Проект Указания Банка России “О форме и порядке направления операторами финансовых платформ в Банк России информации обо всех случаях и (или) о попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы и получения операторами финансовых платформ, финансовыми организациями от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, а также о порядке реализации операторами финансовых платформ мероприятий ...” (по состоянию на 16.11.2020)

Настоящее Указание на основании частей 2, 4 и 5 статьи 12 Федерального закона от 20 июля 2020 года N 211-ФЗ "О совершении финансовых сделок с использованием финансовой платформы" (Собрание законодательства Российской Федерации, 2020, N 30, ст. 4737) устанавливает:

форму и порядок направления операторами финансовых платформ в Банк России информации обо всех случаях и (или) о попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы (далее - операции по финансовым сделкам без волеизъявления участников финансовой платформы) и получения операторами финансовых платформ, финансовыми организациями от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы;

порядок реализации операторами финансовых платформ мероприятий по противодействию осуществлению операций по финансовым сделкам без волеизъявления участников финансовой платформы.

Глава 1. Форма и порядок направления операторами финансовых платформ в Банк России информации обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы и получения операторами финансовых платформ, финансовыми организациями от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы

1.1. Операторы финансовых платформ должны направлять в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы в виде электронных сообщений.

Операторы финансовых платформ должны направлять в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы по форме уведомления по событию в соответствии с пунктами 1.5 - 1.7 настоящего Указания.

Операторы финансовых платформ должны направлять в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы по форме уведомления по запросу в соответствии с пунктами 1.8, 1.9 настоящего Указания.

Операторы финансовых платформ, финансовые организации вправе получать информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы по форме сообщения о распространяемых данных в соответствии с пунктами 1.10 и 1.11 настоящего Указания.

1.2. Операторы финансовых платформ должны направлять в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае возникновения технической невозможности взаимодействия операторов финансовых платформ с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России операторы финансовых платформ должны направлять в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы с использованием резервного способа взаимодействия.

Информация об операциях по финансовым сделкам без волеизъявления участников финансовой платформы, направленная с использованием резервного способа взаимодействия, должна быть повторно направлена операторами финансовых платформ при возобновлении технической возможности взаимодействия операторов финансовых платформ с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия операторов финансовых платформ, финансовых организаций с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет").

1.3. Операторы финансовых платформ должны направлять в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы по форме уведомления по событию при наступлении следующих событий:

при получении оператором финансовой платформы уведомлений от потребителя финансовых услуг по списанию денежных средств со специального счета без его волеизъявления;

при выявлении оператором финансовой платформы операций по списанию денежных средств со специального счета без волеизъявления потребителя финансовых услуг, в том числе совершенных в результате несанкционированного доступа к объектам его информационной инфраструктуры;

при получении оператором финансовой платформы уведомлений от участников финансовой платформы о случаях и (или) попытках осуществления операций по финансовым сделкам без их волеизъявления;

при выявлении оператором финансовой платформы операций по финансовым сделкам без волеизъявления участников финансовой платформы, совершенных в результате несанкционированного доступа к объектам его информационной инфраструктуры;

при выявлении оператором финансовой платформы компьютерных атак, направленных на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, которые могут привести к случаям и (или) попыткам осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

1.4. Операторы финансовых платформ - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) (далее - Федеральный закон N 187-ФЗ), должны направить в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы по форме уведомления по событию в течение трех часов с момента наступления событий, указанных в абзацах пятом и шестом пункта 1.3 настоящего Указания, и в течение одного рабочего дня, следующего за днем наступления событий, указанных в абзацах втором - четвертом пункта 1.3 настоящего Указания.

Иные операторы финансовых платформ должны направить в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы по форме уведомления по событию:

в случаях, указанных в абзацах пятом и шестом пункта 1.3 настоящего Указания, - в течение 24 часов с момента наступления событий, указанных в пункте 1.3 настоящего Указания;

в случаях, указанных в абзацах втором - четвертом пункта 1.3 настоящего Указания, - в течение одного рабочего дня, следующего за днем наступления событий, указанных в пункте 1.3 настоящего Указания.

1.5. Уведомление по событию должно содержать следующую информацию:

об операциях по списанию денежных средств потребителя финансовых услуг со специального счета без его волеизъявления при наступлении событий, указанных в абзацах втором и третьем пункта 1.3 настоящего Указания;

об операциях по финансовым сделкам без волеизъявления участников финансовой платформы при наступлении событий, указанных в абзацах четвертом - пятом пункта 1.3 настоящего Указания;

о компьютерных атаках, направленных на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, которые могут привести к случаям и (или) попыткам осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы при наступлении события, указанного в абзаце шестом пункта 1.3 настоящего Указания.

1.6. Информация, определяющая операции по списанию денежных средств потребителя финансовых услуг со специального счета без его волеизъявления и по финансовым сделкам без волеизъявления участников финансовой платформы при наступлении событий, указанных в абзацах втором - пятом пункта 1.3 настоящего Указания, должна содержать следующие данные:

о потребителе финансовых услуг;

о получателе средств;

о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения финансовых сделок без волеизъявления участников финансовой платформы при наличии информации, определяющей параметры указанных устройств.

1.6.1. Информация, устанавливающая потребителя финансовых услуг, по указанию которого осуществляется операция по списанию денежных средств со специального счета оператора финансовой платформы, должна содержать следующие данные:

о результате вычисления специального кода номера документа, удостоверяющего потребителя финансовых услуг;

о результате вычисления специального кода страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации (далее - СНИЛС) потребителя финансовых услуг при наличии СНИЛС;

об идентификационном номере налогоплательщика (далее - ИНН) потребителя финансовых услуг;

о банковском идентификационном коде (далее - БИК) кредитной организации, обслуживающей специальный счет оператора финансовой платформы;

о номере специального счета, открытого в кредитной организации, обслуживающей оператора финансовой платформы;

о сумме операции по списанию денежных средств потребителя финансовых услуг со специального счета оператора финансовой платформы;

о валюте операции по списанию денежных средств потребителя финансовых услуг со специального счета оператора финансовой платформы;

о дате и времени осуществления операции по списанию денежных средств потребителя финансовых услуг со специального счета оператора финансовой платформы;

об идентификаторе операции по списанию денежных средств потребителя финансовых услуг со специального счета оператора финансовой платформы.

Информация, устанавливающая потребителя финансовых услуг, по финансовым сделкам без волеизъявления участников финансовой платформы помимо сведений, указанных в абзацах втором - десятом настоящего подпункта, должна содержать следующие данные:

об ИНН финансовой организации (эмитента);

о виде операции по финансовой сделке;

о коде (уникальном идентификаторе) финансовой сделки, совершенной с использованием финансовой платформы;

о дате и времени выполнения процедуры приема к исполнению указания о списании денежных средств потребителя финансовых услуг;

о сумме операции по финансовой сделке при списании денежных средств;

о валюте операции по финансовой сделке при списании денежных средств;

о дате и времени осуществления операции по финансовой сделке;

об идентификаторе операции по финансовой сделке.

1.6.2. Информация, устанавливающая получателя средств, должна содержать следующие данные:

о БИК кредитной организации, обслуживающей получателя средств, при наличии БИК;

о номере банковского счета получателя средств, открытого в кредитной организации, обслуживающей получателя средств.

1.6.3. Информация, определяющая параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения финансовых сделок без волеизъявления участников финансовой платформы, при наличии информации, определяющей параметры указанных устройств, должна содержать следующие данные:

о сетевом адресе компьютеров и (или) коммуникационного устройства (маршрутизатора);

о международном идентификаторе абонента (индивидуальном номере абонента потребителя финансовых услуг);

о международном идентификаторе пользовательского оборудования (оконечного оборудования) потребителя финансовых услуг.

1.7. Информация о компьютерных атаках, направленных на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, которые могут привести к случаям и (или) попыткам осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы, при наступлении событий, указанных в абзаце шестом пункта 1.3 настоящего Указания, должна содержать технические данные, описывающие компьютерные атаки, направленные на объекты информационной инфраструктуры операторов финансовой платформы и (или) участников финансовой платформы.

1.8. При получении от операторов финансовых платформ уведомлений Банк России вправе направить с использованием технической инфраструктуры (автоматизированной системы) Банка России оператору финансовой платформы запрос о получении следующей информации:

дополнительные сведения о технических данных, описывающие компьютерные атаки, направленные на объекты информационной инфраструктуры операторов финансовой платформы и (или) участников финансовой платформы;

сведения об обращении участников финансовой платформы в правоохранительные органы;

сведения, определяющие результат окончания рассмотрения операторами финансовых платформ случаев и (или) попыток осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы, вызванных компьютерными атаками, направленными на объекты информационной инфраструктуры операторов финансовых платформ;

о реализации мер, предпринятых оператором финансовой платформы по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры операторов финансовых платформ и (или) участников финансовой платформы, и дальнейшему предотвращению случаев и (или) попыток осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы;

дополнительные и (или) уточняющие сведения об операциях по финансовым сделкам без волеизъявления участников финансовой платформы при их наличии.

1.9. Операторы финансовых платформ - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом N 187-ФЗ, должны направить в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы по форме уведомления по запросу в течение двух рабочих дней, следующих за днем получения запроса Банка России в соответствии с пунктом 1.8 настоящего Указания.

Иные операторы финансовых платформ должны направить в Банк России информацию об операциях по финансовым сделкам без волеизъявления участников финансовой платформы по форме уведомления по запросу в течение трех рабочих дней, следующих за днем получения запроса Банка России в соответствии с пунктом 1.8 настоящего Указания.

1.10. Операторы финансовых платформ, финансовые организации вправе получать по форме сообщения о распространяемых данных следующую информацию, содержащуюся в базе данных о случаях и попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы:

о номере специального счета оператора финансовой платформы, открытого в кредитной организации, при их наличии;

о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы;

технические данные, описывающие компьютерные атаки, направленные на объекты информационной инфраструктуры операторов финансовых платформ и (или) участников финансовой платформы.

1.11. Операторы финансовых платформ, финансовые организации для получения информации из базы данных о случаях и попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы, должны использовать техническую инфраструктуру (автоматизированную систему) Банка России, информация о которой размещается на официальном сайте Банка России в сети "Интернет".

Глава 2. Порядок реализации операторами финансовых платформ мероприятий по противодействию осуществлению операций по финансовым сделкам без волеизъявления участников финансовой платформы

2.1. На основании полученной информации из базы данных о случаях и попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы, а также в рамках реализуемой им системы управления рисками оператор финансовой платформы должен создать систему выявления и мониторинга операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.2. Оператор финансовой платформы должен выявлять операции по финансовым сделкам без волеизъявления участников финансовой платформы, в том числе совершенные в результате несанкционированного доступа к объектам информационной инфраструктуры оператора финансовой платформы.

2.3. Оператор финансовой платформы должен получать дополнительное подтверждение от потребителя финансовых услуг в рамках реализации пункта 11.3 Положения Банка России от 17 апреля 2019 года N 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций", зарегистрированного Министерством юстиции Российской Федерации 16.05.2019 N 54634, при выявлении признаков операций по финансовым сделкам без волеизъявления участников финансовой платформы, в том числе при подтверждении операций по списанию со специального счета.

2.4. Оператор финансовой платформы на основании договора, заключенного между оператором финансовой платформы и кредитной организацией, в которой обслуживается специальный счет оператора финансовой платформы, вправе привлечь кредитную организацию в целях выявления признаков операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.5. Оператор финансовой платформы должен применять полученную от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы, в целях выявления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.6. Оператор финансовой платформы должен выявлять компьютерные атаки, направленные на объекты информационной инфраструктуры операторов финансовых платформ и (или) участников финансовой платформы, которые могут привести к случаям и (или) попыткам осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.7. Оператор финансовой платформы должен осуществлять сбор технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры операторов финансовых платформ и (или) участников финансовой платформы, при их наличии.

2.8. Оператор финансовой платформы должен осуществлять сбор сведений об обращении участников финансовой платформы в правоохранительные органы, при их наличии.

2.9. Оператор финансовой платформы должен реализовывать меры по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры операторов финансовых платформ и (или) участников финансовой платформы, в том числе потребителей финансовых услуг, и дальнейшему предотвращению случаев и (или) попыток осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.10. Оператор финансовой платформы должен реализовать условия для направления участникам финансовой платформы уведомления о совершении финансовых сделок без волеизъявления участников финансовой платформы, а также обеспечить учет, регистрацию и хранение указанных уведомлений.

2.11. В случаях, указанных в абзацах втором и третьем пункта 1.3 настоящего Указания, оператор финансовой платформы в рамках реализуемой им системы управления рисками вправе отказать в оказании услуги по обеспечению удаленного взаимодействия потребителей финансовых услуг с финансовыми организациями и эмитентами для совершения финансовых сделок.

2.12. При выявлении информации о технических данных, описывающих компьютерные атаки, направленные на информационную инфраструктуру операторов финансовых платформ и (или) участников финансовой платформы, операторы финансовых платформ должны осуществлять мероприятия по противодействию осуществлению операций по финансовым сделкам без волеизъявления участников финансовой платформы в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).

2.13. Применение оператором финансовой платформы мер защиты информации, а также ограничений по параметрам операций по финансовым сделкам, устанавливаемых на основании заявления участника финансовой платформы, переданного способом, определенным договором оператора финансовой платформы с участником финансовой платформы, должно обеспечивать значение показателя, характеризующего уровень финансовых сделок без волеизъявления участников финансовой платформы, на ежеквартальной основе не более 0,005 процента.

Значение показателя, характеризующего уровень операций по финансовым сделкам без волеизъявления участников финансовой платформы, должно рассчитываться как отношение суммы денежных средств, в отношении которых получены уведомления от участников финансовой платформы об осуществлении операций по финансовым сделкам без волеизъявления участников финансовой платформы, повлекшие списание денежных средств со специального счета без их волеизъявления, за оцениваемый квартал, за исключением случаев, предусмотренных законодательством Российской Федерации, к общей сумме денежных средств по финансовым сделкам.

Глава 3. Заключительные положения

3.1. Настоящее Указание в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ______ 2020 года N __) вступает в силу по истечении 360 дней после дня его официального опубликования.

Председатель Центрального банка Российской Федерации

Пояснительная записка
к проекту Указания Банка России "О форме и порядке направления операторами финансовых платформ в Банк России информации обо всех случаях и (или) о попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы и получения операторами финансовых платформ, финансовыми организациями от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, а также о порядке реализации операторами финансовых платформ мероприятий по противодействию совершению финансовых сделок без волеизъявления участников финансовой платформы" (далее - проект Указания)

Банк России разработал проект Указания с целью регулирования взаимодействия операторов финансовых платформ, финансовых организаций и Банка России при обмене информацией обо всех случаях и (или) о попытках осуществления операций с использованием финансовой платформы без волеизъявления участников финансовой платформы.

В документе определены общий порядок и способ взаимодействия Банка России с операторами финансовых платформ, финансовыми организациями, а именно:

порядок направления операторами финансовых платформ в Банк России информации обо всех случаях и (или) о попытках осуществления операций с использованием финансовой платформы без волеизъявления участников финансовой платформы, включая события, форму, сроки;

порядок получения операторами финансовых платформ, финансовыми организациями от Банка России распространяемой информации обо всех случаях и (или) о попытках осуществления операций с использованием финансовой платформы без волеизъявления участников финансовой платформы;

перечень мероприятий по противодействию совершению финансовых сделок без волеизъявления участников финансовой платформы, осуществляемых операторами финансовых платформ.

Предложения и замечания по проекту Указания, направляемые в рамках публичного обсуждения, принимаются по адресам электронной почты, nikitinavl@cbr.ru и polivavovave@mail.cbr.ru в период с 16 ноября 2020 года по 29 ноября 2020 года.