Условия мелким шифром
На пути российских банков к налоговикам США может встать криптография
Первая передача отчетности российскими банками американским налоговикам в рамках исполнения закона FATCA оборачивается для банков новыми рисками нарушения российских законов. Передача информации должна состояться до конца следующего месяца, но международные консультанты предупреждают: так как налоговая служба США требует от банков использовать методы шифрования, не сертифицированные в ФСБ, исполнение этих требований может привести к нарушению российских требований о защите персональных данных.
Российским банкам до 29 июня предстоит впервые передать в службу внутренних доходов США (IRS) информацию о выявленных клиентах — американских налогоплательщиках. Это должно стать первым практическим шагом взаимодействия российских банков с американскими налоговиками в рамках исполнения закона FATCA. После принципиального решения о готовности российских банков в июне прошлого года исполнять этот закон уже неоднократно обнаруживались технические и юридические нюансы, осложняющие данный процесс ("Ъ" писал о них 23 апреля). Новые риски, которые может создать для банков исполнение американских регулятивных требований, международные консультанты обнаружили в процессе шифрования передаваемой информации. "IRS утвердила перечень компаний, которые выдают специальные ключи для шифрования отправляемых данных,— говорит партнер PwC Legal CIS Максим Кандыба.— Проблема в том, что российское законодательство о персональных данных устанавливает, что, если при их передаче используются криптографические средства, они должны пройти сертификацию в ФСБ". Ни одна из компаний, выбранных IRS, сертификацию в ФСБ не проходила, а значит, использование их продукции может считаться нарушением закона. "Используемое средство шифрования должно быть сертифицировано в ФСБ, которая сертифицирует шифрование по ГОСТу, а для американских алгоритмов шифрования сертификацию в ФСБ пройти пока невозможно",— поясняет менеджер налоговой и юридической практики компании EY Денис Сурченко.
В отсутствие единого решения проблемы международная сеть КПМГ рекомендует оценивать риски возможных российских штрафов и риски ненаправления отчетности (за исключением нулевой) в IRS, отмечает старший консультант группы по системам комплаенса и ПОД/ФТ КПМГ в РФ и СНГ Надежда Рыжова. "Если банк зарегистрировался в IRS, но уклоняется от передачи отчетности, IRS имеет право лишить его статуса присоединившегося, разорвать с ним сотрудничество, а следующей санкцией может быть закрытие корсчетов западными контрагентами",— указывает старший менеджер Deloitte Рустам Мухаметшин. Кодекс об административных правонарушениях за использование не сертифицированной в ФСБ криптографии при передаче персональных данных предполагает штраф до 3 тыс. руб. для должностных лиц и до 25 тыс. руб.— для юридических, так что нарушение регламента IRS несет явно большие риски.
Некоторым банкам, по крайней мере на первых порах, не придется нарушать ни российское, ни американское законодательство, так как передавать в IRS им пока просто нечего. "Первая отчетность в IRS может содержать только информацию о клиентах-физлицах, которые появились в банке с даты регистрации в IRS (в основном — в июне 2014 года) по 31 декабря 2014 года, то есть банки, у которых не появилось новых клиентов — американских налогоплательщиков и/или отказников, могли формировать нулевую отчетность",— поясняет Надежда Рыжова. "Насколько я знаю, большое число банков планирует отправить либо нулевую отчетность, либо не отправлять отчетность совсем, так как американских налогоплательщиков выявлено не было либо они не дали согласия на отправку данных о себе в IRS",— подтверждает вице-президент по вопросам FATCA банка "Уралсиб" Анна Верховская.
Впрочем, избежать общения с американскими налогоплательщиками смогли далеко не все российские банки. "Есть финансовые организации, у которых для обслуживания одного крупного американского клиента существуют целые подразделения",— отмечает господин Мухаметшин. Таким банкам приходится искать решение проблемы. В большинстве банков топ-20 от комментариев отказались. По словам собеседника "Ъ" в одном из крупнейших банков, некоторые участники рынка самостоятельно получают в ФСБ лицензию на ввоз шифровального алгоритма для себя. "Теоретически такая лицензия должна исключить риски претензий со стороны ФСБ",— отмечает другой собеседник "Ъ", знакомый с ситуацией. Но получение банком шифровальной лицензии в ФСБ занимает как минимум месяц, и в некоторых банках просто рассчитывают на снисхождение правоохранителей. "На мой взгляд, риск получить штраф минимален, можно предполагать, что к банкам придираться не будут или будут приняты поправки к законам",— считает начальник службы информационной безопасности банка "Новый символ" Иван Меньшаков. В Альфа-банке уверены, что консалтинговые агентства сгущают краски. "Есть определенные условия, когда возникает требование по защите информации именно сертифицированными средствами криптозащиты, но не в этом случае",— считают там. "Передача персональных данных американских налогоплательщиков в США допускается при наличии письменного согласия клиента на передачу его данных в налоговое ведомство США в порядке, который установлен указанным ведомством; кроме того, клиент принимает риски, связанные с передачей такой информации по каналам связи, установленным налоговым ведомством США",— отмечают в Сбербанке.
Передача отчетности банками в IRS происходит раз в год. Участники рынка надеются на то, что к лету 2016 года нестыковки в российском и американском профильных законодательствах будут ликвидированы.