Глава 4. Порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента

4.1. Порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента включает применение полученной от Банка России информации, содержащейся в базе данных, в целях выявления операций, соответствующих признакам осуществления переводов денежных средств без добровольного согласия клиента, и выполнение мероприятий, указанных в пунктах 4.2 - 4.10 настоящего Указания.

4.2. Операторы по переводу денежных средств, являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, должны применять информацию из базы данных не позднее двух часов с момента ее предоставления Банком России с использованием технической инфраструктуры Банка России или резервного способа.

Операторы по переводу денежных средств, являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, должны применять информацию из базы данных не позднее одного часа с момента ее предоставления Банком России с использованием технической инфраструктуры Банка России или резервного способа.

4.3. Операторы по переводу денежных средств, не указанные в пункте 4.2 настоящего Указания, должны применять информацию из базы данных не позднее трех часов с момента ее предоставления Банком России с использованием технической инфраструктуры Банка России или резервного способа.

4.4. В случае получения оператором по переводу денежных средств информации из базы данных в периоды времени, когда оператором по переводу денежных средств не осуществляется обслуживание клиентов, в том числе посредством удаленного доступа с использованием прикладного программного обеспечения автоматизированных систем и приложений, операторы по переводу денежных средств должны применять информацию из базы данных не позднее сроков, указанных в пунктах 4.2 и 4.3 настоящего Указания, с момента начала осуществления оператором по переводу денежных средств обслуживания клиентов.

4.5. Операторы по переводу денежных средств при реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента:

выявляют операции по переводу денежных средств, совершенные в результате несанкционированного доступа к объектам информационной инфраструктуры;

осуществляют сбор сведений обо всех обращениях клиентов (клиента-плательщика, клиента-получателя) о случаях и (или) попытках осуществления переводов денежных средств без добровольного согласия клиента, в том числе при обращении клиентов операторов по переводу денежных средств в федеральные органы исполнительной власти в сфере внутренних дел (при получении от клиента указанных сведений);

обеспечивают прием обращений клиентов (клиента-плательщика, клиента-получателя) о случаях и (или) попытках осуществления переводов денежных средств без добровольного согласия клиента и их регистрацию;

выявляют компьютерные атаки, направленные на объекты информационной инфраструктуры операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов платежных систем и (или) их клиентов, которые могут привести к случаям и (или) попыткам осуществления переводов денежных средств без добровольного согласия клиента, и фиксируют данные о них;

рассматривают случаи и (или) попытки осуществления переводов денежных средств без добровольного согласия клиента, вызванные компьютерными атаками, направленными на объекты информационной инфраструктуры операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов платежных систем и (или) их клиентов;

осуществляют сбор технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов платежных систем и (или) их клиентов, при их наличии;

реализуют меры по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов платежных систем и (или) их клиентов;

реализуют в отношении клиента-получателя средств, в адрес которого ранее совершались операции по переводу денежных средств без добровольного согласия клиента, в случаях, предусмотренных договором с клиентом, содержащим условия указанного в части 1 статьи 9 Федерального закона N 161-ФЗ договора об использовании ЭСП, ограничения по параметрам (на сумму одной операции, общую сумму выдачи, период времени) операций по осуществлению переводов денежных средств с использованием ЭСП (переводов электронных денежных средств), а также ограничения на получение и внесение наличных денежных средств в банкоматах и (или) кассах оператора по переводу денежных средств;

приостанавливают использование клиентом (клиентом-плательщиком, клиентом-получателем) ЭСП в соответствии с частями 11.6 и 11.7 статьи 9 Федерального закона N 161-ФЗ;

реализуют процедуру применения технического протокола, полученного в соответствии с пунктом 4.9 настоящего Указания, а также реализуют в отношении клиента (клиента-плательщика, клиента-получателя) ограничения по параметрам (на сумму одной операции, общую сумму выдачи, период времени) операций по осуществлению переводов электронных денежных средств с использованием ЭСП, ограничения на получение наличных денежных средств в банкоматах и (или) кассах оператора по переводу денежных средств.

4.6. Операторы по переводу денежных средств при реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента классифицируют операции по переводу денежных средств как операции, связанные с переводами денежных средств без добровольного согласия клиента, на основании запроса Банка России, сформированного при получении сведений о противоправных действиях, посредством:

поиска информации о результатах вычисления специального кода номера документа, удостоверяющего личность плательщика - физического лица, и (или) информации о результатах вычисления специального кода страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Фонда пенсионного и социального страхования Российской Федерации плательщика - физического лица, и (или) информации об идентификационном номере налогоплательщика плательщика - физического лица (при наличии), указанной в запросе Банка России, направленном в соответствии с пунктом 2.1 настоящего Указания, и проверку ее совпадения с информацией, формируемой оператором по переводу денежных средств в рамках процедур выявления операций, соответствующих признакам осуществления переводов денежных средств без добровольного согласия клиента, предусмотренных частью 3.5 статьи 8 Федерального закона N 161-ФЗ;

выбора временного периода (по дате и времени совершения операций по переводу денежных средств), в котором могли быть совершены операции по переводу денежных средств без добровольного согласия клиента или операции, связанные с переводами денежных средств без добровольного согласия клиента, с учетом возможного отклонения фактического временного периода от временного периода, указанного в запросе Банка России, направленного в соответствии с пунктом 2.1 настоящего Указания, и проверку его совпадения с информацией о дате и времени совершения операций по переводу денежных средств, формируемой оператором по переводу денежных средств в рамках процедур выявления операций, соответствующих признакам осуществления переводов денежных средств без добровольного согласия клиента, предусмотренных частью 3.5 статьи 8 Федерального закона N 161-ФЗ;

поиска информации о сумме операции (операций) с учетом возможного отклонения фактической суммы от указанной в запросе Банка России, направленного в соответствии с пунктом 2.1 настоящего Указания, а также с учетом возможного отклонения фактических параметров, объемов и количества операций по переводу денежных средств от указанных в таком запросе Банка России, и проверку ее совпадения с информацией о сумме операции (операций), формируемой оператором по переводу денежных средств в рамках процедур выявления операций, соответствующих признакам осуществления переводов денежных средств без добровольного согласия клиента, предусмотренных частью 3.5 статьи 8 Федерального закона N 161-ФЗ.

4.7. Операторы платежных систем при реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента:

создают систему выявления и мониторинга переводов денежных средств без добровольного согласия клиента в платежной системе на основе признаков осуществления перевода денежных средств без добровольного согласия клиента;

определяют порядок реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента для участников платежной системы;

определяют признаки осуществления переводов денежных средств без добровольного согласия клиента на основании анализа выявленных операций по переводу денежных средств без добровольного согласия клиента и оценки риска совершения таких операций в рамках платежной системы;

определяют механизм анализа операций по переводу денежных средств в системе выявления и мониторинга переводов денежных средств без добровольного согласия клиента в платежной системе на основе признаков осуществления переводов денежных средств без добровольного согласия клиента, совершенных с использованием платежного приложения, при выполнении оператором платежной системы функций поставщика платежного приложения, а также процедуры мониторинга технических устройств, с использованием которых осуществляется доступ к платежному приложению, в целях оценки рисков совершения переводов денежных средств без добровольного согласия клиента и предоставления указанной информации оператору по переводу денежных средств.

4.8. Операторы услуг платежной инфраструктуры при реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента:

реализуют меры по противодействию осуществлению переводов денежных средств без добровольного согласия клиента (участника платежной системы) в соответствии с порядком, определенным оператором платежной системы на основании абзаца третьего пункта 4.7 настоящего Указания;

выявляют компьютерные атаки, направленные на объекты информационной инфраструктуры операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов платежных систем и (или) их клиентов, которые могут привести к случаям и (или) попыткам осуществления переводов денежных средств без добровольного согласия клиента;

рассматривают случаи и (или) попытки осуществления переводов денежных средств без добровольного согласия клиента, вызванные компьютерными атаками, направленными на объекты информационной инфраструктуры операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов платежных систем и (или) их клиентов;

осуществляют сбор технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов платежных систем и (или) их клиентов, при их наличии;

реализуют меры по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры операторов по переводу денежных, операторов услуг платежной инфраструктуры, операторов платежных систем средств и (или) их клиентов;

используют информацию о переводах денежных средств без добровольного согласия клиента (участника платежной системы) для выявления операций, соответствующих признакам осуществления переводов денежных средств без добровольного согласия клиента (участника платежной системы);

осуществляют анализ операций, соответствующих признакам осуществления переводов денежных средств без добровольного согласия клиента (участника платежной системы), в рамках платежной системы.

4.9. Оператор услуг платежной инфраструктуры, являющийся оператором национальной системы платежных карт, при реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента осуществляет взаимодействие с операторами по переводу денежных средств, выпустившими ЭСП, и операторами по переводу денежных средств, обслуживающими банкоматы, посредством передачи им технического протокола, содержащего информацию о наличии факторов риска компрометации данных ЭСП, если передача такой информации предусмотрена правилами платежной системы, в рамках которой осуществляется перевод денежных средств, установленными в соответствии с частью 1 статьи 20 Федерального закона N 161-ФЗ.

4.10. При выявлении информации о технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов платежных систем и (или) их клиентов, операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы платежных систем осуществляют мероприятия по противодействию осуществлению переводов денежных средств без добровольного согласия клиента в соответствии с пунктом 6.1 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" <1> (далее - национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017).

--------------------------------

<1> Утвержден и введен в действие 1 января 2018 года приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст (М., ФГУП "Стандартинформ", 2017).