Блокировка карт

Банк обязан проверять операции своих клиентов на признаки мошенничества и предотвращать подозрительные операции. Критерии таких переводов с 2018 года устанавливает Банк России и периодически их обновляет. С 1 января 2026 года список критериев расширяется с 6 до 12 (приказ Банка России от 05.11.2025 № ОД-2506).

Продолжают действовать 6 признаков, которые были введены ранее:

1. реквизиты получателя денег есть в базе данных Банка России о мошеннических операциях;
2. перевод с устройства, которое ранее использовалось злоумышленниками, и сведения о нем попали в базу данных Банка России;
3. информация о получателе денег есть в собственной базе данных банка о подозрительных переводах;
4. нетипичная для клиента операция – например, по сумме, периодичности или времени ее совершения;
5. в отношении получателя денег возбуждено уголовное дело по факту мошенничества;
6. наличие информации от сторонних организаций (например, операторов связи), свидетельствующей о риске мошенничества. Это может быть нехарактерная для человека телефонная активность с номера, который используется им для обслуживания в банке, рост числа входящих СМС-сообщений от неизвестных адресатов, в том числе в мессенджерах. Банки обязаны учитывать информацию о подобных фактах, выявленных такими организациями как минимум за 6 часов до перевода.

   Новые признаки мошеннических операций, которыми дополнен приказ Банка России:

7. при бесконтактной операции в банкомате (когда для перевода денег к модулю NFC банкомата прикладывают смартфон или карту) время обмена данными между банковской картой, в том числе токенизированной (цифровой), и банкоматом превышает норму, установленную «Национальной системой платежных карт»;
8. «Национальная система платежных карт» проинформировала банк о риске мошенничества при совершении перевода. Например, это может быть раскрытие сведений о платежной карте и других электронных средствах платежа посторонним людям;
9. за 48 часов до перевода произошла смена номера телефона в онлайн-банке или на Госуслугах; на устройстве клиента (смартфоне или компьютере), которое используется для переводов, обнаружены указывающие на риск мошенничества факторы (например, наличие вредоносного программного обеспечения, изменение операционной системы или провайдера связи, что может свидетельствовать о получении злоумышленниками удаленного доступа к счету);
10. попытка внесения наличных на счет человека с использованием токенизированной (цифровой) карты через банкомат, если владелец этого счета, то есть потенциальный получатель денег, за последние 24 часа до этого совершил трансграничный перевод в адрес физического лица на сумму больше 100 тыс. рублей;
11. перевод денег человеку, с которым ни разу за последние полгода не было финансовых взаимоотношений, при условии, что такой операции менее чем за 24 часа предшествовал перевод самому себе из другого банка через Систему быстрых платежей (СБП) на сумму более 200 тыс. рублей;
12. сведения о получателе денег содержатся в государственной информационной системе противодействия правонарушениям, которые совершаются с использованием информационных и коммуникационных технологий. Признак будет применяться с начала работы этой системы – с 1 марта 2026 года.

Если банк выявляет перевод, который соответствует хотя бы одному признаку мошеннической операции из приказа Банка России, он обязан на 2 дня приостановить перевод денег или отказать клиенту в совершении операций с использованием платежных карт, СБП или переводов электронных денежных средств.

При этом банк должен незамедлительно уведомить клиента о том, что операция не прошла, а также сообщить о возможности подтвердить перевод (дать согласие) не позднее 1 дня, следующего за днем его приостановления, или совершить повторную операцию по тем же реквизитам и на ту же сумму. Порядок уведомления предусмотрен договором клиента с банком – как правило, это СМС-сообщение или пуш-уведомление.

Если клиент дал согласие на перевод или совершил операцию повторно, то банк обязан незамедлительно исполнить распоряжение клиента, кроме случая, когда сведения о получателе денег содержатся в базе данных Банка России о мошеннических операциях.

Если клиент не подтвердил перевод или не повторил операцию, то она считается несовершенной и деньги остаются на счете плательщика.

Банк вправе приостановить использование банковской карты, онлайн-банкинга и других электронных средств платежа в том случае, если сведения о клиенте или его платежных средствах содержатся в базе данных Банка России (ч. 11.6 ст. 9 ФЗ № 161-ФЗ). При этом банк обязан это сделать, если в базу данных Банка России поступила информация от МВД России (ч. 11.7 ст. 9 ФЗ № 161-ФЗ). Это значит, что правоохранительные органы по факту обращения пострадавшего уже занимаются расследованием факта мошенничества. 

В случае блокировки банковской карты или приостановления доступа клиента к онлайн-банкингу по указанным выше основаниям банк обязан незамедлительно уведомить об этом клиента, а также сообщить о праве клиента подать заявление в Банк России, в том числе через банк, об исключении сведений из базы данных регулятора.

Использование банковской карты или онлайн-банкинга приостанавливается на период нахождения сведений о клиенте банка в базе данных регулятора. При исключении данных из базы банк обязан незамедлительно возобновить использование клиентом банковской карты или онлайн-банкинга и уведомить его об этом.

Речь идет о приостановке возможности использования электронных средств платежа — банковской карты или онлайн-банкинга. При этом человек, информация о котором содержится в базе данных Банка России, может воспользоваться деньгами и совершить любые банковские операции, но для этого ему необходимо обратиться в отделение банка с паспортом или другим документом, удостоверяющим личность.

При наличии сведений о получателе денег в базе данных Банка России «О случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента» банк обязан на два дня приостановить перевод денег или отказать клиенту в повторной операции (для переводов с использованием платежных карт, переводов электронных денежных средств или переводов с использованием сервиса быстрых платежей) (ч. 3.10 ст. 8 Федерального закона № 369-ФЗ). При этом банк обязан незамедлительно сообщить клиенту о приостановлении операции (отказе в ее совершении), причинах и сроках ее приостановления. 

Если после двухдневного периода охлаждения клиент не отказался от перевода или совершил последующую повторную операцию на те же реквизиты и ту же сумму, то банк обязан незамедлительно исполнить перевод (операцию) при отсутствии иных установленных законодательством ограничений (ч. 3.11 ст. 8 Федерального закона № 369-ФЗ).

В таком случае, когда банк выполнил предусмотренные законом меры по защите клиента от мошеннической операции, банк не вернет клиенту деньги за перевод на счет злоумышленника (ч. 3.13 ст. 8 Федерального закона № 369-ФЗ).

Перед проведением перевода банк обязан проверить его на наличие признаков мошеннической операции. При выявлении операции, которая соответствует хотя бы одному из признаков, он приостанавливает ее исполнение или отказывает в ее совершении (для переводов с помощью карт, электронных средств, Системы быстрых платежей), известив клиента об этом. 

Если человек пытается совершить повторную операцию, несмотря на первый отказ банка, а информация о получателе денег содержится в базе данных регулятора, то банк не проводит такую операцию. Кредитная организация уведомляет клиента, почему это произошло и через какое время операция может быть проведена. Со дня попытки совершения клиентом повторной операции начинает исчисляться двухдневный период охлаждения.

Пример периода охлаждения для операции с помощью карты или Системы быстрых платежей: человек совершает перевод на сумму 10 тыс. рублей 28 октября в 18:00, банк выявляет, что сведения о получателе денег находятся в базе данных Банка России, и отказывает клиенту в таком переводе. В 20:00 того же дня клиент пытается совершить повторный перевод, банк вновь его отклоняет. В этом случае период охлаждения начинается в 20:00 28 октября, а заканчивается в 23:59 29 октября. Если же попытка совершить повторную операцию произошла в 01:00 29 октября, то период охлаждения завершится в 23:59 30 октября. 

Определение сроков периода охлаждения не зависит от рабочих или выходных дней.

Порядок уведомления предусмотрен договором клиента с банком. Как правило, это СМС-сообщение или пуш-уведомление.

Предусмотренные законом ограничения не касаются зачисления банками заработной платы или социальных выплат (ч. 3.15 ст. 8 Федерального закона № 369-ФЗ). Это значит, что даже при наличии счета в базе данных Банка России кредитная организация должна исполнить соответствующую операцию. Человек, в свою очередь, сможет воспользоваться этими деньгами и совершить любую банковскую операцию, но для этого нужно обратиться в отделение банка с паспортом или другим документом, удостоверяющим личность.

По закону банк вправе приостановить использование банковской карты, онлайн-банкинга и других электронных средств платежа в том случае, если сведения о клиенте или его банковских реквизитах содержатся в базе данных Банка России. Если банк не заблокировал карту или доступ к онлайн-банкингу, с 15 мая 2025 года для такого человека вводится лимит — он не сможет переводить себе или другим людям с использованием электронного средства платежа больше 100 тыс. рублей в месяц (ч. 11.6 ст. 9 Федерального закона № 161-ФЗ).

Ограничение действует, пока сведения о человеке находятся в базе данных Банка России. Чтобы совершить перевод на сумму, превышающую установленный законом лимит, человеку необходимо обратиться в отделение банка с паспортом или другим документом, удостоверяющим личность.

На переводы в адрес юридических лиц ограничение не распространяется. Это значит, что человек, сведения о котором или информация о его платежных средствах есть в базе данных Банка России, по-прежнему сможет с использованием карт и онлайн-банкинга покупать товары в магазинах или на маркетплейсах, оплачивать жилищно-коммунальные и другие услуги.

Банк России формирует базу данных «О случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента» на основе сведений, которые предоставляют банки и другие участники информационного обмена с регулятором. Они по закону (п. 4 ст. 27 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе») обязаны противодействовать переводам, которые происходят без добровольного согласия клиента, в частности под воздействием злоумышленников. Информацию обо всех случаях и попытках таких переводов денег, в том числе тех, по которым клиенты заявили свое несогласие с их совершением, банки передают в Банк России.

Следует отметить, что реквизиты получателя денег по операциям без добровольного согласия клиента попадают в базу данных регулятора в результате дополнительной проверки, которая проводится в том числе в рамках взаимодействия с банками.

C 1 сентября 2025 года в базу данных включаются сведения о мошеннических операциях, связанных с внесением наличных на счета через банкоматы с применением токенизированных (цифровых) карт.

Кроме того, в базу данных Банка России могут поступать сведения от МВД России.

Если сведения о вас или вашей организации попали в базу данных Банка России, то банки и другие участники информационного обмена с регулятором вправе приостановить использование вашего электронного средства платежа (платежные карты, онлайн-банкинг и др.) до тех пор, пока информация не будет исключена из этой базы. В случае, когда сведения поступили в базу данных регулятора от МВД России, приостановка использования электронного средства платежа является обязательной.

Это можно сделать двумя способами:

1. Обратиться с заявлением в любой из банков, клиентом которого он является. Банк обязан перенаправить обращение клиента в Банк России не позднее следующего рабочего дня (при отсутствии основания для отказа в передаче заявления в Банк России).
2. Направить заявление в Банк России через Интернет-приемную, выбрав в качестве темы обращения «Информационную безопасность» и соответствующий тип проблемы.

Независимо от способа обращения в заявлении необходимо обязательно указать следующие данные:

— фамилию, имя и отчество (при наличии);

— серии (при наличии) и номера документов, удостоверяющих личность;

— полные и сокращенные (при наличии) названия банков, от которых вы узнали о включении сведений в базу данных Банка России, и (или) их банковские идентификационные коды;

— номера банковских счетов, и (или) платежных карт, и (или) электронных кошельков;

— номер телефона (при наличии).

Дополнительно вы можете указать в заявлении ИНН, СНИЛС, а также даты заключения договоров об оказании услуг сотовой связи.

Кроме того, если банк полагает, что сведения о его клиенте включены в базу данных необоснованно, то он вправе самостоятельно, без участия клиента, направить в Банк России мотивированное заявление.

Банк России в течение 15 рабочих дней рассмотрит заявление и примет решение о целесообразности исключения реквизитов из базы данных.

Это можно сделать одним из двух способов:           

1. Обратиться с заявлением в любой из банков, в котором обслуживаетесь вы или ваша компания. Банк обязан перенаправить обращение клиента в Банк России не позднее следующего рабочего дня (при отсутствии основания для отказа в передаче заявления в Банк России).
2. Направить заявление в Банк России через Интернет-приемную, выбрав в качестве темы обращения «Информационную безопасность» и соответствующий тип проблемы.

Независимо от способа обращения индивидуальному предпринимателю и лицу, которое занимается частной практикой, в заявлении нужно обязательно указать следующие данные:

— серии (при наличии) и номера документов, удостоверяющих личность;

— ИНН;

— номера банковских счетов, и (или) платежных карт, и (или) электронных кошельков.

Дополнительно вы можете указать в заявлении полные и сокращенные (при наличии) наименования банков, от которых вы узнали о включении сведений в базу данных Банка России, и (или) их банковские идентификационные коды, а также номер телефона.

 

Юридическому лицу в заявлении нужно обязательно указать следующие данные:

— ИНН;

— номера банковских счетов, и (или) платежных карт, и (или) электронных кошельков.

Юридическое лицо может дополнительно представить серии (при наличии) и номера документов, удостоверяющих личность, СНИЛС физического лица, осуществляющего функции единоличного исполнительного органа юридического лица, а также полные и сокращенные (при наличии) наименования банков, от которых вы узнали о включении сведений в базу данных Банка России, и (или) их банковские идентификационные коды.

Кроме того, если банк полагает, что сведения о его клиенте включены в базу данных необоснованно, то он вправе самостоятельно, без участия клиента, направить в Банк России мотивированное заявление.

Банк России в течение 15 рабочих дней рассмотрит заявление и примет решение о целесообразности исключения реквизитов из базы данных.

Банк России в течение 15 рабочих дней рассмотрит заявление и примет решение о целесообразности исключения реквизитов из базы данных.

Если клиент обращался с заявлением в свой банк, то решение регулятора будет направлено в адрес банка. При этом ответ Банка России кредитная организация обязана сообщить клиенту не позднее следующего рабочего дня.

В случае, когда клиент банка обращался напрямую в Банк России, решение регулятора будет направлено клиенту.

Если банк самостоятельно инициировал процесс обжалования (без участия клиента), то решение регулятора будет направлено в банк.