Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Феномен Закона «О НПС» – хотим как лучше, а может получиться как всегда?

(Нет голосов)

18.06.2012 Количество просмотров 1169 просмотров

Нулевая ответственность: безусловный недифференцированный подход как первый шаг к деградации рынка платёжных услуг в России?

В ходе подготовки в этот номер журнала «ПЛАС» материала, посвященного претензионной работе банков в соответствии с Законом «О НПС», мы получили интереснейший комментарий от одного из авторитетных экспертов в данной области, пожелавшего остаться неназванным. Редакция журнала «ПЛАС» приняла решение опубликовать полученный материал полностью.



Прежде чем обсуждать, как регулировать ответственность, надо сформулировать цели, которые мы хотим этим регулированием достичь, и ограничений, которые мы хотим в него заложить. В зависимости от определения целей и ограничений режим регулирования ответственности может получаться совершенно различный.

Например, если исходить из того, что главная и единственная цель претензионной работы, построенной в соответствии с Законом «О НПС», – всеми силами защитить клиентов как слабую, бестолковую и безнадежно безграмотную сторону от «сильных и хищных» банков, и ради этой цели снять такое очевидное ограничение, как невозможность неотвратимого безнаказанного воровства, то логично действовать так, как предлагает сейчас государство – а именно, переложить все риски и ответственность на провайдеров (банки). А то, каким образом при таком регулировании будет работать система в целом и что произойдет с фродом и условиями предложения клиентам услуг, похоже, законодателя особенно не волнует.

На мой взгляд, основная цель регулирования должна заключаться в том, чтобы выстроить сбалансированную справедливую систему, в которой все стороны защищены и все стороны имеют возможность получить необходимую информацию, каждая из сторон может принять решение взять на себя риск и нести ответственность за это решение, при этом все стороны несут ответственность за свои действия в пределах, не превышающих их физические возможности. Также должны быть приняты и ограничения – например, система не должна допускать возможность неотвратимого и безнаказанного причинения ущерба другой стороне, и, наконец, самое очевидное: ни одна сторона не должна быть обязана доказывать то, чего она физически не в состоянии доказать.

Помимо целей и ограничений режим регулирования в значительной степени зависит от особенностей оказываемых услуг и режима их использования (операций), которые предлагаются клиентам. Подход к регулированию обязательно должен быть дифференцированным, поскольку разные с точки зрения рисков и безопасности инструменты регулировать единообразно нельзя. Либо перетянем гайки в одном месте, либо недотянем в другом.

 В общем и целом я бы выделил две основные категории услуг, различающиеся по уровню риска: 1. Услуги с высоким минимальным риском;

 2.Услуги с низким минимальным риском. Под услугами с высоким минимальным риском я подразумеваю платежные карты и любые инструменты, использующиеся для покупок в Интернете без должной аутентификации и авторизации списаний (операции по типу CNP). В случае использования таких инструментов ни банк, ни клиент не имеют возможности снижать риск ниже определенного, достаточно высокого уровня.

 К услугам с низким минимальным риском я отношу системы ДБО, где банк может предложить и, как правило, предлагает клиенту целый набор мер по обеспечению безопасности, который, при условии строгого соблюдения клиентом определенных правил поведения, практически гарантирует исключение риска при совершении операций в обычных условиях (не под принуждением). В эту же категорию, на мой взгляд, можно отнести операции по снятию наличных в банкоматах и операции в точках продаж.

Относительно услуг из первой категории – с высоким минимальным риском – я, в принципе, согласен с тем, что риск может быть перенесен на банк, который, в свою очередь, должен иметь возможность перенести риск на получателя платежа – торгово-сервисное предприятие, – который, не имея возможности идентифицировать клиента, также принимает решение о допущении использования клиентом высокорискового инструмента. Для минимизации потерь от реализованных рисков в этом случае важным становится условие оперативного уведомления банка клиентом о неправомерном списании средств с его счета.

 В случае с услугами второй категории – с низким минимальным риском – подход должен быть принципиально иным:

1. Регулятор устанавливает минимальный набор средств защиты, который банк должен обеспечивать клиенту. Например, в виде стандартов. Этот набор средств определяется, исходя из соображения, что при условии строгого соблюдения клиентом всех правил, установленных банком, риск потерь при проведении операции в обычных условиях не превышает некоторую достаточно малую величину.

 2. Регулятор контролирует предоставление банками минимального набора средств защиты.

3. Банк может (но не обязан) предоставить клиенту дополнительные средства защиты (ограничения на суммы, виды операций, режимы проведения операций, каналы проведения операций, использование дополнительного подтверждения транзакции и т. п.).

 4. Банк обязан дать клиенту возможность получить полную и изложенную в доступной для понимания обычным пользователем форме информацию о рисках, основных и дополнительных средствах защиты, правилах использования средств защиты и оборудования, используемого при проведении операции т. п. Т. е. клиент должен четко и полно понимать риски, знать, что он может делать и чего не может. И должен в письменном виде подтвердить, что ознакомлен с правилами и осознает все риски.

5. Клиент обязан использовать все средства защиты из минимального набора, и, в дополнение к ним, может использовать дополнительные средства защиты. Банк, в случае использования клиентом дополнительных средств защиты, может поощрять клиента уменьшением тарифов, поскольку риск для банка снижается, и снятием разного рода ограничений.

6. В случае, если при исполнении банком дистанционно переданного поручения клиента на проведение операции выполнены три условия, а именно:

 (1) банк обеспечил минимальный набор средств защиты в соответствии с требованиями регулятора;

 (2) банк проинформировал клиента о рисках и правилах поведения;

(3) банк убедился, что клиентом выполнены все требования банка в части безопасности, выполнение которых банк может проверить (получен положительный результат проверки использования клиентом всех средств защиты из минимального набора) – вся ответственность за проведенную операцию возлагается на клиента. В этой ситуации, при поступлении от клиента опротестования операции банк вправе, но не обязан, вернуть клиенту всю или часть похищенной суммы.

7. В случае, если банк не выполнил хотя бы одно из своих обязательств (не дал клиенту возможность получить необходимую информацию, не предложил минимального набора средств защиты, установленного регулятором, не получил положительного результата проверки использования клиентом всех средств защиты из минимального набора) – ответственность возлагается на банк. И банк, при поступлении протеста от клиента, обязан вернуть всю сумму ущерба, нанесенного клиенту в результате мошенничества.

 Несколько косвенных соображений в пользу правильности приведенной здесь позиции: Безусловный недифференцированный перенос рисков на банки означает, что цены на оказание услуг вырастут (это не шантаж, это закон экономики – риски неизбежно закладываются в стоимость) и, что хуже всего, вырастут одинаково для всех клиентов, честных и не очень. Кроме того, банки в стремлении ограничить свои риски начнут вводить разного рода ограничения, что сделает сервисы менее удобными для клиентов.

В результате получится, что добросовестные клиенты начнут платить дополнительные тарифы для компенсации потерь, которые банки несут от действий недобросовестных клиентов, а также будут страдать от ухудшения качества услуг. Все это – не только нелогично и несправедливо, но и серьезно препятствует развитию рынка и оказанию финансовых услуг населению, в частности, решению задачи снижения доли наличных в денежном обороте.

Кроме того, безусловный недифференцированный подход означает, что все банки подвергаются одинаковому риску, независимо от того, развивают они свои системы безопасности или нет. Т. е. при таком подходе ослабляется стимул для развития систем безопасности. А это уже системная проблема, которая, в потенциале, может привести к нестабильности всей платежной системы.

 Тот факт, что ответственность переносится на банки вне зависимости от того, какие средства защиты предлагает банк, и возлагается на банк, даже если тот проводит операции на основании поручения, подписанного ЭЦП клиента на сертифицированных средствах, подрывает принципы электронного документооборота. Получается, что, с одной стороны, подписанный ЭЦП электронный документ юридически равнозначен такому же по содержанию документу на бумаге, но, с другой стороны, в случае с ДБО клиент почему-то вправе отказаться от платежа, даже если дистанционное распоряжение подписано его ЭЦП и клиент этого не отрицает.

 Безусловно, я далек от того, чтобы считать свою позицию единственно правильной, и готов обсуждать ее с другими экспертами. Допускаю также, что оппонентами могут быть приведены аргументы, которые заставят меня отказаться от части или даже всех приведенных здесь тезисов. Но пока я с такими аргументами незнаком, а основной аргумент, состоящий в том, что банк сильная сторона и надо защищать от него клиента, не принимаю как неубедительный.


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первый в США сервис мобильного банкинга был запущен Wells Fargo в 2002 г., но так как число пожелавших воспользоваться этой услугой ограничилось всего 2500 клиентами, банк вскоре убрал мобильный банкинг из списка своих сервисов?