Что случилось?

ФСБ потребовала от российских банков хранить переписку с клиентами и данные из банковских приложений. Как сообщает РБК со ссылкой на источники, для этого банкам нужно до 2027 года установить системы оперативно-розыскных мероприятий (СОРМ). Это программно-аппаратные комплексы, которые позволяют правоохранительным органам удаленно получать данные о клиентах: об их телефонных разговорах, SMS и интернет-трафике. Какие банки получили такое требование, источники РБК не уточнили.

Кто обязан устанавливать такие системы и как они работают?

По закону, устанавливать такие комплексы должны организаторы распространения информации (ОРИ) — компании, владеющие сайтом или программой, через которые пользователи могут обмениваться сообщениями. К таким сервисам относятся соцсети, мессенджеры, файлообменники, а также сайты с функциями комментариев.

С 2018 года по «закону Яровой» российские ОРИ должны в течение года хранить данные о фактах передачи сообщений и сведения о пользователях (время передачи, IP-адреса, идентификаторы сессий, учетные записи отправителя и получателя), а в течение полугода — хранить содержание переписок, аудиосообщения, видео и файлы и затем передавать данные ФСБ по запросу. С 2026 года срок обязательного хранения такой информации увеличится до трех лет. 

При этом устанавливать СОРМ компании должны за свой счет.

Сейчас в реестр ОРИ Роскомнадзора входят около 400 организаций, среди них, например, «ВКонтакте», WhatsApp, Skype, Facebook, Twitter, Instagram, TikTok, Telegram, а также интернет-сервисы «Яндекса», HeadHunter, «Пикабу», «Аэрофлот», «Рег.Ру», Mamba и другие.

Почему теперь хранить переписки требуют и от банков?

ФСБ посчитала, что банки обладают статусом организатора распространения информации, так как на их сайтах и в мобильных приложениях пользователи могут обмениваться сообщениями. Как отмечает РБК, в 2019 году в реестр уже включили «Сбербанк Онлайн», а в 2020-м — ресурсы Т-Банка. В список также вносили Московский кредитный банк.

В письме силовиков, где изложены требования установить СОРМ, в частности, говорится, что

пишет РБК.

В крупнейших банках — Сбербанке, ВТБ, Т-банке, Альфа-Банке, Газпромбанке — не прокомментировали требование ФСБ. Однако производители систем оперативно-розыскных мероприятий утверждают, что видят повышенный интерес со стороны финансовых организаций на их внедрение. Его связывают с ростом трафика и накоплением контента в целом.

Как это будет работать?

На банки должны распространяться те же правила, что и на другие платформы, отметил в разговоре с «Новой-Европа» киберадвокат Саркис Дарбинян, и никаких исключений для них сделано не будет. У организаций появятся обязанности:

• хранить все возможные метаданные о пользователе и переписку, если она ведется во внутренних чатах банка;
• предоставлять информацию для декодирования данных;
• разглашать сведения по запросу;
• подключаться к пульту управления ФСБ для удаленного доступа.

— То есть всё абсолютно то же самое. Мне кажется, нет никаких сомнений, что после банков это правило распространится на все оставшиеся платформы, которые еще не подключены к системе ФСБ. Через какое-то время это будет обязательным требованием для любого сайта с численностью посещений, скажем, 10 тысяч или 100 тысяч человек, а возможно, и для всех, — говорит эксперт.

Что ФСБ хочет узнать из этих переписок в банковском приложении? Разве банки уже не раскрывают всю необходимую информацию силовикам?

С точки зрения самой ФСБ новая практика упростит и ускорит способы получения информации, подчеркнул в разговоре с «Новой-Европа» киберадвокат Дарбинян. Действительно, банки и так выдают всю информацию, в том числе банковскую, по отдельным запросам, отметил эксперт. С ним согласна и юристка Анастасия Буракова: по ее наблюдениям, сейчас у ФСБ нет никаких проблем с получением какой-либо информации от российских банков. 

— В целом закон о реестре ОРИ действует уже много лет, туда должны быть включены любые сервисы, которые предоставляют услуги по обмену сообщениями между пользователями, даже комментарии на сайтах считаются таковыми. Не вижу новеллы в этой части и скорее связываю это с тщетными попытками государства бороться с телефонными мошенниками, — заявила она в разговоре с «Новой-Европа».

Однако после внедрения изменений можно будет, «сидя в теплом кабинете и не спеша», самому перехватывать трафик в режиме реального времени, подчеркивает Дарбинян.

— Это упростит «трехбуквенной конторе» возможности получения информации о взаимодействии пользователей между собой и с банками в том числе. Однако с практической точки зрения я не уверен, что это сильно что-то даст ФСБ. Потенциально появляется возможность доступа к этим данным. Но информации, которую можно перехватить, кажется, и так очень много, — обратил внимание собеседник «Новой-Европа».

Нужно ли как-то менять свое поведение в мессенджере банка, чтобы не попасть под подозрения ФСБ?

По мнению Дарбиняна, нововведения не изменят пользовательского поведения в мессенджерах банков, так как ничего секретного люди в этих приложениях не обсуждают. Однако, как отмечает эксперт, надо будет отдавать себе отчет, что теперь не только Росфинмониторинг и Центробанк сможет контролировать посредством банковского комплаенса (системы внутреннего контроля в банке) и 161 и 115 ФЗ подозрительную активность. 

— Теперь, по сути, ФСБ получает некоторые полномочия такого финансового надзора. Пока мы не понимаем, насколько будут раскрываться данные о состоянии счетов. По идее, эти данные открываться не должны, потому что они всё так же охраняются банковской тайной, которую никто не отменял. Тем не менее

— сказал собеседник «Новой-Европа».

Кроме того, крупным блогерам и контент-мейкерам, которые используют российскую банковскую систему, стоит быть предельно осторожными, помня о том, что ФСБ будет круглосуточно наблюдать за их активностью даже в мессенджере банка, подытожил эксперт.

Все ли банки попадут в реестр?

Только лишь факта наличия интернет-банка недостаточно для признания организации оператором распространения информации, сказал РБК руководитель направления облачных сервисов «Телеком биржи» Дмитрий Денщиков. По его словам, банк попадет под критерии ОРИ, если, например, пользователи и сотрудники могут общаться через внутренний чат. Такая услуга есть у многих российских банков: Сбербанк, Т-Банк, Альфа-Банк, ВТБ, МТС-Банк и другие. Однако кого включать в реестр, окончательно решает Роскомнадзор.

Что могут ответить банки на такие требования?

Банки могут начать затягивать эту историю, как это обычно делается на рынке: например, долго согласовывать с кураторами список оборудования и саму установку, предполагает Дарбинян. 

Однако у ФСБ есть серьезные меры воздействия на компании: в июле в России приняли закон, который в десять раз увеличил штрафы за отсутствие технических средств СОРМ. Для компаний были введены оборотные штрафы в размере 0,001—0,003% выручки за год, но не менее 1 млн рублей вместо прежних 300–500 тысяч рублей.

— Закон в том числе позволяет приостановить в административном порядке деятельность компании на срок до 90 дней. Поэтому, конечно, все эти требования будут восприниматься очень серьезно, и — хотят они или не хотят — медленно, но верно придется реализовывать требования ФСБ, — подытожил Дарбинян.