На сегодняшний момент латентность (скрытность) преступлений в сфере банковских платежных карт достигает 95–99 %. То есть правоохранительными органами возбуждаются уголовные дела только по 1–5 % от общего количества преступлений. Поскольку затраты банков на компенсацию потерь по утраченным картам возрастут, банки будут вынуждены увеличить стоимость самого продукта (банковской карты). Потери по утраченным картам нерадивых, халатных клиентов и даже просто мошенников будут оплачивать добросовестные держатели карт, которые свои карты не теряют (аналогия с кредитами: невозвращенные средства оплачивают добросовестные заемщики; чем больше невозвратов, тем дороже процентная ставка по кредиту). При этом мошенник выполнит все условия, пострадает добросовестный клиент. Для держателей стоимость банковской карты увеличится, возрастут ограничения, лимиты.

Представляется, что в связи с этим более правильно было бы законодательно определить следующее. Риск убытков в случае причинения ущерба при отсутствии вины клиента несет эмитент (банк) инструмента безналичных расчетов (электронного средства платежа). Наличие вины клиента — физического лица доказывается эмитентом (банком). В случае утраты клиентом инструмента безналичных расчетов (электронного средства платежа) риск убытков несет клиент до момента соответствующего уведомления эмитента (банка), после момента уведомления — риск убытков несет эмитент (банк).

Под риском понимается вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда (Федеральный закон «О техническом регулировании» № 184-ФЗ). Оценка рисков — это оценка угроз, их последствий, уязвимости информации и средств ее обработки, а также вероятности их возникновения. Управление рисками — процесс выявления, контроля и минимизации или устранения рисков безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат (ГОСТ Р 51897 «Менеджмент риска. Термины и определения» и ГОСТ Р ИСО/МЭК17799 «Информационная технология. Практические правила управления информационной безопасностью»).

Начальным этапом является идентификация риска, то есть процесс нахождения, составления перечня и описания элементов риска. Риск может быть оценен, оценка представляет собой общий процесс анализа риска и его оценивания. Анализ риска состоит в систематическом использовании информации для определения источников риска и количественной оценки риска. Оценивание риска — это процесс сравнения количественно оцененного риска с заданными критериями риска для определения его значимости.

В результате обмена информацией о риске и его осознании может быть принято решение о его обработке, то есть о выборе и осуществлении мер по модификации, либо решение о принятии риска. Обработка риска подразумевает планирование финансовых средств на соответствующие расходы (финансирование риска).

Система управления рисками в платежной системе (Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе») есть комплекс мероприятий и способов снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы с учетом размера причиняемого ущерба. Оператор платежной системы (организация, определяющая правила платежной системы, а также выполняющая иные обязанности в соответствии с упомянутым законом) обязан определить одну из следующих используемых в платежной системе организационных моделей управления рисками в платежной системе:

— самостоятельное управление рисками в платежной системе оператором платежной системы;

— распределение функций по оценке и управлению рисками между оператором платежной системы, операторами услуг платежной инфраструктуры и участниками платежной системы;

— передача функций по оценке и управлению рисками оператором платежной системы, не являющимся кредитной организацией, расчетному центру.

Система управления рисками должна предусматривать следующие мероприятия:

1) определение организационной структуры управления рисками, обеспечивающей контроль за выполнением участниками платежной системы требований к управлению рисками, установленных правилами платежной системы;

2) определение функциональных обязанностей лиц, ответственных за управление рисками, либо соответствующих структурных подразделений;

3) доведение до органов управления оператора платежной системы соответствующей информации о рисках;

4) определение показателей бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;

5) определение порядка обеспечения бесперебойности функционирования платежной системы в соответствии с требованиями нормативных актов Банка России;

6) определение методик анализа рисков в платежной системе, включая профили рисков, в соответствии с требованиями нормативных актов Банка России;

7) определение порядка обмена информацией, необходимой для управления рисками;

8) определение порядка взаимодействия в спорных, нестандартных и чрезвычайных ситуациях, включая случаи системных сбоев;

9) определение порядка изменения операционных и технологических средств и процедур;

10) определение порядка оценки качества функционирования операционных и технологических средств, информационных систем независимой организацией;

11) определение порядка обеспечения защиты информации в платежной системе.

Банковская карта как инструмент для совершения безналичных операций по счету клиента в банке-эмитенте относительно обеспечения безопасности:

— может быть скомпрометирована и использована злоумышленником для несанкционированного доступа к счету владельца инструмента;

— может быть ненадлежащим образом использована самим клиентом.

С введением в действие упомянутого закона № 161-ФЗ существовавшие с момента появления банковских карт риски должны обрабатываться следующим образом (в терминах закона банковская карта — это электронное средство платежа, клиентом является физическое лицо) согласно статье 9:

• в случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции (часть 11);

• после получения оператором по переводу денежных средств уведомления клиента оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления (часть 12);