ПИСЬМО ЦБ РФ от 07.12.2018 № 56-3-2/226

Вопрос: Ассоциация банков провела заседание Комитета по информационной безопасности, на котором обсуждались изменения в деятельности подразделений кибербезопасности банков в связи с вступлением в силу Федерального закона от 27.06.2018 N 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств».
По итогам заседания было принято решение о представлении в Банк России вопросов, имеющихся у членов Комитета, о порядке работы по противодействию переводам денежных средств без согласия клиента (свод вопросов прилагается).
Приложение: вопросы кредитных организаций на 8 л. в 1 экз.

Приложение

1. Распространяются ли требования Закона N 161-ФЗ на следующие виды операций:
a) совершенные без использования электронного средства платежа;
b) операции в сети Интернет с использованием банковской карты;
c) любые операции с использованием банковских карт, включая операции покупки и оплаты услуг;
d) операции с использованием любых электронных средств платежа;
e) операции снятия наличных;
f) p2p операции;
g) операции в финансовых институтах (так называемые операции «Quasi cash»)?
2. Относятся ли нормы ст. 8 Федерального закона от 27.06.2011 N 161-ФЗ «О национальной платежной системе» (далее — Закон N 161-ФЗ) в новой редакции, обязывающие банки проводить контроль переводов денежных средств на наличие признаков перевода денежных средств без согласия клиента, ко всем поступающим по системе ДБО документам, приводящим к списанию денежных средств с карт/счетов клиента, включая распоряжения по закрытию вкладов/счетов, покупки страховок и подобных документов? С какого дня начинается отсчет срока приостановления исполнения распоряжения, указанный в этой статье?
3. Относятся ли требования Закона N 161-ФЗ ко всем операциям по платежным картам (торговый эквайринг, списания на основании распоряжений по оплате, оформленных клиентами в устройствах самообслуживания, и т.п.)? В технологиях ПС нет понятия «возобновить», есть только «одобрить» и «отклонить». Допустим ли в целях исполнения требований Закона отказ в исполнении распоряжения (авторизации операции) и обязан ли банк самостоятельно инициировать новое распоряжение от имени клиента в случае отсутствия подтверждения операции в течение двух дней? Возможно ли оговорить области применения соответствующих положений в зависимости от технологических особенностей операций по переводу денежных средств (например, ограничить только операциями в каналах ДБО и т.п.), или Банк России полагается на внесение платежными системами/банками изменений в имеющиеся технологии и процессы?
4. Учитывая, что Закон N 161-ФЗ требует приостановить исполнение распоряжения, но не отказать в приеме его к исполнению, каким образом должны реализовываться требования Закона в случае, если процедура расчетов не предусматривает «заморозки» («холдирования») средств на счете клиента, а напротив, предполагает автоматическое и моментальное исполнение распоряжения клиента с немедленным списанием средств (и, соответственно, немедленное наступление безотзывности перевода) сразу после приема распоряжения к исполнению (к примеру, при формировании распоряжения в системе дистанционного банковского обслуживания)?
5. Правильно ли трактовать норму п. 9.1 ст. 9 N 161-ФЗ «В случаях выявления оператором по переводу денежных средств операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, оператор по переводу денежных средств приостанавливает использование клиентом электронного средства платежа и осуществляет в отношении уменьшения остатка электронных денежных средств плательщика действия, предусмотренные ч. 5.1 — 5.3 ст. 8 настоящего Федерального закона» как требование немедленно при выявлении признаков перевода денежных средств без согласия клиента в одном из переводов полностью заблокировать электронное средство платежа — карту и (или) ДБО? Или достаточно заблокировать возможность использования электронного средства платежа для выполнения аналогичных приостановленной операций по способу оплаты (например, интернет-эквайринг), цели платежа (например, оплата услуг) получателю и подобных критериев? Осуществляется ли приостановление использования клиентом только того ЭСП, при помощи которого составлено распоряжение в целях осуществления перевода, соответствующего признакам осуществления перевода денежных средств без согласия клиента, выявленное оператором по переводу денежных средств, или всех ЭСП, в том числе и тех, при помощи которых клиент может потенциально составить подобное распоряжение? В случае приостановления в соответствии с Законом N 161-ФЗ использования токена, формируемого к банковской карте в системах Apple Pay, Google Pay, Samsung Pay, допустимо ли сохранение у клиента возможности проведения операции с использованием самой банковской карты?
6. Закон N 161-ФЗ не определяет обязанности банков относительно распоряжения (операции) и электронного средства платежа при получении отказа клиента от распоряжения (операции). Правильно ли понимать, что распоряжение (операцию) банк должен отклонить, а в отношении электронного средства платежа банк самостоятельно устанавливает условия снятия ограничений в использовании или блокировки?
7. Сможет ли кредитная организация в договоре с клиентом предусмотреть дополнительный срок для приостановления исполнения распоряжения, если оно имеет признаки осуществления перевода денежных средств без согласия клиента, наряду со сроком, указанным в ч. 5.3 ст. 8 Закона N 161-ФЗ? Наделяется ли кредитная организация правом продлить блокировку карты на срок более двух рабочих дней при наличии признаков, указывающих, что операция совершена без согласия клиента, и в случае неполучения уведомления от клиента? Вправе ли кредитная организация продлить блокировку ЭСП на срок более двух рабочих дней, если ЭСП было заблокировано кредитной организацией по другим критериям, не указанным в критериях Банка России, но реализуемым кредитной организацией для минимизации риска несанкционированных операций или как продуктовые настройки?
8. Означает ли неполучение от клиента подтверждения факт невозможности установления контакта с клиентом, или это только информация о том, что операция совершена без его согласия? Должен ли банк пытаться ему дозвониться в течение двух дней? Обязан ли будет банк в случае претензии клиента подтверждать факт неуспешного дозвона документально? Какова позиция Банка России в этой связи в части незащищенности Законом N 161-ФЗ банка получателя средств?
9. Если клиент пытается совершить операцию, банк ее приостанавливает на основании признаков, клиент пытается совершить еще несколько операций, банк с клиентом связаться не может. Значит ли это, что через два дня банк должен провести все эти операции?
10. Правильно ли понимать, что сообщать клиенту об исполнении распоряжения/возобновлении использования клиентом электронного средства платежа после получения от него соответствующего подтверждения возобновления оператор по переводу денежных средств не обязан?
11. Как должен реагировать банк в случае, если он выявил подозрительную операцию, связался с клиентом и озвучил риски, клиент подтвердил операцию, банк незамедлительно возобновил исполнение распоряжения, а через какое-то время клиент обращается в банк с уведомлением о совершении операции без его согласия?
12. Какой именно срок вкладывается в формулировку «незамедлительно», применяемую в Законе N 161-ФЗ? Распространяется ли указанный срок на выходные и праздничные дни?
13. Если на телефоне у клиента находится вирус, который скрывает СМС (у клиента нет информации о совершении операции), увеличит ли уровень фрода проведение операции через два дня?
14. Закон N 161-ФЗ не определяет требований к форме получения от клиента подтверждения распоряжения (операции) и требований по идентификации/аутентификации клиента при получении такого подтверждения. Предполагает ли Банк России нормировать процесс получения подтверждения?
15. В соответствии с пп. «б» п. 1 ч. 5.2 ст. 8 Закона N 161-ФЗ в новой редакции: «оператор по переводу денежных средств после выполнения действий, предусмотренных ч. 5.1 ст. 8 Закона N 161-ФЗ (в ред. Федерального закона N 167-ФЗ), обязан предоставить клиенту информацию в том числе о рекомендациях по снижению рисков повторного осуществления перевода денежных средств без согласия клиента». Будут ли Банком России определены возможные критерии рекомендаций по снижению рисков повторного осуществления операций перевода денежных средств без согласия клиента?
16. Обязан ли оператор по переводу денежных средств приостанавливать использование электронного средства платежа для клиента — юридического лица после выявления/получения информации оператором по переводу денежных средств об осуществлении операции по переводу денежных средств без согласия клиента? Какие предусмотрены сроки приостановления использования клиентом — юридическим лицом электронного средства платежа?
17. Учитывая, что Закон N 161-ФЗ связывает возникновение обязанностей банка по приостановлению исполнения распоряжения с выявлением операции, соответствующей признакам осуществления перевода без согласия клиента, возникают ли указанные обязанности у банка в случае, если операция подпадает только под один признак из сформулированных Банком России?
18. На основании каких данных банку необходимо определять место совершения операции?
19. На основании каких данных банк может определить нетипичное устройство, с которого осуществляется операция по переводу денежных средств?
20. Как часто будет обновляться информация об актуальных признаках? Может ли банк блокировать платежи, которые не соответствуют этим признакам? Какие будут санкции, если платеж, соответствующий данным признакам, не будет остановлен/подтвержден клиентом?
21. Планируется ли разработка методик, позволяющая банкам-плательщикам/банкам-получателям по косвенным признакам самостоятельно распознавать, что данные средства перечисляются/поступают по переводам без согласия клиентов?
22. В соответствии с внесенными изменениями в ч. 11.3 ст. 9 Закона N 161-ФЗ:
«В случае представления в течение 5 рабочих дней со дня совершения оператором по переводу денежных средств, обслуживающим получателя средств, действий, предусмотренных частью 11.2 настоящей статьи, получателем средств документов, подтверждающих обоснованность получения переведенных денежных средств или электронных денежных средств, оператор по переводу денежных средств, обслуживающий получателя средств, обязан осуществить зачисление денежных средств на банковский счет получателя средств или увеличение остатка электронных денежных средств получателя средств».
Принимая во внимание то, что получателями денежных средств по операции, совершенной без согласия клиента (юрлица-отправителя), как правило, являются злоумышленники (дроп-фирма, компания-однодневка, ИП-дроп и т.п.), требование представления документов фактически перекладывает представление доказательной базы обоснованности на сторону возможного мошенника. При этом не рассматривается участие юрлица-потерпевшего (клиента-отправителя) в обосновании своего несогласия с совершенной операцией. Существующая практика обращения в полицию, возбуждения уголовных дел, ареста денежных средств, постановлений суда и так далее не укладывается в срок пять дней, в течение которого (исходя из положений Закона N 161-ФЗ) у потерпевшего фактически есть законное основание для возврата похищенных денежных средств. Будет ли подготовлен Банком России перечень документов, принимаемых банком в качестве доказательства обоснованности денежного перевода получателю (с требованием проведения оператором их правовой экспертизы, в том числе экспертизы на подлинность)? Каков механизм проверки подлинности представленных документов? Какова позиция Банка России в части арбитража по полученным от клиента документам с точки зрения их легитимности и достаточности?
23. Какие действия банку следует предпринять в случае невозможности однозначно установить соответствие представленных получателем документов, подтверждающих обоснованность получения денежных средств, конкретному переводу (например, в реквизите «Назначение платежа» расчетного документа не указана информация, идентифицирующая документ (номер, дата))? Вправе ли кредитная организация определять в своих внутренних документах дополнительные основания приостановления исполнения распоряжения клиента в соответствии с установленной Законом N 161-ФЗ процедурой?
24. Согласно п. 11.4 ст. 9 Закона N 161-ФЗ при непредставлении в установленный срок (пять рабочих дней со дня направления обслуживающим банком уведомления) документов, подтверждающих обоснованность получения переведенных денежных средств или электронных денежных средств, обслуживающий получателя средств банк должен осуществить возврат денежных средств не позднее двух рабочих дней после истечения пятидневного срока. В связи с этим, если документы, подтверждающие обоснованность получения переведенных денежных средств или электронных денежных средств, получены по истечении пятидневного срока, но до их возврата банку, обслуживающему плательщика средств, вправе ли банк, обслуживающий получателя средств, произвести их зачисление на счет получателя средств?
25. В Законе N 161-ФЗ отсутствует порядок действий участников расчетов (плательщика, банка плательщика, банка получателя, получателя) в ситуации, когда плательщик решил отозвать свое уведомление (предусмотренное ч. 11 ст. 9 Закона N 161-ФЗ) в течение пяти рабочих дней, указанных в ч. 11.2 ст. 9 Закона N 161-ФЗ. Может ли он это сделать? Что должны делать банк плательщика и банк получателя в таком случае? Как и в какой форме должен будет происходить документооборот в данном случае?
26. Какие форма и порядок отправки сообщения планируются Банком России для случаев уведомления банка получателя средств о приостановлении зачисления на банковский счет клиента в рамках исполнения требований ч. 11.1 — 11.5 ст. 9 Закона N 161-ФЗ, вводимых Законом N 167-ФЗ? Планируется ли отправка таких сообщений в формате УФЭБС?
27. Какие именно требования имеются в виду в следующей формулировке: «Статья 57.4 Федерального закона N 86-ФЗ. Банк России по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами»?
28. Может ли клиент — держатель платежной карты банка заранее дать согласие на исполнение всех операций по платежной карте, держателем которой он является, с целью освобождения оператора от обязанности приостанавливать исполнение распоряжений? Например, клиент активно путешествует и не желает, чтобы банк блокировал какие-либо его операции. То же самое касается клиентов — юридических лиц, обслуживаемых по системе «Клиент-банк», которые приходят в банк и пишут заявление в произвольной форме об отказе от дополнительного подтверждения операций по их счету и просят, чтобы им не звонили.
29. Обязан ли оператор по переводу денежных средств, являясь банком получателя, осуществлять мониторинг входящих переводов до зачисления денежных средств на счет получателя на предмет наличия признаков переводов, осуществленных без согласия клиента? Например, получатель перевода (клиент банка получателя) указан в реестре Банка России как подозрительный получатель. Вправе ли оператор по переводу денежных средств в таком случае приостанавливать зачисление денежных средств на счет такого получателя при условии, что от оператора по переводу денежных средств, обслуживающего плательщика, не поступило уведомление о приостановлении?
30. Оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности). Требует ли данное положение документирования во внутренних документах организации правил определения подозрительных операций? Данные правила являются информацией ограниченного доступа и не раскрываются за пределами соответствующей функции, а соответственно, должны представляться, например, в рамках проверки, регулятору.
31. Планируются ли какие-либо мероприятия для оперативного оповещения банков получателей средств по денежным переводам без согласия клиентов с учетом технологии обработки поступивших платежей в режиме онлайн, при которой поступившие денежные средства зачисляются в автоматическом режиме в течение операционного дня по мере поступления электронных документов из Банка России и клиенты могут оперативно их или снять, или перевести в другой банк? В этом случае в банк получателя средств информация о переводе средств без согласия плательщика/запрос на приостановку зачисления средств на практике будет всегда поступать с опозданием. Будут ли рекомендованы Банком России какие-либо способы приостановки зачисления средств банком получателя для указанной технологии?
32. Существующие в настоящее время процедуры проверки операций в большинстве случаев обрабатываются автоматизированно системами мониторинга и не предполагают непосредственную коммуникацию с клиентами для их подтверждения. Предполагают ли положения Закона N 161-ФЗ обязательство банка осуществлять такую коммуникацию по каждой подозрительной операции?
33. Каким образом при обмене уведомлениями, запросами на отмену и при реализации процедуры возврата денежных средств банка плательщика и банка получателя должен осуществляться бухгалтерский учет денежных средств до момента наступления возврата/зачисления получателю? Каков код возврата при возврате денежных средств? Планируется ли Банком России выделение в списке счетов бухгалтерского учета целевого счета для учета средств в банке-получателе в случае незачисления средств на счет клиента в связи с получением уведомления о приостановлении зачисления средств? На каком счете должны учитываться денежные средства в банке получателя в течение пяти дней, приостановленные для зачисления на основании уведомления банка плательщика?
34. После внесения изменений остается проблема в том, что после зачисления денежных средств на счет получателя в банке получателя эти денежные средства не могут быть возвращены. Могут ли банки, используя признаки подозрительных операций или специальные списки неблагонадежных клиентов, не зачислять денежные средства на счет получателя, а оставить их на счетах до выяснения (НВС)?
35. Денежные средства зачислены банком получателя на счет клиента, но в договоре с клиентом есть условие о праве банка списывать со счета клиента без его дополнительного распоряжения ошибочно зачисленные денежные средства. Почему Банк России считает, что при получении информации о том, что платежный документ плательщиком не составлялся (то есть деньги были зачислены в отсутствие надлежащего распоряжения плательщика — то есть ошибочно), банк получателя не может произвести такое списание (конечно, в случае если мошенник еще не успел увести деньги дальше)?
36. Что нужно считать расходами по расследованию инцидентов в соответствии с Указанием Банка России N 4753-У?
37. Каким образом изменения, вносимые Законом N 167-ФЗ, позволят бороться с дружественным фродом?
38. Необходимо ли получать через запрос в Банк России спецификацию и описание, как делать интеграцию с БД ФинЦЕРТа для обязательных подтверждений операций по реквизитам/устройствам, занесенным в БД?
39. Какие уведомления (запросы) могут направляться через раздел «Другое» через АСОИ?
40. Какой формат вложений приоритетный — JSON/XLSX:
a) формировать файлы формата JSON может только приложение «Инцидент ФинЦЕРТ»;
b) файлы формата XLSX формируются в соответствии с Временным регламентом передачи данных. К моменту вступления в силу Законом N 167-ФЗ взамен Временного регламента планируется выпуск документов;
c) файлы формата XLSX использоваться не будут. Доработка внутренних систем планируется именно в формате XLSX?
41. Вопросы по документу «Признаки осуществления перевода денежных средств без согласия клиента» N ОД-2525:
a) каким образом будет происходить обмен с базой данных;
b) когда будет доступен регламент подключения;
c) какая конкретная информация подпадает под параметры устройства;
d) какие атрибуты понимаются под обычно совершаемыми клиентом?

Ответ:
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПИСЬМО
от 7 декабря 2018 г. N 56-3-2/226

Департамент информационной безопасности Банка России рассмотрел вопросы кредитных организаций в связи с вступлением в силу Федерального закона от 27.06.2018 N 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» (далее — Федеральный закон N 167-ФЗ), направленные Ассоциацией банков России (Ассоциация «Россия»), и сообщает следующее.
В соответствии с Федеральным законом от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (далее — Федеральный закон N 86-ФЗ) Банк России не наделен полномочиями по представлению официального толкования законодательства Российской Федерации.
Вместе с тем полагаем возможным сообщить мнение Департамента информационной безопасности Банка России в отношении вопросов, относящихся к компетенции (отдельные вопросы, изложенные в обращении, относятся к компетенции иных структурных подразделений Банка России).
По вопросам N N 1, 2
Согласно части 5.1 статьи 8 Федерального закона от 27.06.2011 N 161-ФЗ «О национальной платежной системе» (далее — Федеральный закон N 161-ФЗ) оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента.
Следовательно, требования о приостановлении исполнения распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, распространяются на все переводы денежных средств.
Согласно пункту 1.1 Положения Банка России от 19.06.2012 N 383-П «О правилах осуществления перевода денежных средств» перевод денежных средств осуществляется в рамках следующих форм безналичных расчетов:
расчетов платежными поручениями;
расчетов по аккредитиву;
расчетов инкассовыми поручениями;
расчетов чеками;
расчетов в форме перевода денежных средств по требованию получателя средств (прямое дебетование);
расчетов в форме перевода электронных денежных средств.
В соответствии с частью 5.3 статьи 8 Федерального закона N 161-ФЗ при неполучении от клиента подтверждения, указанного в пункте 2 части 5.2 статьи 8 Федерального закона N 161-ФЗ, оператор по переводу денежных средств возобновляет исполнение распоряжения по истечении двух рабочих дней после дня совершения им действий, предусмотренных частью 5.1 статьи 8 Федерального закона N 161-ФЗ.
Таким образом, исчисление срока приостановления исполнения распоряжения начинается в день совершения оператором по переводу денежных средств приостановления исполнения распоряжения о совершении операции.
По вопросам N N 3, 4
С учетом части 5.1 статьи 8 Федерального закона N 161-ФЗ требования о приостановлении исполнения распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, распространяются на все переводы денежных средств, в том числе с использованием платежных карт.
Согласно позиции ряда операторов платежных систем с учетом технологии проведения операций по переводу денежных средств с использованием платежных карт под термином «Приостановление исполнения распоряжения» следует понимать отказ в авторизации операции, в то время как «Возобновление исполнения распоряжения» означает обеспечение возможности проведения по запросу клиента авторизации операции, аналогичной приостановленной по сумме, валюте, получателю и назначению, при наличии доступного остатка денежных средств на банковском счете клиента, к которому привязана платежная карта клиента, либо достаточного кредитного лимита, предоставляемого кредитной организацией — эмитентом клиенту по банковскому счету, к которому привязана платежная карта, либо при наличии у клиента доступного остатка электронных денежных средств, осуществление операций с которыми предусматривает использование платежной карты клиента.
По вопросу N 5
В соответствии с частью 9.1 статьи 9 Федерального закона N 161-ФЗ в случаях выявления оператором по переводу денежных средств операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, оператор по переводу денежных средств приостанавливает использование клиентом электронного средства платежа и осуществляет в отношении уменьшения остатка электронных денежных средств плательщика действия, предусмотренные частями 5.1 — 5.3 статьи 8 Федерального закона N 161-ФЗ.
Следовательно, оператор по переводу денежных средств приостанавливает использование клиентом электронного средства платежа, которое использовалось при проведении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента.
По вопросу N 7
Согласно части 5.1 статьи 8, части 9.1 статьи 9 Федерального закона N 161-ФЗ оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, а также приостановить использование клиентом электронного средства платежа.
В связи с этим оператор по переводу денежных средств не вправе устанавливать дополнительный срок приостановления исполнения распоряжения о совершении операции или продлевать приостановление использования клиентом электронного средства платежа.
Согласно части 5.1 статьи 8 Федерального закона N 161-ФЗ признаки осуществления перевода денежных средств без согласия клиента устанавливаются Банком России и размещаются на его официальном сайте в информационно-телекоммуникационной сети Интернет. Оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).
В связи с этим у кредитных организаций отсутствуют полномочия по установлению признаков осуществления перевода денежных средств без согласия клиента. Указанные признаки устанавливаются Банком России и обязательны для всех кредитных организаций. Вместе с тем отличные от обычных характер, параметры и объем совершаемых клиентами оператора по переводу денежных средств операций (осуществляемой клиентами деятельности) («нетипичность операции») определяются в документах, регламентирующих процедуры управления рисками, в рамках реализуемой оператором по переводу денежных средств системы управления рисками.
По вопросам N N 8, 9
Согласно позиции ряда операторов платежных систем термин «неполучение от клиента подтверждения» в рамках специфики операций с использованием платежных карт подразумевает, что клиент не отвечает на направленный банком запрос подтверждения возобновления исполнения распоряжения, направленный в соответствии с договором между клиентом и банком. Порядок направления банком запроса, а также порядок и срок направления клиентом ответа на указанный запрос устанавливаются в договоре между клиентом и банком.
При этом ситуации, в которых клиент отказывается от возобновления исполнения распоряжения либо клиент в рамках запроса подтверждения возобновления исполнения распоряжения не может пройти идентификацию в соответствии с договором между клиентом и банком (например, не может назвать кодовое слово), не относятся к термину «Неполучение от клиента подтверждения» и их следует понимать как отказ клиента от исполнения распоряжения, вследствие чего оператор по переводу денежных средств должен остановить исполнение распоряжения.
По вопросу N 10
В соответствии с частью 4 статьи 9 Федерального закона N 161-ФЗ оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом.
Дополнительное уведомление клиента не требуется. Федеральный закон N 161-ФЗ не устанавливает обязанность оператора по переводу денежных средств сообщать клиенту об исполнении распоряжения/возобновлении использования клиентом электронного средства платежа после получения от него соответствующего подтверждения.
По вопросу N 11
Оператор по переводу денежных средств выполнил действия, предусмотренные Федеральным законом N 161-ФЗ.
По вопросу N 13
Согласно пункту 2.7.2 Положения Банка России от 09.06.2012 N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее — Положение N 382-П) оператор по переводу денежных средств обеспечивает формирование для клиентов рекомендаций по защите информации от воздействия вредоносного кода.
Кроме того, в целях предотвращения ситуации, описанной в обращении, пунктом 2.10.5 Положения N 382-П установлено требование, согласно которому при осуществлении переводов денежных средств с использованием сети Интернет и (или) размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер по использованию раздельных технологий и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемых договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента.
По вопросам N N 14, 15
Согласно части 5.2 статьи 8 Федерального закона N 161-ФЗ порядок получения подтверждения возобновления исполнения распоряжения, а также порядок предоставления клиенту информации о рекомендациях по снижению рисков повторного осуществления перевода денежных средств без согласия клиента устанавливаются договором, заключенным оператором по переводу денежных средств с клиентом.
По вопросу N 16
Положения частей 5.1 — 5.3 статьи 8 Федерального закона N 161-ФЗ распространяются на операции по переводу денежных средств, соответствующие признакам осуществления перевода денежных средств без согласия клиента, независимо от того, является клиент физическим лицом или юридическим лицом.
По вопросу N 17
В соответствии с частью 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента.
Таким образом, оператор по переводу денежных средств должен совершить указанные выше действия в случае выявления операции, соответствующей хотя бы одному из признаков осуществления перевода денежных средств без согласия клиента, установленных приказом Банка России от 27.09.2018 N ОД-2525 «Об установлении признаков осуществления перевода денежных средств без согласия клиента».
По вопросам N N 18, 19
Сведения о месте осуществления операции, устройстве, с которого осуществляется операция по переводу денежных средств, операторам по переводу денежных средств необходимо определять на основании информации, определяющей параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента. К указанной информации относятся данные о:
сетевом адресе компьютера и (или) коммуникационного устройства (маршрутизатора);
международном идентификаторе абонента (индивидуальном номере абонента клиента — физического лица);
международном идентификаторе пользовательского оборудования (оконечного оборудования) клиента — физического лица;
идентификаторе банкомата, платежного терминала.
По вопросу N 20
Признаки осуществления перевода денежных средств без согласия клиента планируется дополнять и корректировать с учетом практики применения норм Федерального закона N 167-ФЗ.
Согласно части 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента.
В связи с изложенным оператор по переводу денежных средств обязан приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России. Оператор не вправе приостанавливать исполнение распоряжения о совершении операции, не соответствующей указанным признакам.
За нарушение требований Федерального закона N 167-ФЗ Банк России вправе применить меры, предусмотренные статьей 74 Федерального закона N 86-ФЗ.
Принимая во внимание, что для реализации предусмотренных Федеральным законом N 161-ФЗ требований операторам по переводу денежных средств необходимо провести комплекс организационно-технологических мероприятий, Банк России считает целесообразным воздержаться от применения мер, предусмотренных статьей 74 Федерального закона N 86-ФЗ, в части выполнения операторами по переводу денежных средств требований частей 5.1 — 5.3 статьи 8, частей 11.1 — 11.5 статьи 9, частей 4, 6 статьи 27 Федерального закона N 161-ФЗ, в течение 180 дней с даты вступления в силу Федерального закона N 167-ФЗ.
Соответствующее информационное письмо размещено на официальном сайте Банка России в сети Интернет (от 09.10.2018 N ВН-03-56-3-2/3398).
По вопросу N 21
Согласно части 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).
Таким образом, характер, параметры и объем операций, обычно совершаемых клиентом, определяются оператором по переводу денежных средств самостоятельно, исходя из своей риск-ориентированной модели.
По вопросам N N 22, 23
В соответствии с частью 11.2 статьи 9 Федерального закона N 161-ФЗ в случае получения от оператора по переводу денежных средств, обслуживающего плательщика, уведомления о приостановлении до осуществления зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств оператор по переводу денежных средств, обслуживающий получателя средств, обязан приостановить на срок до пяти рабочих дней со дня получения такого уведомления зачисление денежных средств на банковский счет получателя средств в сумме перевода денежных средств или увеличение остатка электронных денежных средств получателя средств на сумму перевода электронных денежных средств и незамедлительно уведомить получателя средств в порядке, установленном договором, заключенным с получателем средств, о приостановлении зачисления денежных средств или увеличения остатка электронных денежных средств и необходимости представления в пределах указанного срока документов, подтверждающих обоснованность получения переведенных денежных средств или электронных денежных средств.
Следовательно, оператор по переводу денежных средств и его клиент вправе в договоре определить перечень документов, подтверждающих обоснованность получения переведенных денежных средств или электронных денежных средств, а также требования, предъявляемые к ним. В этой связи издание Банком России нормативного акта Банка России, определяющего перечень документов, подтверждающих обоснованность получения переведенных денежных средств, не требуется.
Относительно определения механизма проверки подлинности и легитимности представленных документов необходимо учитывать, что Банк России не вмешивается в оперативную деятельность кредитных организаций.
Определение оператором по переводу денежных средств в своих внутренних документах дополнительных оснований приостановления исполнения распоряжения клиента, кроме установленных Федеральным законом N 167-ФЗ, недопустимо.
По вопросу N 24
Согласно части 11.4 статьи 9 Федерального закона N 161-ФЗ в случае непредставления в течение пяти рабочих дней со дня совершения оператором по переводу денежных средств, обслуживающим получателя средств, действий, предусмотренных частью 11.2 статьи 9 Федерального закона N 161-ФЗ, получателем средств документов, подтверждающих обоснованность получения переведенных денежных средств или электронных денежных средств, оператор по переводу денежных средств, обслуживающий получателя средств, обязан осуществить возврат денежных средств или электронных денежных средств оператору по переводу денежных средств, обслуживающему плательщика, не позднее двух рабочих дней после истечения указанного пятидневного срока.
Таким образом, в случае представления соответствующих документов по истечении пятидневного срока оператор по переводу денежных средств, обслуживающий получателя средств, обязан осуществить возврат денежных средств или электронных денежных средств оператору по переводу денежных средств, обслуживающему плательщика.
По вопросу N 25
Федеральным законом N 161-ФЗ не предусмотрен порядок отзыва клиентом уведомления об утрате электронного средства платежа и (или) его использования без согласия клиента.
Таким образом, в случае направления соответствующего уведомления отзыв недопустим, операторы по переводу денежных средств обязаны осуществить действия, предусмотренные частями 11.1 — 11.5 статьи 9 Федерального закона N 161-ФЗ.
По вопросу N 26
Проект нормативного акта Банка России, устанавливающий форму и порядок направления операторами по переводу денежных средств друг другу уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств, разработан и находится на согласовании в структурных подразделениях Банка России.
По вопросу N 27
Проект нормативного акта Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента, разработан и находится на согласовании в структурных подразделениях Банка России.
По вопросу N 28
Согласно части 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств при выявлении им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, обязан до осуществления списания денежных средств с банковского счета клиента на срок не более двух рабочих дней приостановить исполнение распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента.
При этом указанные положения не устанавливают исключений. Законом не предусмотрена возможность неисполнения процедуры приостановления исполнения распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, в том числе путем указания в договоре с клиентом.
Следовательно, неисполнение операторами по переводу денежных средств установленных Федеральным законом N 167-ФЗ требований недопустимо даже в случае представления клиентом заявления об отказе от дополнительного подтверждения операций по переводу денежных средств.
По вопросу N 29
Согласно положениям Федерального закона N 167-ФЗ обязанность по приостановлению исполнения распоряжений о совершении операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, возложена на операторов по переводу денежных средств, обслуживающих плательщика.
Оператор по переводу денежных средств, обслуживающий получателя, не вправе осуществлять действия, предусмотренные Федеральным законом N 167-ФЗ к исполнению оператором по переводу денежных средств, обслуживающим плательщика.
По вопросу N 30
Согласно части 5.1 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).
Таким образом, данное положение требует определения во внутренних документах, регламентирующих процедуры управления рисками, процедур выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента.
По вопросу N 31
С 27.09.2018 на платформе автоматизированной системы обработки инцидентов Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России (далее — АСОИ ФинЦЕРТ) функционирует автоматизированная система «Фид-Антифрод» (далее — АС «Фид-Антифрод»).
АС «Фид-Антифрод» предназначена для исполнения норм Федерального закона N 167-ФЗ в части создания, формирования и ведения базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента (далее — база данных) и обеспечения возможности получения операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры (далее — участники) информации из базы данных. Маршрутизация данных от участника-плательщика к участнику-получателю осуществляется автоматически.
По вопросу N 32
С учетом части 5.2 статьи 8 Федерального закона N 161-ФЗ требования по направлению оператором по переводу денежных средств запроса клиенту о подтверждении возобновления исполнения распоряжения обязательны для всех операторов по переводу денежных средств и в отношении всех операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента.
При этом с учетом позиции операторов платежных систем исполнение указанных требований реализуемо.
По вопросу N 36
Состав операционных расходов кредитных организаций определяется Положением Банка России от 22.12.2014 N 446-П «О порядке определения доходов, расходов и прочего совокупного дохода кредитных организаций».
Методика составления отчетности по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» (далее соответственно — Методика, форма) разъясняет порядок заполнения формы. В соответствии с пунктами 7.5, 10.4 Методики в соответствующих строках формы указывается сумма операционных расходов оператора по переводу денежных средств (оператора электронных денежных средств) в результате осуществления несанкционированного доступа к объектам его информационной инфраструктуры при использовании всех типов несанкционированного доступа, включая операционные расходы, связанные:
— с возмещением ущерба, понесенного клиентами оператора по переводу денежных средств (оператора электронных денежных средств);
— оспариванием клиентами оператора по переводу денежных средств (оператора электронных денежных средств) операций по переводу денежных средств (по уменьшению остатка электронных денежных средств);
— переводами и снятием денежных средств оператора по переводу денежных средств (с уменьшением остатка электронных денежных средств оператора электронных денежных средств).
Таким образом, в Методике разъяснен состав операционных расходов в результате осуществления несанкционированного доступа к объектам информационной инфраструктуры.
По вопросу N 37
В рамках проекта нормативного акта, устанавливающего форму и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных, о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, оператор по переводу денежных средств при реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента должен реализовывать в отношении клиента — получателя средств, в адрес которого ранее совершались операции по переводу денежных средств без согласия клиента, в случаях, предусмотренных договором банковского счета, ограничения по параметрам операций по осуществлению переводов денежных средств (переводов электронных денежных средств) с использованием платежных карт, а также ограничения на получение наличных денежных средств в банкоматах за одну операцию и (или) за определенный период времени.
По вопросам N N 38, 40, 41
С 30.10.2018 реализовано описание интерфейса прикладного программирования (далее — API) для отработки взаимодействия с АСОИ ФинЦЕРТ в тестовой среде (на тестовых ресурсах).
Предварительная версия API размещена на портале АСОИ ФинЦЕРТ в разделе «АСОИ ФинЦЕРТ (Документация и ПО Участника)» и доступна по ссылке в сети Интернет: https://portal.fincert.cbr.ru/Content/1034/описание-api-01.pdf.
Формат сообщений установлен в Стандарте Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации», утвержденном Приказом Банка России от 14.09.2018 N ОД-2403 (далее — Стандарт).
В связи с необходимостью оперативного предоставления информации об операциях без согласия клиента участниками информационного обмена в Банк России ФинЦЕРТ предлагает участникам информационного обмена упрощенный формат заполнения карточки инцидента (типа EXT), содержащий операции без согласия клиента, по которым помощь ФинЦЕРТ не требуется.
В целях упрощения представления данных об операциях без согласия клиента ряд полей карточки инцидента предлагается временно заполнять типовыми значениями по умолчанию (поля, используемые при заполнении, соответствуют форматам сообщений Стандарта).
Временная инструкция по заполнению карточки инцидента для операций без согласия клиента размещена на портале АСОИ ФинЦЕРТ в разделе «АСОИ ФинЦЕРТ (Документация и ПО Участника)» и доступна по ссылке в сети Интернет: https://portal.fincert.cbr.ru/Content/1046/инструкция-по-заполнению-карточки-инцидента.pdf.
Также в данном разделе опубликованы:
— инструкция по загрузке JSON-файлов по операциям без согласия клиента через личный кабинет АСОИ ФинЦЕРТ — https://portal.fincert.cbr.ru/Content/1047/инструкция-по-загрузке-json.pdf;
— шаблон предзаполнения JSON-файла инцидента https://portal.fincert.cbr.ru/Content/1048/предзаполненный-json.rar;
— описание форматов «фидов» 1.0 — https://portal.fincert.cbr.ru/Content/1037/описание-форматов-фидов-1-0.pdf.
По вопросу N 39
В рамках раздела «Другое» АСОИ ФинЦЕРТ могут направляться вопросы по эксплуатации АСОИ ФинЦЕРТ.
Вопросы N N 6, 12, 33 — 35 к компетенции Департамента информационной безопасности Банка России не относятся.

Директор
В.А.УВАРОВ
07.12.2018

 

Задать вопрос

















*Для организаций Москвы и МО