Центробанк будет принимать решения об истребовании баз данных о клиентах у банков-кандидатов на отзыв лицензии в течение двух дней с момента возникновения оснований для отзыва лицензии. Ранее этот срок не был регламентирован. Но срок, в течение которого банки должны прислать базу, остался прежним — три дня. Чтобы гарантировать хотя бы такую относительную оперативность, регулятор обязал банки держать серверы с данными клиентов в России. Эти новости содержатся в указании от 7 августа 2015 года № 3753-У (зарегистрировано в Минюсте 18 августа; еще не вступило в силу). Иностранные банки начали активно переводить серверы в Россию.
При отзыве у банка лицензии базы данных изучаются регулятором и передаются представителям временной администрации — АСВ, которое оценивает объем страховых выплат клиентам закрытого банка. Новое указание ЦБ изменяет действующее положение регулятора 397-П «О порядке создания, ведения и хранения баз данных на электронных носителях». Согласно указанию, решение о запросе у проблемного банка баз данных принимает зампред ЦБ из надзорного блока. После этого департамент лицензирования деятельности и финансового оздоровления банков не позднее одного рабочего дня информирует о решении соответствующее территориальное учреждение ЦБ, а оно направляет в банк требование предоставить базы данных ЦБ — тоже не позднее одного рабочего дня, то есть весь процесс ограничивается двумя днями. Ранее эти сроки не регламентировались — и, по словам бывшего сотрудника ЦБ, часто растягивались: они могли измеряться неделями и месяцами, в том числе за счет коррупционной составляющей среди ревизоров.
— По мнению Минэкономразвития, новация будет способствовать более оперативному принятию ЦБ необходимых решений при банкротстве кредитных организаций [с начала 2015 года ЦБ отозвал лицензии уже у 53 банков, за 2014 год — у 79, годом ранее — у 29, в 2012 году — у 19], — считает Елена Лашкина, помощник министра экономического развития.
Кроме того, согласно 3753-У, банки должны хранить электронные базы данных о клиентах только на территории России. Как подтвердили в пресс-службе ЦБ, так регулятор закрепляет в своих нормах банковского регулирования положения из обновленной версии закона «О персональных данных». Она вступает в силу 1 сентября 2015 года, по ней все иностранные компании должны хранить персональные данные россиян на серверах в России. Следить за выполнением закона будет Роскомнадзор.
По словам официального представителя Роскомнадзора Вадима Ампелонского, это ведомство будет проверять банки в части выполнения закона «О персональных данных», ЦБ также будет проверять банки в рамках своих компетенций. В этом году у Роскомнадзора не запланировано проверок бизнеса на соблюдение ими новой версии закона. План проверок на следующий год будет утверждаться в IV квартале 2015 года Генпрокуратурой.
— Самые крупные российские банки имеют свои собственные дата-центры, их новые правила не коснутся. Некоторые арендуют IT-инфраструктуру в российских центрах обработки данных, такие как «Юниаструм», Газпромбанк, «Ренессанс Кредит», Тинькофф Банк, HSBC и др., им также не придется срочно менять площадку, — говорит Сергей Кондратьев, гендиректор дата-центра Cloud DC. — Те же банки, которые используют инфраструктуру за рубежом, вынуждены переехать в российские ЦОДы. Если они арендовали серверы, то дополнительной финансовой нагрузки и технических рисков это не повлечет, они просто поменяют поставщика IaaS-услуг. Эту меру ЦБ ввел, чтобы защитить наших граждан и их данные, затруднив в определенной степени арест счетов. Сам по себе протекционизм в сфере персональных данных — это общераспространенная практика, которая применяется во многих развитых странах, которые уже давно имеют такой же закон, позволяющий хранить данные своих граждан в своей стране.
По данным ЦБ, на 1 июля 2015 года в России было 106 банков с иностранным участием свыше 50% (из них 72 банка со 100-процентным участием). По словам источника в банковском секторе, активный перенос серверов в Россию ведет сейчас Citibank. В российском отделении банка подтвердили это.
— У нас есть несколько центров для хранения электронных баз данных, включая те, которые расположены за пределами территории РФ, — сказали в пресс-службе банка. — Мы ведем свою деятельность при полном соблюдении соответствующих действующих нормативно-правовых актов и работаем над тем, чтобы адаптировать наши бизнес-процессы к новым российским законодательным требованиям, опираясь на согласованный с российским регулятором план действий.
В Росбанке (входит во французскую группу Societe Generale) и банке «Хоум Кредит» (входит в чешскую финансовую группу PPF) сообщили, что все персональные данные хранятся в контурах банков, то есть на отечественных серверах. В «Хоум Кредите» отметили, что последние базы перенесли в Россию в 2012 году. В Дойче-банке отказались комментировать тему, ряд других опрошенных банков не ответили.
Эксперты считают, что регулятору стоит ужесточить правила, связанные с электронными базами данных банков. Член совета директоров Бинбанка Кирилл Любенцов уверен, что сокращение времени на предоставление баз данных ЦБ позволило бы снизить уровень мошенничества среди кандидатов на отзыв лицензии: предотвратить дробление вкладов, совершение притворных сделок, вывод активов. Руководитель практики проблемных активов в регионе СНГ МЮГ AstapovLawyers Алексей Ковриженко отмечает, что при наличии признаков несостоятельности надзорный блок ЦБ должен немедленно принимать меры, а не ждать в итоге пять дней.
— Сотрудники ЦБ и АСВ не раз сталкивались с ситуацией, когда за три дня банк-«мертвец» успевал уничтожить базы данных или вывезти их за пределы кредитной организации, — рассказывал «Известиям» первый замгендиректора АСВ Валерий Мирошников. — Например, когда временная администрация пришла в «Холдинг-Кредит» (лишился лицензии в 2013 году), обнаружилось, что в банке отсутствует электронная база данных. В кредитной организации пояснили, что двое таджиков-рабочих зачем-то переносили сервер с одного этажа на другой, неожиданно его уронили и разбили вдребезги. Но на самом деле сервер был вывезен из банка накануне отзыва лицензии, а временной администрации подкинули муляж — съемный жесткий диск, на котором никогда не было никаких данных. Поиски сервера продолжались почти 10 месяцев, и наконец в 2014 году он был обнаружен оперативниками. А в рухнувшем Межпромбанке, который принадлежал экс-сенатору Сергею Пугачеву, вообще «испарилась» вся информация на электронных носителях. Как выяснилось, сотрудники по указанию руководства занимались уничтожением баз данных каждые три месяца.
Начальник аналитического управления банка БКФ Максим Осадчий предлагает радикальный механизм — по его мнению, было бы целесообразно предоставить ЦБ доступ к его АБС (автоматизированной банковской системе) в режиме онлайн с возможностью блокировки операций. Ковриженко полагает, что эти меры могут быть реализованы на следующем этапе ужесточения надзора.
Управляющий директор «Инвесткафе» Иван Кабулаев не уверен, что даже это остановит злоумышленников: проблему «рисованых вкладов» и вывода активов усиленный комплекс мер вряд ли решит (фиктивные вклады можно нарисовать заранее или не учесть), а средства накануне отзыва лицензии выводятся из банка за счет квазикредитов или кредитов аффилированных с собственником компаний.
Анастасия Алексеевских, Владимир Зыков