вторник, 5 июня 2018 г.

Обзор закона об Антифроде 167-ФЗ (изменения в 161-ФЗ «О национальной платежной системе» и связанные федеральные законы)

30 мая 2017 года депутатами Аксаковым А.Г. и Емельяновым М.В. внесен на рассмотрение в Государственную Думу в качестве законодательной инициативы проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части противодействия хищению денежных средств)».

05.06.2018 законопроект принят в третьем чтении. Ниже приведен его обзор.
В ходе рассмотрения законопроект претерпел существенные изменения, но суть борьбы с мошенническими переводами осталась.

Изменения в Федеральный закон № 161-ФЗ «О национальной платежной системе»

Изменения статей 8 "Распоряжение клиента, порядок его приема к исполнению и исполнения" и 9 "Порядок использования электронных средств платежа".

В случае обнаружения банком признаков несанкционированного перевода денежных средств (фрод), он обязан:
  • на срок не более 2-х рабочих дней приостановить исполнение платежа;
  • заблокировать клиентское электронное средство платежа (ЭСП);
  • проинформировать клиента о блокировке;
  • дать рекомендации по снижению риска возникновения аналогичных ситуаций;
  • незамедлительно запросить у клиента подтверждение для возобновления проведения платежа.
Банк обязан при получении от клиента подтверждения о том, что перевод легальный, незамедлительно возобновить проведение платежа и разблокировать клиентское ЭСП, при неполучении - разблокировать платеж и ЭСП по истечении 2-х рабочих дней.

Признаки фрода устанавливаются ЦБ и публикуются на сайте. Дополнительно признаки фрода устанавливаются банком в рамках системы управления рисками.

Подробно описан порядок действий банков в случае получения уведомления от клиента о несанкционированном доступе к ЭСП:
  • Банк плательщика предпринимает действия по приостановлению платежа, обратившись в банк получателя по форме и в порядке, установленном ЦБ.
  • Банк получателя при получении уведомления в случае, если зачисление средств на счет получателя не произошло:
    • Приостанавливает зачисление средств на счет получателя на срок до 5 рабочих дней.
    • Незамедлительно уведомляет получателя о приостановке и запрашивает от него подтверждающие документы.
    • В случае предоставления получателем подтверждающих документов - возобновляет платеж.
    • В случае непредоставления в течение 5 рабочих дней - возвращает средства в банк плательщика для возврата плательщику.
  • Банк получателя при получении уведомления в случае, если зачисление средств на счет получателя уже произошло уведомляет об этом банк плательщика по форме и в порядке, установленном ЦБ.
  • Банки не несут ответственности перед клиентом в случае надлежащего исполнения установленных обязанностей по приостановлению и возврату платежа.
Комментарий автора: Изменения для защиты клиентов полезные - дропперам станет сложнее заниматься их незаконной деятельностью. А вот в ситуации, когда был взломан сам банк, не помогут.

Изменения в статью 27 "Обеспечение защиты информации в платежной системе"

Устанавливается обязанность банков по реализации установленных ЦБ мер по противодействию несанкционированным переводам.

ЦБ ведет базу данных о попытках фрода. Устанавливается обязанность операторов отправлять в ЦБ информацию о попытках фрода и право операторов получать у ЦБ собранную им информацию из базы. 

Такой обмен информацией между ЦБ и Операторами не является нарушением банковской тайны.

Комментарий автора: Раньше банки обменивались с FinCERT по собственной инициативе, а теперь будут обязаны предоставлять информацию о фроде в ЦБ.

Также вносятся изменения: 
- В статью 26 Федерального закона «О банках и банковской деятельности» - об обмене информацией между ЦБ и банками в случаях, предусмотренных в 161-ФЗ.

- В Федеральный закон «О Центральном банке Российской Федерации» - Центробанку предоставляется право устанавливать по согласованию с ФСБ и ФСТЭК обязательные требования по защите информации для кредитных и некредитных финансовых организаций (участники рынка ценных бумаг, инвестиционные и страховые компании, организаторы торгов, НПФ, МФО, ломбардов и т.п.).

ФЗ вступает в силу по истечении 90 дней после его официального опубликования.

Комментарий автора:
  
В свете изменений банкам нужно:
  • оценить риски несанкционированных переводов и разработать свои критерии определения фрода;
  • внедрить механизмы для обнаружения и блокировки фродовых платежей на основании критериев ЦБ и собственных критериев;
  • внести изменения в договоры об использовании электронного средства платежа (клиент-банк, мобильный банкинг, пластиковые карты и т.п.) насчет блокировок при обнаружении фрода и обязанностей по возврату средств.
А некредитным финансовым организациям вместе в банками надо начинать готовиться к выполнению требований ГОСТ 57580.1-2017. С момента вступления ФЗ в силу требования ЦБ в сфере защиты информации становятся обязательными для участников финансовых рынков. Раньше таких полномочий у ЦБ не было.

Анализ законопроекта в первоначальной редакции при внесении в Госдуму от Алексея Лукацкого. 

Алгоритм действий банка в случае инцидентов в ДБО согласно закона РФ от 27 июня 2018 №167-ФЗ от Валерия Естехина.

Обновление от 24.09.2018

По итогам выступления Андрея Выборнова на конференции "Информационная безопасность финансовой сферы" 20.09.2018:
- До конца сентября ЦБ на своем сайте опубликует (уже опубликовал) признаки отнесения платежа к подозрительным. Фактически эти признаки - наличие получателя в качестве дропперов.
- Эти признаки будут утверждаться внутренним актом Банка России, а не НПА. Для оперативности.
- Скоро выйдет (уже вышли 4926-У и 5039-У) нормативный документ ЦБ о порядке направления информации в Банк России о попытках фрода. 
Выстраивается цепочка по обмену информацией о фроде:
- В ФЗ установлена обязанность банков по направлению в ЦБ информации о фроде, а ЦБ - раздавать такую информацию.
- Порядок направления информации в ЦБ установлен в 4926-У, взаимодействие между банком плательщика и получателя - в 5039-У.
- Технические детали обмена указаны в новом стандарте СТО БР ИБФО-1.5-2018, который уже прошел ТК122 и акцептован ЦБ, сейчас находится на согласовании в ФСБ.

Обновление от 28.09.2018

ЦБ опубликовал Признаки осуществления перевода денежных средств без согласия клиента: 
1. Получатель платежа находится в базе дропперов 
2. Для операции используется скомпрометированное устройство 
3. Несовпадение характера и параметров операций типичным для клиента

Обновление от 15.10.2018

ЦБ откладывает меры воздействия на банки из-за невыполнения требований 167-ФЗ по противодействию хищениям и уведомлению ЦБ на 180 дней (до 25.03.2019). 

Обновление от 15.11.2018

ЦБ разослал по банкам первые фиды с базами подозрительных получателей и скомпрометированных устройств. Фиды получают только банки в рамках взаимодействия в FinCERT ЦБ.

Обновление от 26.03.2019 

26 марта 2019 года истек срок, на который Банк России отложил (инф. письмо ЦБ от 09.10.2018 № ВН-03-56-3-2/3398) меры воздействия к банкам из-за невыполнения т.н. «Закона об антифроде».

на сегодняшний день в банках должны быть реализованы: 
  • Внедрена система антифрода с возможностью загрузки фидов, полученных от ФинЦЕРТ (приказ ЦБ от 27.09.2018 № ОД-2525);
  • Определены характер и параметры операций, не типичные для клиента.
  • Реализованы проверки в системе антифрода по фидам от ЦБ и операциям, не характерным для клиента.
  • Разработано и внедрено Положение об антифроде, в котором:
    • указан порядок обработки в банке фродовых платежей – блокировка, связь с клиентом, подтверждение, разблокировка;
    • определено, какие операции являются не типичными для клиента;
    • указан порядок уведомления ФинЦЕРТ о фродовом платеже (4926-У)
    • указан порядок обработки сообщений о зачислении клиенту банка похищенных средств (5039-У)
  • Внесены изменения в договоры об использовании электронного средства платежа (клиент-банк, мобильный банкинг, пластиковые карты и т.п.) и договоры банковского счета:
    • порядок блокировки при обнаружении фрода;
    • порядок связи банка с клиентом;
    • порядок подтверждения клиентом согласия на проведение операции;
    • обязанности клиента подтвердить легальность полученных средств.
Полезные ветки на Банкире: 
  • о требованиях 4926-У; 
  • о требованиях 5039-У.
Делитесь вопросами, комментариями и собственными соображениями!

Если Вам понравилась статья и хотите поблагодарить автора - поделитесь ссылкой на статью в социальных сетях!  

Комментариев нет:

Отправить комментарий