Говоря об обеспечении информационной безопасности в системах мобильного банкинга, необходимо отметить, что решения, не основывающиеся на SIM-картах, менее безопасны. Для кредитной организации этот факт прямо связан с решениями в отношении контроля ее зон ответственности (и зон концентрации факторов и источников риска). Например, решения на основе WAP (Wireless Application Protocol) по своей сути аналогичны предоставлению банковских услуг через Интернет, поэтому кредитной организации, внедряющей такое решение, следует распространить меры по обеспечению информационной безопасности при взаимодействии с клиентами через Интернет и на среду мобильного банкинга. В общем случае чем ниже информационная безопасность технологической платформы, тем больше кредитной организации придется использовать дополнительных мер предотвращения возможности инцидентов с информационной безопасностью^[21].

Информационное взаимодействие между кредитной организацией и ее клиентом в ряде отношений зависит от выбранной технической платформы (так называемой «среды приложения»), поскольку она определяет удобство пользования мобильным банкингом для клиента в части:

• эргономичности интерфейса – простоту и интуитивность использования;

• времени доступа – ожидание загрузки данных и обновления меню;

• сложности установки – требования квалификации клиента и его адаптации;

• простоты обновления – установка новой версии или добавление сервисов.

При этом возможна ориентация как на клиента кредитной организации, так и на сеть связи. В первом случае реализацией банковской услуги управляет прикладная программа, загруженная в мобильный телефон, что снижает затраты времени на работу с меню (в том числе за счет интеграции в него новых функций) и подготовку данных к передаче, однако от клиента может потребоваться дополнительная «сноровка» при запуске новых «приложений». Во втором случае прикладные программы не загружаются, а услуга предоставляется непосредственной отправкой с сервера на телефон, что может замедлить работу из-за пересылок из сети и в сеть, однако по ряду причин упрощает поддержку мобильного банкинга со стороны провайдера. Наиболее дорогостоящим оказывается вариант голосовой связи, следующий по стоимости – вариант с использованием SMS, а наиболее дешевый – сеанс на основе передачи данных; при этом услуги, ориентированные на сеть, дороже, чем ориентированные на клиента.

Выбор технологии непосредственно влияет на содержание взаимоотношений кредитной организации с ее провайдерами, особенно в плане наличия или отсутствия необходимости ее поддержки с их стороны. Например, услуги мобильного банкинга, предоставляемые на основе собственных SMS-, WAP– или JAVA-разработок, такой поддержки не требуют и могут предлагаться клиентам кредитной организации без ведома оператора. В противном случае возрастают требования к содержанию договоров с провайдерами, поскольку усложняется решение вопросов обеспечения надежности рассматриваемого вида ДБО в целом, его информационной безопасности, организации и содержания внутреннего контроля в соответствующей части, а также стоимости предоставляемых услуг в целом.

Кредитная организация может рассчитывать на некую «интегрируемую платформу безопасной связи», оставляя за собой решение «чисто банковских» вопросов. В этом случае оператор управляет всем процессом связи от клиента (SIM-карты) до сервера кредитной организации. Тем самым провайдеру передается решение всех вопросов связи. Возможен вариант с размещением всей «платформы мобильного банкинга» у провайдера. При этом клиентские счета управляются банком, но система мобильного банкинга в целом обеспечивается и управляется оператором мобильной связи. Могут реализоваться и другие модели, но в любом случае их выбор определяется стратегией и ресурсами кредитной организации, тем, насколько глубоко она собирается внедрять услуги мобильного банкинга в свою банковскую деятельность, и ее способностью самостоятельно внедрять технологии ДБО и сопровождать жизненный цикл соответствующих автоматизированных систем.

Варианты такого рода не запрещаются российским банковским законодательством, но могут привести к возникновению сомнений в обеспечении конфиденциальности банковской и клиентской информации. Во всех вариантах следует помнить, что в случае сбоев в работе системы мобильного банкинга клиенты скорее будут обращаться с претензиями в кредитную организацию, чем к провайдеру. Поэтому подобные сценарии целесообразно предусмотреть и в договорах с клиентами на ДБО, и в работе сервис-центра организации, во многом полагающейся на провайдеров, и в ее внутрибанковских процессах.

Здесь также возможны варианты организации взаимодействия между кредитной организацией и ее провайдерами^[22] в части:

• совместного маркетинга мобильного банкинга;

• продвижения и оформления банковских услуг через агентов провайдеров;

• распределения функций и ответственности в решении проблемных ситуаций;

• комбинации продаж оптовых и розничных мобильных услуг;

• поддержки и сопровождения систем мобильного банкинга.

Необходимо учитывать, что чем больше функций кредитная организация отдает на аутсорсинг, тем больше внимания ей придется уделять контролю за провайдером, его финансовым состоянием, технологиями и системами, обеспечением информационной безопасности и т. д. В случае мобильного банкинга это неизбежно. В российских условиях провайдеры нередко закрыты от кредитных организаций и уж тем более от их клиентов, хотя по мере роста числа организационных и технологических предложений и появления возможностей выбора для кредитных организаций ситуация понемногу начинает меняться. В то же время структуры, которые придерживаются принципа открытости в совместном бизнесе и идут друг другу навстречу в решении организационно-технических вопросов, очень быстро начинают ощущать финансовые выгоды такого подхода.

Как свидетельствует практика, чем сложнее оказывается в организационном или техническом плане работа с системой мобильного банкинга, тем менее охотно клиенты ею пользуются. Известны случаи, когда кредитным организациям приходилось сворачивать дорогостоящие проекты, имевшие множество достоинств в части надежности и информационной безопасности, из-за того что клиентам не нравились те или иные сложности. В этом заключается зависимость от компонентов операционного, репутационного и стратегического рисков. В то же время кажущиеся более неудобными варианты организации отношений с клиентами, при которых они вынуждены время от времени являться в кредитную организацию для обновления банковского программного обеспечения, замены SIM-карт или каких-либо других средств идентификации, могут оказаться все-таки желательны с точки зрения процедур финансового мониторинга. В первую очередь это относится к программам внутреннего контроля кредитной организации, связанным с осуществлением противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД/ФТ)^[23]. В частности, речь идет о «Программе идентификации кредитной организацией своих клиентов, установления и идентификации выгодоприобретателей» и о «Программе по организации в кредитной организации работы по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», которые, очевидно, должны предусматривать специальные дополнительные процедуры в отношении любых клиентов ДБО.

Кредитным организациям, переходящим к мобильному банковскому обслуживанию клиентов, целесообразно помнить о наличии у них обязательств не только перед клиентами, но и перед контролирующими органами. Основные обязательства такого рода связаны с предоставлением и подтверждением ряда гарантий:

• сохранения банковской тайны (обеспечения конфиденциальности банковской и клиентской информации);

• предоставления сведений, требуемых контролирующим органам о клиентах и совершаемых им операциях;

• соблюдения правил осуществления бухгалтерского учета и подготовки регламентной банковской отчетности;

• адаптации программ внутреннего контроля и реализации мер, относящихся к ПОД/ФТ;

• соблюдения лицензионных требований, начиная с содержания банковской деятельности и заканчивая использованием средств криптозащиты.

В условиях мобильного банкинга, при котором задействуются провайдеры, образуются специфические конфигурации информационного контура банковской деятельности и информационные сечения в нем, могут потребоваться нетривиальные организационно-технические решения, к принятию которых руководству кредитной организации необходимо быть готовым заранее, до начала практического использования технологии ДБО. В противном случае не исключено такое неприятное для кредитной организации событие, как существенная реализация компонентов стратегического риска.

Возможности мобильных телефонов, вполне вероятно, приведут к радикальному изменению характера отношений между кредитными организациями и их клиентами, прежде всего потому, что это повсеместно используемая технологическая база. Мобильные телефоны можно обнаружить практически повсюду, в сельской местности и даже в относительной «глуши» труднодоступных регионов. Мобильный банкинг поэтому может стать популярным у людей, для которых по каким-либо причинам нецелесообразно приобретение компьютера. Все соображения такого рода прямо относятся к технико-экономическому обоснованию проектов мобильного банкинга и подлежат учету при принятии соответствующих решений руководством кредитной организации. Некоторые зарубежные исследования предполагают возможность существенного сокращения организационно-технических и операционных расходов кредитных организаций и их клиентов в случае внедрения рассмотренных или аналогичных им схем ДБО^[24]. Тем не менее в любом случае мобильный банкинг должен соответствовать стратегии, принятой кредитной организацией, ее бизнес-планам и наличным ресурсам, предусматривающим внедрение технологии ДБО и сопровождение автоматизированных систем, реализующих эту технологию.

Из приведенного анализа видно, что специалистам кредитной организации и ее руководству целесообразно принимать решения по широкому кругу вопросов при переходе к мобильному банковскому обслуживанию. Практика свидетельствует, что грамотный и тщательный подход к этому гарантирует исключение подавляющего большинства факторов и источников банковских рисков, сопутствующих применению технологии и систем мобильного банкинга.