Информационная безопасность банковских безналичных платежей. Часть 1 — Экономические основы

vqdzmyl78yxitevtnmonqfkfyf0.jpeg

Информационная безопасность банков является одной из наиболее интересных задач по обеспечению практической безопасности. Крупные денежные средства, которыми обладают банки, повсеместное распространение online-технологий и Интернет-платежей делают банки желанной добычей для плохих парней с темной стороны. А раз есть проблемы, то должны быть и решения.

Вашему вниманию представляются результаты исследования на тему обеспечения информационной безопасности одного из самых уязвимых мест банка — процесса осуществления безналичных платежей.

Исследование получилось довольно обширным, поэтому публиковаться будет по частям. И начнем мы с первой части, которая расскажет о том, что такое безналичные платежи с экономической точки зрения.

Термины, определения, допущения и условности
Цель исследования — систематизировать знания, решения и опыт по обеспечению информационной безопасности банковских безналичных переводов денежных средств.

Источники информации:

  • открытые материалы с сайта Банка России,
  • правовые информационно-справочные системы,
  • материалы и публикации в СМИ,
  • отчеты компаний, специализирующихся в области обеспечения безопасности,
  • собственный опыт и личное общение с коллегами.

Допущения:
За основу взята типовая схема организационно-технического взаимодействия кредитных организаций и Банка России, принятая в Московском регионе.
При рассмотрении экономических основ вопросы, связанные со взиманием комиссий, с ведением бухгалтерского учета, будут опущены.

Термины:
В исследовании будут использованы термины и определения в том смысле, в котором они используются в действующем законодательстве РФ.

Синонимы:
Банк = кредитная организация.
Безналичный платеж = перевод денежных средств.
Платежи = расчеты.

Расчеты наличными vs. безналичные расчеты


Исторически первыми видами платежей были расчеты наличными. Покупатель передавал продавцу денежные знаки, а взамен получал товар или услугу.

4j4asx1nejm8pbymfta_akbkbui.jpeg
Рис. 1

Проанализируем плюсы и минусы этой формы расчетов с точки зрения покупателя и продавца, а так же с точки зрения экономики государства в целом.

Анализ наличных расчетов с точки зрения продавца и покупателя
Плюсы Минусы
Предоставляет покупателю и продавцу максимальную свободу и независимость от третьих лиц. Главное, чтобы денежные знаки были хорошо защищены от подделки, и их было достаточное количество Значительное неудобство, а и иногда и невозможность совершения покупок без личного контакта участников расчетов. Обеспечение безопасности хранения наличных денежных средств.


Анализ наличных расчетов с точки зрения государства
Плюсы Минусы
Исторически сложившаяся форма расчетов, к которой привыкло население. При наличных расчетах деньги «оседают» у продавцов и перестают «работать», до тех пор пока продавец не сделает на них какую-либо покупку.
Государство несет инфраструктурные затраты на производство денежных знаков, их логистику и утилизацию.
Наличные расчеты практически не подконтрольны для фискальных органов (налоговой инспекции) и создают условия для развития теневой экономики и ухода от уплаты налогов.


Таким образом, видно, что расчеты наличными для государства — это зло, которое оно бы с удовольствием запретило, если бы это не вызвало резкого протеста населения. А раз полностью запретить нельзя, то применяют ограничительные меры.

В России, в частотности, законодательно (ГК РФ ст. 861, Указание Банка России 3073-У от 07.10.2013) установлено, что только граждане и только в личных целях могут пользоваться наличными без ограничений, остальным же (ИП, ЮЛ, …) применение наличности строго лимитировано.

Безналичные платежи, в отличии от расчетов наличными, подразумевают присутствие между продавцом и покупателем третьей доверенной стороны — посредника, который по поручению сторон осуществляет между ними расчеты.

Криптовалюты, такие как Bitcoin, Ethereum и другие, позволяют осуществлять платежи без посредников (не считая майнеров), но пока статус данных систем законодательно не определен, и их описание выходит за рамки данной статьи. Здесь же мы будем рассматривать только «классические» безналичные платежи, где в качестве третьей доверенной стороны выступают кредитные организации (банки).

Банковские счета и деньги в безналичной форме


Для совершения безналичных платежей используются деньги в безналичной форме. Рассмотрим механизмы конвертации денег из наличной в безналичную форму и обратно.

Все начинается с того, что клиент, будь то физическое лицо, юридическое лицо или индивидуальный предприниматель вступает с кредитной организацией, у которой есть лицензия Банка России на осуществление банковской деятельности, в договорные отношения.

Клиент передает в банк наличные денежные средства, банк принимает их и отражает на банковском счете, специально заведенном для учета расчетов с клиентом. Если клиент кладет деньги в банк, то остаток на этом счете увеличивается, если забирает, то уменьшается.

После того, как клиент положил наличные в банк, они превращаются в безналичные деньги, которые, если сильно упростить, даже не деньги, а обязательства банка сделать для клиента определенные услуги, к которым можно отнести выдачу наличных денег клиенту, перевод денежных средств и так далее.

Кроме поступления и снятия наличных, банковский счет клиента может увеличиваться и уменьшаться за счет поступления безналичных переводов от третьих лиц и совершения переводов в адрес третьих лиц соответственно. Важно отметить, что безналичные деньги — это не обязательства всей банковской системы, а обязательства именно того банка, где открыт соответствующий банковский счет. Это осознание приходит особенно ярко если банк, обслуживающий данный счет, разоряется. Тогда деньги (остаток на счете) вроде бы есть, а воспользоваться ими невозможно.

Банковские счета бывают разными. Клиенты — физические лица — открывают в банке текущие или специальные карточные счета. Клиенты — юридические лица — открывают в банках расчетные счета. Банки для осуществления расчетов открывают в других банка корреспондентские счета. Не вдаваясь в подробности, функционирование всех этих счетов выглядит примерно одинаково: увеличение остатка на счете приводит к увеличению обязательств банка, в котором он открыт, и наоборот, уменьшение остатка уменьшает обязательства банка. Для простоты в дальнейшем будем рассматривать только работу по расчетным и корреспондентским счетам.

На данном этапе банк для нас будет состоять из двух основных частей:

  1. реестра банковских счетов, содержащего значения остатков на счетах клиентов;
  2. денежных средств банка, состоящие из денег всех клиентов и собственных средств бака.


kxi7qer53ey1mapr1gqjrb511mm.jpeg


Рис. 2

Одним из основных источников доходов банков является кредитование. Банк передает деньги во временное пользование клиенту, а тот их возвращает с процентами. Для обеспечения подобного вида бизнеса банку нужны деньги, которые он будет давать в кредит. И тут как раз вступают в игру деньги клиентов, хранящиеся на счетах в безналичном виде.

Основная идея в том, что в банке никогда не лежат все деньги клиентов. Вместо этого банк ведет статистический учет деятельности клиентов и «очень точно догадывается», сколько денег им может понадобиться для текущих расчетов. Остальные же деньги пускаются банком на кредитование.

Механизмы осуществления платежей


Рассмотрим, как производится безналичный платеж между плательщиком и получателем (далее их будем называть — клиенты), обслуживающихся в одном и том же банке.

Транзакция 1.
Клиент А совершает перевод в адрес Клиента Б. Для его исполнения Банк уменьшает на сумму перевода остаток денежных средств на расчетном счету Клиента А и увеличивает на ту же сумму остаток на счету Клиента Б. Общее количество денег в банке не изменяется.

При расчете наличными платежи всегда бывают одного вида: плательщик по своей воле передает получателю требуемую сумму денег. При использовании безналичных платежей схемы расчетов могут быть разными:

  1. плательщик может по своей воле приказать банку совершить платеж в адрес получателя за счет средств на своем банковском счете — расчеты по платежным поручениям;
  2. получатель может затребовать у банка, в котором открыт счет плательщика, совершить платеж в свой адрес при наличии соответствующей договоренности с плательщиком или в случаях, обговоренных в законодательстве. При этом платеж может быть совершен с акцепта плательщика — расчет по платежным требованиям, или в безакцептном порядке — расчет по инкассовым поручениям;
  3. плательщик и получатель могут договориться о том, что банк совершит платеж в адрес получателя при условии предъявления в банк последним заранее оговоренных документов, подтверждающих факт совершения сделки — расчет по аккредитивам;
  4. и другие формы, с которыми можно ознакомиться в п.1.1 Положения Банка России от 19.06.2012 N 383-П «О правилах осуществления перевода денежных средств».


Наиболее распространенной формой расчетов является расчет по платежным поручениям.

Вне зависимости от использованных форм расчетов Банк отчитывается перед клиентом за все совершенные по его счету операции путем предоставления специального документа — выписки по счету.

Платежное поручение и выписка по счету являются основными юридически значимыми документами, используемыми клиентом и банком для целей бухгалтерского учета и разбирательств конфликтных ситуаций в суде.

Важно отметить, что если клиенту на расчетный счет поступил платеж, и он был отражен в выписке по счету, то банк не имеет право вернуть платеж отправителю, даже если он был совершен по ошибке или злонамеренно. Возврат платежа возможен только по договоренности с получателем или по решению суда. Максимум, что может сделать банк, — это, руководствуясь законодательством о противодействии легализации доходов, полученных преступным путем, заблокировать денежные средства на счете получателя.

Примечание
Гражданский Кодекс РФ (ГК РФ Статья 1102. Обязанность возвратить неосновательное обогащение) предписывает получателю вернуть денежные средства отправителю, если те были отправлены не обосновано или по ошибке.

Прямые корреспондентские отношения


Ранее мы рассмотрели, как происходит перевод между клиентами, обслуживающимися в одном банке. Теперь усложним задачу и рассмотрим, как производятся расчеты между клиентами, обслуживающимися в двух разных банках.

Для проведения межбанковских расчетов банки должны установить между собой корреспондентские отношения. Суть этих отношений в том, что один банк, на схеме ниже (Рис. 3) это Банк 2, становится клиентом Банка 1 и открывает в нем специальный банковский счет, называемый корреспондентским счетом. После открытия корр. счета Банк 2 вносит на него определенную сумму денег, эдакий денежный буфер, в размере которого клиенты Банка 2 смогут отправлять платежи клиентам Банка 1.

dr4sizu7mpdbaqibknd058e_dnc.jpeg
Рис. 3

Чтобы понять, как это работает, рассмотрим пример. Пусть Банк 2 разместил на корр. счете в Банке 1, скажем, 1 миллион рублей.

Транзакция 2.
Клиент В, обслуживаемый в Банке 2, хочет отправить Клиенту А, обслуживаемому в Банке 1, например, 500 тысяч рублей. Для этого он формирует и передает в Банк 2 платежное поручение, в котором в качестве получателя указывает Клиента А, а в качестве сумм платежа указывает 500 тысяч рублей. Банк 2, получив распоряжение Клиента В, видит, что получателем платежа является Клиент А, обслуживаемый Банком 1. Тогда Банк 2 передает в Банк 1 распоряжение списать со своего корр. счета 500 тысяч рублей и зачислить их на расчетный счет Клиента А, а после этого Банк 2 уменьшает остаток на расчетном счете Клиента В на 500 тысяч рублей.


Транзакция 3.
Теперь рассмотрим пример, при котором Клиент Б пересылает Клиенту В 2 миллиона рублей. Для этого Клиент Б передает в Банк 1 соответствующее платежное поручение. Банк 1 списывает с расчетного счета Клиента Б 2 миллиона рублей и зачисляет их на корр. счет Банка 2, после чего передает в Банк 2 платежное распоряжение от Клиента Б, получив которое, Банк 2 увеличивает остаток на расчетном счете Клиента В на 2 миллиона рублей.
После транзакций 2 и 3 на корр. счете Банка 2 будет 2,5 миллиона рублей.


Транзакция 4.
Что будет, если Клиент В отправит Клиенту А 3 миллиона рублей? Будет все тоже самое, как и при рассмотрении транзакций 2 и 3, за исключением того, что платеж не будет исполнен, пока Банк 2 не увеличит остаток на корр. счете на недостающие 500 тысяч рублей.

Платежная система Банка России


Механизм осуществления платежей между двумя банками, который мы только что рассмотрели, прост, но имеет существенный недостаток в части масштабируемости. При большом количестве банков установка и поддержание корреспондентских отношений каждого банка с каждым сложно реализуема. Поэтому основным инструментом осуществления межбанковских переводов денежных средств в Российской Федерации является платежная система Банка России.

qgpbmwxk27bmmgpzlbor0tb7oao.jpeg
Рис. 4

Основная идея этой платежной системы заключается в том, что Банк России выступает в роли единой точки, к которой подключены все банки, и через которую проходят платежи от одного банка к другому.

Каждая кредитная организация при своей регистрации и получении лицензии на осуществление банковской деятельности открывает в Банке России корреспондентский счет.

Для того чтобы иметь возможность отличать один банк от другого, им присваиваются банковские идентификационные коды (БИК). Банк России регулярно обновляет и публикует на своем сайте справочник БИКов. Зная БИК, по этому справочнику можно определить и номер корр. счета банка, открытом в Банке России. Совокупность БИК и номера расчетного счета уникальным образом идентифицирует расчетный счет клиента в рамках всей платежной системы Российской Федерации.

Рассмотрим, как с помощью платежной системы Банка России будет осуществляться межбанковский платеж. За основу возьмем взаимодействие клиентов и банков, проиллюстрированное на Рис. 4.

Транзакция 5.
Клиент Г совершает платеж в адрес Клиента В. Для этого он отправляет в свой банк (Банк 3), платежное поручение, в котором в качестве получателя платежа он указывает Клиента В.
Банк 3, получив от Клиента Г платежное поручение, видит, что получатель платежа (Клиент В) не является его клиентом, и пересылает платежное поручение в Банк России.
Банк России уменьшает на сумму платежа остаток на корр. счете Банка 3 и увеличивает на ту же сумму остаток на корр. счете Банка 2 (банк-получатель). После этого Банк России пересылает платежное поручение в Банк 2 и отправляет Банку 3 уведомление о совершении платежа, который в свою очередь уменьшает остаток на расчетном счете Клиента Г.
Банк 2, получив уведомление от Банка России, увеличивает остаток на расчетном счете Клиента В. Оба банка — Банк 2 и Банк 3 — отражают движение денежных средств по расчетным счетам в выписках и предоставляют их клиентам.

В случае наличия нескольких вариантов движения денежных средств, как, например, между Клиентом Б и Клиентом В на Рис. 4, банк-отправитель самостоятельно принимает решение о маршрутизации платежа: с использованием прямых корр. отношений или через платежную систему Банка России — в зависимости от параметров платежа, его себестоимости и других условий.

Переводы денежных средств в платежной системе Банка России осуществляются:

  1. в режиме реального времени с использованием сервиса банковских электронных срочных платежей (БЭСП);
  2. в дискретном режиме с применением механизмов внутрирегиональных электронных расчетов (ВЭР) или межрегиональных электронных расчетов (МЭР).


В режиме реального времени обработка платежей похожа на использование такси. Платеж поступает в Банк России и тут же обрабатывается. В дискретном режиме обработка платежей схожа с перевозкой пассажиров рейсовым автобусом. Платежи сначала накапливаются, а затем все кучей обрабатываются. В течении операционного дня Банк России выполняет несколько подобных рейсов.

График рейсов, принятых в Московском регионе, опубликован на сайте Банка России и состоит из пяти рейсов:

Номер рейса Период приема электронных документов Период обработки электронных документов Время выдачи результатов обработки
Первый рейс 10:00 — 11:00 11:00 — 12:00 с 12:00
Второй рейс 11:15 — 14:00 14:00 — 15:00 с 15:00
Третий рейс 14:15 — 16:00 16:00 — 17:00 с 17:00
Четвертый рейс 16:16 — 18:00 18:00 — 20:00 с 20:00
Окончательный рейс 19:00 — 21L00 21:00 — 22:00 с 22:00


Тарифы Банка России на проведение платежей через БЭСП выше, нежели в дискретном режиме.

Переводы за счет собственных средств банков


До этого мы обсуждали, как банки исполняют платежи клиентов. Теперь рассмотрим, как банк осуществляет собственные платежи, например, покупая бумагу, оплачивая электроэнергию, услуги связи и т.д.

По большому счету все делается точно также, как и в случае с платежами клиентов, только платит банк не с расчетного счета, а с одного из своих корреспондентских счетов. Это обстоятельство часто вводит неопытных контрагентов банка в ступор, и они навязчивым образом требуют у банка номер его расчетного счета, в том время как у банков обычно не бывает расчетных счетов. В остальном все то же самое: формируется платежное поручение, затем оно передается в банк, где открыт корр. счет, тот банк его исполняет и отвечает выпиской по счету.

Заключение


В данной части мы познакомились с основными принципами и механизмами, связанными с осуществлением безналичных переводов денежных средств в Российской Федерации. В следующей части мы рассмотрим IT-инфраструктуру банка, используемую для осуществления переводов, и особенно ту часть, которая отвечает за осуществление корреспондентских отношений с Банком России.

Дополнительные материалы для самостоятельного изучения
  • Федеральный закон от 27.06.2011 N 161-ФЗ «О национальной платежной системе»
  • Федеральный закон от 02.12.1990 N 395–1 «О банках и банковской деятельности»
  • «Положение о платежной системе Банка России» (утв. Банком России 29.06.2012 N 384-П)
  • «Положение о платежной системе Банка России» (утв. Банком России 06.07.2017 N 595-П)

© Habrahabr.ru