Інформаційна безпека банківських безготівкових платежів. Частина 1 — Економічні основи

Інформаційна безпека банків є однією з найбільш цікавих завдань по забезпеченню практичної безпеки. Великі грошові кошти, якими володіють банки, повсюдне поширення онлайн-технологій та Інтернет-платежів роблять банки бажаною здобиччю для поганих хлопців з темної сторони. А раз є проблеми, то повинні бути і рішення.

Вашій увазі представляються результати дослідження на тему забезпечення інформаційної безпеки одного з найбільш вразливих місць банку — процесу здійснення безготівкових платежів.

Дослідження вийшло досить великим, тому публікуватися буде по частинах. І почнемо ми з першої частини, яка розповість про те, що таке безготівкові платежі з економічної точки зору.

Терміни, визначення, допущення і умовностіМета дослідження — систематизувати знання, рішення та досвід по забезпеченню інформаційної безпеки банківських безготівкових переказів грошових коштів.

Джерела інформації:

  • відкриті матеріали з сайту Банку Росії,
  • правові інформаційно-довідкові системи,
  • матеріали та публікації в ЗМІ,
  • звіти компаній, що спеціалізуються в області забезпечення безпеки,
  • власний досвід і особисте спілкування з колегами.

Допущення:
За основу взята типова схема організаційно-технічної взаємодії кредитних організацій Банку Росії, прийнята в Московському регіоні.

При розгляді економічних основ питання, пов’язані із справлянням комісій, з веденням бухгалтерського обліку, будуть опущені.

Терміни:
У дослідженні будуть використані терміни і визначення в тому сенсі, в якому вони використовуються в чинному законодавстві РФ.

Синоніми:
Банк = кредитна організація.
Безготівковий платіж = переказ грошових коштів.
Платежі = розрахунки.

Розрахунки готівкою vs. безготівкові розрахунки

Історично першими видами платежів були розрахунки готівкою. Покупець передавав продавцю грошові знаки, а натомість отримував товар або послугу.


Рис.1

Проаналізуємо плюси і мінуси цієї форми розрахунків з точки зору покупця і продавця, а так само з точки зору економіки держави в цілому.

Аналіз готівкових розрахунків з точки зору продавця і покупцяПлюсиМінуси

Надає покупцеві і продавцеві максимальну свободу і незалежність від третіх осіб. Головне, щоб грошові знаки були добре захищені від підробки, і їх було достатня кількість Незручність, а іноді і неможливість здійснення покупок без особистого контакту учасників розрахунків. Забезпечення безпеки зберігання готівкових коштів.

 

Аналіз готівкових розрахунків з точки зору державиПлюсиМінуси

Історично сформована форма розрахунків, до якої звикло населення. При готівкових розрахунках гроші «осідають» у продавців і перестають «працювати», до тих пір, поки продавець не зробить на них яку-небудь покупку.
Держава несе інфраструктурні витрати на виробництво грошових знаків, їх логістику і утилізацію.
Готівкові розрахунки практично не підконтрольні для фіскальних органів (податкової інспекції) і створюють умови для розвитку тіньової економіки та ухилення від сплати податків.

Таким чином, видно, що розрахунки готівкою для держави — це зло, яке воно б із задоволенням заборонило, якщо б це не викликало різкого протесту населення. А раз повністю заборонити не можна, то застосовують обмежувальні заходи.

У Росії, в частотності, законодавчо (ГК РФ ст. 861, Вказівка Банку Росії 3073-У від 07.10.2013) встановлено, що тільки громадяни і тільки в особистих цілях можуть користуватися готівкою без обмежень, іншим же (ІП, ЮО, …) застосування готівки строго лімітовано.

Безготівкові платежі, на відміну від розрахунків готівкою, передбачають наявність між продавцем і покупцем третьої довіреної сторони — посередника, який за дорученням сторін здійснює між ними розрахунки.

Кріптовалюти, такі як Bitcoin, Ethereum та інші, дозволяють здійснювати платежі без посередників (не рахуючи майнер), але поки що статус цих систем законодавчо не визначений, і їх опис виходить за рамки даної статті. Тут же ми будемо розглядати тільки «класичні» безготівкові платежі, де в якості третьої довіреної сторони виступають кредитні організації (банки).

Банківські рахунки і гроші в безготівковій формі

Для здійснення безготівкових платежів використовуються гроші в безготівковій формі. Розглянемо механізми конвертації грошей з готівкової у безготівкову форму і назад.

Все починається з того, що клієнт, будь то фізична особа, юридична особа або індивідуальний підприємець вступає з кредитною організацією, у якої є ліцензія Банку Росії на здійснення банківської діяльності, в договірні відносини.

Клієнт передає до банку готівку грошові кошти, банк приймає їх і відображає на банківському рахунку, спеціально заведеному для обліку розрахунків з клієнтом. Якщо клієнт кладе гроші в банк, то залишок на цьому рахунку збільшується, якщо забирає, то зменшується.

Читайте також  Інформаційна безпека банківських безготівкових платежів. Частина 7 — Базова модель загроз

Після того, як клієнт поклав готівку в банк, вони перетворюються в безготівкові гроші, які, якщо сильно спростити, навіть не гроші, а зобов’язання банку зробити для клієнта певні послуги, до яких можна віднести видачу готівки клієнту, переказ грошових коштів і так далі.

Крім надходження і зняття готівки, банківський рахунок клієнта може збільшуватися і зменшуватися за рахунок надходження безготівкових переказів від третіх осіб і здійснення перекладів на адресу третіх осіб відповідно. Важливо відзначити, що безготівкові гроші — це не зобов’язання всієї банківської системи, а зобов’язання саме того банку, де відкрито відповідний банківський рахунок. Це усвідомлення приходить особливо яскраво якщо банк, що обслуговує даний рахунок, розоряється. Тоді гроші (залишок на рахунку) начебто є, а скористатися ними неможливо.

Банківські рахунки бувають різними. Клієнти — фізичні особи відкривають в банку поточні або спеціальні карткові рахунки. Клієнти — юридичні особи відкривають у банках розрахункові рахунки. Банки для здійснення розрахунків відкривають в банку інших кореспондентські рахунки. Не вдаючись у подробиці, функціонування всіх цих рахунків виглядає приблизно однаково: збільшення залишку на рахунку призводить до збільшення зобов’язань банку, в якому він відкритий, і навпаки, зменшення залишку зменшує зобов’язання банку. Для простоти надалі будемо розглядати тільки роботу по розрахунковим і кореспондентськими рахунками.

На даному етапі банк для нас буде складатися з двох основних частин:

  1. реєстру банківських рахунків, що містить значення залишків на рахунках клієнтів;
  2. грошових коштів банку, що складаються з грошей усіх клієнтів і власних коштів бака.


Рис.2

Одним з основних джерел доходів банків є кредитування. Банк передає гроші у тимчасове користування клієнту, а той повертає їх з відсотками. Для забезпечення такого виду бізнесу банку потрібні гроші, які він буде давати в кредит. І тут вступають в гру гроші клієнтів, що зберігаються на рахунках у безготівковому вигляді.

Основна ідея в тому, що в банку ніколи не лежать всі гроші клієнтів. Замість цього банк веде статистичний облік діяльності клієнтів і «дуже точно здогадується», скільки грошей їм може знадобитися для поточних розрахунків. Інші ж гроші пускаються банком на кредитування.

Механізми здійснення платежів

Розглянемо, як проводиться безготівковий платіж між платником і одержувачем (далі будемо називати — клієнти), що обслуговуються в одному і тому ж банку.

Транзакція 1.
Клієнт А здійснює переклад на адресу Клієнта Б. Для його виконання Банк зменшує на суму переказу залишок грошових коштів на розрахунковому рахунку Клієнта А і збільшує на ту ж суму залишок на рахунку Клієнта Б. Загальна кількість грошей у банку не змінюється.
При розрахунку готівкою платежі завжди бувають одного виду: платник по своїй волі передає одержувачу необхідну суму грошей. При використанні безготівкових платежів схеми розрахунків можуть бути різними:

  1. платник може по своїй волі наказати банку здійснити платіж на адресу одержувача за рахунок коштів на своєму банківському рахунку – розрахунки за платіжними дорученнями;
  2. одержувач може вимагати у банку, в якому відкрито рахунок платника, здійснити платіж на свою адресу за наявності відповідної домовленості з платником, або у випадках, обговорених у законодавстві. При цьому платіж може бути здійснений з акцепту платника – розрахунок за платіжними вимогами, або у безакцептному порядку – розрахунок за інкасовим дорученнями;
  3. платник і отримувач можуть домовитися про те, що банк здійснить платіж на адресу одержувача за умови пред’явлення в банк останнім заздалегідь обумовлених документів, що підтверджують факт здійснення операції – розрахунки за акредитивами;
  4. та інші форми, з якими можна ознайомитися в п. 1.1 Положення Банку Росії від 19.06.2012 N 383-П «Про правила здійснення переказу коштів».

Найпоширенішою формою розрахунків є розрахунки платіжними дорученнями.

Незалежно від використаних форм розрахунків Банк звітує перед клієнтом за всі скоєні за його рахунку операції шляхом надання спеціального документа – виписки по рахунку.

Читайте також  Як зробити пошук користувачів з Github використовуючи VanillaJS

Платіжне доручення і виписка по рахунку є основними юридично значущими документами, які використовуються клієнтом і банком для цілей бухгалтерського обліку та розгляду конфліктних ситуацій у суді.

Важливо відзначити, що якщо клієнту на розрахунковий рахунок надійшов платіж, і він був відображений у виписці по рахунку, то банк не має право повернути платіж відправнику, навіть якщо він був здійснений за помилку або зловмисно. Повернення платежу можлива тільки за домовленістю з одержувачем або за рішенням суду. Максимум, що може зробити банк, – це, керуючись законодавством про протидію легалізації доходів, одержаних злочинним шляхом, заблокувати кошти на рахунку отримувача.

Примітка
Цивільний Кодекс РФ (ГК РФ Стаття 1102. Обов’язок повернути неосновательное збагачення) наказує отримувача повернути кошти відправникові, якщо ті були відправлені не обґрунтована або помилково.

Прямі кореспондентські відносини

Раніше ми розглянули, як відбувається переклад між клієнтами, що обслуговуються в одному банку. Тепер ускладнимо завдання і розглянемо, як здійснюються розрахунки між клієнтами, що обслуговуються в різних банках.

Для проведення міжбанківських розрахунків банки повинні встановити між собою кореспондентські відносини. Суть цих відносин є те, що один банк, на схемі нижче (Рис. 3) це Банк 2, стає клієнтом Банку 1 і відкриває в ньому спеціальний банківський рахунок, званий кореспондентським рахунком. Після відкриття кор. рахунки Банк 2 вносить на нього певну суму грошей, такий грошовий буфер, в розмірі якої клієнти Банку 2 зможуть відправляти платежі клієнтам Банку 1.


Рис.3

Щоб зрозуміти, як це працює, розглянемо приклад. Нехай Банк 2 розмістив на кор. рахунку в Банку 1, скажімо, 1 мільйон рублів.

Транзакція 2.
Клієнт, що обслуговується в Банку 2, хоче відправити Клієнту А, допустимим у Банку 1, наприклад, 500 тисяч рублів. Для цього він формує і передає в Банк 2 платіжне доручення, в якому в якості отримувача зазначає Клієнта А, а в якості сум платежу вказує 500 тисяч рублів. Банк 2, отримавши розпорядження Клієнта, бачить, що одержувачем платежу є А Клієнт, що обслуговується Банком 1. Тоді Банк 2 передає в Банк 1 розпорядження списати зі свого кор. рахунки 500 тисяч рублів і зарахувати їх на розрахунковий рахунок Клієнта А, а після цього Банк 2 зменшує залишок на розрахунковому рахунку Клієнта на 500 тисяч рублів.
Транзакція 3.
Тепер розглянемо приклад, при якому Клієнт Б пересилає Клієнту В 2 мільйони рублів. Для цього Клієнт Б передає в Банк 1 відповідне платіжне доручення. Банк 1 списує з розрахункового рахунку Клієнта Б 2 мільйони рублів і зараховує їх на кор. рахунок Банку 2, після чого передає в Банк 2 платіжне розпорядження від Клієнта Б, отримавши яке, Банк 2 збільшує залишок на розрахунковому рахунку Клієнта на 2 мільйони рублів.
Після транзакцій 2 і 3 на кор. рахунку Банку 2 буде 2,5 мільйона рублів.
Транзакція 4.
Що буде, якщо Клієнт надсилає Клієнту А 3 мільйони рублів? Буде все теж саме, як і при розгляді транзакцій 2 і 3, за винятком того, що платіж не буде виконаний, поки Банк 2 не збільшить залишок на кор. рахунку на відсутні 500 тисяч рублів.

Платіжна система Банку Росії

Механізм здійснення платежів між двома банками, який ми тільки що розглянули, простий, але має істотний недолік в частині масштабованості. При великій кількості банків установка і підтримка кореспондентських відносин кожного банку за кожним складно реалізувати. Тому основним інструментом здійснення міжбанківських переказів грошових коштів в Російській Федерації є платіжна система Банку Росії.


Рис.4

Основна ідея цієї платіжної системи полягає в тому, що Банк Росії виступає в ролі єдиної точки, до якої підключені всі банки, через яку проходять платежі від одного банку до іншого.

Кожна кредитна організація при реєстрації та отриманні ліцензії на здійснення банківської діяльності відкриває в Банку Росії кореспондентський рахунок.

Для того щоб мати можливість відрізняти один банк від іншого, їм присвоюються банківські ідентифікаційні коди (БИК). Банк Росії регулярно оновлює та публікує на своєму сайті довідник БИКов. Знаючи БІК, з цього довідника можна визначити і номер кор. рахунку банку, відкритому в Банку Росії. Сукупність БИК і номера розрахункового рахунку унікальним чином ідентифікує розрахунковий рахунок клієнта в рамках всієї платіжної системи Російської Федерації.

Читайте також  Unity3D: Модифікація делегата iOS додатку

Розглянемо, як за допомогою платіжної системи Банку Росії буде здійснюватися міжбанківський платіж. За основу візьмемо взаємодія клієнтів і банків, проілюстрований на Рис.4.

Транзакція 5.
Клієнт Р здійснює платіж на адресу Клієнта. Для цього він відправляє у свій банк (Банк 3), платіжне доручення, в якому в якості одержувача платежу він вказує Клієнта.
Банк 3, отримавши від Клієнта Р платіжне доручення, бачить, що одержувач платежу (Клієнт) не є його клієнтом, і надсилає платіжне доручення в Банк Росії.
Банк Росії зменшує на суму платежу залишок на кор. рахунку Банку 3 і збільшує на ту ж суму залишок на кор. рахунку Банку 2 (банк-одержувач). Після цього Банк Росії пересилає платіжне доручення в Банк 2 і надсилає Банку 3 повідомлення про вчинення платежу, який в свою чергу зменшує залишок на розрахунковому рахунку Клієнта Р.
Банк 2, отримавши повідомлення від Банку Росії, збільшує залишок на розрахунковому рахунку Клієнта. Обидва банку — Банк 2 і Банк 3 — відображають рух грошових коштів на рахунках у виписках і надають їх клієнтам.
У разі наявності кількох варіантів руху грошових коштів, як, наприклад, між Клієнтом Б і Клієнтом на Рис. 4, банк-відправник самостійно приймає рішення про маршрутизації платежу: з використанням прямих кор. відносин або через платіжну систему Банку Росії — в залежності від параметрів платежу, її собівартості та інших умов.

Перекази грошових коштів у платіжній системі Банку Росії здійснюються:

  1. в режимі реального часу з використанням сервісу банківських електронних термінових платежів (БЭСП);
  2. у дискретному режимі з застосуванням механізмів внутрішньорегіональних електронних розрахунків (ВЕР) або міжрегіональних електронних розрахунків (МЕР).

У режимі реального часу обробка платежів схожа на використання таксі. Платіж надходить в Банк Росії і тут же обробляється. У дискретному режимі обробка платежів схожа з перевезенням пасажирів рейсовим автобусом. Платежі спочатку накопичуються, а потім все купою обробляються. Протягом операційного дня Банк Росії виконує кілька подібних рейсів.

Графік рейсів, прийнятих в Московському регіоні, опублікований на сайті Банку Росії і складається з п’яти рейсів:

Номер рейсу Період прийому електронних документів Період обробки електронних документів Час видачі результатів обробки
Перший рейс 10:00 – 11:00 11:00 – 12:00 з 12:00
Другий рейс 11:15 – 14:00 14:00 – 15:00 з 15:00
Третій рейс 14:15 – 16:00 16:00 – 17:00 з 17:00
Четвертий рейс 16:16 – 18:00 18:00 – 20:00 з 20:00
Остаточний рейс 19:00 – 21L00 21:00 – 22:00 з 22:00

Тарифи Банку Росії на проведення платежів через БЭСП вище, ніж у дискретному режимі.

Перекази за рахунок власних коштів банків

До цього ми обговорювали, як банки виконують платежі клієнтів. Тепер розглянемо, як банк здійснює власні платежі, наприклад, купуючи папір, оплачуючи електроенергію, послуги зв’язку і т. д.

За великим рахунком все робиться точно також, як і у випадку з платежами клієнтів, тільки платить банк не з розрахункового рахунку, а з одного зі своїх кореспондентських рахунків. Ця обставина часто вводить недосвідчених контрагентів банку в ступор, і вони нав’язливим чином вимагають у банку номер його розрахункового рахунку, в той час як у банків зазвичай не буває розрахункових рахунків. В іншому все те ж саме: формується платіжне доручення, потім воно передається в банк, де відкритий кор. рахунок, банк його виконує і відповідає випискою по рахунку.

Висновок

У цій частині ми познайомилися з основними принципами та механізмами, пов’язаними із здійсненням безготівкових переказів грошових коштів в Російській Федерації. У наступній частині ми розглянемо IT-інфраструктуру банку, що використовується для здійснення переказів, і особливо ту частину, яка відповідає за здійснення кореспондентських відносин з Банком Росії.

 

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *