актами или соглашением сторон».
Допуская применение «аналога собственноручной подписи» (АСП), ГК РФ не определяет конкретные требования к таким средствам, чтобы их можно было обоснованно считать такими «аналогами» и использовать сторонами удаленного информационного взаимодействия (в данном случае кредитной организацией и ее клиентами, хотя такие средства целесообразно применять и в удаленном взаимодействии с провайдерами — при ведении ими web-сайтов кредитной организации и пр.). Поэтому остаются нерешенными вопросы о том, наличие каких свойств означает собственноручную подпись и отсутствие хотя бы одного из каких свойств не позволяет считать «электронный документ» имеющим юридическую силу. Решение их остается за кредитными организациями, которые должны при необходимости обеспечить адекватное подтверждение идентичности и аутентичности, равно как и за их клиентами, которые, не имея, как правило, специальной подготовки (в части теории кодирования), должны решать, соглашаться им на предлагаемые кредитной организацией условия ДБО или нет. Кстати, в итоге в упомянутых договорных документах появляются фразы типа «все операции, производимые с использованием PIN-кода, оспариванию не подлежат», цитируемые при рассмотрении претензий, связанных с последствиями карточных мошенничеств.
Надо отметить и то, что для разрешения спорных или конфликтных ситуаций часто предполагается создание специальных технических или согласительных комиссий, — это фиксируется в документах, определяющих соглашение на ДБО. Однако, как правило, порядок создания и работы таких комиссий, требования к квалификации ее членов (подтверждаемых конкретными документами), описание результатов ее работы с подготовкой документов, которые примет к рассмотрению, допустим, Арбитражный суд, и т. п., не указываются. Ссылка из ст. 160 на ст. 434 ГК РФ «Форма договора» незначительно проясняет ситуацию, поскольку в ней сказано следующее:
«1. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма.
Если стороны договорились заключить договор в определенной форме, он считается заключенным после придания ему условленной формы, хотя бы законом для договоров данного вида такая форма не требовалась.
2. Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору».
Следует подчеркнуть, что в какой бы форме ни осуществлялось сетевое информационное взаимодействие между сторонами договорных отношений, гарантии целостности, конфиденциальности и однозначности такого взаимодействия должны быть установлены и понятны обеим взаимодействующим сторонам, особенно клиентам кредитных организаций.
Кстати сказать, упоминаемый в выдержке из ст. 160 «закон» — это Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи», который так и не получил механизма собственной реализации (других ссылок обнаружить не удалось) и о котором клиенты ДБО также имеют минимальное представление, тем более что чаще в текстах договоров фигурирует именно понятие АСП (как правило, не определяемое). Здесь можно отметить еще и такое текстуальное расхождение: в ст. 160 ГК РФ сказано об «электронно-цифровой подписи», а Федеральный закон говорит об «электронной цифровой подписи» (как говорится, «почувствуйте разницу»). Это тоже свидетельствует о целесообразности точного определения и согласования того, что должно составлять доказательную базу электронного банкинга и каким образом гарантировать юридическую силу его свидетельств. Причины же, по которым клиенты ДБО соглашаются с текстами неполных и не очень понятных договорных документов, для автора остаются загадкой.
В тех случаях, когда все условия выполнения взаимных обязательств (включая ОИБ), подтверждения идентичности и аутентичности, разрешения спорных ситуаций и т. п. оговорены точно, уровни правового и репутационного рисков удается существенно снизить уже потому, что возникает гораздо меньше разногласий при возникновении конфликтных ситуаций и упрощается претензионная работа. Из изложенного следует потребность согласованного объединения усилий и квалификации нескольких подразделений кредитной организации, внедряющей ТЭБ, для того чтобы правовое, технологическое и техническое обеспечение ДБО можно было считать в совокупности полноценным и сопряженным с минимальными (остаточными) уровнями компонентов типичных банковских рисков (которые хеджируются). Организация и контроль указанного взаимодействия являются, естественно, прерогативой высшего руководства кредитной организации и ее исполнительных органов, и в оптимальном варианте то и другое находит свое отражение во внутрибанковских документах, включая положения о соответствующих структурных подразделениях.
5.8. Адаптация работы с удаленными клиентами
Упоминавшееся ранее физическое отсутствие во взаимодействии клиента и кредитной организацией реальных, например, платежных документов, приводит к возникновению дополнительных проблемных задач, которые в свою очередь ассоциируются с компонентами типичных банковских рисков. При переходе клиента к формированию и отправке в кредитную организацию какого-либо ордера, он, управляя процессом через предоставляемый ему на экране компьютерного устройства (от АРМ, ноутбука или коммуникатора и мобильного телефона) интерфейс (гиперссылки — в случае варианта интернет-банкинга), переводит СЭБ в некий режим работы, априори, ему естественно, неизвестный (но предполагаемо штатный). Для клиента этот переход выглядит как изменение в составе интерфейса, с которым он имеет дело, произошедшее на экране компьютера или в окне браузера и превращающее изображение в хорошо знакомую в этом случае форму платежного поручения. Далее клиент заполняет поля этой формы или выбирает варианты заполнения из предлагаемых ему полей-списков, выполняет служебные процедуры (например, с АСП) и подтверждает отправку ордера на платеж. Клиент обычно выполняет нужные действия, руководствуясь инструкциями по эксплуатации СЭБ или каким-то аналогичным документом, который (в идеале) не позволил бы ему отправлять ордера, содержащие ошибки, если бы было заранее «известно» о них, тем самым защищая и кредитную организацию (в каком-то смысле выполняя отдельные функции ОИБ и правовой защиты). Конечно, представить такую ситуацию для всех клиентов и систем электронного банкинга невозможно.
Поэтому помимо изложенного в параграфе 5.7 не исключено, что в системах электронного банкинга и БАС логично было бы предусматривать некие механизмы защиты, в известной мере аналогичные «искусственному интеллекту» (особенно важно это в тех случаях, когда ощущается нехватка интеллекта естественного). Кстати сказать, в ряде случаев кредитные организации все равно располагают в информационном сечении между системой интернет-банкинга (ИБ) и банковской автоматизированной системой операторов, но этот вариант пригоден в тех случаях, когда число клиентов ИБ не превышает, например, тысячи, а их по всей стране уже миллионы, и число их постоянно растет. В любом варианте тем не менее остаются открытыми вопросы, что делать, например, если клиент вместо платежа в пять тысяч «денег» отправил пятьдесят или допустил ошибку в реквизитах платежа, или ввел «недопустимое» значение (оказавшееся допустимым из-за пробела в программе и методике проведения ПСИ) и т. д., а потом пытается разрешить недоразумение. Кроме того, клиент может проводить сеанс из интернет-кафе (что не было запрещено ему договором на ДБО) или из банковского интернет-отделения вольного города Бремена и создать инцидент информационной безопасности, либо кредитная организация окажется объектом сетевой атаки и указанный инцидент будет создан, либо СЭБ окажется недоступна и т. п. В подобных ситуациях компоненты типичных банковских рисков, связанных с использованием ДБО, очевидны и точно так же очевидна и необходимость предусматривать их, разрабатывая модели угроз надежности банковской деятельности. К слову, можно отметить, что инциденты информационной безопасности оказываются эффективным способом проверки «достаточности» АСП, что предполагает учет таких ситуаций
