Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Непрерывный мониторинг периметра и своевременное выявление уязвимостей
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Выявление уязвимостей и тестирование безопасности в контролируемой среде
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Услуги:
Услуги по внедрению процессов безопасной разработки: SSDLC, DevSecOps, AppSec
Обучение сотрудников основам безопасной разработки приложений
Новости

161-ФЗ: что изменилось для банков?

161 fz
С 27 июля 2024 года в силу вступают изменения в Федеральный Закон № 161-ФЗ «О национальной платежной системе». Сами изменения внесены Федеральным законом от 24.07.2023 № 369-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе и направлены на усиление защиты клиентов банков от мошенничества и неправомерных операций с их денежными средствами.

Основные изменения 161-ФЗ

1. Операции без добровольного согласия клиента

Новый термин «операции без добровольного согласия» включает операции, проведенные без согласия клиента, а также с согласия, полученного обманным путем или путем злоупотребления доверием. Даже если клиент сам инициировал перевод, но под влиянием мошенников, операция будет считаться несанкционированной.

2. Проверка операций банками

Банки обязаны проверять все операции до их исполнения на предмет подозрительности. Это касается переводов, инициированных клиентами, и предполагает проверку на соответствие ряду критериев.

Как банк может выявить подозрительную операцию?

Банки могут выявлять подозрительные операции следующими способами:

- самостоятельная проверка операций клиента;
- получение информации от Банка России;
- получение информации от банка, обслуживающего получателя средств.

Критерии проверки банками денежных операций

Признаки, по которым осуществляется обязательная проверка, размещены на сайте Банка России и включают:

1. Верификацию получателя платежа

Если получатель находится в списке подозрительных лиц или организаций (дропов), операция считается подозрительной.

2. Определение параметров устройства

Параметры устройства, с которого производится вход в систему дистанционного банковского обслуживания (ДБО), не должны совпадать с параметрами устройств, зарегистрированных как используемые мошенниками.

3. Фиксацию нестандартных операций

Анализируется характер, сумма, время, место, частота операций и их соответствие обычной активности клиента.
Процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без добровольного согласия клиента, банки должны отразить во внутренних документах.

Действия банка-отправителя при выявлении подозрительной операции

Банкам необходимо внедрить новые процедуры и следовать обновленным требованиям для обеспечения надежной защиты интересов своих клиентов.

1. Предотвращение нарушения

При использовании пластиковых карт, электронных денежных средств или системы быстрых платежей (СБП), банк должен заблокировать и отменить операцию. Для остальных операций, таких как платежи через ДБО, требуется их приостановка на два дня.

2. Уведомление клиента

Банк обязан немедленно уведомить клиента о приостановлении или отмене операции, дать рекомендации по предотвращению подобных случаев в будущем, и предоставить способы для повторного проведения отмененной операции.

Помимо уведомления банк может запросить у клиента информацию о том, что перевод денежных средств является переводом денежных средств по добровольному согласию контрагента, или направить клиенту информацию о необходимости совершить повторную операцию.

3. Подтверждение операции

Если клиент подтвердит операцию в течение одного дня после приостановки, банк выполнит ее. Если клиент не подтвердит операцию или не предоставит запрашиваемую банком информацию в течение двух дней, операция будет окончательно отменена.
______
Эксперты Infosecurity всегда готовы проконсультировать по части изменений законодательства, чтобы финансовые организации могли обеспечивать стабильную работу и соответствовать требованиям регулирующих органов. Оставить заявку

Банк России направил информацию о подозрительной операции. Что дальше?

Даже если клиент подтвердил операцию или повторно инициировал ее, банк обязан приостановить выполнение на два дня или отменить, если Банк России предоставит информацию о совпадении данных операции со списком дропов.

Действия банка в случае получения информации от Банка России:

1. Предотвращение повторного нарушения

Если подозрительная операция осуществляется с использованием пластиковых карт, электронных денежных средств или СБП, банк обязан отменить такую операцию. Для других видов операций, например, платежей через ДБО, требуется приостановка на два дня со дня подтверждения распоряжения клиентом.

2. Уведомление клиента

Банк должен немедленно уведомить клиента о приостановлении подтвержденной операции или отказе в повторной, указать причину, срок приостановления и возможность совершения последующей повторной операции.

3. Выполнение перевода

Если клиент не отменит операцию в течение двух дней и при отсутствии иных правовых оснований, банк обязан провести подтвержденную операцию. Если после отказа в проведении повторной операции клиент еще раз инициирует такую же операцию, банк выполнит ее через два дня при отсутствии других законных оснований для отказа.

Действия банка-получателя при выявлении подозрительной операции

Если банк-получатель выявил операцию, соответствующую признакам перевода денежных средств без добровольного согласия клиента, он должен сообщить об этом банку-отправителю. Это выполняется в рамках правил платежной системы, используемой для перевода.

Если банк проведет операцию, не выполнив обязательные действия по приостановке или отмене платежа и уведомлению клиента, он обязан возместить клиенту потерянные денежные средства, согласно частям 3.1 - 3.5, 3.8 - 3.11 статьи 8, 161-ФЗ.

Что делать банку при получении уведомления от клиента об утере электронного средства платежа или операциям без согласия клиента?

1. Немедленно приостановить использование

Если клиент уведомил банк о потере электронного средства платежа или о его использовании без согласия, банк обязан немедленно приостановить его использование.

2. Возместить денежные средства

  • Если банк не блокирует использование средства платежа достаточно быстро, он обязан возместить клиенту суммы всех операций, совершенных с момента уведомления, в течение 30 дней.

  • Если клиент не был проинформирован о совершенной без согласия операции, банк обязан возместить ее сумму.

  • Банк обязан возместить сумму операции, совершенной без согласия клиента, если клиент был проинформирован о совершении операции, уведомил банк, что операция была совершена без его согласия не позднее дня, следующего за получением уведомления, и при этом если банк не докажет, что клиент нарушил порядок использования электронного средства платежа, что повлекло совершение указанной операции. В этом случае банк обязан возместить сумму операции в течение 30 дней после получения заявления клиента о возмещении суммы операции, а в случае трансграничного перевода денежных средств – в течение 60 дней.

Дополнительные меры банка для предотвращения мошеннических операций

Для усиления защиты клиентов от мошеннических операций банки могут предпринимать дополнительные меры в случае получения информации о потенциальных угрозах от Банка России.

Если банк получает от Банка России информацию о наличии в его базе данных сведений о клиенте или его электронном средстве платежа (например, карте или устройстве), банк вправе приостановить использование такого средства платежа. Это возможно, если такие действия предусмотрены системой управления рисками банка и договором с клиентом.

Если информация от Банка России указывает на совершение противоправных действий с использованием электронного средства платежа клиента или самим клиентом, банк обязан приостановить использование этого средства платежа (или всех средств платежа клиента). После приостановки использования электронного средства платежа, банк должен уведомить клиента, сообщить о факте приостановления действия электронного средства платежа, проинформировать о праве клиента подать заявление в Банк России (самостоятельно или через банк) об исключении его сведений (или сведений средства платежа), включая информацию о противоправных действиях, из базы данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента.

Если у банка есть основания полагать, что включение сведений, относящихся к клиенту и/или его электронному средству платежа, в базу дропов Банка России необоснованное, он вправе самостоятельно без участия клиента направить в Банк России мотивированное заявление об исключении сведений, относящихся к клиенту и/или его электронному средству платежа, в том числе сведений федерального органа исполнительной власти в сфере внутренних дел о совершенных противоправных действиях, из базы данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента.

После получения от Банка России информации об исключении сведений о клиенте или его электронном средстве платежа из базы дропов, банк обязан незамедлительно возобновить возможность использования ранее заблокированного средства платежа и уведомить об этом клиента. Это условие действует при отсутствии иных оснований для приостановления использования электронного средства платежа клиента согласно законодательству Российской Федерации или договору.
______
Банк России рекомендует банкам информировать клиентов по вопросам дропперства и снижению рисков при использовании сервисов электронных платежей и ДБО. Команда Infosecurity готова помочь с подготовкой необходимых материалов по информированию. Оставить заявку

Заключение

Обновления Федерального Закона № 161-ФЗ «О национальной платежной системе» существенно усиливают защиту клиентов от мошенничества и неправомерных действий. Новые меры обязывают банки оперативно реагировать на подозрительные операции и активно сотрудничать с Банком России, создавая более безопасную и прозрачную платежную среду.

Клиенты теперь будут лучше информированы о своих правах и могут обжаловать блокировку средств платежа, что повысит их уверенность и защищенность. Внедрение этих изменений способствует укреплению доверия к банковской системе, улучшению качества обслуживания и снижению рисков финансовых операций.

Эти меры требуют от банков не только внедрения новых технологий и процедур, но и постоянного совершенствования управления рисками. Совместные усилия банков и регулирующих органов обеспечивают надежную защиту интересов клиентов и способствуют созданию безопасного и доверительного финансового пространства.

Автор: Юлия Задубровская, руководитель направления безопасности финансовых организаций Infosecurity a Softline company
Блог Новости Законодательство Экспертиза