Банк России утвердил новые признаки переводов, совершаемых без добровольного согласия клиента — то есть без его согласия или с согласием, полученным «под влиянием обмана или при злоупотреблении доверием». Документ вступит в силу с 1 января 2026 года и заменит приказ 2024 года. Об этом пишет Securitylab.
Перечень подготовлен во исполнение закона «О национальной платёжной системе» и включает расширенный набор критериев, по которым банки смогут определять такие операции.
В списке указаны случаи, когда данные получателя совпадают с информацией из базы Банка России о переводах без согласия клиента. Учитываются и сведения из государственной системы противодействия правонарушениям в сфере IT, которая начинает применяться с 1 марта 2026 года.
Признаком станет превышение установленного времени ответа банкомата при работе с картой или токенизированной картой. Банки также должны учитывать информацию об уровне риска операции, если она поступает от операторов платёжной инфраструктуры. Несоответствие суммы, места, времени или частоты перевода привычным действиям клиента также включено в перечень.
В документ вошли признаки, основанные на данных операторов связи и интернет-сервисов. Это нетипичные звонки, увеличение количества входящих сообщений, новые отправители, включая номера госуслуг или банков.
К рискам отнесены случаи, когда незадолго до перевода фиксируется вредоносное ПО на устройстве клиента, используются нетипичные настройки подключения или происходит смена номера телефона в онлайн-банке или на портале госуслуг («Единый портал государственных и муниципальных услуг (функций)») в течение 48 часов до операции. Также учитывается изменение параметров SIM или устройства до подтверждения принадлежности номера.
Для отдельных ситуаций указаны специальные критерии. Если после трансграничного перевода более 100 тысяч рублей клиент в течение суток вносит наличные через банкомат по токенизированной карте, операция может подпадать под проверку. Отдельно выделены случаи, когда клиент получает более 200 тысяч рублей по СБП и менее чем через сутки отправляет средства человеку, которому ранее полгода не переводил деньги.
Для цифрового рубля предусмотрены свои признаки: совпадение данных получателя с информацией из базы Банка России, а также совпадение с операциями, которые оператор платформы ранее уже отмечал как попытки перевода без согласия клиента.
Приказ подписан председателем Банка России Эльвирой Набиуллиной.