Финансовый регулятор планирует включить в список операционных рисков средства, которые банки теряют в результате атак киберпреступников и мошенников, входящих в доверие к клиентам. Намерения Банка России в беседе с «КоммерсантЪ» подтвердил начальник управления моделирования рисков департамента банковского регулирования Михаил Бухтин. Согласно традиционному подходу, в число операционных рисков включались непосредственно банковские потери, но в современных реалиях таковыми могут быть потери как кредитной организации, так и клиента.
О целесообразности учета киберриска при вычислении достаточности капитала говорил ранее и замглавы Центробанка Василий Поздышев. Введение новой методологии ожидается уже в следующем году. Чем ниже защищенность банка от атак в киберпространстве, тем выше окажутся требования достаточности капитала. Источники издания говорят, в компоненты потерь по киберрискам, вероятнее всего, внесут и потери клиентов.
Бухтин отмечает, на этапе разработки нового алгоритма Банк России систематизирует и проанализирует потери клиентов, а также обяжет кредитные организации ввести предельные допустимые лимиты потерь. Если по факту оговоренный лимит будет превышен, финучреждение обязано будет принять меры, содержание которых пока не утверждено.
Ранее в подразделении Центробанка ФинЦЕРТ, ответственном за киберриски, подсчитали, что 97% списаний денег со счетов граждан происходит после того, как мошенники вошли к ним в доверие. Бухтин подтверждает, такие прецеденты создают дополнительную нагрузку не только на банки, но и на следственные органы и суды.
Участники банковского рынка предложение оценивают скептически. Пока неясно, как регулятор сможет корректировать риски конкретного банка. Затруднения неизбежны и при оценке реальных потерь того или иного кредитора, поскольку потеря средств учитывается государственными ведомствами только при подаче клиентом заявления в полицию. Туда обращаются только 4% жертв банковских мошенников, говорят специалисты. Также банкиры указывают на вероятность некорректного расчета риска – без учета специфики клиентской группы. Как минимум, следует вводить разные лимиты допустимых потерь для счетов физических лиц и компаний, продолжают источники издания.