Глава 2. Порядок реализации операторами финансовых платформ мероприятий по выявлению и противодействию осуществлению операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы

2.1. Оператор финансовой платформы должен создать систему выявления и мониторинга случаев и (или) попыток совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы в рамках реализуемой им системы управления рисками, в том числе на основании информации, полученной из базы данных.

2.2. Оператор финансовой платформы должен выявлять случаи и (или) попытки совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы, в том числе совершенные в результате несанкционированного доступа к объектам информационной инфраструктуры оператора финансовой платформы.

2.3. При наличии подозрений о совершении операции по списанию денежных средств потребителя финансовых услуг со специального счета без волеизъявления потребителя финансовых услуг оператор финансовой платформы должен получить дополнительное подтверждение от потребителя финансовых услуг.

2.4. Оператор финансовой платформы на основании договора, заключенного между ним и кредитной организацией, в которой обслуживается специальный счет оператора финансовой платформы, вправе привлечь кредитную организацию для выявления случаев и (или) попыток совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.5. Оператор финансовой платформы должен применять полученную от Банка России информацию, содержащуюся в базе данных, в целях выявления случаев и (или) попыток совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.6. Оператор финансовой платформы должен выявлять компьютерные атаки, направленные на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, которые могут привести к случаям и (или) попыткам осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.7. Оператор финансовой платформы должен осуществлять сбор технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы (при их наличии).

2.8. Оператор финансовой платформы должен в порядке, установленном им во внутренних документах, вести учет фактов обращений участников финансовой платформы в правоохранительные органы в связи со случаями и (или) попытками совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы при поступлении от участников финансовой платформы информации о таких обращениях.

2.9. Оператор финансовой платформы должен реализовывать меры по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры оператора финансовой платформы и (или) участников финансовой платформы, и дальнейшему предотвращению случаев и (или) попыток осуществления операций по финансовым сделкам без волеизъявления участников финансовой платформы.

2.10. Оператор финансовой платформы должен реализовать условия для направления участниками финансовой платформы уведомлений о случаях и (или) попытках совершения операций по финансовым сделкам без волеизъявления участников финансовой платформы, а также обеспечить учет, регистрацию и хранение указанных уведомлений на срок не менее пяти лет с даты их поступления.

2.11. При выявлении (получении) информации о технических данных, описывающих компьютерные атаки, направленные на информационную инфраструктуру оператора финансовой платформы и (или) участников финансовой платформы, оператор финансовой платформы должен осуществлять мероприятия по противодействию осуществлению операций по финансовым сделкам без волеизъявления участников финансовой платформы в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017).

2.12. Применение оператором финансовой платформы мер защиты информации, а также ограничений по параметрам операций по финансовым сделкам, устанавливаемых на основании заявления участника финансовой платформы, переданного способом, определенным в договоре оператора финансовой платформы с участником финансовой платформы, должно обеспечивать для показателя, характеризующего уровень финансовых сделок без волеизъявления участников финансовой платформы, на ежеквартальной основе значение не более 0,005 процента.

Значение показателя, характеризующего уровень финансовых сделок без волеизъявления участников финансовой платформы, должно рассчитываться как отношение суммы денежных средств, в отношении которых от участников финансовой платформы получены уведомления об осуществлении операций по финансовым сделкам без волеизъявления участников финансовой платформы, повлекших списание денежных средств со специального счета без их волеизъявления, за оцениваемый квартал (за исключением случаев, предусмотренных законодательством Российской Федерации) к общей сумме денежных средств по финансовым сделкам.