Статья: Взаимодействие с банковским платежным агентом: как банку избежать убытков?
В этой статье мы рассмотрим практику организации взаимодействия банковского платежного агента и кредитной организации — оператора[1], а также порядок взаиморасчетов. Как контролировать остаток гарантийного депозита? Каковы особенности открытия и ведения счетов, если клиент банка совмещает функции платежного агента и банковского платежного агента? Как побудить банковского платежного агента выдавать кассовый чек? Как усилить защиту информации при совершении переводов?
Алсу ГАББАСОВА, ООО «Листик и Партнеры», заместитель руководителя департамента банковского аудита.
Взаимодействие с банковским платежным агентом: как банку избежать убытков?
В последнее время многие банки актуализируют внутренние документы по контролю за банковскими платежными агентами (далее — БПА), дополнительно раскрывая требования к обеспечению защиты информации, изложенные в Положении № 382-П[2]. Ответим на наиболее актуальные вопросы, связанные преимущественно с защитой информации.
Гарантийный взнос: какие положения банку предусмотреть в договоре, чтобы обеспечить свои интересы?
В первую очередь напомним, что клиент кредитной организации, претендующий на роль БПА, должен наряду с заявлением представить пакет документов в соответствии с п. 2.1 Методических рекомендаций по усилению контроля операторами по переводу денежных средств за деятельностью банковских платежных агентов от 14.04.2016 № 11-МР.
Договор с БПА считается заключенным только при условии предоставления гарантийного взноса и (или) надлежащего оформления договора поручительства и (или) договора залога (если у БПА есть проблемы с предоставлением данного взноса). К той части денежных обязательств БПА, которая не исполнена в срок, кредитная организация — оператор применяет взыскание за счет средств гарантийного взноса в соответствии со ст. 410 ГК РФ.
На практике вне зависимости от величины гарантийного взноса проценты на него не начисляются. Каждый принятый платеж уменьшает на соответствующую сумму размер гарантийного взноса.
На практике вне зависимости от величины гарантийного взноса проценты на него не начисляются. Каждый принятый платеж уменьшает на соответствующую сумму размер гарантийного взноса. |
Размер такого взноса устанавливается в договоре гарантийного депозита. На основании договора открывается счет 421 «Депозиты негосударственных коммерческих организаций и индивидуальных предпринимателей», куда БПА перечисляет сумму взноса. Сроки и порядок ведения счета также определяются условиями договора гарантийного депозита.
Возможен и альтернативный вариант — авансирование. В этом случае БПА обеспечивает авансирование денежных средств, например на свой расчетный счет, открытый в кредитной организации — операторе. Сумма авансированных денежных средств должна быть достаточной для обеспечения бесперебойной деятельности агента, но не менее суммы предполагаемого сбора денежных средств в течение N календарных дней.
Сумма гарантийного взноса рассчитывается исходя из прогнозируемого оборота по ежедневно принимаемым платежам, либо обеспечительный платеж представляет собой какую-то фиксированную сумму, например не менее 100 тыс. руб. Зачастую его размер не меньше величины двухдневного оборота.
В договоре гарантийного депозита в первую очередь необходимо предусмотреть суммовые ограничения на совершаемые операции. Например, БПА имеет право осуществлять операции по договору только в пределах суммы гарантийного депозита, а в случае превышения этой суммы банк вправе в одностороннем порядке приостановить полномочия агента по договору.
Банковский платежный агент вправе увеличивать/уменьшать размер гарантийного депозита в соответствии с условиями договора гарантийного депозита.
При расторжении договора банк возвращает БПА остаток гарантийного взноса. До расторжения договора возврат денежных средств, перечисленных БПА для пополнения гарантийного взноса, не производится.
Как контролировать остаток гарантийного депозита?
В применяемом программном продукте оператор может задать конкретный тег, который будет контролировать остаток средств обеспечения (гарантийный депозит), возможных для приема платежа. Данный тег задается десятичным числом с точностью до второго знака с разделителем. Платеж может быть выполнен на сумму, не превышающую контролируемое значение остатка.
При анализе запроса на платеж в программном продукте анализируется остаток средств обеспечения для реализации платежа. Если при анализе будет получен отрицательный ответ, необходимо после устранения причин (пополнения остатка на гарантийном депозите) повторять этот запрос до получения положительного ответа. Платеж будет считаться принятым, если при выполнении запроса будет получен положительный ответ.
Взаиморасчеты банковского платежного агента с кредитной организацией — оператором
Взаиморасчеты осуществляются с использованием специальных банковских счетов 40821 «Специальный банковский счет платежного агента, банковского платежного агента (субагента), поставщика».
Режим специального банковского счета БПА установлен ч. 5 ст. 14 Закона № 161-ФЗ и ч. 16 и 19 ст. 4 Федерального закона от 03.06.2009 № 103-ФЗ «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами».
На практике в договорах, заключаемых между агентом и оператором, часто встречается требование к агенту иметь помимо специального банковского счета для зачисления денежных средств, принятых от физических лиц, и проведения взаиморасчетов с контрагентами еще и расчетный счет.
Здесь важно пояснить, зачем это нужно. У счета 40821 строго ограниченный режим, банк не может списывать с него комиссию за РКО, не может ее удерживать из сумм поступивших платежей. Значит, необходимо осуществить «связку» счета 40821 со счетом 40702 «Коммерческие организации» и вести накопительный учет сумм, проходящих через счет 40821, с последующим (к примеру, ежемесячным) формированием банковского ордера со счета 40702 на комиссию. При этом необходимо предусмотреть в договоре приостановку операций по счету 40821 либо изъятие средств с гарантийного депозита в случае недостаточности средств для ее уплаты.
Такие положения хорошо реализовывать в договоре комплексного банковского обслуживания: ДКБО + автоматизация = залог успеха. Кроме того, у платежного агента/БПА помимо денег от приема платежей есть собственная выручка, которую он сдает, как правило, в этот же банк, но на расчетный счет.
Режим специального счета банковского платежного агента не допускает списание средств на небанковские счета (внутренние счета банка). |
Вознаграждение оператора начисляется по всем платежам, проведенным в системе. Расчет вознаграждения производится различными способами, например: ставка, указанная в тарифах кредитной организации в отношении агента, умножается на сумму платежей, принятых в пользу данного агента в течение отчетного периода. Полученный результат округляется до четырех знаков после запятой и суммируется с аналогично рассчитанными суммами по всем платежам платежного агента в отчетном месяце. Полученная в итоге данного расчета сумма, округленная до целых копеек, составляет вознаграждение оператора за отчетный месяц.
По итогам отчетного месяца гарантийный фонд платежного агента уменьшается на сумму вознаграждения оператора.
Банковский платежный агент вправе использовать как один, так и несколько специальных банковских счетов, открытых в любой кредитной организации.
Остановимся подробнее на документах, необходимых для открытия специального банковского счета 40821 для БПА:
- договор между БПА и кредитной организацией — оператором о привлечении БПА;
- договор специального банковского счета (банковского платежного агента);
- заявление на открытие банковского счета по форме, установленной кредитной организацией;
- письмо о получении согласия на обработку персональных данных от лиц, не являющихся представителями юридического лица в силу закона или на основании доверенности (учредителей, иных лиц)[3].
При открытии специального банковского счета 40821 для банковского платежного субагента необходимы те же документы, но договор — уже между банковским платежным субагентом и БПА о привлечении банковского платежного субагента.
Исчерпывающий перечень операций по специальным банковским счетам банковских платежных агентов (субагентов) представлен в ч. 5 ст. 14 Закона № 161-ФЗ.
Лицевые счета на балансовом счете 40821 открываются по каждому договору, заключенному с платежным агентом, банковским платежным агентом (субагентом), поставщиком. Закрытие лицевых счетов балансового счета 40821 осуществляется при расторжении договора специального банковского счета.
На практике расчеты между банком-оператором и привлекаемым агентом осуществляются на следующий рабочий день по операциям текущего дня (дней — в случае праздничных или выходных дней) на основе отчетов, формируемых в программном комплексе[4].
На практике отчетным периодом считается период с 00:01 до 24:00 часов московского времени текущего дня.
Для оптимизации взаиморасчетов банк-оператор и привлекаемый агент осуществляют зачет встречных однородных требований по обязательствам, срок исполнения по которым уже наступил.
Как быть, если клиент банка совмещает функции платежного агента и банковского платежного агента?
При совмещении клиентом банка функций платежного агента и БПА возникают особенности открытия и ведения счетов.
Юридическому лицу, совмещающему деятельность платежного агента и банковского платежного агента (субагента), банк открывает специальный банковский счет (счета) платежного агента и специальный банковский счет (счета) банковского платежного агента (субагента) для каждого вида осуществляемой им деятельности соответственно.
При этом банк устанавливает обязанность по своевременному предоставлению клиентом (платежным агентом, поставщиком, банковским платежным агентом, банковским платежным субагентом) информации:
- при принятии клиентом решения о смене вида деятельности/совмещении нескольких видов деятельности;
- заключении новых договоров;
- расторжении действующих договоров.
Необходимо отметить, что перевод денежных средств между специальным банковским счетом банковского платежного агента (субагента) и специальным банковским счетом платежного агента, в том числе открытых одному лицу, совмещающему деятельность платежного агента и банковского платежного агента (субагента), запрещен.
Идентификация: отличия между агентами и субагентами
Банковский платежный агент осуществляет деятельность от имени кредитной организации — оператора и обязан проводить идентификацию клиента — физического лица, его представителя и (или) выгодоприобретателя. Процедуры идентификации устанавливаются банком-оператором.
Банковский платежный субагент не вправе осуществлять операции, требующие идентификации физического лица в соответствии с законодательством о ПОД/ФТ. |
Все сведения, полученные на основании документа, позволяющего идентифицировать клиента, представителя клиента и (или) выгодоприобретателя при первичном обращении клиента, заносятся сотрудником БПА до момента принятия денежных средств в электронную базу, которая с использованием автоматизированного рабочего места передается в электронную базу данных кредитной организации — оператора.
Банковский платежный субагент не вправе осуществлять операции, требующие идентификации физического лица в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
Кассовый чек: как побудить банковского платежного агента его выдавать?
Пунктом 1 ч. 1 ст. 14 Закона № 161-ФЗ предусмотрено, что оператор по переводу денежных средств вправе на основании договора привлекать БПА для принятия от физического лица наличных денежных средств и (или) выдачи их физическому лицу, в том числе с применением платежных терминалов и банкоматов.
Закон № 161-ФЗ не содержит положений, обязывающих БПА использовать платежные терминалы (банкоматы) при осуществлении указанной деятельности. В обязанности БПА входит подтверждение принятия (выдачи) наличных денежных средств путем выдачи кассового чека.
Банковский платежный агент обязан предупредить плательщика в любой доступной для него форме о необходимости хранения кассового чека, выданного БПА (платежным терминалом БПА), до момента поступления платежа поставщику. |
Банковский платежный агент обязан предупредить плательщика в любой доступной для него форме о необходимости хранения кассового чека, выданного БПА (платежным терминалом БПА), до момента поступления платежа поставщику.
Агент, не исполнивший обязательства по обеспечению платежных терминалов кассовой техникой или не выдающий кассовый чек установленного российским законодательством образца, несет установленные законом меры ответственности. Так неприменение агентом, осуществляющим деятельность по приему платежей физических лиц, контрольно-кассовой техники в платежном терминале, образует состав административного правонарушения, предусмотренного ч. 2 ст. 14.5 КоАП РФ.
Примеры нарушений
1. В платежном терминале при приеме платежа выдан чек, в котором отсутствуют сведения о контрольно-кассовой машине.
Официальная версия данного нарушения: чек выдан без соответствующих реквизитов, так как произошел сбой в программе по причине отключения электроэнергии. Учитывая, что контрольно-кассовая техника в составе платежного терминала должна обеспечивать энергонезависимое долговременное хранение информации о платежах на контрольной ленте и в накопителях фискальной памяти, то довод о сбое в программном обеспечении в связи с отключением электроэнергии не является существенным.
2. Терминал, размещенный по конкретному адресу, выдает чек с указанием этого адреса, однако контрольно-кассовая техника зарегистрирована по иному адресу.
Контрольно-кассовая техника в составе платежного терминала, применяемого платежным агентом и банковским платежным агентом, и банкомата, применяемого банковскими платежными агентами, субагентами, должна быть зарегистрирована в налоговом органе по месту учета налогоплательщика с указанием адреса места ее установки в составе платежного терминала или банкомата. Таким образом, в данном случае осуществлялись наличные денежные расчеты при оказании услуги по зачислению денежных средств с использованием платежного терминала, контрольно-кассовая техника которого зарегистрирована в налоговом органе по месту нахождения другого обособленного подразделения, в связи с чем нарушение обоснованно квалифицируется по ч. 2 ст. 14.5 КоАП РФ.
В качестве дополнительной меры, стимулирующей банковского платежного агента применять кассовый чек, можно использовать гарантийный взнос: если на практике уже были случаи убытков из-за неисполнения агентом своих обязанностей по выдаче чека, размер гарантийного взноса увеличивается. |
3. Платежный терминал не оснащен блоком фискальной памяти.
В соответствии с действующим законодательством платежный терминал должен содержать в своем составе контрольно-кассовую технику и должен быть оснащен блоком фискальной памяти.
Нарушение данного требования влечет за собой административную ответственность по ч. 2 ст. 14.5 КоАП РФ.
На практике для дополнительного стимулирования БПА к выполнению требований по выдаче чека кредитные организации — операторы предусматривают в договоре обязанность БПА возместить убытки, возникшие у них вследствие действий контролирующих органов, вызванных неисполнением БПА обязанности по выдаче чека.
В качестве дополнительной стимулирующей меры также можно использовать гарантийный взнос. В данном случае размер размещаемого БПА гарантийного взноса будет зависеть не только от прогнозируемого оборота по ежедневно принимаемым платежам, но и от репутации БПА, а также от сложившейся практики работы с ним. Если на практике уже были случаи убытков из-за неисполнения БПА своих обязанностей, то размер гарантийного взноса увеличивается.
Защита информации: только ли при осуществлении переводов?
Как на практике можно организовать контроль соблюдения банковскими платежными агентами (субагентами) требований к защите информации?
1. В договоре между БПА и кредитной организацией — оператором можно предусмотреть обязанность БПА сообщать о характере выполнения им требований к обеспечению защиты информации при совершении переводов денежных средств посредством предоставления на бумажном носителе актуальных документированных результатов оценки соответствия по форме 2 Приложения 1 к Положению № 382-П.
2. Банковский платежный агент ежемесячно (не позднее N-го числа месяца, следующего за отчетным) представляет в банк отчеты о своей деятельности, в частности о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации (в т.ч. выявленных субагентами). Отчеты представляются по установленным банком формам согласно приложениям к договору об информационно-технологическом взаимодействии между участниками расчетов и (или) с учетом требований, определенных таким договором.
3. Банк проводит плановые и внеплановые проверки соблюдения БПА:
- порядка совершения переводов денежных средств физических лиц в соответствии с правилами осуществления безналичных расчетов в РФ;
- требований к обеспечению защиты информации при осуществлении переводов денежных средств;
- требований законодательства РФ о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- порядка ведения кассовых операций и работы с денежной наличностью,
а также проверяет ход исполнения БПА обязательств, связанных с договором об информационно-технологическом взаимодействии между участниками расчетов, не вмешиваясь в его хозяйственную деятельность.
Чтобы повысить уровень выполнения требований к защите информации, на практике кредитные организации — операторы разрабатывают и доводят до сведения агентов внутренние локальные документы — инструкции по обеспечению соблюдения банковскими платежными агентами (субагентами) требований к защите информации при осуществлении переводов денежных средств.
Наиболее типичные инциденты
Распределение инцидентов по типам последствий:
- воздействие вредоносного кода, приводящее к нарушению штатного функционирования средства вычислительной техники, результатом которого является нарушение предоставления услуг по переводу денежных средств или несвоевременное осуществление переводов денежных средств;
- реализация воздействий, приводящих к невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств;
- компрометация ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;
- воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов;
- осуществление переводов денежных средств лицами, не обладающими правом распоряжаться этими денежными средствами;
- невозможность предоставления услуг по переводу денежных средств в платежной системе в течение трех часов и более;
- нарушение конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами.
Последние три инцидента, по данным анализа, проведенного Банком России, встречаются наиболее часто.
Распределение инцидентов по типам объектов информационной инфраструктуры:
- телекоммуникационное оборудование, используемое для осуществления переводов денежных средств;
- технические средства по защите информации, используемые для осуществления переводов денежных средств;
- автоматизированные системы, используемые для осуществления переводов денежных средств;
- программное обеспечение, используемое для осуществления переводов денежных средств;
- средства вычислительной техники, используемые для осуществления переводов денежных средств.
Последние три инцидента, по данным анализа, проведенного ЦБ РФ, являются наиболее часто встречаемыми.
Платежные терминалы или банкоматы, применяемые банковским платежным агентом
Платежные терминалы или банкоматы, применяемые банковским платежным агентом должны содержать в своем составе контрольно-кассовую технику и обеспечивать в автоматическом режиме:
1) предоставление физическим лицам информации, предусмотренной ч. 13 ст. 13.1 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности»;
2) прием от физических лиц информации о наименовании получателя платежа, наименовании платежа, размере вносимых банковскому платежному агенту денежных средств, а также иной информации, если это предусмотрено договором об осуществлении деятельности по приему платежей физических лиц;
3) прием денежных средств, вносимых физическими лицами;
4) печать кассовых чеков и их выдачу физическим лицам после приема внесенных денежных средств.
Банкоматы, используемые банковским платежным агентом, должны соответствовать требованиям, установленным Федеральным законом от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа».
Как следует из п. 1.1 ст. 4 Федерального закона № 54-ФЗ контрольно-кассовая техника в составе платежного терминала, применяемого платежным агентом и банковским платежным агентом, субагентом, и банкомата, применяемого банковскими платежными агентами, субагентами, должна:
- быть зарегистрирована в налоговом органе по месту учета налогоплательщика с указанием адреса места ее установки в составе платежного терминала или банкомата;
- быть исправна, опломбирована в установленном порядке;
- иметь фискальную память с накопителями фискальной памяти, контрольную ленту и часы реального времени;
- обеспечивать некорректируемую регистрацию и энергонезависимое долговременное хранение информации о платежах на контрольной ленте и в накопителях фискальной памяти, а также предоставлять информацию для печати кассового чека платежным терминалом или банкоматом в некорректируемом виде;
- эксплуатироваться в фискальном режиме, а в иных режимах исключать возможность печати кассового чека платежным терминалом или банкоматом;
- передавать в фискальном режиме в платежный терминал или банкомат зарегистрированную информацию о платежах в некорректируемом виде, обеспечивающем идентичность информации, зарегистрированной на кассовом чеке, контрольной ленте, в фискальной памяти и первичных учетных документах организации или индивидуального предпринимателя, применяющих платежный терминал или банкомат;
- иметь паспорт установленного образца.
Кроме того, банковский платежный агент обязан предоставить банку-оператору информацию обо всех своих пунктах с указанием адреса, режима работы и типа пункта (касса, терминал, банкомат и т.п.). В дальнейшем, регулярно обновлять данную информацию.
Требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов
Положени № 382-П устанавливает ряд требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов.
На практике возникает вопрос: как кредитным организациям — операторам в свете данных требований интерпретировать банкоматы, на которых не проводятся операции, связанные с осуществлением переводов денежных средств?
Одни придерживаются точки зрения, что все банкоматы подпадают под данные требования ввиду того, что процесс выдачи денежных средств может рассматриваться как перевод, другие сомневаются в правоте данного вывода.
В соответствии с п. 4 ст. 5 Закона № 161-ФЗ внесение наличных денежных средств на свой банковский счет или получение наличных денежных средств со своего банковского счета у одного оператора по переводу денежных средств не является переводом денежных средств. Таким образом, по нашему мнению, рассматриваемая операция не является переводом и банкоматы без возможности перевода денежных средств не подпадают под требования п. 2.2 Положения № 382-П.
Банкоматы без возможности перевода денежных средств не подпадают под требования п. 2.2 Положения № 382-П. |
Служба информационной безопасности и требования к ней
Согласно абз. 9 п. 2.2 Положения № 382-П под службой информационной безопасности (далее — служба ИБ) понимаются подразделение или работники, ответственные за организацию и контроль обеспечения защиты информации. Решение о формировании службы ИБ или назначении ответственных лиц оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры принимает самостоятельно.
Оператор по переводу денежных средств должен назначить куратора службы ИБ из состава своего органа управления и определить его полномочия. При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора. Как этого можно достичь? Например, назначить куратором службы информатизации заместителя председателя правления, а куратором службы ИБ — председателя правления.
Второй допустимый вариант: служба ИБ может входить в состав управления безопасности и подчиняться начальнику управления безопасности. Но при этом куратор управления безопасности — председатель правления.
Таким образом, вариантов организации подчинения может быть много, и главное требование, которое необходимо учитывать, — чтобы служба ИБ и служба информатизации (автоматизации) не имели общего куратора. В любом случае, делая выбор, необходимо учитывать особенности организационной структуры, штатного расписания, а также функциональную принадлежность (возможность объединения или необходимость разведения) подразделений и наличие/отсутствие конфликта интересов в конкретных подразделениях.
Положение № 382-П не содержит запрета на включение службы ИБ в состав службы информатизации (автоматизации), если отсутствует возможность курирования службы ИБ куратором службы информатизации (автоматизации).
[1] Данный термин, как и иные термины и определения в настоящей статье, применяется в значении, установленном Федеральным законом от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее — Закон № 161-ФЗ).
[2] Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
[3] Не являются представителями:
- лица, действующие хотя и в чужих интересах, но от собственного имени;
- лица, лишь передающие волю другого лица, выраженную в надлежащей форме;
- лица, уполномоченные на вступление в переговоры относительно возможных в будущем сделок.
[4] Имеет смысл уточнить, что стоимость доработок по построению отчетов, подгрузки их в «материнское» ПО и формирования сводных данных по платежным агентам/БПА может существенно превысить денежный интерес банка от сотрудничества с ними.