(1).jpg)
Выберите тему Программы повышения квалификации для юристов
Письмо Банка России от 11 ноября 2025 г. N 56-16/9998 “О рассмотрении обращения”
Департамент информационной безопасности Банка России рассмотрел обращение Ассоциации российских банков от 24.09.2025 N А25-02/5-352 и сообщает следующее.
По вопросу 1. В связи с повышенными рисками мошеннических действий при выдаче наличных денежных средств третьим лицам через банкоматы бесконтактным способом с использованием технологии NFC, в частности с использованием NFC Gate, приказом Банка России N ОД-17651 в качестве одного из признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов (далее - признаки) определено наличие превышения установленного правилами платежной системы времени направления ответа на запрос (APDU (application protocol data unit) - команда) в рамках взаимодействия банкомата и платежной карты или токенизированной (цифровой) платежной карты (пункт 2 указанного приказа Банка России).
В соответствии с абзацем первым статьи 24.3-1 Закона N 395-12 проверку на наличие признаков обязана осуществить кредитная организация, предоставившая клиенту платежную карту.
Признак, установленный пунктом 2 приложения к приказу Банка России N 1765-ОД, применим для случаев, когда кредитная организация, предоставившая клиенту платежную карту, одновременно является кредитной организацией - владельцем банкомата, через который осуществляется запрос на выдачу наличных денежных средств.
Вместе с тем кредитным организациям - владельцам банкоматов рекомендуется реализовать механизм проверки таймаута ответа на команду GENERATE AC на стороне банкомата в соответствии с выпущенным АО "НСПК" 06.06.2025 операционным бюллетенем #10.2025 "О повышении устойчивости инфраструктуры к атакам с использованием NFC Gate" и в случае, если время ответа превышает 240 мс, указанным кредитным организациям следует отказать в проведении такой операции и рекомендовать клиенту использовать физическую платежную карту.
По вопросу 2. В соответствии с абзацем первым статьи 24.3-1 Закона N 395-1 проверку на наличие признаков обязана осуществить кредитная организация, предоставившая клиенту платежную карту.
Таким образом, кредитная организация, предоставившая клиенту платежную карту, применяет признак, установленный пунктом 4 приложения к приказу Банка России N ОД-1765, при наличии у нее такой информации.
------------------------------
1 Приказ Банка России от 07.08.2025 N ОД-1765 "Об установлении признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов".
2 Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности".
------------------------------
|
Заместитель директора Департамента информационной безопасности |
А.О. Выборнов |
Обзор документа
Одним из признаков выдачи наличных без согласия клиента с использованием банкоматов является превышение установленного правилами платежной системы времени направления ответа на запрос в рамках взаимодействия банкомата и платежной карты или токенизированной (цифровой) платежной карты. Этот признак применим, если кредитная организация, предоставившая клиенту платежную карту, одновременно является кредитной организацией - владельцем банкомата, через который направляется запрос на выдачу наличных.
Кредитным организациям - владельцам банкоматов рекомендуется реализовать механизм проверки таймаута ответа на команду GENERATE AC на стороне банкомата в соответствии с выпущенным НСПК операционным бюллетенем о повышении устойчивости инфраструктуры к атакам с использованием NFC Gate. Если время ответа превышает 240 мс, кредитным организациям следует отказать в проведении операции и рекомендовать клиенту использовать физическую платежную карту.
