The article examines the legal status of automated systems for monitoring suspicious transactions in the banking sector aimed at countering money laundering and terrorist financing. The article analyzes the regulatory and legal bases of their functioning in the Russian Federation (Federal Law No. 115-FZ, regulations of the Bank of Russia) and at the international level (FATF recommendations, BSA in the USA, AI Act in the EU). Particular attention is paid to the risks of implementing such systems — financial, regulatory, operational and ethical, including problems of algorithm bias, false alarms and personal data protection. Regulatory approaches based on the risk-based principle are considered, as well as prospects for the development of explicable AI technologies and international cooperation. The work highlights the need for a balance between effective monitoring and risk minimization to increase confidence in the financial system.

Keywords: automated monitoring systems, suspicious transactions, anti-money laundering, terrorist financing, risk-based approach, artificial intelligence in finance, regulatory risks, explicable AI, banking compliance, virtual assets.

В условиях современного финансового сектора автоматизированные системы мониторинга подозрительных операций занимают центральное место в борьбе с отмыванием денежных средств и финансированием терроризма. Такие системы, как правило, построенные на технологиях искусственного интеллекта (ИИ) и машинного обучения, дают возможность банкам проводить анализ транзакций в режиме реального времени, выявляя аномалии и признаки возможных нарушений. Актуальность проблемы связана с интенсивным развитием цифровых финансовых услуг, в том числе операций с виртуальными активами, что существенно повышает вероятность финансовых преступлений. В Российской Федерации и на международной арене данные системы подлежат строгому нормативному регулированию, направленному на достижение максимальной прозрачности и эффективности. Вместе с тем их внедрение сопровождается юридическими, техническими и этическими сложностями. Настоящая работа посвящена анализу правового статуса указанных систем, ассоциированных с ними рисков и применяемых регуляторных подходов на основе изучения нормативно-правовых актов и практического опыта [1].

Автоматизированные системы мониторинга представляют собой специализированные программные решения, интегрируемые в инфраструктуру банков для автоматического анализа транзакций. Они применяют алгоритмы для обнаружения индикаторов подозрительных операций, включая нехарактерные суммы, повышенную частоту переводов или несоответствия по географическому признаку. В соответствии с рекомендациями Группы разработки финансовых мер борьбы с отмыванием денег (FATF) подобные системы обязаны входить в состав риск-ориентированного подхода, при котором основные усилия направляются на зоны повышенного риска. В России данное требование реализовано в нормативных актах Банка России, предусматривающих обязательное внедрение кредитными организациями механизмов внутреннего контроля для предотвращения легализации преступных доходов. Зарубежная практика, в частности в странах ЕС и США, демонстрирует переход от ручного контроля к автоматизированным решениям при сохранении приоритета защиты прав человека и персональных данных [5].

Правовой статус автоматизированных систем мониторинга в Российской Федерации в первую очередь определяется Федеральным законом № 115-ФЗ, устанавливающим обязанность банков идентифицировать операции, подлежащие обязательному контролю, а также подозрительные транзакции. Положение Банка России № 375-П требует от кредитных организаций разработки правил внутреннего контроля, включающих автоматизированные инструменты анализа как внебиржевых, так и биржевых операций. Соответствие систем установленным критериям обеспечивается Приложением 3 к Положению № 445-П, содержащим перечень признаков подозрительных операций (в том числе коды 3202–3232, связанные с манипулированием рынком и отмыванием доходов). Кроме того, Федеральный закон № 224-ФЗ предусматривает меры по предотвращению неправомерного использования инсайдерской информации, в рамках которых необходим автоматизированный мониторинг для своевременного выявления нарушений [1; 2; 3; 4; 12].

На международном уровне FATF в своих рекомендациях (в особенности Рекомендация 1) акцентирует внимание на риск-ориентированном подходе, согласно которому автоматизированные системы должны проводить оценку рисков с учетом профиля клиентов, видов продуктов и географических факторов. В Европейском союзе проект AI Act относит такие системы к категории высокого риска, вводя требования по обеспечению прозрачности, человеческого контроля и защиты данных. В Соединенных Штатах Федеральный закон о банковской тайне (BSA) совместно с рекомендациями FinCEN обязывают финансовые учреждения направлять отчеты о подозрительных операциях (SARs) в отношении транзакций свыше 5000 долларов при наличии признаков незаконной деятельности. Автоматизированные системы в американской практике сочетаются с ручными методами для обнаружения структурирования операций с целью обхода пороговых значений отчетности [5; 6].

В контексте виртуальных активов FATF определяет провайдеров услуг виртуальных активов (ПУВА) как субъектов, обязанных внедрять мониторинг, включая порог в 1000 евро для надлежащей проверки клиентов. В России это дополняется мониторингом рисков виртуальных активов, где системы должны проверять на соответствие санкционным спискам Росфинмониторинга и иностранным бенефициарам. Таким образом, правовой статус этих систем эволюционирует от обязательного инструмента compliance к интегральной части цифровой финансовой безопасности, с акцентом на соответствие международным стандартам [5].

ГОСТ Р 57580.3–2022 устанавливает стандарты безопасности финансовых операций, включая управление рисками информационных угроз в автоматизированных системах. Это подразумевает обязательную сертификацию систем на соответствие требованиям операционной надежности. В банковской группе системы должны интегрироваться с общей системой управления операционным риском, как указано в Положении Банка России № 716-П. Несоблюдение может привести к административным санкциям, включая штрафы или отзыв лицензии [7; 8].

Внедрение автоматизированных систем мониторинга несет множество рисков, которые можно классифицировать как финансовые, регуляторные, операционные и этические. Финансовые риски включают потенциальные потери от нераспознанных мошеннических операций, таких как манипулирование рынком или инсайдерская торговля. Например, ложные срабатывания (false positives) могут привести к блокировке легитимных транзакций, вызывая убытки для банка и клиентов. В международной практике случаи вроде Societe Generale (убыток 4,9 млрд евро) иллюстрируют риски внутренних мошенничеств, где системы не справились с выявлением сговора сотрудников [12].

Регуляторные риски возникают из-за несоответствия нормам, таких как штрафы за несвоевременное уведомление Банка России или FinCEN. В ЕС AI Act предусматривает штрафы до 6 % годового оборота за нарушения в высокорисковых системах. Операционные риски связаны с качеством данных: предвзятость алгоритмов (bias) может привести к дискриминации клиентов по географическому или социальному признаку, а «черный ящик» ИИ затрудняет объяснение решений регуляторам. Киберриски, включая хакинг или загрязнение данных, усиливают уязвимости, особенно в реальном времени мониторинге [10].

Этические риски касаются приватности: сбор данных о транзакциях может нарушать GDPR в ЕС или аналогичные нормы в России. Кроме того, высокие затраты на внедрение (IT-специалисты, обслуживание) создают барьеры для малых банков, приводя к неравенству в compliance. В контексте виртуальных активов риски анонимности и трансграничности требуют усиленного мониторинга, но повышают шанс ложных обвинений. Общий подход к минимизации рисков включает регулярный аудит и человеческий надзор [11].

Регуляторные подходы к автоматизированным системам основаны на риск-ориентированном принципе, рекомендованном FATF. В России Банк России в Информационном письме № ИН-014–12/64 разъясняет оценку рисков, включая весовые коэффициенты для факторов, таких как типы клиентов (25–35 %) и география (20–30 %). Остаточный риск рассчитывается по трех- или пятиступенчатой шкале, где высокий присущий риск с низкой эффективностью контроля приводит к высоким остаточным рискам. Банки обязаны документировать методологию и проводить ежегодные оценки [9].

В США FFIEC требует политик для идентификации необычной активности через автоматизированные системы, включая пороги и правила. SARs подаются в течение 30 дней, с фокусом на конфиденциальность и защиту от ответственности. В ЕС акцент на explainable AI (XAI) для прозрачности, с обязательными оценками соответствия. Для виртуальных активов FATF требует лицензирования ПУВА, мониторинга переводов с передачей данных о отправителях и получателях, используя технологии вроде API или смарт-контрактов. Надзор осуществляется компетентными органами с санкциями за нарушения [5; 6].

Практики включают интеграцию ИИ для снижения ложных срабатываний, сотрудничество с регуляторами и обмен информацией. В Японии и США акцент на регистрации и проверках, в ЕС — на этических аспектах. В России Росфинмониторинг подчеркивает мониторинг публичных должностных лиц и санкционных списков. Общий тренд — переход к реальному времени мониторингу с AI, но с человеческим контролем для минимизации рисков [6].

Автоматизированные системы мониторинга подозрительных операций — это неотъемлемая часть современной банковской системы, обеспечивающая compliance с антиотмывочными нормами. Их правовой статус в России и мире подчеркивает обязательность внедрения, но с учетом рисков, таких как предвзятость и киберугрозы. Регуляторные подходы, ориентированные на риски, позволяют балансировать эффективность и безопасность. Для будущего важно развивать XAI и международное сотрудничество, чтобы системы эволюционировали в соответствии с цифровыми вызовами. Это не только снижает финансовые преступления, но и повышает доверие к банковскому сектору [10].

Литература:

1. Федеральный закон от 07.08.2001 № 115-ФЗ (ред. от 24.06.2025) «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_32834/.
2. Положение Банка России от 02.03.2012 № 375-П (ред. от 07.11.2022) «О требованиях к правилам внутреннего контроля кредитной организации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_128351/.
3. Положение Банка России от 15.12.2014 № 445-П (ред. от 07.11.2022) «О требованиях к правилам внутреннего контроля некредитных финансовых организаций в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_175322/.
4. 4.Федеральный закон от 27.07.2010 № 224-ФЗ (ред. от 08.08.2024) «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_103037/.
5. Guidance for a Risk-Based Approach: Virtual Assets and Virtual Asset Service Providers. Updated October 2021 // Financial Action Task Force (FATF). URL: https://www.fatf-gafi.org/content/dam/fatf-gafi/guidance/Updated-Guidance-VA-VASP.pdf.
6. FFIEC BSA/AML Examination Manual // Federal Financial Institutions Examination Council. URL: https://bsaaml.ffiec.gov/manual.
7. ГОСТ Р 57580.3–2022. Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения. Введ. 01.02.2023 // Федеральное агентство по техническому регулированию и метрологии. URL: https://docs.cntd.ru/document/1200194981.
8. Положение Банка России от 08.04.2020 № 716-П (ред. от 22.10.2024) «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» // КонсультантПлюс. URL: https://www.consultant.ru/document/cons_doc_LAW_355380/.
9. Информационное письмо Банка России от 27.12.2017 № ИН-014–12/64 «О вопросах применения риск-ориентированного подхода в сфере ПОД/ФТ» // ГАРАНТ. URL: https://base.garant.ru/71851262/.
10. Turksen U., Benson V., Adamyk B. Legal implications of automated suspicious transaction monitoring: enhancing integrity of AI // Journal of Banking Regulation. 2024. Vol. 25. No. 4. P. 359–377. DOI: 10.1057/s41261–024–00233–2.
11. Stay Ahead of AML Risks with Real-time Transaction Monitoring // Flagright. 2023. URL: https://www.flagright.com/post/stay-ahead-of-aml-risks-with-real-time-transaction-monitoring.
12. Автоматизация мониторинга подозрительных операций при брокерском обслуживании клиентов банка на финансовых рынках // Future Banking. URL: https://futurebanking.ru/reglamentbank/article/7278.