Кому банк может предоставить информацию о счетах своих клиентов

Обновлено: 02.07.2024

Часто в комментариях на Хабре приходится встречать высказывания, что российские банки не умеют хранить персональные данные, да и вообще не очень-то расположены защищать клиента, например, при покупках через интернет. На самом деле система безопасности банков продумана лучше, чем может показаться. На примере Газпромбанка разбираемся в деталях защиты данных клиентов.

На практике все не так просто, как кажется. Внутренние системы банка построены с учетом защиты клиентской информации — это определяют приказы регулятора. При этом в крупнейших банках, по крайней мере в ТОП-10, используется не какой-то единственный инструмент, а всесторонний подход, сложная многоступенчатая защита. Клиентские данные защищены сразу несколькими средствами.

Во-первых, о запросе информации моментально станет известно. Весь доступ к данным журналируется. Фиксируются даже запросы администраторов и суперпользователей. Кстати, рабочие места тех, кто связан с настройкой системы, контролируются еще и внешним оборудованием — так всегда можно узнать, зачем администратор заходил в систему.

Утечки изредка все же происходят. Но события, отмеченные Центральным Банком, связаны в основном с работой подрядчиков, которые не соблюдали требования безопасности. К сожалению, их уровень зрелости защиты информации ниже. Понимая, что это дыра в системе безопасности, банки зачастую выдают подрядчикам доступ к синтетическим или обезличенным данным, нарушение конфиденциальности которых не приведет к наступлению финансовых рисков для банка.

Банковские системы действительно постоянно атакуют извне. В первую очередь это касается фронт-офиса, доступного через интернет: порталов, мобильных приложений, систем электронного диалога между банками и клиентами, клиентов для дистанционного обслуживания. Доля атак на внутренние системы (бэк-офис) составляет не более десятой процента.

Цель атаки — получение дохода прямым или косвенным путем (например, через продажу данных). При этом атакующий может работать не один, а в хакерской группировке, где участники подобраны по необходимым навыкам. Члены такой группы могут даже не знать друг друга лично, отыгрывая четко прописанную роль.

Банки научились сражаться и с такой организованной преступностью. Каждый из компонентов банковской инфраструктуры защищен по-своему. Применяются и антивирусы, и средства защиты от всплывающих окон или удаленного доступа на рабочих местах сотрудников, и анти-DDoS, и системы выявления инцидентов внешними путями, и масса других инструментов.

Идеальных систем не существует. Я готов спорить, что в любой лучшей системе безопасности можно найти бреши. Но сегодня инфраструктура российских банков настолько развита, что взлом их систем будет стоить дороже, чем доход от этого мероприятия

Атаки на фронт-офис всегда реализуются через клиентские профили, поэтому противодействовать преступникам помогает выявление аномалий в поведении клиентов. Так можно заметить взлом еще до того, как о нем сообщит клиент.
В бэк-офисе база данных клиентов отделена от пользователей. Вторжения или действия, которые могут к ним привести в бэк-офисе, также фиксируются в режиме реального времени. Сейчас все происходит в почти автоматическом режиме. Роботы собирают всю информацию, а операторы принимают окончательное решение, как именно трактовать сложившуюся ситуацию. При необходимости они отправляют инциденты на расследование.

В нашем банке и у целого ряда крупных коллег созданы Ситуационные центры по информационной безопасности. Кстати, мы одни из первых, кто в России в 2009 году перешел на риск-ориентированный подход и внедрил выявление, анализ и противодействие инцидентам. В нашем ситуационном центре 24 часа в сутки 7 дней в неделю работает более 40 человек. Все это эксперты по безопасности с опытом в отрасли более 10 лет

У каждого банка действуют ограничения на операции после замены SIM-карты. У одних банков это часы, у других — день-два. Так что сделать все максимально быстро у злоумышленников уже не выходит.

Замена SIM-карты не типовая операция, поэтому в целом на клиентском сервисе это отражается не сильно.

Инструменты защиты стоят на отдельной виртуальной машине на каждом сервере — так организован перехват угроз еще на стадии виртуальных машин. Отказоустойчивость реализована на каждой площадке, плюс катастрофоустойчивость.

В последнее время банки стараются переводить этот риск в разряд страхового. Другие же перекладывают ответственность на сторону мобильного оператора. Заключенное с ним соглашение подразумевает, что именно оператор обеспечивает проверку абонента — мошенник это или нет. Использование того или иного подхода зависит от региона работы

Миф: есть масса способов украсть данные карты, чтобы вывести деньги через покупки в интернете. Деньги потом не вернуть!

Действительно, мошенники разработали массу способов получения данных карт. Но банки пытаются защитить клиента, даже если данные карты утекли в интернет по его вине.

Все крупные банки поддерживают технологию 3D Secure. Конечно, для мошеннических операций без присутствия карты выбираются банки (и подключенные к ним магазины), которые ее не поддерживают. Но по условиям платежных систем ответственность за проведение подобных операций берут на себя именно эти банки. Это схема reliability shift, которая определяет, что деньги при этом теряет банк, не поддерживающий защиту.

Также банки развивают системы антифрода. Базовые требования к ним определяют операторы платежных систем и закон о противодействии легализации денежных средств, полученных преступным путем.

Мы подробно разбираем на составляющие каждый сценарий проведения мошеннической операции. Смотрим временные рамки, профиль клиента, который подвергся атаке, использованные магазины. Так мы формируем некоторую корреляцию для загрузки в систему мониторинга финансовых транзакций, позволяющую выявлять и блокировать аналогичные операции. Так что если сценарий один раз сработал в отношении кого-то из наших клиентов, и тот заявил о мошенничестве, к другим клиентам применить его будет сложнее. Например, если обманули пожилого человека, мы можем сузить профиль клиента (возраст 60−70 лет, подобные операции ранее не совершались), выявить метаданные транзакции и реквизиты банка мошенника, куда был совершен перевод, оценить лимиты — обычно это суммы ниже порога, определенного 115-ФЗ. Все это позволяет на потоке выявлять похожие операции: отзваниваться бабушкам и уточнять, действительно ли они хотят перевести деньги

В настоящее время перечень запрашиваемой банками информации сравним разве что с данными, которые требует от компаний и ИП налоговая инспекция. БУХ.1С разобрался с тем, какие документы могут быть запрошены банками на законных основаниях, и какие последствия ожидают клиентов за их непредставление.

Какие документы требуют банки на основании 115-ФЗ

Во исполнение этого закона и, ссылаясь на его же нормы, банки требуют у клиентов массу разнообразной документации. Клиентам порой кажется, что запрашиваемые данные вообще никак не касаются деятельности банков и не затрагивают интересы государства. Но банкам кажется другое. К примеру, банки, проверяя чистоту сделок, запрашивают документы по стандартным договорам, которые организации заключают уже на протяжении многих лет. По мнению клиентов, такие требования банков, как минимум, являются странными, а, как максимум – противоречат действующему законодательству. В частности, например, в тех случаях, когда запрашиваемая информация составляет охраняемые законом сведения.

Шпаргалка по статье от редакции БУХ.1С для тех, к кого нет времени

1. В настоящее время банки требуют у клиентов массу разнообразной документации, проверяя чистоту сделок.

3. П.14 ст.7 Закона № 115-ФЗ устанавливает обязанность клиентов предоставлять информацию, необходимую для исполнения банками требований законодательства.

4. Анализ Федерального закона от 07.08.2001 №115 и Положения Банка России от 15.10.15 № 499-П позволяет прийти к выводу о том, что право банков на истребование документации вообще практически ничем не ограничено.

Действительно, порой банки требуют предоставления персональных сведений работников организаций, бухгалтерский баланс, сведения об уплаченных налогах и т.п. Само собой, подобные запросы вызывают у клиентов массу негодования.

Чтобы не быть голословными, приведем образец типичного письма, рассылаемого банками в адрес своих клиентов в целях соблюдения Федерального закона от 07.08.2001 №115:

Как мы видим, перечень документации весьма обширен, а в некоторых случаях он может оказаться еще больше. Причем времени на подготовку и сдачу этих документов дается подчас слишком мало, что обусловливает еще большее недовольство клиентов и их справедливое возмущение.

В связи с этим напрашивается логичный вопрос: имеют ли банки законное право требовать с клиентов все эти документы?

Законны ли требования банков о представлении документации

Эти НПА обязывают кредитные организации идентифицировать не только самого клиента, но и проверять и фиксировать все совершаемые им сделки, которые банкам кажутся подозрительными. И если клиента можно проверить на этапе открытия ему банковского счета, то проверить чистоту сделки банк может только на стадии совершения денежных расчетов.

Что конкретно говорится в данных нормативных документах? Например, ст. 7 Федерального закона от 07.08.2001 № 115-ФЗ гласит, что при проведении идентификации клиента, его представителя, выгодоприобретателя, а также обновлении информации о них банки вправе требовать представления соответствующих документов.

В их перечень входят документы удостоверяющие личность, учредительные документы, документы о государственной регистрации юридического лица (индивидуального предпринимателя). Также банком могут быть запрошены и иные документы, необходимые для исполнения требований законодательства.

А п.14 ст.7 Закона № 115-ФЗ устанавливает обязанность клиентов предоставлять информацию, необходимую для исполнения банками требований законодательства.

Приложение 2 к Положению Банка России № 499-П содержит подпункты 2.7 – 2.9, которые конкретизируют полномочия кредитных организаций по истребованию документации и сведений от клиентов.

Так, пп. 2.7. устанавливает, что банк вправе требовать от своих клиентов сведения и документы о финансовом положении, включая бухгалтерскую отчетность и налоговые декларации. При этом кредитная организация в правилах своего внутреннего контроля самостоятельно определяет количество и виды документов, которые она использует в целях определения финансового положения клиента.

В пп. 2.8. указано, что банк может истребовать сведения о деловой репутации клиента и отзывы о нем других организаций, имеющих с ним деловые отношения. Кредитная организация в правилах внутреннего контроля может также самостоятельно определить и иной вид документов, которые могут быть использованы в целях определения деловой репутации клиента.

Наконец, пп.2.9. разрешает истребовать сведения об источниках происхождения денежных средств и иного имущества клиента. Перечень таких сведений опять же не является исчерпывающим.

Анализ Федерального закона от 07.08.2001 №115 и Положения Банка России от 15.10.15 № 499-П позволяет прийти к выводу о том, что право банков на истребование документации вообще практически ничем не ограничено. По крайней мере, законодательство никаких подобных ограничений не содержит, как не содержит и точный список документов, которые должны быть предоставлены по требованию кредитной организации.

Какие документы могут запрашивать банки во исполнение требований закона о противодействии легализации преступных доходов?

Любые документы, которые банки пропишут у себя в правилах внутреннего контроля. И обычно это открытый перечень, т.к. изначально невозможно определить полный список документов, который может понадобиться для того, чтобы определить, осуществляется данная операция с целью легализации преступных доходов или нет. Т.е. любые документы, которые могут потребоваться для анализа конкретной операции или деятельности клиента в целом.

Могут ли банки требовать информацию, содержащую личные данные третьих лиц? Например, личные данные сотрудников фирмы-клиента банка?

По закону банки обязаны идентифицировать представителя клиента (включая единоличный исполнительный орган), выгодоприобретателя клиента. А также принимать обоснованные и доступные в сложившихся обстоятельствах меры по идентификации бенефициарного владельца. Если это все физические лица (а бенефициарный владелец – это только физлицо), и неважно, являются ли они сотрудниками фирмы или нет, то банки обязаны требовать информацию, содержащую их личные данные.

Какие сроки подачи запрашиваемых банком документов установлены законом?

По некоторым данным сроки установлены, по другим - в нормативке написано, что банки устанавливают их сами. ЦБ считает нормальным сроком 3-7 дней, обычно банки такие сроки и устанавливают. Если банк устанавливает большие сроки, ЦБ считает, что это сделано специально, чтобы помочь клиенту уклониться от процедур Федерального закона от 07.08.2001 №115.

Что будет, если не представить запрашиваемые банком сведения?

Непредставление клиентом информации, необходимой для реализации кредитной организацией требований закона, может являться основанием для отказа в проведении операции. Если банк отказал уже два и более раз – он обязан расторгнуть договор и закрыть счет клиента. Организация автоматически попадает в черный список, который ЦБ рассылается по банкам и велика вероятность, что такой организации больше ни один банк счет не откроет.

Также банк может отключить систему дистанционного обслуживания (Интернет-банк). Тогда клиент сможет распоряжаться счетом только посредством подачи бумажных платежек, что не слишком удобно, когда клиент находится, например, во Владивостоке, а банк – в Москве. И даже если клиент принесет такую бумажную платежку, банк всегда сможет воспользоваться правом на отказ в проведении операции.

По данной статье штрафы могут достигать 1 млн рублей, а деятельность банка может приостанавливаться на срок до 90 суток. Как следствие, у кредитного учреждения может быть отозвана лицензия на осуществление банковских операций.

Понятно, что банки пытаются обезопасить себя и стараются досконально проверять совершаемые клиентами расчеты. Выходит, что направление клиентам писем о представлении информации - обычная практика кредитных учреждений, связанная с соблюдением законов РФ и требований Центробанка России.

То, что банки могут истребовать у своих клиентов практически ничем неограниченный объем документов, БУХ.1С подтвердили и в Ассоциации российских банков (АРБ).

Как нам рассказала главный специалист правового департамента АРБ Вероника Кинсбурская, закон не регулирует вопрос о том, какие именно документы и сведения подлежат истребованию у физических и юридических лиц в целях проверки их непричастности к экстремистской деятельности или терроризму. Также закон не определяет порядок проведения кредитными организациями проверок деятельности своих клиентов. Что именно затребовать и как именно проверять клиентов, банк решает самостоятельно:

Точный перечень истребуемых у клиента документов и сведений, порядок проведения проверки клиента, в том числе процедура и сроки представления запрошенных документов в банк, а также порядок фиксирования полученной от клиента информации устанавливаются каждой кредитной организацией самостоятельно. Они прописываются в правилах внутреннего контроля.

Если у банка возникают подозрения, что какие-либо операции осуществляются в целях отмывания доходов или финансирования терроризма, банк может запросить у клиента подробные сведения о целях деятельности клиента, деловой репутации, целях совершения конкретной операции и источниках происхождения денег.

Согласно п. 2 ст. 6 Федерального закона № 115-ФЗ, операция с денежными средствами подлежит обязательному контролю в случае, если хотя бы одной из сторон является организация или физлицо, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму. Но при этом контролю подлежат и все прочие подозрительные операции.

Проверка деятельности клиента и совершаемых им операций может проводиться при наличии у сотрудников банка субъективных подозрений в том, что конкретная операция осуществляется в целях отмывания доходов, или финансирования терроризма. Соответствующее право предоставлено банкам в п. 3 ст. 7 Федерального закона № 115-ФЗ.

В случае непредставления клиентом информации, необходимой для его проверки, банк может заблокировать счет, приостановить расходную операцию, отказаться от заключения договора, или же расторгнуть договор банковского счета (вклада) с таким клиентом.

Страдают во всей этой ситуации, конечно же, добросовестные клиенты, которые ведут торговую или производственную деятельность и никак не связаны с терроризмом и отмыванием денег. Зачастую объем запрашиваемой банком информации оказывается настолько велик, что в назначенные сроки представить документы не получается чисто физически.

Можно сделать вывод, что клиентам придется исполнять требования банков о представлении документов и информации. И если имеется такая возможность, документы лучше направлять в полном объеме и точно в срок. Если же такая возможность отсутствует, а банк требует все чаще и больше, разумнее не дожидаться закрытия счета и перейти на обслуживание в другую кредитную организацию.

Банки не имеют права разглашать информацию о своих клиентах и об их операциях. Но есть исключения, и среди них — передача сведений налоговикам. Мы проанализировали, как в 2021 году расширился доступ налоговиков к банковской тайне и какие изменения в этой области ещё ждут бизнесменов.

Что могут запрашивать налоговики у банков после 17 марта 2021 года

Банки обязаны по умолчанию передавать в ИФНС информацию об открытии и закрытии счетов, депозитов и электронных кошельков.

Также по запросу налоговиков банки должны предоставлять им сведения об остатках средств и движении по счетам или электронным кошелькам.

С 17 марта 2021 года ко всему этому у кредитных организаций появились новые обязанности. Теперь банки должны по запросу налоговиков направлять им информацию о лицах, которые фактически управляют счётом:

Такую информацию налоговики могут получить в рамках налоговой проверки компании или ИП, при встречной проверке контрагентов и при взыскании налогов или приостановке операций по счёту.

Эту же информацию инспекторы могут запросить и об обычном физическом лице. Например, их могут заинтересовать личные счета собственника или руководителя компании. Для этого нужно согласие руководителя вышестоящего налогового органа, либо руководителя ФНС РФ или одного из его заместителей.

Сведения о физическом лице можно получить:

Если налоговики проводят проверку самого владельца счёта.
Если требуется получить информацию о других проверяемых налогоплательщиках.

Также налоговая может получать из банков информацию по запросам иностранных государственных органов, если это предусмотрено международными договорами РФ.

Что даёт налоговикам расширенный доступ к банковской тайне

Теперь они могут увидеть, кто реально контролирует счета бизнесмена, даёт распоряжения об оплате и получает выгоду от проводимых операций. Так инспекторам проще выявить незаконные схемы ухода от налогов и доказать связь между различными юридическими и физическими лицами.

Эти новшества направлены на борьбу с фирмами-однодневками и незаконным обналичиванием денег. Именно в этой сфере широко используются цепочки из нескольких владельцев, подставные руководители, получение наличных по доверенности и т.п.

Для законопослушных бизнесменов принципиально ничего не изменилось. Если налоговики узнают, что кроме директора проводить операции и снимать деньги может и ваш главбух по доверенности — вам это никак не навредит.

Неограниченного доступа к банковской тайне у налоговиков пока нет. Получить информацию они по-прежнему могут только если в отношении бизнесмена или его контрагентов проводится налоговая проверка или другие контрольные мероприятия.

Но скоро всё может измениться.

Что планируют законодатели

Минфин подготовил законопроект, который предусматривает фактически неограниченный доступ налоговиков к банковской тайне.

Сейчас в рамках банковского надзора Центробанк имеет право запрашивать у кредитных организаций любую информацию об их деятельности, в том числе и об операциях клиентов.

Если законопроект примут, налоговики смогут получать от ЦБ РФ сведения, составляющие банковскую тайну и персональные данных физических лиц. Конкретный перечень передаваемых данных и порядок обмена информацией будут установлены соглашением между Центробанком и ФНС.

В законопроекте ничего не сказано о том, что ФНС сможет запрашивать информацию только в рамках налоговой проверки, нет и других ограничений. Если в тексте ничего не поменяют, это будет значить, что налоговики смогут получать в Центробанке любую информацию, составляющую банковскую тайну, когда им это нужно.

По состоянию на август 2021 года законопроект находится на этапе оценки регулирующего воздействия, т.е. возможных социально-экономических последствий. Когда его передадут в Госдуму — пока неизвестно.

Эксперты оценивают законопроект неоднозначно.

С одной стороны, он соответствует тренду на повышение собираемости налогов и в целом — на цифровизацию государственного управления. Снизится нагрузка на банки, ведь налоговики будут получать значительную информации не от них, а напрямую из ЦБ РФ.

Но упрощение доступа контролирующих органов к конфиденциальной информации может повлечь и отрицательные последствия, например, утечку данных.

Результат придёт туда же. Электронную подпись всем пользователям мы помогаем оформлять бесплатно.

ПО ЗАКОНУ

4 МИН

Как отвечать на запросы банка на подтверждение операций

Согласно закону 115-ФЗ банки обязаны отслеживать операции по счёту и обращаться к предпринимателю за разъяснениями, если возникают вопросы. Такое случается, если конкретные операции соответствуют критериям сомнительных. Разбираем, что может вызвать подозрения и как реагировать на запрос от банка.

Что такое сомнительные операции

Операции считаются сомнительными, если:

с

Они нетипичны для конкретного бизнеса

Например, компания занимается поставками лакокрасочных материалов, но вдруг получает платёж за партию кондитерских изделий или переводит крупную сумму пивному заводу. Или ювелирный магазин приобретает дюжину минивэнов

с

Неясен экономический смысл операций

Цена закупаемой продукции превышает рыночную в несколько раз

с

Неочевидны цели операций и их законность

Средства поступают с расчётного счёта компании на личный счёт руководителя и наоборот. Или компания раз в неделю перечисляет средства одному и тому же физическому лицу за неведомо какие услуги

Обнаружив операции сомнительного характера, банк обязан проверить, не используется ли счёт для вывода средств за рубеж, ухода от налогов, финансирования серого импорта или терроризма и других противозаконных целей. И для этого направляет предпринимателю запрос о необходимости предоставить документы, подтверждающие экономический смысл и характер проводимых операций.

Что делать, если пришёл запрос от банка

Запрос о предоставлении информации и документов банк отправляет по активным каналам — через интернет-банк, на электронный адрес (при наличии). Одновременно с запросом направляется SMS-уведомление.

Срок ответа на запрос банка —7 рабочих дней

Пакет запрошенных документов может быть очень объемным, поэтому не стоит откладывать подготовку ответа в банк на последний день: рискуете не уложиться в сроки или собрать неполный комплект документов

Подробно опишите вашу деятельность по полученному запросу

Например, обязательно укажите, что не платите НДФЛ потому, что применяете спецрежим, а оборот вырос из-за фактора сезонности. Прикрепите подтверждающие документы

Отправьте скан-копии документов в банк

Способ передачи документов обычно указан в запросе: вложениями по электронной почте, через интернет-банк и др.

Отвечайте на звонки из банка

При анализе операций могут потребоваться дополнительные разъяснения или документы. Своевременный ответ — залог доверительного диалога между владельцем счёта и банком

Если не получается предоставить документы в срок

Если уложиться в установленные временные рамки не получается, заранее сообщите в банк о причинах задержки и сроках, когда документы будут готовы. Если причину задержки сочтут объективной, сроки предоставления могут продлить. Например, пока не готова справка из налоговой, приложите копию обращения в инспекцию. Если какие-то документы отсутствуют, укажите причину их отсутствия в пояснениях.

Сколько ждать ответа от банка

Срок рассмотрения документов занимает до 6 рабочих дней. Дождитесь результатов проверки — банк обязательно уведомит об итогах рассмотрения документов.

Читайте также: