30 мая 2017 года депутатами
Аксаковым А.Г. и Емельяновым М.В. внесен на рассмотрение в Государственную Думу
в качестве законодательной инициативы проект федерального закона «О внесении
изменений в отдельные законодательные акты Российской Федерации (в части
противодействия хищению денежных средств)».
05.06.2018 законопроект принят в третьем чтении. Ниже приведен его обзор.
Изменения в Федеральный закон № 161-ФЗ «О национальной платежной системе»
Изменения статей 8 "Распоряжение
клиента, порядок его приема к исполнению и исполнения" и 9 "Порядок
использования электронных средств платежа".
В случае обнаружения банком признаков несанкционированного перевода денежных средств (фрод), он обязан:
- на срок не более 2-х рабочих дней приостановить исполнение платежа;
- заблокировать клиентское электронное средство платежа (ЭСП);
- проинформировать клиента о блокировке;
- дать рекомендации по снижению риска возникновения аналогичных ситуаций;
- незамедлительно запросить у клиента подтверждение для возобновления проведения платежа.
Признаки фрода устанавливаются ЦБ и публикуются на сайте. Дополнительно признаки фрода устанавливаются банком в рамках системы управления рисками.
Подробно описан
порядок действий банков в случае получения уведомления от клиента о
несанкционированном доступе к ЭСП:
- Банк плательщика предпринимает действия по приостановлению платежа, обратившись в банк получателя по форме и в порядке, установленном ЦБ.
- Банк получателя при получении уведомления в случае, если зачисление средств на счет получателя не произошло:
- Приостанавливает зачисление средств на счет получателя на срок до 5 рабочих дней.
- Незамедлительно уведомляет получателя о приостановке и запрашивает от него подтверждающие документы.
- В случае предоставления получателем подтверждающих документов - возобновляет платеж.
- В случае непредоставления в течение 5 рабочих дней - возвращает средства в банк плательщика для возврата плательщику.
- Банк получателя при получении уведомления в случае, если зачисление средств на счет получателя уже произошло уведомляет об этом банк плательщика по форме и в порядке, установленном ЦБ.
- Банки не несут ответственности перед клиентом в случае надлежащего исполнения установленных обязанностей по приостановлению и возврату платежа.
Комментарий автора: Изменения для защиты клиентов полезные - дропперам станет сложнее заниматься их незаконной деятельностью. А вот в ситуации, когда был взломан сам банк, не помогут.
Изменения в статью 27 "Обеспечение
защиты информации в платежной системе"
Устанавливается обязанность
банков по реализации установленных ЦБ мер по противодействию
несанкционированным переводам.
ЦБ ведет базу данных о попытках фрода. Устанавливается обязанность операторов отправлять в ЦБ информацию о попытках фрода и право операторов получать у ЦБ собранную им информацию из базы.
Такой обмен информацией между ЦБ и Операторами не является нарушением банковской тайны.
Комментарий автора: Раньше банки обменивались с FinCERT по собственной инициативе, а теперь будут обязаны предоставлять информацию о фроде в ЦБ.
Также вносятся изменения:
- В статью 26 Федерального закона «О банках и банковской деятельности» - об обмене
информацией между ЦБ и банками в случаях, предусмотренных в 161-ФЗ.
- В Федеральный закон «О Центральном банке Российской Федерации» - Центробанку предоставляется право устанавливать по согласованию с ФСБ и ФСТЭК обязательные требования по защите информации для кредитных и некредитных финансовых организаций (участники рынка ценных бумаг, инвестиционные и страховые компании, организаторы торгов, НПФ, МФО, ломбардов и т.п.).
ФЗ вступает в силу по истечении 90 дней после его официального опубликования.
Комментарий автора:
В свете изменений банкам нужно:
В свете изменений банкам нужно:
- оценить риски несанкционированных переводов и разработать свои критерии определения фрода;
- внедрить механизмы для обнаружения и блокировки фродовых платежей на основании критериев ЦБ и собственных критериев;
- внести изменения в договоры об использовании электронного средства платежа (клиент-банк, мобильный банкинг, пластиковые карты и т.п.) насчет блокировок при обнаружении фрода и обязанностей по возврату средств.
Анализ
законопроекта в первоначальной редакции при внесении в Госдуму от Алексея Лукацкого.
Делитесь вопросами, комментариями и собственными соображениями!
Алгоритм действий банка в случае инцидентов в ДБО согласно
закона РФ от 27 июня 2018 №167-ФЗ от Валерия Естехина.
Обновление от 24.09.2018
По итогам выступления Андрея Выборнова на конференции "Информационная безопасность финансовой сферы" 20.09.2018:
- До конца сентября ЦБ на своем сайте опубликует (уже опубликовал) признаки отнесения платежа к подозрительным. Фактически эти признаки - наличие получателя в качестве дропперов.
- Эти признаки будут утверждаться внутренним актом Банка России, а не НПА. Для оперативности.
- Скоро выйдет (уже вышли 4926-У и 5039-У) нормативный документ ЦБ о порядке направления информации в Банк России о попытках фрода.
Выстраивается цепочка по обмену информацией о фроде:
- В ФЗ установлена обязанность банков по направлению в ЦБ информации о фроде, а ЦБ - раздавать такую информацию.
- Порядок направления информации в ЦБ установлен в 4926-У, взаимодействие между банком плательщика и получателя - в 5039-У.
- Технические детали обмена указаны в новом стандарте СТО БР ИБФО-1.5-2018, который уже прошел ТК122 и акцептован ЦБ, сейчас находится на согласовании в ФСБ.
Обновление от 28.09.2018
ЦБ опубликовал Признаки осуществления перевода денежных средств без согласия клиента:
1. Получатель платежа находится в базе дропперов
2. Для операции используется скомпрометированное устройство
3. Несовпадение характера и параметров операций типичным для клиента
Обновление от 15.10.2018
ЦБ откладывает меры воздействия на банки из-за невыполнения требований 167-ФЗ по противодействию хищениям и уведомлению ЦБ на 180 дней (до 25.03.2019).
Обновление от 15.11.2018
ЦБ разослал по банкам первые фиды с базами подозрительных получателей и скомпрометированных устройств. Фиды получают только банки в рамках взаимодействия в FinCERT ЦБ.
Обновление от 26.03.2019
26 марта 2019 года истек срок, на который Банк России отложил (инф. письмо ЦБ от 09.10.2018 № ВН-03-56-3-2/3398) меры воздействия к банкам из-за невыполнения т.н. «Закона об антифроде».
Полезные ветки на Банкире: Обновление от 24.09.2018
По итогам выступления Андрея Выборнова на конференции "Информационная безопасность финансовой сферы" 20.09.2018:
- До конца сентября ЦБ на своем сайте опубликует (уже опубликовал) признаки отнесения платежа к подозрительным. Фактически эти признаки - наличие получателя в качестве дропперов.
- Эти признаки будут утверждаться внутренним актом Банка России, а не НПА. Для оперативности.
- Скоро выйдет (уже вышли 4926-У и 5039-У) нормативный документ ЦБ о порядке направления информации в Банк России о попытках фрода.
Выстраивается цепочка по обмену информацией о фроде:
- В ФЗ установлена обязанность банков по направлению в ЦБ информации о фроде, а ЦБ - раздавать такую информацию.
- Порядок направления информации в ЦБ установлен в 4926-У, взаимодействие между банком плательщика и получателя - в 5039-У.
- Технические детали обмена указаны в новом стандарте СТО БР ИБФО-1.5-2018, который уже прошел ТК122 и акцептован ЦБ, сейчас находится на согласовании в ФСБ.
Обновление от 28.09.2018
ЦБ опубликовал Признаки осуществления перевода денежных средств без согласия клиента:
1. Получатель платежа находится в базе дропперов
2. Для операции используется скомпрометированное устройство
3. Несовпадение характера и параметров операций типичным для клиента
Обновление от 15.10.2018
ЦБ откладывает меры воздействия на банки из-за невыполнения требований 167-ФЗ по противодействию хищениям и уведомлению ЦБ на 180 дней (до 25.03.2019).
Обновление от 15.11.2018
ЦБ разослал по банкам первые фиды с базами подозрительных получателей и скомпрометированных устройств. Фиды получают только банки в рамках взаимодействия в FinCERT ЦБ.
Обновление от 26.03.2019
26 марта 2019 года истек срок, на который Банк России отложил (инф. письмо ЦБ от 09.10.2018 № ВН-03-56-3-2/3398) меры воздействия к банкам из-за невыполнения т.н. «Закона об антифроде».
на сегодняшний день в банках должны быть реализованы:
- Внедрена система антифрода с возможностью загрузки фидов, полученных от ФинЦЕРТ (приказ ЦБ от 27.09.2018 № ОД-2525);
- Определены характер и параметры операций, не типичные для клиента.
- Реализованы проверки в системе антифрода по фидам от ЦБ и операциям, не характерным для клиента.
- Разработано и внедрено Положение об антифроде, в котором:
- указан порядок обработки в банке фродовых платежей – блокировка, связь с клиентом, подтверждение, разблокировка;
- определено, какие операции являются не типичными для клиента;
- указан порядок уведомления ФинЦЕРТ о фродовом платеже (4926-У)
- указан порядок обработки сообщений о зачислении клиенту банка похищенных средств (5039-У)
- Внесены изменения в договоры об использовании электронного средства платежа (клиент-банк, мобильный банкинг, пластиковые карты и т.п.) и договоры банковского счета:
- порядок блокировки при обнаружении фрода;
- порядок связи банка с клиентом;
- порядок подтверждения клиентом согласия на проведение операции;
- обязанности клиента подтвердить легальность полученных средств.
Делитесь вопросами, комментариями и собственными соображениями!
Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях!
Комментариев нет:
Отправить комментарий