, которые могут возникнуть при осуществлении указанной деятельности.

До внедрения услуги, связанной с платежами ЭД, руководству следует рассмотреть вопрос о том, насколько данная услуга и технология согласуются с материальными деловыми целями в стратегическом плане банка, т. е. удовлетворяет ли она тем или иным конкретным деловым потребностям, а не самой услуге как независимой цели. Банковские эксперты в области технологий совместно с маркетинговым и операционным персоналом должны участвовать в данном процессе планирования и принятия решений. Им следует удостовериться в том, что план согласуется с общими деловыми целями своего банка и не выходит за пределы устойчивости банка к риску от внедрения новых технологий в сфере розничных платежей. Соответственно, стратегическое видение должно определять тот способ, которым розничный бизнес будет разрабатываться, реализовываться и контролироваться.

Прочие риски. Некоторые из традиционных рисков в банковском деле -- кредитный, риск потери ликвидности, рыночный риск -- также могут иметь место при совершении операций с ЭД, хотя их практические последствия для банков и органов надзора носят иной масштаб, нежели риски, о которых было упомянуто выше. Особенно правдиво это утверждение в отношении банков, которые заняты различной банковской деятельностью (операции с ценными бумагами, трастовые операции, кредитные и т. д.) и эмиссия ЭД занимает незначительную ее часть, в отличие от банков, специализирующихся только на услугах в сфере розничных платежей.

Кредитный риск -- риск, который состоит в неспособности либо нежелании партнера действовать в соответствии с условиями договора. Этот риск имеет отношение не только к кредитованию, но и к другим операциям, которые находят свое отражение в балансе банка или на внебалансовом учете (вложения в ценные бумаги, гарантии, акцепты и др.). Кредитный риск в системе ЭД может возникнуть при условии инкорпорирования в схему эмиссии ЭД -- кредитной схемы, т. е. эмиссия электронных денег (выпуск денежных обязательств) будет осуществляться эмитентом не до получения денежных средств в размере не менее объема принимаемых эмитентом на себя обязательств (эмитируемой денежной стоимости), а в кредит. Такая схема эмиссии ЭД будет не только противоречить правовой природе электронных денег и законодательным инициативам в сфере регулирования ЭД международными институтами, но и ее реализация на территории Российской Федерации не представляется возможной.

Риск потери ликвидности связан с возможным невыполнением банком своих обязательств или необеспечением требуемого роста активов. Когда у банка недостаточна ликвидность, у него часто возникают трудности с покрытием дефицита путем увеличения обязательств либо путем быстрой реализации без значительных потерь и по приемлемой цене части своих активов. В результате затрагивается доходность банка. В крайних случаях недостаток ликвидности приводит к неплатежеспособности банка. Риск потери ликвидности может быть значительным для банков, специализирующихся на операциях с электронными деньгами, если они не в состоянии обеспечить фонды, за счет которых банк исполняет свои обязательства перед принимающими платежи в ЭД предприятиями (торговли, услуг). В дополнение к этому, неспособность вовремя исполнить свои обязательства может привести к судебным искам против банка и ущербу его репутации.

Рыночный риск связан с убытками по балансовым и внебалансовым статьям из-за колебаний рыночных цен. В соответствии с общепринятыми правилами бухгалтерского учета такие риски обычно обнаруживаются при осуществлении банком операций на рынке независимо от того, идет ли речь о долговых инструментах или об акциях самого банка. Специфическим элементом рыночного риска является валютный риск (изменения курса валют). Такому типу риска подвержены банки, принимающие в обеспечение эмиссии ЭД иностранную валюту.

Выполненный анализ рисков в системах ЭД показал, что, несмотря на многообразие видов рисков и способов их проявления, наиболее сложным видом с точки зрения его выявления и общего влияния на безопасность работы системы ЭД можно считать операционный риск в части несанкционированной эмиссии ЭД, т. е. появление в системе фальшивых электронных денег. Последствия такого риска могут быть катастрофическими для всей системы ЭД, так как это напрямую связано с возникновением риска потери репутации, правового и стратегического риска. К сожалению, никакими превентивными мерами нельзя исключить возникновения несанкционированной эмиссии, поэтому единственно возможной мерой противодействия можно считать своевременное обнаружение этого факта в реальном времени, т. е. оперативно фиксировать момент возможного использования фальшивых электронных денег. Решение этой проблемы возможно только при использовании современных информационных технологий, включая методы математического моделирования. Таким образом, возникает задача разработки математической модели системы ЭД. Однако наличие такой модели еще не гарантирует получения окончательных результатов исследований, которые можно было бы положить в основу выработки решений по предотвращению операционного риска в части несанкционированной эмиссии ЭД. Для того, чтобы это стало возможным, необходимо решение еще одной задачи -- определение методов и приемов практического применения математической модели, которые гарантировали бы достоверное прогнозирование последствий атаки. С целью выявления нарушений системы защиты операторы системы электронных денег на постоянной основе должны осуществлять мониторинг системы ЭД, применяя специально разработанную методику, базирующуюся на методах математического моделирования и современных информационных технологиях.

Список литературы

1. В.А. Кузнецов, А.В. Шамраев, А.В. Пухов. Предоплаченные инструменты розничных платежей. М., 2008.

2. А.К. Логинов. Электронные деньги. М., 2007.