Щодо ризиків відмивання грошей та запобіжних заходів, які необхідно застосовувати з метою мінімізації таких ризиків

Національний банк України, використовуючи закріплене в пункті 1 статті 66 Закону України "Про банки і банківську діяльність" (далі - Закон про банки) право адміністративного регулювання, вважає за необхідне висловити наступні рекомендації банкам, що надають послуги через мережу Інтернет, щодо ризиків відмивання грошей та запобіжних заходів, які необхідно застосовувати з метою мінімізації таких ризиків.

Експерти з питань протидії відмиванню коштів, отриманих злочинним шляхом та фінансування тероризму, зокрема Групи з розробки фінансових заходів боротьби з відмиванням грошей (FATF), Спеціального комітету експертів з питань оцінки заходів боротьби з відмиванням коштів (MONEYVAL), а також провідні банківські інституції, насамперед Базельський комітет з банківського нагляду, Міжнародний валютний фонд неодноразово відзначали високий ризик фінансових операцій цієї категорії для відмивання грошей, отриманих злочинним шляхом та фінансування тероризму (1).

Основні принципи управління ризиками для електронного банкінгу, найбільш передовою технологією якого є надання банківських послуг через мережу Інтернет (далі - Інтернет-банкінг (2), визначені Базельським комітетом з банківського нагляду в липні 2003 року (3). Банкам, з метою мінімізації ризиків, належить дотримуватися цих принципів.

Примітки:

(1) FATF-XII Report on Money Laundering Typologies 2000-2001, pages 4-7;

- Basel Committee on Banking Supervision "Risk Management for Electronic Banking and Electronic Money Activities", March 1998; "Cross-Border Electronic Banking issues for Bank Supervisors", September 2000, "Electronic Banking Risk Management issues for Bank Supervisors", October 2000;

- International Monetary Fund "International Capital Markets: Developments, Prospects and Key Policy Issues" September 2000.

(2) Термін "Інтернет-банкінг" в цих рекомендаціях є тотожним терміну "дистанційне обслуговування за допомогою системи "клієнт-Інтернет-банк" в Інструкції N 22.

(3) Basel Committee on Banking Supervision "Risk Management Principles for Electronic Banking", July 2003, pages 7-8.

При цьому вважаємо за необхідне зазначити наступне.

1. Ключовим принципом є ідентифікація клієнтів банку, які користуються Інтернет-банкінгом. Частиною 3 статті 64 Закону по банки визначений обов'язок банку ідентифікувати відповідно до законодавства України клієнтів, що відкривають рахунки в банку. Рахунок клієнту відкривається та зазначені операції здійснюються лише після проведення ідентифікації особи клієнтів та вжиття заходів відповідно до законодавства, яке регулює відносини у сфері запобігання легалізації (відмиванню) доходів, одержаних злочинним шляхом. Процедура ідентифікації банком таких клієнтів регламентована, зокрема, розділом 2 Інструкції про порядок відкриття, використання і закриття рахунків у національній та іноземних валютах, затвердженої постановою Правління Національного банку України N 492 від 12.11.2003 (далі - Інструкція N 492).

Пунктом 2.3 цієї Інструкції передбачено, що уповноважений працівник банку здійснює ідентифікацію фізичної особи, яка відкриває поточний або вкладний (депозитний) рахунок, і робить у присутності цієї особи копії сторінок паспорта або документа, що його замінює, які містять прізвище, ім'я, по батькові (у разі його наявності), дату народження, серію і номер паспорта або документа, що його замінює, дату видачі та найменування органу, що видав документ, місце проживання або тимчасового перебування, інформацію про громадянство (якщо особа, яка відкриває рахунок, є нерезидентом), а також копію документа, виданого органом державної податкової служби, що засвідчує присвоєння фізичній особі - резиденту ідентифікаційного номера платника податків. Ці копії засвідчуються підписами уповноваженого працівника банку та фізичної особи, що відкриває рахунок, як такі, що відповідають оригіналу, і зберігаються в справі з юридичного оформлення рахунку.

У відповідності до пункту 2.4 Інструкції N 492, при відкритті рахунків юридичних осіб, особи, які мають право першого та другого підписів, особисто подають до банку документи, які передбачені цією інструкцією. Ці особи мають пред'явити уповноваженому працівнику банку паспорт або документ, що його замінює, і документи, що підтверджують їх повноваження. Фізичні особи - резиденти додатково мають пред'явити документ, виданий органом державної податкової служби, що засвідчує присвоєння їм ідентифікаційного номера платника податків. Уповноважений працівник банку ідентифікує цих осіб та підтверджує здійснення ідентифікації копіюванням відповідних документів у порядку, установленому пунктом 2.3 цієї Інструкції.

При цьому слід мати на увазі, що згідно зі статтею 8 Закону України "Про електронні документи та електронний документообіг" електронний документ не може бути застосовано як оригінал документа, який відповідно до законодавства може бути створений лише в одному оригінальному примірнику. Таким документом, зокрема, є паспорт громадянина.

Таким чином, для належної ідентифікації фізичної особи як клієнта або представника юридичної особи при відкритті рахунку є необхідним: (1) особиста присутність цієї фізичної особи, (2) надання нею визначених Інструкцією N 492 оригіналів документів, (3) здійснення ідентифікації особи уповноваженим працівником банку та (4) підтвердження її проведення копіюванням відповідних документів у порядку, встановленому пунктом 2.3. цієї Інструкції.

Відкриття поточного рахунку однією фізичною особою іншій фізичній особі на підставі довіреності здійснюється в порядку, визначеному пунктами 6.6 Інструкції N 492, за умови пред'явлення довіреною особою паспорта або документа, що його замінює, та подання довіреності (копії довіреності), засвідченої нотаріально. Довіреність має містити інформацію, яка дає змогу банку ідентифікувати особу, на ім'я якої відкривається рахунок.

Під час встановлення відносин з клієнтом банк з'ясовує мету та характер майбутніх ділових відносин клієнта з банком (абзац другий пункту 3.15 Положення про здійснення банками фінансового моніторингу, затвердженого постановою Правління Національного банку України N 189 від 14.05.2003 (далі - Положення N 189) та формує анкету клієнта.

2. Фінансові операції при наданні банками послуг Інтернет-банкінгу здійснюються у відповідності до глави 11 Інструкції про безготівкові розрахунки в Україні в національній валюті, затвердженої постановою Правління Національного банку України N 22 від 21.01.2004 (далі - Інструкція N 22).

Під час здійснення операцій в національній валюті за допомогою систем Інтернет-банкінгу, застосовуються електронні розрахункові документи. Електронний розрахунковий документ обов'язково має містити наступні реквізити: (1) дату і номер; (2) назву, ідентифікаційний код (номер) платника та номер його рахунку; (3) назву та код банку платника; (4) назву, ідентифікаційний код (номер) одержувача та номер його рахунку; (5) назву та код банку одержувача; (6) суму цифрами; (7) призначення платежу; (8) електронний цифровий підпис. Відповідальні особи платника, які вповноважені розпоряджатися рахунком і на законних підставах володіють особистим ключем, від свого імені або за дорученням особи, яку представляють, накладають підписи під час створення електронного розрахункового документа (пункт 11.5 Інструкції N 22. Під час передавання електронних розрахункових документів через мережу Інтернет, ці документи мають бути зашифровані з метою збереження банківської таємниці.

Електронні розрахункові документи для здійснення операцій в іноземних валютах, або банківських металах мають містити реквізити, визначені пунктами 2.4-2.7 Положення про оформлення та подання клієнтами платіжних доручень в іноземній валюті або банківських металах, заяв про купівлю або продаж іноземної валюти або банківських металів до уповноважених банків і інших фінансових установ та порядок їх виконання, затвердженого постановою Правління Національного банку України N 82 від 05.03.2003, та можуть подаватися до банку лише в порядку, визначеному пунктами 1.7 та 4.5 цього Положення.

3. Якщо в банку виникає потреба з'ясувати особу клієнта, суть діяльності, фінансовий стан, а клієнт не надасть документів і відомостей, необхідних банку для встановлення цих даних, або умисно подасть неправдиві відомості про себе, банк залишає без виконання електронний розрахунковий документ. При цьому банк повідомляє клієнта засобами системи про причину невиконання електронного розрахункового документа (частина 5 статті 64 Закону про банки; пункт 11.12 Інструкції N 22).

Якщо банком надаються послуги Інтернет-банкінгу за дистанційним розпорядженням клієнта, яке передано по Інтернету, рекомендуємо також, за потреби, використовувати право на витребування від клієнта такої інформації у відповідності до частини 5 статті 64 Закону про банки. Якщо клієнт не надасть запитувані документи і відомості, або умисно подасть неправдиві відомості про себе, банк залишає дистанційне розпорядження без виконання, про що повідомляє клієнта.

З метою забезпечення процедури виконання клієнтом банку свого обов'язку щодо надання банку запитуваної інформації, у договори, які укладаються банком з клієнтами про надання їм послуг Інтернет-банкінгу, пропонуємо включати пункти щодо визначеного основного та додаткового каналу зворотнього зв'язку банку з клієнтом і надання клієнтом банку з цією метою додаткової (альтернативної) адреси поштової скриньки клієнта в мережі Інтернет, та/або номерів факсу чи телефону такого клієнта. Доцільно також передбачити обов'язок клієнта щоденно отримувати інформацію з визначених договором адрес для ділової комунікації з банком.

Крім того, в договорах з клієнтами, що отримують послуги Інтернет-банкінгу, на нашу думку, банкам слід визначити терміни перевірки таких клієнтів з питань дотримання останніми вимог щодо захисту інформації та оброблення електронних розрахункових документів (пункт 11.8 Інструкції N 22).

4. Фінансовий моніторинг операцій, що проводяться з використанням Інтернет-банкінгу, здійснюється у відповідності з Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом" (далі - Закон про запобігання легалізації) у порядку, передбаченому Положенням N 189.

Банк зобов'язаний виявляти та реєструвати фінансові операції, що підлягають фінансовому моніторингу (частина 1 статті 5 Закону про запобігання легалізації).

Банк має право відмовитися від забезпечення здійснення фінансової операції у разі встановлення, що ця фінансова операція містить ознаки такої, що підлягає фінансовому моніторингу (частина 2 статті 7 Закону про запобігання легалізації, пункт 11.13 Інструкції N 22, та зобов'язаний ідентифікувати і повідомити Уповноважений орган про осіб, що здійснюють зазначену фінансову операцію, та її характер (частина 2 статті 7 Закону про запобігання легалізації).

У відповідності до статті 12-1 Закону про запобігання легалізації, банк зобов'язаний зупинити проведення фінансової операції, якщо її учасником або вигодоодержувачем за нею є особа, яку включено до переліку осіб, пов'язаних із здійсненням терористичної діяльності, і в той же день повідомити про це Уповноважений орган. Таке зупинення фінансових операцій здійснюється на строк до двох робочих днів.

Для забезпечення реалізації наведених норм законодавства рекомендуємо використовувати програмні комплекси, що дозволяють в автоматичному режимі визначати операції, які містять ряд ознак фінансового моніторингу а також операції осіб, внесених до відповідних переліків осіб, які визнані такими, що підтримують терористичну діяльність.

Банку, на нашу думку, також доцільно розробити та реалізувати програму здійснення фінансового моніторингу за напрямком надання послуг Інтернет-банкінгу (пункт 2.3. Положення N 189). Така програма потребуватиме постійного оновлення в зв'язку з розвитком технології надання вказаної послуги банком та процедур проведення фінансового моніторингу.

Особливу увагу слід приділяти фінансовим операціям у випадках:

- зміни характеру операцій, що проводяться з використанням Інтернет-банкінгу;

- значної зміни контрагентів за такими операціями;

- проведення однотипних операцій, які не мають очевидного економічного сенсу, з одними і тими ж контрагентами.

5. Враховуючи високі ризики використання Інтернет-банкінгу з метою відмивання коштів, отриманих злочинним шляхом та фінансування тероризму, рекомендуємо банкам, при наданні цих послуг вживати адекватних заходів для реалізації Базельських принципів стосовно мінімізації ризиків щодо цього банківського продукту.

A. Нагляд з боку вищого керівництва банку (принципи 1-3):

1. Ефективна система управління наглядом за електронним банкінгом.

2. Створення всебічної процедури контролю за додержанням належного рівня безпеки.

3. Нагляд за організацією всебічної процедури належної поведінки в стосунках з партнерами та з іншими пов'язаними особами.

B. Управління безпекою (принципи 4-10):

4. Ідентифікація клієнтів електронного банкінгу.

5. Недопущення відмови від проведення та контрольованість фінансових операцій що здійснюються каналами електронного банкінгу.

6. Належні заходи для забезпечення розмежування функцій.

7. Належний контроль за авторизацією в системах електронного банкінгу, базах даних та прикладних програмах.

8. Забезпечення повноти даних про перерахування каналами електронного банкінгу, реєстрації цих даних а також іншої інформації.

9. Введення точного хронологічного відслідковування фінансових операцій електронного банкінгу.

10. Збереження конфіденційності ключової банківської інформації.

C. Управління правовим та репутаційним ризиками (принципи 11-14):

11. Розкриття необхідної інформації стосовно електронних банківських послуг.

12. Збереження таємниці інформації про клієнта.

13. Планування можливостей, безперебійної роботи та зміни обставин для забезпечення експлуатаційної готовності систем та служб електронного банкінгу.

14. Планування адекватної реакції на інциденти.