Глава 4. Порядок реализации мероприятий операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, предусмотренный частью 4 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе"

4.1. Порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента включает применение полученной от Банка России информации, содержащейся в базе данных, в целях выявления операций, соответствующих признакам перевода денежных средств без добровольного согласия клиента, и выполнение мероприятий, указанных в настоящей главе.

4.2. Операторы по переводу денежных средств при реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента:

4.2.1. Выявляют операции по переводу денежных средств, совершенные в результате несанкционированного доступа к объектам информационной инфраструктуры.

4.2.2. Выявляют случаи и попытки:

внесения наличных денежных средств на банковские счета третьих лиц без добровольного согласия лица, вносящего наличные денежные средства;

выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов.

4.2.3. Обеспечивают прием, регистрацию и хранение обращений в соответствии со статьей 30.1 Федерального закона "О банках и банковской деятельности" (в том числе информации об их направлении по доверенности от имени заявителя), а также осуществляют сбор сведений обо всех обращениях:

клиентов (клиента-плательщика, клиента-получателя), в том числе с использованием мобильной версии приложения для приема заявлений клиентов - физических лиц, являющихся плательщиками, в соответствии с пунктом 10 Положения Банка России N 851-П, - о случаях и (или) попытках осуществления переводов денежных средств без добровольного согласия клиента, в том числе сбор сведений об обращении клиентов в органы внутренних дел (при получении от клиента указанных сведений);

клиентов-получателей или физических лиц - получателей - об отказе от зачисления денежных средств в размере суммы операции по переводу денежных средств без добровольного согласия клиента;

физических лиц - о внесении наличных денежных средств на банковские счета третьих лиц без добровольного согласия лица, вносящего наличные денежные средства;

клиентов - о случаях и попытках выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов.

4.2.4. Выявляют случаи несанкционированного доступа к объектам информационной инфраструктуры операторов по переводу денежных средств и (или) их клиентов, операторов услуг платежной инфраструктуры, операторов платежных систем, которые могут привести к случаям и (или) попыткам осуществления переводов денежных средств без добровольного согласия клиента, и фиксируют данные о них.

4.2.5. Рассматривают случаи и (или) попытки осуществления переводов денежных средств без добровольного согласия клиента, вызванные несанкционированным доступом к объектам информационной инфраструктуры операторов по переводу денежных средств и (или) их клиентов, операторов услуг платежной инфраструктуры, операторов платежных систем, и осуществляют их регистрацию.

4.2.6. Осуществляют сбор технических данных (при наличии технической возможности), описывающих случаи несанкционированного доступа к объектам информационной инфраструктуры операторов по переводу денежных средств и (или) их клиентов, операторов услуг платежной инфраструктуры, операторов платежных систем.

4.2.7. Реализуют меры по выявлению и устранению причин и последствий несанкционированного доступа к объектам информационной инфраструктуры операторов по переводу денежных средств и (или) их клиентов, операторов услуг платежной инфраструктуры, операторов платежных систем.

4.2.8. Реализуют в отношении клиента, сведения о котором (в том числе о его электронном средстве платежа) находятся в базе данных, ограничения, установленные:

частью шестнадцатой статьи 30 Федерального закона "О банках и банковской деятельности";

договором об использовании электронного средства платежа, заключенным с клиентом в соответствии с частью 1 статьи 9 Федерального закона N 161-ФЗ;

частями 11.6 и 11.7 статьи 9 Федерального закона N 161-ФЗ (в том числе ограничение в предоставлении доступа к сервису дистанционного банковского обслуживания при смене абонентского номера подвижной радиотелефонной связи таким клиентом после направления информации в базу данных).

Ограничения, указанные в абзацах втором и четвертом настоящего подпункта, устанавливаются на период нахождения сведений, относящихся к такому клиенту и (или) его электронному средству платежа, в базе данных.

4.2.9. Реализуют процедуру применения технического протокола (авторизационных и (или) электронных сообщений), полученного в соответствии с пунктом 4.6 настоящего Указания, в том числе в целях, предусмотренных пунктом 4 части 3.5 статьи 8 Федерального закона N 161-ФЗ.

4.2.10. Осуществляют взаимодействие с клиентом в соответствии с подпунктом 4.8.2 пункта 4.8 настоящего Указания при получении обращения физического лица о необоснованности включения сведений о нем в базу данных, а также совершают иные действия, установленные пунктом 4.8 настоящего Указания.

4.3. Операторы по переводу денежных средств при реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента осуществляют поиск операции по переводу денежных средств как операции по переводу денежных средств без добровольного согласия клиента на основании запроса Банка России, сформированного при получении информации о переводах денежных средств без добровольного согласия клиента, в отношении которых от федерального органа исполнительной власти в сфере внутренних дел в соответствии с частью 8 статьи 27 Федерального закона N 161-ФЗ получены сведения о противоправных действиях, и направленного в соответствии с пунктом 2.5 настоящего Указания, посредством:

поиска информации о результатах вычисления специального кода номера документа, удостоверяющего личность плательщика - физического лица, и (или) информации о результатах вычисления специального кода страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Фонда пенсионного и социального страхования Российской Федерации (далее - СНИЛС) плательщика - физического лица, и (или) информации об идентификационном номере налогоплательщика (далее - ИНН) плательщика - физического лица (при наличии), а при отсутствии совпадения информации, направленной Банком России, с информацией, имеющейся у оператора по переводу денежных средств, - поиска дополнительно информации о реквизитах электронного средства платежа или номера банковского счета плательщика и (или) об абонентском номере подвижной радиотелефонной связи, указанной в запросе Банка России, и проверки ее совпадения с информацией, формируемой оператором по переводу денежных средств в рамках процедур выявления операций, соответствующих признакам перевода денежных средств без добровольного согласия клиента;

выбора временного периода (по дате и времени совершения операций по переводу денежных средств), в котором могли быть совершены операции по переводу денежных средств без добровольного согласия клиента с учетом возможного отклонения фактического временного периода от временного периода, указанного в запросе Банка России, и проверки его совпадения с информацией о дате и времени совершения операций по переводу денежных средств, формируемой оператором по переводу денежных средств в рамках процедур выявления операций, соответствующих признакам перевода денежных средств без добровольного согласия клиента. При отсутствии информации о сумме операции по переводу денежных средств без добровольного согласия клиента по состоянию на дату или диапазон дат, указанные в запросе Банка России, диапазон поиска расширяется на три календарных дня до и после даты (границ диапазона дат), указанной (указанного) в запросе Банка России;

поиска информации о сумме операции (операций) с учетом возможного отклонения фактической суммы от указанной в запросе Банка России, а также с учетом возможного отклонения фактических параметров, объемов и количества операций по переводу денежных средств от указанных в запросе Банка России, и проверки ее совпадения с информацией о сумме операции (операций), формируемой оператором по переводу денежных средств в рамках процедур выявления операций, соответствующих признакам перевода денежных средств без добровольного согласия клиента.

Операторы по переводу денежных средств осуществляют поиск информации об операциях по переводу денежных средств без добровольного согласия клиента среди операций по переводу денежных средств, совершенных в пользу физических лиц в период шести месяцев, предшествующих дню направления запроса Банка России, при условии указания в запросе Банка России диапазона дат совершения операции по переводу денежных средств без добровольного согласия клиента, не превышающего 14 календарных дней.

При совпадении информации об операции по переводу денежных средств с параметрами, указанными в запросе Банка России, операторы по переводу денежных средств запрашивают у клиента и получают от клиента подтверждение (в том числе с использованием мобильной версии приложения для приема заявлений клиентов - физических лиц в соответствии с пунктом 10 Положения Банка России N 851-П) совершения операции по переводу денежных средств без добровольного согласия клиента для целей направления такой информации в Банк России в соответствии с пунктом 2.6 настоящего Указания.

4.4. Операторы платежных систем при реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента:

создают систему выявления и мониторинга переводов денежных средств без добровольного согласия клиента в платежной системе на основе признаков перевода денежных средств без добровольного согласия клиента;

определяют для участников платежной системы порядок реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента;

определяют признаки перевода денежных средств без добровольного согласия клиента на основании анализа операций по переводу денежных средств без добровольного согласия клиента и оценки риска совершения таких операций в рамках платежной системы;

определяют на основе признаков перевода денежных средств без добровольного согласия клиента механизм анализа операций по переводу денежных средств в системе выявления и мониторинга переводов денежных средств без добровольного согласия клиента в платежной системе, совершенных с использованием платежного приложения, при выполнении оператором платежной системы функций поставщика платежного приложения, а также процедуры мониторинга технических устройств, с использованием которых осуществляется доступ к платежному приложению, в целях оценки рисков совершения переводов денежных средств без добровольного согласия клиента и предоставления указанной информации оператору по переводу денежных средств.

4.5. Операторы услуг платежной инфраструктуры при реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента:

реализуют меры по противодействию осуществлению переводов денежных средств без добровольного согласия клиента (участника платежной системы) в соответствии с порядком, определенным оператором платежной системы на основании абзаца третьего пункта 4.4 настоящего Указания;

выявляют случаи несанкционированного доступа к объектам информационной инфраструктуры операторов по переводу денежных средств и (или) их клиентов, операторов услуг платежной инфраструктуры, операторов платежных систем, которые могут привести к случаям и (или) попыткам осуществления переводов денежных средств без добровольного согласия клиента;

рассматривают случаи и (или) попытки осуществления переводов денежных средств без добровольного согласия клиента, вызванные несанкционированным доступом к объектам информационной инфраструктуры операторов по переводу денежных средств и (или) их клиентов, операторов услуг платежной инфраструктуры, операторов платежных систем;

осуществляют сбор технических данных (при наличии технической возможности), описывающих случаи несанкционированного доступа к объектам информационной инфраструктуры операторов по переводу денежных средств и (или) их клиентов, операторов услуг платежной инфраструктуры, операторов платежных систем;

реализуют меры по выявлению и устранению причин и последствий несанкционированного доступа к объектам информационной инфраструктуры операторов по переводу денежных и (или) их клиентов, операторов услуг платежной инфраструктуры, операторов платежных систем;

используют информацию о переводах денежных средств без добровольного согласия клиента (участника платежной системы) для выявления операций, соответствующих признакам перевода денежных средств без добровольного согласия клиента (участника платежной системы);

осуществляют анализ операций, соответствующих признакам перевода денежных средств без добровольного согласия клиента (участника платежной системы), в рамках платежной системы.

4.6. Оператор услуг платежной инфраструктуры, являющийся оператором национальной системы платежных карт, операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга с целью реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента осуществляют передачу информации операторам по переводу денежных средств посредством передачи им технического протокола (авторизационных и (или) электронных сообщений) в соответствии с правилами платежной системы:

об уровне риска осуществления операции по переводу денежных средств без добровольного согласия клиента;

о наличии факторов риска компрометации данных ЭСП (в том числе о платежных картах, токенизированных (цифровых) платежных картах (включая номер платежной карты и количество дней с момента преобразования данных (токенизации) платежной карты), а также об иных ЭСП, выпущенных в электронном виде).

4.7. При выявлении информации о технических данных, описывающих случаи несанкционированного доступа к объектам информационной инфраструктуры операторов по переводу денежных средств и (или) их клиентов, операторов услуг платежной инфраструктуры, операторов платежных систем, операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы платежных систем осуществляют мероприятия по противодействию осуществлению переводов денежных средств без добровольного согласия клиента в соответствии с пунктом 6.1 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" <2> (далее - национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017).

--------------------------------

<2> Утвержден и введен в действие 1 января 2018 года приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст (М.: ФГУП "Стандартинформ", 2017).

4.8. Операторы по переводу денежных средств, обслуживающие плательщика средств, при получении обращения физического лица о необоснованности включения сведений о нем в базу данных обязаны:

4.8.1. Провести проверку осуществления возврата суммы операции по переводу денежных средств, указанной в обращении, клиенту-плательщику:

если по операции, указанной в обращении, возврат денежных средств клиенту-плательщику не осуществлялся, операторы по переводу денежных средств, обслуживающие плательщика, осуществляют действия, установленные подпунктом 4.8.2 настоящего пункта;

если по операции, указанной в обращении, был осуществлен возврат денежных средств клиенту-плательщику, операторы по переводу денежных средств, обслуживающие плательщика, в соответствии с пунктом 1.11 настоящего Указания направляют в Банк России информацию об исключении из базы данных информации, ранее направленной в Банк России, в отношении такой операции с указанием сведений о возврате плательщику суммы денежных средств по переводу денежных средств без добровольного согласия клиента, о реквизитах перевода денежных средств без добровольного согласия клиента и об операции по возврату денежных средств по такой операции.

4.8.2. В случае если возврат денежных средств не осуществлялся, запросить у клиента-плательщика подтверждение (в том числе с использованием мобильной версии приложения для приема заявлений клиентов - физических лиц в соответствии с пунктом 10 Положения Банка России N 851-П) отнесения перевода денежных средств (его попытки) к переводам денежных средств без добровольного согласия клиента (их попыткам).

Операторы по переводу денежных средств, обслуживающие плательщика:

в случае, если клиентом-плательщиком подтвержден перевод денежных средств без добровольного согласия клиента (подтверждена его попытка), направляют такую информацию физическому лицу, направившему обращение, способом, указанным в обращении;

в случае, если клиентом-плательщиком не подтвержден перевод денежных средств без добровольного согласия клиента (не подтверждена его попытка), направляют в Банк России информацию в соответствии с абзацем четвертым пункта 1.11 настоящего Указания, а также информируют физическое лицо, направившее обращение, о принятом решении способом, указанным в обращении.

В случае неполучения от клиента-плательщика сообщения о подтверждении (неподтверждении) перевода денежных средств без добровольного согласия клиента (его попытки) и выявления в рамках реализуемой системы управления рисками в соответствии с частью 3.5 статьи 8 Федерального закона N 161-ФЗ необоснованного направления информации в Банк России оператор по переводу денежных средств, обслуживающий клиента-плательщика, направляет в Банк России информацию в соответствии с абзацем четвертым пункта 1.11 настоящего Указания, а также информирует физическое лицо, направившее обращение, о принятом решении способом, указанным в обращении.

При поступлении повторного обращения физического лица о необоснованности включения сведений о нем в базу данных, не содержащего новых обстоятельств или сведений, указанных в первоначальном обращении такого физического лица, операторы по переводу денежных средств, обслуживающие плательщика, вправе не запрашивать у клиента-плательщика подтверждение отнесения перевода денежных средств (его попытки) к переводам денежных средств без добровольного согласия клиента (их попыткам), а также информируют физическое лицо, направившее обращение, способом, указанном в обращении, о том, что обращение не содержит новых обстоятельств или сведений по сравнению с указанными в первоначальном обращении.

4.9. Операторы по переводу денежных средств, являющиеся посредниками в переводе денежных средств, для реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента обязаны направлять информацию о получателе средств и об операторе по переводу денежных средств, обслуживающем получателя средств, оператору по переводу денежных средств, обслуживающему плательщика, если передача такой информации предусмотрена правилами платежной системы.

4.10. Операторы по переводу денежных средств, привлекающие платежных агрегаторов, признаваемых банковскими платежными агентами, для реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента обязаны направлять информацию о конечном получателе средств и об операторе по переводу денежных средств, обслуживающем конечного получателя средств, оператору по переводу денежных средств, обслуживающему плательщика (при этом конечным получателем средств не может быть платежный агрегатор, признаваемый банковским платежным агентом, привлеченный оператором по переводу денежных средств), если передача такой информации предусмотрена правилами платежной системы.