Письмо Банка России от 14 февраля 2023 г. № 012-56/1207 “О рассмотрении обращения”

Банк России рассмотрел обращение Ассоциации российских банков от 26.01.2023 N А-23-02/5-28 по вопросу применения пункта 7.1 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение Банка России N 683-П) и сообщает следующее.

По разделу I. Предметом правового регулирования Положения Банка России N 683-П является установление требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента. При этом пунктом 7.1 указанного Положения не ограничены виды операций, осуществляемых с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций через информационно-телекоммуникационную сеть "Интернет", в отношении которых могут быть установлены ограничения в соответствии с указанным пунктом. Получение кредита без согласия клиента (в частности, в результате введения клиента третьими лицами в заблуждение), как правило, осуществляется для целей последующего перевода кредитных средств таким третьим лицам, то есть также без согласия клиента. В этой связи возможность установления клиентом ограничения на получение кредита c использованием дистанционных сервисов соответствует цели противодействия осуществлению перевода денежных средств без согласия клиента.

По вопросу 1 раздела II. В отношении получения кредита посредством дистанционных сервисов без использования платежной карты считаем возможным как установление ограничений на получение кредита, так и ограничений по параметрам его выдачи.

По вопросу 2 раздела II. Установление ограничений исключительно в части совершения операции за счет кредитных средств не противоречит требованиям пункта 7.1 Положения Банка России N 683-П.

При этом установление исключительно указанных ограничений представляется недостаточной мерой по противодействию осуществлению перевода денежных средств без согласия клиента.

По вопросам 1, 3 раздела III. Отмечаем, что согласно части 5.1 статьи 8 Федерального закона "О национальной платежной системе" мероприятия по противодействию операциям без согласия клиента осуществляются операторами по переводу денежных средств в рамках реализуемой им системы управления рисками на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).

Возможность использования дистанционных сервисов для получения заявлений клиентов в целях установления ограничений определяется кредитной организацией также самостоятельно в рамках реализуемой системы управления рисками. В качестве одного из факторов, обуславливающих возможность использования дистанционных сервисов для получения заявлений клиентов в целях установления ограничений по операциям, рекомендуется учитывать влияние применения такого механизма взаимодействия на фактические значения контрольных показателей уровня риска информационной безопасности, определенных Положением Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П). В частности, влияние на контрольный показатель уровня риска информационной безопасности, предусмотренный абзацем седьмым подпункта 1.2.1 пункта 1 приложения 1 к Положению Банка России N 716-П.

При этом в случае снятия ограничений на основании заявлений клиентов, полученных кредитной организацией с использованием дистанционных сервисов, целесообразно в целях предупреждения возможных мошеннических действий предусмотреть отложенный срок снятия ограничений.

Также отмечаем, что предоставление клиенту возможности направления заявления об установлении ограничений по операциям иными помимо использования дистанционных сервисов способами, на наш взгляд, будет в наибольшей степени учитывать интересы клиентов.

По вопросу 2 раздела III. Пунктом 7.1 Положения Банка России N 683-П не предусмотрены какие-либо запреты на установление ограничений в отношении осуществления бюджетных платежей и платежей в иностранной валюте.

По вопросу 4 раздела III. В соответствии с информационным письмом Банка России от 12.01.2023 N ИН-017-56/2 "О реализации кредитными организациями подпункта 7.1 пункта 7 Положения Банка России N 683-П" кредитным организациям рекомендуется в срок до 01.07.2023 обеспечить возможность установления ограничений клиентами.

По вопросу 5 раздела III. В случае наличия у кредитной организации оснований полагать, что операция совершается без согласия клиента, кредитная организация вне зависимости от установления клиентом ограничений должна осуществлять мероприятия в соответствии с частями 5.1 - 5.3 статьи 8, частями 9.1 и 9.2 статьи 9 и частью 4 статьи 27 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе".

По вопросу 6 раздела III. В пункте 7.1 Положения Банка России N 683-П речь идет об установлении ограничений в случаях, предусмотренных договором с клиентом, по заявлению клиента.

По вопросу 7 раздела III. Позиция Банка России по данному вопросу содержится в письме от 07.11.2022 N 011-56-5/10731, направленном в Ассоциацию российских банков (ответ на вопросы 1 - 6).