(1).jpg)
Выберите тему Программы повышения квалификации для юристов
Письмо Банка России от 18 ноября 2025 г. N 56-21/10293 “О рассмотрении предложений”
Департамент информационной безопасности Банка России рассмотрел предложения, поступившие письмом Ассоциации банков России от 03.10.2025 N 02-05/1273, и сообщает следующее.
Приказ Банка России от 07.08.2025 N ОД-1765 "Об установлении признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов" был подготовлен в том числе на основании предложений кредитных организаций, направленных письмом Ассоциации банков России от 21.04.2025 N 02-05/545.
Благодарим за направленные предложения, полагаем целесообразным вернуться к их обсуждению после анализа правоприменительной практики.
Дополнительно в приложениях к настоящему письму направляем позицию по вопросам и предложениям к практике реализации указанного приказа Банка России и Указания Банка России от 27.06.2025 N 7108-У "О критериях оценки эффективности мероприятий по противодействию заключению договоров потребительского кредита без добровольного согласия клиента и о порядке представления кредитной организацией ходатайства о проведении Банком России проверки соответствия кредитной организации, обратившейся с ходатайством, критериям оценки эффективности мероприятий по противодействию заключению договоров потребительского кредита без добровольного согласия клиента", изложенным в приложениях к письму Ассоциации банков России от 03.10.2025 N 02-05/1273.
Приложение: 2 файла.
|
Заместитель директора Департамента информационной безопасности |
А.О. Выборнов |
Приложение 1
Ответы на вопросы кредитных организаций о порядке исполнения требований приказа Банка России от 07.08.2025 N ОД-1765 "Об установлении признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов"
| Номера вопросов, комментариев | Ответы Департамента информационной безопасности Банка России (далее - ДИБ) |
|---|---|
| I | 1.1. Правильно ли следует понимать, что для операций по снятию наличных денежных средств в АТМ стороннего банка необходимо применять признаки, указанные в ОД-1027, а для снятия в собственном банкомате - признаки, указанные в ОД-1765? Или у банка есть обязанность проверки по признакам ОД-1765 всех операций выдачи наличных, в том числе в сторонних банкоматах? В соответствии с частью 3.1 статьи 8 Федерального закона N 161-ФЗ1 оператор по переводу денежных средств (далее - ОПДС) обязан осуществить проверку наличия признаков осуществления перевода денежных средств без добровольного согласия клиента, установленных приказом Банка России N ОД-1027 2 (далее - признаки) до момента списания денежных средств клиента (в случае совершения операции с использованием платежных карт, перевода электронных денежных средств или перевода денежных средств с использованием сервиса быстрых платежей платежной системы Банка России) либо при приеме к исполнению распоряжения клиента (при осуществлении перевода денежных средств в иных случаях). Согласно части 4 статьи 5 Федерального закона N 161-ФЗ внесение наличных денежных средств на свой банковский счет или получение наличных денежных средств со своего банковского счета у одного ОПДС не является переводом денежных средств. Статьей 24.3-1 Федерального закона N 395-13 установлено, что субъектом, на которого возложена обязанность осуществлять проверку на наличие признаков и устанавливать ограничение на выдачу наличных денежных средств при наличии признаков, является кредитная организация, предоставившая клиенту платежную карту (то есть банк-эмитент). Таким образом, кредитная организация обязана: - при осуществлении перевода денежных средств - осуществить проверку наличия признаков; - до выдачи наличных денежных средств с банковских счетов клиента с использованием банкоматов - осуществить проверку наличия признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов, установленных приказом Банка России N ОД-17654. Вместе с тем статья 24.3-1 Федерального закона N 395-1 не ограничивает проверку на наличие признаков только случаями выдачи наличных денежных средств с использованием собственных банкоматов. 1.2. Необходимо ли подавать данные по ОБДС (своя карта-свой АТМ) в систему информирования о мошенничестве (СИОМ), ФинЦЕРТ, отчетность 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств"? В соответствии с частью 6 статьи 27 Федерального закона N 161-ФЗ и Указанием Банка России N 6828-У5 ОПДС обязаны направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без добровольного согласия клиента в порядке, установленном Банком России. Согласно части 4 статьи 5 Федерального закона N 161-ФЗ внесение наличных денежных средств на свой банковский счет или получение наличных денежных средств со своего банковского счета у одного ОПДС не является переводом денежных средств. При составлении отчетности по форме 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств" учитываются операции, относящиеся к осуществлению перевода денежных средств согласно Положению Банка России от 29.06.2021 N 762-П "О правилах осуществления перевода денежных средств". Поскольку операции по выдаче наличных денежных средств со счета клиента с использованием банкомата у того же ОПДС не являются переводом денежных средств, сбор указанных сведений планируется осуществлять в рамках отдельной разрабатываемой Банком России формы отчетности |
| II | 1. На обучающем семинаре Департамента информационной безопасности Банка России (далее - ДИБ Банка России) сотрудниками Банка России была озвучена информация, что ввиду сложности задачи и ограниченности сроков реализации внедрения Признаков, Банком России планируется ввести мораторий на применение мер воздействия за нарушение сроков реализации внедрения Признаков. В какие сроки и какими распорядительными документами планируется зафиксировать информацию о неприменении мер воздействия? На какой срок планируется введение моратория на взимание штрафов? Банком России было озвучено, что до 31.12.2025 решение о неприменении мер воздействия будет приниматься с учетом фактических обстоятельств, анализа возможности выявления признаков, а также возможности реализации внедрения кредитной организацией признаков. 2. Кредитные организации просят уточнить порядок применения Признаков, в том числе обращая внимание, что выявление отдельных Признаков в настоящее время невозможно/затруднительно банком, например: - анализ телефонных звонков и сообщений клиента, - использование чужих устройств для снятия наличных денежных средств при условии сотрудничества со сторонним процессинговым центром. Как в таком случае при выявлении операций без добровольного согласия клиента по указанным признакам (которые, возможно, будут выявлены Банком России по иным источникам информации) будет оцениваться выполнение банком требований Банка России? Банк России будет оценивать выполнение требования по анализу возможности выявления кредитной организацией соответствующего признака с учетом фактических обстоятельств. Какой порядок применения кредитными организациями Признаков: - для введения ограничений на снятие наличных достаточно выявление одного из Признаков, либо необходима совокупность Признаков? - является ли обязательным для кредитных организаций оценка всех Признаков или допускается выборочное применение отдельных признаков с учетом имеющихся технических возможностей (например, в случае отсутствия договора с операторами связи, владельцами мессенджеров и сайтов в сети Интернет)? - какой минимальный перечень признаков, который обязаны применять все кредитные организации? Кредитная организация, предоставившая клиенту платежную карту, обязана осуществить проверку на наличие всех признаков, установленных Банком России, исходя из имеющейся в ее распоряжении информации. При этом ограничения на выдачу наличных денежных средств, установленные статьей 24.3-1 Федерального закона N 395-1, применяются при выявлении хотя бы одного из признаков. Вместе с тем, согласно пункту 6 статьи 24.4 Федерального закона N 395-1, кредитная организация обязана разработать документы, которые регламентируют процедуры управления рисками и в которых должны быть определены в том числе процедуры выявления случаев и попыток выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов. Таким образом, в рамках процедур управления рисками на основании анализа имеющейся информации о параметрах, и (или) объемах, и (или) характере совершаемых клиентом операций кредитная организация самостоятельно определяет отклонение в параметрах запроса на выдачу наличных денежных средств от запросов на выдачу наличных денежных средств, обычно совершаемых клиентом кредитной организации (нетипичность). Являются ли операции, соответствующие Признакам, обязательными для подтверждения клиентами? Статьей 24.3-1 Федерального закона N 395-1 не предусмотрено обязательное подтверждение операции клиентом. Банк имеет право отказать в совершении операции или банк обязан отказать в совершении операции при выявлении Признаков? Согласно абзацу третьему статьи 24.3-1 Федерального закона N 395-1 при наличии признаков кредитная организация, предоставившая клиенту платежную карту, обязана ограничить выдачу наличных денежных средств на сумму и на срок, установленный указанной статьей. Какие меры ответственности для банков Банк России планирует применять за невыполнение ст. 24.3-1 Закона N 161-ФЗ? Согласно частям 7-10 статьи 13 Федерального закона N 353-ФЗ6 кредитные организации не вправе требовать исполнения заемщиком обязательств, начислять проценты и уступать права требования по договору потребительского кредита (займа) при одновременном наличии следующих обстоятельств: 1) кредитная организация нарушила требования, установленные статьями 24.2-24.4 Федерального закона N 395-1 и частями 9.1-9.5 статьи 7 Федерального закона N 353-ФЗ; 2) возбуждено уголовное дело по факту хищения денежных средств по договору потребительского кредита (займа) у заемщика. Таким образом, если хищения денежных средств по договору потребительского кредита произошло при нарушении требования, установленного статьей 24.3-1 Федерального закона N 395-1, кредитная организация не вправе требовать исполнения заемщиком обязательств, начислять проценты и уступать права требования по договору потребительского кредита. Кроме того, Банк России вправе применить в отношении таких кредитных организаций меры воздействия, предусмотренные статьей 74 Федерального закона N 86-ФЗ7. Правильно ли банки понимают, что указанные признаки применимы только при анализе операций клиентов-физических лиц и не затрагивают аналогичные операции юридических лиц либо индивидуальных предпринимателей? Статьей 24.3-1 Федерального закона N 395-1 не установлены исключения в отношении клиентов кредитных организаций, по операциям которых не требуется проверка на наличие признаков. Таким образом, кредитная организация обязана осуществлять проверку на наличие признаков в том числе в отношении выдачи наличных денежных средств с банковских счетов клиентов - юридических лиц и индивидуальных предпринимателей. Планируется ли Банком России изменения либо дополнения в контрольные показатели уровня операционного риска с учетом всех обозначенных нововведений и дополнений, включая ограничительные? Вопрос целесообразности внесения изменений в контрольные показатели уровня операционного риска, устанавливаемые Положением Банка России N 716-П8, с учетом требований Федерального закона N 41-ФЗ9, будет дополнительно проработан. Правильно ли банки понимают, что положениями Федерального закона от 01.04.2025 N 41-ФЗ "О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации" не предусмотрена обязанность по возмещению клиенту денежных средств, выданных через банкомат без добровольного согласия клиента, в случае если банк не провел проверку на соответствие всем признакам выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов? Согласно частям 7-10 статьи 13 Федерального закона N 353-ФЗ кредитные организации не вправе требовать исполнения заемщиком обязательств, начислять проценты и уступать права требования по договору потребительского кредита (займа) при одновременном наличии следующих обстоятельств: 1) кредитная организация нарушила требования, установленные статьями 24.2-24.4 Федерального закона N 395-1 и частями 9.1-9.5 статьи 7 Федерального закона N 353-ФЗ; 2) возбуждено уголовное дело по факту хищения денежных средств по договору потребительского кредита (займа) у заемщика. Таким образом, если хищение денежных средств по договору потребительского кредита (займа) произошло при нарушении требования, установленного статьей 24.3-1 Федерального закона N 395-1, кредитная организация не вправе требовать исполнения заемщиком обязательств, начислять проценты и уступать права требования по договору потребительского кредита (займа). Кроме того, Банк России вправе применить в отношении таких кредитных организаций меры воздействия, предусмотренные статьей 74 Федерального закона N 86-ФЗ |
| III | В случае, если клиент заявляет о легитимности снятия наличных до истечения 48 часов с момента установки лимита, следует ли применить в т.ч. требование Закона N 161-ФЗ о незамедлительном исполнении поручения клиента или следует отказать клиенту в снятии наличных выше лимита согласно требованиям Закона N 395-1? Планируется ли Банком России установить в нормативных документах вариант снятия ограничения в случае предоставления клиентом доказательств, что средства снимаются по его добровольному согласию и им самим при необходимости снятия более крупной суммы в банкомате? В связи с повышенными рисками обращений/жалоб клиентов на невозможность снятия наличных в крупной сумме, в случае сложившейся жизненной ситуации или, например, при отправлении в отпуск, банки предлагают рассмотреть возможность, по согласованию с клиентом, предоставлять ему оперативный доступ к суммам на его счетах свыше лимита в 50 тыс. рублей (при выявлении Признаков) в отдельных случаях. Статьей 24.3-1 Федерального закона N 395-1 не предусмотрена возможность отмены ограничения на выдачу наличных денежных средств с использованием банкоматов досрочно (до истечения срока, на который установлено ограничение) при получении от клиента подтверждения легитимности выдачи наличных денежных средств с использованием банкоматов. Предусмотренные статьей 24.3-1 Федерального закона N 395-1 меры направлены на пресечение выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов. В случае необходимости получения денежных средств на сумму более 50 тысяч рублей в сутки клиент вправе обратиться в кредитную организацию за получением денежных средств, находящихся на его банковском счете, иным способом, например при личном посещении отделения кредитной организации, главного офиса или офисов, осуществляющих кассовое обслуживание клиентов. Банки просят разъяснить применение временного критерия и критерия суммы устанавливаемых ограничений на следующих примерах: Пример 1. У клиента пять карт, по одной из них был выявлен признак выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов, ограничение должно быть установлено: - на одну карту, по которой был реализован признак, на 50 тыс. рублей в сутки; - на все пять карт по 50 тыс. рублей на каждую карту (в этом случае клиент может снять 250 тыс. рублей в сутки); - на все пять карт клиента таким образом, чтобы он мог снять всего 50 тыс. рублей со всех своих пяти карт? Согласно статье 24.3-1 Федерального закона N 395-1 обязанности осуществлять проверку наличия признаков и ограничивать выдачу наличных денежных средств при наличии признаков установлены в отношении кредитной организации, предоставившей клиенту платежную карту. На основании вышеизложенного, а также с учетом пунктов 19 и 28 статьи 3 Федерального закона N 161-ФЗ полагаем, что ограничения и лимиты (на сумму не более 50 тысяч рублей в сутки), установленные статьей 24.3-1 Федерального закона N 395-1, распространяются одновременно на все способы снятия наличных денежных средств с использованием банкоматов, а также на все электронные средств платежа, предоставленные клиенту указанной кредитной организацией. Пример 2. В презентации ДИБ Банка России (стр. 3) приведена Схема действия такого ограничения. Согласно Схеме, ограничение на 50 тыс. охватывает первые сутки (в момент запроса на снятие наличных) полностью (с 00:00 до 00:00 следующего дня) и до момента запроса на снятие наличных и после запроса. Клиент в 08:00 снимает в банкомате 70 тыс. рублей, в 09:00 клиент получает на счет кредитные средства (один из признаков), в 10:00 делает запрос на снятие наличных в АТМ. По какому варианту действует банк: 1. отказывает клиенту в выдаче полностью, так как в этих сутках клиент уже снял более 50 тыс. рублей (а именно 70 тыс. рублей); 2. в период с 10:00 до 00:00 клиент может дополнительно снять не более 50 тыс. рублей. Учитываются ли при установке ограничения ранее снятые денежные средства в АТМ, если и снятие наличных в АТМ, и событие-признак (выдача кредита), и запрос на выдачу наличных в АТМ происходит в течение одних суток? Согласно абзацу третьему статьи 24.3-1 Федерального закона N 395-1 ограничения на выдачу наличных денежных средств с использованием банкоматов устанавливаются при наличии признаков с момента направления запроса на выдачу наличных денежных средств. Таким образом, в отношении примера 2 ограничения на выдачу наличных денежных средств с использованием банкоматов, установленные статьей 24.3-1 Федерального закона N 395-1, должны быть применены кредитной организацией c 10.00. При этом предыдущие выдачи наличных денежных средств с использованием банкоматов в течение этих же суток не учитываются |
| IV | Клиент может снимать денежные средства в разных часовых поясах в течении одного календарного дня в случае переездов. Должно ли учитываться локальное местное время места нахождения банкомата при снятии наличных или же всегда анализируется фиксированное время (например, московское)? Пример: Клиент всегда снимает денежные средства в дневное время в Красноярске, в случае перелета в Москву для него в течение календарного дня это время сдвинется и в случае снятия наличных денег в Москве по Красноярскому времени это будет уже ночь. Указанные параметры Признака 1 следует анализировать в комплексе или необходимо рассматриваться произвольное сочетание всех перечисленных параметров? Планируется ли разработка унифицированных показателей для оценки несоответствий характера, параметров и объема запросов на выдачу наличных денежных средств? Будут ли установлены единые пороговые значения для всех кредитных организаций? Как следует трактовать несоответствие местонахождения банкомата обычно совершаемым клиентом операций: - банкомат находится не в России либо в другом субъекте РФ, где клиент ранее не снимал денежные средства; - банкомат находится в другом городе того же субъекта РФ, где клиент ранее не снимал денежные средства; - в принципе любой банкомат, в котором клиент ранее никогда не снимал денежные средства? Дополнительные комментарии и предложения кредитных организаций. Признак 1 является оценочным и при его выявлении используется вероятностный подход. Формально у банков есть основания отказывать в совершении каждой второй операции. При этом, у банков имеется правовой риск возмещения средств клиенту в случае невыявления операции по Признаку 1 Банки предлагают: 1. оставить применение Признака 1 на усмотрение кредитной организации; 2. использовать перечисленные признаки соответствия в алгоритмах и правилах систем антифрода кредитных организаций с целью проведения обязательного анализа операций по снятию наличных денежных средств и реализации возможности связи с клиентом для подтверждения правомерности операции, аналогично положениям части 3.4 статьи 8 Закона N 161-ФЗ. Этот подход позволит использовать признаки, такие как время и место операции, сумма и частота операций, для выявления потенциально подозрительных транзакций без создания неэффективных ограничений для законных операций, которые предполагают блокировку или приостановку операций при превышении лимита в 50 тыс. рублей. Согласно статье 24.4 Федерального закона N 395-1 кредитная организация обязана разработать документы, которые регламентируют процедуры управления рисками и в которых должны быть определены в том числе процедуры выявления случаев и попыток выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов (пункт 6 статьи 24.4 Федерального закона N 395-1). Таким образом, в рамках процедур управления рисками на основании анализа имеющейся информации о параметрах, и (или) объемах, и (или) характере совершаемых клиентом операций кредитная организация самостоятельно определяет отклонение в параметрах (в том числе таких, как выдача денежных средств в разных часовых поясах, в разное время, место нахождения банкомата как в других регионах России, так и в другом городе) запроса на выдачу наличных денежных средств от запросов на выдачу наличных денежных средств, обычно совершаемых клиентом кредитной организации (нетипичность). Оценка несоответствие параметров (нетипичность) осуществляется кредитной организацией индивидуально по каждому клиенту, в связи с чем установление унифицированных показателей для такой оценки, а также единых пороговых значений для всех кредитных организаций невозможно |
| V | Решение для банкоматов реализуется на стороне вендоров ПО банкоматов. При этом происходит взаимодействие банкомата и платежной карты, которое процессинговый центр (ПЦ) не отслеживает - особенно, если банкомат чужой. На основании каких данных в этом случае необходимо устанавливать ограничение на сумму не более 50 тыс. рублей в сутки на 48 часов? В случае установления банком таймаута (времени направления ответа) равным или меньшим определенным правилами платежной системы и прерывания операции при его достижении, обязан ли банк ввести ограничение на выдачу наличных? В таком случае факта превышения данного параметра не будет. В случае если действия Признаков распространяются на операции по картам банка в банкоматах сторонних банков, информацией о превышения установленного правилами платежной системы времени направления ответа на запрос обладает только банк, которому принадлежит банкомат. Данная информация не передается эмитенту карты и в случае отказа в совершении такой операции банк-эмитент не будет обладать информацией о попытке совершения операции (попытка списания не будет отправлена в НСПК). В этой связи банки просят пояснить: Планируется ли организация взаимодействие с НСПК по части обязательства передачи данной информации в транзакционном сообщении? На данный момент в транзакционном сообщении передается только признак подозрительности операции с использованием NFC, а не значение таймаута, и только по операциям по внесению наличных в банкоматах. Дополнительные комментарии кредитных организаций. Требование, связанное с превышением установленного правилами платежной системы времени направления ответа на запрос (APDU) в рамках взаимодействия банкомата и платежной карты или токенизированной (цифровой) платежной карты, не может быть эффективно реализовано на стороне эмитента карты, поскольку находится в ведении банка-эквайера, владельца банкомата. Кроме того, различия в технической реализации терминальных устройств делают фиксированное значение этого критерия, указанное в соответствующем стандарте платежной системы, неэффективным для выявления подозрительных операций. В связи с повышенными рисками мошеннических действий при выдаче наличных денежных средств третьим лицам через банкоматы бесконтактным способом с использованием технологии NFC, в частности с использованием NFC Gate, приказом Банка России N ОД-1765 в качестве одного из признаков определено наличие превышения установленного правилами платежной системы времени направления ответа на запрос (APDU (application protocol data unit) - команда) в рамках взаимодействия банкомата и платежной карты или токенизированной (цифровой) платежной карты (пункт 2 приложения к указанному приказу). В соответствии с абзацем первым статьи 24.3-1 Федерального закона N 395-1 проверку на наличие признаков обязана осуществить кредитная организация, предоставившая клиенту платежную карту. Признак, установленный пунктом 2 приложения к приказу Банка России N 1765-ОД, применим для случаев, когда кредитная организация, предоставившая клиенту платежную карту, одновременно является кредитной организацией - владельцем банкомата, через который осуществляется запрос на выдачу наличных денежных средств. Вместе с тем кредитным организациям - владельцам банкоматов рекомендуется реализовать механизм проверки таймаута ответа на команду GENERATE AC на стороне банкомата в соответствии с выпущенным АО "НСПК" 06.06.2025 операционным бюллетенем #10.2025 "О повышении устойчивости инфраструктуры к атакам с использованием NFC Gate" и в случае, если время ответа превышает 240 мс, отказать в проведении такой операции и рекомендовать клиенту использовать физическую платежную карту |
| VI | Одной кредитной организацией отмечено, что у клиентов банка нет возможности снятия наличных по QR-коду, и клиент может снимать наличные в банкомате только по карте. Следует ли в данном случае считать разными способы снятия наличных в банкомате по карте с использованием контактного чипа, бесконтактного чипа, MirPay, или использование карты является одним способом снятия с точки зрения Признака 3? Дополнительные комментарии и предложения кредитных организаций. Признак 3 не является эффективным самостоятельным признаком для предотвращения осуществления неправомерных операций, проведенных без добровольного согласия клиента, приостановки действия ЭСП. Несоответствие способа направления запроса на выдачу наличных в кейсах мошенничества встречается в сочетании с рисковой регистрацией ДБО при снятии по QR, либо в сочетании со свежей токенизацией карты при снятии по токену. Остальные отказы по данному признаку будут ложными и приведут к необоснованной блокировке около 3% трафика. Кейсов мошенничества с применением биометрии не фиксировалось. В этой связи предлагается скорректировать Признак 3 и использовать его как обязательный критерий для проверки в алгоритмах и правилах для разработки методов анализа операций и выявления подозрительных транзакций в сочетании с другими признаками. Это позволит учитывать целостную картину признаков и характеристики клиентов, создавая эффективные алгоритмы для выявления неправомерных операций и минимизации ложных сработок. Полагаем, что приведенные в примере способы направления запроса на выдачу наличных денежных средств являются разными способами. При этом обращаем внимание, что кредитная организация (как указано в ответе IV) обязана разработать документы, которые регламентируют процедуры управления рисками и в которых должны быть определены в том числе процедуры выявления случаев и попыток выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов (пункт 6 статьи 24.4 Федерального закона N 395-1). Таким образом, в рамках процедур управления рисками кредитная организация самостоятельно, индивидуально по каждому клиенту определяет отклонение в способах направления запроса на выдачу наличных денежных средств от способов направления запросов на выдачу наличных денежных средств, обычно совершаемых клиентом кредитной организации, на основании анализа имеющейся информации о параметрах, и (или) объемах, и (или) характере совершаемых клиентом операций, в том числе в сочетании с другими признаками |
| VII | Требуется ли сразу после наступления события, указанного в Признаке 4, информировать клиента о введении такого ограничения или же это надо делать в случае использования клиентом банкомата для снятия наличных в течении 24 часов с момента наступления события? Согласно абзацу третьему статьи 24.3-1 Федерального закона N 395-1 кредитная организация при наличии признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов уведомляет клиента о причинах ограничения незамедлительно с момента направления запроса на выдачу наличных денежных средств. "Увеличение лимита на выдачу наличных денежных средств" - имеется ввиду только дневной лимит или изменение месячного лимита тоже попадает под этот признак? Приказ не ограничивает сумму увеличения, в то же время стоит ли реагировать на несущественное увеличение лимита, например, на 1 000 рублей? Приказ Банка России N 1765-ОД и статья 24.3-1 Федерального закона N 395-1 не содержат пороговых значений по суммам, а также видам лимитов. При этом полагаем возможным кредитным организациям в рамках процедур управления рисками самостоятельно определять высокорисковые отклонения увеличения лимита на выдачу наличных денежных средств или лимита кредитования (по кредитным картам). Вместе с тем отмечаем, что принятие на себя таких рисков не исключает ответственности кредитной организации в случае выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов. За какой период должен вестись подсчет поступлений таких переводов для признака поступления денежных средств на сумму более 200 тыс. рублей на банковский счет (вклад) физического лица с использованием сервиса быстрых платежей платежной системы Банка России с банковского счета (вклада) указанного физического лица, открытого другой кредитной организацией? За час, за сутки, другой временной интервал? Согласно пункту 4 приложения к приказу Банка России N 1765-ОД признаком в том числе является направление запроса на выдачу наличных денежных средств в течение 24 часов с момента поступления денежных средств на сумму более 200 тыс. рублей на банковский счет (вклад) физического лица с использованием сервиса быстрых платежей платежной системы Банка России с банковского счета (вклада) указанного физического лица, открытого другой кредитной организацией. Таким образом, кредитная организация учитывает информацию о переводах на сумму более 200 тыс. рублей, поступивших на банковский счет (вклад) физического лица за последние 24 часа до направления запроса на выдачу наличных денежных средств. Вместе с тем, согласно пункту 6 статьи 24.4 Федерального закона N 395-1, кредитная организация обязана разработать документы, которые регламентируют процедуры управления рисками и в которых должны быть определены в том числе процедуры выявления случаев и попыток выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов. Таким образом, в рамках процедур управления рисками на основании анализа имеющейся информации о параметрах, и (или) объемах, и (или) характере совершаемых клиентом операций кредитная организация самостоятельно определяет отклонение в параметрах запроса на выдачу наличных денежных средств от запросов на выдачу наличных денежных средств, обычно совершаемых клиентом кредитной организации (нетипичность). Дополнительные комментарии и предложения кредитных организаций. 1. Указанные признаки не являются эффективными самостоятельными признаками для блокировки неправомерных операций, проведенных без добровольного согласия клиента, приостановки действия ЭСП. Снятие наличных денежных средств в таких ситуациях является прямым следствием этих событий и приведет к большой доле ложных сработок, негатива от клиентов. Легитимных событий с таким признаком на несколько порядков больше, чем фродовых. Введение дополнительных ограничений может оказаться избыточной мерой, негативно влияющей на клиентский путь и бизнес-модель кредитных услуг. Это может привести к снижению удовлетворенности клиентов и уменьшению клиентоориентрованности услуги, особенно учитывая, что общее время охлаждения может составить до 5 суток, что является следствием введения таких ограничений. Предлагается использовать данные признаки как обязательные критерии для проверки в алгоритмах и правилах для разработки методов анализа операций и выявления подозрительных транзакций, применять и расширить на наличие в профиле операций внесения через банкоматы (помимо Ме2Ме) на клиентов, имеющих признаки дропа. Для остальных клиентов банки считают необходимым оставить мониторинг зачислений только в сочетании с другими признаками. Это позволит учитывать совокупность признаков и характеристики клиентов, создавая эффективные алгоритмы для выявления неправомерных операций и минимизации ложных сработок. 2. Ч. 9.3 ст. 7 Федерального закона от 21.12.2013 N 353-ФЗ "О потребительском кредите (займе)" (в редакции ст. 6 Федерального закона от 13.02.2025 N 9-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации") предусмотрен "период охлаждения" перед передачей заемщику денежных средств по договору потребительского кредита (займа) не ранее чем через 48 часов после подписания заемщиком индивидуальных условий договора потребительского кредита (займа) в зависимости от суммы кредита (займа). Таким образом, возможна ситуация, когда клиенту необходимо будет ожидать: 48 часов - передача денежных средств, плюс до 24 часов - мониторинг запросов на выдачу наличных после передачи денежных средств, плюс 48 часов - ограничение выдачи наличных денежных средств после выявления указанного признака. По оценке банков, требование по дополнительному охлаждению в виде лимита на снятие наличных в данных условиях неоправданно приводит к блокировке 2% трафика, тогда как в сочетании с другими признаками может быть оправдано. С целью улучшения клиентского опыта предлагается рассмотреть инициативу по сокращению указанных временных интервалов. В настоящее время Банк России не планирует сокращение предусмотренных приказом Банка России N 1765-ОД временных интервалов. Вместе с тем полагаем возможным вернуться к обсуждению предложения после оценки правоприменительной практики признаков, объемов выдачи без добровольного согласия клиента потребительских кредитов (займов), а также выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов |
| VIII | В соответствии с пунктом 7 статьи 3 Закона N 161-ФЗ под оператором услуг платежной инфраструктуры понимается операционный центр, платежный клиринговый центр и расчетный центр. В каком формате, по каким каналам будет поступать в кредитную организацию авторизационные сообщения об уровне риска осуществления операции без добровольного согласия и факторах компрометации? Направление информации об уровне риска осуществления операции без добровольного согласия клиента, о факторах риска компрометации данных электронного средства платежа осуществляется в авторизационных сообщениях, если это установлено правилами платежной системы. Так, информация в рамках платежной системы "Мир", предоставляется Системой фрод-мониторинга АО "НСПК" в соответствии со Стандартом платежной системы "Мир" "Порядок использования информации, предоставляемой системой фрод-мониторинга НСПК Участникам". Банку самому следует выбирать, какие факторы риска компрометации, присылаемые НСПК, использовать или необходимо использовать механизм ограничения при любых факторах риска? При наличии информации об уровне риска осуществления операции без добровольного согласия клиента, о факторах риска компрометации данных электронного средства платежа, направленной в авторизационных сообщениях оператором услуг платежной инфраструктуры, кредитная организация обязана ее учесть в рамках процедур управления рисками. Информация в рамках платежной системы "Мир" предоставляется Системой фрод-мониторинга АО "НСПК" в соответствии со Стандартом платежной системы "Мир" "Порядок использования информации, предоставляемой системой фрод-мониторинга НСПК Участникам". Вместе с тем кредитная организация самостоятельно на основании анализа имеющейся информации о параметрах, и (или) объемах, и (или) характере совершаемых клиентом операций определяет процедуру выявления случаев и попыток выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов (пункт 6 статьи 24.4 Федерального закона N 395-1). Таким образом, кредитная организация обязана учесть всю имеющуюся информацию, направленную в авторизационных сообщениях оператором услуг платежной инфраструктуры, при этом самостоятельно определить, какая информация свидетельствует об отклонении в параметрах запроса на выдачу наличных денежных средств от запросов на выдачу наличных денежных средств, обычно совершаемых клиентом кредитной организации (нетипичность). Дополнительные комментарии и предложения кредитных организаций. Указанные признаки не являются эффективными самостоятельными признаками для предотвращения осуществления неправомерных операций, проведенных без добровольного согласия клиента, приостановки действия ЭСП. Предлагается использовать данные признаки как обязательные критерии для проверки в алгоритмах и правилах для разработки методов анализа операций и выявления подозрительных транзакций, аналогично части 3.4 статьи 8 Закона N 161-ФЗ в сочетании с другими признаками. Это позволит учитывать совокупность признаков и характеристики клиентов, создавая эффективные алгоритмы для выявления неправомерных операций и минимизации ложных сработок |
| IX | Банки просят уточнить, в каком формате и каким способом будет поступать информация от операторов связи в кредитную организацию для оценки Признака? Правильно ли банки понимают, что для получения информации в целях оценки Признака 6 кредитные организации обязаны заключать отдельные договоры с операторами связи, владельцам мессенджеров и сайтов, иных юридических лиц? В случае отсутствия у банка договора с оператором связи может ли банк не применять признак в работе? В какие сроки предполагается определить единый порядок получения указанной информации от операторов связи, владельцев мессенджеров, владельцев сайтов в телекоммуникационной сети "Интернет" и (или) иных юридических лиц? Предполагается ли публикация перечня, включающего контактные данные операторов связи, владельцев мессенджеров, владельцев сайтов в телекоммуникационной сети "Интернет" и (или) иных юридических лиц, от которых требуется получать указанную информацию? Планируется ли Банком России, в целях реализации кредитными организациями Признака 6 проведение централизованных мероприятий для организации упрощенного взаимодействия между операторами сотовой связи, владельцами мессенджеров и сайтов и иными юридическими лицами, обладающими информацией о ведении клиентами телефонных переговоров и получении ими сообщений в мессенджерах и (или) по электронной почте и кредитными организациями в целях получения данных по нетипичной активности клиентов Банка (звонки, сообщения в мессенджерах и т.п.), смена IMSI, смена владельца номера телефона? Полагаем, что формат направления информации и способы взаимодействия операторов связи и кредитных организаций должны быть установлены в рамках договорных отношений. При этом обращаем вниманием, что законодательство Российской Федерации, нормативные акты Банка России и приказ Банка России N 1765-ОД не содержат обязанность заключать такие договоры. Кредитная организация обязана применять признаки при наличии соответствующей информации. Какой следует применять порядок учета периода "не менее 6 часов до момента" в Признаке 6? Полагаем, что признак устанавливается кредитной организацией в момент получения информации от операторов связи, владельцев мессенджеров, владельцев сайтов в телекоммуникационной сети "Интернет" и (или) иных юридических лиц и применяется в течение 6 часов с момента получения такой информации. Если запрос на выдачу наличных денежных средств поступает за пределами указанного временного интервала, ограничения, предусмотренные статьей 24.4 Федерального закона N 395-1, не могут быть установлены. Дополнительные комментарии и предложения кредитных организаций. 1. На семинаре ДИБ Банка России было озвучено, что получение информации (в т.ч. ее объема) от операторов связи осуществляется исключительно в рамках заключенных двусторонних договоров между кредитной организацией и оператором связи и не является обязательным. В этой связи возникают риски обращений клиентов (в т.ч. злоупотреблений со стороны клиентов) в части неисполнения (в полной мере) кредитной организацией данной нормы Банка России. В этой связи кредитные организации предлагают: 1.1. четко и более детально определить понятие "наличие информации", чтобы избежать отказа со стороны кредитных организаций по целенаправленному получению такой информации в целях снижения негатива со стороны клиентов; 1.2. использовать данные признаки как обязательные критерии для проверки в алгоритмах и правилах для разработки методов анализа операций и выявления подозрительных транзакций, аналогично части 3.4 статьи 8 Закона N 161-ФЗ, без введения лимита на 50 тыс. рублей. Это позволит учитывать совокупность признаков и характеристики клиентов, создавая эффективные алгоритмы для выявления неправомерных операций и минимизации ложных сработок. 2. При наличии подозрений на NFC Gate в рекомендациях Банка России (письмо Банка России до публикации признаков) указан эффективный способ защиты - запрос предъявления физической карты в картоприемник. Мониторинг регистрации ДБО эффективен для QR-операций снятия наличных, при этом мониторинг токенизации эффективен при снятии наличных по токену. В этой связи кредитные организации предлагают: 2.1. оставить использование признака для установки лимита на усмотрение банка с учетом того, что сценарий запроса физической карты реализован; 2.2. расширить признак на свежие токенизации на новом для клиента устройстве. При этом сузить для операций QR - мониторинг рисковых регистраций ДБО, NFC Gate - для NFC-операций, снятия по токенам - с мониторингом свежих токенизаций на новом устройстве; 2.3. использовать данные признаки как обязательные критерии для проверки в алгоритмах и правилах для разработки методов анализа операций и выявления подозрительных транзакций, аналогично части 3.4 статьи 8 Закона N 161-ФЗ, без введения лимита на 50 тыс. рублей. Это позволит учитывать совокупность признаков и характеристики клиентов, создавая эффективные алгоритмы для выявления неправомерных операций и минимизации ложных сработок; 2.4. четко и детально определить понятие "наличие информации", чтобы избежать отказа кредитных организаций в получении такой информации в целях снижения негатива со стороны клиентов. Полагаем возможным вернуться к обсуждению предложений после оценки правоприменительной практики признаков, объемов выдачи без добровольного согласия клиента потребительских кредитов (займов), а также выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов |
| X | Отказы должны носить одинаковый характер или могут быть разными? Отказы должны идти подряд или могут быть с успешными операциями в течение календарного дня? Полагаем, отказы могут носить разный характер, но в совокупности (не обязательно подряд) не более 5 отказов в выдаче наличных денежных средств в течение календарного дня. Дополнительные комментарии и предложения кредитных организаций. Указанные признаки не являются эффективными самостоятельными признаками для предотвращения осуществления неправомерных операций, проведенных без добровольного согласия клиента, приостановки действия ЭСП. Предлагается использовать данный признак как обязательные критерии для проверки в алгоритмах и правилах для разработки методов анализа операций и выявления подозрительных транзакций, аналогично части 3.4 статьи 8 Закона N 161-ФЗ. Это позволит учитывать совокупность признаков и характеристики клиентов, создавая эффективные алгоритмы для выявления неправомерных операций и минимизации ложных сработок. Полагаем возможным вернуться к обсуждению предложений после оценки правоприменительной практики признаков, объемов выдачи без добровольного согласия клиента потребительских кредитов (займов), а также выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов |
| XI | Дополнительные комментарии и предложения кредитных организаций. Эффективность данного признака на текущий момент не может быть достоверно оценена в связи с отсутствием необходимых данных о качестве и количестве информации, передаваемой в ГИС и получаемой из неё. В этой связи предлагается отложить введение данного признака относительно полноценного начала обмена сведениями, чтобы избежать потенциального применения массовых необоснованных ограничений. Полагаем возможным вернуться к обсуждению предложений после оценки правоприменительной практики признаков, объемов выдачи без добровольного согласия клиента потребительских кредитов (займов), а также выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов |
| XII | По информации одной кредитной организации, в ходе проведения анализа возможности исполнения данного требования от дистрибьютора Vivo Pay в Российской Федерации был получен официальный ответ, согласно которому для реализации данного механизма на банкоматах Diebold Nixdorf потребуются обновления программного обеспечения ProCash и соответствующих библиотек. Однако, учитывая завершение деятельности Diebold Nixdorf на рынке Российской Федерации с 2022 года, техническая поддержка, а также выпуск новых версий программного обеспечения для банкоматов данной марки не осуществляются. В связи с вышеизложенным, банк обращается с просьбой рассмотреть вопрос освобождения банкоматов Diebold Nixdorf от требования по настройке максимального времени ответа карты на команду GENERATE AC или другое возможное решение, ввиду невозможности технической реализации. Полагаем, что такое решение поставит в неравные условия кредитные организации, а также приведет к увеличению количества мошеннических операций через банкоматы Diebold Nixdorf |
------------------------------
1 Федеральный закон от 27.06.2011 N 161-ФЗ "О национальной платежной системе".
2 Приказ Банка России от 27.06.2024 N ОД-1027 "Об установлении признаков осуществления перевода денежных средств без добровольного согласия клиента и отмене приказа Банка России от 27 сентября 2018 года N ОД-2525".
3 Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности".
4 Приказ Банка России от 07.08.2025 N ОД-1765 "Об установлении признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов".
5 Указание Банка России от 19.08.2024 N 6828-У "О порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без добровольного согласия клиента, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента, порядке запроса и получения Банком России у них информации о переводах денежных средств, связанных с переводами денежных средств без добровольного согласия клиента, в отношении которых от федерального органа исполнительной власти в сфере внутренних дел получены сведения о совершенных противоправных действиях в соответствии с частью 8 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", а также о порядке реализации ими мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента".
6 Федеральный закон от 21.12.2013 N 353-ФЗ "О потребительском кредите (займе)".
7 Федеральный закон от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".
8 Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
9 Федеральный закон от 01.04.2025 N 41-ФЗ "О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации".
------------------------------
Приложение 2
Ответы на вопросы кредитных организаций о порядке реализации положений Указания Банка России N 7108-У1
| Номера вопросов, комментариев | Ответы Департамента информационной безопасности Банка России (далее - ДИБ) |
|---|---|
| 1 | Договоры потребительского кредита признаются кредитной организацией заключенными без добровольного согласия клиента на основании разработанного в соответствии с пунктом 2 статьи 24.4 Федерального закона "О банках и банковской деятельности" порядка реализации мероприятий по противодействию заключению договоров потребительского кредита без добровольного согласия клиента в рамках системы управления рисками, а также полученных уведомлений заемщиков - резидентов Российской Федерации о случаях заключения ими договоров потребительского кредита без добровольного согласия клиента |
| 1-3 | Установленные Указанием Банка России N 7108-У критерии оценки эффективности мероприятий по противодействию заключению договоров потребительского кредита без согласия клиента (далее - критерии оценки) предусматривают комплексный подход к данной оценке по всем направлениям противодействия операциям без добровольного согласия клиента. Обращаем внимание, что в подпунктах 1.1 и 1.2 пункта 1 Указания Банка России N 7108-У указано отсутствие именно неисполненных кредитной организацией предписаний об устранении нарушений соответствующих требований |
| 4 | 1. Отсутствие факта передачи заемщику денежных средств по договору потребительского кредита в рамках реализации мероприятий по противодействию заключению договоров потребительского кредита без добровольного согласия клиента (в том числе в связи с отказом заемщика от получения потребительского кредита) не является, по мнению ДИБ, случаем заключения договора потребительского кредита без добровольного согласия. 2. Случай заключения договора потребительского кредита без добровольного согласия клиента, по мнению ДИБ, можно отнести к операционному риску, реализованному в рамках выполнения кредитной организацией мероприятий по противодействию заключению договоров потребительского кредита без добровольного согласия клиента. 3. Классификация видов потерь от реализации события операционного риска, связанного со случаем заключения договора потребительского кредита без добровольного согласия клиента, проводится в рамках общих подходов, установленных главой 2 Положения Банка России N 716-П2. 4. Случаем заключения договора потребительского кредита без добровольного согласия клиента является любой юридический факт, подтверждающий заключение договора потребительского кредита без добровольного согласия клиента. 5. В соответствии с Указанием Банка России N 7108-У в Банк России с соответствующим ходатайством вправе обратиться кредитная организация, соответствующая всем установленным критериям оценки. При этом под неоднократными случаями заключения кредитной организацией договоров потребительского кредита без добровольного согласия клиента следует понимать два и более случая. 6. По мнению ДИБ, внесение изменений в Указание Банка России N 7108-У возможно по результатам сформированной практики применения указанного нормативного акта Банка России |
| 5 | Пункт 2 Указания Банка России N 7108-У предусматривает право кредитной организации представить соответствующее ходатайство в Банк России в случае, если она соответствует критериям оценки. Следовательно, в рамках данного пункта оценка соответствия критериям проводится кредитной организацией самостоятельно |
| 6 | Приведенная в пункте 4 Указания Банка России N 7108-У методика оценки заключения договоров потребительского кредита без добровольного согласия клиента без учета требований, установленных частью 9.3 статьи 7 Федерального закона от 21.12.2013 N 353-ФЗ "О потребительском кредите (займе)", соответствует методике, указанной в пункте 2 части третьей статьи 24.5 Федерального закона "О банках и банковской деятельности" |
| 7 | Пункт 2 Указания Банка России N 7108-У предусматривает представление кредитной организацией вместе с ходатайством информации о соответствии кредитной организации критериям оценки на протяжении периода более чем два квартала подряд, предшествующего дате представления в Банк России ходатайства. Представление иного состава данных в рамках указанного пункта не требуется |
| 8 | Пункт 5 Указания Банка России N 7108-У учитывает в том числе случай отмены Банком России принятого на основании предыдущего ходатайства решения, указанного в части третьей статьи 24.5 Федерального закона "О банках и банковской деятельности", в соответствии с частью четвертой статьи 24.5 Федерального закона "О банках и банковской деятельности". Согласно части четвертой статьи 24.5 Федерального закона "О банках и банковской деятельности" Банк России вправе отменить решение, указанное в части третьей статьи 24.5 Федерального закона "О банках и банковской деятельности", если в течение одного квартала будут выявлены неоднократные случаи заключения кредитной организацией договоров потребительского кредита без добровольного согласия клиента или проведения операций без добровольного согласия лица, вносящего наличные денежные средства, либо иные нарушения в области управления рисками при реализации кредитной организацией мероприятий по заключению договоров потребительского кредита без добровольного согласия клиента |
------------------------------
1 Указание Банка России от 27.06.2025 N 7108-У "О критериях оценки эффективности мероприятий по противодействию заключению договоров потребительского кредита без добровольного согласия клиента и о порядке представления кредитной организацией ходатайства о проведении Банком России проверки соответствия кредитной организации, обратившейся с ходатайством, критериям оценки эффективности мероприятий по противодействию заключению договоров потребительского кредита без добровольного согласия клиента".
2 Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
Обзор документа
Банк России ответил на вопросы кредитных организаций о применении признаков выдачи наличных через банкоматы без согласия клиента и критериев оценки эффективности противодействия заключению кредитных договоров без согласия клиента.
