Техника безопасности. Интервью с В.Воробьевым

Одним из определяющих трендов развития современного общества стала активная и практически всеобъемлющая диджитализация. Среди флагманов внедрения технологий находится финансовая сфера, стремительно трансформирующаяся под влиянием IT. О том, как банки работают над привлечением и имплементацией новых технологий, о роли юристов в этих процессах, а также о законодательных и регуляторных барьерах «Юридической практике» рассказал Владимир Воробьев, управляющий партнер QUANTUM ATTORNEYS.

 

— В каких сегментах рынка финансовых услуг наиболее заметна интервенция новых технологий?

— Инновации в сфере финансовых услуг предполагают внедрение инструментов и решений, которые делают финансовые услуги более доступными для широкого круга потребителей через интернет, мобильный банкинг, а также посредством технологий бесконтактной передачи данных. Несмотря на то что fintech-инновации коснулись практически всех видов традиционных финансовых услуг, наиболее активно развивается fintech-рынок платежных услуг, который занимает около 50 % всего fintech-рынка. Помимо платежных услуг финансовые инновации активно меняют сферу страхования, микрокредитования, P2P-кредитования, управления активами, в том числе с помощью услуг «робо-эдвайзери». Как следствие, внедрение технологий в сферу финансовых услуг постепенно увеличивает скорость и уменьшает стоимость финансовых услуг, упрощая доступ к ним. Мы видим, что все большее количество банков в Украине и за рубежом в качестве приоритетного вектора развития своих сервисов выбирают внедрение fintech-решений именно как способ конкурентной борьбы прежде всего за B2C-рынок.

 

— В чем состоит роль юристов при внедрении fintech-решений?

— Юристы, специализирующиеся в сфере правового сопровождения fintech-проектов, прежде всего нужны для того, чтобы провести оценку регуляторных рисков, обеспечить полное соблюдение законодательства и существующих стандартов, привести в соответствие с нормативными требованиями документацию банка, которая имеет отношение к функционированию нового fintech-решения. Кроме того, именно юристы помогут выработать наименее рисковый для банка алгоритм внедрения fintech-решений, защитив его интересы в отношениях с разработчиками, стартапами с уже частично готовыми продуктами или действующими бизнесами/сервисами на fintech-рынке.

Также в случае, когда контрагентами банка при внедрении fintech-решений являются нерезиденты, возникает более широкий круг вопросов структурирования взаимоотношений, финансовых потоков, налогового планирования и регуляторного комплаенса. Здесь важно обеспечить выполнение требований применимого иностранного законодательства, касающихся защиты прав потребителей, их персональных данных, реализации мер по борьбе с отмыванием средств, полученных преступным путем, поскольку такие нормы часто имеют экстерриториальное действие, а их нарушение может повлечь тяжелые последствия.

 

— Национальный банк Украины (НБУ) утвердил Комплексную программу развития финансового сектора Украины до 2020 года. Насколько это регулирование соответствует трендам рынка?

— Данная программа в целом отображает основные тренды регулирования глобального рынка fintech. Необходимо выделить следующие цели и приоритеты банковского регулятора, которые играют важную роль для формирования рынка fintech-услуг: введение электронного документооборота в сфере финансовых услуг, в том числе электронных доверительных услуг, электронной цифровой подписи и иных методов дистанционной идентификации личности и авторизации финансовых трансакций, возможность использования BankID, возможность заказа финансовой услуги в онлайн-режиме, постепенный перевод бумажного документооборота в сфере финансовых услуг в цифровой, создание облегченного доступа к лицензированию новых игроков рынка финансовых услуг и т.д. Заданные приоритеты вполне соответствуют трендам развития глобального рынка fintech-услуг, и многие из них уже воплощены в регуляторном поле, осуществляется работа по усовершенствованию законодательной базы, адаптации украинского законодательства к европейским нормам и стандартам, в частности к положениям Второй платежной директивы ЕС № 2015/2366 (PSD2) и другим нормам.

В то же время отмечу, что НБУ придерживается позиции, что пока те или иные проблемы не станут актуальными, нет необходимости обременять еще относительно слабый рынок дополнительным регулированием. Здесь следует отметить необходимость усиления самоорганизации рынка с целью саморегулирования в вопросах стандартов работы на рынке тех или иных финансовых технологий, в том числе касающихся аспектов защиты прав потребителей услуг, повышения безопасности и качества услуг. Такая модель саморегуляции, к примеру, успешно реализована в Швейцарии, где профильным ассоциациям даже делегировано право принятия решений о допуске новых игроков на рынок услуг без необходимости получения лицензии от Швейцарского ведомства по надзору за финансовым рынком (FINMA). Кстати, вопрос создания более либерального режима доступа на рынок финансовых услуг стартапов по аналогии с режимами sandbox license, введенными в Англии, Сингапуре, Австралии и ряде других стран, находится на рассмотрении у НБУ, и, возможно, в ближайшем будущем мы увидим предложения по введению аналогичного режима для fintech-стартапов в Украине. Такая инициатива призвана дать возможность fintech-стартапам до получения традиционной лицензии Национального банка Украины протестировать свой продукт в реальных условиях рынка, а также упразднить барьеры, не позволяющие инновационным fintech-компаниям получать лицензии самостоятельно.

 

— Есть ли примеры fintech-решений, внедрение которых требует существенного изменения регуляторного поля?

— В первую очередь это P2P-кредитование. Сегодня в нашей стране такое кредитование не попадает под действие Закона Украины «О банках и банковской деятельности», не регулируется ни НБУ, ни другими регуляторами финансового рынка. При этом некоторые банки Украины уже начали использовать данный инструмент, предлагая более высокую доходность инвесторам. Согласно оценке НБУ, наибольшие риски в указанной деятельности банков связаны с отсутствием ответственности посредников, отсутствием гарантирования вкладов в Фонде гарантирования вкладов физических лиц, неотображением таких операций в бухгалтерской отчетности банков. Кроме того, среди факторов риска регулятор отмечает инвестирование средств в кредиты заемщиков, кредитный риск которых определяется политикой самих банков и не регулируется НБУ, на фоне низкого уровня осведомленности населения относительно возможных рисков. В этих условиях развитие данного fintech-решения требует концептуального изменения нормативного регулирования кредитных операций.

Платежные сервисы и бесконтактные платежи. NFC-платежи завоевывают все большую популярность, в том числе в Украине, которая по итогам 2018 года вошла в топ-5 стран, где население пользуется такими платежами. В то же время нормативное и регуляторное поле для их функционирования еще не разработано, а имеющееся законодательство о платежных системах для этих целей не подходит.

FaceID. Данная технология успешно внедряется в ряде стран (в частности, в Японии для осуществления бесконтактных платежей в городском транспорте). В Украине для реализации этой инновационной технологии в сфере платежей полностью отсутствует какая-либо нормативная основа, в том числе нет положений, регулирующих ответственность за правонарушения (злоупотребления) в этой сфере.

Блокчейн-технологии. Использование данных технологий в финансовой сфере требует нормативного урегулирования, которое пока отсутствует. Прежде всего нужно определить статус криптовалют и иных криптоактивов, дать возможность участникам рынка осуществлять продажу легальных криптоактивов, имеющих законное происхождение, декларировать доход и платить налоги. Также необходимо создать регуляторные предпосылки для законной эмиссии и торговли криптоактивами, эффективную систему контроля за защитой прав потребителей от мошенничества и продажи им «грязных» криптоактивов, имеющих криминальное происхождение.

 

— А что входит, скажем так, в «перспективную» повестку дня украинского парламента, КМУ и НБУ в контексте урегулирования fintech?

— Как я уже говорил,необходимо законодательное урегулирование банковского сервиса Р2Р-кредитования для кредитования малого бизнеса и населения и предоставления консультационных услуг по вопросам потенциальных заемщиков — физических лиц. Известно, что НБУ намерен совместно с профессиональными участниками рынка финансовых услуг разработать консолидированную позицию по данному вопросу. Предполагается, что это будет закон о внесении изменений и дополнений в Закон Украины «О банках и банковской деятельности».

Необходимо также внести изменения (принять новую редакцию) в Закон Украины «О платежных системах и переводе средств в Украине» 2001 года, который сегодня морально устарел. Нужно сформулировать правовые условия для использования клиентами, в том числе физическими лицами, электронных инвойсов, электронных кошельков и электронных денег для осуществления безналичных переводов и расчетов за товары (работы, услуги) в режиме онлайн на территории Украины и для трансграничных переводов. Также следует обеспечить возможность эмиссии электронных денег лицами, не являющимися банками, и разработать порядок такой эмиссии.

Необходимо привести законодательство в сфере регулирования рынка электронных платежных услуг в соответствие с европейскими стандартами, в частности с нормами Второй платежной директивы ЕС № 2015/2366. На данный момент в этой сфере разработан и направлен на рассмотрение профильному парламентскому комитету проект Закона Украины «О внесении изменений в некоторые законодательные акты Украины относительно регулирования перевода средств» (рег. № 7270). По имеющейся у нас информации, в рамках НБУ также разрабатывается проект Закона Украины «О платежных сервисах», который в недалеком будущем должен заменить устаревший Закон Украины «О платежных системах и переводе средств в Украине» 2001 года и урегулировать в том числе вопросы, касающиеся бесконтактных платежей.

Следует также разработать проект акта КМУ относительно устранения законодательных, институциональных и иных барьеров развития цифровой экономики, формирования соответствующих условий для развития блокчейн-технологий, стимулов, мотиваций, спроса и потребностей для использования цифровых технологий бизнесом и гражданами, как это предусмотрено в Концепции развития цифровой экономики и общества Украины на 2018—2020 годы, одобренной распоряжением КМУ от 17 января 2018 года.

 

— Исходя из вашего опыта, скажите, банки чаще выступают инициаторами разработки нового технологического продукта или потребителями существующих сервисов?

— Украинские банки чаще стараются самостоятельно разработать fintech-продукт и интегрировать его в существующую инфраструктуру банковских сервисов. Главными мотивами при выборе такой модели являются независимость от третьих сторон в принятии решений об управлении будущим сервисом/технологией и полное владение правами интеллектуальной собственности на продукт. Однако это не исключает возможности рассмотрения банками установления партнерств с существующими fintech-компаниями на рынке, если разработка собственного аналогичного продукта не даст существенных конкурентных преимуществ и при этом потребует значительных инвестиций. Также часто дешевле использовать внешний сервис на условиях партнерства с уже существующей профессиональной командой, нежели искать персонал с узкопрофильной и дефицитной на рынке труда квалификацией или обучать его.

 

— Каковы аргументы в пользу выбора того или иного варианта получения новых технологий?

— Выбор зависит от сложности и дороговизны технологии, ее роли в инфраструктуре банковских сервисов. Например, технологии идентификации клиентов и бесконтактных платежей, искусственного интеллекта, в частности, при скоринге в микрокредитовании, разрабатывать нет смысла ввиду дороговизны и риска неполучения ожидаемого результата в рамках выделенного бюджета. Программные решения также часто дешевле приобрести и адаптировать, чем писать с нуля. Что же касается функционала банковских онлайн- и мобильных сервисов, то банки стараются разработать и внедрить индивидуальный продукт, который будет обладать каким-либо конкурентным преимуществом перед иными игроками рынка. В этом контексте следует также вспомнить о проблеме отсутствия эффективных механизмов защиты прав интеллектуальной собственности банка-заказчика на разработанный за его средства продукт. Бывают случаи, когда разработчики созданный на деньги банка софт несанкционированно используют для продажи другим банкам-конкурентам или же усовершенствуют его и создают собственный более технологичный fintech-сервис, который может вступать в прямую конкуренцию с таким банком. В целях защиты прав банков как заказчиков на разработку и внедрение fintech-решений в банковскую платежную инфраструктуру следует детально прописывать запреты и ограничения для разработчиков, а также санкции за их нарушение. В то же время для разработчиков важно максимально детализированно прописать предмет техзадания и иные условия, чтобы не быть связанными излишними ограничениями при работе с будущими заказчиками, а также избегать рисков несправедливого применения к ним запретов и санкций в судебном порядке.

Наиболее действенными способами получения банком собственного уникального fintech-продукта или решения являются следующие: «акселерация» команд разработчиков под поставленную техническую задачу; приобретение контрольного пакета и привлечение своего менеджмента к участию в проекте стартапа, разрабатывающего интересующий банк продукт; полный выкуп уже существующего продукта на рынке или поглощение fintech-стартапа (компании, имеющей права на fintech-продукт). Однако банки стараются не вовлекаться в чистый венчур, поскольку это не является их профильной деятельностью и часто требует излишних ресурсов, в том числе кадровых, которых у традиционных банков попросту нет. В то же время следует отметить, что все в большем количестве банков появляются отдельные структурные подразделения, ответственные за внедрение инновационных технологий в банковские сервисы, задачей которых является мониторинг рынка инновационных решений, их выбор и поиск путей интеграции в банковскую сервисную инфраструктуру.

 

— Кто несет ответственность за уязвимость приложений, причинивших ущерб банку и/или его клиентам?

— По законодательству Украины банк как лицо, предоставляющее банковскую/финансовую услугу, должен нести ответственность за ущерб, причиненный его клиентам, причем вне зависимости от того, является ли продукт собственностью банка или используется на подряде третьей стороной. Поэтому для банка важно (и в этом ему могут помочь внешние профильные юристы) правильно выстраивать взаимоотношения со сторонними сервисами, предусматривая полную ответственность за ошибки в системе безопасности, которые привели к потерям персональных данных, средств клиентов или иного рода проблемам и убыткам. В то же время на рынках США и ЕС уже существуют механизмы страхования ответственности разработчиков и внешних финансовых сервисов за убытки, которые не нанесены прямым нарушением контрактных обязательств, однако были причинены по вине третьей стороны в силу технических недостатков или недоработок в таком продукте, к примеру, в результате кибератак. Такую практику нужно внедрять и в Украине.

 

— Что следует предпринимать банкам для соблюдения разумного баланса между инновационностью и безопасностью?

— У банков часто возникают достаточно обоснованные опасения, что внедрение инновационных решений может негативно отразиться на безопасности трансакций, активов и персональных данных клиентов. Инновационные технологии предполагают увеличение количества каналов дистанционной коммуникации между банком и клиентом при принятии платежных поручений и их исполнении, а также при процессинге иных банковских услуг, например, таких как онлайн-кредитование, онлайн-страхование. В результате повышаются риски корректной идентификации и верификации клиента или его контрагента, проведения процедур KYC и AML, риски кибератак и утраты данных. Банк часто подвергается риску стать инструментом отмывания незаконных средств и объектом преследования органов финансового контроля и мониторинга не только Украины, но и других стран.

Для того чтобы избежать таких рисков и сделать использование fintech-решений максимально безопасным во всех аспектах, сегодня необходимо идти далеко впереди регуляторного поля Украины, опираясь на лучший международный опыт, нормы и стандарты во всех вышеназванных сферах. Кроме того, украинским банкам следует уделять особое внимание обеспечению своей кибербезопасности, ведь во многих банковских учреждениях она пока еще остается довольно низкой: системы защиты информации зачастую не соответствуют международным стандартам информационной безопасности, а банковские сотрудники даже не знают, какие действия предпринимать в случае хакерских атак. А ведь если в случае таких атак в руки злоумышленников попадают персональные данные клиентов банка, то пострадает прежде всего его деловая репутация, его имидж. В этом контексте банкам необходимо реализовать требования Положения НБУ об организации мер по обеспечению информационной безопасности в банковской системе Украины.

 

(Беседовал Алексей НАСАДЮК,
«Юридическая практика»)