Учет хакеров в капитале

ЦБ задумался об отнесении потерь банковских клиентов от хищений средств, в том числе, когда мошенники используют социальную инженерию, к операционным рискам, отражающимся на достаточности капитала. Регулятор намерен установить допустимый уровень таких потерь. Банкиры пока осторожно относятся к новелле регулятора, отмечая необходимость учета профиля клиента, размера потерь, а также размера активов и клиентской базы самого банка.

По словам начальника управления моделирования рисков департамента банковского регулирования ЦБ Михаила Бухтина, принято считать, что операционные риски являются потерями самого банка, но у нас уже давно сложилось понимание того, что потери, которые вызвал инцидент — не обязательно являются потерями самого банка. Потери клиентов мы также признаем операционным риском.

Ранее в ходе Уральского форума по информбезопасности в финансовой сфере от заместителя председателя ЦБ Василия Поздышева прозвучало заявление о том, что в 2020 году регулятор запланировал изменение системы расчета достаточности капитала в части оперрисков, где значительна будет такая составляющая, как киберриск. Как сказал финансист, в компоненте банковских потерь банка (IML) будет отражаться качество управления оперрисками, и его будут использовать при расчете достаточности капитала. Не исключено, что в IML будут включать и потери клиентов. Завершение перехода намечено на 2021 год.

Сейчас, по словам Михаила Бухтина, регулятор сосредоточен на накоплении статистики, классификации клиентских потерь, их анализе и формировании требования по установке банками лимитов допустимых потерь. Если установленный лимит будет превышен, ЦБ, в свою очередь, будет «настаивать на принятии банком соответствующих меры. Каких именно мер, регулятор не уточнил.

Как указано в последнем отчете ФинЦЕРТ, 97% случаев потери средств физлицами связаны с тем, что мошенники применяют методы социальной инженерии. Как сказал Бухтин, наращивание хищений у клиентов, в ходе которых используется социальная инженерия, когда мошенники узнают конфиденциальную информацию, увеличивает нагрузку на государство, на суды, на правоохранительные органы, занимающиеся расследованием данных преступлений.

Отношение экспертов к инициативе ЦБ пока весьма настороженное. По словам топ-менеджера банка, входящего в первую сотню, мне кажется, эта идея не можео реально отразиться на операционных рисках кредитной организации, так как регулятор изначально может не располагать нерелевантными данными. К слову, недавно, специалисты ФинЦЕРТ говорили о том, что если клиентом, оказавшимся под воздействием социальных инженеров, операция была совершена самим, то в отчетность такой случай включает только если клиент сам обратится в банк и в правоохранительные органы. А как указано в последнем отчете ФинЦЕРТ, всего 4% граждан подали такие заявления (или известили банк). Иными словами, многие случаи хищений попросту остались не учтенными.

К тому же, по словам банкиров, очень важно, чтобы регулятор, оценивая лимиты допустимых потерь клиентов, воздержался от измерения «средней температуры по больнице». Как считает директор департамента анализа розничных рисков банка «Открытие» Оксана Старосельская, у банка должна быть возможность установить потери по отдельности: у корпоративных клиентов и у физлиц. Как сказал директор департамента информбезопасности Московского кредитного банка Вячеслав Касимов, разделение потерь имеет смысл не только с учетом клиентского профиля, важно и классифицировать размеры потерь для каждой клиентской группы.

По словам начальника управления интегрированного риск-менеджмента Райффайзенбанка Сергея Гриба, важно соблюсти баланс — есть предел разумной целесообразности, после чего дополнительный сбор характеристик оперриска только усложнит процесс и дополнительно не принесет никакой пользы. В связи с чем важно, чтобы регулирование и внутрибанковские процессы не отягощали излишние требования. Хотя никто не отрицает важности сегментации потерь по клиентам (юрлиц, физлиц, премиальных клиентов) и каналов, через которые совершаются мошенничества. По мнению эксперта, ЦБ мог бы наложить ограничение на применение мер в адрес отдельных банков, в которых статистика принципиально и в худшую сторону отличается от отраслевой. Кроме этого, как считают банкиры, лимиты необходимо дифференцировать с учетом масштаба банка и числа его клиентов.