Вопрос: СРО благодарит за ответ (от 18.01.2024 исх. N 44-13/119, далее по тексту - Ответ) на ее обращение от 26.12.2023 (далее по тексту - Обращение), однако при этом остались вопросы, ответы на которые в Ответе не содержатся либо не являются очевидными, так как не позволяют однозначным образом истолковать их смысл.
1. В Обращении содержался вопрос 1.1: правильно ли, что перечисление МФО суммы займа на банковский счет физического лица будет являться одновременно предусмотренной п. 5.8.3 Базового стандарта совершения микрофинансовой организацией операций на финансовом рынке (далее - Стандарт, БС СОФР) проверкой принадлежности этому физическому лицу банковского счета, так как при несоответствии реквизитов счета или Ф.И.О. получателя - физического лица, указанных в распоряжении МФО (в платежном поручении), реквизитам (сведениям) о получателе, содержащимся в банке получателя средств, операция по зачислению денежных средств не будет осуществлена и денежные средства будут возвращены МФО?
Ответ не содержит ответа на указанный выше вопрос.
2. В Обращении содержались вопросы:
"6.1. Является ли проверка домена электронной почты на наличие его в черном списке (например, на сайте Spamhaus Reputation checker можно проверить домен почты) соответствующей и достаточной для признания ее в качестве осуществления МФО мероприятия, предусмотренного п. 5.8.8 Стандарта, в части анализа использования адреса электронной почты, информация о котором предоставлена для получения онлайн-микрозайма, на предмет возможности его использования для неправомерного получения денежных средств третьими лицами?
6.2. Считается ли проведением предусмотренной п. 5.8.8 Стандарта проверки использование потенциальным заемщиком ЕСИА для идентификации?
6.3. Являются ли действия МФО по направлению на представленную получателем финансовых услуг электронную почту ссылки для входа в личный кабинет на сайте МФО в совокупности с предусмотренными п. 5.8.10 Стандарта получением и анализом данных из социальных сетей потенциального заемщика соответствующими и достаточными для признания их в качестве осуществления МФО проверки, предусмотренной п. 5.8.8 БС СОФР?
6.4. Является ли анализ электронного адреса на предмет нелогичных повторений символов или иных аномалий в адресе соответствующей и достаточной проверкой для признания его (анализа) в качестве осуществления МФО мероприятия, предусмотренного п. 5.8.8 Стандарта?".
В Ответе на указанные выше вопросы указано: "В целях выполнения требований пп. 5.8.8 п. 5.8 Базового стандарта МФО следует проводить такие мероприятия, которые подтверждают или опровергают факт наличия доступа к адресу электронной почты именно того лица, данные которого используются для получения онлайн-микрозайма".
То есть из Ответа нельзя установить позицию Банка России относительно того, соответствуют или нет указанные в п. п. 6.1 - 6.4 Обращения действия предусмотренному пп. 5.8.8 п. 5.8 Стандарта мероприятию по проверке личности лица, обратившегося в микрофинансовую организацию за онлайн-микрозаймом: можно предположить как то, что Банк России считает эти действия не соответствующими предусмотренному пп. 5.8.8 п. 5.8 Стандарта проверочному мероприятию, так и то, что Банк России, обозначая цель проведения мероприятия (которая МФО известна и вопрос о которой в Обращении не содержался) без обозначения инструментов, которые, по его мнению, должны использоваться для ее достижения, соглашается с тем, что указанные в п. п. 6.1 - 6.4 Обращения действия соответствуют предусмотренному пп. 5.8.8 п. 5.8 Стандарта проверочному мероприятию.
СРО, не являясь инициатором положений Стандарта про дополнительные проверки, полностью поддерживает необходимость применения специального инструментария для предотвращения мошеннических займов. Однако контрольно-надзорные полномочия СРО требуют точной правовой оценки содержащихся в Стандарте положений, не допускающей ни формального подхода, ни расширительного толкования, так как требования Стандартов должны быть одинаково понятными для МФО и СРО, практика применения Стандарта должна быть единообразной, а деятельность СРО - прозрачной. Иной подход приведет к утрате доверия к саморегулированию со стороны МФО и сделает невозможной деятельность СРО по предотвращению правонарушений. В связи с тем что деятельность СРО подлежит проверке со стороны Банка России, для СРО чрезвычайно важна позиция Банка России для правильного понимания максимально широко сформулированных в Стандарте требований ст. 5.8.
В связи с вышеизложенным СРО предлагается повторно рассмотреть указанные выше вопросы и довести до ее сведения позицию Банка России, толкование которой позволит МФО - членам СРО руководствоваться ею однозначным образом.
Ответ: Департамент небанковского кредитования (далее - ДНК) рассмотрел обращение СРО от 11.02.2024 (вх. от 12.02.2024) и в дополнение к письму ДНК от 18.01.2024 N 44-13/119 относительно проведения микрофинансовыми организациями (далее - МФО) мероприятий по верификации данных заемщика, предусмотренных пунктом 5.8 Базового стандарта совершения микрофинансовой организацией операций на финансовом рынке (далее - Базовый стандарт), сообщает следующее.
По вопросу 1
По мнению ДНК, перечисление МФО суммы займа на банковский счет заемщика может рассматриваться в качестве проверки в соответствии с требованиями подпункта 5.8.3 пункта 5.8 Базового стандарта при одновременном проведении проверки соответствия реквизитов банковского счета и фамилии, имени и отчества (при наличии) получателя денежных средств, указанных в платежном поручении МФО, аналогичным реквизитам и сведениям о получателе денежных средств, имеющимся у банка, в котором у последнего открыт рассматриваемый банковский счет.
По вопросу 2
Согласно подпункту 5.8.8 пункта 5.8 Базового стандарта МФО необходимо проверить наличие доступа получателя финансовой услуги к адресу электронной почты и (или) провести анализ использования адреса электронной почты, информация о котором представлена для получения онлайн-микрозайма, на предмет возможности его использования для неправомерного получения денежных средств третьими лицами.
Домен электронной почты может являться бесплатным общедоступным сервисом (mail.ru, yandex.ru, gmail.com и т.д.), на котором зарегистрировано значительное количество почтовых адресов, не связанных с конкретным получателем финансовой услуги. Таким образом, сверка подобного домена электронной почты с данными общедоступных "черных" списков не позволит проанализировать использование адреса электронной почты получателя финансовой услуги.
Приведенный СРО в пример ресурс <1> содержит специфичные данные о доменах электронной почты, с которых осуществляется рассылка информации без согласия получателя (спам-рассылка). Данные об источниках спам-рассылок не соотносятся с целью предполагаемого подпунктом 5.8.8 пунктом 5.8 Базового стандарта анализа, а именно анализа для оценки возможности неправомерного получения займов МФО третьими лицами. Описания каких-либо фактических обстоятельств, которые свидетельствовали бы о применимости и достаточной результативности анализа данных указанного или иных ресурсов с источниками спам-рассылок для целей выявления мошеннических операций, вместе с обращением СРО не представлено.
--------------------------------
<1> Сайт в информационно-телекоммуникационной сети Интернет - Spamhaus Reputation checker.
С учетом изложенного на текущем этапе ДНК не может прийти к выводу, что сверка домена электронной почты с данными общедоступных "черных" списков (включая названный в обращении СРО ресурс) является способом надлежащего исполнения подпункта 5.8.8 пункта 5.8 Базового стандарта.
Из-за отсутствия в обращении СРО описания критериев признания нелогичными повторения символов, критериев определения иных аномалий в адресе электронной почты, а также способов исключения субъективизма такого анализа и оценки его результативности в целях выявления мошеннических операций ДНК также не представляется возможным представить позицию относительно возможности признания анализа адреса электронной почты на предмет нелогичных повторений символов и иных аномалий соответствующим анализу, предусмотренному подпунктом 5.8.8 пункта 5.8 Базового стандарта.
Исходя из положений Федерального закона от 07.08.2001 N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - Закон N 115-ФЗ) идентификация - совокупность мероприятий по установлению определенных Законом N 115-ФЗ сведений о клиентах и подтверждению достоверности этих сведений с использованием оригиналов документов и (или) надлежащим образом заверенных копий и (или) государственных и иных информационных систем.
Сведения об адресе электронной почты физического лица Законом N 115-ФЗ не отнесены к числу сведений, которые устанавливаются при идентификации физического лица для целей осуществления операций с денежными средствами.
Принимая во внимание изложенное, а также в отсутствие иной информации ДНК не считает, что идентификация МФО заемщика с помощью Единой системы идентификации и аутентификации будет означать проверку ею наличия доступа к соответствующему адресу электронной почты именно того физического лица, данные которого указаны в качестве данных заемщика при обращении в МФО за получением онлайн-микрозайма, или проведение ею анализа использования адреса электронной почты на предмет возможности его использования для неправомерного получения денежных средств третьими лицами. Следовательно, исходя из имеющейся информации такой способ не может рассматриваться в качестве проверки в соответствии с подпунктом 5.8.8 пункта 5.8 Базового стандарта.
Направление на представленный при подаче заявки на онлайн-микрозаем адрес электронной почты ссылки для входа в личный кабинет на сайте МФО, по мнению ДНК, также не означает проверку наличия доступа к указанному адресу электронной почты именно того физического лица, данные которого указаны в качестве данных получателя финансовой услуги, или проведение анализа его использования на предмет возможности его использования для неправомерного получения денежных средств третьими лицами и, следовательно, не может рассматриваться в качестве проверки в соответствии с подпунктом 5.8.8 пункта 5.8 Базового стандарта.
Использование МФО одного и того же метода для исполнения разных подпунктов пункта 5.8 Базового стандарта считаем недопустимым.
Обращаем внимание, что формальное соответствие описания выбранных МФО методов (инструментов, сервисов) описанию проверок, предусмотренных пунктом 5.8 Базового стандарта, не должно рассматриваться в качестве свидетельства исполнения МФО требований Базового стандарта, если выбранные МФО методы (инструменты, сервисы) не позволяют ей выявлять и пресекать мошеннические операции.
Дополнительно сообщаем о возможности в последующем рассмотрения вопросов о соответствии требованиям пункта 5.8 Базового стандарта использования МФО того или иного метода (инструмента, сервиса и пр.) только при условии предоставления в составе вопросов информации о предполагаемом для оценки методе (инструменте, сервисе, пр.) и обстоятельствах, которые позволяют саморегулируемой организации в сфере финансового рынка, объединяющей микрофинансовые организации, или МФО предполагать соответствие данного метода (инструмента, сервиса, пр.) требованиям пункта 5.8 Базового стандарта и обусловливать направление в ДНК вопроса для подтверждения такого соответствия.
Эта информация в совокупности может включать сведения о функциональном назначении метода (инструмента, сервиса, пр.), алгоритмах заложенного в него анализа, составе, охвате и объеме анализируемых данных, их источниках, результативности анализа в рассматриваемых целях, обоснование соответствия требованиям пункта 5.8 Базового стандарта. В условиях отсутствия такой информации сформировать позицию по некоторым вопросам не представляется возможным.
Заместитель директора Департамента
небанковского кредитования - начальник
Управления регулирования
Р.В.НОВИКОВ
04.03.2024