ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННОЕ ПИСЬМО
от 9 июля 2019 г. N ИН-014-56/59
О НАПРАВЛЕНИИ
В БАНК РОССИИ ИНФОРМАЦИИ ОБ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ
ДЕНЕЖНЫХ СРЕДСТВ БЕЗ СОГЛАСИЯ КЛИЕНТОВ С ИСПОЛЬЗОВАНИЕМ
СЕРВИСА БЫСТРЫХ ПЛАТЕЖЕЙ БАНКА РОССИИ
В целях реализации требований части 6 статьи 27 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон N 161-ФЗ), устанавливающей обязанность операторов по переводу денежных средств, операторов платежных систем, операторов услуг платежной инфраструктуры направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, Банк России сообщает следующее.
В соответствии с пунктом 8 Положения Банка России от 09.01.2019 N 672-П "О требованиях к защите информации в платежной системе Банка России" (далее - Положение N 672-П), участники сервиса быстрых платежей (далее - участники СБП) обеспечивают регистрацию информации, указанной в подпункте 2.6.3 пункта 2.6 Положения Банка России от 09.06.2012 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение N 382-П) и связанной с действиями клиентов участников СБП, в целях информирования Банка России обо всех случаях и (или) попытках осуществления с использованием СБП переводов денежных средств без согласия клиентов в соответствии с пунктами 1.1, 1.3, 1.5, подпунктом 1.6.3 пункта 1.6, подпунктом 1.7.3 пункта 1.7, пунктом 1.9 главы 1 Указания Банка России от 8 октября 2018 года N 4926-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента" (далее - Указание N 4926-У).
Согласно пункту 1.2 Указания N 4926-У участники информационного обмена должны направлять в Банк России информацию о переводах денежных средств без согласия клиента с использованием технической инфраструктуры (автоматизированной системы) Банка России, а в случае возникновения технической невозможности - с использованием резервного способа взаимодействия.
На официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" размещен Стандарт Банка России СТО БР БФБО-1.5-2018 "Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации", утвержденный приказом Банка России от 14.09.2018 N ОД-2403 (далее - СТО БР БФБО-1.5-2018).
Пунктами 4.3, 4.4 блока 6.5 СТО БР БФБО-1.5-2018 определена форма (поля) представления данных, используемая участниками информационного обмена для информирования Банка России об инцидентах.
На портале ФинЦЕРТ (https://portal.fincert.cbr.ru/asoi_docs/) размещена инструкция по заполнению полей карточки инцидента для операций без согласия клиента с учетом внесенных изменений, связанных с закреплением способа реализации перевода с использованием СБП.
Внесенные изменения устанавливают следующие правила заполнения полей в соответствии со СТО БР БФБО-1.5-2018: выбор для плательщика и получателя "Способ реализации перевода" - телефон; указание номера телефона плательщика и получателя в международном формате в полях "Номер телефона"; заполнение полей "Сумма", "Валюта", "Дата и время"; внесение в описательные поля инцидента идентификатора операции СБП и маркера "СБП".
Рекомендуем завершить мероприятия по доработке порядка направления информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента, совершенных с использованием СБП, в соответствии вышеуказанными правилами заполнения полей, в течение месяца с даты размещения настоящего письма на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
До доработки порядка направления указанной выше информации с учетом внесенных изменений рекомендуем, помимо направления информации о каждом переводе денежных средств с использованием СБП, совершенном без согласия клиента, также направлять на еженедельной основе на адрес электронной почты fincert@cbr.ru электронное письмо с обобщенной информацией по ним с темой письма [Фрод СБП] и вложением в формате.csv, содержащим следующие поля: номер запроса по форме, формируемой с использованием технической инфраструктуры (автоматизированной системы), содержащей сведения об операции (операциях) без согласия клиента, совершенной (совершенных) с использованием СБП (в формате REQ-ГГГГММДД-NNN, например, REQ-20190613-01); идентификатор операции СБП.
Настоящее письмо подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
Заместитель Председателя
Д.Г.СКОБЕЛКИН