Управление рисками, или Как инцидент с m10 вышел за рамки «технического сбоя» - ПРОБЛЕМА

В середине месяца мобильное приложение m10, ставшее для многих жителей страны привычным и почти незаменимым цифровым кошельком, неожиданно оказалось в центре громкого скандала.

То, что еще вчера воспринималось как удобный инструмент для оплаты проезда, переводов друзьям и повседневных расчетов, вдруг дало сбой. И этот сбой заставил пользователей по-настоящему занервничать.

Сначала все выглядело как обычный технический сбой. У одних не проходили транспортные платежи, у других задерживались переводы. Затем последовала временная приостановка работы системы. Для тысяч пользователей это стало неприятным сюрпризом: в цифровую эпоху мы настолько привыкли к мгновенным операциям, что любое «зависание» воспринимается как нечто чрезвычайное. Однако довольно быстро стало ясно, что проблема выходит далеко за рамки бытового неудобства. Когда речь идет о мобильном кошельке, под вопросом оказывается уже не только комфорт, но и доверие к финансовой инфраструктуре в целом.

Ситуацию прокомментировал эксперт по высоким технологиям Осман Гюндюз.

По его словам, инцидент вокруг m10 продемонстрировал, что руководство Kapital Bank не сумело своевременно и в полной мере оценить риски, присущие финтех-сегменту. За относительно короткий срок m10 превратился в самый быстрорастущий электронный кошелек и мобильное платежное приложение в Азербайджане. Платформой управляет организация электронных денег PashaPay, при этом стопроцентным акционером выступает Kapital Bank. Активный рост, расширение функционала и интеграция с различными сервисами сделали приложение одним из ключевых игроков на рынке цифровых платежей.

Однако в последние дни вокруг платформы начали разворачиваться события, которые трудно назвать рядовыми. Пользователи стали фиксировать на своих счетах необъяснимые поступления средств от иностранных продавцов. У ряда клиентов отображались значительные суммы, происхождение которых вызывало вполне закономерные вопросы. В результате часть счетов была временно заморожена, а на отдельные транзакции наложены ограничения.

Компания PashaPay выступила с официальным заявлением и косвенно подтвердила факт незаконных переводов. По ее информации, проблема была устранена, безопасность средств пользователей обеспечена, система восстановлена. Клиентам принесли извинения. Тем не менее обсуждения в социальных сетях и публикации в СМИ свидетельствуют о том, что масштаб инцидента может быть значительно серьезнее. Речь, по неофициальным данным, может идти о незаконном обороте средств на миллионы манатов.

Эксперт обращает внимание и на то, что это уже не первый тревожный сигнал. Ранее Центральный банк Азербайджана применял к PashaPay обязательные предписания и административные меры, связанные с противодействием легализации доходов, защитой персональных данных и совершенствованием механизмов внутреннего контроля. Появлялась информация о возбуждении уголовного дела и возможных арестах в связи с последним инцидентом, однако официального подтверждения на данный момент нет.

По мнению специалиста, произошедшее больше похоже на проблему системного управления рисками. Особое внимание он предлагает обратить на тот факт, что m10 был интегрирован с криптовалютной биржей Binance. Криптовалюты, международные торговые сети и электронные кошельки традиционно относятся к зонам повышенного риска. В условиях подобной интеграции отсутствие своевременных и жестких мер безопасности вполне могло сыграть свою роль.

В такой ситуации, считает эксперт, необходимо говорить о прямой ответственности руководства Kapital Bank. В конце каждого года публикуются данные о том, что топ-менеджеры банка получают миллионные годовые доходы с учетом бонусов. Если уровень доходов и привилегий столь высок, то и система управления рисками, внутреннего контроля и персональной ответственности должна соответствовать этим стандартам. К сожалению, произошедшее, по его словам, показывает обратное:

«Подобные инциденты способны подорвать доверие к электронным кошелькам и финтех-платформам в целом, нанести ущерб репутации банковского сектора и создать благоприятную среду для масштабных потоков нелегальных средств. Именно поэтому стандарты безопасности должны быть едиными и обязательными для всех участников рынка, - считает О. Гюндюз. - Банки, владеющие финтех-платформами, обязаны нести реальную, а не формальную ответственность, поскольку речь идет не только о технологиях, но и о доверии миллионов пользователей.

Проблема с m10 фактически перестала быть узкопрофессиональным кейсом финтех-сектора и вышел на уровень вопроса национальной безопасности. Сообщается, что объемы подозрительных операций могли исчисляться многими миллионами, а по некоторым источникам даже достигать миллиардных оборотов. Недавно в Центральном банке состоялась встреча с лидерами финтех-индустрии, и, предположительно, произошедшее также обсуждалось на этой площадке. Однако регулятор пока не сделал официального заявления».

Дополнительную тревогу вызывает вопрос статуса платформы в системе критически важной информационной инфраструктуры, заметил он:

«Общественности неизвестно, включен ли m10 в соответствующий перечень PashaPay, поскольку этот список является закрытым. В любом случае речь идет о крупномасштабном киберинциденте. Независимо от того, относится ли он к зоне ответственности Национального центра кибербезопасности Службы государственной безопасности или Главного управления по борьбе с киберпреступностью Министерства внутренних дел, масштаб произошедшего требует предельно серьезного анализа.

Отдельного внимания заслуживает и кадровый аспект. Ранее в контексте кибермошенничества в банковском секторе уже поднимался вопрос о рисках, связанных с присутствием иностранных граждан в центрах обработки данных и ИТ-подразделениях банков, особенно на управленческом уровне. Примечательно, что в Kapital Bank, где базируется m10, этим направлением также управляет иностранный гражданин.

Новое законодательство требует, чтобы аудит критической инфраструктуры проводил гражданин Азербайджана. Однако прямого требования относительно гражданства лица, управляющего этими системами, нет. В результате возникает парадоксальная ситуация: аудитор обязан быть гражданином страны, а руководитель критически важных систем может им не являться».

История с m10 стала болезненным напоминанием о том, что стремительная цифровизация требует не только скорости и удобства, но и выстроенной, безупречно работающей системы контроля, убежден аналитик. Технологии действительно способны упростить повседневную жизнь, однако при недостаточном внимании к рискам они же могут превратиться в источник серьезных потрясений. И сегодня вопрос стоит гораздо шире, чем судьба одного приложения. Речь идет о доверии к цифровой финансовой экосистеме страны и о том, насколько она готова к вызовам нового времени.

• Бюджет Азербайджана на 2026 год: от чего зависят доходы и расходы
• Цена «Azeri Light» превысила 72 доллара за баррель
• Котировки нефти показали умеренное снижение