Для предотвращения мошенничества при получении банковского займа вводятся дополнительные меры: проект

№

Структура НПА

Действующая редакция

Предлагаемая редакция

Обоснования

1

2

3

4

5

Постановление Правления Национального Банка Республики Казахстан от 28 июля 2017 года № 136
«Об утверждении Правил предоставления банковских услуг и рассмотрения банками, организациями, осуществляющими отдельные виды банковских операций, обращений клиентов, возникающих в процессе предоставления банковских услуг»

1.    

Пункт 8-4

8-4. Банк до заключения договора банковского займа посредством Интернет вносит данные об абонентском номере устройства сотовой связи клиента и проводит биометрическую идентификацию клиента посредством использования услуг Центра обмена идентификационными данными или с использованием биометрических данных, полученных посредством устройств банка, и представляет клиенту, помимо сведений и документов, предусмотренных подпунктом 1) пункта 7 Правил, следующую информацию по банковскому займу:

…

8-4. Банк до заключения договора банковского займа посредством Интернет вносит данные об абонентском номере устройства сотовой связи клиента, направляет на указанный номер одноразовый пароль и проводит биометрическую идентификацию клиента посредством использования услуг Центра обмена идентификационными данными или с использованием биометрических данных, полученных посредством устройств банка, и представляет клиенту, помимо сведений и документов, предусмотренных подпунктом 1) пункта 7 Правил, следующую информацию по банковскому займу:

....

В соответствии с пунктом 2 статьи 31 Закона о банках уполномоченный орган устанавливает правила об общих условиях проведения банковских операций.

Поправка обеспечивает дополнительную меру с целью предотвращения мошенничества.

2.    

Пункт 29

29. Обращения, поступающие через интернет-ресурс банка, регистрируются в порядке, предусмотренном внутренними документами банка.

29-1 отсутствует

29-1. Обращения клиентов, поступающие через мобильное приложение для дистанционного оказания услуг банка, регистрируются в порядке, предусмотренном внутренними документами банка. Для этих целей на главной странице мобильного приложения предусматривается однозначно идентифицируемый клиентом функционал для подачи жалобы на мошеннические действия в отношении клиента.

Поправка обеспечивает быстрый механизм информирования клиентом о мошенничестве.

Постановление Правления Национального Банка Республики Казахстан от 12 ноября 2019 года № 188
«Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан»

3.    

Пункт 2

2. В Правилах используются следующие понятия:

      1) риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка;

2) риск информационных технологий – вероятность возникновения ущерба вследствие отказа (нарушения функционирования) информационно-коммуникационных технологий, эксплуатируемых банком;

Отсутствует

Отсутствует

 3) уполномоченный коллегиальный орган банка – совет директоров, комитет при совете директоров, правление, комитет при правлении;

4) репутационный риск – вероятность возникновения потерь, неполучения запланированных доходов в результате сужения клиентской базы, снижения иных показателей развития вследствие формирования в обществе отрицательного представления о надежности банка, качестве оказываемых им услуг или характере деятельности банка в целом;

Отсутствует  

.

.

.

Отсутствует  

2. В Правилах используются следующие понятия:

1) риск информационной безопасности - вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка;

2) риск информационных технологий - вероятность возникновения ущерба вследствие отказа (нарушения функционирования) информационно-коммуникационных технологий, эксплуатируемых банком;

3) центр обмена данными по платежным транзакциям с признаками мошенничества - юридическое лицо Национального Банка Республики Казахстан, которое осуществляет меры, направленные на предотвращение платежных транзакций с признаками мошенничества (далее - антифрод-центр НБРК);

4) антифрод-система банка – комплекс технических и аналитических мер, разработанных и направленных для предотвращения и обнаружения мошенничества при использовании банковских услуг;

5) уполномоченный коллегиальный орган банка - совет директоров, комитет при совете директоров, правление, комитет при правлении;

6) репутационный риск - вероятность возникновения потерь, неполучения запланированных доходов в результате сужения клиентской базы, снижения иных показателей развития вследствие формирования в обществе отрицательного представления о надежности банка, качестве оказываемых им услуг или характере деятельности банка в целом;

7) дропперы – физические или юридические лица, пособники мошенников, которые создают условия для вывода денежных средств, украденные мошенниками с банковских счетов третьих лиц. Дропперы предоставляют мошенникам свои персональные данные и информацию и выводят украденные денежные средства за вознаграждение;

..

.

.

26) база данных инцидентов – база подозрительных операций и мошенничества, которая ведется в электронном виде;

В соответствии с пунктом 1 статьи 40-5 Закона о банках уполномоченный орган устанавливает порядок формирования системы управления рисками и внутреннего контроля.

Введение понятийного аппарата.

4.    

Глава 15

Отсутствует.

Глава 15. Управление рисками мошенничества

120.     Совет директоров банка обеспечивает наличие эффективной системы управления рисками мошенничества, которая соответствует рыночной ситуации, стратегии, объему активов, уровню сложности операций банка и обеспечивает эффективное выявление, измерение, мониторинг и контроль с целью противодействия мошенничеству при использовании банковских услуг, и включает, но не ограничиваясь, следующие компоненты:

1)  политику и процедуры по борьбе с мошенничеством;

2) систему управленческой отчетности;

3)  информационные технологии, в том числе антифрод-систему банка.

121.В функции антифрод подразделения, входит как минимум, но не ограничиваясь:

1) разработка плана мероприятий по реализации стратегии банка по противодействию мошенничества, который раскрывает, но, не ограничиваясь, следующее:

определение потребностей в ресурсах, в том числе определение бюджета, связанного с процессами противодействия мошенничеству;

описание требуемых мероприятий по противодействию мошенничеству с указанием сроков и ответственных за их реализацию.

2) внедрение превентивных способов, моделей, технологий и процессов противодействия мошенничеству в отношении клиентов банка на внешних каналах обслуживания и совершенного работниками банка;

3) внедрение, функционирование и непрерывное улучшение процессов противодействия мошенничеству и цифровых каналов предоставления финансовых продуктов и (или) услуг;

4)  проведение мероприятий по противодействию заключению договоров потребительского займа, переводов денег и (или) снятия наличных денег с признаками мошенничества, осуществляемых банком в рамках системы управления рисками мошенничества;

5)  оценка бизнес-процессов и внедряемых финансовых продуктов и или/услуг на предмет рисков мошенничества;

6)  обеспечение соответствия регуляторным требованиям в сфере противодействия мошенничеству при предоставлении финансовых продуктов и/или услуг, разработка и последующая методологическая поддержка при установлении контрольных процедур во внутренних документах банка;

7)  выявление и аналитика внешних и внутренних данных, а также предупреждение новых схем мошенничества;

8) разработка типологии подозрительных операций с признаками мошенничества;

9) формирование списков подозреваемых в мошенничестве и списка мошенников;

10) осуществление мониторинга подозрительных операций, подозрительного поведения клиентов, работников и третьих лиц;

11)ведение и непрерывное обновление базы данных инцидентов;

12) передача данных о подозрительных операциях с признаками мошенничества в антифрод-центр НБРК в круглосуточном режиме и непрерывное обогащение новой информацией по мере появления;

13) обмен информацией с другими участниками финансового рынка и уполномоченными органами;

14) обеспечение взаимодействия с антифрод-центром НБРК в  соответствии с постановлением Правления Национального Банка Республики Казахстан от 16 июля 2024 года № 43 «Об утверждении Требований к порядку осуществления деятельности центра обмена данными по платежным транзакциям с признаками мошенничества и его взаимодействия с лицами, участвующими в его деятельности», зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 34772;

15) обеспечение повышения осведомленности клиентов банка, работников банка и третьих сторон в области противодействия мошенничеству;

16) выявление, фиксация и расследование фактов внутреннего и внешнего мошенничества;

17) участие во внутренних расследованиях, выработка корректирующих мер и рекомендаций по результатам расследований, контроль их реализации и составление заключений по результатам расследований;

18) подготовка предложений для принятия коллегиальным органом решений по вопросам противодействия мошенничеству;

19)  подготовка и предоставление управленческой отчетности о реализации рисков мошенничества, а также об устранении их последствий в соответствии с внутренними документами.

122.  Подразделение по управлению рисками разрабатывает внутренний документ, определяющий порядок управления рисками мошенничества, который включает, но, не ограничиваясь, следующие процедуры:

1)  идентификации рисков мошенничества и определение индикаторов раннего обнаружения подверженности рискам мошенничества;

2) оценки вероятности и последствий всех выявленных рисков мошенничества, применяя качественные и (или) количественные методы оценки, в том числе на основании данных об их реализации;

3) сбора и хранения сведений о реализации существенных рисков мошенничества;

4) формирования реестра рисков, включающего риски мошенничества;

5) разработки мер обработки рисков мошенничества;

6)  мониторинга исполнения мер по обработке рисков мошенничества.

123.  Антифрод-система банка отвечает следующим требованиям:

1)  обеспечивает техническую интеграцию с антифрод-центром НБРК;

2)  обеспечивает полноту отражения информации о подозрительных операциях и мошенничестве в базе данных инцидентов и непрерывную передачу данных в антифрод-центр НБРК в круглосуточном режиме;

3)  использует заранее заданные пороговые значения для различных параметров (сумма перевода, частота операций с одного аккаунта и другие), для выявления подозрительной активности;

4) обеспечивает ведение списков подозреваемых в мошенничестве и мошенников банка и автоматическую сверку с внутренними списками банка для всех транзакций, включая списки антифрод-центра НБРК;

5) предусмотрена возможность приостановить и возобновить или отклонить транзакцию;

6) обеспечивает хранение данных в соответствии с постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 «Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах», зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772;

7) обеспечивает аналитическую отчетность по инцидентам мошенничества для предоставления в уполномоченный орган;

8)  обеспечивает гибкость для анализа и настройки параметров для выявления подозрительных операций и мошенничества в соответствии с внутренними документами банка, регламентирующими процесс выявления подозрительных операций, тестирования и внесения изменений в антифрод-систему банка.

124.  Совет директоров утверждает стратегию противодействия мошенничеству, которая отвечает следующим требованиям как минимум, но, не ограничиваясь:

1) целями стратегии является: предотвращение, обнаружение и расследование, принятие соответствующих мер;

2) учитывает текущее состояние финансового сектора, включая наиболее существенные проблемы, связанные с мошенничеством;

3) учитывает изменения в сфере мошенничества, изменения в продуктах, в регулировании

4) обновление стратегии противодействия мошенничеству на периодической основе или всякий раз, когда происходят существенные изменения

125. Политики и процедуры управления рисками мошенничества, включают, но не ограничиваясь, следующее:

1)  стандарты оценки риска мошенничества, связанного с сотрудниками, клиентами и третьими лицами, которые позволяют предотвратить установление отношений, не отвечающих требованиям;

2) перечень операций, подлежащих рассмотрению;

3)  критерии подозрительных операций и мошенничества, устанавливаемые в том числе уполномоченным органом;

4)   порядок приостановления дистанционного оказания услуг банка дропперам сроком не менее одного календарного года, включая мобильное приложение и онлайн-банк, критерии возобновления дистанционного оказания услуг, а также информирование в порядке, установленном договором;

5) критерии включения и исключения в список подозреваемых в мошенничестве и список мошенников;

6)  способы, методы и модели оценки рисков мошенничества отвечают следующим требованиям:

качественные и количественные методы оценки;

способы, методы и модели должны быть адаптированы к новым методам мошенничества и уровню сложности операций банка, а также изменениям в процессах банка и в законодательстве;

системы обнаружения мошенничества для выявления аномалий в транзакционных и нетранзакционных данных, а также поведения клиентов и сотрудников, которые могут свидетельствовать о подозрительных операциях и мошенничестве обеспечивают проверку в автоматическом режиме

7) порядок взаимодействия подразделений банка и передача данных в соответствии с правилами антифрод-центра НБРК;

8) триггеры и перекрестная проверка при осуществлении подозрительных операций между банками через антифрод-центр НБРК;

9) порядок проведения периодического обучения и аттестации сотрудников по вопросам противодействия мошенничеству;

10) процедуры повышения финансовой грамотности населения по вопросам противодействия мошенничеству, которые включают как минимум, но не ограничиваясь:

программы и материалы для обучения клиентов;

мероприятия для клиентов по распознаванию мошенничества и управлению личными данными;

11) стандарты аутентификации, которые включают, но не ограничиваясь:

проверку подлинности учетных данных клиентов, сотрудников и третьих лиц;

инструкции по обеспечению защиты информационного актива и предотвращению несанкционированного доступа или действий;

12) стандарты предотвращения, учитывающие как внутренние, так и внешние риски мошенничества, влияющие на банк;

13)  стандарты обнаружения, которые включают, но не ограничиваясь:

источники данных, используемые для выявления подозрительных действий и мошенничества;

системы и технологии контроля, внедренные для выявления потенциального мошенничества, оповещения о важных событиях или транзакциях, в том числе руководящих работников, подразделений банка;

роли и обязанности подразделений и сотрудников при обнаружении подозрительных операций и мошенничества;

14)  план реагирования на фактический или предполагаемый инцидент с мошенничеством, который включает, но не ограничиваясь:

режим работы сотрудников, обеспечивающий непрерывность реагирования;

перечень случаев приостановления и возобновления или отклонения транзакции;

принятие решения о необходимости проведения внутреннего расследования.

15) стандарты расследования, которые включают, но не ограничиваясь: 

порядок взаимодействия подразделений банка;

оценка срочности, существенности, сбор и анализ информации;

документирование предпринятых следственных действий;

оценка факта мошенничества и дата завершения расследования;

принятые меры, в том числе по возмещению ущерба клиенту, если применимо;

16) оценку эффективности системы управления рисками мошенничества, в том числе службой внутреннего аудита банка.

126.   Управленческая информация содержит, но не ограничиваясь, следующее:

1)   результаты оценки рисков мошенничества, показатели склонности к рискам мошенничества и соответствие пороговым значениям и лимитам;

2)  количественный и качественных анализ фактов мошенничества в разрезе продуктов банка и типа платежа (если применимо) с указанием типологии мошенничества;

3)  принятые меры по фактам мошенничества;

4)  операционные убытки банка и размер возмещения убытков потребителям;

5) объем обращений о мошенничестве в разрезе продуктов банка и типа платежа (если применимо).

Поправки обеспечивают общую практику управления рисками мошенничества среди банков.