Раздел 3. Банковские риски, сопутствующие осуществлению кредитными организациями дистанционного банковского обслуживания с участием провайдеров. Письмо ЦБР от 26.10.2010 N 141-Т "О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания"

Раздел 3. Банковские риски, сопутствующие осуществлению кредитными организациями дистанционного банковского обслуживания с участием провайдеров

3.1. К банковским рискам, уровни которых могут повышаться в связи с применением кредитной организацией ДБО, относятся: операционный, правовой, стратегический, ликвидности и риск потери деловой репутации (репутационный риск). Кредитным организациям целесообразно учитывать тот факт, что переход к ДБО сопровождается усложнением структур этих рисков за счет возникновения в них новых компонентов, обусловленных не существовавшими ранее угрозами надежности кредитных организаций в связи с изменением характера и условий банковской деятельности.

3.2. Причинами повышения уровня операционного риска при использовании ДБО могут являться:

нарушения функционирования (прерывания взаимодействия между клиентом и кредитной организацией в процессе ДБО, искажения передаваемых данных) используемых для осуществления ДБО информационных систем и информационно-телекоммуникационных сетей провайдеров кредитной организации, связанные с авариями, отказами, сбоями в работе оборудования и программного обеспечения, а также недостаточно надёжной организацией обеспечения прохождения потоков данных;

недостатки в обеспечении информационной безопасности потоков данных, относящихся к информационному взаимодействию между кредитной организацией и её клиентами и проходящих через информационные системы провайдеров;

неправомерный доступ к информационным ресурсам кредитной организации с применением сетевых информационных технологий, в том числе при (для) противоправной деятельности;

недостаточная производительность информационных систем и пропускная способность информационно-телекоммуникационных сетей провайдеров, задействованных в информационном контуре ДБО;

недостатки в функционировании аппаратно-программного обеспечения (включая его низкую надёжность) провайдеров, в том числе по вине разработчиков такого обеспечения;

недостаточная защищённость информационных систем провайдеров от сетевых атак;

невыполнение сторонними поставщиками услуг (исполнителями работ) договорных обязательств перед провайдерами.

3.3. Причинами повышения уровня правового риска при ДБО могут являться:

нарушения провайдерами требований законодательства Российской Федерации, в том числе из-за недостатков в функционировании их аппаратно-программного обеспечения;

несовершенство законодательства Российской Федерации (неурегулированность отдельных вопросов ДБО и ответственности сторон, в том числе при трансграничном оказании банковских услуг с помощью ДБО), а также особенности правоотношений кредитных организаций, использующих услуги провайдеров под юрисдикцией других государств, для осуществления трансграничного информационного взаимодействия;

неправомерный доступ к конфиденциальной информации во время её обработки, передачи и (или) хранения провайдерами кредитной организации;

неэффективная организация правовой работы, приводящая к ошибкам в действиях служащих и органов управления кредитной организации при организации взаимодействия с её провайдерами, в том числе при заключении договоров (контрактов) с провайдерами на оказание услуг по выполнению функций обработки, передачи, хранения банковской и другой информации, включая вопросы определения ответственности провайдеров при невыполнении обязательств по обеспечению осуществления ДБО, которые могут привести к невыполнению кредитной организацией своих обязательств перед клиентами, невыполнению установленных требований по обеспечению соответствия организации и содержанию банковской деятельности, невозможности предоставления информации правоохранительным органам при расследовании противоправной деятельности, а также при заключении с клиентами договоров на ДБО, в том числе определение ответственности сторон при невыполнении соответствующих обязательств;

нахождение филиалов кредитной организации, её клиентов, пользующихся ДБО, и провайдеров под юрисдикцией других государств.

3.4. Причинами повышения уровня стратегического риска при ДБО могут являться возможные убытки вследствие ошибочных решений органов управления кредитной организации в отношении применения технологии ДБО и (или) внедрения, сопровождения и использования систем ДБО, и (или) выбора провайдеров, что может быть обусловлено:

отсутствием или недостатками стратегического плана развития кредитной организации, предусматривающего использование ДБО;

невозможностью достижения стратегических целей, поставленных кредитной организацией, в связи с отсутствием или необеспечением в полном объёме необходимыми ресурсами (финансовыми, материально-техническими, людскими) и невыполнением организационных мер (управленческих решений) в части ДБО и систем, с помощью которых оно осуществляется, включая информационные системы и информационно-телекоммуникационные сети провайдеров;

ошибками в выборе видов ДБО или реализующих его технических решений, включая информационные системы и информационно-телекоммуникационные сети провайдеров;

чрезмерными затратами на внедрение и сопровождение систем ДБО и (или) их нерентабельностью, а также вынужденным отказом от услуг провайдеров (с учетом как финансовых, так и технических причин) и функционально связанными с ними информационными системами кредитной организации;

ошибками (просчетами) в политике кредитной организации, проводимой в отношении направлений банковской деятельности, связанных с применением ДБО в целом.

3.5. Причинами повышения уровня риска потери деловой репутации (репутационного риска) при ДБО могут являться:

уничтожение, искажение или хищение данных о клиентах кредитной организации, их счетах и банковских операциях и сделках в связи с сетевыми атаками в информационном контуре ДБО (в том числе нарушение банковской тайны, к