Краудфандинговая отрасль столкнулась с новым риском — поддельными электронными цифровыми подписями (ЭЦП). Причем существует как риск реального заключения сделки с использованием такой подписи, выпущенной мошенниками, так и риск попыток недобросовестных заемщиков, не справляющихся с обязательствами, признать такую подпись недействительной. Статистики потерь от таких форм мошенничества пока нет, но есть случаи на десятки миллионов рублей. Так или иначе, проблема потребует от отрасли значительных инвестиций в системы безопасности.
Фото: Александр Коряков, Коммерсантъ
Участники рынка краудфандинга обеспокоены мошенничествами с ЭЦП своих клиентов, показал опрос, проведенный “Ъ”. «Известны случаи спорных ситуаций на десятки миллионов рублей, связанные с фальсификацией ЭЦП. Суммарно по всем статистику сложно собрать данные, не всегда в фабуле дела фигурирует криптография»,— отмечает управляющий RTM Group Евгений Царев. С такими случаями, как свидетельствуют данные «КадАрбитра», сталкивались, к примеру, государственные МФО и региональные фонды поддержки малого бизнеса.
Были прецеденты и в сегменте краудфандинга. Так, в 2022 году Арбитражным судом города Москвы рассматривалось дело одной из крупнейших площадок — «Поток» (555,6 млн руб. профинансированных сделок по итогам июля 2023 года). Компания выступала истцом в судебном процессе, где бывший заемщик площадки пытался доказать, что он не заключал сделку и не принимал никаких обязательств, а договор был подписан с использованием поддельной ЭЦП. Сумма претензий составляла 862 тыс. руб. Суд встал на сторону «Потока».
Краудфандинг — способ привлечения средств в бизнес с помощью специальных интернет-площадок. Деньги можно взять в долг, обменять на долю будущей прибыли. Средства дают инвесторы — физические или юридические лица. В реестре ЦБ зарегистрирован 71 оператор инвестплатформ.
В случае с краудфандингом существует как риск реального заключения сделки с использованием такой подписи, выпущенной мошенниками, так и угроза попыток недобросовестных заемщиков, не справляющихся с обязательствами, признать ЭЦП недействительной. Пока участники рынка чаще сталкивались со вторым вариантом.
Вероятность возникновения такой ситуации на платформе, являющейся одним из лидеров рынка по количеству и объему выданных займов, выше по отношению к другим операторам, отмечает управляющий партнер Money Friends Юрий Колесников.
«И управлять риском такого мошенничества путем предупреждения сложно, так как методик проверки цифровой подписи на предмет подлинности не существует,— отмечает он.— Это зона ответственности аккредитованных центров выпуска ЭЦП».
Обеспечение информационной безопасности инвестплатформ — зона особого контроля со стороны Банка России. Стандарты в этой области направлены на обеспечение сохранности персональных данных и денежных средств инвесторов. В Банке России “Ъ” пояснили, что положением ЦБ 757-П от 20 апреля 2021 года уже установлены основные требования по защите информации для операторов инвестиционных платформ. Они касаются в том числе применения средств криптографической защиты информации для обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным лицом.
Рассчитывать только на регулятора не стоит. «Если в бизнесе проблемы или потенциальный заемщик исходно не желал возвращать долг, то ни ЭЦП, ни даже живая подпись с видеозаписью в присутствии свидетелей не помогут»,— подчеркивает гендиректор JetLend Роман Хорошев.
Однако любой случай мошенничества участники рынка краудлендинга используют для совершенствования скоринг-моделей.
И эксперты по информационной безопасности предостерегают, что недооценивать риски не стоит. «Финансовое мошенничество с использованием электронной подписи встречается часто, в самых разных сферах и вариациях: сотрудник организации получает доступ к ключу и совершает сделку, на которую не уполномочен, хакеры получают доступ к рабочим местам сотрудников, подписывающих документы, удостоверяющие выдают сертификаты ключевой подписи на основании подложных документов и доверенностей»,— отмечает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов.
«Участникам электронных сделок не хватает понимания масштаба проблемы и желания идти на необходимые для обеспечения безопасности затраты,— полагает господин Кузнецов.— А государство не способно обеспечить высокий уровень доверия к удостоверяющим центрам. ЦБ, к примеру, предъявляет чисто технические требования к ЭП».
Но в основном «подделки» — это не уязвимости технического плана, а влияние человеческого фактора, говорит Евгений Царев. Как следствие, добавляет Дмитрий Кузнецов, электронные сделки с использованием ЭЦП «связаны с высокими рисками, и в ближайшее время нет никаких заметных причин ожидать какого-то радикального улучшения ситуации».