Из ЦБ в Сеть уплыл список 120 тысяч клиентов банков из "черного списка"
Moscow-Live.ru
В интернете оказались данные примерно 120 тысяч граждан и компаний-клиентов банков, включенных в черный список ЦБ по антиотмывочному законодательству. По оценке экспертов, это первый случай появления в открытом доступе информации, которая связана с Банком России. Юристы отмечают, что многие клиенты попадают в черный список случайно, и у них теперь могут возникнуть дополнительные сложности, например, при устройстве на работу. В самом ЦБ и Росфинмониторинге настаивают на невозможности утечек, но эксперты считают, что вина лежит именно на Банке России из-за ошибки в проектировании системы безопасности передачи данных, сообщает "Коммерсант".

База данных отказников банков появилась в интернете на специализированных форумах. Речь идет об информации о примерно 120 тысячах клиентов, которым банки отказали в обслуживании по закону о противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма (115-ФЗ).

Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), часть - юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП - ФИО и ИНН, про компании - наименование, ИНН, ОГРН. В одном из банков неофициально подтвердили, что в списке значатся реальные клиенты-отказники. При этом эксперты в области информационной безопасности не смогли вспомнить другого случая, когда утечка данных о клиентах банков имела отношение к ЦБ. В октябре прошлого года в интернете появилась база данных сотрудников Сбербанка.

Записи датируются периодом с 26 июня 2017 года по 6 декабря 2017 года. 26 июня Банк России начал рассылать черный список клиентов в соответствии с положением 550-П Обычно банки выявляют клиентов, которым они отказывают в обслуживании из-за подозрений в нарушении 115-ФЗ, направляют информацию об этих клиентах в ЦБ, а тот, в свою очередь, - Росфинмониторингу. Тот обрабатывает полученные от банков данные и передает их обратно в ЦБ, а ЦБ в агрегированном виде - банкам. Таким образом, все банки получают обновляемый список подозрительных клиентов, сформированный усилиями всего сектора. Сообщается, что утекшая база начала распространяться несколько месяцев назад, но об утечке до вчерашнего дня не знали ни в ЦБ, ни в Росфинмониторинге.

В Росфинмониторинге заявили, что исключают возможность утечки информации от них. В пресс-службе Банка России заявили, что регулятор доводит информацию об отказниках до участников рынка в зашифрованном виде по защищенным каналам связи с использованием сертифицированных средств криптографической защиты информации. Ответственность за сохранность информации и непередачу ее третьим лицам несет финансовая организация, которая ее получила. В ЦБ не уточнили, планирует ли регулятор предпринять действия, исключающие подобные утечки в будущем.

По словам экспертов, утечка могла произойти не только по вине банка, но также по вине ЦБ и Росфинмониторинга: если бы общей базой располагал только ЦБ, локализовать утечку было бы проще, тогда как сейчас это невозможно. Между тем для клиентов опасен сам факт присутствия в базе, в том числе потому, что банки нередко вносят добросовестных клиентов в черные списки по халатности или в связи с технической ошибкой.

Распространение этих сведений посягает на неприкосновенность личной жизни и может обернуться в том числе проблемами со службами безопасности при устройстве на работу, отказами контрагентов от заключения договоров и иными рисками. Кроме того, подобные утечки могут приводить к самым неожиданным негативным последствиям вплоть до разоблачения гостайн.

Такие действия могут быть квалифицированы как неправомерный доступ к компьютерной информации и предусматривать лишение свободы до семи лет, а также подпадают под статью о незаконном получении и разглашении сведений, составляющих банковскую тайну (до пяти лет лишения свободы, а если деяние повлечет тяжкие последствия - до семи лет). По мнению юристов, этот инцидент должен стать поводом для проверки правоохранительных органов, в первую очередь Следственного комитета. Однако в центральном аппарате комитета не смогли оперативно сообщить, поступали ли к ним заявления по этому поводу.

В ноябре прошлого года Минкомсвязи заявило о намерении запретить создание общедоступных баз с персональными данными, собранными из государственных информационных систем (ГИС). Как рассказал руководитель Роскомнадзора Александр Жаров, за последние три года было выявлено около 1200 компаний, которые бесконтрольно распространяли в интернете базы данных, касающиеся в том числе автомобилей, сведений о жилье и паспортных данных.

Подготовленные ведомством законопроекты предусматривают, что обработка персональных данных будет строго учитываться и сертифицироваться, а операторы персональных данных, самостоятельно получившие их от людей и передавшие на обработку другим лицам, должны будут контролировать и отвечать за нее. Нарушение требований повлечет за собой штрафы в размере до 30 тысяч рублей.

Уточняется, что к общедоступным данным можно отнести ЕГРЮЛ, который ведет ФНС, банк должников Федеральной службы судебных приставов, реестр подозреваемых в терроризме на сайте Росфинмониторинга, реестр действующих доверенностей на сайте Федеральной нотариальной палаты. В случае принятия предложений Минкомсвязи под регулирование попадет сведение подобных данных в базы и создание сайтов, позволяющих вести по ним поиск. Штрафы будут грозить лицам, которые собирают, обрабатывают и публикуют большой спектр данных: о собственности, ИНН, долгах, паспортах, пересечениях границ и т.д.

По данным экспертов, новое регулирование не позволит обрабатывать и монетизировать общедоступные данные из разных ГИС, во многих из них перестанут публиковать персональные данные,а компаниям придется тщательнее составлять документы о передаче персональных данных на обработку. Однако с тех пор об этой идее ничего не известно.