Какую информацию у вас никогда не станет запрашивать банковский работник

Содержание

Часто в комментариях на Хабре приходится встречать высказывания, что российские банки не умеют хранить персональные данные, да и вообще не очень-то расположены защищать клиента, например, при покупках через интернет. На самом деле система безопасности банков продумана лучше, чем может показаться. На примере Газпромбанка разбираемся в деталях защиты данных клиентов.

Миф: для сотрудника банка слив клиентской базы — простейшая операция

На практике все не так просто, как кажется. Внутренние системы банка построены с учетом защиты клиентской информации — это определяют приказы регулятора. При этом в крупнейших банках, по крайней мере в ТОП-10, используется не какой-то единственный инструмент, а всесторонний подход, сложная многоступенчатая защита. Клиентские данные защищены сразу несколькими средствами.

Доступ к данным организован по ролевой модели. То есть сотрудник не пользуется информацией, которая не связана с его текущей задачей. Например, операционист в клиентском зале не сможет запросить информацию о клиенте из другого филиала, даже получив в руки его паспорт. Ролевая модель учитывается во всех операциях, вплоть до сборки back-офисом консолидированных отчетов — сотрудники просто не видят отчеты, которые «не положены» им по должностным обязанностям.

Информацию, к которой сотрудник по должности все-таки имеет доступ, нельзя просто так скопировать.

Во-первых, о запросе информации моментально станет известно. Весь доступ к данным журналируется. Фиксируются даже запросы администраторов и суперпользователей. Кстати, рабочие места тех, кто связан с настройкой системы, контролируются еще и внешним оборудованием — так всегда можно узнать, зачем администратор заходил в систему.

Во-вторых, результаты запроса не «вынести». Все рабочие станции защищены от создания скриншотов и оборудованы системой контроля периферийных портов, которая блокирует подключение любого стороннего устройства и отслеживает копирование на незаблокированные. Данные даже на печать нельзя отправить без разрешения и внешнего контроля.

Утечки изредка все же происходят. Но события, отмеченные Центральным Банком, связаны в основном с работой подрядчиков, которые не соблюдали требования безопасности. К сожалению, их уровень зрелости защиты информации ниже. Понимая, что это дыра в системе безопасности, банки зачастую выдают подрядчикам доступ к синтетическим или обезличенным данным, нарушение конфиденциальности которых не приведет к наступлению финансовых рисков для банка.

Миф: легальные сотрудники вне игры, но есть же хакеры

Банковские системы действительно постоянно атакуют извне. В первую очередь это касается фронт-офиса, доступного через интернет: порталов, мобильных приложений, систем электронного диалога между банками и клиентами, клиентов для дистанционного обслуживания. Доля атак на внутренние системы (бэк-офис) составляет не более десятой процента.

Телефонный мошенник показал полицейским, как разводит людей

Цель атаки — получение дохода прямым или косвенным путем (например, через продажу данных). При этом атакующий может работать не один, а в хакерской группировке, где участники подобраны по необходимым навыкам. Члены такой группы могут даже не знать друг друга лично, отыгрывая четко прописанную роль.

Банки научились сражаться и с такой организованной преступностью. Каждый из компонентов банковской инфраструктуры защищен по-своему. Применяются и антивирусы, и средства защиты от всплывающих окон или удаленного доступа на рабочих местах сотрудников, и анти-DDoS, и системы выявления инцидентов внешними путями, и масса других инструментов.

Идеальных систем не существует. Я готов спорить, что в любой лучшей системе безопасности можно найти бреши. Но сегодня инфраструктура российских банков настолько развита, что взлом их систем будет стоить дороже, чем доход от этого мероприятия

Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка

Атаки на фронт-офис всегда реализуются через клиентские профили, поэтому противодействовать преступникам помогает выявление аномалий в поведении клиентов. Так можно заметить взлом еще до того, как о нем сообщит клиент.
В бэк-офисе база данных клиентов отделена от пользователей. Вторжения или действия, которые могут к ним привести в бэк-офисе, также фиксируются в режиме реального времени. Сейчас все происходит в почти автоматическом режиме. Роботы собирают всю информацию, а операторы принимают окончательное решение, как именно трактовать сложившуюся ситуацию. При необходимости они отправляют инциденты на расследование.

В нашем банке и у целого ряда крупных коллег созданы Ситуационные центры по информационной безопасности. Кстати, мы одни из первых, кто в России в 2009 году перешел на риск-ориентированный подход и внедрил выявление, анализ и противодействие инцидентам. В нашем ситуационном центре 24 часа в сутки 7 дней в неделю работает более 40 человек. Все это эксперты по безопасности с опытом в отрасли более 10 лет

Для разбора сложных ситуаций привлекаются эксперты профильных подразделений.
Миф: вы отлично рассказываете, но на черном рынке полно клиентских баз российских банков!

Наша практика показывает обратное. Большая часть «товара» — фейк. Привлекая подрядчика, который занимается киберразведкой, мы выходили на диалог со злоумышленниками, предлагавшими базы данных наших клиентов. Контрольная закупка показала, что данные там не скопированы с наших систем, а сформированы на основе информации из открытых источников.

К примеру, юрлицо размещает на сайте реквизиты: номер счета, наименование банка и так далее. Используя их, злоумышленники формируют некую фальсифицированную запись. В ней клиент, счет и расчетные реквизиты — реальные, а движение средств и остатки по счетам — нет. Для физических лиц аналогичные базы можно сформировать на основе интерфейсов систем быстрых платежей. Перебирая номера телефона, можно посмотреть, является ли физическое лицо клиентом нашего банка. Это известный кейс

Алексей Плешков
заместитель начальника департамента защиты информации Газпромбанка

Ситуационный центр расследует десятки тысяч сообщений в год, и лишь несколько из них касаются утечек информации. Зачастую это ложное срабатывание — предупреждение о том, что сотрудник скопировал некую информацию. Это могут быть даже синтетические данные, подготовленные для работы подрядчиков. Однако сигнал о подозрительном поведении обрабатывается в любом случае совместно с руководителем сотрудника, который выполнил копирование. Такое расследование помогает обучать систему.

Миф: SMS-сообщения, которые банки используют для уведомлений и подтверждения операций, недостаточно защищены. Это дыра в безопасности платежей по банковским картам?

Использование SIM-карты в качестве инструмента для двухфакторной авторизации действительно открывает мошенникам возможность вывести деньги клиента без его ведома. Для этого надо заменить или копировать привязанную к счету SIM-карту, чтобы перенаправить на себя SMS с подтверждением вывода клиентских денег.
Но банки вполне успешно борются с таким мошенничеством через партнерство с крупными мобильными операторами. Крупные банки и крупные же операторы заключили соглашения, что при замене данных клиента — номера телефона, IMEI устройства, уникальных идентификаторов SIM-карты — оператор оповещает банк. Получая такое уведомление, банк связывается с клиентом, чтобы проверить, все ли хорошо. Одни банки звонят через call-центр, другие присылают push-уведомления в нативное мобильное приложение. Незаметно подменить SIM-карту не получится.

У каждого банка действуют ограничения на операции после замены SIM-карты. У одних банков это часы, у других — день-два. Так что сделать все максимально быстро у злоумышленников уже не выходит.

Замена SIM-карты не типовая операция, поэтому в целом на клиентском сервисе это отражается не сильно.

Инструменты защиты стоят на отдельной виртуальной машине на каждом сервере — так организован перехват угроз еще на стадии виртуальных машин. Отказоустойчивость реализована на каждой площадке, плюс катастрофоустойчивость.

В последнее время банки стараются переводить этот риск в разряд страхового. Другие же перекладывают ответственность на сторону мобильного оператора. Заключенное с ним соглашение подразумевает, что именно оператор обеспечивает проверку абонента — мошенник это или нет. Использование того или иного подхода зависит от региона работы

Миф: есть масса способов украсть данные карты, чтобы вывести деньги через покупки в интернете. Деньги потом не вернуть!

Действительно, мошенники разработали массу способов получения данных карт. Но банки пытаются защитить клиента, даже если данные карты утекли в интернет по его вине.

Все крупные банки поддерживают технологию 3D Secure. Конечно, для мошеннических операций без присутствия карты выбираются банки (и подключенные к ним магазины), которые ее не поддерживают. Но по условиям платежных систем ответственность за проведение подобных операций берут на себя именно эти банки. Это схема reliability shift, которая определяет, что деньги при этом теряет банк, не поддерживающий защиту.

Также банки развивают системы антифрода. Базовые требования к ним определяют операторы платежных систем и закон о противодействии легализации денежных средств, полученных преступным путем.

Мы подробно разбираем на составляющие каждый сценарий проведения мошеннической операции. Смотрим временные рамки, профиль клиента, который подвергся атаке, использованные магазины. Так мы формируем некоторую корреляцию для загрузки в систему мониторинга финансовых транзакций, позволяющую выявлять и блокировать аналогичные операции. Так что если сценарий один раз сработал в отношении кого-то из наших клиентов, и тот заявил о мошенничестве, к другим клиентам применить его будет сложнее. Например, если обманули пожилого человека, мы можем сузить профиль клиента (возраст 60−70 лет, подобные операции ранее не совершались), выявить метаданные транзакции и реквизиты банка мошенника, куда был совершен перевод, оценить лимиты — обычно это суммы ниже порога, определенного 115-ФЗ. Все это позволяет на потоке выявлять похожие операции: отзваниваться бабушкам и уточнять, действительно ли они хотят перевести деньги

Какую информацию у вас никогда не станет запрашивать банковский работник

«В Центробанке рассказали, как не стать жертвой мошенников»

17 июля 2019 года
Поделиться

В последнее время в России участились случаи мошенничества в отношении клиентов банка. В частности, злоумышленники просят граждан сообщить свои персональные данные и данные банковских карт, которые затем используются для кражи денег с банковских счетов. Уточняется, что объем выявленных несанкционированных операций с использованием платежных карт в прошлом году вырос на 44% и достиг 1,38 миллиарда рублей. Мошенникам удалось получить различными обманными способами деньги физлиц около 417 тысяч раз.

Заместитель Председателя Центрального Банка РФ, куратор направления информационной безопасности Дмитрий Скобелкин рассказал в беседе с НСН о распространенной схеме мошенничества, а также объяснил, как не стать жертвой преступников, пользующихся приемами социальной инженерии.

— Насколько участились случаи такого мошенничества?

— По нашим оценкам проблема достаточно серьезная. Цифры говорят сами за себя. Могу сказать, что в прошлом году и начале этого года где-то 97% несанкционированных операций прошло из-за того, что мошенники под различными предлогами, вводили людей в заблуждение, обманывали их, играли на психологических аспектах, что, в общем-то, и является социальной инженерией.

— Какие схемы мошенничества наиболее распространены?

— Мы сейчас отмечаем порядка 10 схем, которые мошенники используют для обмана граждан. Их смысл сводится к тому, чтобы выманить у людей информацию о банковской карте и другие персональные данные, чтобы в итоге опустошить счет. На первый взгляд все выглядит достаточно банально.

С моей точки зрения, наибольшую опасность представляет такая схема, когда преступники представляются сотрудниками банка, сообщают клиенту о якобы зафиксированной попытке проведения несанкционированной операции, а затем выманивают персональные данные, мотивируя это тем, что эту карту нужно заблокировать и «вы можете потерять много денег». При этом мошенники зачастую используют технологию подмены номера. Это происходит с помощью IP-телефонии, когда на экране может высветиться номер действующего банка. Сообщая эту информацию, люди фактически отдают мошенникам в руки ключи, как говорится, «от квартиры, где деньги лежат». После этого банк, к сожалению, не сможет приостановить операции, ни провести другие действия по спасению денег клиента.

— Что делать, если человек заподозрил, что ему позвонили не сотрудники банка, а мошенники?

— Если такой звонок поступает, то в первую очередь, надо просто положить трубку. Потом посмотрите на официальном сайте телефон банка. На оборотной стороне карты также всегда присутствует телефон горячей линии. Нужно набрать его и узнать, все ли в порядке с вашим счетом, с вашими деньгами, с вашей картой.

Важно не делать обратных звонков по входящему номеру, потому что есть риск снова попасть на тот телефон, с которого вам мошенники звонили. Номер нужно набирать вручную.

Следует также помнить и понимать, что сотрудники банка никогда не будут запрашивать у вас номер карты или трехзначный код на ее оборотной стороне, код из смс или pin-код. Банку эта информация не нужна. Поэтому на такие просьбы нужно обращать особое внимание и в подозрительных ситуациях лучше перестраховаться.

— Как определить, что вам позвонили именно мошенники?

— Мошенники, как правило, играют на человеческой психологии. Обычно все сводится к некоему запугиванию: «ваши деньги будут безвозвратно потеряны». Еще один прием мошенников — обещания быстрой наживы. Например, рассказывают, что ваша карта участвовала в розыгрыше, который проводит банк, что вы победили, но выигрыш вам зачислят лишь после того, как вы сообщите свои данные.

Могут сказать, что налоговая служба намерена сделать налоговый вычет и для его получения также нужно сообщить конфиденциальную информацию. Этими способами потенциальную жертву вводят в стрессовую ситуацию, требуют быстро принять решение: например, на мнимый выигрыш претендуют три человека и деньги достанутся тому, кто первый сообщит свои данные.

Что интересно, по нашей статистике, основными жертвами мошенников становятся женщины 30-40 лет. И, конечно же, уловки мошенников действуют на поколение более пожилое.

— Как мошенники получают необходимую информацию о клиентах российских банков и их телефоны?

— Источником информации могут быть, например, социальные сети. Из них можно узнать фамилию, имя, отчество, номер телефона. Этого уже достаточно для такого обзвона. Источником могут стать персональные данные клиентов, которые они оставляют в различных организациях, например, в интернет-магазинах.

Нередко бывает, что люди оставляют номер своего телефона на каком-нибудь сайте для обратной связи, а сайт оказывается фишинговым, ворующим персональные данные. К сожалению, не везде эта информация хранится надлежащим образом. Кроме того, бывают утечки информации и из самих банков, но это редкие случаи.

— Какие меры предпринимает Банк России для защиты граждан от мошенников?

— Прежде всего, я очень благодарен средствам массовой информации, которые с нами работают, разъясняют людям те проблемные вопросы, на которые стоит обращать внимание. Сейчас мы вместе с банками и телеком операторами работаем над решением проблемы.

Нам понятно, как предотвратить случаи мошенничества с подменой номера с технической точки зрения, но необходимо и нормативное регулирование этого вопроса. Многое зависит от Министерства связи и массовых коммуникаций.

В настоящее время, ко второму чтению в Госдуме подготовлен законопроект, который наделяет Банк России правом досудебной блокировки доступа к фишинговым интернет-сайтам. Через такие ресурсы к мошенникам уходит большое количество персональных данных. Мы рассчитываем, что этот закон будет принят в ближайшее время, так как все понимают опасность нынешней ситуации. Мы уверены, что эта мера позволит нам лучше защитить персональные данные россиян. Необходимо приложить совместные усилия и Банка России, и правоохранительных органов, и коммерческих банков, и СМИ для того, чтобы активно противостоять мошенникам.

Какую информацию нельзя сообщать даже сотруднику банка — советы эксперта

Какие именно данные настоящие сотрудники банка никогда не попросят назвать?

Звонки от имени служб безопасности банков — один из распространенных видов мошенничества. Операционный директор платформы «Фаст Ривер» Ксения Артемьева рассказала, что нужно знать, чтобы не стать жертвой телефонных злоумышленников.

По словам эксперта, сотрудники банка никогда не попросят вас назвать код из смс-сообщения, а также цифры с оборота карты — CVV/CVC код.

«Если на том конце провода или в переписке у вас просят назвать эти данные — перед вами мошенник. Узнав секретный одноразовый пароль, мошенник может получить доступ к вашему онлайн-кабинету в банке или подтвердить транзакцию», — объяснила эксперт в разговоре с Газетой.ру.

Она добавила, что нужно внимательно относиться к данным срока действия карты. Их лучше хранить в секрете, потому что некоторые покупки в интернете можно провести без ввода CVC-кода: достаточно номера карты и срока ее действия.

Если ваши данные все же оказались у преступника, нужно как можно скорее блокировать карту. Это можно сделать в мобильном приложении банка, на сайте или по телефону поддержки. Также лучше сменить логин и пароль от входа в мобильный банк. Карту позже можно будет перевыпустить.

Однако есть данные, которыми можно поделиться с настоящими сотрудниками банка. Например, чтобы получить перевод от друзей или родственников, нужно назвать номер карты или расчетного счета. Использовать эти данные с мошенническими действиями без доступа к другой информации не получится.

Сотрудник банка действительно может позвонить для подтверждения некоторых операций. Но если вы сомневаетесь, лучше самому перезвонить в банк. Также представитель банка может спросить у вас ФИО, номер паспорта и последние четыре цифры номера карты. Эти данные нужны для подтверждения, что вы реальный владелец счета.

Артемьева подчеркнула, что избежать мошенничества помогут простые правила финансовой гигиены. Нельзя отвечать на подозрительные звонки, вводить данные карты на странных сайтах. Кроме того, нужно бережно хранить данные вашей карты.

Как ранее писал 5-tv.ru, россиян защитят от инфоциган . Минтруд планирует ввести на бизнес-коучей стандарт.

Какую информацию о вашей карте не может спрашивать по телефону сотрудник банка?

Количество просмотров: 4

Специалист должен убедиться, что на звонок ответил клиент банка, поэтому запрашивает фамилию, имя, прописку или место фактического проживания. Он может поинтересоваться, какую последнюю операцию по карте совершил клиент. Но сотрудник банка никогда не запрашивает полный номер банковской карты, срок ее действия, CVV и одноразовый код из смс, потому что для блокировки карты у него есть вся информация».

Какие данные сотрудник банка может спросить у держателя карты?

Сотрудник банка во время разговора по телефону для идентификации клиента обычно спрашивает ФИО, дату рождения, секретное слово. Может запросить последние 4 цифры карты. Никогда не спрашивает код из СМС и CVV-код, указанный на обороте карты!

Ещё помните, что сотрудники банка никогда сами не звонят, например, для подтверждения сомнительной операции.

Защитная система банка автоматически блокирует подозрительные операции. И если Вы совершали операцию и её заблокировали, то Вы сами должны позвонить в банк, а не наоборот!

Причины для осторожности

Сотрудники Сбербанка проходят тщательную проверку. Однако, все знают про недавний случай, когда находящийся на руководящей должности сотрудник банка помог похитить базу с персональными данными множества клиентов.

Да, сотрудник банка оказывает Вам помощь, но некоторая информация для этого ему не требуется и, если она запрашивается, лучше отказать, чем потом думать, не было ли у консультанта каких-то плохих побуждений.

К тому же, большинство операций проводится в зале, где помимо Вас и работников банка находится какое-то количество посторонних людей. С некоторой долей вероятности, среди них могут быть те, кто намеренно собирает данные клиентов для использования их в преступных целях.

Если же Вы беседуете с сотрудником банка по телефону, то меры предосторожности должны быть еще сильнее – номера сейчас легко подделываются преступниками, которые активно используют телефонные звонки от имени банка для обмана граждан.

Код из SMS

Как правило, сотрудники банка запрашивают ту информацию, которая не является секретной или опасной. Например, говорить коды из SMS-сообщений от банка нельзя никому, даже сотрудникам. Тем не менее, есть исключения: при оформлении новой карты, сотрудник, помогающий клиенту, может запросить одноразовый код для активации карты, подключения или отключения каких-либо услуг. И в этом нет ничего страшного, коды одноразовые, средств на карте нет.

Другое дело – код на списание денежных средств. Он также одноразовый, но, его должны знать только Вы. Если же речь идет о телефонном разговоре с сотрудником банка, то лучше не называть вообще никаких кодов из SMS-сообщений.

PIN-код

Когда клиент получает новую банковскую карту, сотрудник банка просит придумать и ввести PIN-код, который в дальнейшем будет использоваться для операций с картой. Зачастую это происходит прямо в зале, и условия не позволяют обеспечить полную конфиденциальность, потому что вокруг множество других клиентов. В таком случае, лучше попросить у сотрудника переместиться в другое место, чтобы секретный код не могли увидеть посторонние.

Один раз я лично наблюдал картину, как консультант помогала глуховатой пенсионерке при работе с банкоматом. Не обращая внимания на то, что в помещении много людей, она громко интересовалась у клиентки: «Какой у Вас PIN-код, бабушка?», а пенсионерка еще громче сообщала: «Четыре единицы, внученька!». Их слышала вся снисходительно улыбающаяся очередь, и если бы кто-то решил воспользоваться полученной информацией, то для пенсионерки это могло бы закончиться плачевно – большинство преступников сейчас действует в бесхитростном стиле Шуры Балаганова.

Помните, что PIN-код должен быть известен только Вам. Не называйте его никому. Даже сотруднику банка. Даже лично Грефу. Если у Вас есть пожилые родственники, которые проживают отдельно, один раз потратьте время на то, чтобы обучить их пользоваться банкоматом, и разъясните, какую информацию нельзя сообщать никому.

115-ФЗ: какие документы банк может запрашивать у клиентов на законных основаниях

В настоящее время перечень запрашиваемой банками информации сравним разве что с данными, которые требует от компаний и ИП налоговая инспекция. БУХ.1С разобрался с тем, какие документы могут быть запрошены банками на законных основаниях, и какие последствия ожидают клиентов за их непредставление.

Какие документы требуют банки на основании 115-ФЗ

Банковскую деятельность регулирует огромное число всевозможных законов и подзаконных актов. Один из таких документов – Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

Во исполнение этого закона и, ссылаясь на его же нормы, банки требуют у клиентов массу разнообразной документации. Клиентам порой кажется, что запрашиваемые данные вообще никак не касаются деятельности банков и не затрагивают интересы государства. Но банкам кажется другое.

К примеру, банки, проверяя чистоту сделок, запрашивают документы по стандартным договорам, которые организации заключают уже на протяжении многих лет. По мнению клиентов, такие требования банков, как минимум, являются странными, а, как максимум – противоречат действующему законодательству. В частности, например, в тех случаях, когда запрашиваемая информация составляет охраняемые законом сведения.

Шпаргалка по статье от редакции БУХ.1С для тех, к кого нет времени

1. В настоящее время банки требуют у клиентов массу разнообразной документации, проверяя чистоту сделок.

2. Идентифицировать не только самого клиента, но и проверять и фиксировать все совершаемые им сделки, которые банкам кажутся подозрительными, требуют Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и Положение Банка России от 15.10.15 № 499-П «Об идентификации клиентов…».

3. П.14 ст.7 Закона № 115-ФЗ устанавливает обязанность клиентов предоставлять информацию, необходимую для исполнения банками требований законодательства.

4. Анализ Федерального закона от 07.08.2001 №115 и Положения Банка России от 15.10.15 № 499-П позволяет прийти к выводу о том, что право банков на истребование документации вообще практически ничем не ограничено.

Действительно, порой банки требуют предоставления персональных сведений работников организаций, бухгалтерский баланс, сведения об уплаченных налогах и т.п. Само собой, подобные запросы вызывают у клиентов массу негодования.

Чтобы не быть голословными, приведем образец типичного письма, рассылаемого банками в адрес своих клиентов в целях соблюдения Федерального закона от 07.08.2001 №115:

Как мы видим, перечень документации весьма обширен, а в некоторых случаях он может оказаться еще больше. Причем времени на подготовку и сдачу этих документов дается подчас слишком мало, что обусловливает еще большее недовольство клиентов и их справедливое возмущение.

В связи с этим напрашивается логичный вопрос: имеют ли банки законное право требовать с клиентов все эти документы?

Законны ли требования банков о представлении документации

Как поясняют сами банки, в подобных объемах документы ими запрашиваются не просто так. Это не их личная прихоть, а требования Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов….» и Положения Банка России от 15.10.15 № 499-П «Об идентификации клиентов…».

Эти НПА обязывают кредитные организации идентифицировать не только самого клиента, но и проверять и фиксировать все совершаемые им сделки, которые банкам кажутся подозрительными. И если клиента можно проверить на этапе открытия ему банковского счета, то проверить чистоту сделки банк может только на стадии совершения денежных расчетов.

Что конкретно говорится в данных нормативных документах? Например, ст. 7 Федерального закона от 07.08.2001 № 115-ФЗ гласит, что при проведении идентификации клиента, его представителя, выгодоприобретателя, а также обновлении информации о них банки вправе требовать представления соответствующих документов.

В их перечень входят документы удостоверяющие личность, учредительные документы, документы о государственной регистрации юридического лица (индивидуального предпринимателя). Также банком могут быть запрошены и иные документы, необходимые для исполнения требований законодательства.

А п.14 ст.7 Закона № 115-ФЗ устанавливает обязанность клиентов предоставлять информацию, необходимую для исполнения банками требований законодательства.

Приложение 2 к Положению Банка России № 499-П содержит подпункты 2.7 – 2.9, которые конкретизируют полномочия кредитных организаций по истребованию документации и сведений от клиентов.

Так, пп. 2.7. устанавливает, что банк вправе требовать от своих клиентов сведения и документы о финансовом положении, включая бухгалтерскую отчетность и налоговые декларации. При этом кредитная организация в правилах своего внутреннего контроля самостоятельно определяет количество и виды документов, которые она использует в целях определения финансового положения клиента.

ЦБ РФ рассказал банкам, каких клиентов считать сомнительными и тщательно проверять.

В пп. 2.8. указано, что банк может истребовать сведения о деловой репутации клиента и отзывы о нем других организаций, имеющих с ним деловые отношения. Кредитная организация в правилах внутреннего контроля может также самостоятельно определить и иной вид документов, которые могут быть использованы в целях определения деловой репутации клиента.

Наконец, пп.2.9. разрешает истребовать сведения об источниках происхождения денежных средств и иного имущества клиента. Перечень таких сведений опять же не является исчерпывающим.

Анализ Федерального закона от 07.08.2001 №115 и Положения Банка России от 15.10.15 № 499-П позволяет прийти к выводу о том, что право банков на истребование документации вообще практически ничем не ограничено. По крайней мере, законодательство никаких подобных ограничений не содержит, как не содержит и точный список документов, которые должны быть предоставлены по требованию кредитной организации.

Получается, что банки вправе запрашивать абсолютно любую документацию и в любом объеме. Так ли это на самом деле? БУХ.1С попросил прояснить ситуацию руководителя отдела юридического сопровождения профучастников фондового рынка ГК «ФИНАМ» Сергея Володькина.

Какие документы могут запрашивать банки во исполнение требований закона о противодействии легализации преступных доходов?

Любые документы, которые банки пропишут у себя в правилах внутреннего контроля. И обычно это открытый перечень, т.к. изначально невозможно определить полный список документов, который может понадобиться для того, чтобы определить, осуществляется данная операция с целью легализации преступных доходов или нет. Т.е. любые документы, которые могут потребоваться для анализа конкретной операции или деятельности клиента в целом.

Могут ли банки требовать информацию, содержащую личные данные третьих лиц? Например, личные данные сотрудников фирмы-клиента банка?

По закону банки обязаны идентифицировать представителя клиента (включая единоличный исполнительный орган), выгодоприобретателя клиента. А также принимать обоснованные и доступные в сложившихся обстоятельствах меры по идентификации бенефициарного владельца. Если это все физические лица (а бенефициарный владелец – это только физлицо), и неважно, являются ли они сотрудниками фирмы или нет, то банки обязаны требовать информацию, содержащую их личные данные.

Какие сроки подачи запрашиваемых банком документов установлены законом?

По некоторым данным сроки установлены, по другим — в нормативке написано, что банки устанавливают их сами. ЦБ считает нормальным сроком 3-7 дней, обычно банки такие сроки и устанавливают. Если банк устанавливает большие сроки, ЦБ считает, что это сделано специально, чтобы помочь клиенту уклониться от процедур Федерального закона от 07.08.2001 №115.

Что будет, если не представить запрашиваемые банком сведения?

Непредставление клиентом информации, необходимой для реализации кредитной организацией требований закона, может являться основанием для отказа в проведении операции. Если банк отказал уже два и более раз – он обязан расторгнуть договор и закрыть счет клиента. Организация автоматически попадает в черный список, который ЦБ рассылается по банкам и велика вероятность, что такой организации больше ни один банк счет не откроет.

Также банк может отключить систему дистанционного обслуживания (Интернет-банк). Тогда клиент сможет распоряжаться счетом только посредством подачи бумажных платежек, что не слишком удобно, когда клиент находится, например, во Владивостоке, а банк – в Москве. И даже если клиент принесет такую бумажную платежку, банк всегда сможет воспользоваться правом на отказ в проведении операции.

Итак, получается, банки не только вправе истребовать с клиентов документы, но это является их обязанностью. Если этого не делать, банк могут оштрафовать на значительную сумму. Ответственность банков установлена ст.15.27 КоАП РФ «Неисполнение требований законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

По данной статье штрафы могут достигать 1 млн рублей, а деятельность банка может приостанавливаться на срок до 90 суток. Как следствие, у кредитного учреждения может быть отозвана лицензия на осуществление банковских операций.

Понятно, что банки пытаются обезопасить себя и стараются досконально проверять совершаемые клиентами расчеты. Выходит, что направление клиентам писем о представлении информации — обычная практика кредитных учреждений, связанная с соблюдением законов РФ и требований Центробанка России.

То, что банки могут истребовать у своих клиентов практически ничем неограниченный объем документов, БУХ.1С подтвердили и в Ассоциации российских банков (АРБ).

Как нам рассказала главный специалист правового департамента АРБ Вероника Кинсбурская, закон не регулирует вопрос о том, какие именно документы и сведения подлежат истребованию у физических и юридических лиц в целях проверки их непричастности к экстремистской деятельности или терроризму. Также закон не определяет порядок проведения кредитными организациями проверок деятельности своих клиентов. Что именно затребовать и как именно проверять клиентов, банк решает самостоятельно:

Точный перечень истребуемых у клиента документов и сведений, порядок проведения проверки клиента, в том числе процедура и сроки представления запрошенных документов в банк, а также порядок фиксирования полученной от клиента информации устанавливаются каждой кредитной организацией самостоятельно. Они прописываются в правилах внутреннего контроля.

Если у банка возникают подозрения, что какие-либо операции осуществляются в целях отмывания доходов или финансирования терроризма, банк может запросить у клиента подробные сведения о целях деятельности клиента, деловой репутации, целях совершения конкретной операции и источниках происхождения денег.

Согласно п. 2 ст. 6 Федерального закона № 115-ФЗ, операция с денежными средствами подлежит обязательному контролю в случае, если хотя бы одной из сторон является организация или физлицо, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму. Но при этом контролю подлежат и все прочие подозрительные операции.

Проверка деятельности клиента и совершаемых им операций может проводиться при наличии у сотрудников банка субъективных подозрений в том, что конкретная операция осуществляется в целях отмывания доходов, или финансирования терроризма. Соответствующее право предоставлено банкам в п. 3 ст. 7 Федерального закона № 115-ФЗ.

В случае непредставления клиентом информации, необходимой для его проверки, банк может заблокировать счет, приостановить расходную операцию, отказаться от заключения договора, или же расторгнуть договор банковского счета (вклада) с таким клиентом.

Страдают во всей этой ситуации, конечно же, добросовестные клиенты, которые ведут торговую или производственную деятельность и никак не связаны с терроризмом и отмыванием денег. Зачастую объем запрашиваемой банком информации оказывается настолько велик, что в назначенные сроки представить документы не получается чисто физически.

Как поступать в подобных ситуациях клиентам банков? Вот такой совет дает генеральный директор консалтингового центра «Профдело» Татьяна Никанорова:

Банки должны принимать соответствующие меры, чтобы предотвратить незаконные операции. Мы понимаем, что для этого они могут запрашивать практически любые документы и в любом количестве. Бухгалтерам известны банки, которые требуют чрезмерно много. Если не представить документы в полном объеме, банк может закрыть расчетный счет.

И тут кроется подвох: закрытие счета по такому основанию часто подразумевает повышенный тариф на вывод средств с расчетного счета в другой банк. Это до 10% от суммы. Можно, конечно, жаловаться в ЦБ РФ, а он уже будет определять, правомерен ли был запрос из банка или нет. Моя рекомендация для «белых» фирм: если вы получаете избыточный запрос, срочно выводите из такого банка деньги и открывайте счет в другом месте.

Можно сделать вывод, что клиентам придется исполнять требования банков о представлении документов и информации. И если имеется такая возможность, документы лучше направлять в полном объеме и точно в срок. Если же такая возможность отсутствует, а банк требует все чаще и больше, разумнее не дожидаться закрытия счета и перейти на обслуживание в другую кредитную организацию.

Кто, помимо банка, может «сдать» вас Росфинмониторингу

Банк не единственная структура, которая обязана информировать контролирующие органы о подозрительной финансовой деятельности фирм и предпринимателей.

Бухгалтеры, нотариусы, адвокаты, юристы, аудиторы — все они не просто могут, а обязаны сообщать в Росфинмониторинг о ставших им известными сделках, возможно попадающих под Федеральный закон №115.

Любопытно, что закон требует от вышеперечисленных категорий не просто уведомить Росфинмониторинг, а сделать это без предупреждения. В противном случае они сами станут мишенью.

Эта норма была в законе давно. Но в 2018 году Росфинмониторинг настойчиво напомнил бухгалтерам, нотариусам и юристам об их обязанности. А чуть позже вышли поправки к закону, в которых, наряду с ними, упоминались уже и аудиторы. Раньше требование касалось их не в полной мере. До 4 мая 2018 аудиторы должны были сообщить о вскрытых нарушениях руководству фирмы, и только потом, через три месяца, если меры по устранению нестыковок не были приняты, доложить о них Росфинмониторингу.

В 2018-м после публикации новых норм поведения, соцсети наполнились сообщениями от бухгалтеров и других упомянутых категорий, которые торжественно обещали своим клиентам никому ничего не сообщать. Но давайте трезво смотреть на вещи. За недоносительство предусмотрены серьезные штрафы, и вряд ли многие захотят идти на риск.

Что изменилось в 115-ФЗ в 2022-2023 годах

Антиотмывочный закон долгое время был глыбой, которая редко менялась, но в последние годы изменения происходят каждый год. Это связано с тем, что развиваются технологии, которые помогают скрывать денежные операции от государства, а законодатели этого не хотят. Поэтому постоянно появляются поправки для усиления контроля. Вот что изменилось за последние пару лет:

Платформа «Знай своего клиента». Это сервис кредитных организаций для определения уровня риска при сотрудничестве: высокий, средний, без риска. Если высокий риск, то бизнес получит отказ и блокировку, при среднем будет усиленный контроль, а в остальных случаях предоставляется беспрепятственное обслуживание.
Повышение порога для обязательного контроля. Это сделали для снижения нагрузки. Теперь нужно отправлять отчеты в Росфинмониторинг при операциях от 1 млн руб. и от 5 млн руб. для сделок с недвижимостью. До этого порог был в 600 тыс. руб. и 3 млн руб. соответственно.
Отчет для риелторов. Агентства недвижимости обязаны сообщать о сделках, где фигурирует сумма от 5 млн руб.
Отчет для ювелирного бизнеса. Теперь отчеты нужно отправлять при оплате наличными от 60 тыс. руб. и по карты от 400 тыс. руб. Если стоимость ниже, то клиента не придется идентифицировать.
Блок для причастных к диверсиям. Если физическое или юридическое лицо попали под подозрения правоохранительных органов, то организации обязаны заблокировать все операции с этими клиентами.
Контроль за списаниями. Росфинмониторинг с августа 2023 года будет контролировать и переводы на счет организаций, которые имеют средний и высокий уровень риска. Поэтому надо еще более внимательно следить за контрагентами.

Генеральный директор «Самитов Консалтинг» Марат Самитов считает, что поправки вносят, но глобально ничего особо не меняется:

«Я могу сказать, что в последнее время хорошо работает так называемый банковский светофор или платформа «Знай своего клиента». То есть бизнесу нельзя попадать в желтый и красный цвет, чтобы не навлечь на себя избыточный контроль от Росфинмониторинга. Поэтому надо тщательно проверять контрагентов и избегать финансовых операций на грани»

Получается, что 115-ФЗ не всегда ужесточается. Некоторые изменения сделаны для того, чтобы снизить отчетную нагрузку на бизнес. Но основа остается неизменной. Если не хотите получить проблемы от банка или Росфинмониторинга, выполняйте эти условия: