Мудрый Экономист

Электронные деньги: управление риском легализации доходов в условиях интернет-платежей

"Расчеты и операционная работа в коммерческом банке", 2014, N 6

В чем заключаются особенности электронных денежных средств и электронных средств платежа в условиях интернет-платежей? Какие существуют способы оценки риска отмывания доходов и финансирования терроризма? Какие факторы риска связаны с идентификацией пользователей электронных средств платежа? Как оценить риск того, что электронное средство платежа попадет к ненадлежащему пользователю?

По данным Банка международных расчетов, с 2005 по 2013 г. в России количество ежегодных операций с использованием электронных денег выросло с 4,5 до 323 млн, а объем операций - с 1,4 млрд руб. (в пересчете по курсу 2005 г.) до 390 млрд руб. <1>. Такой быстрый рост обусловлен в том числе и принятием Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (далее - Закон о НПС), который регулирует операции с электронными денежными средствами (далее - ЭДС).

<1> Statistics on payment and settlement systems in selected countries. Figures for 2005 / Bank for International Settlements, Committee on Payment and Settlement Systems, March 2007; Statistics on payment, clearing and settlement systems in the CPMI countries. Figures for 2013 / Bank for International Settlements, Committee on Payment and Market Infrastructures, September 2014.

Операции с использованием ЭДС, как и большинство банковских операций, подвержены риску отмывания доходов, полученных преступным путем, и финансирования терроризма (далее - ОД/ФТ). В связи с этим при выполнении таких операций необходимо соблюдать требования Федерального закона от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - Закон о ПОД/ФТ) и принятых в соответствии с ним нормативных актов. В частности, это касается требования Банка России о разработке и реализации программы управления риском ОД/ФТ, которое установлено Положением Банка России от 02.03.2012 N 375-П "О требованиях к правилам внутреннего контроля кредитной организации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - Положение N 375-П). При этом необходимо принимать во внимание специфику операций с использованием ЭДС, в том числе учета ЭДС без использования банковских счетов, а также специфику применения электронных средств платежа (далее - ЭСП).

Особенности использования электронных денежных средств

В соответствии с определением, приведенным в Законе о НПС, ЭДС представляют собой денежные средства, которые предварительно предоставлены одним лицом (лицом, предоставившим денежные средства) другому лицу, учитывающему информацию о размере предоставленных денежных средств без открытия банковского счета (обязанному лицу), для исполнения денежных обязательств лица, предоставившего денежные средства, перед третьими лицами и в отношении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием ЭСП.

При этом под ЭСП понимается способ (средство), позволяющее клиенту составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств.

Фактически ЭДС представляют собой обязательства кредитной организации (оператора ЭДС) перед клиентом в денежной форме, которые учитываются на балансе операторов ЭДС в виде записей об остатках ЭДС в размере денежных средств, которые были предоставлены (в наличной или безналичной форме) клиентом оператору ЭДС или переведены в пользу клиента оператора ЭДС третьим лицом <1>. При этом за счет уменьшения остатка ЭДС можно осуществлять (по установленным в Законе о НПС правилам) переводы денежных средств в пользу третьих лиц (в виде ЭДС в пользу клиентов операторов ЭДС или в виде депозитных денежных средств на банковские счета получателей) или получать наличные денежные средства.

<1> Криворучко С.В., Лопатин В.А. Особенности перевода электронных денежных средств // Деньги и кредит. 2012. N 9. С. 50 - 57.

Как следует из определения, важнейшими свойствами ЭДС являются учет средств без использования банковских счетов и перевод средств исключительно с использованием ЭСП. Для учета остатков ЭДС используются лицевые счета на балансовом счете второго порядка 40903 "Средства для расчетов чеками, предоплаченными картами и осуществления переводов электронных денежных средств с использованием электронного средства платежа". При этом ЭСП делятся на персонифицированные, неперсонифицированные и корпоративные: персонифицированные электронные средства платежа (ПЭСП) применяют физические лица, которые прошли идентификацию в соответствии с требованиями Закона о ПОД/ФТ, неперсонифицированные электронные средства платежа (НЭСП) - физические лица, которые не прошли такую идентификацию или прошли упрощенную идентификацию, а корпоративные электронные средства платежа (КЭСП) - юридические лица и индивидуальные предприниматели, которые всегда проходят идентификацию в соответствии с Законом о ПОД/ФТ.

Есть девять способов перевода денежных средств, из них пять могут осуществляться с использованием ЭДС <1>:

а) списание денежных средств с банковского счета плательщика и увеличение остатка ЭДС получателя;

б) прием наличных денежных средств, распоряжения плательщика - физического лица и увеличение остатка ЭДС получателя;

в) уменьшение остатка ЭДС плательщика и зачисление денежных средств на банковский счет получателя;

г) уменьшение остатка ЭДС плательщика и выдача наличных денежных средств получателю - физическому лицу;

д) уменьшение остатка ЭДС плательщика и увеличение остатка ЭДС получателя (рис. 1).

<1> Положение Банка России от 19.06.2012 N 383-П "О правилах осуществления перевода денежных средств".

Способы перевода денежных средств

------------------¬                                     ------------------¬
¦Списание денежных¦ ¦ Зачисление ¦
¦ средств с ¦ ¦ денежных средств¦
¦банковского счета¦ -- - - - - - - - - - - - ¬ ¦ на банковский ¦
¦ плательщика +---¬ ¦ ---------------¬ ¦ --->¦ счет получателя ¦
¦ ¦ ¦ ¦Банк-посредник¦ ¦ ¦ средств ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
L------------------ ¦ L----------T---- ¦ L------------------
------------------¬ ¦ ¦ /¦ ¦ ¦ ------------------¬
¦ Прием наличных ¦ ¦/ ¦/ ¦ ¦ Выдача наличных ¦
¦денежных средств ¦ -----+-------+-¬ -----------+-+-¬ ¦ денежных средств¦
¦ от плательщика -¦ ¦ Банк ¦ ¦ Банк ¦ ¦ получателю - ¦
¦ физического лица+>¦ плательщика + ->¦ получателя +>¦ физическому лицу¦
¦ ¦ L----T-------T-- L----------T-T-- ¦ ¦
¦ ¦ /¦ ¦ /¦ ¦ ¦ ¦ ¦
L------------------ ¦ ¦/ ¦ L------------------
------------------¬ ¦ ¦ -----------+---¬ ¦ ¦ ------------------¬
¦ Уменьшение ¦ ¦ ¦ Платежная ¦ ¦ ¦ Увеличение ¦
¦ остатка ¦ ¦ ¦ ¦ система ¦ ¦ ¦ ¦ остатка ¦
¦ электронных +---- L--------------- L-->¦ электронных ¦
¦ денежных средств¦ L- - - - - - - - - - - - - ¦ денежных средств¦
¦ плательщика ¦ ¦ получателя ¦
¦ ¦ ¦ средств ¦
L------------------ L------------------

Рисунок 1

В рамках данной схемы плательщик и получатель денежных средств могут обслуживаться в одном банке (кредитной организации) или в разных банках (банке плательщика и банке получателя), причем банк плательщика и банк получателя могут рассчитываться между собой напрямую (через взаимные корреспондентские счета) или через посредника (используя платежную систему или сеть банков-корреспондентов). Важно, что банк, в котором плательщик или получатель имеет остаток ЭДС, должен быть оператором ЭДС, то есть должен быть внесен Банком России в перечень операторов ЭДС.

Среди особенностей использования ЭДС, которые могут влиять на управление риском ОД/ФТ при осуществлении интернет-платежей, можно выделить два случая: а) перевод ЭДС с использованием ЭСП в автономном режиме, когда оператор ЭДС осуществляет прием распоряжения о переводе ЭДС, уменьшение остатка ЭДС плательщика и увеличение остатка ЭДС получателя не одновременно (фактически в этом случае ЭСП используется в режиме офлайн, когда затруднена идентификация надлежащего пользователя ЭСП, что непосредственно влияет на управление риском ОД/ФТ (см. последний раздел статьи)); б) увеличение остатка ЭДС за счет денежных средств на лицевом счете клиента у оператора мобильной связи, если клиент оператора ЭДС одновременно является абонентом оператора связи. В этом случае управление риском ОД/ФТ со стороны оператора ЭДС потребует организации эффективного взаимодействия с оператором связи (в частности, при идентификации пользователя ЭСП, его местонахождения и т.д.).

Кроме того, необходимо выделить особенности ЭСП, которые также могут влиять на управление риском ОД/ФТ при осуществлении интернет-платежей:

а) использование в качестве ЭСП систем интернет-банкинга, построенных по схеме "толстого" или "тонкого" клиента;

б) использование гибридных ЭСП <1>, совмещающих в себе несколько ЭСП (например, систему интернет-банка и пластиковую карту);

в) наличие у пользователя нескольких ЭСП одного оператора ЭДС с разным уровнем идентификации (например, ПЭСП и НЭСП);

г) использование ЭСП, которое может быть идентифицировано удаленным образом (например, по номеру IMEI мобильного телефона), и т.п.

<1> Достов В.Л., Шуст П.М. Гибридизация как новая тенденция в эволюции платежных инструментов // Расчеты и операционная работа в коммерческом банке. 2012. N 2. С. 22 - 31.

Особенности управления риском отмывания доходов

Согласно п. 2 ст. 7 Закона о ПОД/ФТ требования к идентификации клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев (для кредитных организаций такие требования устанавливает Банк России) могут различаться в зависимости от уровня риска совершения клиентом операций в целях ОД/ФТ. Раскрывая в рамках Положения N 375-П идею риск-ориентированного подхода <2>, который в Законе о ПОД/ФТ только обозначен, Банк России выделил управление риском ОД/ФТ как один из четырех основных принципов организации в банке внутреннего контроля в целях ПОД/ФТ. При этом он включил в требования к правилам внутреннего контроля (ПВК) в целях ПОД/ФТ ряд требований к разработке и реализации программы управления риском ОД/ФТ.

<2> Рекомендации ФАТФ. Международные стандарты по противодействию отмыванию денег, финансированию терроризма и финансированию распространения оружия массового уничтожения / Пер. с англ. М.: Вече, 2012.

В соответствии с этими требованиями под управлением риском ОД/ФТ понимается совокупность предпринимаемых кредитной организацией действий по оценке и минимизации риска, предусмотренных законодательством РФ и договором с клиентом. В частности, к таким действиям могут относиться запрос и анализ дополнительных документов, отказ от заключения договора банковского счета (вклада) и отказ в выполнении распоряжения клиента о совершении операции.

Сразу отметим, что отказ от заключения договора банковского счета (вклада) непосредственно к ЭДС неприменим, так как ЭДС учитываются без открытия банковского счета. Однако это действие вполне применимо, если необходимо заблокировать переводы денежных средств с использованием остатков ЭДС и банковских счетов, осуществляемые списанием денежных средств с банковского счета плательщика для увеличения остатка ЭДС получателя и уменьшением остатка ЭДС плательщика для зачисления денежных средств на банковский счет получателя.

Кредитная организация управляет риском ОД/ФТ в соответствии с программой управления риском ОД/ФТ, являющейся неотъемлемой частью ПВК по ПОД/ФТ. При этом в рамках реализации программы управления риском ОД/ФТ кредитная организация обязана:

  1. классифицировать клиентов с учетом критериев, по которым оценивается уровень риска совершения операций в целях ОД/ФТ (риск клиента);
  2. определять риск вовлеченности кредитной организации и ее сотрудников в использование услуг кредитной организации в целях ОД/ФТ.

Заметим, что первая обязанность фактически состоит из двух: сначала необходимо оценить уровень риска клиента и затем, используя эту оценку, классифицировать клиентов. Риск клиента оценивается по одной категории или по совокупности категорий (риск по типу клиента и (или) бенефициарного владельца, страновой риск и риск, связанный с проведением определенного вида операций), причем для каждой из категорий Положение N 375-П устанавливает перечень факторов, влияющих на оценку риска.

Исходя из категорий риска и факторов риска в рамках каждой категории, кредитная организация может разработать шкалу для определения уровня риска клиента. В простейшем случае такая шкала будет состоять из двух уровней риска (например, низкого и высокого), причем переход с низкого на высокий уровень будет определяться реализацией определенных факторов риска. В более продвинутых системах оценки шкала риска клиента может строиться по многоуровневой схеме, а сам риск - определяться на средневзвешенной основе. Например, измеряя факторы риска по десятибалльной системе и приписывая каждому фактору относительный вес, можно определять риск в рамках каждой из трех категорий как средневзвешенную сумму оценок факторов риска, а далее вычислять на средневзвешенной основе совокупный риск клиента, приписывая относительные веса отдельным категориям риска.

В соответствии с п. 4.7 Положения N 375-П оценка риска клиента должна являться результатом анализа имеющихся у кредитной организации документов, сведений и информации о клиенте и его деятельности. И в этой части управление риском ОД/ФТ включает элементы идентификации клиента. Более того, в соответствии с п. 1.4 Положения Банка России от 19.08.2004 N 262-П "Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" программа идентификации клиентов, установления и идентификации выгодоприобретателей должна включать в том числе порядок оценки уровня риска совершения клиентом операций в целях ОД/ФТ и основания оценки этого риска.

Такая взаимосвязь идентификации и управления риском в целях ОД/ФТ имеет особое значение при проведении операций с использованием ЭДС, так как режим операций будет зависеть от применяемых ЭСП, которые, в свою очередь, могут отличаться по признаку идентификации (без идентификации, с упрощенной и полной идентификацией).

Заметим, что оценка риска клиента должна проводиться в отношении всех клиентов, причем Положение N 375-П не устанавливает никаких исключений. Это означает, что оценку риска клиента необходимо осуществлять в тех случаях, когда в соответствии с Законом о ПОД/ФТ идентификация клиентов не проводится. В частности, это относится к случаям совершения кредитными организациями перевода денежных средств без открытия банковского счета (в т.ч. перевода ЭДС), которые вошли в п. 1.4 ст. 7 Закона о ПОД/ФТ. Представляется, что в этом случае риск клиента должен оцениваться на основании информации и документов, которые кредитная организация получает вне рамок процесса идентификации. Заметим, что такой информацией в основном будет техническая информация об ЭСП (в т.ч. информация об идентификаторах ЭСП в Интернете или мобильной связи), а также информация о поведении клиента, использующего данное ЭСП.

Требование о классификации клиентов (с учетом критериев риска, по которым оценивается уровень риска клиента) также может выполняться разными способами. В случае если шкала оценки риска имеет небольшое количество уровней, классификация клиентов может совпадать с уровнем риска клиентов. Например, если на шкале два уровня риска (низкий и высокий), всех клиентов можно распределить на две группы: с низким и высоким уровнем риска. Если на шкале большее количество уровней, классификация клиентов может строиться путем выбора диапазона значений уровня риска. Например, при десятибалльной оценке уровня риска клиента классификацию можно провести, распределив клиентов на группы риска по количеству баллов: с низким (от 1 до 3 баллов), средним (от 4 до 7 баллов) и высоким (от 8 до 10 баллов) уровнем риска.

Возможны и более сложные системы классификации клиентов по группам риска, в том числе многомерные. Например, измеряя риск для каждой категории риска по двухуровневой шкале - низкий (Н) и высокий (В), при использовании трех категорий риска всех клиентов можно распределить на восемь групп (2 x 2 x 2 = 8): ННН, ННВ, НВН, НВВ, ВНН, ВВН, ВНВ, ВВВ. Однако такой подход имеет смысл использовать только при наличии адекватной методики интерпретации результатов классификации.

Что касается риска использования услуг кредитной организации в целях ОД/ФТ (риска вовлеченности кредитной организации и ее сотрудников в использование услуг кредитной организации в целях ОД/ФТ), то в соответствии с Положением N 375-П такой риск определяется исходя из видов предоставляемых клиентам продуктов (услуг) (например, операции с наличными денежными средствами, операции с ценными бумагами, в частности векселями, переводы денежных средств без открытия банковского счета), а также исходя из иных факторов, определяемых кредитной организацией самостоятельно. Заметим, что такой риск также может определяться по двухуровневой или многоуровневой шкале, в том числе на средневзвешенной основе.

Наряду с оценкой риска важнейшими элементами управления риском ОД/ФТ являются организация системы управления риском ОД/ФТ, мониторинг, анализ и контроль риска, пересмотр уровня риска, проведение мероприятий по минимизации риска и т.д. Особо необходимо выделить последний пункт - минимизацию риска, которая должна проводиться по итогам оценки совокупного риска ОД/ФТ (на основе оценки риска клиента и риска использования услуг кредитной организации в целях ОД/ФТ) в соответствии с выбранной методикой. При этом наиболее известными способами минимизации риска являются отказ от заключения договора банковского счета (вклада) и отказ в выполнении распоряжения клиента о совершении операции.

Кроме того, в случае операций с использованием ЭДС для минимизации риска ОД/ФТ кредитная организация может предусмотреть введение ограничений на остатки ЭДС, на суммы операций с ЭДС и на использование определенных видов ЭСП, закрепив данные ограничения в договорах с клиентами. Одновременно в соответствии с заключенными договорами при определенных обстоятельствах могут вводиться ограничения на использование некоторых продуктов (услуг), в том числе по частоте, времени и месту использования.

Риск использования электронного средства платежа ненадлежащим пользователем

При совершении операций с использованием ЭДС особый интерес представляет проблематика управления риском ОД/ФТ в условиях интернет-платежей. В этом случае специфические трудности управления риском ОД/ФТ связаны с появлением риска недостоверной идентификации реального пользователя ЭСП и связанного с ним риска неверной интерпретации поведения пользователя ЭСП при совершении платежей, что в конечном итоге приводит к появлению риска использования услуг кредитной организации в целях ОД/ФТ.

Основная особенность ЭСП - дистанционный характер составления, удостоверения и передачи распоряжений о переводе денежных средств, при котором пользователь ЭСП находится вне офиса кредитной организации. Это исключает какое-либо иное личное взаимодействие пользователя с сотрудником кредитной организации, кроме как с помощью телефона, видеосвязи или дистанционного обмена текстовыми сообщениями. Однако такие средства личного контакта обычно не применяются (за исключением обработки сбоев и инцидентов), так как это существенно замедляет и удорожает процесс платежа. В связи с этим кредитная организация не может проверить, является ли пользователь ЭСП надлежащим (официальным владельцем ЭСП) или ненадлежащим (например, завладевшим ЭСП в результате сговора или кражи).

В общем случае можно говорить о трех видах идентификации пользователя ЭСП <1>. Во-первых, это идентификация пользователя ЭСП на основании идентификации самого ЭСП. В этом случае предполагается, что ЭСП находится в распоряжении его официального владельца, а идентификация ЭСП осуществляется в соответствии с техническими возможностями используемого оборудования (например, по IP-адресу устройства в сети или по международному идентификатору мобильного оборудования IMEI). Во-вторых, это идентификация пользователя ЭСП на основании признаков официального владельца ЭСП (например, логина и пароля или цифровой подписи), зарегистрированных в кредитной организации при заключении договора с клиентом - владельцем ЭСП. В этом случае также предполагается, что пользователем ЭСП является официальный владелец ЭСП. В-третьих, это идентификация официального владельца ЭСП в рамках Закона о ПОД/ФТ, результаты которой используются при допущении, что именно он является пользователем ЭСП.

<1> Лопатин В.А. Идентификация пользователей электронных средств платежа // Финансовая безопасность. 2014. N 4. С. 15 - 20.

На рис. 2 показана схема взаимодействия кредитной организации с пользователем ЭСП на основе:

  1. договорных отношений, в рамках которых определяются идентификационные признаки ЭСП и пользователя ЭСП (по договору), а также идентификация клиента в соответствии с требованиями ПОД/ФТ;
  2. взаимодействия между программно-аппаратным комплексом (далее - ПАК) кредитной организации и ЭСП пользователя, соединенных между собой по каналу удаленного доступа.

Схема взаимодействия при использовании ЭСП

 ---------------¬
¦ Надлежащий ¦
¦ пользователь ¦
¦ ЭСП ¦ ----------------¬ ----------------¬
L-------o------- ¦ ПАК КО ¦ ¦ Договор КО с ¦
¦ ¦ ¦ ¦ клиентом ¦
--------+------¬ ¦--------------¬¦ ¦--------------¬¦
¦ -----o---¬ ¦ ¦¦Идентификация¦¦ ¦¦Идентификатор¦¦
¦ ¦Оригинал¦ ¦ ¦¦ пользователя¦¦ ¦¦ пользователя¦¦
-+ -o ЭСП ¦ ¦ ¦¦ ЭСП ¦¦ ¦¦ ЭСП ¦¦
¦ L--------- ¦/- - - - - - - -¦L--------------/-----L--------------¦
¦¦ / Канал удаленного --------------¬-----/--------------¬¦
¦ доступа /¦Идентификация¦¦ ¦¦Идентификатор¦¦
¦¦ ---------¬ ¦- - - - - - - -/¦¦ ЭСП ¦¦ ¦¦ ЭСП ¦¦
¦ ¦ Копия ¦ ¦ ¦¦ ¦¦ ¦¦ ¦¦
¦¦ ¦ ЭСП ¦ ¦ ¦L--------------¦ ¦L--------------¦
¦ L----o---- ¦ L------/-------- L-------/-------
¦L-------+------- /¬- /¬-
¦ ¦¦ ¦¦
¦--------o------¬ ¦¦ ¦¦
¦ Ненадлежащий ¦ -L/ -L/
Lo пользователь ¦ ------/------¬ -------/-----¬
¦ ЭСП ¦ ¦Идентификация¦ ¦ Анкета ¦
L--------------- ¦ пользователя/------- пользователя¦
¦ ЭСП (ПОД/ФТ)-------/ ЭСП (ПОД/ФТ)¦
L-------------- L--------------

Рисунок 2

При этом на рисунке показано, что пользователь ЭСП может быть надлежащим или ненадлежащим, в связи с чем возможны три варианта:

а) оригинал ЭСП находится во владении надлежащего пользователя ЭСП;

б) оригинал ЭСП находится во владении ненадлежащего пользователя ЭСП;

в) копия ЭСП находится во владении ненадлежащего пользователя ЭСП.

Очевидно, что разные ЭСП, ПАК и каналы удаленного доступа представляют разные возможности для выявления ненадлежащего пользователя ЭСП и (или) использования копии ЭСП. В связи с этим управление риском ОД/ФТ в условиях интернет-платежей должно включать оценку риска использования ЭСП ненадлежащим пользователем, в том числе риска использования несанкционированной копии ЭСП. Логично, если эта работа проводится в рамках оценки риска использования услуг кредитной организации в целях ОД/ФТ - как в отношении видов предоставляемых клиентам продуктов (услуг), так и исходя из иных факторов, определяемых кредитной организацией самостоятельно. При этом желательно учитывать следующие факторы:

а) технические возможности ЭСП с точки зрения удаленной идентификации ЭСП;

б) подверженность ЭСП копированию (исходя из опыта кредитной организации и других участников рынка);

в) уязвимость ПАК кредитной организации и канала удаленного доступа с точки зрения несанкционированного доступа;

г) уязвимость идентификаторов пользователя ЭСП с точки зрения копирования или перехвата и т.д.

В общем случае управление риском ОД/ФТ в условиях интернет-платежей с использованием электронных денег подчиняется стандартным правилам Положения N 375-П, включая оценку, анализ и минимизацию риска. При этом специфика управления риском связана:

При этом большое влияние на управление риском ОД/ФТ оказывает риск недостоверной идентификации реального пользователя ЭСП. Оценка этого риска во многом определяется факторами, связанными с техническими характеристиками ЭСП, ПАК кредитной организации и каналов удаленного доступа.

В.А.Лопатин

Заместитель начальника

департамент международных расчетов

дирекция расчетных операций

Внешэкономбанк