В общем доступе в Интернете появилась база данных граждан и компаний, которым банки отказали в обслуживании в соответствии с известным ФЗ 115 (противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма). Как так вышло, и чем это грозит участникам «черного списка»?
Речь идет примерно о 120 000 граждан и компаний. Большую часть базы составляют физлица и индивидуальные предприниматели, часть — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП — ФИО и ИНН, про компании — наименование, ИНН, ОГРН. Записи датируются периодом с 26 июня 2017 года по 6 декабря 2017 года. В одном из банков неофициально подтвердили, что в списке реальные клиенты, которым было отказано в проведении операций.
Как формируется такая база: банки выявляют клиентов, которым они отказывают в обслуживании из-за подозрений в нарушении 115-ФЗ, направляют информацию об этих клиентах в ЦБ, а тот, в свою очередь,- Росфинмониторингу. Последний обрабатывает полученные от банков данные, передает их обратно в ЦБ, а ЦБ в агрегированном виде — банкам. Таким образом, все банки получают обновляемый список подозрительных клиентов, сформированный усилиями всего сектора.
«Слитая» база начала распространяться несколько месяцев назад, но, по информации «Коммерсанта», об утечке до вчерашнего дня не знали ни в ЦБ, ни в Росфинмониторинге. Регуляторы при этом указывают на невозможность утечки по их каналам. «Ответственность за сохранность информации и непередачу ее третьим лицам несет финансовая организация, которая ее получила»,- считают в ЦБ
Однако, как полагают эксперты по информационной безопасности, утечка могла произойти множеством способов, в том числе, и из ЦБ или Росфинмониторинга, а также любого банка. При этом специалисты считают, что нынешняя архитектура такой базы не позволяет понять, откуда ушли данные. Если бы вся база хранилась лишь в ЦБ – все было бы гораздо проще. Но ошибка, с точки зрения информационной безопасности, была допущена при проектировании системы. В итоге сейчас за нее приходится расплачиваться.
Для клиентов утечка опасна не только из-за раскрытия данных, но самим фактом присутствия в базе, пишет тг-канал t.me/ya_pon. Попасть в черный список банков клиенты могут случайно, отмечают юристы. Распространение этих сведений для лиц из списка помимо сложностей с банковским обслуживанием может обернуться проблемами со службами безопасности при устройстве на работу, отказами контрагентов от заключения договоров и иными рисками.
Распространение подобных баз данных в первую очередь посягает на неприкосновенность личной жизни. Уголовный кодекс предусматривает за это наказание до пяти лет лишения свободы в случае использования служебного положения и распространения данных через интернет. Распространение таких данных относится к компетенции Следственного комитета России, который, по идее, должен как-то на все это среагировать.