Замглавы Росфинмониторинга: проблему безопасности данных одним ужесточением ответственности не решить

Герман Негляд рассказал, что служба предлагает расширить ее полномочия в части приостановки подозрительных операций

Замглавы Росфинмониторинга: проблему безопасности данных одним ужесточением ответственности не решить
Замглавы Росфинмониторинга: проблему безопасности данных одним ужесточением ответственности не решить
Фото: Пресс-служба

Москва. 9 августа. INTERFAX.RU - Финансовая безопасность в век галопирующего развития цифровых технологий давно утратила привычные границы. Теперь для собственного спокойствия мало хранить деньги "не под матрасом", а за охраняемыми стенами банков, и уже мало просто сбрасывать звонки мошенников. От людей требуется все больше осмотрительности в том, где и с кем они делятся своей личной информацией. Банки и компании, предоставляющие услуги, не могут обходиться без массива личных данных гражданина, но при этом периодически появляющиеся сообщения о слитых базах не добавляют людям уверенности в их защищенности. Где проходит грань между обеспечением безопасности работы финансовых институтов и компаний и сохранением неприкосновенности личных данных граждан, а также какими инструментами - наказанием или повышением осведомленности - можно добиваться и того, и другого, в беседе с "Интерфаксом" рассуждал статс-секретарь - заместитель директора Росфинмониторинга Герман Негляд.

- Краеугольным камнем кибербезопасности является безопасность баз данных с личными сведениями граждан, которые есть не только у ведомств, крупных банков или компаний, но и у различных магазинов. Как вы оцениваете уровень защищенности этих баз данных?

- На наш взгляд, вопросы финансовой и кибербезопасности сильно взаимосвязаны. Особенно эта взаимосвязь усилилась в последнее время. Почему? Потому что безопасность личных, персональных данных граждан или, скажем так, их небезопасность, влечет небезопасность данных финансовых. А это уже возможность для преступников оказывать на граждан воздействие, похищать денежные средства и так далее. Поэтому мы считаем, что нужно продолжать укреплять безопасность оборота персональных данных, и ряд законодательных инициатив, которые сейчас рассматриваются и обсуждаются, направлены как раз на это.

Например, один из последних депутатских законопроектов по этой теме - это выделение в отдельный документ согласия об обработке персональных данных для банков. Внесенная депутатами инициатива как раз направлена на то, чтобы человек понимал и осознавал, какое и кому согласие он дает. Новые технологии позволяют сейчас быстро собирать данные об одном человеке или юридическом лице, клиенте банка. И когда данные аккумулируются в одном месте, то их чувствительность растет. Если они попадают в недобросовестные руки, то могут использоваться для покушения на финансовую безопасность.

- Кто, на ваш взгляд, в большей степени должен отвечать за безопасность личных данных - операторы, которые аккумулируют информацию, или государство как регулятор?

- Нельзя сказать, что кто-то один должен за все отвечать. Прежде всего, необходима профилактическая кампания среди населения, дополнительные разъяснения того, что в интернете, магазинах и так далее нужно с осторожностью делиться своими персональными данными. Важно разъяснять риски, которые могут реализоваться в случае неправомерного использования личных данных. Такой работой могут и должны заниматься как бизнес, так и государство.

Конечно, ответственность операторов важна. Утечки чувствительной финансовой информации, которую они собирают, могут привести к серьезным последствиям. Кибербезопасность и безопасность данных клиентов банков в принципе у нас находятся на хорошем уровне, но это не значит, что их не надо повышать.

Ну и, конечно, ответственность государства. Государство должно адекватно регулировать эту сферу, постоянно мониторить практику правоприменения, предлагать сбалансированные для общества и бизнеса решения, чтобы баланс между безопасностью финансовых и связанных с ними личных данных и доступностью финансовых услуг был соблюден.

- Вы говорите о том, чтобы действовать, так сказать, не перегнув палку?

- Да, мы понимаем, что не можем ставить вопрос о запрете оборота данных. Мы эту сферу рассматриваем исключительно через призму финансовой безопасности.

- Граждане зачастую не могут чувствовать себя защищенно, предоставляя по запросу коммерческих структур те или иные сведения, при этом без их предоставления они не могут получить услугу. Какой уровень наказания, по вашему мнению, мог бы кардинально изменить отношение компаний к сохранению неприкосновенности личной информации граждан, которую они запрашивают?

- Одно ужесточение ответственности не сработает, тут нужен комплекс системных мер, начиная с профилактики, разъяснений правил сохранности финансовых и связанных с ними личных данных. Дешевле и проще предупредить, чем потом бороться с последствиями.

Что касается ответственности, то она тоже должна зависеть, на мой взгляд, от последствий. Если последствия тяжелые, связаны с хищением крупной суммы средств, жилья, ценного имущества, то и наказание должно быть серьезным, включая уголовное. Если речь идет о нарушении правил как таковых, и последствия не наступили - то это может быть административная ответственность.

- Нет ли необходимости ограничивать массив данных, которые те или иные компании могут запрашивать у частных лиц?

- Что касается нашей темы, в "антиотмывочном" законе четко определено, какие данные запрашиваются при процедуре идентификации клиента у физических и юридических лиц, и с этим проблем не возникает. Да, впоследствии есть определенная гибкость: уже на этапе осуществления конкретной операции банк или иная финансовая организация могут запросить документы, например, подтверждающие реальность сделки, законность доходов. Но, как правило, это больше касается юрлиц. В настоящее время у нас действует такой гибридный подход, пока он работает более-менее нормально. Наверное, сейчас это оптимальное решение.

- В последнее время Росфинмониторинг обращает внимание на дропов и необходимость наказания для них. Считаете ли вы необходимым ужесточить наказание за привлечение к мошенничеству, за использование документов или банковских карт третьих лиц в этих целях?

- Если банковская карта передается третьим лицам для получения дохода, речь о классическом "дроперстве", то здесь можно и нужно ставить вопрос об ответственности. Мы не берем случаи, когда обмен этими финансовыми инструментами происходит между близкими родственниками, по семейным обстоятельствам. Мы говорим именно о как правило возмездной передаче таких инструментов, в том числе для того, чтобы они использовались в преступной деятельности. Административное или уголовное наказание - это должны сказать компетентные органы. Но что совершенно точно, повышенная ответственность нужна для организаторов таких схем. К дроперству привлекаются разные категории населения: молодежь, студенты, пенсионеры. Они на самом деле не понимают до конца последствий своих действий, что их счета, финансовые инструменты могут использоваться для отмывания средств в преступных схемах и так далее. Тут важна, опять же, разъяснительная работа, и усиление ответственности не панацея.

- То есть с потенциальными дроперами опять же нужно вести профилактическую работу?

- Да, в первую очередь - с уязвимыми в этом смысле целевыми группами. И мы такой работой тоже занимаемся. Так, по поручению президента проводим большой социальный и просветительский проект - ежегодную Международную олимпиаду по финансовой безопасности. В этом году она проходит уже в четвертый раз, в финале мы ожидаем участников из порядка 35 стран. И мы рассматриваем этот проект не только как интеллектуальное соревнование, но и как инструмент популяризации финансово безопасных моделей поведения, тиражирования их через молодежь на население, причем не только в России.

Ведь проблемы и в России, и за рубежом в данной сфере сейчас примерно одни. Когда мы на полях Олимпиады проводим опросы о том, кто сталкивается с мошенничеством, с покушениями на безопасность финансовых данных, как правило, представители всех стран говорят о высоком уровне такой уязвимости, которая в том числе связана и с развитием новых технологий и их использованием преступниками. Например, сейчас технически не сложно, находясь в одной стране, звонить потенциальным жертвам в другую, а преступные средства выводить в третью страну.

- Росфинмониторинг попросил предоставить ему право приостанавливать финансовые операции дропов. По совокупности каких факторов вы считаете целесообразным приостанавливать такие операции?

- Очевидно, вы имеете в виду выступление нашего руководителя (Юрия Чиханчина - ИФ) на "правительственном часе" в Совете Федерации в июле. Речь шла не только о дропах, но о возможности предоставления права временно, возможно на несколько дней, приостанавливать по нашему решению в целом подозрительные с точки зрения отмывания доходов операции.

Но это пока только предложение, оно будет еще обсуждаться. Его детали в стадии проработки. Аналогичные полномочия имеют банки, и в конце июля в силу вступил закон, в соответствии с которым банки будут приостанавливать подозрительные операции на два дня, если получатель средств находится в базе данных Банка России как лицо, связанное с мошенничеством. И только после двух дней, если клиент настаивает, возможно проведение этой операции.

Что касается прав Росфинмониторинга - это, на самом деле, распространенная мировая практика, когда финансовая разведка временно, чтобы разобраться, может блокировать перевод на несколько дней. Такая мера может спасти активы потенциальных жертв. И у нас много примеров, подтверждающих актуальность этого предложения. Например, распространена мошенническая схема, когда человеку звонят от лица какого-либо государственного органа, в том числе и от Росфинмониторинга. И гражданин решает удостовериться, пишет нам - а это точно вы? Конечно, мы стараемся оперативно связаться с заявителем, объясняем, что это мошенничество, и это срабатывает, люди избегают потерь.

Но это, можно сказать, ручное управление, и у нас не так много сотрудников. Если бы была возможность через анализ операций это делать, в том числе с использованием методов ИИ и различных баз данных, которые у нас в распоряжении, то эффективность могла бы быть выше.

- После отзыва лицензии у Киви банка заметили ли вы переток высокорисковых операций для расчетов между физлицами и теневым бизнесом в другие кредитные организации?

- Конечно, мы отслеживаем эту ситуацию, в том числе с теми клиентами, которые были ранее клиентами Киви банка и осуществляли подозрительные финансовые операции. Действительно, многие из них перешли на обслуживание в другие кредитные организации, но у нас единый контур контроля. Нет разницы, про какую кредитную организацию идет речь - мы все организации держим в поле зрения, принимаем соответствующие меры.

В последнее время мы видим, что для совершения незаконных финансовых операций используются в основном физические лица, а не юридические. Сокращение практики использования юрлиц теневым сектором связано в том числе с запуском платформы ЦБ "Знай своего клиента", которая, как известно, юридических лиц и индивидуальных предпринимателей ранжирует по уровням риска. И, соответственно, кредитные организации тоже, после чего к высокорисковым клиентам применяются ограничительные меры.

Сейчас на долю физических лиц приходится, по нашим оценкам, порядка 60% незаконных финансовых операций. Ранее такая доля приходилась на юрлица, сейчас статистика "перевернулась". И рост продолжается, только за 2024 год - плюс 15%. Понятно, что здесь дропы добавились.

Скажу еще об одной схеме обхода банковского контроля. Если раньше юрлица использовали, например, исполнительные листы судов и иные исполнительные документы, пытались их получить по фиктивным основаниям, то сейчас мы видим кратный рост схем с использованием нотариально удостоверенных доверенностей. Это когда несколько десятков физических лиц у одного нотариуса могут оформить на одно лицо доверенность на управление конкретным счетом. Соответственно, если есть такой нотариально удостоверенный документ, то банкам уже просто по гражданскому законодательству сложно отказать в операции. Понятно, что когда к одному нотариусу примерно в одно и то же время приходит несколько десятков физических лиц и оформляют на одно лицо доверенность - то это требует дополнительной проверки. Мы понимаем, что это очередная схема обхода банковского контроля, на этот раз физическими лицами. Здесь мы будем, конечно, еще дополнительно работать с Минюстом, с нотариальным сообществом. Коллеги, как правило, быстро реагируют, думаю, здесь тоже скоро предложим определенные совместные решения.

- А если говорить про криптовалюты, то чаще ли они стали использоваться после отзыва лицензии у Киви банка?

- Я бы такую жесткую причинно-следственную связь с криптовалютой и Киви банком не проводил. "После" не значит "вследствие".

Но в целом - да, могу сказать, что год от года криптовалюта все чаще используется в незаконных финансовых операциях. В первую очередь это расчеты при незаконном обороте наркотических средств, коррупционные и ряд других преступлений. Мы также фиксировали ряд фактов использования криптовалют для финансирования терроризма.

И, конечно, те усилия, которые предпринимаются, и регуляторные в том числе, всегда нами приветствовались и поддерживались. Сейчас принят пакет законов об экспериментальном правовом режиме (ЭПР) в сфере оборота цифровой валюты и о регулировании майнинговой деятельности. Эти меры повысят прозрачность сектора, наблюдаемость операций. У нас есть и свои технологические продукты, например, сервис "Прозрачный блокчейн", который отслеживает несколько десятков криптовалют. Результаты его работы также используются и в наших расследованиях, и потом уже в материалах правоохранительных органов.

- Вы упомянули ЭПР, а известны ли уже банки, которые начнут применять криптовалюту для международных расчетов?

- Насколько я помню закон, там сказано, что в этом эксперименте в качестве оператора будет определена уполномоченная организация или уполномоченные организации, которые будут соответствовать критериям, определенным в программе ЭПР. В законе нет жесткого упоминания, что должна быть именно кредитная организация.

Соответственно, законом и программой ЭПР будут определены соответствующие критерии, и организациям, которые изъявят желание участвовать в ЭПР, надо будет соответствовать этим требованиям.

- Все ли организации, которые намерены участвовать в пилоте, используют или будут обязаны использовать "Прозрачный блокчейн"?

- Нет, закон такой обязанности не содержит, но в законе есть требование для таких организаций исполнять "антиотмывочное" законодательство. Так в принципе принято во всем мире. То есть идентифицировать своих клиентов, оценивать операции с точки зрения подозрительности и так далее.

А что касается "Прозрачного блокчейна" - да, у нас есть пилотный проект, несколько крупных банков сейчас его используют, и результаты, на наш взгляд, хорошие. Система позволяет анализировать, сопоставлять фиатные транзакции и криптовалютные.

- Какие именно данные об операциях с криптовалютами "Прозрачный блокчейн" помогает отслеживать?

- Он осуществляет разметку криптоадресов, позволяет видеть перечисления между различными кошельками. Ну и соответственно содержит информацию о криптокошельках, которые ранее были использованы в преступной деятельности. Есть у программы и другие возможности, но распространяться о них я не буду.

- В России сейчас действует - и будет действовать как минимум до мая 2025 года - режим обязательной репатриации и последующей продажи экспортной выручки. Росфинмониторингу в сложившейся системе отведена роль контролера. Как вы считаете, когда участники внешнеэкономической деятельности (ВЭД) смогут на законных основаниях использовать криптовалюту в расчетах, в этой системе придется что-то менять?

- Я бы хотел сразу немного не согласиться с вами. Мы не являемся органом валютного контроля в этой системе и по этому указу. Мы являемся органом, скорее, мониторинга продаж экспортерами валютной выручки.

Указ временный, он действительно продлен до мая 2025 года. Цифровые валюты на данный момент не включены.

- Использование криптовалют поможет решению проблемы с внешними расчетами?

- Это вопрос не нашей компетенции.

- А способна ли такая практика породить новые системные риски?

- Вот мы и узнаем. ЭПР на то и эксперимент, чтобы на ограниченном составе участников оценить риски, оценить правильность подхода, и уже по его результатам принять системное решение.

Также у нас есть ряд обязательств на международных площадках. Как вы знаете, нам снизили рейтинг по одной из рекомендаций ФАТФ именно из-за недостатков в регулировании криптовалют. Вот мы и предпринимаем шаги по регулированию. Это та область, на которую все страны должны обратить внимание, подход к трансграничным расчетам цифровыми валютами должен быть единообразным.

С точки зрения снижения риска в использовании криптовалют в преступных целях должно быть регулирование. Мы по этому пути и идем.

- Как проходит разработка совместного с Банком России сервиса внесения наличных через банкомат на счет клиента в любом банке? Когда может появиться такая возможность?

- Действительно, такое обсуждение ведется. Основные подходы мы уже согласовали. В то же время есть понимание, что нужны меры, компенсирующие возникающие риски. В этой связи эта возможность скорее всего будет реализована путем внесения наличных физическими лицами только на свои счета, не чужие. Также, видимо, будут суточные и месячные лимиты на такие внесения. Ну и надо будет смотреть, как решать вопрос с анонимностью, с какого порога потребуется идентификация для совершения данной операции, с какой суммы.

- А когда такая возможность может появиться?

- Не уверен, что мы запустим этот сервис в этом году. Думаю, реальный срок - это 2025 год.

- Банк России, как оператор платформы цифрового рубля, должен будет исполнять "антиотмывочный" 115-ФЗ и информировать Росфинмониторинг об операциях, подлежащих обязательному контролю. О каких операциях в данном случае идет речь?

- Наш концептуальный подход здесь следующий: цифровой рубль - это разновидность национальной валюты, и в этом смысле для организации финансового мониторинга разницы, какая конкретно используется форма рубля, быть не должно. В целом все те подходы, которые существуют для мониторинга операций с наличными и безналичными средствами, также должны применяться и для цифрового рубля, чтобы не создавать регуляторную диспропорцию.

Обязательный контроль, согласно законопроекту, будет определен не в этом документе, а в совместном соглашении между Банком России и Росфинмониторингом.

Хочу добавить, что обязательный контроль совершенно не означает, что какие-то операции преступны. Это определенные законом или подзаконными актами виды операций, которые вне зависимости от наличия подозрений направляются в финансовую разведку. Скорее, это необычные операции, которые могут потребовать повышенного внимания.

- Планируется ли, что ЦБ сможет использовать платформу "Знай своего клиента", чтобы делить пользователей платформы цифрового рубля по уровням риска? Или будет создана какая-то другая платформа для этих целей?

- По большому счету, обсуждаемый проект по цифровому рублю не содержит исключений для использования платформы "Знай своего клиента". Единственное, как уже упоминал ЦБ, скорее всего высокорисковые или "красные" клиенты не смогут, по крайней мере на первом этапе, использовать платформу цифрового рубля.

- Росфинмониторинг предлагал головным исполнителям гособоронзаказа запрашивать у ведомства информацию о рисковости субподрядчиков и готов был информировать головных исполнителей об участниках кооперации, финансово-хозяйственная деятельность которых вызывает подозрения. Стали ли такие заказчики обращаться в Росфинмониторинг?

- У нас такая практика пока массового характера не носит, но с рядом крупных оборонных организаций по такой модели мы сейчас работаем - оцениваем соответствующие риски. И уже есть примеры передачи материалов по итогам этой работы в правоохранительные органы.

- Росфинмониторинг выявляет риски в отношении юридических лиц. В отношении скольких компаний были выявлены такие риски в 2023 году и в I половине 2024 года?

- В 2023 году бюджетные риски выявлены в отношении 6 тыс. исполнителей гособоронзаказа. В первой половине 2024 года - это около 3,7 тыс. исполнителей. Все они являются субъектами 275-ФЗ ("О государственном оборонном заказе" - ИФ).

- В отдельных случаях Росфинмониторинг направляет материалы в контрольные и правоохранительные органы. Сколько таких случаев было в 2023 году и в I половине 2024 года?

- В прошлом году мы направили по линии ГОЗ в правоохранительные контрольно-надзорные органы более 2 тыс. материалов. В I полугодии 2024 года - немногим более 1 тыс. материалов.

- Есть ли оценка средств, сохраненных ведомством от возможного хищения в результате оценки рисковости компаний?

- В прошлом году у нас возмещено в бюджет именно в этой сфере свыше 300 млн рублей, сохранено от посягательств - мы уже говорили про профилактику - более 6 млрд рублей. По результатам рассмотрения наших материалов возбуждено более 180 уголовных дел, сумма ущерба по которым - более 1,6 млрд рублей.

В первом полугодии 2024 года сохранено от преступных посягательств более 6 млрд рублей. Возбуждено уже около 100 уголовных дел.

- Сколько объектов критической информационной инфраструктуры находятся в введении Росфинмониторинга?

- ЕИС - Единая информационная система Росфинмониторинга - сейчас не относится к объектам КИИ. Но мы ведем работу по импортозамещению, мы достигли стопроцентного показателя в плане использования средств исключительно отечественного производства.

Также совместно со специальными ведомствами выстроена и работа по защите нашей системы от угроз кибербезопасности. Те компьютерные атаки на наши ресурсы, которые, к сожалению, происходят, своевременно купируются и отражаются.

Интервью

Первый зампред МТС-банка: для нас вода поостыла, а для некоторых стала совсем холодной
Сергей Рябков: Трамп нам известен по предыдущему хождению во власть
Научный руководитель Института космических исследований РАН: Луна - не место для прогулок
Президент ПАО "Элемент": мер поддержки микроэлектроники достаточно, главное - наполнить их финансированием
Зампред Банка России: нельзя допускать толерантности к тому, что кто-то на рынке имеет доступ к информации раньше других
Глава департамента Минфина: у нас нет задачи сделать удобно только заказчикам, мы должны думать и о поставщиках
Глава совета директоров "БурСервиса": Период стабилизации пройден, теперь мы на пути к технологическому суверенитету
Глава НАУФОР: стимулы для инвестиций на рынке капитала должны быть больше, чем для депозитов
Адгур Ардзинба: в Абхазии не было, нет и не может быть антироссийских настроений
Основатель ГК "Монополия": пока у нас "средневековый" рынок, регулирующий себя смертями и возрождением