2) Обзор основных изменений
Положение Банка России № 851-П от 30 января 2025 года "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" представляет собой важный нормативный акт, который заменяет собой действовавшее ранее Положение № 683-П от 17 апреля 2019 года.
В отличие от предыдущего регуляторного документа, новый акт вводит более гибкий и комплексный подход к защите клиентов от несанкционированных переводов денежных средств (НСПДС), делая акцент на риск-ориентированном подходе и использовании современных технологий.
3) Ключевые требования Положения
Расширенная область применения
Новое Положение распространяется не только на кредитные организации, но и на иностранные банки, осуществляющие деятельность на территории Российской Федерации через свои филиалы. Это существенно расширяет охват регулирования и делает его более всеобъемлющим.
Оценка рисков как основа системы защиты
Центральным элементом Положения является требование к проведению оценки рисков, которая должна стать фундаментом для построения системы защиты:
"Оценка рисков осуществления переводов денежных средств без согласия клиента проводится кредитной организацией с учетом анализа угроз безопасности информации, используемых каналов обслуживания, категорий клиентов, видов банковских операций, используемых информационных технологий и программного обеспечения, а также иных факторов, влияющих на безопасность осуществления банковских операций."
Оценка рисков должна проводиться не реже одного раза в год, что обеспечивает регулярное обновление системы защиты в соответствии с меняющимися угрозами безопасности.
Требования к аутентификации
Положение устанавливает строгие требования к аутентификации пользователей:
"Аутентификация пользователя при осуществлении перевода денежных средств должна быть многофакторной и осуществляться с применением средств, обеспечивающих подлинность и целостность данных."
Особое внимание уделяется недопустимости использования открытых данных в качестве отдельного фактора аутентификации:
"Не допускается использование в качестве отдельного фактора аутентификации открытых данных, в том числе номера мобильного телефона, адреса электронной почты, даты рождения, серии и номера паспорта, а также одноразовых паролей, передаваемых по открытым каналам связи"
Это требование направлено на повышение безопасности процесса аутентификации и снижение рисков компрометации учетных данных.
Мобильная версия приложения для клиентов
Одним из важных нововведений является требование к кредитным организациям обеспечить возможность использования мобильной версии приложения для приема заявлений клиентов-физических лиц о случаях совершения операций без их согласия:
"КО должны обеспечить возможность использования мобильной версии приложения для приема заявлений клиентов - физических лиц о каждом случае совершения операций без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием, для формирования на основании указанного заявления справки о каждой указанной операции, содержащей информацию, указанную в приложении 1 к положению 851-П."
Это нововведение значительно упрощает процесс обращения клиентов за помощью при обнаружении подозрительных операций и делает процедуру более доступной.
Контроль за действиями в личном кабинете
Документ подробно регламентирует контроль за действиями пользователя в системе дистанционного банковского обслуживания:
"Контроль за действиями пользователя в системе дистанционного банковского обслуживания осуществляется в целях выявления признаков несанкционированного доступа к счету (счетам) клиента."
К перечню действий, подлежащих контролю, относятся:
- изменение контактной информации (номера мобильного телефона, адреса электронной почты)
- добавление нового получателя перевода
- изменение лимитов на переводы
- осуществление перевода денежных средств на новый получательский счет
Оповещение клиента и блокировка операций
Положение устанавливает обязательное оповещение клиента перед совершением перевода:
"Клиент должен быть оповещен о попытке осуществления перевода денежных средств до его исполнения."
При этом оповещение должно осуществляться через другие каналы связи, что значительно повышает безопасность:
"Оповещение клиента осуществляется с использованием иных каналов связи, отличных от канала, через который инициирован перевод денежных средств."
В случае выявления признаков несанкционированного перевода предусмотрена возможность блокировки операции:
"При выявлении признаков осуществления перевода денежных средств без согласия клиента перевод денежных средств может быть заблокирован до подтверждения клиентом его инициации."
4) Внедрение и переходный период
Внедрение требований Положения № 851-П представляет собой серьезную задачу для кредитных организаций, требующую модернизации существующих систем безопасности и процессов. Ключевые аспекты внедрения включают:
- Проведение комплексной оценки текущих рисков и разработку плана перехода
- Модернизацию систем аутентификации с внедрением многофакторной аутентификации
- Создание механизмов контроля за действиями пользователей в личном кабинете
- Внедрение системы оперативного оповещения клиентов
- Разработку процедур блокировки подозрительных операций
- Обучение персонала и информирование клиентов о новых мерах безопасности
Заключение
Положение Банка России № 851-П от 30 января 2025 года знаменует переход от формальных требований к более гибкому и эффективному подходу к защите клиентов от несанкционированных переводов денежных средств. Оно требует от кредитных организаций создания системы защиты, основанной на оценке рисков, многофакторной аутентификации, активном контроле за действиями пользователей и регулярном тестировании.
Этот документ представляет собой важный шаг в повышении уровня безопасности банковских операций и защиты прав клиентов в условиях растущих киберугроз и цифровизации финансовых услуг. Внедрение его требований потребует значительных усилий от кредитных организаций, но в конечном итоге приведет к повышению доверия клиентов к банковским услугам и снижению уровня мошенничества.
