18 марта, 2013, BIS Journal №1(8)/2013

Франшиза преткновения


Кашенкова Елена

Редактор-обозреватель (BIS Journal)

Тормоз развития страхования рисков ДБО ? отсутствие взаимопонимания между страховщиками, банками и клиентами, какую же минимальную сумму ущерба нужно возмещать

В настоящее время большинство банков используют комплексное страхование, покрывающее риски мошенничества в разных сферах деятельности кредитной организации. В том числе – в дистанционном банковском обслуживании (ДБО). Однако, как поясняют представители банков, в таких договорах предусмотрена высокая франшиза, одинаковая для всех видов мошенничеств. Соответственно, пользоваться таким полисом для систем ДБО, особенно для физических лиц, на практике удается крайне редко.

ОТ ЧЕГО ЗАЩИЩЕНЫ БАНКИ

«Пока что банкам в основном предлагают только услуги по страхованию клиентов и банков от тех видов мошенничества в ДБО, которые касаются действий, совершаемых в интернете преступными сообществами. То есть случаев, когда клиент действительно пострадал от действий третьих лиц, которые с помощью вредоносного программного обеспечения завладели либо его аутентификационными данными, либо непосредственно управлением системой ДБО на компьютере клиента и затем украли его деньги», – рассказывает Иван Янсон, заместитель руководителя службы информационной безопасности «Промсвязьбанка».

В представленных на рынке договорах комплексного страхования в качестве условия признания случая страховым, как правило, прописано, что для соответствующего инцидента должно быть заведено уголовное дело и даже, возможно, вынесено судебное решение по нему. «На мой взгляд, такое условие является излишним в случае страхования мошенничества ДБО, – считает Иван Янсон. – Практика показывает, что по обращениям как юридических, так и физических лиц в связи с мошенничествами в ДБО возбуждаются лишь единичные уголовные дела. Таким образом, условие наличия возбуждённого уголовного дела делает нерабочим страховой договор в части мошенничеств в ДБО. Предъявление такого требования клиенту – это нежелательный путь развития событий, подход, не ориентированный на клиента. Двигаясь по нему, мы создаем сложности нашему клиенту и рискуем, в конечном счете, его потерять».

По словам Виталия Уса, директора по развитию и инновациям Центра страхования ипотечных и розничных банковских рисков ОАО СК «Альянс», «как правило, в существующие покрытия рисков банков в состав классического полиса ВВВ входит страхование от убытков в результате предоставления поддельных, подложных документов, также – страхование от компьютерных преступлений. Но оно защищает от инцидентов, произошедших на аппаратно-вычислительном комплексе самого банка, а также на средствах и каналах связи с ним. Риски инцидентов на клиентском оборудовании, как правило, не покрываются классическим полисом».

Дмитрий Шапошников, заместитель начальника управления страхования финансовых институтов ОСАО «Ингосстрах», отмечает, что «страховое покрытие по рискам ДБО предоставляется «Ингосстрахом» как в рамках комплексного страхования финансовых институтов от преступлений (полис ВВВ), так и в рамках отдельного страхового продукта. Многое зависит от желания и готовности банка платить больше денег за комплексное страховое покрытие или ограничиться страхованием только рисков, возникающих при работе с ДБО. Действующие у многих крупных и средних банков в России программы ВВВ автоматически распространяют свое действие в отношении подобного рода претензий со стороны клиентов».

РАСТЁТ ЛИ СПРОС У БАНКОВ

Сроки введения ст. 9 ФЗ-161 «О национальной платёжной системе» перенесены, но сама статья не отменена. Рано или поздно банкам действительно придётся первыми отвечать за потери средств клиентов. Рассматривают ли банки такой способ защиты от убытков, как страхование? Василий Окулесский, начальник управления информационной безопасности департамента по обеспечению безопасности ОАО «Банк Москвы», сообщил следующее: «Мы сейчас собираем данные для заполнения заявления-анкеты для страхования эмитента пластиковых карт. Запрашиваем котировки тарифов, чтобы оценить экономическую целесообразность. Про страхование рисков ДБО ещё не задумывались – нет нормальной страховой практики».

Тарифы страховыми компаниями пока чётко не проработаны, что тормозит развитие рынка. Потенциальным страхователям требуется немало времени, чтобы понять стоимость такой страховки. Например, ОАО СК «Альянс» активно стала заниматься вопросом страхования рисков при ДБО ещё в начале 2010 года. Была разработана концепция и дизайн соответствующего продукта, налажено взаимодействие с компаниями, специализирующимися на расследовании соответствующих компьютерных инцидентов. «ФЗ-161 внёс свои коррективы в прогнозы по развитию ситуации с рисками при ДБО, и мы отложили вывод на рынок данного продукта до получения некоторой статистики», – поясняет Виталий Ус (ОАО СК «Альянс»).

Иван Янсон («Промсвязьбанк») отмечает, что «в целом банки заинтересованы в таком страховании, и с учетом особенностей разных видов мошенничеств наиболее реалистичный вариант развития – это страхование от мошенничеств ДБО, связанных с действиями третьих лиц в отношении клиентов банка». Вопрос – в деталях.

Количество запросов в «Ингосстрах» о возможности и условиях страхования рисков банков при предоставлении услуг в сфере ДБО продолжает неуклонно увеличиваться на протяжении последних 2-3 лет. Причина достаточна банальна. Банки постоянно сталкиваются в своей работе с попытками (зачастую удачными) хищения мошенниками денег клиентов, находящихся на счетах, управляемых посредством ДБО.

«Вступление новых норм ФЗ-161, на наш взгляд, лишь в незначительной степени может способствовать увеличению спроса на данное страхование и росту тарифов на это страхование. По законодательству банк и сейчас несет финансовую ответственность за сохранность их средств на счетах. Вопрос лишь, по нашему мнению, больше находится в сфере упрощения процедуры и сроков возмещения утраченных его клиентами денежных средств на счетах», – говорит Дмитрий Шапошников (ОСАО «Ингосстрах»).

По словам Виталия Уса, «в течение последних месяцев наметилось две разнонаправленные тенденции. Одни банки активно интересуются страхованием рисков ДБО, особенно увязывая свой интерес с положениями ФЗ-161, другие же заняли выжидательную позицию. Вероятно, вопрос разрешится после того, когда банки будут вынуждены систематически возмещать клиентам денежные средства, похищенные мошенниками. Собственники банков, а также менеджмент осознают, что банки уже не так хорошо контролируют убытки при ДБО».

КТО ЖЕ ЗАПЛАТИТ

Возможны 2 варианта страхования. В первом – банк заключает договор со страховой компанией, и, в случае ущерба, заявляет о страховом случае. Страховая компания, при признании случая страховым, возмещает банку потери. Второй вариант – страхуется сам клиент банка, договор заключается между ним и страховой компанией. Банк выступает в роли агента, продающего своим клиентам эту страховку. Стоимость страховки будет зависеть от суммы покрытия.

«Если договор заключается с клиентом, в этом случае в договоре более чем естественным будет наличие требований соблюдения клиентом безопасности на компьютере, с которого он осуществляет работу в системе ДБО. В частности, к таким требованиям относится регулярное обновление антивирусного программного обеспечения и операционной системы. При расследовании инцидента, в ходе проведения экспертизы сразу станет ясно, соблюдал ли клиент «правила гигиены» в интернете. Отмечу, что требования безопасности уже предъявляются к клиентам банками в соответствующих договорах обслуживания в системах ДБО. Выполнение этих требований будет влиять на принятие решения банком о возмещении клиенту украденных средств и в случае, когда договор страхования заключается между банком и страховой компанией», – говорит Иван Янсон («Промсвязьбанк»).

Страховщики считают, что банку лучше самому оплачивать страхование. Но в принципе всё зависит от тех задач, которые кредитная организация ставит перед собой при выборе варианта страхования. При страховании подобных рисков банком за свой счёт основная задача – защитить себя и всех своих клиентов, осуществляющих безналичные платежи, от неблагоприятных финансовых последствий реализации подобных рисков. Вариант, при котором банк пытается убедить клиентов купить подобное страховое покрытие, имеет основной целью получение комиссионного вознаграждения от продажи страхового продукта. И уже на втором плане – защита собственных интересов и клиента. При этом нужно понимать, что охват таким страхованием будет не полным.

«Далеко не все клиенты согласятся покупать подобный полис. Многое будет зависеть от умения банка «продавать» такую услугу. Основные сложности могут возникнуть в случаях, когда пользователями системы ДБО выступают юридические лица. Кроме того, для банка не очевидны юридические последствия возможности предъявления к нему претензий со стороны государственных регулирующих органов (Банка России, Роспотребнадзора, ФАС России) при работе по такой схеме. Ведь, по сути, банк при внедрении такого варианта страхования будет пытаться закрыть свои риски, которые он по законодательству несет перед клиентом, за счет потребителя услуги ДБО или владельца карты», – полагает Дмитрий Шапошников (ОСАО «Ингосстрах»).

«В свете ФЗ-161 риски переносятся на банки, и убеждать самих клиентов покупать полисы будет затруднительно. Хотя для клиентов риски не становятся «стерильными», если принимать во внимание порядок заявления претензий, предусмотренный ФЗ-161. Тем более, что массовой практики предложения продуктов самим клиентам при ДБО, в отличие от страхования рисков при обращении банковских карт, нет», – говорит Виталий Ус (ОАО СК «Альянс»). И предложение страхования клиентам будет в определенной степени негативно влиять на имидж самой банковской системы ДБО.

В компании «Ингосстрах» страховым считается «случай предъявления претензии со стороны клиента банка, пользующегося услугами кредитной организации по переводу денежных средств». В соответствии с действующим законодательством, банк будет обязан возместить ему утраченные средства. Выплата производится согласно условиям договора и правил страхования.

По мнению представителя ОАО СК «Альянс», страховой случай – возникновение у банка, который выступает страхователем, убытков из-за предоставления поддельных платежных поручений в результате вредоносного внедрения в программное обеспечение на рабочем месте, с которого клиент пользуется ДБО. Потому что ответственность за денежные средства, списанные со счетов клиентов якобы от их имени, ложится на банк.

Иван Янсон («Промсвязьбанк») считает, что страховой случай – это кража денежных средств посредством использования украденных аутентификационных данных либо удалённого управления системой ДБО с заражённого вирусом компьютера клиента.

ВЛИЯНИЕ ЗАКОНА

Как повлияет на рынок вступление в силу ст. 9 закона «О национальной платёжной системе» в её нынешнем, дискутируемом виде? Виталий Ус (ОАО СК «Альянс»), считает, что «правильнее говорить о том, что, применительно к страхованию банковских рисков, связанных с проведением третьими лицами неправомерных операций по счетам клиентов, изменится сам подход и порядок страхования».

161-ФЗ ставит перед банками задачу защиты от мошенничеств не только третьих лиц в интернете, но и недобросовестных клиентов. В таких случаях возникают сложности с экспертизой. Как понять, не мошенник ли данный клиент? Традиционный подход – проверка соблюдения клиентом правил безопасности при использовании электронного средства платежа – в данном случае не работает.

«Недобросовестный клиент может принести компьютер с лицензионным, регулярно обновляющимся антивирусом, с другими необходимыми средствами или настройками защиты и без следов вредоносного программного обеспечения, которое могло быть использовано для кражи средств. В данном случае надо будет доказывать, что никто, кроме клиента, не мог сформировать оспариваемый платеж. Это не так просто, как доказать, что клиент нарушал требования безопасности. Таким образом, закон, скорее всего, повлияет на рынок страхования от мошенничеств в ДБО, но оценить масштаб этого влияния более точно пока невозможно», – считает Иван Янсон («Промсвязьбанк»).

Виталий Ус (ОАО СК «Альянс») считает, что риски банка, в принципе, можно просчитать и в определённой мере проконтролировать. Что позволит проводить страхование с ограниченными страховыми суммами и страховыми премиями. Но риски клиентов плохо контролируемы, в большинстве своём операции ДБО на их оборудовании проводятся с теми или иными нарушениями. При этом защита клиентского оборудования и программного обеспечения от вредоносного внедрения существенно ниже.

Таким образом, страховать, во-первых, требуется риск каждого активного клиента ДБО. Во-вторых, нужно лимитировать ответственность страховщика применительно к каждой категории клиентов – физические лица, малый бизнес, средний и крупный бизнес.

Для каждой категории и установленных лимитов приходится предусматривать прогрессивную шкалу требований к перечню и сложности процедур противодействия информационным атакам. Что, конечно, увеличивает выплачиваемые банками страховые премии в сравнении со стоимостью классического полиса ВВВ. Особенно с учетом прогноза массовых обращений клиентов в банки с требованиями возмещения убытков от хищений после вступления в силу основных положений ФЗ-161.

ЧЕГО ВСЁ-ТАКИ ХОТЯТ БАНКИ

По нашей просьбе Иван Янсон, заместитель руководителя службы информационной безопасности «Промсвязьбанка», проанализировал имеющиеся на рынке предложения и пояснил, что, по его мнению, нужно сделать, чтобы система страхования смогла заработать.

Независимо от того, кто является страхователем, франшиза должна быть минимальной, для физических лиц – не более 5 000 − 10 000 рублей. Второе условие работоспособности договоров – проведение независимой экспертизы за счёт страховой компании. И банки, и клиенты не могут проводить экспертизу, так как являются заинтересованными сторонами. Кроме того, для большинства клиентов проведение такой экспертизы затруднительно в связи с тем, что трудно отыскать экспертов соответствующего профиля. Опыт и банков, и клиентов в организации внешней экспертизы пока небольшой.

Страховые компании могут пользоваться услугами криминалистических лабораторий антивирусных вендоров или компаний, специализирующихся на расследовании компьютерных преступлений. «Конечно, логичнее обращаться к внешним поставщикам этой услуги, опять-таки из соображений независимости получаемого результата. Страховой компании как «оптовому» покупателю эти услуги будут обходиться дешевле, чем банкам и их клиентам, что будет способствовать продвижению соответствующих страховых продуктов», – говорит Иван Янсон.

В случае, когда договор заключается между банком и страховщиком, требования безопасности могут быть предъявлены к самому банку. А именно – к его системе ДБО, причем как в техническом плане, так и в юридическом, а именно к формулировкам договора банковского обслуживания.

Страховой компании, безусловно, неинтересно страхование интернет-банкинга с уязвимой архитектурой, слабо защищёнными или выключенными механизмами защиты. Кроме того, важно наличие в договорах с клиентами уже упоминавшихся выше требований к безопасности работы в ДБО. Степень защищённости системы ДБО будет напрямую влиять на размер суммы, уплачиваемой банком по договору страхования.

Закон 161-ФЗ влияет на рассматриваемый страховой продукт: страховые компании могут потребовать от банка информировать своих клиентов о проведении операций определённым способом. Это достаточно важный элемент безопасности, так как чем быстрее клиент узнает об инциденте, тем ниже вероятность, что он станет жертвой хищения.

Иван Янсон обращает внимание страховых компаний: кроме собственно профильного страхования от мошеннических списаний в системах ДБО, в связи с 161-ФЗ банкам, возможно, было бы интересно страховать и другие риски. А именно обязанность возмещать похищенную сумму, как того требует закон, если уведомление о мошеннической операции не достигло клиента из-за технического сбоя.

ТАКОЕ ЖЕЛАННОЕ ВОЗМЕЩЕНИЕ

«Не нужно требовать для выплаты клиенту обязательного заведения уголовного дела. Это должно быть более «лёгкое», ориентированное на клиента решение. Ведь достаточно талона регистрации в полиции заявления клиента о мошенническом списании средств. По большому счёту, достаточно квалифицированной сторонней криминалистической IT-экспертизы. Наличие требования регистрации обращений в полицию в определённых отношениях полезно. С одной стороны, это вклад в борьбу с киберпреступностью, с другой, позволяет отсечь часть сомнительных случаев. Например, оспаривание платежа недобросовестным клиентом, или если к мошенничеству причастны родственники или сослуживцы клиента», – говорит Иван Янсон.

С точки зрения интересов банков и их клиентов оптимальный срок возмещения похищенных средств – до 30 дней. В дополнение, отметим, что в договорах важно прописать предельный срок сообщения об инциденте в страховую компанию. Многое зависит от ресурсов страховой компании и возможностей проведения сторонней экспертизы. При большом количестве запросов в криминалистические лаборатории могут образоваться длинные очереди, а экспертиза будет занимать длительное время. Следует учитывать, что количество лабораторий и квалифицированных экспертов на рынке пока сравнительно невелико.

Виталий Ус (ОАО СК «Альянс») считает, что перспективы страхования рисков финансовых IT-сервисов в нашей стране зависят от динамики убытков, количества заявлений клиентов об ущербе и от уровня мошенничества в этой сфере. «Думаю, что раньше, чем через год, ждать осознания проблемы не приходится. Пока к этому не готовы ни российские страховые компании, ни сами банки», – скептически замечает Василий Окулесский (ОАО «Банк Москвы»).

Дмитрий Шапошников (ОСАО «Ингосстрах») солидарен с ним: перспективы страхования рисков, связанных с использованием платёжных технологий, систем ДБО и пластиковых карт зависят от динамики количества случаев хищений и размера убытков банков и клиентов: «К сожалению, по оценкам специалистов, не приходится говорить о стабилизации ситуации с преступлениями в данной сфере бизнеса. Соответственно, мы не ожидаем снижения интереса со стороны финансовых институтов к подобным продуктам страховых компаний. Банкам необходимо чётко отдавать себе отчёт, что основная цель подобной программы страхования – компенсировать сложно прогнозируемые, аномальные и крупные убытки».

Страховщики обращают внимание: банку экономически невыгодно страховать риски с низким уровнем франшизы, легко прогнозируемые и часто реализующиеся. Потому что выплаты по таким рискам страховые компании учтут и соответственно повысят тарифы на их страхование. Представители банков, напротив, оценивают как наиболее привлекательные для физических лиц программы страхования услуг ДБО, предусматривающие минимальную франшизу. Потому что для обычного клиента потеря и 5 000 рублей со счёта является проблемой, психологически связанной с банком.

Поднятие страховщиками планки франшизы выше уровня, психологически приемлемого для клиентов банков, может лишить смысла саму услугу страхования рисков банковских IT-сервисов. Представляется, что именно размер франшизы, а не процедурные вопросы оформления страховых случаев, включая криминалистическую экспертизу, является в настоящее время камнем преткновения на пути развитие рынка страхования рисков ДБО.

 

Смотрите также

Об отрасли и о себе

1 февраля, 2013

Сам себе аудитор

18 января, 2013
Подпишись на новости!
Подписаться