Указание Банка России от 15 декабря 2020 г. N 5662-У “О форме и порядке направления операторами финансовых платформ в Банк России информации обо всех случаях и (или) о попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, и получения операторами финансовых платформ, финансовыми организациями от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, а также о порядке реализации операторами финансовых ...” (документ не вступил в силу)

Настоящее Указание на основании частей 2, 4 и 5 статьи 12 Федерального закона от 20 июля 2020 года N 211-ФЗ "О совершении финансовых сделок с использованием финансовой платформы" (Собрание законодательства Российской Федерации, 2020, N 30, ст. 4737) устанавливает:

форму и порядок направления операторами финансовых платформ в Банк России информации обо всех случаях и (или) о попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, и получения операторами финансовых платформ, финансовыми организациями от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы;

порядок реализации операторами финансовых платформ мероприятий по выявлению операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, и противодействию в совершении таких сделок.

Глава 1. Форма и порядок направления операторами финансовых платформ в Банк России информации обо всех случаях и (или) о попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, и получения операторами финансовых платформ, финансовыми организациями от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы

1.1. Операторы финансовых платформ должны направлять в Банк России информацию обо всех случаях и (или) о попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы (далее - операции по финансовым сделкам без волеизъявления участников финансовой платформы), в виде электронных сообщений.

Операторы финансовых платформ должны направлять в Банк России информацию обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы в форме уведомления о событии в соответствии с пунктами 1.5-1.7 настоящего Указания.

Операторы финансовых платформ должны направлять в Банк России информацию обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы в форме уведомления по запросу в соответствии с пунктами 1.8 и 1.9 настоящего Указания.

Операторы финансовых платформ, финансовые организации вправе получать от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы (далее - база данных), в форме сообщения о распространяемых данных в соответствии с пунктами 1.10 и 1.11 настоящего Указания.

1.2. Операторы финансовых платформ должны направлять в Банк России информацию обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае невозможности взаимодействия операторов финансовых платформ с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России по техническим причинам операторы финансовых платформ должны направлять в Банк России информацию обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы с использованием резервного способа взаимодействия.

Информация обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы, направленная с использованием резервного способа взаимодействия, должна быть повторно направлена операторами финансовых платформ в Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России при возобновлении технической возможности взаимодействия операторов финансовых платформ с Банком России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия операторов финансовых платформ, финансовых организаций с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет").

1.3. Операторы финансовых платформ должны направлять в Банк России информацию обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы в форме уведомления о событии при наступлении следующих событий:

получение оператором финансовой платформы от потребителя финансовых услуг уведомления о списании денежных средств со специального счета без волеизъявления потребителя финансовых услуг;

выявление оператором финансовой платформы в рамках реализуемой им системы управления рисками случаев и (или) попыток совершения операций по списанию денежных средств со специального счета без волеизъявления потребителя финансовых услуг, в том числе совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора финансовой платформы;

получение оператором финансовой платформы от участников финансовой платформы уведомлений о случаях и (или) попытках совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы, кроме события, предусмотренного абзацем вторым настоящего пункта;

выявление оператором финансовой платформы случаев и (или) попыток совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора финансовой платформы, кроме события, предусмотренного абзацем третьим настоящего пункта;

выявление оператором финансовой платформы компьютерных атак, направленных на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, которые могут привести к случаям и (или) попыткам осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

1.4. Операторы финансовых платформ - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) (далее - Федеральный закон N 187-ФЗ), должны направить в Банк России информацию обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы в форме уведомления о событии:

в течение трех часов с момента наступления событий, указанных в абзацах пятом и шестом пункта 1.3 настоящего Указания;

в течение одного рабочего дня, следующего за днем наступления событий, указанных в абзацах втором - четвертом пункта 1.3 настоящего Указания.

Иные операторы финансовых платформ должны направить в Банк России информацию обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы в форме уведомления о событии:

в течение 24 часов с момента наступления событий, указанных в абзацах пятом и шестом пункта 1.3 настоящего Указания;

в течение одного рабочего дня, следующего за днем наступления событий, указанных в абзацах втором - четвертом пункта 1.3 настоящего Указания.

1.5. Уведомление о событии должно содержать информацию:

о случаях и (или) попытках совершения операций по списанию денежных средств потребителя финансовых услуг со специального счета без его волеизъявления при наступлении событий, указанных в абзацах втором и третьем пункта 1.3 настоящего Указания;

о случаях и (или) попытках совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы при наступлении событий, указанных в абзацах четвертом и пятом пункта 1.3 настоящего Указания;

о компьютерных атаках, направленных на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, которые могут привести к случаям и (или) попыткам осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы, при наступлении события, указанного в абзаце шестом пункта 1.3 настоящего Указания.

1.6. При наступлении событий, указанных в абзацах втором - пятом пункта 1.3 настоящего Указания, уведомление о событии должно содержать информацию:

о потребителе финансовых услуг;

о получателе средств;

о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы (при наличии информации, определяющей параметры указанных устройств).

1.6.1. При наступлении событий, указанных в абзацах втором и третьем пункта 1.3 настоящего Указания, информация о потребителе финансовых услуг должна содержать:

результат вычисления специального кода номера документа, удостоверяющего личность потребителя финансовых услуг;

результат вычисления специального кода страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации (при наличии) потребителя финансовых услуг;

идентификационный номер налогоплательщика (далее - ИНН) потребителя финансовых услуг (при наличии);

банковский идентификационный код (далее - БИК) кредитной организации, обслуживающей специальный счет оператора финансовой платформы;

номер специального счета, открытого в кредитной организации, обслуживающей оператора финансовой платформы;

сумму операции при списании (попытке списания) денежных средств потребителя финансовых услуг со специального счета оператора финансовой платформы;

валюту операции при списании (попытке списания) денежных средств потребителя финансовых услуг со специального счета оператора финансовой платформы;

дату и время осуществления (попытки осуществления) операции по списанию денежных средств потребителя финансовых услуг со специального счета оператора финансовой платформы.

При наступлении событий, указанных в абзацах втором - пятом пункта 1.3 настоящего Указания, информация о потребителе финансовых услуг, помимо сведений, указанных в абзацах втором - девятом настоящего подпункта, дополнительно должна содержать:

ИНН финансовой организации (эмитента);

вид финансовой сделки;

дату и время выполнения процедуры приема к исполнению указания о списании денежных средств потребителя финансовых услуг;

сумму операции по финансовой сделке при списании (попытке списания) денежных средств, кроме списания (попытки списания) денежных средств со специального счета;

валюту операции по финансовой сделке при списании (попытке списания) денежных средств, кроме списания (попытки списания) денежных средств со специального счета;

дату и время осуществления (попытки осуществления) операции по финансовой сделке.

1.6.2. Информация о получателе средств должна содержать:

БИК кредитной организации, обслуживающей получателя средств (при наличии);

номер банковского счета получателя средств, открытого в кредитной организации, обслуживающей получателя средств.

1.6.3. Информация о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы (при наличии информации, определяющей параметры указанных устройств), должна включать:

сетевой адрес компьютеров и (или) коммуникационного устройства (маршрутизатора);

международный идентификатор абонента (индивидуальный номер абонента);

международный идентификатор пользовательского оборудования (оконечного оборудования).

1.7. При наступлении событий, указанных в абзаце шестом пункта 1.3 настоящего Указания, уведомление о событии должно содержать информацию о технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры операторов финансовых платформ и (или) участников финансовой платформы, которые могут привести к случаям и (или) попыткам осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

1.8. При получении от оператора финансовой платформы уведомления о событии Банк России вправе направить ему с использованием технической инфраструктуры (автоматизированной системы) Банка России запрос о получении:

дополнительных сведений о технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы;

сведений об обращении участников финансовой платформы в правоохранительные органы;

сведений, определяющих результат окончания рассмотрения оператором финансовой платформы случаев и (или) попыток осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы, вызванных компьютерными атаками, направленными на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы;

сведений о реализации мер, предпринятых оператором финансовой платформы по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, и дальнейшему предотвращению случаев и (или) попыток осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы;

дополнительных и (или) уточняющих сведений о случаях и (или) попытках совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы.

1.9. Операторы финансовых платформ - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом N 187-ФЗ, должны направить в Банк России информацию обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы в форме уведомления по запросу в течение двух рабочих дней, следующих за днем получения запроса Банка России, предусмотренного в пункте 1.8 настоящего Указания.

Иные операторы финансовых платформ должны направить в Банк России информацию обо всех случаях и (или) о попытках осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы в форме уведомления по запросу в течение трех рабочих дней, следующих за днем получения запроса Банка России, предусмотренного в пункте 1.8 настоящего Указания.

1.10. Операторы финансовых платформ, финансовые организации вправе получать от Банка России в форме сообщения о распространяемых данных следующую информацию, содержащуюся в базе данных:

о номерах специальных счетов операторов финансовых платформ, открытых в кредитных организациях, в отношении которых выявлены случаи и (или) попытки совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы (при их наличии);

о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы;

о технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры операторов финансовых платформ и (или) участников финансовой платформы.

1.11. Операторы финансовых платформ, финансовые организации для получения от Банка России информации, содержащейся в базе данных, должны использовать техническую инфраструктуру (автоматизированную систему) Банка России, информация о которой размещается на официальном сайте Банка России в сети "Интернет".

Глава 2. Порядок реализации операторами финансовых платформ мероприятий по выявлению и противодействию осуществлению операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы

2.1. Оператор финансовой платформы должен создать систему выявления и мониторинга случаев и (или) попыток совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы в рамках реализуемой им системы управления рисками, в том числе на основании информации, полученной из базы данных.

2.2. Оператор финансовой платформы должен выявлять случаи и (или) попытки совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы, в том числе совершенные в результате несанкционированного доступа к объектам информационной инфраструктуры оператора финансовой платформы.

2.3. При наличии подозрений о совершении операции по списанию денежных средств потребителя финансовых услуг со специального счета без волеизъявления потребителя финансовых услуг оператор финансовой платформы должен получить дополнительное подтверждение от потребителя финансовых услуг.

2.4. Оператор финансовой платформы на основании договора, заключенного между ним и кредитной организацией, в которой обслуживается специальный счет оператора финансовой платформы, вправе привлечь кредитную организацию для выявления случаев и (или) попыток совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.5. Оператор финансовой платформы должен применять полученную от Банка России информацию, содержащуюся в базе данных, в целях выявления случаев и (или) попыток совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.6. Оператор финансовой платформы должен выявлять компьютерные атаки, направленные на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, которые могут привести к случаям и (или) попыткам осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.7. Оператор финансовой платформы должен осуществлять сбор технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы (при их наличии).

2.8. Оператор финансовой платформы должен в порядке, установленном им во внутренних документах, вести учет фактов обращений участников финансовой платформы в правоохранительные органы в связи со случаями и (или) попытками совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы при поступлении от участников финансовой платформы информации о таких обращениях.

2.9. Оператор финансовой платформы должен реализовывать меры по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, и дальнейшему предотвращению случаев и (или) попыток осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.10. Оператор финансовой платформы должен реализовать условия для направления участниками финансовой платформы уведомлений о случаях и (или) попытках совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы, а также обеспечить учет, регистрацию и хранение указанных уведомлений на срок не менее пяти лет с даты их поступления.

2.11. При выявлении (получении) информации о технических данных, описывающих компьютерные атаки, направленные на информационную инфраструктуру оператора финансовой платформы и (или) участников финансовой платформы, оператор финансовой платформы должен осуществлять мероприятия по противодействию осуществлению операций по финансовым сделкам без волеизъявления участников финансовой платформы в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017).

2.12. Применение оператором финансовой платформы мер защиты информации, а также ограничений по параметрам операций по финансовым сделкам, устанавливаемых на основании заявления участника финансовой платформы, переданного способом, определенным в договоре оператора финансовой платформы с участником финансовой платформы, должно обеспечивать для показателя, характеризующего уровень финансовых сделок без волеизъявления участников финансовой платформы, на ежеквартальной основе значение не более 0,005 процента.

Значение показателя, характеризующего уровень финансовых сделок без волеизъявления участников финансовой платформы, должно рассчитываться как отношение суммы денежных средств, в отношении которых от участников финансовой платформы получены уведомления об осуществлении операций по финансовым сделкам без волеизъявления участников финансовой платформы, повлекших списание денежных средств со специального счета без их волеизъявления, за оцениваемый квартал (за исключением случаев, предусмотренных законодательством Российской Федерации) к общей сумме денежных средств по финансовым сделкам.

Глава 3. Заключительные положения

3.1. Настоящее Указание в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 04 декабря 2020 года N ПСД-29) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлен иной срок вступления их в силу.

Пункты 1.1-1.11, 2.1, 2.2, 2.5-2.7, 2.9, 2.11, 2.12 настоящего Указания вступают в силу с 1 октября 2021 года.

Председатель Центрального банка Российской Федерации

Э.С. Набиуллина

Зарегистрировано в Минюсте РФ 25 января 2021 г.

Регистрационный № 62210