9.2. перспективные решения. мобильный банкинг

9.2. перспективные решения. мобильный банкинг

В последние годы наметился интерес к взаимному сближению двух направлений обслуживания клиентов через разные по своей природе каналы связи С одной стороны, банки вынуждены искать новые формы борьбы с развивающимся

все более умным и изощренным мошенничеством в системах ДБО С другой стороны, операторам сотовой связи приходится создавать новые сервисы для своих абонентов, исчисляющихся десятками и сотнями миллионов

Идеальным сервисом для операторов сотовой связи могли бы стать возможность предоставления комплекса дистанционных услуг, включая доступ на портал государственных услуг, а также массовые сервисы безопасной оплаты услуг сторонних (не имеющих отношения к сотовой связи) организаций (парковка, транспорт, отели, аптеки, театры, билеты, оплата покупок в магазинах и т д )

Как сделать эти платежи безопасными? Опять обратимся к опыту банков, которые первыми начали использовать в своих приложениях виртуальное кибер-пространство, т . е . «недоверенную» анонимную среду Интернета .

Вначале данные кредитной карты просто вводились в HTML-форму и передавались по протоколу HTTPS, и клиенты банков регулярно страдали от атак на карточные системы Была предпринята попытка создания некоего островка «пространства доверия» В частности, был разработан протокол SET (SecureElectronicTransaction — протокол защищенных электронных транзакций). В его разработке кроме Visa и MasterCard принимали участие такие известные компании, как IBM, Microsoft, Netscape, RSA, Terisa и VeriSign .

Суть протокола SET состоит в том, что для всех основных участников электронных транзакций сертификаты подписи формата Х .509 выпускаются одним удостоверяющим центром, а для проверки неотказуемости заказа и платежеспособности покупателя и, кроме того, наличия товара (услуги) и правильности понимания заказа продавец использовал «дуальную» электронную цифровую подпись (ЭЦП). Сертификаты Х .509, по замыслу разработчиков, должны были обеспечивать надежную идентификацию трех сторон электронной сделки: покупателя, интернет-магазина и платежного шлюза Целью применения «дуальной» подписи является связывание двух сообщений, предназначенных двум разным получателям SET использовал алгоритм, позволяющий скрывать данные кредитной карты покупателя, заменяя их подписанным банком сертификатом Тем самым он обеспечивал сохранность (обезличенность) данных кредитной карты, так как при хранении сертификата его попадание в руки злоумышленника не позволяло этому последнему провести какую-либо мошенническую транзакцию по карте Несмотря на целый ряд технологических инноваций и высокий уровень безопасности, SET не получил широкого распространения в Интернете Сказались как высокая сложность, так и уязвимость дополнительного программного обеспечения (ПО), устанавливаемого на компьютере покупателя . Урезанные версии SET, не требовавшие такого ПО, были реализованы несколькими платежными шлюзами Интернета, в том числе и в России . Однако они не несли в себе всех преимуществ полного варианта, и к настоящему моменту протокол SET в целом прекратил свое развитие Поддержка платежных систем Visa, MasterCard и примкнувшей к ним JCB досталась более простому в использовании протоколу 3DSecure/SecureCode, также разработанному специалистами Visa

Протокол 3DSecure является XML-протоколом с дополнительным уровнем безопасности для онлайн-оплат по кредитным и дебетовым картам . Суть протокола, называемого Verified by Visa (сокращенно — VbV) в терминологии платежной системы Visa, SecureCode — в терминологии MasterCard и J/Secure — в терминологии JCBInternational, состоит в дополнительной аутентификации владельца карты перед совершением платежа для предотвращения или существенного снижения уровня мошенничеств Название 3-D протокол получил вследствие того, что в процессе подтверждения подлинности участвуют три домена, третья доверенная сторона — общий домен

В отличие от банков идентификация клиентов в сетях GSM (Global System for Mobile Communications) строилась на основе модели строгой двухфактор-ной аутентификации с помощью специальных чипов (SIM-карт). В основу безопасности сетей GSM положены достаточно стойкие алгоритмы и стройная архитектура, которые при надлежащем исполнении и развитии вполне способны гарантировать надежную аутентификацию пользователя, обеспечить защиту от клонирования и прочих методов мошенничества Собственно говоря, именно эти ее качества предопределили конкурентные преимущества для компаний, занимающихся разворачиванием сетей GSM по всему миру . Однако сети GSM изначально создавались для обеспечения надежного и гарантированного канала «речевой» связи, а не для банковских приложений или мобильных платежей Соответственно в SIM-картах нет и не было поддержки ЭЦП и PKI приложений .

Коммерческий успех того или иного предложения основан на эффективности применяемых решений Решения должны быть простыми, привычными, доступными, надежными и быть всегда «под рукой», т е работать в любую минуту и на всех каналах сервиса . При этом субъекты и объекты в диалоге должны быть надежно идентифицированы, а пользователь должен быть уверен в своей защищенности от атак на безопасность, осуществляемых, как правило, по принципу «злоумышленник посередине» (phishing, relay attack и т . п . ).

При работе с электронными приложениями пользователь нуждается не только в строгой пользовательской аутентификации, но и в строгой отчетности, особенно в работе с бесконтактными платежами и операционными приложениями (операционное подписание и операционное архивирование)

Безопасность проводимых операций может быть обеспечена при выполнении следующих условий:

■ процесс идентификации и аутентификации (подтверждения подлинности идентификации) пользователя выполняется отдельно от фактической сделки (канала запроса);

■ пароль доступа никогда не передается по каналам связи;

■ аутентификатор пользователя не может быть использован другим человеком;

■ вор, завладевший средством доступа, может им воспользоваться, но не сможет выдать себя за владельца сертификата жертвы

Сочетание перечисленных факторов возможно, если в системе оказания дистанционных услуг присутствуют не только «островки доверительных отношений», но и «канал доверенной связи» . Этот второй канал запроса к «островам доверия» может быть организован по каналу GSM с помощью специальной SIM-карты — Mobil-ID + ЭЦП . Данный способ позволяет легко и просто организовать персональное адресное взаимодействие в виртуальном пространстве и сделает это естественным, безопасным и надежным способом

Суть перспективного технологического предложения — попробовать соединить в одном мобильном устройстве несоединимые раньше вещи: GSM и PKI . Кроме обычных функций SIM-карта Mobil-ID + ЭЦП должна содержать функционал, на основании которого провайдеры интернет-услуг смогут при необходимости по каналу запроса надежно идентифицировать пользователя как законного владельца данной SIM-карты . Владелец смарт-карты в свою очередь сможет подтвердить (собственноручно подписать) с ее помощью свое волеизъявление, используя для этого легитимный инструментарий электронной цифровой подписи

SIM-карта Mobil-ID + ЭЦП в отличие от обычной должна иметь дополнительное средство строгой аутентификации на основе криптографии с открытым ключом Ап-паратно это средство может существовать интегрально либо размещаться отдельно, например в виде второй SIM-карты, связанной прокси с основной SIM-картой, или отдельного устройства microSD . С помощью данного средства будет обеспечиваться связь владельца (абонента сети GSM) с инфраструктурой открытых ключей PKI .

Равно как и для оператора сотовой связи, для которого пара — секретный ключ Ki — персональный идентификатор IMSI (International Mobile Subscriber Identity) используется повсеместно в связке с регистром положения домашних абонентов (HLR1) для строгой идентификации SIM-карт . В виртуальном «анонимном» пространстве мобильный сертификат становится электронным удостоверением личности, который в любой момент может быть предъявлен владельцем Мобильным сертификатом можно пользоваться повсеместно и многократно, его, как и мобильный телефон, пользователь всегда носит с собой

Основная область применения SIM-карты Mobil-ID + ЭЦП — использование мобильного телефона для подтверждения операций, требующих исполнения строгих процедур проверки подлинности данных и субъектов информационного взаимодействия . Услуги WirelessPKI для сотового оператора должен предоставлять специальный провайдер услуг, именуемый Mobile Signature Service Provider (MSSP).

На практике двухканальная многофакторная мобильная аутентификация на основе SIM-карты Mobil-ID + ЭЦП позволит не только идентифицировать владельца в системе оказания электронных услуг, но и использовать электронные подписи в течение всего сеанса связи или даже по завершении телефонного звонка Владельцу больше не придется запоминать все свои пароли и имена пользователя Он сможет вообще отказаться от кодовых банковских карточек

1 HLR — Home Location Register, Регистр положения домашних абонентов .

и PIN-калькуляторов . Если для различных сервисов сейчас пользователь вынужден использовать различные идентификационные данные (пароли и имена пользователя), то такая SIM-карта позволит авторизоваться во все службы и сервисы с одним-единственным персональным кодом Функционально владелец новой SIM-карты сможет делать те же электронные операции, что и владельцы обычных смарт-карт, — заходить в интернет-банк, на порталы услуг, подписывать различные договоры и пр При этом MSSP обеспечивает двухканальную поддержку строгой аутентификации по сочетаниям многих факторов, включая ГОСТ Р 34 10—2001, ГОСТ Р 34.11—94 (криптография с открытым ключом), ГОСТ 28147—89 .

Сертификат ключа подписи можно сравнить с имеющимся образцом подписи — доступ к нему открыт и адресат всегда может проверить подлинность этой подписи . Если IMSI, сертификат и цифровая подпись совпадают, можно быть уверенным в том, что электронный документ был подписан именно тем человеком, чьи данные записаны в сертификате Секретный ключ «помечает» подписанный документ уникальным образом, так что позднее всегда можно доказать, что подпись была сделана именно с помощью этого средства

С помощью SIM-карты Mobil-ID + ЭЦП можно осуществлять шифрование данных, в первую очередь для безопасной транспортировки файлов по каналам связи Если пользователь утратил ее, расшифрование файлов становится невозможным Неоспоримое преимущество Mobil-ID + ЭЦП заключается в том, что владельцу не придется отдельно использовать какой-либо считыватель для смарт-карт, он сможет воспользоваться услугой доступа с любого, даже очень «сомнительного» («недоверенного») компьютера . Мобильный телефон в данном случае выполняет функции считывателя смарт-карт, самой карты и доверенного канала Криптозащита основывается на разделяемой между Mobil-ID + ЭЦП и MSSP, а также SIM-картой и Центром коммутации сотовой связи (HLR) секретной информации .

Поддержку электронной подписи при таком подходе можно интегрировать практически в любое программное приложение

Владельцам SIM-карт и операторам сотовой связи Mobil-ID + ЭЦП обеспечит уникальные свойства и отличительные качества:

■ высокую степень безопасности и высокую производительность системы аутентификации;

■ отсутствие процедурных ограничений по ведению бизнеса, включая соблюдение авторских прав и безопасности загружаемых данных;

■ возможность для обезличивания персональных данных — без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно;

^ интегрированный механизм обеспечения безопасности (доверенная среда с прозрачным шифрованием данных);

■ надежные ко взлому алгоритмы и аппаратные средства многофакторной аутентификации, основанные на принципах суверенитета (национальной криптографии);

■ доступ к любым услугам, включая услуги «электронного правительства»;

■ доверенный мониторинг — имеется возможность наблюдать за всеми действиями и передавать результаты пользователю, который может убедиться в том, что все действия провайдера выполняются в соответствии с документированными запросами и с регламентом (подписанным соглашением)

Данная SIM-карта обеспечивает уникальные коммерческие качества провайдерам услуг:

^ Mobile Signature ServiceProvider, который может работать виртуально на любых коммуникационных сетях, предоставляет коммерческим операторам взаимодействующих информационных систем дополнительный доверенный сервис в виде приложений (WPKI);

■ администратор не имеет доступа к паролям пользователей;

^ MSSP может предоставлять по документированному запросу документированные ответы (доказательства), которым смогут доверять все подписчики того или иного сервиса Дополнительно владельцам таких SIM-карт со стороны провайдеров услуг могут быть предоставлены:

■ «облака» национальной аутентификации;

^ объединяющие транснациональные решения (транспортные, таможенные, межбанковские, нотариальные и др );

■ поддержка доверенных «облаков» в «облаке» корпоративных приложений;

■ мультисервисная национальная аутентификация в трансграничном домене

услуг

Безусловно, в данной главе книги рассмотрены далеко не все проблемы, связанные с решением проблем применения идентификации и аутентификации при проведении расчетов и платежей через сети общего пользования Например, одним из открытых вопросов пока остается проблема формирования требований к ААА при неотвратимом взаимодействии ИСОП и закрытых корпоративных систем, принадлежащих банковской системе РФ .

Согласно ст . 2 Закона об электронной подписи участниками информационного взаимодействия могут быть государственные органы, органы местного самоуправления, организации и граждане Попробуем сформулировать требования к идентификации и аутентификации для этих групп участников взаимодействия

Если запрос на услуги не персонифицирован (например, в простейшем случае не требует реакции ответственного лица), то идентификация не нужна . Соответственно не требуется и аутентификация того, кто делает запрос

Если запрос на государственную услугу персонифицирован, то требуется идентификация пославшего запрос Если ответ подразумевает подпись ответственного лица, то вдобавок к обязательной идентификации требуется аутентичность запроса и ответа Если подпись усиленная (с использованием неквалифицированного или квалифицированного сертификата), то требуется строгая аутентификация (табл . 9 .1).

Соответственно на основе анализа текста Закона об электронной подписи и приведенных рассуждений мы можем сформулировать и требования к способам аутентификации В случаях, когда ответ ответственного лица на запрос государственной услуги имеет правовые последствия (типичным примером является услуга подтверждения или перехода прав собственности на надвижимость), необходимо применять усиленную электронную подпись и квалифицированный сертификат При этом требуется применение строгой двухфакторной аутентификации Результаты для наглядности представлены в виде табл 9 2

Таблица 9.2

В зависимости от назначения системы, степени конфиденциальности циркулирующей в ней информации и роли пользователей задачи автоматической идентификации и аутентификации претендентов на право авторизации в качестве одновременно пользователя ИСОП и, например, ДБО всегда требуют внимательного изучения С одной стороны, это обусловлено тем, что в нормативных актах отсутствуют рекомендации по выбору технологических решений для решения данной задачи С другой стороны, существующее многообразие технологий, продвигаемых производителями с той или иной степенью успешности, может породить ошибки проектировщиков ИСОП с точки зрения обеспечения надежности функционирования и реальной защиты выбранных решений

Выражаем надежду, что предложенные требования к идентификации и аутентификации позволят существенно снизить риски мошенничеств при строительстве ИСОП и систем платежей с использованием Интернета

глава 10

закон о нпс: Структура

и комментарии

Закон об НПС, или Закон «О национальной платежной системе» определил законодательное поле для всех субъектов рынка Впервые в российской истории, признав наличие электронных средств для осуществления расчетов, Закон устанавливает единые для всех участников НПС правила проведения расчетов (момент наступления окончательности платежа, обеспеченность расчетов, круг лиц, принимающих участие в расчетов, и роль каждого из них и др )

Принятие данного документа потребовало основательной переработки многих иных документов и законов, что повлекло одновременное принятие и Закона «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона „О национальной платежной системе"» от 27 июня 2011 г . № 162-ФЗ (перечень законодательных актов, затронутых Законом № 162-ФЗ см . в конце данной главы).

В данной главе книги будут рассмотрены структура Закона об НПС, последовательность вступления в силу положений Закона, будут обсуждены особенности регулирования платежных услуг, деятельности субъектов национальной платежной системы с точки зрения нового закона, надзора и наблюдения в НП, даны некоторые комментарии1

10.1. что представляет собой НПС с точки зрения закона

Приведем еще раз определение НПС, данное Законом об НПС (ст 3): «Национальная платежная система (НПС) — совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций Федеральной почтовой связи, операторов услуг платежной инфраструктуры»

1 Закон № 162-ФЗ, на наш взгляд, в особых комментариях не нуждается, поэтому ограничимся тем, что приведем список законодательных актов, которые он затрагивает (см . приложение в конце данной главы).

Уже из данного определения можно сделать вывод, что Закон регулирует отношения, возникающие между широким кругом участников, задействованных в осуществлении платежей (в том числе электронных), проводимых по инициативе (с согласия) плательщика в пользу получателя денежных средств .

Напомним, что Закон о деятельности по приему платежей физических лиц, осуществляемой платежными агентами регулирует отношения, возникающие только по инициативе продавца товаров (услуг), и не охватывает большинства операций, существующих сегодня

Закон о НПС дает возможность, сохраняя стабильность системы расчетов, на законных основаниях существенно расширить круг участников расчетов, что в свою очередь приводит к снижению цены обработки одного платежа и расширению доступности платежной инфраструктуры для плательщиков (рис . 10 .1).

Плательщики

1

Платежная система

Центральный клиринговый центр

К-

Оператор услуг

платежной инфраструктуры

Операционный центр

К-

Банковский платежный субагент

Получатели средств

Рис. 10.1. структурная схема национальной платежной системы в соответствии с Законом о НПс

участники платежной системы

Согласно Закону, в состав платежной системы в общем случае могут входить:

оператор по переводу денежных средств;

оператор электронных денежных средств;

банковский платежный агент;

банковский платежный субагент;

оператор платежной системы;

оператор услуг платежной инфраструктуры;

операционный центр;

платежный клиринговый центр;

9) центральный клиринговый центр;

10) расчетный центр

Приведенный состав участников является максимальным и может меняться в сторону уменьшения в зависимости от операций, осуществляемых конкретной платежной системой Несмотря на то, что к каждому из участников Закон предъявляет свои требования, возможно совмещение некоторых участников платежной системы в рамках одного юридического лица (при условии его соответствия предъявляемым законодательством требованиям в совокупности) Также допускается иметь неограниченное количество участников платежной системы, выполняющих одинаковые функции

Подробнее об организационной форме, особенностях лицензирования участников НПС и их функциональных обязанностях — табл 10 1

общая структура закона об нпс и порядок вступления в силу его положений

Как это часто бывает с принимаемыми законами (особенно имеющими инновационный характер), введение в действие его отдельных положений отсрочено Некоторые положения Закона № 161-ФЗ вступили в силу в момент его подписания, некоторые — через полгода, а отдельные положения должны вступить через год и даже полтора . В целях удобства информация сведена в одну таблицу (табл . 10 . 2) .

Таблица 10.2

292 • ГЛАВА 10. ЗАКОН О НПС: СТРУКТУРА И КОММЕНТАРИИ

Продолжение

Глава

Статья

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

Глава 2. ПОРЯДОК ОКАЗАНИЯ ПЛАТЕЖНЫХ УСЛУГ, В ТОМ ЧИСЛЕ ОСУЩЕСТВЛЕНИЯ

ПЕРЕВОДА ДЕНЕЖНЫХ СРЕДСТВ, И ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННЫХ

СРЕДСТВ ПЛАТЕЖА

Статья 4. Порядок оказания платежных услуг

Статья 5. Порядок осуществления перевода денежных средств

Статья 6. Особенности осуществления

перевода денежных

средств по требованию получателя

средств

Х

Х

Х

Продолжение

Глава

статья

Дата вступления в силу

сразу

через шесть мес.

через год через 18 мес.

статья 7. Особенности осуществления перевода электронных денежных средств

х

статья 8. Распоряжение клиента, порядок его приема к исполнению и исполнения

х

статья 9. Порядок использования электронных средств платежа

О

статья 10. Порядок использования

электронных средств

платежа при осуществлении перевода

электронных денежных средств

х

Глава 3. сУВЬекты национальной платежной системы и требования к их деятельности

статья 11. Оператор по переводу денежных средств и требования к его деятельности

статья 12. Оператор электронных денежных средств и требования к его деятельности

х

х

статья 13. Требования к деятельности оператора электронных денежных средств при увеличении остатков электронных денежных средств физических лиц — абонентов оператора связи

х

294 • глава 10. закон о нпс: структура и комментарии

Продолжение

Глава

Статья

дата вступления в силу

сразу

через шесть мес.

через год через 18 мес.

Статья 14. Требования к деятельности

оператора по переводу денежных средств

при привлечении

банковского платежного агента (субагента)

X

Статья 15. Оператор

платежной системы

и требования к его

деятельности

X

Статья 16. Оператор

услуг платежной

инфраструктуры и

требования к его деятельности

X

Статья 17. Требования к деятельности операционного центра

О

Насти 1—7 (все, кроме взаимодействия с иностранными операционными центрами)

Статья 18. Требования к деятельности

платежного клирингового центра

X

Статья 19. Требования к деятельности расчетного центра

X

Статья 20. Правила платежной системы

X

Глава 4. ТРЕБОВАНИя

к организации и функционированию платежных СИСТЕМ

Статья 21. Участники платежной системы

Статья 22. Признание платежной системы значимой

X

ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДОВ

Схемы перевода денежных средств (в том числе электронных) согласно Закону об НПС выглядят следующим образом .

Плательщик

Денежные средства (на банковском счет или нет)

Получатель денежных средств

I

Распоряжение

клиента (плательщика или получателя)

Оператор по переводу денежных средств 1

Оператор по переводу денежных средств 2 (посредник)

Денежные средства (на банковском счет или нет)

Схема 10.1. Перевод денежных средств

Получатель денежных средств

Денежные средства (на банковском счет или нет, если клиент — физическое лицо)

Оператор электронных денежных средств 2

Распоряжение

на вывод электронных денежных средств

Схема 10.2. Перевод электронных денежных средств

Как видно из приведенных схем, основным отличием переводов обычных денежных средств от электронных является то, что при переводе электронных средств необходимо сначала зарезервировать обычные денежные средства . Данное положение Закона делает невозможным выпуск необеспеченных электронных денежных средств (иные отличия — табл . 10 . 3).

Таблица 10.3

Различные свойства

надзор и наблюдение за платежной системой

Основными целями надзора и наблюдения в национальной платежной системе являются обеспечение стабильности НПС и ее развитие

Контроль и надзор за соблюдением операторами по переводу денежных средств, являющимися кредитными организациями, операторами платежных систем, операторами услуг платежной инфраструктуры требований законодательства в НПС осуществляет Банк России . При осуществлении надзора Банк России:

анализирует документы и информацию (в том числе данные отчетности), которые касаются деятельности поднадзорных организаций и участников платежных систем, а также организации и функционирования платежных систем;

проводит инспекционные проверки поднадзорных организаций;

осуществляет действия и применяет меры принуждения .

Также Банк России определяет формы и сроки представления отчетности, в том числе в виде отчетности поднадзорной организации и сводной отчетности по платежной системе, методику составления указанной отчетности .

Банк России проводит плановые инспекционные проверки поднадзорных организаций не чаще одного раза в два года в соответствии с утвержденным Банком России планом проверок . При нарушении бесперебойности функционирования значимой платежной системы Банк России проводит внеплановые инспекционные проверки . Инспекционные проверки могут проводиться по отдельным вопросам деятельности поднадзорных организаций либо являться комплексными

При осуществлении надзора и наблюдения в национальной платежной системе Банк России взаимодействует с федеральными органами исполнительной власти, в том числе с ФСФР России, в том числе по вопросам участия в платежных системах профессиональных участников рынка ценных бумаг, юридических лиц — участников организованных торгов и (или) участников клиринга, а также по вопросам взаимодействия операторов услуг платежной инфраструктуры с клиринговыми организациями, центральными контрагентами и (или) депозитариями

Банк России может запросить центральный банк и иной орган надзора и наблюдения в национальной платежной системе иностранного государства о предоставлении информации или документов, которые получены в ходе исполнения функций надзора и наблюдения, а также может предоставить центральному банку и иному органу надзора и наблюдения в национальной платежной системе иностранного государства указанные информацию или документы, которые не содержат сведений о переводах денежных средств, при условии обеспечения указанным органом надзора и наблюдения в национальной платежной системе режима сохранности информации, соответствующего установленным законодательством Российской Федерации требованиям обеспечения сохранности информации, предъявляемым к Банку России . В отношении информации и документов, которые получены от центральных банков и иных органов надзора и наблюдения в национальных платежных системах иностранных государств, Банк России обязан соблюдать требования по раскрытию информации в соответствии с заключенными соглашениями (меморандумами) о сотрудничестве система регулирования рисков платежной системы

Принципиальным новшеством для российских платежных систем стала необходимость выстраивания системы регулирования рисков, что закреплено в ст. 28 Закона № 161-ФЗ .

Систему рисков как свод правил создает оператор или коллегиальный орган во главе с оператором платежной системы в каждой платежной системе самостоятельно

Оператор платежной системы определяет одну из следующих используемых в платежной системе организационных моделей управления рисками в платежной системе:

самостоятельное управление рисками в платежной системе оператором платежной системы;

распределение функций по оценке и управлению рисками между оператором платежной системы, операторами услуг платежной инфраструктуры и участниками платежной системы;

передача функций по оценке и управлению рисками оператором платежной системы, не являющимся кредитной организацией, расчетному центру .

Система управления рисками должна предусматривать следующие мероприятия:

определение организационной структуры управления рисками, обеспечивающей контроль за выполнением участниками платежной системы требований к управлению рисками, установленных правилами платежной системы;

определение функциональных обязанностей лиц, ответственных за управление рисками, либо соответствующих структурных подразделений;

доведение до органов управления оператора платежной системы соответствующей информации о рисках;

определение показателей бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;

определение порядка обеспечения бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;

определение методик анализа рисков в платежной системе, включая профили рисков, в соответствии с требованиями нормативных актов Банка России;

определение порядка обмена информацией, необходимой для управления рисками;

определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев;

определение порядка изменения операционных и технологических средств

и процедур;

10) определение порядка оценки качества функционирования операционных

и технологических средств, информационных систем независимой организацией;

11) определение порядка обеспечения защиты информации в платежной системе

Способы управления рисками в платежной системе определяются оператором платежной системы с учетом особенностей организации платежной системы, модели управления рисками, процедур платежного клиринга и расчета, количества переводов денежных средств и их сумм, времени окончательного расчета .

Система управления рисками может предусматривать следующие способы управления рисками:

установление предельных размеров (лимитов) обязательств участников платежной системы с учетом уровня риска;

создание гарантийного фонда платежной системы;

управление очередностью исполнения распоряжений участников платежной системы;

осуществление расчета в платежной системе до конца рабочего дня;

осуществление расчета в пределах предоставленных участниками платежной системы денежных средств;

обеспечение возможности предоставления кредита;

использование безотзывных банковской гарантии или аккредитива;

другие способы управления рисками, предусмотренные правилами платежной системы

Таким образом, финансовые риски, возлагаемые на каждого из участника платежной системы, становятся контролируемыми, и при должном контроле риск дефолта платежной системы сведен к минимуму

10.2. КОММЕНТАРИИ К СТАТЬЯМ ЗАКОНА ОБ НПС ОСНОВНЫЕ ПОНЯТИЯ (СТ. 3)

Статью 3 Закона, в которой даются основные понятия, используемые в данном законе, и в том числе определения участников НПС (см . табл . 10 .1), необходимо читать с поправкой на то, что определения, данные в ней, не являются исчерпывающими . Более того — их конкретизация в последующих статьях Закона может существенно корректировать данные в ст 3 определения Например, в п 7 ст 3 дается определение оператора услуг платежной инфраструктуры как операционного, платежного клирингового и расчетного центра Понятиям операционного, платежного клирингового и расчетного центра в последующих пунктах статьи (8, 9, 11) тоже даются определения, также имеющие общий характер . И далее в ст 16, полностью посвященной оператору услуг платежной инфраструктуры и требованиям к его деятельности, конкретизируется круг организаций — потенциальных и реальных операторов, причем наряду с общим делением организаций, имеющих право быть операторами, на кредитные организации и некредитные

302 ^ ГЛАВА 10. ЗАКОН О НПС: СТРУКТУРА И КОММЕНТАРИИ

организации называются две конкретные организации — Банк России и Внешэкономбанк .

И это не единственный пример — какие-то понятия исчерпывающе описаны в Законе в рамках одной статьи, некоторые — в двух или трех (см . табл . 10 .1).

ПОРЯДОК УСЛУГ С ИСПОЛЬЗОВАНИЕМ ЭЛЕКТРОННЫХ СРЕДСТВ ПЛАТЕЖА (СТ. 7, 9, 10, 12, 13)

Отметим следующую особенность отдельных статей: порядок оказания платежных услуг, связанных с использованием электронных средств платежа (ст . 7, 9, 10, 12, 13), не содержит никаких положений, связанных с переводом обычных денежных средств, поэтому представителям организаций, не занимающихся электронными платежами, можно не изучать данные статьи, пропуская их в полном объеме

ТРЕБОВАНИЯ К ДЕЯТЕЛЬНОСТИ ОПЕРАТОРА ПРИ ПРИВЛЕЧЕНИИ БАНКОВСКОГО ПЛАТЕЖНОГО АГЕНТА (СТ. 14)

Начнем с того, что данная статья появилась в Законе об НПС в связи с тем, что теперь банкам как участникам национальной платежной системы разрешено иметь банковских платежных агентов и субагентов По сути статья шире, чем обсуждаемый нами Закон, и относится, скорее, к Закону о банках и банковской деятельности . На взгляд автора, вместо ее включения в текст Закона об НПС было бы правильнее сделать отсылку к Закону о банках, но законодатели выбрали вариант с включением статьи в текст

Статья 14 содержит два принципиальных новшества, которые способны серьезно изменить рынок:

предусмотрена возможность выдачи наличных денежных средств банковскими платежными агентами и субагентами Правда, пока законодатель не разрешает использовать для выдачи полученную агентом выручку — ее надо сдавать в банк на специальный счет в полном объеме, а потом заново получить средства для выдачи наличных денежных средств Однако в будущем данное положение открывает возможность выдачи кредитов и депозитов с помощью тех же терминалов приема наличных денежных средств;

предусмотрена возможность банку работать через субагентов . Раньше это было запрещено, что ставило банки в неравное положение с обычными платежными агентами, работающими по Закону № 103-ФЗ . Отметим, что пока использование данного преимущества затруднено, поскольку Банком России еще не полностью обновлена соответствующая нормативная база, но это вопрос времени

Положения Закона начиная со ст . 18 пока не вступили в силу, не имеют правоприменительной практики и комментировать их пока не имеет смысла Прокомментируем один важный нормативный акт Банка России — Инструкцию № 135-И1 .

операторы платежных систем и требования к их деятельности (ст. 15)

оператор платежной системы по сути является организатором и «руководящим звеном» этой системы

Оператором платежной системы может стать:

кредитная организация;

организация, не являющаяся кредитной организацией и созданная в соответствии с законодательством Российской Федерации;

■ Банк России;

■ Внешэкономбанк

Оператор платежной системы обязан:

■ определять правила платежной системы, организовывать и осуществлять контроль за их соблюдением участниками платежной системы, операторами услуг платежной инфраструктуры;

■ осуществлять привлечение операторов услуг платежной инфраструктуры исходя из характера и объема операций в платежной системе, обеспечивать контроль за оказанием услуг платежной инфраструктуры участникам платежной системы, а также вести перечень операторов услуг платежной инфраструктуры;

■ организовывать систему управления рисками в платежной системе, осуществлять оценку и управление рисками;

^ обеспечивать возможность досудебного и (или) третейского рассмотрения споров с участниками платежной системы и операторами услуг платежной инфраструктуры в соответствии с правилами платежной системы

Если оператор платежной системы не является кредитной организацией, он обязан привлечь в качестве расчетного центра кредитную организацию, которая не менее одного года осуществляет перевод денежных средств по открытым в этой кредитной организации банковским счетам . Кроме того, к таким организациям, намеревающимся стать операторами платежных систем, выставляются определенные требования, связанные с величиной чистых активов и некоторыми характеристиками руководителей высшего уровня

Организация, намеревающаяся стать оператором платежной системы, направляет в Банк России регистрационное заявление в сопровождении пакета документов, перечень которых установлен отдельно для кредитных и прочих организаций (у последних список необходимых документов вдвое длиннее).

В течение 30 дней со дня получения регистрационного заявления Банк России принимает решение о регистрации претендента в качестве оператора платежной системы либо решение об отказе в такой регистрации

Отказ в регистрации организации в качестве оператора платежной системы со стороны ЦБ РФ должен быть мотивированным . Перечень оснований для отказа является закрытым и также дифференцирован для кредитных и некредитных организаций

Одна и та же организация может быть зарегистрирована как оператор нескольких платежных систем

Законом предусмотрен закрытый перечень оснований, по которым Банк России вправе принимать решение об исключении сведений об организации из реестра операторов платежных систем Более того, имеется специальная оговорка о том, что по иным основаниям исключение организаций из реестра не допускается

Операторы различных платежных систем могут заключить договор о взаимодействии своих платежных систем (при условии отражения порядка такого взаимодействия в правилах платежных систем)

Кредитным организациям, являющимся операторами по переводу денежных средств (т . е . практически всем действующим кредитным организациям, обладающим лицензиями на осуществление банковских операций), следует обратить внимание на п . 39 ст . 15, согласно которому при определенном стечении обстоятельств может возникнуть необходимость регистрировать новую платежную систему в принудительном порядке:

«Оператор по переводу денежных средств, за исключением Банка России, у которого открыты банковские счета не менее трех других операторов по переводу денежных средств и между этими счетами осуществляются переводы денежных средств в течение трех месяцев подряд в размере, превышающем значение, установленное Банком России, обязан обеспечить в соответствии с требованиями настоящей статьи направление в Банк России заявления о регистрации оператора платежной системы в течение 30 дней после дня начала соответствия указанному требованию. По истечении четырех месяцев после дня начала соответствия указанному требованию осуществление перевода денежных средств между банковскими счетами операторов по переводу денежных средств, открытыми у такого оператора по переводу денежных средств, допускается только в рамках платежной системы».

Речь идет о корреспондентских счетах ЛОРО, которые кредитные организации открывают друг у друга для осуществления собственных и клиентских расчетов Количество таких счетов в зависимости от величины банка и степени его активности на межбанковском рынке может колебаться от нуля до нескольких сотен, а объем оборотов по ним — и вовсе величина неограниченная .

Таким образом, если объем взаимных расчетов между четырьмя и более банками превысит установленное (на данный момент — пока неизвестное) значение, они должны объявить себя платежной системой, зарегистрироваться в установленном порядке и дальше продолжать деятельность в соответствии с Законом об НПС .

Очевидно, таким способом регулятор пытается не допустить появления на рынке и функционирования «скрытых» платежных систем и незарегистрированных операторов таких платежных систем

операторы услуг платежной инфраструктуры (ст. 16)

К операторам услуг платежной инфраструктуры (далее — оператор УПИ) относятся:

■ операционный центр;

платежный клиринговый центр;

расчетный центр .

О возможности и даже необходимости участия в расчетах указанных организаций Банк России заявлял еще 16 лет назад . Как указывалось в Стратегии развития платежной системы России, утвержденной Советом директоров Банка России (Протокол № 15 от 1 апреля 1996 г . ), регулятор «ненамерен монополизировать систему расчетов в России, будучи уверенным в том, что в рыночной экономике есть место для негосударственных расчетных и клиринговых палат, в первую очередь для организации расчетов на финансовых и товарных рынках и осуществления расчетов с большими встречными обязательствами кредитных учреждений внутри замкнутой группы участников».

Под замкнутой группой участников, очевидно, подразумевался аналог современной платежной системы в терминах Закона: совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств

Следует отметить, что расчетный центр и платежный клиринговый центр должны быть созданы в соответствии с законодательством РФ, т . е . фактически должны быть расположены на территории РФ и являться резидентами с точки зрения законодательства о валютном регулировании и валютном контроле

Что же касается операционного центра, то в отношении этого участника расчетов требование о резидентстве отсутствует — таким образом, обеспечивается взаимодействие с международными платежными системами (в частности, с VISA и MasterCard, на которые приходится до 90\% российского рынка банковских карт) с минимальными издержками

Согласно п . 1 ст . 16 Закона об НПС, оператором УПИ может являться:

■ кредитная организация;

■ организация, не являющаяся кредитной организацией;

■ Банк России;

^ Внешэкономбанк .

Оператор УПИ (кроме организаций, не являющихся кредитными организациями) может совмещать оказание операционных услуг, услуг платежного клиринга и расчетных услуг, в том числе в рамках одной организации Кроме того, он может совмещать указанную деятельность с деятельностью оператора по переводу денежных средств (далее — оператор по ПДС), оператора платежной системы (далее — оператор ПС) и иной деятельностью, не противоречащей законодательству Российской Федерации .

Организации, не являющиеся кредитными, могут совмещать оказание операционных услуг и услуг платежного клиринга . Они также могут совмещать указанную деятельность с деятельностью оператора ПС и иной деятельностью, не противоречащей законодательству Российской Федерации

Банк России осуществляет деятельность оператора УПИ на основании Закона об НПС в соответствии с нормативными актами Банка России и заключаемыми договорами

Остальные операторы УПИ осуществляют свою деятельность в соответствии с правилами платежной системы и договорами, заключенными с участниками платежной системы и другими операторами УПИ

Правилами платежной системы должны определяться требования к операторам УПИ, с которыми могут заключаться договоры в соответствии с Законом

В частности, в отношении операторов УПИ должны быть определены требования к их финансовому состоянию, технологическому обеспечению и другим факторам, обеспечивающим бесперебойность функционирования платежной системы

Указанные требования должны:

^ быть объективными (реальными, лишенными предвзятости);

■ быть доступными для публичного ознакомления;

■ обеспечивать равноправный доступ операторов УПИ в платежную систему Операторы УПИ обязаны предоставлять оператору ПС информацию о своей деятельности (в части оказания услуг платежной инфраструктуры) в соответствии с правилами платежной системы

После 30 июня 2014 г . (по истечении трех лет со дня официального опубликования Закона об НПС) при осуществлении переводов денежных средств в рамках платежной системы операторами по ПДС, находящимися на территории Российской Федерации, должны привлекаться операторы УПИ, которые соответствуют требованиям Закона об НПС и находятся на территории Российской Федерации Исключение из этого требования сделано лишь для операционных центров (но в этом случае оператор ПС несет ответственность за надлежащее оказание операционных услуг участникам платежной системы)

Здесь, кстати, следует отметить некоторое несооветствие между отдельными статьями Закона об НПС В соответствии с п 7 ст 38 рассматриваемого документа «Положения части 11 статьи 16 и пункта 3 части 12 статьи 21 настоящего Федерального закона в части привлечения операционного центра и (или) платежного клирингового центра применяются по истечении трех лет после дня опубликования настоящего Федерального закона». При этом, однако, в указанных частях и пунктах речь идет только о привлечении оператором платежной системы операционного центра, находящегося за пределами Российской Федерации, и нет даже намека на возможность участия в российских платежных систем платежных клиринговых центров, являющихся нерезидентами

операционный центр (ст. 17)

операционный центр (далее — ОЦ) обеспечивает в рамках платежной системы для ее участников и их клиентов доступ к услугам по переводу денежных средств, в том числе с использованием электронных средств платежа, а также обмен электронными сообщениями

ОЦ осуществляет свою деятельность в соответствии с правилами п