ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 8 октября 2018 г. N 4926-У
О ФОРМЕ И ПОРЯДКЕ
НАПРАВЛЕНИЯ ОПЕРАТОРАМИ ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ,
ОПЕРАТОРАМИ ПЛАТЕЖНЫХ СИСТЕМ, ОПЕРАТОРАМИ УСЛУГ ПЛАТЕЖНОЙ
ИНФРАСТРУКТУРЫ В БАНК РОССИИ ИНФОРМАЦИИ ОБО ВСЕХ СЛУЧАЯХ
И (ИЛИ) ПОПЫТКАХ ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ
БЕЗ СОГЛАСИЯ КЛИЕНТА И ПОЛУЧЕНИЯ ИМИ ОТ БАНКА РОССИИ
ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В БАЗЕ ДАННЫХ О СЛУЧАЯХ И ПОПЫТКАХ
ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ БЕЗ СОГЛАСИЯ
КЛИЕНТА, А ТАКЖЕ О ПОРЯДКЕ РЕАЛИЗАЦИИ ОПЕРАТОРАМИ
ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ, ОПЕРАТОРАМИ ПЛАТЕЖНЫХ СИСТЕМ,
ОПЕРАТОРАМИ УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ МЕРОПРИЯТИЙ
ПО ПРОТИВОДЕЙСТВИЮ ОСУЩЕСТВЛЕНИЮ ПЕРЕВОДОВ ДЕНЕЖНЫХ
СРЕДСТВ БЕЗ СОГЛАСИЯ КЛИЕНТА
Настоящее Указание на основании частей 4, 6 и 7 статьи 27 Федерального закона
от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19, ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223; 2017, N 15, ст. 2134; N 18, ст. 2665; N 30, ст. 4456; 2018, N 27, ст. 3950, ст. 3952) (далее - Федеральный закон N 161-ФЗ) устанавливает:
форму и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры (далее при совместном упоминании - участники информационного обмена) в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента (далее - информация о переводах без согласия клиента) и получения участниками информационного обмена от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента;
порядок реализации участниками информационного обмена мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.
Глава 1. Форма и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента
1.1. Участники информационного обмена должны направлять в Банк России информацию о переводах без согласия клиента в виде электронных сообщений.
Участники информационного обмена должны направлять в Банк России информацию о переводах без согласия клиента по форме первичного, промежуточного, окончательного уведомления в соответствии с пунктами 1.5 - 1.13 настоящего Указания.
Оператор по переводу денежных средств, обслуживающий получателя средств, должен направлять в Банк России информацию о переводах без согласия клиента по форме уведомления по запросу в соответствии с пунктами 1.15 и 1.16 настоящего Указания.
Оператор платежной системы должен направлять в Банк России информацию о переводах без согласия клиента по форме уведомления по запросу в соответствии с пунктами 1.17 и 1.18 настоящего Указания.
Участники информационного обмена вправе получать информацию о переводах без согласия клиента по форме сообщения о распространяемых данных в соответствии с пунктом 1.19 настоящего Указания.
1.2. Участники информационного обмена должны направлять в Банк России информацию о переводах без согласия клиента с использованием технической инфраструктуры (автоматизированной системы) Банка России.
В случае возникновения технической невозможности взаимодействия участников информационного обмена с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России участники информационного взаимодействия должны направлять в Банк России информацию о переводах без согласия клиента с использованием резервного способа взаимодействия.
Информация, направленная с использованием резервного способа взаимодействия, должна быть повторно направлена участниками информационного обмена при возобновлении технической возможности взаимодействия участников информационного обмена с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России.
Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет").
1.3. Оператор по переводу денежных средств, обслуживающий плательщика, оператор услуг платежной инфраструктуры должны направлять в Банк России информацию о переводах без согласия клиента при наступлении следующих событий:
при получении оператором по переводу денежных средств, обслуживающим плательщика, уведомлений от клиентов о случаях и (или) попытках переводов денежных средств без согласия клиента;
при выявлении оператором по переводу денежных средств, обслуживающим плательщика, операций, которые соответствуют признакам осуществления перевода денежных средств без согласия клиента, размещенным на официальном сайте Банка России в сети "Интернет" в соответствии с частью 5.1 статьи 8 Федерального закона N 161-ФЗ (далее - признаки осуществления перевода денежных средств без согласия клиента), при условии, что в течение двух рабочих дней, следующих за днем выявления им операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, от плательщика получено уведомление о случае перевода денежных средств без его согласия или подтверждение возобновления исполнения распоряжения от плательщика не поступило;
при выявлении оператором по переводу денежных средств, обслуживающим плательщика, операций по переводу денежных средств, совершенных в результате несанкционированного доступа к объектам его информационной инфраструктуры;
при получении оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, являющимся расчетным центром платежной системы, уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия, в том числе с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;
при выявлении оператором по переводу денежных средств и (или) оператором услуг платежной инфраструктуры компьютерных атак, направленных на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов, которые могут привести к случаям и (или) попыткам осуществления переводов денежных средств без согласия клиента.
1.4. Оператор по переводу денежных средств, обслуживающий плательщика, оператор услуг платежной инфраструктуры - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом
от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) (далее - Федеральный закон N 187-ФЗ), должны направить в Банк России первичное уведомление в течение трех часов с момента наступления событий, указанных в абзацах четвертом и шестом пункта 1.3 настоящего Указания, и в течение одного рабочего дня, следующего за днем наступления событий, указанных в абзацах втором, третьем и пятом пункта 1.3 настоящего Указания.
Иные операторы по переводу денежных средств, обслуживающие плательщика, операторы услуг платежной инфраструктуры должны направить в Банк России информацию о переводах без согласия клиента по форме первичного уведомления:
в случаях, указанных в абзацах четвертом и шестом пункта 1.3 настоящего Указания, - в течение 24 часов с момента наступления событий, указанных в пункте 1.3 настоящего Указания;
в случаях, указанных в абзацах втором, третьем и пятом пункта 1.3 настоящего Указания, - в течение одного рабочего дня, следующего за днем наступления событий, указанных в пункте 1.3 настоящего Указания.
1.5. Первичное уведомление должно содержать информацию:
устанавливающую операцию плательщика;
устанавливающую операцию получателя средств;
определяющую параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, при наличии информации, определяющей параметры указанных устройств.
1.6. Информация, устанавливающая операцию плательщика, должна содержать следующие данные:
о банковском идентификационном коде (далее - БИК) оператора по переводу денежных средств, обслуживающего плательщика;
о результате вычисления специального кода номера документа, удостоверяющего личность плательщика - физического лица;
о результате вычисления специального кода страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации (далее - СНИЛС) плательщика - физического лица при наличии СНИЛС;
об идентификационном номере налогоплательщика (далее - ИНН) плательщика - юридического лица, индивидуального предпринимателя или лица, занимающегося частной практикой.
1.6.1. При осуществлении или попытках осуществления переводов денежных средств с использованием платежных карт информация, устанавливающая операцию плательщика, помимо данных, указанных в абзацах втором - пятом настоящего пункта, должна содержать следующие сведения:
о номере платежной карты плательщика;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени выполнения процедуры приема к исполнению распоряжений о переводе денежных средств с удостоверением права распоряжения денежными средствами в целях перевода денежных средств.
1.6.2. При осуществлении или попытках осуществления переводов денежных средств по банковским счетам посредством зачисления денежных средств на банковские счета получателей средств без использования платежных карт информация, устанавливающая операцию плательщика, помимо данных, указанных в абзацах втором - пятом настоящего пункта, должна содержать следующие сведения:
о номере банковского счета плательщика, открытого у оператора по переводу денежных средств, обслуживающего плательщика;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени выполнения процедуры приема к исполнению распоряжений о переводе денежных средств с удостоверением права распоряжения денежными средствами в целях перевода денежных средств.
1.6.3. При осуществлении или попытках осуществления переводов денежных средств с использованием абонентского номера подвижной радиотелефонной связи в качестве идентификатора электронного средства платежа информация, устанавливающая операцию плательщика, помимо данных, указанных в абзацах втором - пятом настоящего пункта, должна содержать следующие сведения:
об абонентском номере подвижной радиотелефонной связи плательщика;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени выполнения процедуры приема к исполнению распоряжений о переводе денежных средств с удостоверением права распоряжения денежными средствами в целях перевода денежных средств.
1.6.4. При осуществлении или попытках осуществления переводов денежных средств с увеличением остатка средств клиента - абонента системы подвижной радиотелефонной связи с использованием платежной карты информация, устанавливающая операцию плательщика, помимо данных, указанных в абзацах втором - пятом настоящего пункта, должна содержать следующие сведения:
о номере платежной карты плательщика;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени выполнения процедуры приема к исполнению распоряжений о переводе денежных средств с удостоверением права распоряжения денежными средствами в целях перевода денежных средств.
1.6.5. При осуществлении или попытках осуществления переводов денежных средств за счет изменения остатка электронных денежных средств без использования платежных карт информация, устанавливающая операцию плательщика, помимо данных, указанных в абзацах втором - пятом настоящего пункта, должна содержать следующие сведения:
о номере электронного средства платежа (за исключением предоплаченных платежных карт), использованного в дистанционных системах (средствах) в целях совершения операций по переводу электронных денежных средств (далее - электронный кошелек), плательщика;
о наименовании электронного кошелька плательщика;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени выполнения процедуры приема к исполнению распоряжений о переводе денежных средств с удостоверением права распоряжения денежными средствами в целях перевода денежных средств.
1.7. Информация, устанавливающая операцию получателя средств, должна содержать следующие данные.
1.7.1. При осуществлении или попытках осуществления переводов денежных средств с использованием платежных карт:
сведения о номере платежной карты получателя средств при его наличии;
сведения о номере банковского счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств, в случае отсутствия сведений о номере платежной карты получателя средств.
1.7.2. При осуществлении или попытках осуществления переводов денежных средств по банковским счетам посредством зачисления денежных средств на банковские счета получателей средств без использования платежных карт:
о БИК оператора по переводу денежных средств, обслуживающего получателя средств, при наличии БИК;
о номере банковского счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств.
1.7.3. При осуществлении или попытках осуществления переводов денежных средств с использованием абонентского номера подвижной радиотелефонной связи в качестве идентификатора электронного средства платежа:
об абонентском номере подвижной радиотелефонной связи получателя средств;
о номере банковского счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств, в случае отсутствия сведений об абонентском номере подвижной радиотелефонной связи получателя средств;
о БИК оператора по переводу денежных средств, обслуживающего получателя средств, при наличии БИК.
1.7.4. При осуществлении или попытках осуществления переводов денежных средств с увеличением остатка средств клиента - абонента системы подвижной радиотелефонной связи с использованием платежной карты - сведения об абонентском номере подвижной радиотелефонной связи получателя средств.
1.7.5. При осуществлении или попытках осуществления переводов денежных средств за счет изменения остатка электронных денежных средств без использования платежных карт - сведения о номере и наименовании электронного кошелька получателя средств.
1.8. Информация, определяющая параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, должна содержать следующие данные:
о сетевом адресе компьютера и (или) коммуникационного устройства (маршрутизатора);
о международном идентификаторе абонента (индивидуальном номере абонента клиента - физического лица);
о международном идентификаторе пользовательского оборудования (оконечного оборудования) клиента - физического лица;
об идентификаторе банкомата, платежного терминала.
1.9. Оператор по переводу денежных средств, обслуживающий плательщика, оператор услуг платежной инфраструктуры - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом N 187-ФЗ, должны направлять в Банк России информацию о переводах без согласия клиента по форме промежуточного уведомления в течение трех часов с момента получения информации, предусмотренной абзацем вторым пункта 1.10 настоящего Указания, и в течение двух рабочих дней, следующих за днем получения информации, предусмотренной абзацами третьим и четвертым пункта 1.10 настоящего Указания.
Иные операторы по переводу денежных средств, обслуживающие плательщика, операторы услуг платежной инфраструктуры должны направлять в Банк России информацию о переводах без согласия клиента по форме промежуточного уведомления в течение двух рабочих дней, следующих за днем получения информации, предусмотренной пунктом 1.10 настоящего Указания.
1.10. Промежуточное уведомление должно содержать следующую информацию при ее наличии:
технические данные, описывающие компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов;
сведения об обращении плательщика в правоохранительные органы;
дополнительные и (или) уточняющие сведения к ранее направленным в первичном и (или) предыдущем промежуточном уведомлении.
1.11. Оператор по переводу денежных средств, обслуживающий плательщика, оператор услуг платежной инфраструктуры должны направить в Банк России информацию о переводах без согласия клиента по форме окончательного уведомления в течение трех рабочих дней, следующих за днем окончания рассмотрения случаев и (или) попыток осуществления переводов денежных средств без согласия клиента.
1.12. Окончательное уведомление должно содержать информацию, определяющую результат окончания рассмотрения участниками информационного обмена случаев и (или) попыток осуществления переводов денежных средств без согласия клиента, вызванных компьютерными атаками, направленными на объекты информационной инфраструктуры участников информационного обмена.
1.13. Информация, определяющая результат окончания рассмотрения участниками информационного обмена случаев и (или) попыток осуществления переводов денежных средств без согласия клиента, должна содержать следующие данные:
о реализации мер, предпринятых оператором по переводу денежных средств, оператором услуг платежной инфраструктуры по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов, и дальнейшему предотвращению случаев и (или) попыток осуществления переводов денежных средств без согласия клиента;
дополнительные и (или) уточняющие сведения к ранее направленным в первичном и (или) промежуточном уведомлении при их наличии.
1.13.1. Оператор по переводу денежных средств, обслуживающий плательщика, при выявлении в рамках реализуемой им системы управления рисками дополнительных и (или) уточняющих сведений к ранее направленной в Банк России информации о переводах без согласия клиента по ранее направленному уведомлению в соответствии с пунктом 1.12 настоящего Указания должен направить в Банк России информацию, содержащую дополнительные и (или) уточняющие сведения по форме окончательного уведомления в течение трех рабочих дней со дня их выявления.
1.13.2. Оператор по переводу денежных средств, обслуживающий плательщика, при выявлении в рамках реализуемой им системы управления рисками случаев необоснованного направления в Банк России информации о переводах без согласия клиента по ранее направленным уведомлениям в соответствии с пунктами 1.5, 1.10 и 1.12 настоящего Указания должен направить в Банк России мотивированное сообщение о выявлении таких случаев по форме окончательного уведомления в течение трех рабочих дней со дня их выявления.
1.14. При получении от участников информационного обмена уведомлений Банк России вправе направить с использованием технической инфраструктуры (автоматизированной системы) Банка России оператору по переводу денежных средств, обслуживающему получателя средств, запрос, содержащий следующую информацию.
1.14.1. При осуществлении или попытках осуществления переводов денежных средств с использованием платежных карт:
о номере платежной карты получателя средств при его наличии;
о номере банковского счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств, в случае отсутствия сведений о номере платежной карты получателя средств;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени выполнения процедуры приема к исполнению распоряжений о переводе денежных средств с удостоверением права распоряжения денежными средствами в целях перевода денежных средств.
1.14.2. При осуществлении или попытках осуществления переводов денежных средств по банковским счетам посредством зачисления денежных средств на банковские счета получателей средств без использования платежных карт:
о номере банковского счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени выполнения процедуры приема к исполнению распоряжений о переводе денежных средств с удостоверением права распоряжения денежными средствами в целях перевода денежных средств.
1.14.3. При осуществлении или попытках осуществления переводов денежных средств с использованием абонентского номера подвижной радиотелефонной связи в качестве идентификатора электронного средства платежа:
об абонентском номере подвижной радиотелефонной связи получателя средств;
о номере банковского счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств, в случае отсутствия сведений об абонентском номере подвижной радиотелефонной связи получателя средств;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени выполнения процедуры приема к исполнению распоряжений о переводе денежных средств с удостоверением права распоряжения денежными средствами в целях перевода денежных средств.
1.14.4. При осуществлении или попытках осуществления переводов денежных средств за счет изменения остатка электронных денежных средств без использования платежных карт:
о номере электронного кошелька получателя средств;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени выполнения процедуры приема к исполнению распоряжений о переводе денежных средств с удостоверением права распоряжения денежными средствами в целях перевода денежных средств.
1.15. Оператор по переводу денежных средств, обслуживающий получателя средств, в ответ на запрос Банка России, указанный в пункте 1.14 настоящего Указания, должен направить в Банк России следующую информацию о переводах без согласия клиента по форме уведомления по запросу.
1.15.1. При осуществлении или попытках осуществления переводов денежных средств по банковским счетам, в том числе с использованием платежных карт, на счета физических лиц, а также при совершении или попытках совершения операции по осуществлению перевода денежных средств за счет изменения остатка электронных денежных средств:
о результате вычисления специального кода номера документа, удостоверяющего личность получателя средств - физического лица;
о результате вычисления специального кода СНИЛС получателя средств - физического лица при его наличии.
1.15.2. При осуществлении или попытках осуществления переводов денежных средств по банковским счетам, в том числе с использованием платежных карт, на счета юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой:
о результате вычисления специального кода номера документа (специальных кодов номеров документов), удостоверяющего (удостоверяющих) личность лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами получателя (получателей) средств;
о результате вычисления специального кода СНИЛС лица (специальных кодов СНИЛС лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами получателя (получателей) средств, при его (их) наличии;
об ИНН получателя.
1.15.3. Информацию о возврате денежных средств оператору по переводу денежных средств, обслуживающему плательщика, и (или) плательщику по операциям, указанным в запросе Банка России.
1.16. Оператор по переводу денежных средств, обслуживающий получателя средств, должен направить в Банк России информацию, указанную в подпунктах 1.15.1 и 1.15.2 пункта 1.15 настоящего Указания, по форме уведомления по запросу в течение одного рабочего дня, следующего за днем получения запроса Банка России, информацию, указанную в подпункте 1.15.3 пункта 1.15 настоящего Указания, - в течение трех рабочих дней, следующих за днем получения запроса Банка России.
1.17. При получении от участников информационного обмена уведомлений Банк России вправе направить с использованием технической инфраструктуры (автоматизированной системы) Банка России оператору платежной системы запрос о случаях и (или) попытках осуществления переводов денежных средств без согласия клиента.
1.17.1. Банк России вправе запросить у оператора по переводу денежных средств, обслуживающего плательщика, и оператора по переводу денежных средств, обслуживающего получателя средств, мнение об отнесении операции к случаю и (или) попытке осуществления перевода без согласия клиента на основании информации о переводах денежных средств без согласия клиента, ранее направленной оператором по переводу денежных средств, обслуживающим плательщика, в Банк России в соответствии с пунктами 1.5, 1.10 и 1.12 настоящего Указания. Операторы по переводу денежных средств обязаны в сроки, установленные в запросе, представить мотивированный ответ с учетом реализуемой ими системы управления рисками по форме окончательного уведомления.
1.17.2. Взаимодействие Банка России и операторов по переводу денежных средств в целях реализации требований пунктов 1.13.1, 1.13.2, 1.17.1 настоящего Указания осуществляется в соответствии с пунктом 1.2 настоящего Указания.
1.18. Оператор платежной системы при получении запроса от Банка России должен направить в Банк России информацию о переводах без согласия клиента, указанных в запросе Банка России, в виде электронных сообщений по запросу в установленный в запросе Банка России срок.
1.19. Участники информационного обмена вправе получать по форме сообщения о распространяемых данных следующую информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента:
о получателе средств по переводам денежных средств без согласия клиента;
о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента;
технические данные, описывающие компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов.
1.20. Участники информационного обмена для получения информации из базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента должны использовать техническую инфраструктуру (автоматизированную систему) Банка России, информация о которой размещается на официальном сайте Банка России в сети "Интернет".
Глава 2. Порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента
2.1. Участники информационного обмена должны применять полученную от Банка России информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, в целях выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента.
2.2. Оператор по переводу денежных средств при реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента должен:
выявлять операции по переводу денежных средств, соответствующие признакам осуществления перевода денежных средств без согласия клиента;
выявлять операции по переводу денежных средств, совершенные в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств;
выявлять компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов, которые могут привести к случаям и (или) попыткам осуществления переводов денежных средств без согласия клиента;
осуществлять сбор технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов, при их наличии;
осуществлять сбор сведений об обращении плательщика в правоохранительные органы при их наличии;
рассматривать случаи и (или) попытки осуществления переводов денежных средств без согласия клиента, вызванные компьютерными атаками, направленные на объекты информационной инфраструктуры участников информационного обмена;
реализовывать меры по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов, и дальнейшему предотвращению случаев и (или) попыток осуществления переводов денежных средств без согласия клиента;
определять в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема совершаемых клиентами оператора по переводу денежных средств операций (осуществляемой клиентами деятельности) в соответствии с частью 5.1 статьи 8 Федерального закона N 161-ФЗ;
реализовывать в отношении клиента - получателя средств, в адрес которого ранее совершались операции по переводу денежных средств без согласия клиента, в случаях, предусмотренных договором банковского счета, ограничения по параметрам операций по осуществлению переводов денежных средств (переводов электронных денежных средств) с использованием платежных карт, а также ограничения на получение наличных денежных средств в банкоматах за одну операцию и (или) за определенный период времени;
использовать выявленную оператором по переводу денежных средств информацию о технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры оператора по переводу денежных средств и (или) его клиентов, применительно к своей инфраструктуре в целях противодействия осуществлению переводов денежных средств без согласия клиента.
2.3. Оператор платежной системы при реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента должен:
создать систему выявления и мониторинга переводов денежных средств без согласия клиента в платежной системе на основе информации о переводах без согласия клиента;
определить порядок реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента для участников платежной системы;
использовать выявленную оператором платежной системы информацию о технических данных, описывающих компьютерные атаки, направленные на объекты информационной инфраструктуры оператора по переводу денежных средств и (или) его клиентов, применительно к своей инфраструктуре в целях противодействия осуществлению переводов денежных средств без согласия клиента.
2.4. Оператор услуг платежной инфраструктуры при реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента должен:
реализовывать меры по противодействию осуществлению переводов денежных средств без согласия клиента (участника платежной системы) в соответствии с порядком, установленным оператором платежной системы;
выявлять компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов, которые могут привести к случаям и (или) попыткам осуществления переводов денежных средств без согласия клиента;
рассматривать случаи и (или) попытки осуществления переводов денежных средств без согласия клиента, вызванные компьютерными атаками, направленными на объекты информационной инфраструктуры участников информационного обмена;
реализовывать меры по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов, и дальнейшему предотвращению случаев и (или) попыток осуществления переводов денежных средств без согласия клиента;
использовать информацию о переводах без согласия клиента (участника платежной системы) для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента (участника платежной системы);
осуществлять анализ операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента (участника платежной системы), в рамках платежной системы.
2.5. При выявлении информации о технических данных, описывающих компьютерные атаки, направленные на информационную инфраструктуру участников информационного обмена и (или) их клиентов, участники информационного обмена должны осуществлять мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии
от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).
Глава 3. Заключительные положения
3.1. Настоящее Указание вступает в силу по истечении 10 дней после дня его официального опубликования <1>.
--------------------------------
<1> Официально опубликовано на сайте Банка России 27.12.2018.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА