Электронные банковские платежные системы как информационное оружие правовое регулирование

Обновлено: 28.03.2024

В настоящем Федеральном законе используются следующие основные понятия:

Информация об изменениях:

Пункт 1 изменен с 2 августа 2019 г. - Федеральный закон от 2 августа 2019 г. N 264-ФЗ

1) национальная платежная система - совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов услуг информационного обмена, иностранных поставщиков платежных услуг, операторов иностранных платежных систем, поставщиков платежных приложений (субъекты национальной платежной системы);

2) оператор по переводу денежных средств - организация, которая в соответствии с законодательством Российской Федерации вправе осуществлять перевод денежных средств;

3) оператор электронных денежных средств - оператор по переводу денежных средств, осуществляющий перевод электронных денежных средств без открытия банковского счета (перевод электронных денежных средств);

Информация об изменениях:

Федеральным законом от 5 мая 2014 г. N 110-ФЗ пункт 4 статьи 3 настоящего Федерального закона изложен в новой редакции

4) банковский платежный агент - юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления отдельных банковских операций;

Информация об изменениях:

Федеральным законом от 5 мая 2014 г. N 110-ФЗ пункт 5 статьи 3 настоящего Федерального закона изложен в новой редакции

5) банковский платежный субагент - юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления отдельных банковских операций;

ГАРАНТ:

Пункт 6 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

6) оператор платежной системы - организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные настоящим Федеральным законом;

ГАРАНТ:

Пункт 7 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

7) оператор услуг платежной инфраструктуры - операционный центр, платежный клиринговый центр и расчетный центр;

ГАРАНТ:

Пункт 8 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

ГАРАНТ:

Пункт 9 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

9) платежный клиринговый центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы прием к исполнению распоряжений участников платежной системы об осуществлении перевода денежных средств и выполнение иных действий, предусмотренных настоящим Федеральным законом (далее - услуги платежного клиринга);

ГАРАНТ:

Пункт 10 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

10) центральный платежный клиринговый контрагент - платежный клиринговый центр, выступающий в соответствии с настоящим Федеральным законом плательщиком и получателем средств по переводам денежных средств участников платежной системы;

Информация об изменениях:

ГАРАНТ:

Пункт 11 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

11) расчетный центр - организация, созданная в соответствии с законодательством Российской Федерации, если иное не предусмотрено настоящим Федеральным законом, и обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы (далее - расчетные услуги);

ГАРАНТ:

Пункт 12 статьи 3 настоящего Федерального закона вступает в силу по истечении ста восьмидесяти дней после официального опубликования настоящего Федерального закона

12) перевод денежных средств - действия оператора по переводу денежных средств в рамках применяемых форм безналичных расчетов по предоставлению получателю средств денежных средств плательщика;

ГАРАНТ:

Пункт 13 статьи 3 настоящего Федерального закона вступает в силу по истечении ста восьмидесяти дней после официального опубликования настоящего Федерального закона

13) трансграничный перевод денежных средств - перевод денежных средств, при осуществлении которого плательщик либо получатель средств находится за пределами Российской Федерации, и (или) перевод денежных средств, при осуществлении которого плательщика или получателя средств обслуживает иностранный центральный (национальный) банк или иностранный банк;

ГАРАНТ:

Пункт 14 статьи 3 настоящего Федерального закона вступает в силу по истечении ста восьмидесяти дней после официального опубликования настоящего Федерального закона

14) безотзывность перевода денежных средств - характеристика перевода денежных средств, обозначающая отсутствие или прекращение возможности отзыва распоряжения об осуществлении перевода денежных средств в определенный момент времени;

ГАРАНТ:

Пункт 15 статьи 3 настоящего Федерального закона вступает в силу по истечении ста восьмидесяти дней после официального опубликования настоящего Федерального закона

15) безусловность перевода денежных средств - характеристика перевода денежных средств, обозначающая отсутствие условий или выполнение всех условий для осуществления перевода денежных средств в определенный момент времени;

ГАРАНТ:

Пункт 16 статьи 3 настоящего Федерального закона вступает в силу по истечении ста восьмидесяти дней после официального опубликования настоящего Федерального закона

16) окончательность перевода денежных средств - характеристика перевода денежных средств, обозначающая предоставление денежных средств получателю средств в определенный момент времени;

17) платежная услуга - услуга по переводу денежных средств, услуга почтового перевода и услуга по приему платежей;

Информация об изменениях:

Пункт 18 изменен с 1 января 2021 г. - Федеральный закон от 31 июля 2020 г. N 259-ФЗ

18) электронные денежные средства - денежные средства, которые предварительно предоставлены одним лицом (лицом, предоставившим денежные средства) другому лицу, учитывающему информацию о размере предоставленных денежных средств без открытия банковского счета (обязанному лицу), для исполнения денежных обязательств лица, предоставившего денежные средства, перед третьими лицами и в отношении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа. При этом не являются электронными денежными средствами денежные средства, полученные организациями, осуществляющими профессиональную деятельность на рынке ценных бумаг, клиринговую деятельность, деятельность оператора финансовой платформы, деятельность по организации привлечения инвестиций, деятельность по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами, деятельность операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и (или) деятельность операторов обмена цифровых финансовых активов и осуществляющими учет информации о размере предоставленных денежных средств без открытия банковского счета в соответствии с законодательством, регулирующим деятельность указанных организаций;

19) электронное средство платежа - средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств;

ГАРАНТ:

Пункт 20 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

20) платежная система - совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств;

Информация об изменениях:

Федеральным законом от 5 мая 2014 г. N 112-ФЗ пункт 21 статьи 3 настоящего Федерального закона изложен в новой редакции

21) значимая платежная система - платежная система, отвечающая критериям, установленным настоящим Федеральным законом (системно значимая платежная система, социально значимая платежная система, национально значимая платежная система);

ГАРАНТ:

Пункт 22 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

22) правила платежной системы - документ (документы), содержащий (содержащие) условия участия в платежной системе, осуществления перевода денежных средств, оказания услуг платежной инфраструктуры и иные условия, определяемые оператором платежной системы в соответствии с настоящим Федеральным законом;

ГАРАНТ:

Пункт 23 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

23) участники платежной системы - организации, присоединившиеся к правилам платежной системы в целях оказания услуг по переводу денежных средств;

ГАРАНТ:

Пункт 24 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

ГАРАНТ:

Пункт 25 статьи 3 настоящего Федерального закона вступает в силу по истечении одного года после дня официального опубликования настоящего Федерального закона

25) платежные клиринговые позиции - суммы денежных средств, подлежащих списанию и зачислению расчетным центром по банковским счетам участников платежной системы;

Информация об изменениях:

Федеральным законом от 28 декабря 2013 г. N 403-ФЗ статья 3 настоящего Федерального закона дополнена пунктом 26, вступающим в силу с 1 августа 2014 г.

26) предоплаченная карта - платежная карта, предоставляемая клиенту оператором электронных денежных средств, используемая для перевода электронных денежных средств, а также для осуществления иных операций, предусмотренных статьей 7 настоящего Федерального закона;

Информация об изменениях:

Пункт 27 изменен с 2 августа 2019 г. - Федеральный закон от 2 августа 2019 г. N 264-ФЗ

27) иностранная платежная система - совокупность организаций, присоединившихся к определяемым оператором иностранной платежной системы правилам иностранной платежной системы, организованной в соответствии с иностранным законодательством, и взаимодействующих по правилам иностранной платежной системы (участники иностранной платежной системы), в соответствии с которыми иностранный банк (иностранная кредитная организация) может выступать в качестве плательщика и получателя средств по переводам денежных средств участников иностранной платежной системы (иностранный центральный платежный клиринговый контрагент);

Информация об изменениях:

Статья 3 дополнена пунктом 27.1 с 2 августа 2019 г. - Федеральный закон от 2 августа 2019 г. N 264-ФЗ

27.1) правила иностранной платежной системы - документ (документы), содержащий (содержащие) условия осуществления трансграничных переводов денежных средств и иные условия, определяемые оператором иностранной платежной системы;

Информация об изменениях:

Федеральным законом от 3 июля 2016 г. N 290-ФЗ статья 3 дополнена пунктом 28

28) банкомат - автоматическое (без участия уполномоченного лица кредитной организации, или банковского платежного агента, или банковского платежного субагента) устройство для осуществления расчетов, обеспечивающее возможность выдачи и (или) приема наличных денежных средств, в том числе с использованием электронных средств платежа, и по передаче распоряжений кредитной организации об осуществлении перевода денежных средств;

Информация об изменениях:

Статья 3 дополнена пунктом 29 с 3 июля 2019 г. - Федеральный закон от 3 июля 2019 г. N 173-ФЗ

29) поставщик платежного приложения - юридическое лицо, в том числе иностранная организация, предоставляющее на основании договора с оператором по переводу денежных средств платежное приложение для его применения клиентами оператора по переводу денежных средств;

Информация об изменениях:

Статья 3 дополнена пунктом 30 с 3 июля 2019 г. - Федеральный закон от 3 июля 2019 г. N 173-ФЗ

30) платежное приложение - предоставляемое поставщиком платежного приложения программное обеспечение на подключенном к информационно-телекоммуникационной сети "Интернет" техническом устройстве (включая мобильный телефон, смартфон, планшетный компьютер), позволяющее клиенту оператора по переводу денежных средств составлять и передавать распоряжения в целях осуществления перевода денежных средств с использованием электронного средства платежа;

Информация об изменениях:

Статья 3 дополнена пунктом 31 с 3 июля 2019 г. - Федеральный закон от 3 июля 2019 г. N 173-ФЗ

31) платежный агрегатор - юридическое лицо, привлекаемое оператором по переводу денежных средств в соответствии со статьей 14.1 настоящего Федерального закона в целях:

а) обеспечения приема электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 14.1 настоящего Федерального закона;

б) участия в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14.1 настоящего Федерального закона, по операциям с использованием электронных средств платежа;

Информация об изменениях:

Статья 3 дополнена пунктом 32 с 2 августа 2019 г. - Федеральный закон от 2 августа 2019 г. N 264-ФЗ

Информация об изменениях:

Статья 3 дополнена пунктом 33 с 2 августа 2019 г. - Федеральный закон от 2 августа 2019 г. N 264-ФЗ

33) оператор услуг информационного обмена - организация, оказывающая операторам по переводу денежных средств на основании договоров услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг (далее - услуги информационного обмена). При этом оператором услуг информационного обмена не являются операционный центр и оператор связи.


В данной статье представлена базовая модель угроз информационной безопасности банковских безналичных переводов, осуществляемых через платежную систему Банка России.

Угрозы, представленные здесь, справедливы практически для любого банка в Российской Федерации, а также для любых других организаций, использующих для осуществления расчетов толстые клиенты с криптографическим подтверждением платежей.

Настоящая модель угроз предназначена для обеспечения практической безопасности и формирования внутренней документации банков в соответствии с требованиями Положений Банка России № 552-П от 24 августа 2016 г. и № 382-П от 9 июня 2012 г.

Методика моделирования

Структура модели угроз

Одним из наиболее удачных на сегодняшний день способов моделирования компьютерных атак является Kill chain. Данный способ представляет компьютерную атаку как последовательность этапов, выполняемую злоумышленниками для достижения поставленных ими целей.

Описание большинства этапов приведено в MITRE ATT&CK Matrix, но в ней нет расшифровки конечных действий — «Actions» (последнего этапа Kill chain), ради которых злоумышленники осуществляли атаку и которые, по сути, и являются кражей денег у банка. Другой проблемой применения классического Kill chain для моделирования угроз является отсутствие в нем описания угроз, связанных с доступностью.

Данная модель угроз призвана компенсировать эти недостатки. Для этого она формально будет состоять из двух частей:

  • Первая будет описывать проблемы, связанные с доступностью.
  • Вторая, представляющая собой классический Kill chain с расшифрованным последним этапом, будет описывать «компьютерную» кражу денег у банка.

Методика формирования модели угроз

Основными требованиями к создаваемой модели угроз были:

  • сохранение компактности и минимизация дублирования,
  • полнота идентификации угроз и простота уточнения модели,
  • обеспечение возможности работы с моделью как бизнес-специалистам, так и техническим работникам.
  1. Угрозы описывались, начиная с бизнес-уровня, и постепенно декомпозировались на технические составляющие.
  2. Угрозы, свойственные типовым элементам информационной инфраструктуры (например, сетевым соединениям, системам криптографической защиты информации, . ) группировались в типовые модели угроз.
  3. Далее при моделировании угроз, свойственных типовым элементам информационной инфраструктуры, вместо дублирования описания угроз давалась ссылка на соответствующую типовую модель.

Порядок применения данной модели угроз к реальным объектам

Применение данной модели угроз к реальным объектам следует начинать с уточнения описания информационной инфраструктуры, а затем, в случае необходимости, провести более детальную декомпозицию угроз.

Порядок актуализации угроз, описанных в модели, следует проводить в соответствии с внутренними документами организации. В случае отсутствия таких документов их можно разработать на базе методик, рассмотренных в предыдущей статье исследования.

Особенности оформления модели угроз

В данной модели угроз приняты следующие правила оформления:

  1. Модель угроз представляет собой дерево угроз. Дерево угроз записывается в виде иерархического списка, где каждый элемент списка соответствует узлу дерева и соответственно определенной угрозе.
  2. Наименование угрозы начинается с идентификатора угрозы, который имеет вид:

  • Пояснения содержат разъяснения к описываемой угрозе. Здесь могут приводиться примеры реализации угрозы, объяснение решений, принятых во время декомпозиции, ограничения по моделированию и другая информация.
  • Декомпозиция содержит иерархический список дочерних угроз.
  • (И) – реализация родительской угрозы происходит только при реализации всех дочерних угроз.
  • (Сценарий) – реализация родительской угрозы происходит при некотором определенном сценарии или алгоритме реализации дочерних угроз.

Базовая модель угроз информационной безопасности банковских безналичных платежей

Объект защиты, для которого применяется модель угроз (scope)

Область действия настоящей модели угроз распространяется на процесс безналичных переводов денежных средств через платежную систему Банка России.

Архитектура
В зону действия модели входит следующая информационная инфраструктура:


Перечень помещений, входящих в зону действия модели угроз, определяется по критерию наличия в них объектов информационной инфраструктуры, участвующих в осуществлении переводов денежных средств.

Ограничения модели
Настоящая модель угроз распространяется только на вариант организации платежной инфраструктуры с АРМ КБР, совмещающим в себе функции шифрования и электронной подписи, и не рассматривает случая использования АРМ КБР-Н, где электронная подпись осуществляется «на стороне АБС».

Угрозы безопасности верхнего уровня

Декомпозиция

У1. Прекращение функционирования системы безналичных переводов.
У2. Кража денежных средств в процессе функционирования системы безналичных переводов.

У1. Прекращение функционирования системы безналичных переводов

Потенциальный ущерб от реализации данной угрозы можно оценить на основании следующих предпосылок:

  • В договорах обслуживания банковского счета, заключенных между клиентами и банком, как правило, присутствует отметка о том, в течение какого времени банк обязан исполнить платеж. Нарушение указанных в договоре сроков влечет ответственность банка перед клиентом.
  • Если банк неожиданно прекратит исполнять платежи, то это вызовет вопросы о его финансовой стабильности, и, как следствие, может спровоцировать массовый отток депозитов.
  • Непрерывность осуществления платежей является одним из условий сохранения лицензии на банковскую деятельность. Систематические отказы и сбои могут породить серьезные вопросы к банку со стороны ЦБ РФ и привести к отзыву лицензии.

При декомпозиции данной угрозы учитывались следующие документы:

У2. Кража денежных средств в процессе функционирования системы безналичных переводов

Кража денежных средств в процессе функционирования системы безналичных переводов представляет собой кражу безналичных денежных средств с их последующим или одновременным выводом из банка-жертвы.

Кража безналичных денежных средств представляет собой несанкционированное изменение остатка на счете клиента или банка. Данные изменения могут произойти в результате:

  • нештатного изменения остатка на счете;
  • несанкционированного внутрибанковского или межбанковского перевода денежных средств.

Нештатное изменение остатка на счете, как правило, сопровождается штатными операциями по расходованию украденных денежных средств. К подобным операциям можно отнести:

  • обналичивание денег в банкоматах банка-жертвы,
  • осуществления переводов денежных средств на счета, открытые в других банках,
  • совершения онлайн-покупок,
  • и т.д.

Формирование поддельных распоряжений о переводе денежных средств может производиться как по вине клиентов, так и по вине банка. В настоящей модели угроз будут рассмотрены только угрозы, находящиеся в зоне ответственности банка. В качестве распоряжений о переводах денежных средств в данной модели будут рассматриваться только платежные поручения.

В общем случае можно считать, что обработка банком внутрибанковских переводов является частным случаем обработки межбанковских переводов, поэтому для сохранения компактности модели далее будут рассматривать только межбанковские переводы.

Кража безналичных денежных средств может производиться как при исполнении исходящих платежных поручений, так и при исполнении входящих платежных поручений. При этом исходящим платежным поручением будем называть платежное поручение, направляемое банком в платежную систему Банка России, а входящим будем называть платежное поручение, поступающие в банк из платежной системы Банка России.

Декомпозиция

У2.1. Исполнение банком поддельных исходящих платежных поручений.
У2.2. Исполнение банком поддельных входящий платежных поручений.
У2.3. Нештатное изменение остатков на счете.

У2.1. Исполнение банком поддельных исходящих платежных поручений

Основной причиной, из-за которой банк может исполнить поддельное платежное поручение является его внедрение злоумышленниками в бизнес-процесс обработки платежей.

Декомпозиция

У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей.

У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей

У2.1.1.1. в элементе «Операционист банка»

Операционист при приеме бумажного платежного поручения от клиента заносит на его основании электронный документ в АБС. Подавляющее большинство современных АБС основано на архитектуре клиент-сервер, что позволяет произвести анализ данной угрозы на базе типовой модели угроз клиент-серверных информационных систем.

Декомпозиция

У2.1.1.1.1. Операционист банка принял от злоумышленника, представившегося клиентом банка, поддельное платежное поручение на бумажном носителе.
У2.1.1.1.2. От имени операциониста банка в АБС внесено поддельное электронное платежное поручение.
У2.1.1.1.2.1. Операционист действовал по злому умыслу или совершил непреднамеренную ошибку.
У2.1.1.1.2.2. От имени операциониста действовали злоумышленники:
У2.1.1.1.2.2.1. Ссылка: «Типовая модель угроз. Информационная система, построенная на базе архитектуры клиент-сервер. У1. Совершение злоумышленниками несанкционированных действий от имени легитимного пользователя».

Примечание. Типовые модели угроз будут рассмотрены в следующих статьях.

Урегулирована деятельность платежных агрегаторов и платежных приложений.

03.07.2019 принят и опубликован Федеральный закон № 173-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и отдельные законодательные акты Российской Федерации» (далее – Закон).

Закон вносит ряд изменений в различные федеральные законы, в том числе:

  • Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее – Закон о национальной платежной системе);
  • Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – Закон о ПОД/ФТ);
  • Федеральный закон от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)».

Внесенными изменениями установлено регулирование использования платежных приложений, привлечения платежных агрегаторов, а также ряд иных значимых изменений в банковской сфере и сфере финансовых технологий.

1. Регулирование платежных приложений и их поставщиков

Ключевые моменты:

  • Поставщик платежного приложения – лицо, не являющееся оператором перевода денежных средств, но предоставляющее программное обеспечение, позволяющее осуществлять такие переводы. Примеры платежных приложений – Apple Pay, Google Pay;
  • Поставщик платежного приложения должен быть привлечен оператором по переводу денежных средств;
  • На платежные приложения распространяются требования, касающиеся обеспечения информационной безопасности в финансовой сфере;
  • Регулятор будет вести реестр поставщиков платежных приложений и совместно с оператором по переводу денежных средств – контролировать их деятельность.

Платежное приложение, согласно внесенным изменениям, это «предоставляемое поставщиком платежного приложения программное обеспечение на подключенном к информационно-телекоммуникационной сети «Интернет» техническом устройстве (включая мобильный телефон, смартфон, планшетный компьютер), позволяющее клиенту оператора по переводу денежных средств составлять и передавать распоряжения в целях осуществления перевода денежных средств с использованием электронного средства платежа».

Иными словами, платежное приложение – это программное обеспечение, позволяющее осуществлять перевод денежных средств, предоставляемое лицом, не являющимся оператором по переводу денежных средств (кредитной организацией).

Поставщик платежного приложения – это «юридическое лицо, в том числе иностранная организация, предоставляющее на основании договора с оператором по переводу денежных средств платежное приложение для его применения клиентами оператора по переводу денежных средств».

Если ориентироваться на пояснительную записку к закону, то можно сделать вывод, что нормы о платежных приложениях, в первую очередь, распространяются на платежные приложения сторонних компаний, не являющихся кредитными организациями или некредитными финансовыми организациями и не предоставляющих какие-либо исключительные права или право использования платежного приложения оператору по переводу денежных средств. Например, к таким платежным приложениям относятся Apple Pay, Google Pay, Samsung Pay.

Поставщики платежных приложений в силу внесенных изменений в пункт 1 статьи 3 Закона о национальной платежной системе являются субъектами национальной платежной системы.

Основные условия, касающиеся привлечения поставщиков платежных приложений оператором по переводу денежных средств, закреплены в добавленных Законом частях 13-18 статьи 8 Закона о национальной платежной системе. Ключевые особенности:

  • привлечение поставщика платежных приложений осуществляется только оператором по переводу денежных средств;
  • платежные приложения, используемые для перевода денежных средств, должны соответствовать требованиям законодательства, Правительства РФ и ЦБ РФ к защите информации при осуществлении переводов денежных средств, в частности требованиям Положения Банка России от 09.06.2012№ 382-П и Постановления Правительства РФ от 13.06.2012№ 584 «Об утверждении Положения о защите информации в платежной системе». Соответственно, поставщикам платежных приложений, возможно, потребуется внести соответствующие изменения как в сами платежные приложения, так и в собственную инфраструктуру, обеспечивающую работу платежных приложений;
  • поставщик платежного приложения не вправе получать от оператора по переводу денежных средств сведения, используемые для удостоверения распоряжения клиента о переводе денежных средств, в том числе сведения об аналогах собственноручных подписей, кодах и паролях, используемых клиентом;
  • оператор по переводу денежных средств обязан предоставить в ЦБ РФ сведения о привлеченных поставщиках платежных приложений. Банк России ведет перечень таких поставщиков;
  • ЦБ РФ вправе запрашивать любые документы и информацию, связанную с привлечением поставщиков платежных приложений.

Законом также установлены дополнительные обязанности оператора по переводу денежных средств по информированию клиента о платежном приложении, порядке и возможности его использования, поставщике платежного приложения, плате за использование платежного приложения и иных условиях. Условия использования клиентом платежного приложения также должны быть включены в договор с клиентом.

2. Статус платежных агрегаторов

Ключевые моменты:

  • Платежный агрегатор – лицо, осуществляющее «офлайн» или в сети деятельность по приему платежей и/или по переводу денежных средств в пользу конкретных юридических лиц, с которыми у него заключен договор.
  • Платежные агрегаторы должны быть привлечены соответствующим оператором по переводу денежных средств (кредитной организацией) в качестве банковских платежных агентов. Соответственно, платежные агрегаторы должны заключать договоры со своими клиентами от имени оператора по переводу денежных средств и по утвержденной им форме.
  • На платежных агрегаторов возлагаются различные дополнительные требования, если они осуществляют идентификацию клиентов, участвуют в переводе денежных средств или предоставляют технические и (или) программные средства для приема электронных средств платежа.
  • Контроль за деятельностью платежных агрегаторов осуществляет оператор по переводу денежных средств и опосредованно – регулятор. Регулятор также ведет перечень платежных агрегаторов.

Платежный агрегатор – это юридическое лицо, привлекаемое организацией – оператором перевода денежных средств в следующих целях:

  • обеспечение приема электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами;
  • участие в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц.

Фактически из предусмотренных в Законе о национальной платежной системе условий осуществления деятельности платежных агрегаторов следует, что платежные агрегаторы могут осуществлять деятельность двумя способами:

1. Осуществляя прием денежных средств, обеспечивая их передачу оператору по переводу денежных средств для последующего перечисления клиенту;

2. Непосредственно участвуя в переводе денежных средств, в том числе перечисляя собранные денежные средства напрямую обслуживаемому лицу.

Поскольку иного не установлено внесенными изменениями, можно сделать вывод, что платежный агрегатор может осуществлять такую деятельность как принимая платежи «офлайн» с использованием соответствующих технических устройств (платежных терминалов), так и осуществляя прием платежей на интернет-сайте. При этом можно также сделать вывод, что такая деятельность не будет признаваться деятельностью платежного агрегатора, если она осуществляется непосредственно самим оператором по переводу денежных средств. Соответственно, указанные изменения, скорее всего, не повлияют на работу крупных систем приема платежей, деятельность которых осуществляется кредитной организацией или иной организацией, имеющей соответствующую лицензию, однако затронет компании, которые осуществляют именно технический прием платежей без привлечения оператора по переводу денежных средств.

Условия привлечения и осуществления деятельности платежных агрегаторов закреплены в добавленной в Закон о национальной платежной системе статье 14-1. В силу части 1 данной статьи платежные агрегаторы привлекаются оператором по переводу денежных средств как банковские платежные агенты, соответственно, на них, помимо специального регулирования деятельности платежных агрегаторов, распространяются также нормы, регулирующие деятельность банковских платежных агентов.

  • заключать с лицами, в пользу которых платежным агрегатором принимаются денежные средства, договоры от имени оператора по переводу денежных средств и на определенных им условиях (такие условия могут быть, в том числе, определены в форме правил, к которым присоединяются указанные лица);
  • предоставлять сведения о лицах, с которыми заключен договор о приеме денежных средств, оператору по переводу денежных средств;
  • предоставлять оператору по переводу денежных средств информацию, необходимую для урегулирования споров, связанных с использованием электронных средств платежа;
  • разместить в местах осуществления деятельности в свободном доступе информацию о своем наименовании и ИНН, наименовании, ИНН и номере лицензии оператора по переводу денежных средств, реквизиты договора с оператором по переводу денежных средств, номера телефонов (свой и оператора по переводу денежных средств), способ подачи претензий и порядок их рассмотрения.

Платежный агрегатор вправе осуществлять сбор денежных средств в пользу юридических лиц и индивидуальных предпринимателей, а также (в силу части 13 статьи 141) в пользу физических лиц, занимающихся частной практикой без регистрации в качестве индивидуальных предпринимателей и без образования юридического лица: нотариусов, адвокатов, учредивших адвокатские кабинеты, медиаторов, арбитражных управляющих, оценщиков, патентных поверенных и иными лицами, занимающимися в установленном законодательством Российской Федерации порядке частной практикой, а также физических лиц, применяющих специальный налоговый режим «Налог на профессиональный доход».

Платежному агрегатору соответствующими изменениями в Закон о национальной платежной системе и Закон о ПОД/ФТ предоставлено право осуществлять идентификацию клиентов – юридических лиц и индивидуальных предпринимателей, в интересах которых осуществляется сбор денежных средств. Однако для реализации данного права платежный агрегатор должен дополнительно соответствовать следующим требованиям:

  • наличие в штате платежного агрегатора сотрудника, ответственного за соблюдение требований законодательства Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД/ФТ);
  • отсутствие неснятой или непогашенной судимости за преступления в сфере экономики у физических лиц, занимающих в организации-платежном агрегаторе должности единоличного исполнительного органа, главного бухгалтера и сотрудника, ответственного за соблюдение законодательства о ПОД/ФТ.

При этом несоблюдение требований законодательства, связанных с проведением идентификации клиентов, является основанием для расторжения оператором по переводу денежных средств договора с платежным агрегатором.

Платежный агрегатор также вправе предоставлять обсуживаемым им лицам, в пользу которых собираются платежи, программные и технические средства, обеспечивающие прием электронных средств платежа. Однако в этом случае платежный агрегатор должен обеспечить:

  • соблюдение требований законодательства, Правительства РФ и ЦБ РФ к защите информации при осуществлении переводов денежных средств, в частности требований Положения Банка России от 09.06.2012 № 382-П и Постановления Правительства РФ от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе»;
  • предоставление оператору по переводу денежных средств информации обо всех операциях, совершенных с помощью таких программных и технических средств;
  • соблюдение запрета на передачу информации о любых операциях, совершенных с помощью таких средств, на территорию иностранного государства или предоставление доступа к такой информации с территории иностранного государства (за исключением предоставления информации при осуществлении трансграничного перевода).

В случае если платежный агрегатор непосредственно участвует в переводе денежных средств, он обязан зачислять полученные им такие денежные средства на отдельный специальный банковский счет, открытый у привлекающего платежного агрегатора оператора по переводу денежных средств. По данному специальному банковскому счету может осуществляться закрытый перечень операций:

  • зачисление денежных средств, переводимых в пользу обслуживаемых юридических лиц и индивидуальных предпринимателей;
  • зачисление денежных средств, возвращаемых плательщикам в случае отмены операций;
  • списание денежных средств на банковские счета обслуживаемых юридических лиц и индивидуальных предпринимателей;
  • списание сумм вознаграждения платежного агрегатора;
  • списание денежных средств в пользу оператора по переводу денежных средств, включая вознаграждение.

При этом в силу положений частей 9 и 10 статьи 14-1 Закона о национальной платежной системе, а также изменений, внесенных в пункт 2 статьи 131 Федерального закона от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)», денежные средства, находящиеся на специальном банковском счету платежного агрегатора:

  • не могут быть взысканы по обязательствам платежного агрегатора;
  • не могут быть арестованы в связи с неисполненными обязательствами платежного агрегатора, кроме того, не могут быть приостановлены сами операции по счету;
  • та часть денежных средств, которая подлежит перечислению обслуживаемым лицам, не включается в конкурсную массу в случае банкротства платежного агрегатора.

Как и в случае с поставщиками платежных приложений, операторы по переводу денежных средств обязаны предоставлять в ЦБ РФ сведения о привлеченных платежных агрегаторах, а ЦБ РФ, в свою очередь, будет вести единый реестр платежных агрегаторов.

Также следует отметить, что частью 9 статьи 14-2 Закона о национальной платежной системе на оператора по переводу денежных средств возложена обязанность контролировать деятельность привлеченного им платежного агрегатора.

Принятый Закон вступает в силу с момента его официального опубликования, то есть с 03.07.2019, за исключением отдельных положений.

Нормы, касающиеся платежных агрегаторов (изменения в статью 14, новые статьи 14-1 и 14-2), вступают в силу с 30.12.2019. При этом кредитные организации обязаны направлять в ЦБ РФ сведения о привлеченных поставщиках платежных приложений и о платежных агрегаторах с 01.07.2020.

Следует отметить, что принятым Законом внесены также иные значимые изменения, в том числе касающиеся условий перевода электронных денежных средств, условий деятельности банковских платежных агентов, деятельности Платежной системы Банка России и Национальной системы платежных карт.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В настоящем Федеральном законе используются следующие основные понятия:

1) национальная платежная система - совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством Российской Федерации, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов услуг информационного обмена, иностранных поставщиков платежных услуг, операторов иностранных платежных систем, поставщиков платежных приложений (субъекты национальной платежной системы);

(в ред. Федеральных законов от 03.07.2019 N 173-ФЗ, от 02.08.2019 N 264-ФЗ)

(см. текст в предыдущей редакции)

2) оператор по переводу денежных средств - организация, которая в соответствии с законодательством Российской Федерации вправе осуществлять перевод денежных средств;

3) оператор электронных денежных средств - оператор по переводу денежных средств, осуществляющий перевод электронных денежных средств без открытия банковского счета (перевод электронных денежных средств);

4) банковский платежный агент - юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются кредитной организацией в целях осуществления отдельных банковских операций;

(п. 4 в ред. Федерального закона от 05.05.2014 N 110-ФЗ)

(см. текст в предыдущей редакции)

5) банковский платежный субагент - юридическое лицо, не являющееся кредитной организацией, или индивидуальный предприниматель, которые привлекаются банковским платежным агентом в целях осуществления отдельных банковских операций;

(п. 5 в ред. Федерального закона от 05.05.2014 N 110-ФЗ)

(см. текст в предыдущей редакции)

6) оператор платежной системы - организация, определяющая правила платежной системы, а также выполняющая иные обязанности, предусмотренные настоящим Федеральным законом;

7) оператор услуг платежной инфраструктуры - операционный центр, платежный клиринговый центр и расчетный центр;

9) платежный клиринговый центр - организация, созданная в соответствии с законодательством Российской Федерации, обеспечивающая в рамках платежной системы прием к исполнению распоряжений участников платежной системы об осуществлении перевода денежных средств и выполнение иных действий, предусмотренных настоящим Федеральным законом (далее - услуги платежного клиринга);

10) центральный платежный клиринговый контрагент - платежный клиринговый центр, выступающий в соответствии с настоящим Федеральным законом плательщиком и получателем средств по переводам денежных средств участников платежной системы;

11) расчетный центр - организация, созданная в соответствии с законодательством Российской Федерации, если иное не предусмотрено настоящим Федеральным законом, и обеспечивающая в рамках платежной системы исполнение распоряжений участников платежной системы посредством списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направление подтверждений, касающихся исполнения распоряжений участников платежной системы (далее - расчетные услуги);

(см. текст в предыдущей редакции)

12) перевод денежных средств - действия оператора по переводу денежных средств в рамках применяемых форм безналичных расчетов по предоставлению получателю средств денежных средств плательщика;

13) трансграничный перевод денежных средств - перевод денежных средств, при осуществлении которого плательщик либо получатель средств находится за пределами Российской Федерации, и (или) перевод денежных средств, при осуществлении которого плательщика или получателя средств обслуживает иностранный центральный (национальный) банк или иностранный банк;

14) безотзывность перевода денежных средств - характеристика перевода денежных средств, обозначающая отсутствие или прекращение возможности отзыва распоряжения об осуществлении перевода денежных средств в определенный момент времени;

15) безусловность перевода денежных средств - характеристика перевода денежных средств, обозначающая отсутствие условий или выполнение всех условий для осуществления перевода денежных средств в определенный момент времени;

16) окончательность перевода денежных средств - характеристика перевода денежных средств, обозначающая предоставление денежных средств получателю средств в определенный момент времени;

17) платежная услуга - услуга по переводу денежных средств, услуга почтового перевода и услуга по приему платежей;

18) электронные денежные средства - денежные средства, которые предварительно предоставлены одним лицом (лицом, предоставившим денежные средства) другому лицу, учитывающему информацию о размере предоставленных денежных средств без открытия банковского счета (обязанному лицу), для исполнения денежных обязательств лица, предоставившего денежные средства, перед третьими лицами и в отношении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа. При этом не являются электронными денежными средствами денежные средства, полученные организациями, осуществляющими профессиональную деятельность на рынке ценных бумаг, клиринговую деятельность, деятельность оператора финансовой платформы, деятельность по организации привлечения инвестиций, деятельность по управлению инвестиционными фондами, паевыми инвестиционными фондами и негосударственными пенсионными фондами, деятельность операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и (или) деятельность операторов обмена цифровых финансовых активов и осуществляющими учет информации о размере предоставленных денежных средств без открытия банковского счета в соответствии с законодательством, регулирующим деятельность указанных организаций;

(в ред. Федеральных законов от 02.08.2019 N 259-ФЗ, от 20.07.2020 N 212-ФЗ, от 31.07.2020 N 259-ФЗ)

(см. текст в предыдущей редакции)

19) электронное средство платежа - средство и (или) способ, позволяющие клиенту оператора по переводу денежных средств составлять, удостоверять и передавать распоряжения в целях осуществления перевода денежных средств в рамках применяемых форм безналичных расчетов с использованием информационно-коммуникационных технологий, электронных носителей информации, в том числе платежных карт, а также иных технических устройств;

20) платежная система - совокупность организаций, взаимодействующих по правилам платежной системы в целях осуществления перевода денежных средств, включающая оператора платежной системы, операторов услуг платежной инфраструктуры и участников платежной системы, из которых как минимум три организации являются операторами по переводу денежных средств;

21) значимая платежная система - платежная система, отвечающая критериям, установленным настоящим Федеральным законом (системно значимая платежная система, социально значимая платежная система, национально значимая платежная система);

(п. 21 в ред. Федерального закона от 05.05.2014 N 112-ФЗ)

(см. текст в предыдущей редакции)

22) правила платежной системы - документ (документы), содержащий (содержащие) условия участия в платежной системе, осуществления перевода денежных средств, оказания услуг платежной инфраструктуры и иные условия, определяемые оператором платежной системы в соответствии с настоящим Федеральным законом;

23) участники платежной системы - организации, присоединившиеся к правилам платежной системы в целях оказания услуг по переводу денежных средств;

25) платежные клиринговые позиции - суммы денежных средств, подлежащих списанию и зачислению расчетным центром по банковским счетам участников платежной системы;

26) предоплаченная карта - платежная карта, предоставляемая клиенту оператором электронных денежных средств, используемая для перевода электронных денежных средств, а также для осуществления иных операций, предусмотренных статьей 7 настоящего Федерального закона;

(п. 26 введен Федеральным законом от 28.12.2013 N 403-ФЗ)

27) иностранная платежная система - совокупность организаций, присоединившихся к определяемым оператором иностранной платежной системы правилам иностранной платежной системы, организованной в соответствии с иностранным законодательством, и взаимодействующих по правилам иностранной платежной системы (участники иностранной платежной системы), в соответствии с которыми иностранный банк (иностранная кредитная организация) может выступать в качестве плательщика и получателя средств по переводам денежных средств участников иностранной платежной системы (иностранный центральный платежный клиринговый контрагент);

(п. 27 введен Федеральным законом от 05.05.2014 N 112-ФЗ; в ред. Федерального закона от 02.08.2019 N 264-ФЗ)

(см. текст в предыдущей редакции)

27.1) правила иностранной платежной системы - документ (документы), содержащий (содержащие) условия осуществления трансграничных переводов денежных средств и иные условия, определяемые оператором иностранной платежной системы;

(п. 27.1 введен Федеральным законом от 02.08.2019 N 264-ФЗ)

28) банкомат - автоматическое (без участия уполномоченного лица кредитной организации, или банковского платежного агента, или банковского платежного субагента) устройство для осуществления расчетов, обеспечивающее возможность выдачи и (или) приема наличных денежных средств, в том числе с использованием электронных средств платежа, и по передаче распоряжений кредитной организации об осуществлении перевода денежных средств;

(п. 28 введен Федеральным законом от 03.07.2016 N 290-ФЗ)

29) поставщик платежного приложения - юридическое лицо, в том числе иностранная организация, предоставляющее на основании договора с оператором по переводу денежных средств платежное приложение для его применения клиентами оператора по переводу денежных средств;

(п. 29 введен Федеральным законом от 03.07.2019 N 173-ФЗ)

30) платежное приложение - предоставляемое поставщиком платежного приложения программное обеспечение на подключенном к информационно-телекоммуникационной сети "Интернет" техническом устройстве (включая мобильный телефон, смартфон, планшетный компьютер), позволяющее клиенту оператора по переводу денежных средств составлять и передавать распоряжения в целях осуществления перевода денежных средств с использованием электронного средства платежа;

(п. 30 введен Федеральным законом от 03.07.2019 N 173-ФЗ)

31) платежный агрегатор - юридическое лицо, привлекаемое оператором по переводу денежных средств в соответствии со статьей 14.1 настоящего Федерального закона в целях:

а) обеспечения приема электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 14.1 настоящего Федерального закона;

б) участия в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14.1 настоящего Федерального закона, по операциям с использованием электронных средств платежа;

(п. 31 введен Федеральным законом от 03.07.2019 N 173-ФЗ)

(п. 32 введен Федеральным законом от 02.08.2019 N 264-ФЗ)

33) оператор услуг информационного обмена - организация, оказывающая операторам по переводу денежных средств на основании договоров услуги обмена информацией при осуществлении операций с использованием электронных средств платежа между операторами по переводу денежных средств и их клиентами и (или) между операторами по переводу денежных средств и иностранными поставщиками платежных услуг (далее - услуги информационного обмена). При этом оператором услуг информационного обмена не являются операционный центр и оператор связи.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: