(1).jpg)
Письмо Банка России от 21 декабря 2022 г. N 56-26/1675 “О рассмотрении предложений по проекту указания”
Письмо Банка России от 21 декабря 2022 г. N 56-26/1675
“О рассмотрении предложений по проекту указания”
Департамент информационной безопасности Банка России (далее - Департамент) выражает благодарность за участие в рассмотрении проекта указания Банка России "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента" (далее - проект) и сообщает, что по результатам рассмотрения предложений по указанному проекту, направленных письмами от 22.11.2022 N 02-05/1144 и от 25.11.2022 N 02-05/1154, Департаментом была подготовлена таблица предложений и замечаний (прилагается).
Приложение: 1 файл.
|
Директор Департамента информационной безопасности |
В.А. Уваров |
Таблица замечаний и предложений по проекту указания Банка России "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента" (далее - проект)
| N п/п | Структурная единица проекта | Содержание замечания или предложения | Решение | Пояснение |
|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 |
| Ассоциация банков России | ||||
| 1. | Общее | 1. Дать определение понятию "перевод денежных средств без согласия клиента" с целью исключения неоднозначного толкования. 2. Также предлагается вместо понятия "перевод денежных средств без согласия клиента" использовать по аналогии с терминологией законопроекта N 197920-81 понятие "перевод денежных средств без добровольного согласия клиента", включив в него переводы, совершаемые без согласия, и переводы, совершаемые с согласия, но под влиянием третьих лиц. При использовании в проекте понятия "перевод денежных средств без согласия клиента" вне регулирования остаются переводы, совершаемые клиентами с их согласия, но под влиянием третьих лиц. При этом основной объем банковских переводов в адрес мошенника совершается самими клиентами с их согласия в результате применения к ним методов социальной инженерии. | Представлено пояснение | 1. Перевод денежных средств без согласия клиента - операция по переводу денежных средств, соответствующая признакам осуществления перевода денежных средств без согласия клиента. Признаки установлены в приказе Банка России N ОД-2525. 2. Использовать понятие "перевод денежных средств без добровольного согласия клиента" по аналогии с терминологией законопроекта N 197920-82 в настоящий момент в проекте указания не представляется возможным в связи с тем, что указанный законопроект находится на стадии подготовки к первому чтению. После принятия законопроекта понятие будет приведено в соответствие. |
| 2. | Пункт 1.1 | Уточнить, что понимается под "номинальным счетом, открытым оператору электронной платформы"? | Представлено пояснение | Номинальным счет, открытый в кредитной организации оператору электронной платформы, в соответствии с частью 3 статьи 14.3 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе". |
| 3. | Абзац первый пункта 2.1 | Форма представления информации о переводах без согласия клиента в проекте не определена. Предлагается указать данную форму в приложении к проекту или в другом нормативном акте Банка России. | Представлено пояснение | Форма представления информации о переводах без согласия клиента определена в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. |
| 4. | Абзацы второй и третий пункта 2.1 | Пояснить, в чем отличие действий согласно абзацу третьему пункта 2.1 проекта от действий согласно абзацу второму пункта 2.1 проекта? | Представлено пояснение | Согласно пункту 2.1 проекта ОПДС направляет информацию об операциях без согласия клиента при наступлении событий, указанных в данном пункте. Согласно абзацу второму пункта 2.1 проекта ОДПС направляет информацию об операциях без согласия клиента при получении уведомления от клиента о переводе денежных средств без согласия клиента при условии, что ОПДС до обращения клиента не выявил признаков перевода денежных средств без согласия клиента в соответствии с частью 5.1 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе". Согласно абзацу третьему проекта ОПДС направляет информацию об операциях без согласия клиента при выявлении признаков перевода денежных средств без согласия клиента в соответствии с частью 5.1 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" и подтверждении от клиента об операции без согласия. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 5. | Пункт 2.1 | Банки просят указать, как квалифицировать индивидуального предпринимателя при уведомлении Банка России об операциях без согласия: как физических лиц или как юридических лиц? Единый подход важен для обеспечения сравнимости отчетности, поступающей по разным каналам. | Представлено пояснение | Согласно статье 23 Гражданского кодекса Российской Федерации (часть первая) от 30.11.1994 гражданин вправе заниматься предпринимательской деятельностью без образования юридического лица с момента государственной регистрации в качестве индивидуального предпринимателя. Таким образом, индивидуальные предприниматели относятся к категории физических лиц. |
| 6. | Пункты 2.1 и 2.2 | Уточнить, необходимо ли направлять в Банк России уведомления в следующих случаях: - банк получил от клиента подтверждение об операции без согласия клиента (ОБС) в срок, превышающий два рабочих дня, следующих за днем выявления им операции; - банк выявил операцию, полностью соответствующую признакам ОБС, но с клиентом не удалось связаться в течение 3 часов для получения подтверждения. | Представлено пояснение | При получении уведомления от клиента о переводе денежных средств без согласия клиента ОПДС будет действовать в соответствии с абзацем вторым пункта 2.1 проекта. При выявлении ОПДС признаков перевода денежных средств без согласия клиента ОПДС будет действовать в соответствии с абзацем третьим пункта 2.1 проекта. При получении от клиента подтверждения об операции без согласия клиента (ОБС) в срок, превышающий два рабочих дня, ОПДС обязан сообщить об этом в Банк России в соответствии с пунктом 2.9 проекта. В соответствии с частью 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 7. | Пункт 2.2 | 1. Увеличить срок направления уведомления об ОБС системно значимыми кредитными организациями (СЗКО) в Банк России с "в течение трех часов с момента наступления событий" до "не позднее рабочего дня, следующего за днем наступления событий". В случае невозможности увеличения срока альтернативно предлагается закрепить требование о направлении уведомления в течение 3 часов с момента наступления только для события, указанного в абзаце четвертом пункта 2.1 проекта: "при выявлении оператором по переводу денежных средств операций по переводу денежных средств, совершенных в результате несанкционированного доступа к объектам его информационной инфраструктуры". При этом необходимо перенести срок вступления в силу данного требования для кредитных организаций. Для других событий, указанных в абзацах втором и третьем пункта 2.1 проекта, срок направления уведомления об ОБС установить не позднее рабочего дня, следующего за днем наступления события, указанного в пункте 2.1 проекта. Также целесообразно разделить сроки для направления сведений по событиям, указанным в пункте 2.1 проекта, для физических и юридических лиц. Участники опроса обращают внимание на избыточность требований об отправке уведомлений в течение 3 часов в связи с наличием нерабочих дней (в том числе праздничных), несвоевременным поступлением заявлений от клиентов о несогласии с операцией, ситуацией массовых атак на счета клиентов с большим количеством мошеннических транзакций и т.д. Реализация такого механизма потребует масштабной доработки банковских автоматизированных систем. В этой связи предлагается скорректировать требование, чтобы минимизировать риск нарушения сроков направления уведомления ОПДС и применения к ОПДС мер воздействия. Кроме того, ряд кредитных организаций по-прежнему направляет уведомления вручную. Таким образом, для выполнения данного требования будет необходимо выделить несколько (в зависимости от объема транзакций и величины кредитной организации) отдельных штатных единиц, в обязанности которых будет входить только направление соответствующих уведомлений в Банк России. При этом реализация требования об уведомлении Банка России об ОБС в течение 3 часов, по мнению участников опроса, все равно не приведет к резкому улучшению ситуации в борьбе с незаконным выводом денежных средств, так как злоумышленники выводят денежные средства за более короткое время, а реквизиты для вывода денежных средств используются, как правило, один раз. 2. На практике процесс сбора информации о мошеннических платежных поручениях у юридических лиц во многих случаях превышает 3 часа, поэтому необходимо разделить сроки для событий юридических и физических лиц. | Представлено пояснение | Выполнение указанного требования, установленного п. 2.2 проекта, считаем возможным, так как оно устанавливается для ОПДС, являющихся СЗКО, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, операторов услуг платежной инфраструктуры, оказывающих услуги платежной инфраструктуры в рамках системно значимых платежных систем и социально значимых платежных систем с момента наступления событий, указанных в п. 2.1. Так, в соответствии с абзацем вторым пункта 2.1 ОПДС должны направлять в Банк России уведомление, содержащее информацию о переводах без согласия клиента при получении уведомлений от клиентов о случаях и (или) попытках переводов денежных средств без согласия клиента. То есть направление информации осуществляется в течение 3 часов после получения подтверждения от клиента. На основании информации, полученной от участников обмена, Банком России осуществляется формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента. В последующем формируются "ФИДы", которые направляются в ОПДС в целях реализации мероприятий по противодействию осуществлению операций без согласия клиента. Своевременность направления информации в установленный срок напрямую влияет на противодействие осуществлению операций без согласия клиента. 2. Вопрос требует уточнения у КО для выработки консолидированной позиции. Требуется пояснение, какие именно процессы сбора информации о мошеннических платежных поручениях у юридических лиц и физических лиц имеются в виду, в чем их отличие? Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 8. | Пункт 2.3 | Указать в проекте формат или перечень обязательной информации о компьютерных атаках, направленных на объекты информационной инфраструктуры, аналогично приложению 1 к проекту. | Представлено пояснение | Формат и перечень обязательной информации о компьютерных атаках, направленных на объекты информационной инфраструктуры, определен в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. |
| 9. | Пункт 2.3 | Предлагается добавить упоминание о возможности направления информации о компьютерных атаках через автоматизированную систему обработки инцидентов (АСОИ ФинЦЕРТ). | Учтено | ОПДС должны направлять в Банк России информацию о переводах без согласия клиента в электронном виде и вправе получать информацию из базы данных с использованием технической инфраструктуры (автоматизированной системы) Банка России или резервного способа взаимодействия (при технической невозможности использования технической инфраструктуры (автоматизированной системы) Банка России), информация о которых размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть Интернет). |
| 10. | Пункт 2.4 | Дать расширенное и подробное описание идентификаторов и формат их представления в уведомлении в Банк России. | Представлено пояснение | Документация, описывающая технические форматы взаимодействия (JSON-шаблоны), будет размещена по мере готовности на информационном портале Банка России в разделе "Информационная безопасность" ФинЦЕРТ. |
| 11. | Абзац второй пункта 2.4 | Предлагается слова "устанавливающую операцию по переводу денежных средств (общие данные)" заменить на слова "об операции по переводу денежных средств". | Учтено | Пункт скорректирован с учетом предложений. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 12. | Абзац четвертый пункта 2.4 | Предлагается слова "устанавливающую идентификаторы электронных средств платежа получателя" заменить на слова "устанавливающую идентификаторы получателя (идентифицирующую получателя) и/или электронных средств платежа получателя". Участники опроса отмечают, что платежные поручения содержат указанную информацию о получателе и помогут банку получателя при получении соответствующего запроса однозначно идентифицировать клиента. Кроме того, данная информация востребована и используется в настоящее время при уведомлении Банка России, который может включить данные о получателе в свою базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента. | Учтено | Пункт скорректирован с учетом предложений. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 13. | Абзац пятый пункта 2.4 | Предлагается слова "используемую для идентификации устройств" заменить на слова "об устройстве" или на слова "об идентификаторе устройства". | Учтено | Пункт скорректирован с учетом предложений. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 14. | Пункт 2.9 | Пояснить, что подразумевается под "дополнительными и (или) уточняющими сведениями", которые необходимо направить в Банк России в течение 3 рабочих дней со дня их выявления? | Представлено пояснение | Под "дополнительными и (или) уточняющими сведениями" понимаются сведения, которые не были направлены в ранее направленной информации в Банк России (стали известны позднее), или уточнение направленной информации (направлена ошибочно): например, сведения об обращении плательщика в правоохранительные органы, сведения об изменении номера документа, удостоверяющего личность плательщика. |
| 15. | Пункт 2.10 | Участники опроса предлагают указать: - формат мотивированного сообщения о выявлении случаев необоснованного направления информации об ОБС в Банк России; - порядок частичного изменения информации при выявлении ошибок при первичной отправке сообщения. | Представлено пояснение | Формат уведомлений измен в проекте. Форматы определены в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. Порядок частичного изменения информации при выявлении ошибок при первичной отправке сообщения установлен в пункте 2.9 проекта. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 16. | Пункт 2.10 | Разъяснить, может ли обязанность, указанная в пункте 2.10 проекта, являться инициацией процедуры "обеления" клиентов иных кредитных организаций, то есть влияет ли досылка информации на формирование базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента? | Представлено пояснение | Обязанность, указанная в пункте 2.10 проекта, является инициацией процедуры "обеления" клиентов кредитных организаций. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 17. | Пункт 2.11 | Форма представления мотивированного сообщения в Банк России в проекте не определена. Предлагается указать данную форму в приложении к проекту или в другом нормативном акте Банка России. | Форма представления мотивированного сообщения в Банк России определена в проекте, как "по форме представления ответа на запрос Банка России". Форма определена в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. | |
| 18. | Пункт 2.13 | Указать формат сообщения, содержащего информацию об ОБС. Разъяснить порядок идентификации операции, если в запросе указана сумма с комиссией, а в банке получателя денежных средств известна только сумма без комиссии. | Представлено пояснение | Форма и порядок указания суммы определены в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. |
| 19. | Пункт 2.13 | Банки просят увеличить срок предоставления ответов на запросы Банка России. Участники опроса считают, что установленный срок "не позднее рабочего дня, следующего за днем получения запроса Банка России" может быть недостаточным в связи с тем, что сложные запросы могут потребовать большого объема выгрузки данных из систем и взаимодействия с разными подразделениями. | Представлено пояснение | Срок, установленный, как "не позднее рабочего дня, следующего за днем получения запроса Банка России", считаем целесообразным и достаточным. |
| 20. | Пункт 2.15 | Пояснить, о каких случаях/сценариях на практике идет речь в пункте 2.15 проекта? | Представлено пояснение | Речь про ответы на запросы Банка России на основании информации, полученной в соответствии с пунктом 2.14 проекта, осуществляемые не в автоматическом режиме. По аналогии с пунктом 2.12 проекта. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию вышеуказанных пунктов. |
| 21. | Пункты 2.12-2.15, пункт 6.1 | Предлагается дополнить проект: 1. Порядком, определяющим альтернативную изложенной в пунктах 2.12-2.15 последовательность обращений за сведениями о данных клиентов кредитных организаций, банковских счетах и электронных средствах платежа (ЭСП) клиентов, банковских операциях и операциях по переводу денежных средств: 1.1. С использованием сведений, доступных операторам платежных систем. 1.2. С использованием "Сервиса автоматизированных запросов информации о платежах кредитной организации" (модель запросов платежной информации), работы по которому, согласно имеющейся информации, ведутся в настоящее время в Банке России в рамках профильных рабочих групп по оптимизации отчетности и перехода на датацентричный сбор информации от кредитных организаций с последующим обогащением необходимой информацией. 1.3. С использованием сервисов кредитных организаций, предоставляющих сведения о счетах, ЭСП и клиентах. 1.4. С использованием сервисов кредитных организаций, предоставляющих дополнительную информацию, связанную с процессами противодействия ОБС. 2. Приложением, детализирующим сведения, содержащиеся в типовых запросах и ответах к оператору или от оператора платежной системы. Предлагается соотнести сроки ввода в действие норм проекта (пункт 6.1) со сроками реализации соответствующих сервисов. В результате дополнения проекта могут быть достигнуты следующие цели: - повышение качества и скорости сбора данных об инцидентах информационной безопасности, связанных с осуществлением ОБС, в том числе установление сведений о цепочке вывода денежных средств по ОБС и реализации Федерального закона N 408-ФЗ; - снижение нагрузки на КО за счет унификации процессов сбора информации для разных видов отчетности и направлений контроля (ПОД/ФТ, противодействие ОБС, обработка жалоб клиентов и пр.) по клиентам, счетам, банковским операциям, ЭСП, переводов денежных средств в унифицированном виде; - возможность последующей разработки нормативных документов (в том числе рекомендательного характера) по проектированию интерфейсов предоставления сведений по операциям для клиентов и сотрудников кредитной организации, обеспечивающих процессы обслуживания клиентов (в том числе обрабатывающих уведомления об осуществлении операций без согласия клиентов и запросы клиентов на предоставление сведений об операциях, в т.ч. в целях обращения в правоохранительные органы) и мероприятия по противодействию ОБС; развитие датацентричного подхода и последующая реализация "Концепции открытых API". | Представлено пояснение | 1. Указанные предложения в настоящее время находятся в проработке, по результатам которых будет принято решение о необходимости введения в действе указанных предложений как норм указания. 2. Полагаем, что указанный вопрос выходит за рамки полномочий Банка России в рамках указанного проекта. |
| 22. | Новое положение | Предлагается дополнить проект положением, определяющим процесс автоматизированной маршрутизации уведомлений о совершении ОБС или попытке совершения ОБС, направленных ОПДС в адрес оператора платежной системы и "зеркальных" корректировок правил операторов платежных систем в пользу опциональной отправки дополнительных уведомлений о мошенничестве в адрес ОПДС, а также для целей стандартизации процесса установления сведений по цепочкам в соответствии с предложением пункта 21 настоящей таблицы. Участники опроса отмечают необходимость повышения качества (точности и полноты) данных по фроду на стороне ОПДС для реализации практических процедур по управлению рисками, снижения нагрузки на организацию процесса отправки уведомлений от ОПДС в адрес операторов платежных систем (в части поддержки различных форматов и каналов отправки). | Представлено пояснение | Полагаем, что указанный вопрос выходит за рамки полномочий Банка России в рамках указанного проекта. |
| 23. | Пункт 2.16 | Предлагается указать периодичность получения информации из базы данных о случаях и попытках осуществления перевода денежных средств без согласия клиента. | Представлено пояснение | Полагаем нецелесообразным устанавливать периодичность получения информации из базы данных Банка России, так как сведения из базы данных направляются более 3 раз в день на практике. Установление такой периодичности также повлечет вопрос установления периодичности применения участниками обмена полученной информации из базы данных Банка России к собственным системам управления рисками. |
| 24. | Главы 3 и 5 | Разъяснить, что входит в определение оператора электронных платформ (ОЭП), оператора информационных систем (ОИС) и оператора обмена цифровых финансовых активов (ООЦФА), а также относятся ли к этим категориям банки? | Представлено пояснение | Определения оператора электронных платформ (ОЭП), оператора информационных систем (ОИС) и оператора обмена цифровых финансовых активов (ООЦФА) установлены в следующих Федеральных законах: Федеральный закон от 27.06.2011 N 161-ФЗ "О национальной платежной системе", Федеральный закон от 14.07.2022 N 331-Ф3 "О внесении изменений в отдельные законодательные акты Российской Федерации и о приостановлении действия отдельных положений статьи 5.1 Федерального закона "О банках и банковской деятельности", Федеральный закон от 02.08.2019 N 259-ФЗ "О привлечении инвестиций с использованием инвестиционных платформ и о внесении изменений в отдельные законодательные акты Российской Федерации". Кредитная организация относится к категории ОЭП при выполнении ей функций как ОЭП, являющихся ОИС, ООЦФА, оператора финансовых платформ (ОФП). |
| 25. | Пункт 3.3 | Предлагается для ОЭП, соответствующих требованиям абзаца 1 пункта 3.3 проекта, изменить срок информирования для события "получение ОЭП, являющиеся ОИС или ООЦФА, уведомлений от клиентов-бенефициаров о случаях и (или) попытках операций по номинальному счету без согласия клиента-бенефициара" с величины "в течение трех часов с момента наступления события" до величины "в течение одного рабочего дня, следующего за днем наступления указанного события". | Представлено пояснение | Полагаем, что изменение сроков информирования на более длительный период нецелесообразно, так как в настоящее время регулирование направлено на срочность передачи сведений по наступившим событиям, а точнее, с момента наступления события, указанного в абзаце втором пункта 3.2 проекта, что позволяет выполнить требование в срок, определенный проектом. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 26. | Пункт 4.1 | Банки просят уточнить порядок получения от Банка России информации, которую ОПДС должны применять в целях выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента. | Представлено пояснение | Уточнение порядка получения от Банка России информации считаем нецелесообразным, так как общий порядок получения и направления информации установлен пунктом 1.2 проекта. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 27. | Пункт 4.2 | Банки просят пояснить, каким образом и на каком основании ОПДС должны осуществлять сбор сведений об обращениях клиентов-плательщиков и клиентов-получателей в федеральные органы исполнительной власти в сфере внутренних дел? В связи с чем следует разделять клиентов кредитной организации на клиентов-плательщиков и клиентов-получателей? | Представлено пояснение | Сбор информации осуществляется на следующем основании: уведомления от клиента-плательщика, клиента-получателя; при получении информации из базы данных Банка России о случаях и (или) попытках осуществления переводов денежных средств без согласия клиента; при получении сведений от МВД России в зависимости от того, является ли клиент плательщиком или получателем по операции без согласия. |
| 28. | Пункт 4.2 | Должны ли ОПДС при получении информации из АСОИ ФинЦЕРТ о случаях и (или) попытках осуществления переводов денежных средств без согласия клиента осуществить проверку на предмет наличия у себя клиентов, в адрес которых ранее совершались операции по переводу денежных средств без согласия клиента, и в случае обнаружения ограничить возможность совершения операций с использованием ЭСП, если это предусмотрено договором? | Представлено пояснение | Учитывая, что указанный вопрос затрагивает в себе несколько тем для представления пояснения, полагаем необходимым уточнить указанный вопрос. Вопрос затрагивает реализацию законопроекта N 197920-83, который в настоящий момент находится в стадии подготовки к первому чтению. |
| 29. | Пункт 4.2 | Предоставить возможность: 1. Устанавливать ограничения не только по операциям с платежными картами, но и по другим операциям. 2. Полной блокировки операций по счету/использования ЭСП, а также уточнить порядок действий в случае, когда договор заключен давно и не предусматривает данного ограничения. | Представлено пояснение, учтено частично | 1. Учтено в редакции проекта. 2. Вопрос требует уточнения у КО для выработки консолидированной позиции. |
| 30. | Абзац шестой пункта 4.2 | Добавить набор атрибутов технических данных, необходимых для сбора в соответствии с абзацем шестым пункта 4.2 проекта. В текущей редакции непонятно, какой набор данных необходимо собирать. | Представлено пояснение | Набор атрибутов технических данных, необходимых для сбора в соответствии с абзацем шестым пункта 4.2 проекта, установлены в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. |
| 31. | Абзац восьмой пункта 4.2 | Участники опроса предлагают заменить обязанность установления ограничений по операциям на обязанность проведения оценки рисков нарушения клиентами порядка использования ЭСП, а также дополнить проект положениями, определяющими право ОПДС устанавливать ограничения на дистанционный доступ клиентов-получателей ОБС к банковским услугам и осуществление операций по переводу денежных средств с использованием ЭСП, альтернативных банковским картам, в том числе дистанционный доступ к управлению счетом, при получении информации о данном клиенте из "фидов" от Банка России. Членам Ассоциации также требуется порядок формирования запросов на исключение информации из "ФИДов" Банка России, в том числе типовая форма запроса и сроки обработки запросов, направленных ОПДС. Привести проект в соответствие рекомендуемому Банком России инструментарию банков для борьбы с мошенническими переводами и дополнительными мерами по ограничению других видов дистанционных банковских услуг, помимо переводов. Установка ограничений только на операции с банковскими картами приводит к возможности осуществить клиентом-получателем ОБС вывод похищенных денежных средств с использованием альтернативных банковским картам ЭСП (в том числе учитывая возможность зачисления средств по ОБС на банковский счет или доступа к средствам на счете, к которому выпущена банковская карта). | Представлено пояснение | Позиции по указанным вопросам представлены в таблице ранее. |
| 32. | Пункт 6.1 | Банки считают необходимым увеличить срок вступления проекта в силу, в частности, соотнести сроки реализации проекта и соответствующих нормативных и технических документов, а также предоставить информацию о планируемых сроках утверждения документов, определяющих детали реализации взаимодействия с технической инфраструктурой (автоматизированной системой) Банка России. Участники опроса сообщают, что для исполнения новых требований понадобится дополнительное время на значительные доработки систем, программного обеспечения, бизнес-процессов, а также на закупку необходимого оборудования и их тестирование. Банки также обращают внимание на отсутствие информации об утверждении сроков внесения изменений и разработки новых нормативных и технических документов, детализирующих процессы, связанные с реализацией норм проекта, в частности документы с описанием взаимодействия с АСОИ ФинЦЕРТ и проекты стандартов Банка России. | Представлено пояснение | Установление срока вступления включает в себя время на доработку систем с учетом изменений стандарта Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. |
| 33. | Приложение 1 | Предлагается дополнить проект, в частности приложение 1 и форму запроса к операторам платежных систем, а также соответствующие проекты нормативных документов, определяющие взаимодействие с АСОИ ФинЦЕРТ, процессом предоставления сведений по банковским операциям, отличным от переводов денежных средств, в частности о сессионных событиях. По информации кредитных организаций, на практике сведения по сессионным событиям запрашиваются МВД России после предоставления сведений с выпиской по счетам клиентов. С учетом планирования реализации норм Федерального закона N 408-ФЗ целесообразно унифицировать формат взаимодействия для предоставления данных сведений. | Представлено пояснение | Позиции по указанным вопросам представлены в таблице ранее. |
| 34. | Приложение 1, пункт 1 | Уточнить формат направления ОПДС информации об использовании Единой биометрической системы, а также необходимость направления информации при отсутствии соответствующих данных. | Представлено пояснение | Формат установлен в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. |
| 35. | Приложение 1, пункт 2 | Банки просят обозначить, каким способом или методом устанавливается или вычисляется специальный код. | Представлено пояснение | Формат установлен в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. |
| 36. | Приложение 1, пункты 2-3 | Предлагается заменить слова "при наличии СНИЛС" на слова "при наличии у оператора по переводу денежных средств информации о СНИЛС". Направление информации о СНИЛС получателя средств может быть затруднительно в связи с возможным отсутствием данных. | Учтено | Пункт скорректирован с учетом предложений. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 37. | Приложение 1, пункт 3 | Предлагается в тексте проекта добавить ссылку на строку 3 приложения 1, в которой содержится перечень информации, устанавливающей идентификаторы получателя средств. По тексту документа отсутствует ссылка на строку 3 приложения 1, в которой содержится перечень информации, устанавливающей идентификаторы получателя средств. | Представлено пояснение | Нецелесообразно учитывать, так как пункт 2.12 проекта включает в себя множество запросов и конкретизация на строку 3 не охватывает весь перечень информации. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 38. | Приложение 1, пункт 4 | Предлагается добавить в перечень направляемой ОПДС информации позицию "о номере операции в платежной системе Банка России". | Учтено | Пункт скорректирован с учетом предложений. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 39. | Приложение 1, пункт 4 | Предлагается исключить пункт "сведения об идентификаторе операции "SWIFT" (номер операции)" либо заменить его на пункт "сведения об идентификаторе операции "SWIFT" (номер операции) (при наличии)"; выделить отдельный тип операций, который учитывает переводы между кредитными организациями с использованием SWIFT и включает несанкционированный доступ к корреспондентскому счету кредитной организации. Ряд кредитных организаций не использует SWIFT, а применяет в своей деятельности Систему передачи финансовых сообщений. | Учтено | Пункт скорректирован с учетом предложений. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 40. | Приложение 1, пункт 5; пункт 2.6.2 | Предлагается вместо "сведения об идентификаторе и адресе расположения платежного терминала (банкоматы, терминалы самообслуживания, POS-терминалы и т.д.), если использовался для осуществления операции" указать "сведения об идентификаторе и адресе расположения платежного терминала (банкоматы, терминалы самообслуживания, POS-терминалы и т.д.), если использовался для осуществления операции (при наличии)". ОПДС, обслуживающий плательщика, часто не видит в авторизационном сообщении информацию об адресе расположения платежного терминала. Это зависит от настроек банка-эквайрера. | Учтено | Пункт скорректирован с учетом предложений. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 41. | Приложение 1, пункт 6 | Предлагается исключить требования предоставления информации "об идентификаторе оператора по переводу денежных средств, обслуживающего плательщика, присвоенного ОПКЦ СБП" и "об идентификаторе оператора по переводу денежных средств, обслуживающего получателя средств, присвоенного ОПКЦ СБП". Кредитные организации отмечают избыточность указанной информации, которая может быть безошибочно получена Банком России на основе запроса в АО "НСПК" с использованием информации об идентификаторе операции СБП, передача которого предусмотрена в уведомлении Банка России. | Не учтено | Указанная информация должна быть предоставлена ОПДС, так как является одним из основных реквизитов информации для проведения операции по переводу денежных средств. Данная информация необходима для проведения расследования операций без согласия клиента, а также для формирования "ФИДов". |
| 42. | Приложение 1, пункт 8 | Уточнить целесообразность сбора информации, определяющей параметры устройств, с учетом того, что указанные данные не являются статичными и при наличии VPN не позволяют получить данные о стране. Кроме того, необходимо указать, каким образом следует предоставлять информацию при наличии у устройства клиента нескольких сетевых адаптеров и, соответственно, IP-адресов? | Представлено пояснение | Информация, определяющая параметры устройств, необходима для проведения расследования операций без согласия клиента, а также для формирования "ФИДов". Формат предоставления информации установлен в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. |
| 43. | Приложение 1, пункт 8; Приложение 2, пункт 5 | Предлагается слова "о сетевом адресе компьютера и (или) коммуникационного устройства (маршрутизатора)" заменить словами "о сетевом адресе компьютера и (или) коммуникационного устройства (маршрутизатора) (IP-адресе)". По мнению банков, для однозначной трактовки необходимо в явном виде указать, что речь идет именно об IP-адресе. | Учтено | Пункт скорректирован с учетом предложений. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 44. | Приложение 1, пункт 8; Приложение 2, пункт 5 | Предлагается вместо "о цифровом отпечатке устройства плательщика" указать "о цифровом отпечатке устройства плательщика (при наличии)" и вместо "о цифровом отпечатке устройства клиента-бенефициара" указать "о цифровом отпечатке устройства клиента-бенефициара (при наличии)". По информации банков, в силу разных причин не всегда есть возможность получить цифровой отпечаток устройства плательщика/клиента-бенефициара. Кроме того, единый формат цифрового отпечатка не определен. | Учтено | Пункт скорректирован с учетом предложений. Обращаем внимание, что проект по итогам учета изменений имеет иную нумерацию пунктов. |
| 45. | Пункт 2.12 | В каком виде будет передаваться информация об осуществлении перевода денежных средств без согласия клиента от федерального органа исполнительной власти в сфере внутренних дел? В настоящее время запросы от правоохранительных органов зачастую не содержат информации о конкретных операциях без согласия клиентов, что делает такую информацию бесполезной для оператора по переводу денежных средств (ОПДС). Если в информации от МВД России не будет сведений о конкретных операциях, то значит ли это, что ОПДС не следует фиксировать такую информацию в разрезе мошеннических операций? | Представлено пояснение | В рамках части 8 статьи 27 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" в редакции Федерального закона от 20.10.2022 N 408-ФЗ "О внесении изменений в статью 26 Федерального закона "О банках и банковской деятельности" и статью 27 Федерального закона "О национальной платежной системе" МВД России будет запрашивать информацию об операциях по переводу денежных средств, содержащуюся в базе данных Банка России. Форма и порядок будут определены в соглашении между Банком России и МВД России. Формат запросов МВД России в ОПДС не регулируется Банком России. |
| 46. | Пункт 2.12 | Исключить дублирование информации от ОПДС к ОПС. Правила платежной системы "Мир" (ПС "Мир") требуют передавать в Систему информирования о мошенничестве (далее - СИоМ) информацию о мошеннических операциях, если о них стало известно участнику ПС "Мир". Обязаны ли банки (как ОПДС и участники ПС "Мир") в случае получения информации о мошенничестве от МВД России через Банк России передать эту информацию в СИоМ или ОПС в рамках реализации пункта 4.3 проекта будут получать аналогичную информацию напрямую и банки не будут обязаны информировать ОПС самостоятельно? | Представлено пояснение | На текущий момент исключение дублирования информации не представляется возможным, так как база данных Банка России и СИоМ являются разными системами. С учетом изложенного информирование в данном случае обязательно для ОПДС и как участника ПС "Мир". |
| 47. | Пункт 2.12 | Необходимо ли учитывать полученную информацию об осуществлении перевода денежных средств без согласия клиента в формах отчетности (например, по форме 0403203)? Если да, то в каком порядке необходимо включать данную информацию в отчетные формы? В настоящее время запросы МВД России иногда приходят по очень старым инцидентам (например, годичной давности). Связаться с клиентом для уточнения данных не всегда возможно. В этой связи отражение полученной информации по мошенническим операциям в отчетных формах выглядит затруднительным. | Представлено пояснение | На текущий момент форма 0403203 не предусматривает отдельного учета операций без согласия, информация по которым направлена в рамках запроса МВД, и учитывает только операции, по которым клиент обратился напрямую к ОПДС. 1. Если при поступлении запроса от МВД ОПДС скорректировал статус операции на ОБС у себя в системе, то информацию о такой операции необходимо учесть в отчетности; 2. Если запрос от МВД поступил в рамках ОБС ранее направленной в АСОИ и учтенной в отчетности ОБС, то ОПДС необходимо проверить учет информации о такой операции в отчетности, чтобы сведения не продублировались; 3. Если при поступлении запроса от МВД ОПДС не расценил такую операцию как ОБС, то информацию о такой операции не следует учитывать в отчетности. |
| 48. | Участники опроса просят установить критерии, по которым следует определять попытки перевода денежных средств без согласия клиента. Также требуется определить, чем должна отличаться по содержанию передаваемая информация о попытках и об успешных операциях без согласия (ОБС). При подаче информации через АСОИ ФинЦЕРТ нет возможности разделить попытки и успешные ОБС. Если применять подход, при котором данные о попытках передаются в АСОИ ФинЦЕРТ с нулевыми суммами, то это не позволит вести учет сумм попыток и, как следствие, не позволит оценивать эффективность антифрод-систем участников информационного обмена. | Представлено пояснение | Форма предоставления информации о попытках перевода денежных средств без согласия клиента установлена в стандарте Банка России СТО БР БФБО-1.5-2022, новая редакция которого будет размещена на официальном сайте Банка России. В этой связи при определении критериев, по которым следует определять попытки перевода денежных средств без согласия клиента, полагаем целесообразным руководствоваться стандартом СТО БР 1.5-2022 (новая редакция). | |
------------------------------
1 Проект федерального закона N 197920-8 "О внесении изменений в Федеральный закон "О национальной платежной системе".
2 Проект федерального закона N 197920-8 "О внесении изменений в Федеральный закон "О национальной платежной системе".
3 Проект федерального закона N 197920-8 "О внесении изменений в Федеральный закон "О национальной платежной системе".
Обзор документа
ЦБ рассмотрел предложения по проекту указания, которым планируется установить:
- форму и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента;
- форму и порядок получения операторами от Банка России информации из базы данных о таких случаях и попытках;
- порядок реализации операторами мероприятий по противодействию денежным переводам без согласия клиента.
Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:
