№ 56-5-1/753 от 30.01.2026 О вопросах, касающихся применения признаков перевода денежных средств без добровольного согласия клиента, в том числе в отношении переводов цифровых рублей

N

Признак приказа N ОД-2506

Вопросы

Комментарии Банка России

1

Общие вопросы к приказу N ОД-2506

Признаки в Приказе Банка России распространяются на физических лиц, индивидуальных предпринимателей и юридических лиц?

В Федеральном законе N 161-ФЗ <1>, указаниях и положениях Банка России, регулирующих предотвращение банками проведения операций без добровольного согласия клиентов, установлены требования для юридических, физических лиц и в целом для всех клиентов кредитной организации. Отдельных требований для физических лиц, являющихся индивидуальными предпринимателями, не предусмотрено.

Распространяются ли все регуляторные положения и требования, предусмотренные для физических лиц - клиентов банков, на физических лиц - клиентов банков, являющихся индивидуальными предпринимателями, в том числе предусмотренные Приказом Банка России?

Признаки осуществления перевода денежных средств без добровольного согласия клиента (далее - признаки), установленные приказом N ОД-2506, распространяются на всех клиентов, за исключением признаков, в которых прямо указаны субъекты, в отношении которых данный признак подлежит применению (например, подпункты 1.11 и 1.12 пункта 1 приложения к приказу N ОД-2506)

Какой режим штрафных санкций установлен для кредитных организаций, которые не внедрят требования Приказа Банка России в полном объеме до даты вступления их в силу (01.01.2026), и какова процедура их назначения?

Существует ли переходный период, или "мягкое" внедрение требований, или требования должны быть реализованы в полном объеме с первого дня вступления Приказа Банка России в силу?

Приказ N ОД-2506 размещен на официальном сайте Банка России в информационно-телекоммуникационной сети Интернет 14.11.2025. При этом признаки установлены с 01.01.2026 (за исключением признака, установленного подпунктом 1.2 пункта 1 приложения к приказу N ОД-2506, который применяется с 01.03.2026).

В случае неисполнения кредитными организациями требований, установленных законодательством Российской Федерации, Банк России вправе применить в отношении таких кредитных организаций меры воздействия, предусмотренные статьей 74 Федерального закона N 86-ФЗ <2>

Планируется ли Банком России дополнительный выпуск методических рекомендаций, описывающих конкретные примеры реализации новых требований Приказа с учетом заданных на семинаре вопросов банков?

Разработка указанных в обращении рекомендаций не предполагается

2

Подпункт 1.1 пункта 1 приложения к приказу N ОД-2506

Распространяется ли указанный критерий на операции, в которых получателем средств является торгово-сервисное предприятие (ТСП), то есть оплата товаров/услуг через терминал или онлайн-эквайринг, и выявлено совпадение по ИНН получателя с базой данных?

Да, распространяется

Будут ли расширены базы фидов Банка России и МВД?

Будет ли добавлен счет цифрового рубля в базу данных?

Есть ли установленные сроки расширения базы данных?

Механизм формирования базы данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента (далее - база данных) совершенствуется на постоянной основе с учетом практики его функционирования.

Указанием Банка России N 6828-У <3> предусмотрено направление в Банк России информации о номере счета цифрового рубля участниками информационного обмена

3

Подпункт 1.2 пункта 1 приложения к приказу N ОД-2506

Подразумевается ли создание новой базы данных по аналогии с базой фидов?

Как получить доступ к ГИС "Антифрод"? Банкам необходимо изучить систему и оценить возможность реализации до вступления обязанности в силу.

На сегодняшний день отсутствует документация с перечнем требований и порядком подключения банков к ГИС "Антифрод". В срок до 01.03.2026 могут появиться трудоемкие пункты.

Планируется ли и в какие сроки подготовка Банком России дополнительной документации по интеграции с ГИС "Антифрод"?

Банки просят разъяснить порядок подключения к ГИС "Антифрод":

- где можно найти официальные контакты для подачи запроса на подключение;

- где можно получить техническую документацию, регламенты и спецификацию API;

- какие правовые шаги необходимо выполнить для подключения?

В соответствии с частью 3 статьи 1 Федерального закона N 41-ФЗ <4> оператором государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий (далее - ГИС "Антифрод"), является Минцифры России.

В связи с этим вопросы, в том числе связанные с порядком подключения к ГИС "Антифрод", ее функционированием, реализацией пилотного проекта <5>, относятся к компетенции Минцифры России.

Также отмечаем, что обязанность применения признака, предусмотренного подпунктом 1.2 пункта 1 приложения к приказу N ОД-2506, возникает с момента начала функционирования ГИС "Антифрод" в соответствии со сроком, установленным частью 5 статьи 16 Федерального закона N 41-ФЗ

Какой перечень сведений (данных) будет содержаться в ГИС "Антифрод"?

Информация в ГИС "Антифрод" не проходит дополнительной валидации моделей поставщиков данных и не позволяет установить надлежащее качество представляемых сведений, что может повлиять на процессы антифрода и клиентский опыт. Как Банк России будет отслеживать качество и достоверность предоставляемой информации?

Перечень информации, обрабатываемой в ГИС "Антифрод", устанавливается Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности в соответствии с частью 4 статьи 1 Федерального закона N 41-ФЗ.

В настоящее время перечень указанной информации обсуждается.

Полагаем, что вопросы достоверности и качества обрабатываемой в указанной системе информации относятся к компетенции оператора ГИС "Антифрод"

4

Подпункт 1.3 пункта 1 приложения к приказу N ОД-2506

Показатель контролируется на уровне протокола взаимодействия банкомата и процессингового центра. При превышении установленного времени происходит отклонение запроса банкомата без участия системы антифрода. Требуется ли учет указанных отклонений в системе антифрода? Если да, то на контроль каких операций должно влиять отклонение по протоколу?

Является ли этот признак (APDU) техническим индикатором компрометации карты, или могут быть легитимные причины превышения времени ответа (например, проблемы с сетью, устаревшее оборудование)?

Верно ли полагать, что признак относится к банку-эмитенту и не участвует в контроле операций эквайринга?

Распространяется ли на эмитентов карт требование применять информацию о наличии превышения?

Каким образом возможно получить информацию о наличии признака эмитенту платежной или токенизированной (цифровой) платежной карты по операциям, совершенным в банкоматах сторонних банков?

К каким типам операций относится признак?

Предложение:

Банки предлагают конкретизировать данный признак формулировкой относительно операции, которая осуществляется клиентом с использованием данной технологии, так как получение информации о превышении времени ответа на запрос без уточнения предполагает реакцию на операции перевода, совершаемые клиентом без учета транзакционной активности клиента, что влечет за собой высокий риск ложных срабатываний

Указанный признак следует применять в отношении операций по внесению наличных денежных средств на банковские счета и выдаче наличных денежных средств с банковских счетов с применением платежных карт, в том числе токенизированных (цифровых) платежных карт, в рамках перевода без открытия банковского счета через банкоматы бесконтактным способом с использованием технологии NFC, в частности NFC Gate.

Кредитным организациям - владельцам банкоматов было рекомендовано реализовать механизм проверки таймаута ответа на команду GENERATE AC на стороне банкомата в соответствии с выпущенным АО "НСПК" 06.06.2025 операционным бюллетенем #10.2025 "О повышении устойчивости инфраструктуры к атакам с использованием NFC Gate".

Полагаем, что конкретизация указанного признака не требуется.

Также отмечаем, что, согласно части 3.12 статьи 8 Федерального закона N 161-ФЗ, оператор по переводу денежных средств, обслуживающий получателя средств, при выявлении операции, соответствующей признакам, направляет, если это предусмотрено правилами платежной системы, в рамках которой осуществляется перевод денежных средств, оператору по переводу денежных средств, обслуживающему плательщика, информацию о такой операции в рамках реализации мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента, предусмотренных частью 4 статьи 27 Федерального закона N 161-ФЗ

5

Подпункт 1.4 пункта 1 приложения к приказу N ОД-2506

Верно ли банки понимают, что речь об индикаторах подозрительной операции СБП (ЭБД 108 и ЭБД 109) и Transaction Fraud Indicator (ПЛ-048.ЭЛ-17)?

Если да, то в каком элементе базы данных и в какой позиции фигурирует информация о факторах риска компрометации данных электронного средства платежа?

Если имеется в виду иное, просьба конкретизировать, в каких полях и (или) атрибутах содержится данная информация, на которую ссылается пункт 1.4.

Банки предлагают конкретизировать, какие значения индикаторов подозрительных операций и Transaction Fraud Indicator относятся к данному пункту.

Влияет ли конкретный уровень риска (низкий, средний, высокий, иной) на принятие решения о выявлении признаков совершения операции без добровольного согласия либо вне зависимости от конкретного уровня риска подлежат применению меры, предусмотренные Федеральным законом от 27.06.2011 N 161-ФЗ "О национальной платежной системе" <2>?

Как указанная информация "об уровне риска осуществления операции без добровольного согласия клиента" и "о факторах риска компрометации данных электронного средства платежа" соотносится с информацией, получаемой оператором по переводу денежных средств <3> от операционного центра НСПК в соответствии со статьей 30.6-1 Федерального закона N 161-ФЗ, согласно которой "Операционный центр НСПК обязан предоставлять операторам по переводу денежных средств информацию о платежных картах, в том числе токенизированных (цифровых) платежных картах (включая номер платежной карты и количество дней с момента преобразования данных (токенизации) платежной карты), а также об иных электронных средствах платежа, выпущенных в электронном виде, посредством передачи им технического протокола, содержащего информацию о признаках операции без добровольного согласия клиента, в порядке и сроки, которые предусмотрены правилами НСПК"

Информация об уровне риска осуществления операции без добровольного согласия клиента, о факторах риска компрометации данных электронного средства платежа, содержащаяся в: авторизационных сообщениях ОУПИ <6>, - направляется в соответствии с положениями Стандарта платежной системы "Мир" "Порядок использования информации, предоставляемой системой фрод-мониторинга НСПК Участникам";

электронных сообщениях ОПКЦ <7> СБП <8>, - направляется в соответствии с положениями Стандарта ОПКЦ СБП "Порядок проведения мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента".

Для получения разъяснений содержания указанных стандартов рекомендуем обратиться в АО "НСПК"

6

Подпункт 1.5 пункта 1 приложения к приказу N ОД-2506

В рамках какого процесса предполагается использование информации об устройстве? Речь о сервисе НСПК - "Найди ID"? Предполагается ли обязательность для банков в использовании данного сервиса?

Если речь не об упомянутом сервисе, то о каких процессах в данном пункте идет речь?

В настоящее время не существует единого параметра - идентификатора устройства, который мог бы быть использован в информационном обмене. Речь о подозрительных устройствах, параметры которых зафиксированы во внутренних системах банка?

Информация о параметрах устройств, с которых был осуществлен перевод денежных средств без добровольного согласия клиента, все еще недоступна для получения. В какие сроки планируется обеспечить распространение данной информации?

Под базой данных подразумевается база фидов Банка России? Имеется в виду, что база фидов будет расширена на параметры устройств?

Если в данном пункте имеется в виду база данных Банка России о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента (согласно Федеральному закону N 161-ФЗ), то банки просят пояснить, какие данные, куда и каким образом передает Банк России

Реализация применения указанного признака может осуществляться различными способами, в том числе посредством сервиса АО "НСПК" "Найди ID", а также посредством самостоятельного формирования и ведения кредитными организациями списков, содержащих информацию о параметрах устройств, с использованием которых осуществляется доступ к автоматизированной системе, программному обеспечению в целях осуществления перевода денежных средств без добровольного согласия клиента.

Под "базой данных" понимается база данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента, формирование и ведение которой осуществляются Банком России на основании части 5 статьи 27 Федерального закона N 161-ФЗ.

Также отмечаем, что в рамках пилотной группы осуществляется взаимодействие с представителями кредитно-финансовой отрасли с целью отработки технических аспектов обмена информацией о цифровых отпечатках устройств.

Вопросы предоставления информации о цифровых отпечатках устройств будут прорабатываться после завершения функционирования пилотной группы

7

Подпункт 1.6 пункта 1 приложения к приказу N ОД-2506

Кредитные организации просят ответить по заданным ниже сценариям, предполагается ли реагирование антифрод-системой, поскольку, исходя из понимания пункта 1.6, под контроль и реагирование может попасть любая операция.

1. Ранее не снимал средства в данном АТМ, но снимал в этом же городе ранее, сумма снятия характерна - предполагается ли реагирование в данном сценарии, согласно части "место осуществления операции" пункта 1.6?

2. Ранее не совершал покупки, например, в Дикси, но совершал в иных ТСП продуктовой тематики, то есть МСС характерен. Предполагается ли реагирование?

3. Ранее совершал операции в ТСП определенного МСС на сумму не более 500 руб., сегодня совершает операцию на 5 000 руб., то есть превышение суммы в 10 раз. То есть сценарий подпадает под критерий "сумма осуществления операции"?

На все вышеперечисленные сценарии по логике пункта 1.6 необходимо реагирование. Вместе с тем это означает огромное количество ложных сработок, отклонений операций, блокировок ЭСП.

Планирует ли Банк России выпуск методики выявления нетипичной операции по данному признаку или установление более четких критериев?

Каким образом необходимо рассматривать характерность времени операции? Разделять сутки на несколько периодов (например, 4 раза по 6 часов или 8 раз по 3 часа) и проверять историю совершения операций в каждом из них? Или же речь идет о каком-то одном рисковом периоде, например, ночное время (с 22:00 по 07:00, или разделение ночи на несколько интервалов, так как активность в 23 часа не так подозрительна, как в 3 часа ночи).

На что ориентироваться для определения места осуществления операции:

- ГР-адрес (полный или только его часть, например, первые 2 октета);

- город по GeoIP;

- если речь идет об АТМ, то смотреть на срок связи с самим терминалом или достаточно города или региона?

Равноценно ли введение признака вменению правового риска банкам?

Кредитные организации просят уточнить, как можно применять данный признак нетипичности совершения операции по отношению к операциям, совершаемым клиентами без открытия счета в банке (например, единоразовые операции по переводу денежных средств). Данный вопрос особенно актуален для операторов платежных систем.

Нужно ли учитывать использование изменения информации об IP-адресе (VPN.pro.xy) при совершении операции клиентом, а также типичность использования клиентом данных сервисов, а также изменения информации о геолокации с учетом применения средств радиоэлектронный борьбы, которые влекут за собой изменения информации о местоположении клиента кредитной организации при использовании каналов цифрового обслуживания? Использование информации о местоположении без учета транзакционной активности, по оценке банков, может повлечь за собой высокий риск ложных срабатываний и рост числа блокировок

В соответствии с частью 3.5 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам, в том числе на основе анализа характера, параметров и объема совершаемых его клиентами операций (осуществляемой клиентами деятельности).

Таким образом, выявление признаков осуществляется в рамках процедур управления рисками на основании анализа профиля клиента и имеющейся у кредитной организации информации о характере, и (или) параметрах, и (или) объеме совершаемых ее клиентом операций.

При этом кредитная организация самостоятельно определяет отклонение в параметрах совершаемых ее клиентом операций по переводу денежных средств от параметров таких операций, обычно совершаемых клиентом кредитной организации (нетипичность).

Разработка указанных в обращении рекомендаций не предполагается.

Полагаем, что в отношении операций без открытия банковского счета данный признак может применяться, например, банком - эмитентом платежной карты

8

Подпункт 1.7 пункта 1 приложения к приказу N ОД-2506

Правильно ли банки понимают, что данное условие предоставляет право ОПДС вести внутренние перечни получателей средств и их электронных средств платежа <4> и отказывать в проведении операции / приостанавливать проведение операции в случаях, предусмотренных Законом N 161-ФЗ?

Может ли информация во "внутренних перечнях" ОПДС отличаться от информации в базе данных ФинЦЕРТ?

Должен ли банк передавать информацию из внутренних перечней в Базу данных ФинЦЕРТ или нет, в каких случаях допускается не передавать указанные сведения?

Правильно ли банки понимают, что отказ в проведении операции / приостановление операции в силу нахождения получателя средств и (или) его ЭСП во внутренних перечнях ОПДС влечет освобождение ОПДС от ответственности за указанные действия перед клиентом в случае предъявления претензий?

В соответствии с частью 3.5 статьи 8 Федерального закона N 161-ФЗ оператор по переводу денежных средств в рамках реализуемой им системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без добровольного согласия клиента.

Таким образом, полагаем, что оператор по переводу денежных средств вправе формировать внутренние перечни, которые могут быть использованы при проведении антифрод-мероприятий.

Кроме того, приостановление распоряжения клиента о переводе денежных средств (отказ в операции (переводе)), соответствующем признаку, установленному подпунктом 1.7 пункта 1 приложения к приказу N ОД-2506, согласно части 3.4 статьи 8 Федерального закона N 161-ФЗ, осуществляется оператором по переводу денежных средств для получения от клиента подтверждения такого перевода (операции).

При этом подпункт 1.7 пункта 1 приложения к приказу N ОД-2506 не устанавливает обязанности по формированию указанных перечней.

Порядок направления операторами по переводу денежных средств в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без добровольного согласия клиента установлен Указанием Банка России N 6828-У.

В случае выявления признака, предусмотренного подпунктом 1.7 пункта 1 приложения к приказу N ОД-2506, кредитные организации обязаны осуществить мероприятия по противодействию осуществлению переводов денежных средств без добровольного согласия клиента, предусмотренные статьей 8 Федерального закона N 161-ФЗ.

Также отмечаем, что пунктом 1.2 Указания Банка России N 6828-У предусмотрена обязанность операторов по переводу денежных средств направлять в Банк России информацию о переводах денежных средств без добровольного согласия клиента в том числе в случаях выявления операций, которые соответствуют признакам операций с цифровым рублем, которые соответствуют признакам, при условии, что после приостановления приема к исполнению распоряжения клиента по операции (отказа в совершении операции), соответствующей признакам, приостановления приема к исполнению распоряжения клиента по операции с цифровым рублем, соответствующей признакам, получена информация о попытке перевода денежных средств без добровольного согласия клиента

9

Подпункт 1.8 пункта 1 приложения к приказу N ОД-2506

Каким образом предполагается получение данной информации? Речь идет о "черных списках" МВД России?

Откуда в банк будет поступать информация о возбужденном уголовном деле? Будет какой-то сервис взаимодействия банков и МВД России или эта информация будет в ГИС "Антифрод", тогда применение также с 01.03.2026? Речь идет о поступающих запросах МВД России через личный кабинет ФинЦЕРТ? Или это внутренняя база, которую банк должен вести на основании обращений пострадавших клиентов?

Предполагает ли данный признак ведения в банке отдельного учета клиентов - фигурантов уголовных дел?

Информация о возбуждении уголовного дела кредитной организацией может быть получена из официальных источников, в том числе при запросе уполномоченными органами, например МВД России, документов.

Документом, подтверждающим факт возбуждения уголовного дела, является постановление о возбуждении уголовного дела.

Также полагаем, что на основании подпункта 1.8 пункта 1 приложения к приказу N ОД-2506 целесообразно учитывать информацию о возбуждении уголовных дел в отношении получателя средств в связи с совершением им противоправных действий, связанных с осуществлением перевода денежных средств без добровольного согласия клиента.

Информация о переводах денежных средств без добровольного согласия клиента, а также о переводах денежных средств, связанных с переводами денежных средств без добровольного согласия клиента, в отношении которых от федерального органа исполнительной власти в сфере внутренних дел в соответствии с частью 8 статьи 27 Федерального закона N 161-ФЗ получены сведения о совершенных противоправных действиях, содержится в базе данных и, следовательно, учитывается в рамках признака, предусмотренного подпунктом 1.1 пункта 1 приложения к приказу N ОД-2506.

Признак целесообразно применять с момента получения информации о возбуждении уголовного дела до момента исчезновения основания для применения указанного признака.

Полагаем, что кредитные организации самостоятельно определяют критерии учета информации о возбуждении уголовных дел в отношении получателя средств в связи с совершением им противоправных действий, связанных с осуществлением перевода денежных средств без добровольного согласия клиента.

Разработка указанных в обращении рекомендаций не предполагается

Будет ли такая обязанность закреплена в регуляторных документах Банка России?

Какие именно документы будут считаться достаточными для документального подтверждения?

В течение какого периода после получения такой информации банк должен срабатывать на реквизиты получателя?

В случае представления каких документов ОПДС может считать документально подтвержденным факт возбуждения уголовного дела в отношении получателя денежных средств?

Относятся ли к ним жалобы или заявления клиента, третьих лиц, содержащие сведения о факте совершения преступления и возбуждения уголовного дела (дата и номер), в отношении получателя? Или к таким документам относятся исключительно процессуальные документы, вынесенные в рамках уголовного дела (постановление о возбуждении уголовного дела, о признании потерпевшим, постановление о разрешении наложения ареста (о наложении ареста), о разрешении производства выемки, приговора суда, протоколы следственных действий, сопроводительные письма следственных органов и т.д.)?

Какие требования должны предъявляться к подобного рода документам?

Если предлагается представлять не только оригиналы документов, но и заверенные копии, то банки полагают необходимым уточнить требования к заверению документов.

Каким образом следует осуществлять идентификацию получателя денежных средств в случае, если в подтверждающем документе недостаточно идентификаторов или имеет место совпадение по ним с другими клиентами банка (например, совпадают Ф.И.О., отсутствуют реквизиты документа, удостоверяющего личность)?

Следует ли применять данный признак в случае наличия в банке документа, подтверждающего как факт возбуждения уголовного дела в отношении получателя денежных средств, так и факт прекращения уголовного дела (например, в связи с наличием постановления о прекращении уголовного дела в связи с отсутствием состава преступления)?

Какие составы преступлений, предусмотренные нормами Уголовного кодекса РФ, по которым могут быть возбуждены уголовные дела в отношении получателя денежных средств, совершившего противоправные действия, связанные с осуществлением перевода денежных средств без добровольного согласия клиента, должны быть указаны в подтверждающих документах для целей применения признака?

10

Подпункт 1.9 пункта 1 приложения к приказу N ОД-2506

Верно ли банки понимают, что в пункте опечатка? Исходя из пункта все события, произошедшие менее чем за шесть часов ДО, не являются признаками ОБДС. А все, что более шести часов, является признаками ОБДС. Таким образом, если указанные факты выявлены, например, несколько минут / один час назад, критерий неприменим? Банки предполагают, что пункт 1.9 должен быть сформулирован следующим образом:

"Наличие информации, полученной от операторов связи, владельцев мессенджеров, владельцев сайтов в информационно-телекоммуникационной сети Интернет и (или) иных юридических лиц, о том, что в период менее чем шесть часов до момента направления распоряжения о переводе денежных средств ими выявлены:..."

Как банки технически смогут получить информацию о телефонных переговорах и сообщениях в мессенджерах за шестичасовой период? Означает ли это доступ к содержанию переписки или только к метаданным (время, частота, номера)?

Планируется ли регулятором(ами) для операторов связи, владельцев мессенджеров, сайтов и других юридических лиц выпуск методики выявления нетипичных переговоров или фактов нетипичного получения сообщений по данному признаку?

По какому алгоритму и какими техническими средствами оператор связи будет осуществлять выявление "нетипичных" телефонных переговоров для каждого абонента?

Каковы формат и каналы предоставления данной информации кредитным организациям?

Каков механизм получения кредитной организацией от оператора связи персональных данных о поведенческих паттернах клиентов конкретной кредитной организации?

Временной период, равный шести часам до момента направления распоряжения о переводе денежных средств, является минимальным временным периодом, в рамках которого оператор по переводу денежных средств осуществляет проверку наличия информации, указанной в подпункте 1.9 пункта 1 приложения к приказу N ОД-2506.

Полагаем, что операторы по переводу денежных средств могут самостоятельно в рамках собственной системы управления рисками определить временной период продолжительностью не менее шести часов, в рамках которого осуществляется указанная проверка.

Способы получения кредитными организациями информации, указанной в подпункте 1.9 пункта 1 приложения к приказу N ОД-2506, не установлены.

Полагаем, что кредитные организации могут получать указанную информацию в том числе в рамках соглашений, заключаемых с операторами связи, владельцами мессенджеров, владельцами сайтов в информационно-телекоммуникационной сети Интернет (при их наличии), а также в рамках ГИС "Антифрод" после начала ее функционирования.

Вопросы, связанные с возможностью получения указанной информации с использованием федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)", в настоящее время прорабатываются.

Обращаем внимание, что применение указанного признака не предполагает нарушение тайны связи

Необходимо ли будет подключаться к ГИС "Единый портал государственных и муниципальных услуг (функций)" для получения информации о факте нетипичного получения сообщений напрямую или такие данные будут приходить от ГИС "Антифрод"?

Разработка указанных в обращении рекомендаций не предполагается

11

Подпункт 1.10 пункта 1 Приложения к Приказу N ОД-2506

Что считается вредоносным ПО?

Каким образом оператор по переводу денежных средств может увидеть вредоносное ПО на устройствах абонента? Какие конкретные технические и организационные требования должны соблюдать банки при получении и обработке данных о вредоносном ПО на устройствах клиентов?

Какая информация конкретно должна запрашиваться и получаться: просто факт наличия вредоносного ПО или детальные параметры заражения? Какие площадки обладают технической возможностью выявлять и мониторить вредоносное ПО на устройствах абонентов/пользователей?

Допускается ли банкам при выявлении вредоносного ПО, которое не влияет на проведение операций и (или) добровольно устанавливаемого и сохраняемого клиентом на устройстве при игнорировании предупреждений банка о наличии такого вредоносного ПО, проводить операции в ДБО?

Какой период времени отведен на реагирование на выявленное вредоносное ПО?

Каким образом оператор по переводу денежных средств может увидеть смену абонентского номера в личном кабинете физического лица в федеральной государственной информационной системе "Единый портал государственных и муниципальных услуг"?

Для целей приказа N ОД-2506 под вредоносным программным обеспечением на устройствах абонента - физического лица целесообразно понимать программное обеспечение, содержащее вредоносный код.

Признак применим при наличии информации о вредоносном программном обеспечении (вредоносных программах) на устройствах абонента - физического лица, с применением которых осуществляется перевод денежных средств. Способы получения информации, указанной в подпункте 1.10 пункта 1 приложения к приказу N ОД-2506, определяются кредитными организациями самостоятельно.

Реализация применения указанного признака может осуществляться различными способами, в том числе посредством применения средств защиты информации (например, антивирусные программы, плагины) для программного обеспечения, используемого клиентом - физическим лицом в целях осуществления переводов денежных средств. Перечень субъектов, у которых кредитные организации могут получать указанную в подпункте 1.10 пункта 1 приложения к приказу N ОД-2506 информацию, не является исчерпывающим

Что означает "использование инструментов, обеспечивающих сокрытие сессионных данных" - VPN, прокси, анонимайзеры? Означает ли это, что банки должны блокировать операции клиентов, использующих такие инструменты в любых целях?

Планируется ли регулятором выпуск методики выявления нетипичной сессии ДБО по данному признаку?

Полагаем, что если есть информация хотя бы об одном нетипичном для клиента параметре, событии в сессии дистанционного банковского обслуживания, то признак, предусмотренный подпунктом 1.10 пункта 1 приложения к приказу N ОД-2506, подлежит применению.

Разработка указанной в вопросе методики не предполагается

Равноценно ли введение такого признака вменению правового риска банкам?

Обращаем внимание, что признак, предусмотренный подпунктом 1.10 пункта 1 приложения к приказу N ОД-2506, применяется в случае наличия у кредитной организации соответствующей информации

Будут ли клиенту доступны операции с цифровым рублем в ВСП?

В случае если вопрос сохраняет актуальность, просим направить официальное письмо в Банк России, уточнив, что понимается под "ВСП"

Каков правовой и технический регламент передачи кредитными организациями информации о выявленных операциях без добровольного согласия клиента в ГИС "Антифрод"? Является ли это дублированием передачи информации о выявленных операциях без добровольного согласия клиента через портал АСОИ ФинЦЕРТ?

В соответствии с частью 3 статьи 1 Федерального закона N 41-ФЗ оператором ГИС "Антифрод" является Минцифры России.

В связи с этим вопросы, в том числе связанные с порядком подключения к ГИС "Антифрод", ее функционированием, реализацией пилотного проекта <9>, относятся к компетенции Минцифры России

Банки просят уточнить, что именно имеется в виду в этом критерии: операции на реквизиты из базы ФИДов или что-то иное?

Признак, предусмотренный подпунктом 1.10 пункта 1 приложения к приказу N ОД-2506, подлежит применению ко всем операциям, в отношении которых должны быть реализованы мероприятия по противодействию осуществлению переводов денежных средств без добровольного согласия клиента в соответствии с Федеральным законом N 161-ФЗ

12

Подпункты 1.9, 1.10 пункта 1 приложения к приказу N ОД-2506

В отношении операций каких клиентов-отправителей (ФЛ, ИП, ЮЛ) необходимо применять признаки?

Признаки, предусмотренные подпунктами 1.9 и 1.10 пункта 1 приложения к приказу N ОД-2506, целесообразно применять в отношении всех клиентов

Каковы функциональные различия между данными, которые банки будут получать через ГИС "Антифрод" (начиная с 01.03.2026), и информацией, которую требуется собирать и обрабатывать согласно признакам 1.9 и 1.10 Приказа Банка России (с 01.01.2026)?

ГИС "Антифрод" будет обрабатывать данные о компрометированных абонентских номерах, вредоносном ПО и параметрах устройств. Означает ли это, что признаки 1.9 и 1.10 являются промежуточными/подготовительными требованиями к полноценному функционированию ГИС "Антифрод", или они функционируют в качестве независимых критериев выявления мошенничества?

Является ли выделение признаков 1.9 и 1.10 как отдельных пунктов стратегическим решением Банка России побудить банки и операторов связи начать установление каналов обмена данными заранее, до полной интеграции через ГИС "Антифрод"?

Будут ли данные, собранные банками в соответствии с признаками 1.9 и 1.10, в дальнейшем автоматически интегрироваться в ГИС "Антифрод", или это останется автономным процессом с дублированием функций?

Какая модель взаимодействия предусмотрена между банками и сторонними площадками (операторы связи, мессенджеры, Госуслуги, сайты): оплачиваемые двусторонние договоры, единые АР1-интеграции, или централизованная передача данных через ГИС "Антифрод"?

Является ли для операторов связи обязанностью накопление и предоставление такой информации об абоненте? Как кредитным организациям получить информацию, если централизованная платформа ГИС "Антифрод" начнет функционировать только с 01.03.2026?

Полагаем, что кредитные организации могут получать информацию, предусмотренную подпунктами 1.9 и 1.10 пункта 1 приложения к приказу N ОД-2506, в частности, в рамках соглашений, заключаемых с операторами связи, владельцами мессенджеров, владельцами сайтов в информационно-телекоммуникационной сети Интернет (при их наличии), а также в рамках ГИС "Антифрод" после начала ее функционирования.

Приказ N ОД-2506 не содержит обязанности по заключению кредитными организациями соглашений с операторами связи, владельцами мессенджеров, владельцами сайтов в информационно-телекоммуникационной сети Интернет в целях получения информации, указанной в подпунктах 1.9 и 1.10 пункта 1 приложения к приказу N ОД-2506

На каком юридическом основании кредитные организации смогут запрашивать и получать данные от операторов связи, владельцев мессенджеров (Telegram, Viber, Signal и пр.) и Госуслуг о вредоносном ПО, параметрах устройств и телефонной активности конкретных физических лиц - клиентов банка?

Правильно ли банки понимают, что учет указанной информации является обязательным исключительно при наличии у ОПДС договоров с указанными субъектами, на основании которых данная информация может быть передана, при этом заключение таких договоров не является обязательным?

Предусмотрены ли в Приказе Банка России или в проектируемых нормативных актах ответственность и обязательства для операторов связи, владельцев мессенджеров и Госуслуг по предоставлению данных банкам, или банки вынуждены полагаться исключительно на добровольное сотрудничество?

Требуется ли банку получать согласие на обработку ПДн клиента банка с целью получения от операторов связи, владельцев мессенджеров, владельцев сайтов в информационно-телекоммуникационной сети Интернет и (или) иных юридических лиц информации? Требуется ли прямое согласие клиента каждый раз или достаточно согласия в договоре банковского обслуживания?

Допустима ли в целях реализации требований Приказа Банка России обработка вышеуказанной информации без согласия на обработку ПДн?

Обработка персональных данных должна осуществляться с соблюдением требований законодательства Российской Федерации, в частности, в соответствии с Федеральным законом N 152-ФЗ <10>

Отсутствие данных по какому-либо критерию или неполнота данных, не позволяющая выявить установленный признак, будет ли считаться нарушением приказа? Или установленная формулировка признака "наличие информации, полученной..." означает, что признак следует рассчитывать только при наличии в банке указанной информации?

Признак применим при наличии соответствующей информации

13

Подпункт 1.11 пункта 1 приложения к приказу N ОД-2506

Банки просят разъяснить признак, дать схематичное описание и уточнить, верно ли понимание:

клиент вносит наличные деньги на свой банковский счет с использованием банкомата (АТМ). Используется токенизированная платежная карта. Этот же клиент за последние 24 часа отправил трансграничный перевод. Перевод составляет сумму более 100 тыс. руб. Перевод был совершен в пользу другого физического лица.

В чем заключается суть мошенничества? Какие вопросы и в рамках какой схемы мошенничества необходимо будет задать клиенту с отклоненным платежом?

Банки предполагают, что пункт 1.11 должен быть сформулирован следующим образом:

"Наличие запроса на внесение наличных денежных средств на банковский счет клиента - физического лица с применением токенизированной (цифровой) платежной карты с использованием банкомата в течение 24 часов до момента осуществления трансграничного перевода денежных средств по распоряжению указанного клиента - физического лица в пользу получателей - физических лиц на сумму более 100 тысяч рублей."

Необходимо блокировать именно запрос на внесение наличных денежных средств на банковский счет клиента? Или последовательность в пункте иная и после внесения денежных средств на счет через банкомат необходимо отклонять трансграничный перевод?

По оценке банка, описанная схема больше нацелена на выявление дропов, так как схем мошенничества, когда жертвы действуют по такому сценарию, не установлено.

Необходимо подтвердить операцию или только отклонить? Если отклонить, то как клиент может внести деньги на счет? Если подтвердить, то каким образом и с кем? Если банк подозревает, что получатель - дроп, то зачем подтверждать операцию? При этом если необходимо подтверждение вносившего - третьего лица, то как его определить, если он может не является клиентом банка?

Признак, установленный подпунктом 1.11 пункта 1 приложения к приказу N ОД-2506, направлен на пресечение внесения наличных денежных средств с применением токенизированной (цифровой) платежной карты с использованием банкомата без добровольного согласия лица на банковский счет клиента - физического лица, являющегося потенциальным мошенником, который за последние 24 часа до этого осуществил трансграничный перевод денежных средств в адрес получателей - физических лиц на сумму более 100 тысяч рублей.

Операторы по переводу денежных средств могут самостоятельно в рамках собственной системы управления рисками определить порядок взаимодействия с клиентом, в том числе перечень вопросов для него.

В случае выявления признака, предусмотренного подпунктом 1.11 пункта 1 приложения к приказу N ОД-2506, кредитные организации обязаны осуществить мероприятия по противодействию осуществлению переводов денежных средств без добровольного согласия клиента, установленные статьей 8 Федерального закона N 161-ФЗ.

Полагаем, что в настоящее время уточнение указанного признака не требуется

На какую сумму должен быть запрос на внесение наличных?

Размер суммы, указанной в запросе на внесение наличных денежных средств на банковский счет клиента - физического лица с применением токенизированной (цифровой) платежной карты, подпунктом 1.11 пункта 1 приложения к приказу N ОД-2506 не установлен

Что имеется в виду под трансграничным платежом? Если речь об операциях типа P2P, C2B, некоторых операциях покупки, то только в процессе тщательного расследования и взаимодействия с эквайером выясняется, что это был трансграничный перевод. Таким образом, можно только по условно-косвенным признакам предполагать, что данный платеж является трансграничным, например, по названию терминала, стране терминала, однако данные критерии недостоверные однозначно, это может быть, в результате, как перевод, так и покупка. Конечного получателя не видно.

На какой однозначный и достоверный параметр в операции требуется ориентироваться, чтобы понимать, что данный перевод является трансграничным? Или в данном пункте речь только о трансграничных СБП?

В соответствии с пунктом 13 статьи 3 Федерального закона N 161-ФЗ трансграничным переводом денежных средств является перевод денежных средств, при осуществлении которого плательщик либо получатель средств находится за пределами Российской Федерации, и (или) перевод денежных средств, при осуществлении которого плательщика или получателя средств обслуживает иностранный центральный (национальный) банк или иностранный банк.

Признак, предусмотренный подпунктом 1.11 пункта 1 приложения к приказу N ОД-2506, относится только к трансграничным переводам денежных средств, осуществляемым по распоряжению клиента - физического лица в пользу получателей - физических лиц (P2P), в том числе к осуществляемым с использованием сервиса быстрых платежей платежной системы Банка России

14

Подпункт 1.12 пункта 1 приложения к приказу N ОД-2506

Банки просят уточнить, в подобных критериях ИП и нотариусы относятся к ЮЛ или ФЛ? Подобный сценарий очень характерен для ИП и нотариусов и будет предполагать многочисленные ложные срабатывания.

Относится ли данное требование к проверкам любых переводов ИП после совершения ими Ме2Ме перевода более 200 тыс. руб. по счетам, которые не используются для предпринимательской деятельности?

Например, в ситуации, когда ФЛ, являющееся ИП, осуществило Ме2Ме перевод по своим счетам (не предназначенным для предпринимательской деятельности) на сумму более 200 тыс. руб., затем пополнило свой счет, предназначенный для предпринимательской деятельности, и потом с него сделало перевод в адрес ФЛ. Будет ли этот последний перевод соответствовать признаку 1.12?

Для целей применения данного признака полагаем целесообразным учитывать банковские счета физических лиц, открываемые для совершения операций, не связанных с ведением предпринимательской деятельности в качестве индивидуального предпринимателя или с частной практикой

В признаке указано в качестве получателя "физическое лицо". В случае переводов денежных средств в другой банк (номер телефона, номер карты и пр.) отсутствует возможность связать реквизиты получателя с физическим лицом. Перевод на новую карту физического лица будет рассматриваться как новое физическое лицо - получатель. Правильно ли реализовать признак в понимании "направления распоряжения о переводе денежных средств по реквизитам, на которые в течение шести месяцев не совершались переводы"?

Следует ли учитывать при контроле наличия переводов в течение шести месяцев все способы переводов денежных средств совместно? Например, менее шести месяцев назад был осуществлен перевод карта - карта с использованием платежного терминала и физической карты. После консолидации средств с использованием СБП более 200 тыс. руб. перевод осуществляется с использованием ДБО также карта - карта. Учитывается ли перевод с использованием терминала?

Банки считают целесообразным добавить, что в течение шести месяцев учитываются только те распоряжения о переводе, что осуществлены успешно (не было возвратов), и не было отказа клиента от перевода (перевод не заявлялся как без добровольного согласия или ошибочный).

Подлежит ли контролю любая сумма исходящего перевода при соблюдении описанных условий, или контроль применяется только в случае превышения установленного порога (например, 200 тыс. руб.) именно по исходящему переводу?

Подпадают ли переводы самому себе под требование пункта?

Должны ли применяться требования независимо от суммы операции, совершаемой клиентом, или она также должна превышать 200 тыс. руб. за данный период?

Необходимо ли комбинирование данного признака с пунктом 1.6 Приказа Банка России, так как пункт 1.12 Приказа Банка России описывает непосредственно осуществление операции, но не представляет критерии операции без согласия клиента для операции перевода третьему лицу, кроме связи с получателем?

Пункт 1.12 Приказа Банка России предписывает критерии связи между отправителем, чья операция содержит признаки ОБДС, и получателем, "в адрес которого ранее в течение шести месяцев не совершались переводы денежных средств указанным плательщиком".

Данный критерий устанавливает небольшой промежуток транзакционной связи.

С учетом высокой вероятности ложных срабатываний и риска блокировки легитимных операций банки предлагают расширить данный промежуток до года или изменить формулировку на "нового для клиента получателя".

Банки обращают внимание, что существующие схемы мошенничества предполагают формирование связи между плательщиком и получателем на основании операций на небольшие суммы, данные схемы отличает большая длительность сценария мошенничества от нескольких дней до месяцев. В связи с чем текущий срок в шесть месяцев не удовлетворяет данным сценариям, так как не учитывает транзакционную активность плательщика.

Предлагается дополнить пункт формулировкой "до момента направления распоряжения о переводе денежных средств физическому лицу, в адрес которого ранее в течение шести месяцев не совершались переводы денежных средств указанным плательщиком, которое по своей:

- сумме и (или) частоте осуществления;

- устройству, с использованием которого осуществляется операция, и параметрам его использования не соответствует обычно совершаемым клиентом операциям по переводу денежных средств (осуществляемой клиентом деятельности)

Признак направлен на предотвращение переводов денежных средств мошенникам, которые убеждают жертв собрать денежные средства с банковских счетов, в том числе открытых в разных банках (обычно такие переводы осуществляются с использованием СБП), а затем осуществить перевод одной суммой на банковский счет потенциального дропа (то есть в адрес физического лица, которому плательщиком ранее или в течение длительного времени не совершались переводы денежных средств).

При применении указанного признака необходимо ориентироваться на следующее:

1) поступление денежных средств на сумму более 200 тысяч рублей на банковский счет (вклад) физического лица с использованием СБП с банковского счета (вклада) указанного физического лица, открытого другим оператором по переводу денежных средств (в срок менее чем за 24 часа до совершения перевода денежных средств физическому лицу, в адрес которого ранее в течение шести месяцев не совершались переводы денежных средств плательщиком);

2) направление распоряжения о переводе денежных средств физическому лицу, в адрес которого ранее в течение шести месяцев не совершались переводы денежных средств плательщиком.

Размер суммы перевода денежных средств физическому лицу, в адрес которого ранее в течение шести месяцев не совершались переводы денежных средств плательщиком, приказом N ОД-2506 не установлен.

Основанием для приостановления приема к исполнению распоряжения клиента на два дня или отказа в совершении операции с использованием платежных карт, перевода электронных денежных средств или перевода денежных средств с использованием сервиса быстрых платежей платежной системы Банка России в соответствии с частью 3.4 статьи 8 Федерального закона N 161-ФЗ является выявление хотя бы одного признака, установленного приказом N ОД-2506

15

Пункт 2 приложения к приказу N ОД-2506

В чем различие пунктов 2.1 и 2.2? Проверка будет производиться по одной базе данных или по разным?

Под признаки подпадают реквизиты из фидов или все, на которые заявлены ОБДС? Если все, на которые заявлены ОБДС, то каков срок применения?

Данные о совпадении информации о получателе средств, являющемся пользователем платформы цифрового рубля (в том числе его электронном средстве платежа), с информацией, квалифицированной ранее оператором платформы цифрового рубля в качестве сведений о переводе денежных средств (его попытке) без добровольного согласия клиента, не имеют срока давности. Означает ли это, что кредитные организации должны хранить и применять данные сведения бессрочно?

Какая информация может относиться к информации, квалифицированной ранее оператором платформы цифрового рубля в качестве сведений о переводе денежных средств (его попытке) без добровольного согласия клиента?

Правильно ли банки понимают, что данная информация будет передаваться участнику платформы цифрового рубля для учета ОПДС в соответствии с пунктом 11 статьи 7.1 Федерального закона N 161-ФЗ?

Предусмотренные пунктом 2 приложения к приказу N ОД-2506 признаки, выявляемые в отношении переводов цифровых рублей, подлежат применению оператором платформы цифрового рубля

В настоящее время в поступающих в банк фидах нет данных по платформе цифрового рубля. Когда предполагается выслать информацию о предполагаемом формате файла для учета и проведения соответствующих доработок / настройки системы антифрода?

База данных формируется на основании сведений, направляемых в Банк России в порядке, установленном Указанием Банка России N 6828-У. Указанием Банка России N 6828-У предусмотрено направление в Банк России информации о номере счета цифрового рубля участниками информационного обмена по форме, размещаемой на официальном сайте Банка России в информационно-телекоммуникационной сети Интернет.

Механизм формирования базы данных совершенствуется на постоянной основе с учетом практики его функционирования