Вопрос: В целях формирования единообразной практики применения микрофинансовыми организациями п. 5.8 Базового стандарта совершения микрофинансовой организацией операций на финансовом рынке (далее - Стандарт), согласно которому при выдаче онлайн-микрозайма микрофинансовая организация (далее - МФО) должна провести не менее пяти (или трех в случае, указанном в п. 5.12 Стандарта) из предусмотренных в данном пункте мероприятий по верификации личности лица - получателя онлайн-займа (далее - мероприятия, мероприятие), необходимо довести позицию Банка России по следующим вопросам.
1. Мероприятиями, предусмотренными п. 5.8.3 Стандарта, являются проверка принадлежности получателю финансовой услуги банковского счета и (или) проведение анализа использования платежного инструмента, на которые предполагается зачисление суммы онлайн-микрозайма, на предмет возможности их использования для неправомерного получения денежных средств третьими лицами.
В соответствии с п. п. 2.15, 2.12 Положения Банка России от 29.06.2021 N 762-П "О правилах осуществления перевода денежных средств" банк получателя средств при исполнении распоряжения осуществляет контроль значений реквизитов распоряжений, к которым согласно приложению 1 к вышеуказанному Положению относятся в том числе номер счета получателя средств в банке, полное или сокращенное наименование - для юридических лиц, банков; Ф.И.О. - для физических лиц, и принимает распоряжение плательщика к исполнению (т.е. зачисляет денежные средства на банковский счет получателя) при условии соответствия указанных реквизитов реквизитам получателя.
В Письме Банка России от 13.09.2022 N 44-14/3998 отражена позиция о возможности использования микрофинансовыми организациями сервиса b2c-платежей Системы быстрых платежей (СБП) в качестве инструмента для перечисления займов своим клиентам по их заявкам.
В связи с вышеизложенным правильно ли, что:
1.1) перечисление МФО суммы займа на банковский счет физического лица будет являться одновременно предусмотренной п. 5.8.3 Стандарта проверкой принадлежности этому физическому лицу банковского счета, так как при несоответствии реквизитов счета или Ф.И.О. получателя - физического лица, указанных в распоряжении МФО (в платежном поручении), реквизитам (сведениям) о получателе, содержащимся в банке получателя средств, операция по зачислению денежных средств не будет осуществлена и денежные средства будут возвращены МФО;
1.2) установление микрофинансовой организацией при осуществлении перечисления суммы займа совпадения имени и отчества (при наличии) и первой буквы фамилии владельца банковской карты физического лица, на которую МФО переводит сумму займа с использованием сервиса b2c-платежей СБП, с именем, отчеством (при наличии) и начальной буквы фамилии лица, персональные данные которого используются МФО для оформления онлайн-займа, означает, что МФО был осуществлен предусмотренный п. 5.8.3 Стандарта анализ использования платежного инструмента, на который предполагается зачисление суммы онлайн-микрозайма, на предмет возможности его использования для неправомерного получения денежных средств третьими лицами?
2. Мероприятиями, предусмотренными п. 5.8.4 Стандарта, являются проверка наличия доступа получателя финансовой услуги к абонентскому номеру подвижной радиотелефонной связи и (или) проведение анализа использования абонентского номера подвижной радиотелефонной связи, информация о котором предоставлена заемщиком для получения онлайн-микрозайма, на предмет возможности его использования для неправомерного получения денежных средств третьими лицами.
При этом из п. п. 5.8, 5.12, 5.13 Стандарта следует, что оценка принадлежности представленных МФО данных получателю финансовых услуг (потенциальному заемщику) должна производиться на основании совокупности проверочных мероприятий, результат проведения которых не будет гарантировать абсолютную достоверность сведений о потенциальном заемщике, но должен быть достаточным для отпадения у МФО сомнений в их достоверности.
2.1. В связи с вышеизложенным можно ли считать соответствующей мероприятию, предусмотренному п. 5.8.4 Стандарта, совокупность таких действий, как направление микрофинансовой организацией смс-кода на абонентский номер подвижной радиотелефонной связи потенциального заемщика с последующим его введением в проверочное поле на сайте микрофинансовой организации, и предусмотренные другими подпунктами п. 5.8 Стандарта мероприятия, например анализ данных о потенциальном заемщике, полученных из мессенджеров (например, WhatsApp, Viber), социальных сетей (например, ВКонтакте)?
3. Мероприятием, предусмотренным п. 5.8.5 Стандарта, является проведение анализа использования устройства, подключенного к сети Интернет и применяемого при получении онлайн-микрозайма, на предмет возможности его использования для неправомерного получения денежных средств третьими лицами, в том числе анализ сетевого подключения и системной информации программного обеспечения, установленного на устройстве.
3.1. Соответствует или нет предусмотренному указанным выше пунктом Стандарта мероприятию установление IP-адреса устройства, используемого потенциальным заемщиком при заключении договора займа?
3.2. Является ли указанный в п. 3.1 настоящего обращения способ достаточным для признания его в качестве осуществления МФО мероприятия, предусмотренного п. 5.8.5 Стандарта, или требуется совершение дополнительных проверочных мероприятий, как, например: проведение анализа на совпадение географических характеристик IP-адреса устройства с данными, представленными получателем финансовых услуг в анкете заемщика?
4. Мероприятием, предусмотренным п. 5.8.6 Стандарта, является проверка соответствия внешности физического лица - получателя финансовой услуги внешности физического лица, персональные данные которого представлены для получения онлайн-микрозайма, в том числе путем анализа фотографии физического лица - получателя финансовой услуги и фотографии в документе, удостоверяющем личность, а также организации взаимодействия с физическим лицом - получателем финансовой услуги с использованием средств видеосвязи.
4.1. Соответствует ли требованиям п. 5.8.6 Стандарта следующая неавтоматизированная проверка: когда потенциальный заемщик фотографируется вместе с разворотом его паспорта, на котором размещена его фотография, а сотрудники микрофинансовой организации визуально сравнивают две фотографии потенциального заемщика: в его паспорте и на селфи?
4.2. В случае выдачи онлайн-займа мошеннику по причине некачественно проведенной проверки сотрудниками микрофинансовой организации селфи с паспортом потенциального заемщика считается ли проведенной проверка, предусмотренная п. 5.8.6 Стандарта, для целей принятия решения о выполнении микрофинансовой организацией требований п. 5.8 Стандарта?
5. Мероприятием, предусмотренным п. 5.8.7 Стандарта, является применение метода серии контрольных вопросов, непосредственно связанных с данными получателя финансовой услуги.
5.1. Является ли достаточным для осуществления предусмотренной п. 5.8.7 Стандарта проверки использование контрольных вопросов, основанных на сведениях, полученных только из кредитной истории потенциального заемщика (сколько кредитов заключено, на какие суммы и т.п.)?
6. Мероприятием, предусмотренным п. 5.8.8 Стандарта, являются проверка наличия доступа получателя финансовой услуги к адресу электронной почты и (или) проведение анализа использования адреса электронной почты, информация о котором предоставлена для получения онлайн-микрозайма, на предмет возможности его использования для неправомерного получения денежных средств третьими лицами.
6.1. Является ли проверка домена электронной почты на наличие его в черном списке (например, на сайте Spamhaus Reputation checker можно проверить домен почты) соответствующей и достаточной для признания ее в качестве осуществления МФО мероприятия, предусмотренного п. 5.8.8 Стандарта, в части анализа использования адреса электронной почты, информация о котором предоставлена для получения онлайн-микрозайма, на предмет возможности его использования для неправомерного получения денежных средств третьими лицами?
6.2. Считается ли проведением предусмотренной п. 5.8.8 Стандарта проверки использование потенциальным заемщиком ЕСИА для идентификации?
6.3. Являются ли действия МФО по направлению на представленную получателем финансовых услуг электронную почту ссылки для входа в личный кабинет на сайте МФО в совокупности с предусмотренным п. 5.8.10 Стандарта получением и анализом данных из социальных сетей потенциального заемщика соответствующими и достаточными для признания их в качестве осуществления МФО проверки, предусмотренной п. 5.8.8 БС СОФР?
6.4. Является ли анализ электронного адреса на предмет нелогичных повторений символов или иных аномалий в адресе соответствующей и достаточной проверкой для признания его (анализа) в качестве осуществления МФО мероприятия, предусмотренного п. 5.8.8 Стандарта?
7. Достаточно ли для исполнения п. 5.8 БС СОФР при проведении мероприятий по пп. 5.8.3, 5.8.4, 5.8.5, 5.8.8 Стандарта осуществлять проверку только по сформированной внутренней базе МФО, то есть использовать сведения, полученные ранее при заключении договоров займа от других пользователей финансовых услуг?
Ответ: Департамент небанковского кредитования (далее - ДНК) рассмотрел обращение СРО от 26.12.2023 (далее - обращение) и сообщает, что СРО является непосредственным разработчиком Базового стандарта совершения микрофинансовой организацией операций на финансовом рынке <1> (далее - Базовый стандарт).
--------------------------------
<1> Утвержден Банком России, Протокол от 19.01.2023 N КФНП-2.
Вместе с тем относительно проведения микрофинансовыми организациями (далее - МФО) мероприятий по верификации данных заемщика, предусмотренных пунктом 5.8 Базового стандарта, сообщаем следующее.
По вопросу 1
В дополнение к информации об использовании МФО Системы быстрых платежей (далее - СБП), изложенной в письме Департамента микрофинансового рынка (в настоящее время ДНК) от 13.09.2022 N 44-14/3998, сообщаем, что перечисление заемщику суммы микрозайма через СБП может свидетельствовать о выполнении МФО требований подпункта 5.8.3 пункта 5.8 Базового стандарта.
При этом полагаем, что МФО при проведении верификации данных заемщика следует оценивать достаточность имеющихся данных для целей выполнения требований подпункта 5.8.3 пункта 5.8 Базового стандарта.
По вопросу 2
Проведение МФО указанной в обращении совокупности мероприятий будет подтверждать наличие доступа лица, подавшего в МФО заявку на получение онлайн-микрозайма, к соответствующему абонентскому номеру, однако не будет свидетельствовать о наличии доступа к нему именно того лица, данные которого подлежат указанию в договоре микрозайма в качестве данных получателя финансовой услуги.
Таким образом, по мнению ДНК, указанный способ не может рассматриваться как достаточный для исполнения подпункта 5.8.4 пункта 5.8 Базового стандарта.
По вопросу 3
По мнению ДНК, определение IP-адреса позволяет лишь идентифицировать устройство, используемое для получения онлайн-микрозайма, и не означает проведение МФО анализа использования такого устройства на предмет возможности его использования для неправомерного получения денежных средств третьими лицами в соответствии с подпунктом 5.8.5 пункта 5.8 Базового стандарта.
По вопросу 4
По мнению ДНК, предусмотренная подпунктом 5.8.6 пункта 5.8 Базового стандарта проверка соответствия внешности физического лица - получателя финансовой услуги внешности физического лица, персональные данные которого представлены для получения онлайн-микрозайма, может осуществляться путем сверки сотрудниками МФО фотографии заемщика (в том числе фотографии заемщика с разворотом паспорта, где размещена его фотография) с фотографией в паспорте заемщика. При этом обращаем внимание, что исходя из подпункта 5.8.6 пункта 5.8 Базового стандарта помимо проверки соответствия внешности заемщика МФО необходимо организовать взаимодействие с ним с использованием средств видеосвязи.
По вопросам 5 и 7
При проведении мероприятий, предусмотренных пунктом 5.8 Базового стандарта, МФО должна обеспечивать анализ такого массива данных и применение таких мер, которые будут достаточны и эффективны для выявления и пресечения попыток совершения третьими (неустановленными) лицами действий, направленных на получение в дистанционной форме денежных средств в виде микрозаймов МФО с использованием персональных данных других физических лиц (далее - мошеннические операции). Для целей определения достаточности массива данных для анализа и эффективности применяемых мер должен учитываться уровень потенциального риска, в том числе методы (инструменты) реализации мошеннических операций, применявшиеся или возможные к применению неустановленными лицами на рынке микрофинансирования. Информация об этом направлялась в СРО письмом Департамента микрофинансового рынка (в настоящее время ДНК) от 08.06.2023 N 44-13/2184.
По мнению ДНК, при проведении проверки данных заемщика в соответствии с подпунктом 5.8.7 пункта 5.8 Базового стандарта МФО нецелесообразно ограничиваться массивом данных о заемщике, основанных исключительно на сведениях, содержащихся в его кредитной истории.
По вопросу 6
В целях выполнения требований подпункта 5.8.8 пункта 5.8 Базового стандарта МФО следует проводить такие мероприятия, которые подтверждают или опровергают факт наличия доступа к адресу электронной почты именно того лица, данные которого используются для получения онлайн-микрозайма.
Заместитель директора Департамента
небанковского кредитования - начальник
Управления регулирования
Р.В.НОВИКОВ
18.01.2024