Вопрос: Ассоциация российских банков обращается к Вам по просьбе банков - членов АРБ по вопросу применения п. 7.1 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение N 683-П).
С 1 октября 2022 г. вступило в силу Указание Банка России от 18.02.2022 N 6071-У "О внесении изменений в Положение Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", согласно которому Положение N 683-П помимо прочего было дополнено пунктом 7.1.
I. Согласно п. 7.1 Положения N 683-П в целях противодействия осуществлению переводов денежных средств без согласия клиента кредитные организации в случаях, предусмотренных договорами с клиентами, содержащими условия указанного в ч. 1 ст. 9 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе" договора об использовании электронного средства платежа, на основании их заявлений устанавливают в отношении операций, осуществляемых с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций через информационно-телекоммуникационную сеть Интернет, ограничения на осуществление операций клиентами либо ограничения максимальной суммы одной операции и (или) операций за определенный период времени. Ограничения по операциям могут быть установлены как на все операции клиентов, так и в разрезе видов операций.
Таким образом, из буквального толкования п. 7.1 Положения N 683-П не следует, что она затрагивает операции по получению клиентами кредитов, поскольку данная норма касается только операций по переводу денежных средств без согласия клиента, т.е. о расходных операциях клиента.
Несмотря на это, например, в размещенной на официальном сайте Банка России информации <1> и в направленном банкам письме о предоставлении информации о реализации требований п. 7.1 Положения N 683-П <2> имеются указания на возможность установления запрета в отношении операций по выдаче кредитов.
<1> https://cbr.ru/press/event/?id=13971.
<2> Письмо Банка России от 11.10.2022 N 017-56/9718.
В связи с этим правоприменение п. 7.1 Положения N 683-П вызывает следующий вопрос: из какой нормы Положения N 683-П и (или) иных нормативных актов следует, что предусмотренный п. 7.1 Положения N 683-П механизм установления ограничений на осуществление операций по переводу денежных средств без согласия клиента распространяется на операции по получению/ выдаче кредита? <3>
<3> Представляется, что вопрос о внедрении предложенного в 2022 г. Банком России механизма так называемого самозапрета на получение/выдачу кредитов/займов и его правового регулирования находится в стадии проработки (по имеющейся в АРБ на текущей момент информации рассмотрение соответствующего законопроекта запланировано Государственной Думой Российской Федерации на период с 9 января по 30 июля 2023 г. (весенняя сессия)).
II. Если предположить допустимость толкования п. 7.1 Положения N 683-П как предусматривающего право на установление ограничений в отношении совершения всех операций (в том числе кредитных), осуществляемых с использованием электронных средств платежа, возникают следующие вопросы в отношении совершения операций посредством мобильных приложений банков и интернет-банкинга.
1. Ограничения кредитных операций по банковской карте могут быть реализованы путем установления полного запрета на получение кредита, частичного ограничения операций по лимиту одной операции либо операций за определенный период.
Однако такой перечень ограничений, реализованный в отношении кредита, оформленного с использованием дистанционных сервисов, но без банковской карты, вызывает вопросы, поскольку невозможно представить ситуацию, при которой клиент банка, оформив, например, кредит на отпуск, выдача которого осуществляется путем зачисления денежных средств на счет, станет устанавливать лимиты одной операции либо за определенный период.
В связи с вышеизложенным просим сообщить мнение Банка России относительно допустимости реализации в отношении кредитных операций, которые совершаются без использования банковской карты, только одного ограничения - запрета на выдачу кредита.
2. Из Положения N 683-П не представляется возможным установить, на каком этапе / в какой момент начинают действовать ограничения кредитных операций (на этапе подачи заявления о выдаче кредита, на этапе оформления кредитного договора или в момент выдачи кредита).
В связи с изложенным просим сообщить позицию Банка России относительно возможности установления кредитных ограничений исключительно в части совершения операции за счет кредитных средств, не ограничивая при этом возможность подачи заявления о выдаче кредита и подписания кредитного договора с использованием дистанционных сервисов.
III. Также Банком России в Информационном письме Банка России от 12.01.2023 N ИН-017-56/2 "О реализации кредитными организациями подпункта 7.1 пункта 7 Положения Банка России N 683-П" (далее - Письмо от 12.01.2023) были даны рекомендации по применению п. 7.1 Положения Банка России N 683-П, реализация которых вызвала у банков следующие вопросы.
1. В соответствии с п. 7.1 Положения N 683-П кредитные организации устанавливают ограничения на осуществление операций клиентами либо ограничения максимальной суммы одной операции и (или) операций за определенный период времени.
При этом, как следует из Письма от 12.01.2023, кредитным организациям рекомендуется при определении возможных для установления клиентом ограничений предусмотреть наличие достаточного количества их вариантов в целях формирования их оптимального сочетания для предупреждения операций без согласия клиента и предоставления клиенту выбора соответствующих его потребностям ограничений.
Однако для понимания полноты и корректности исполнения изложенных в Письме от 12.01.2023 рекомендаций необходимо определение Банком России четких критериев (уточнений/перечней):
- достаточности количества вариантов ограничений;
- оптимальности сочетаний ограничений.
Полагаем, что отсутствие данных критериев и уточнений могут породить риски ненадлежащего исполнения указанных в Письме от 12.01.2023 рекомендаций, в связи с чем для кредитных организаций представляется важным получить от Банка России уточнения по определению вышеуказанных критериев.
2. Для надлежащего проведения работы по обеспечению возможности установления клиентами указанных в п. 7.1 Положения Банка России N 683-П ограничений согласно Письму от 12.01.2023 требует разъяснения следующий вопрос: распространяются ли соответствующие ограничения на бюджетные платежи и платежи в иностранной валюте?
3. Для надлежащего проведения работы по обеспечению возможности установления клиентами указанных в п. 7.1 Положения Банка России N 683-П ограничений согласно Письму от 12.01.2023 требует разъяснения следующий вопрос: учитывая, что ограничения устанавливаются на основании заявления клиента, данное заявление должно быть представлено клиентом в банк на бумажном носителе либо подача данного заявления клиентом может быть обеспечена посредством дистанционного банковского обслуживания (далее - ДБО), в рамках осуществления которого клиент может самостоятельно управлять такими ограничениями (в ДБО), при соответствующей технической реализации банком такой возможности?
Нужно отметить, что деятельность некоторых кредитных организаций осуществляется путем предоставления банковских услуг преимущественно или исключительно с использованием дистанционных сервисов.
В связи с этим возникает следующий вопрос: должна ли в этом случае кредитная организация предусматривать возможность для граждан установить соответствующие ограничения без использования информационно-телекоммуникационной сети Интернет (например, посредством почтовой связи или путем непосредственного обращения в подразделение кредитной организации)?
Не будет ли Банком России рассматриваться в качестве нарушения прав потребителей финансовых услуг на установление рассматриваемых ограничений реализация кредитными организациями порядка установления ограничений исключительно через официальное мобильное приложение банка либо интернет-банкинг?
4. Согласно Письму от 12.01.2023 работу по уточнению условий договоров с клиентами и обеспечению возможности установления клиентами ограничений рекомендуется провести в срок до 1 июля 2023 г. В связи с этим возникает следующий вопрос: верно ли понимание того, что к указанной дате следует провести только работу по уточнению условий соответствующих договоров (реализация техническая и методологическая) для осуществления начала работ с клиентами (установление ограничений на случай поступления соответствующих заявлений от клиентов)? Или необходимо обеспечить перевод всей действующей базы клиентов на данную технологию?
5. Если клиентом не было направлено в банк заявление на установление ограничений, но у банка имеются основания полагать, что операции совершаются без согласия клиента, то какие действия банк вправе/обязан совершить по отношению к такому клиенту? Либо банк не может / не должен совершить никаких соответствующих действий, а должен считать, что ограничений нет?
6. В рамках проведения работы по реализации возможных вариантов установления ограничений возникает следующий вопрос: может ли банк самостоятельно установить какие-либо ограничения по счету (например, по максимальной сумме операции), если это будет предусмотрено договором с клиентом или в иных случаях (например, в силу ст. 858 Гражданского кодекса Российской Федерации)?
7. В рамках проведения работы по реализации возможных вариантов установления ограничений требует разъяснения следующий вопрос: если банком будут определены параметры (набор параметров) ограничений, с которыми клиент может быть не согласен, вправе ли банк отказать в исполнении претензии (заявления) об установлении ограничений, не соответствующих предлагаемому банком перечню?
В связи с изложенным просим Вас, уважаемая Эльвира Сахипзадовна, высказать позицию Банка России по вышеуказанным вопросам применения п. 7.1 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
Ассоциация российских банков выражает надежду на дальнейшее эффективное сотрудничество с Центральным банком Российской Федерации по вопросам применения действующих нормативных актов.
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 14 февраля 2023 г. N 012-56/1207
Банк России рассмотрел обращение Ассоциации российских банков от 26.01.2023 по вопросу применения пункта 7.1 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение Банка России N 683-П) и сообщает следующее.
По разделу I. Предметом правового регулирования Положения Банка России N 683-П является установление требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента. При этом пунктом 7.1 указанного Положения не ограничены виды операций, осуществляемых с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций через информационно-телекоммуникационную сеть Интернет, в отношении которых могут быть установлены ограничения в соответствии с указанным пунктом. Получение кредита без согласия клиента (в частности, в результате введения клиента третьими лицами в заблуждение), как правило, осуществляется для целей последующего перевода кредитных средств таким третьим лицам, то есть также без согласия клиента. В этой связи возможность установления клиентом ограничения на получение кредита с использованием дистанционных сервисов соответствует цели противодействия осуществлению перевода денежных средств без согласия клиента.
По вопросу 1 раздела II. В отношении получения кредита посредством дистанционных сервисов без использования платежной карты считаем возможным как установление ограничений на получение кредита, так и ограничений по параметрам его выдачи.
По вопросу 2 раздела II. Установление ограничений исключительно в части совершения операции за счет кредитных средств не противоречит требованиям пункта 7.1 Положения Банка России N 683-П.
При этом установление исключительно указанных ограничений представляется недостаточной мерой по противодействию осуществлению перевода денежных средств без согласия клиента.
По вопросам 1, 3 раздела III. Отмечаем, что согласно части 5.1 статьи 8 Федерального закона "О национальной платежной системе" мероприятия по противодействию операциям без согласия клиента осуществляются операторами по переводу денежных средств в рамках реализуемой им системы управления рисками на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).
Возможность использования дистанционных сервисов для получения заявлений клиентов в целях установления ограничений определяется кредитной организацией также самостоятельно в рамках реализуемой системы управления рисками. В качестве одного из факторов, обусловливающих возможность использования дистанционных сервисов для получения заявлений клиентов в целях установления ограничений по операциям, рекомендуется учитывать влияние применения такого механизма взаимодействия на фактические значения контрольных показателей уровня риска информационной безопасности, определенных Положением Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение Банка России N 716-П). В частности, влияние на контрольный показатель уровня риска информационной безопасности, предусмотренный абзацем седьмым подпункта 1.2.1 пункта 1 приложения 1 к Положению Банка России N 716-П.
При этом в случае снятия ограничений на основании заявлений клиентов, полученных кредитной организацией с использованием дистанционных сервисов, целесообразно в целях предупреждения возможных мошеннических действий предусмотреть отложенный срок снятия ограничений.
Также отмечаем, что предоставление клиенту возможности направления заявления об установлении ограничений по операциям иными помимо использования дистанционных сервисов способами, на наш взгляд, будет в наибольшей степени учитывать интересы клиентов.
По вопросу 2 раздела III. Пунктом 7.1 Положения Банка России N 683-П не предусмотрены какие-либо запреты на установление ограничений в отношении осуществления бюджетных платежей и платежей в иностранной валюте.
По вопросу 4 раздела III. В соответствии с информационным письмом Банка России от 12.01.2023 N ИН-017-56/2 "О реализации кредитными организациями подпункта 7.1 пункта 7 Положения Банка России N 683-П" кредитным организациям рекомендуется в срок до 01.07.2023 обеспечить возможность установления ограничений клиентами.
По вопросу 5 раздела III. В случае наличия у кредитной организации оснований полагать, что операция совершается без согласия клиента, кредитная организация вне зависимости от установления клиентом ограничений должна осуществлять мероприятия в соответствии с частями 5.1 - 5.3 статьи 8, частями 9.1 и 9.2 статьи 9 и частью 4 статьи 27 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе".
По вопросу 6 раздела III. В пункте 7.1 Положения Банка России N 683-П речь идет об установлении ограничений в случаях, предусмотренных договором с клиентом, по заявлению клиента.
По вопросу 7 раздела III. Позиция Банка России по данному вопросу содержится в письме от 07.11.2022 N 011-56-5/10731, направленном в Ассоциацию российских банков (ответ на вопросы 1 - 6).
Заместитель председателя
Банка России
А.В. КРУЖАЛОВ