Ответ ЦБ на письмо АРБ "О признаках выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов"

ЦЕНТРАЛЬНЫЙ БАНК
РОССИЙСКОЙ ФЕДЕРАЦИИ
(БАНК РОССИИ)

Первому вице-президенту
Ассоциации российских банков
Ю.И. Кормошу

От 11.11.2025 № 56-16/9998
на № А25-02/5-352 от 24.09.2025

О рассмотрении обращения

Уважаемый Юрий Иванович!

Департамент информационной безопасности Банка России рассмотрел обращение Ассоциации российских банков от 24.09.2025 № А25-02/5-352 и сообщает следующее.

По вопросу 1. В связи с повышенными рисками мошеннических действий при выдаче наличных денежных средств третьим лицам через банкоматы бесконтактным способом с использованием технологии NFC, в частности с использованием NFC Gate, приказом Банка России № ОД-1765¹ в качестве одного из признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов (далее – признаки) определено наличие превышения установленного правилами платежной системы времени направления ответа на запрос (АРБИ (application protocol data unit) – команда) в рамках взаимодействия банкомата и платежной карты или токенизированной (цифровой) платежной карты (пункт 2 указанного приказа Банка России).

В соответствии с абзацем первым статьи 24.3-1 Закона № 395-1² проверку на наличие признаков обязана осуществить кредитная организация, предоставившая клиенту платежную карту.

Признак, установленный пунктом 2 приложения к приказу Банка России №  1765-ОД, применим для случаев, когда кредитная организация, предоставившая клиенту платежную карту, одновременно является кредитной организацией – владельцем банкомата, через который осуществляется запрос на выдачу наличных денежных средств.

Вместе с тем кредитным организациям – владельцам банкоматов рекомендуется реализовать механизм проверки таймаута ответа на команду GENERATE AC на стороне банкомата в соответствии с выпущенным АО «НСПК» 06.06.2025 операционным бюллетенем #10.2025 «О повышении устойчивости инфраструктуры к атакам с использованием NFC Gate и в случае, если время ответа превышает 240 мс, указанным кредитным организациям следует отказать в проведении такой операции и рекомендовать клиенту использовать физическую платежную карту.

По вопросу 2. В соответствии с абзацем первым статьи 24.3-1 Закона № 395-1 проверку на наличие признаков обязана осуществить кредитная организация, предоставившая клиенту платежную карту.

Таким образом, кредитная организация, предоставившая клиенту платежную карту, применяет признак, установленный пунктом 4 приложения к приказу Банка России № ОД-1765, при наличии у нее такой информации.

Заместитель директора Департамента
информационной безопасности

А.О. Выборнов

¹ Приказ Банка России от 07.08.2025 № ОД-1765 «Об установлении признаков выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов».
² Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности».

• 24.09.2025 Письмо АРБ Директору Департамента национальной платежной системы Банка России Бакиной А.С. "О признаках выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов"
• 11.11.2025 Ответ ЦБ на письмо АРБ "О признаках выдачи наличных денежных средств без добровольного согласия клиента с использованием банкоматов"

• CB-answer-56-16-9998 11.11.2025 (pdf. 131 Kb)