В связи с Федеральным законом от 24.07.2023 N 369-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» с 25 июля 2024 года ЦБ РФ Приказом № ОП-1027 устанавливает новые признаки осуществления перевода денежных средств без добровольного согласия клиента. Здесь приводится обзор данного Приказа в виде мнения, поэтому рекомендуем обязательно ознакомиться с оригиналом. В данной статье операции без (добровольного) согласия клиента будут обозначены как ОБС.
Что изменилось в признаках ОБС
Новый список признаков заменяет ранее используемые признаки операций без согласия клиента, указанные в Приказе Банка России № ОД-2525. При сравнении текста нового и старого списков становится понятно, что за основу списка в приказе № ОП-1027 взят список из приказа № ОД-2525 (пункты 1-3). В старых пунктах «согласие клиента» заменено на «добровольное согласие клиента». Критерий отсутствия добровольности раскрыт следующим образом: «согласие клиента, полученное под влиянием обмана или при злоупотреблении доверием».
В новый список добавлены пункты 4 и 5 о необходимости проверки данных получателей средств по: внутренним базам банка (при наличии) получателей средств по ОБС и по базам лиц, в отношении которых было возбуждено уголовное дело в связи с совершением ими ОБС.
Новый пункт 6 добавляет в список признаков информацию об ОБС, полученную от других организаций, а также информацию о подозрительной активности пользователя, полученную от операторов сотовой связи или мессенджеров. Например, если пользователь перед совершением перевода получал нетипично много SMS или звонков с незнакомых номеров, это может указывать на повышенный риск платежа.
Проверка параметров устройств для выполнения Приказа
В новой версии Приказа есть пункты 2 и 3, практически без изменений перенесенные из старой версии. Согласно пункту 2 необходимо проверять устройства пользователей по списку устройств из базы ЦБ о случаях и попытках осуществления перевода денежных средств без согласия клиента.
Идентификация устройств — тема для отдельной статьи, поэтому приведем здесь отдельные тезисы, связанные с реализацией пункта 2 Приказа. Идентифицировать устройство можно двумя основными способами:
1. На основе метки, которую сайт или мобильное приложение оставляет на устройстве. В случае с сайтом метку, установленную в браузере, достаточно просто удалить/изменить. К тому же, сохранение общей метки устройства для разный сайтов давно запрещено в большинстве браузеров, а в скором времени будет отключено полностью. Для мобильных приложений есть способы установить метку более надежно, но только для приложений одного разработчика, между разными приложениями эта метка не сохраняется.
2. На основе отпечатка устройства. Отпечатки устройств стабильны и их нельзя удалить или изменить простым способом. При попытке подменить отпечаток это возможно выявить с помощью сессионного антифрода. Основной нюанс с отпечатками состоит в том, что на данный момент нет общего стандарта, по которому такие отпечатки должны составляться. Существует Стандарт Банка России БФБО-1.7-2023 о составлении отпечатков, но после его изучения остаются некоторые вопросы по его практической реализации.
Таким образом, при получении идентификаторов устройств из базы ЦБ также необходима инструкция по извлечению аналогичных идентификаторов из устройств новых пользователей.
В пункте 3 новой версии списка признаков ОБС речь идет о нетипичных параметрах платежа пользователя, в том числе: времени, места, устройства, суммы, периодичности и получателя. Для реализации анализа нетипичности данных параметров можно разделить их на те, которые связаны непосредственно с платежом (время, сумма, периодичность, получатель) и проверяются транзакционным антифродом, и те, которые связаны с устройством (место, устройство), и для их анализа необходим сессионный антифрод.
Поскольку для пункта 3 организация может самостоятельно оценивать уровень «нетипичности» параметров, то возникает задача определения места и устройства пользователя. Для места возможно использовать IP адрес, интернет-провайдера, город, GPS координаты и другие параметры. Их выбор не так очевиден, как кажется на первый взгляд, и зависит от организации внутренней сети интернет-провайдера пользователя, используемых геобаз, технических возможностей устройства и наличия разрешений у мобильного приложения.
В случае с идентификацией устройства также стоит выбор: легко удаляемая метка, либо цифровой отпечаток. Для цифрового отпечатка потребуется выбрать набор параметров устройства, которые достаточно уникальны, но при этом стабильны и не меняются с течением времени, а также корректно реализовать их сбор на устройстве. Для мобильных приложений необходимо учесть требования магазинов мобильных приложений, поскольку существуют запреты на использование некоторого функционала, как раз для защиты пользователей приложений от отслеживания.
Вывод
Как стало понятно, есть множество нюансов по реализации проверки некоторых признаков ОБС, в связи с чем следует оценить, что выгоднее: собственная реализация данного функционала, либо поиск готового решения.
