Вопрос: У банков - членов АРБ возникли вопросы по применению пп. 5.2.1 пп. 5.2 п. 5 и п. 7.1 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение N 683-П).
Так, с 1 октября 2022 г. вступило в силу Указание Банка России от 18.02.2022 N 6071-У "О внесении изменений в Положение Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", согласно которому Положение N 683-П дополнено п. 7.1 и изменена редакция пп. 5.2.1 пп. 5.2 п. 5.
В связи с внесенными изменениями в редакцию пп. 5.2.1 пп. 5.2 п. 5 Положения N 683-П у банков возникли следующие вопросы.
1. Должны ли приостанавливаться все платежи до получения от клиента подтверждения совершаемой банковской операции в рамках исполнения требований, предусмотренных абз. 12 пп. 5.2.1?
2. Относится ли технология, реализуемая системой интернет-банк (веб-приложение FAKTURA.RU), к технологии удаленного доступа клиентов к объектам информационной инфраструктуры кредитной организации, упомянутой в абз. 2 пп. 5.2.1?
Правоприменение нового п. 7.1 Положения N 683-П также вызывает трудности у кредитных организаций.
Согласно п. 7.1 Положения N 683-П в целях противодействия осуществлению переводов денежных средств без согласия клиента кредитные организации в случаях, предусмотренных договорами с клиентами, содержащими условия указанного в ч. 1 ст. 9 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872) договора об использовании электронного средства платежа, на основании их заявлений устанавливают в отношении операций, осуществляемых с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций через информационно-телекоммуникационную сеть Интернет, ограничения на осуществление операций клиентами либо ограничения максимальной суммы одной операции и (или) операций за определенный период времени. Ограничения по операциям могут быть установлены как на все операции клиентов, так и в разрезе видов операций.
В связи с этим требуют оперативного разрешения следующие вопросы.
1. Если случаи ограничения операций не предусмотрены договором об использовании электронного средства платежа (далее - Договор об ЭСП), означает ли это невозможность установления ограничений либо наличие оснований для отказа банком в установлении ограничений клиенту?
2. Правильно ли понимание того, что кредитная организация в договоре с клиентом фиксирует перечень возможных к установлению ограничений и только по этим ограничениям клиент вправе/может написать заявление об установлении ограничений по операциям?
3. Могут ли стороны Договора об ЭСП (банк и клиент) договориться о возможности ограничения операций только по определенным параметрам?
4. После слов "через информационно-телекоммуникационную сеть Интернет" указано: "ограничения на осуществление операций клиентами". В связи с этим требует пояснения вопрос о том, какие ограничения имеются в виду (всех операций или ограничение определенного вида операций (зачисление/списание/иное)).
5. Каким образом должна действовать кредитная организация, если клиент написал заявление об установлении ограничений, которые не могут быть исполнены банком по техническим причинам? Вправе ли в этом случае кредитная организация отказать в установлении ограничения?
6. Может ли кредитная организация отказать в установлении ограничений, если из заявления клиента является очевидным, что клиент злоупотребляет своим правом, устанавливая труднореализуемую для банка множественность ограничений (например, и по сумме операции, и по различным дням недели, и в зависимости от получателей, и в зависимости от назначения платежа)?
7. Согласно размещенной на сайте Банка России <1> информации установить запрет на дистанционные каналы можно в отношении отдельных услуг, например переводов, онлайн-кредитования, или на все операции. При этом п. 7.1 Положения N 683-П устанавливает требования к обеспечению противодействия осуществлению переводов денежных средств без согласия клиента. В связи с этим возникает вопрос о том, в каких случаях кредитная организация в рамках онлайн-кредитования должна соблюдать требования п. 7.1 Положения N 683-П. Каким образом данный механизм будет реализовываться при кредитовании, осуществляемом с учетом требований п. 5 ст. 807 Гражданского кодекса РФ?
<1> https://cbr.ru/press/event/?id=13971.
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 7 ноября 2022 г. N 011-56-5/10731
Банк России рассмотрел обращение по вопросу применения Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение Банка России N 683-П) и сообщает следующее.
По вопросу 1. В соответствии с требованиями абзаца 12 подпункта 5.2.1 пункта 5 Положения Банка России N 683-П необходимо обеспечить получение от клиента подтверждения совершаемой банковской операции. При этом указанное требование не предусматривает необходимости приостановления иных операций клиента.
По вопросу 2. Системы дистанционного банковского обслуживания реализуются с использованием удаленного доступа к объектам информационной инфраструктуры кредитных организаций.
При этом Банк России не рассматривает конкретные реализации и технические решения, так как в соответствии со статьей 56 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" Банк России не вмешивается в оперативную деятельность кредитных организаций, за исключением случаев, предусмотренных федеральными законами.
По вопросам 1 - 6. В соответствии с пунктом 7.1 Положения Банка России N 683-П кредитные организации в случаях, предусмотренных договорами с клиентами, на основании их заявлений устанавливают в отношении операций, осуществляемых с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций через информационно-телекоммуникационную сеть Интернет, ограничения на осуществление операций клиентами либо ограничения максимальной суммы одной операции и (или) операций за определенный период времени.
Для установления указанных ограничений кредитным организациям необходимо уточнить условия договора, заключенного с каждым клиентом. Порядок внесения таких изменений, а также состав указанных ограничений кредитные организации определяют самостоятельно.
Кроме того, при формировании вышеуказанного перечня целесообразно предусмотреть наличие достаточного количества видов ограничений для предоставления гибких возможностей установления клиентами ограничений по операциям с использованием удаленного доступа в целях их защиты от действий мошенников.
По вопросу 7. Положение Банка России N 683-П устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковских операций в целях противодействия осуществлению переводов денежных средств без согласия клиента.
Требования пункта 7.1 Положения Банка России N 683-П предусматривают установление ограничений как на все банковские операции клиентов, так и в разрезе видов банковских операций либо по параметрам банковских операций.
При этом, в случае если в рамках механизма, предусмотренного пунктом 5 статьи 807 Гражданского кодекса Российской Федерации, денежные средства переводятся указанному заемщиком третьему лицу, ограничения по параметрам банковских операций неприменимы.
Заместитель председателя
Банка России
Р.Н. ВЕСТЕРОВСКИЙ