Регулятор платежной системы («PSR») провел расследование и дает рекомендации как не стать жертвой финансового мошенничества с принудительными платежами (authorised push payment «APP»). Впоследствии регулятор решил ввести модель условного возмещения (Contingent Reimbursement Model «CRM»). В марте 2018 года PSR учредила Уполномоченную руководящую группу по мошенничеству в области платежей для разработки кодекса.
28 февраля 2019 года Руководящая группа опубликовала окончательный отчет - Код модели условного возмещения от мошеннических платежей с использованием авторизованных платежей («Код CRM»). Код CRM вступил в силу 28 мая 2019 года.
Поскольку код CRM носит добровольный характер, по сути, это означает, что поставщики платежных услуг («PSP»), принимают во внимания положения, разработанные Руководящей группой должны предусматривать защиту своих клиентов от финансового мошенничества согласно разработанной системе CRM. Фактическое администрирование и управление Кодексом CRM было передано Руководящей группой Совету по стандартам кредитования («LSB») с 1 июля 2019 года.
Сode CRM предназначен для применения ко всем поставщикам платежных услуг, как определено в Положении о платежных услугах 2017 года («PSR2017»). Однако текущая формулировка не предполагает его применения к поставщикам, предоставляющих услуги инициированых платежей («PISP»). Руководящая группа заявляет в своем отзыве о консультации, что она работает с Организацией по внедрению открытого банковского обслуживания и LSB над подходом к тому, как код CRM будет применяться к PISP.
Финансовые мошенничества: какие компании попадают под прицел и какие схемы могут использоваться
Код CRM применяется только к платежным операциям, которые соответствуют определенным указанным параметрам, а именно:
- Транзакция должна выполняться через Faster Payments или CHAPS.
Как указывает этот термин, транзакция должна быть «авторизована» плательщиком в соответствии с применимыми требованиями PSR2017 (то есть плательщик дает согласие отправляющему PSP на выполнение транзакции). Несанкционированные транзакции выходят за рамки (например, когда произошла кража учетных данных). Существует два сценария: когда жертва намеревалась перевести средства в X, но была обманута, переместив средства в Y; или когда жертва переводила средства X для того, что они считали законными целями, но на самом деле были мошенническими.
- Плательщиком (то есть жертвой) должен быть потребитель, микропредприятие или небольшая благотворительная организация.
Эти термины такие же, как те, которые определены в PSR2017. Таким образом, «потребитель» - это человек, который не действует в коммерческих целях; «микропредприятие» - предприятие с численностью персонала менее 10 человек, чей годовой оборот/общая сумма баланса не превышает 2 млн. евро; «благотворительность» - это благотворительный фонд с годовым доходом менее 1 млн. фунтов стерлингов.
- Транзакция между учетной записью жертвы и первой учетной записью-получателем.
Это означает, что код CRM применяется только к отправляющему PSP, который действует от имени плательщика (т.е. жертвы), и к принимающему PSP, который действует для получателя (то есть мошенника) и первым получает средства. Управление по финансовому регулированию и надзору в Великобритании («FCA») в конце 2018 года разработало новые правила, позволяющие потребителям подавать жалобы, связанные с мошенничеством. Эти новые правила вступили в силу с января 2019 года. Следовательно, несмотря на положения об учетных записях первого поколения в соответствии с Кодексом CRM, жертва может по-прежнему иметь возможность подать жалобу в Служба финансового омбудсмена Соединенного Королевства. Это связано с тем, что новые правила FCA относятся к PSP, который «вовлечен или был вовлечен в перевод средств», а правила FCA предназначены для работы «даже в отсутствие кода CRM».
Читать также: Борьба с отмыванием денег и мошенничеством в Канаде
Лицензирование платежных систем: стандарты введения Code CRM
Код CRM устанавливает стандарты поведения как для отправляющего PSP, так и для принимающего PSP (то есть для принимающего поставщика платежных услуг, где хранится учетная запись транзакций). Таким образом, PSP, который производит платежи, должен предпринять разумные шаги для обнаружения мошенничества и впоследствии должен отправить предупреждение клиенту о риске и о том, что жертва должна сделать, чтобы уберечь себя от финансового мошенничества.
PSP также должны отложить обработку соответствующей транзакции или заморозить средства. PSR2017 имеет определенные временные ограничения на обработку транзакций как для поставщиков услуг, которые производят отправку платежей, так и для тех, кто принимает платежи. Руководящая группа заявляет в своем отчете, что Код CRM ожидает, что PSP предпримут действия в рамках существующих правовых и нормативных ограничений, включая PSR2017.
Возмещение жертвам финансового мошенничества
Положение по умолчанию в коде CRM состоит в том, что жертва мошенничества должна получить возмещение, что является основной целью создания данного проекта. FCA заявляет, что «каждый случай должен быть оценен с точки зрения его достоинств, чтобы выяснить, действовал ли клиент с грубой небрежностью».
В процессе консультаций были высказаны опасения, что у мелких PSP могут возникнуть трудности при проведении оценки уязвимости, поскольку они (в отличие от крупных банков), как правило, содержат меньше данных о клиентах. Тем не менее, Руководящая группа приходит к выводу, что требования являются надлежащими, и отмечает, что руководство (которое все еще разрабатывается) предоставит полезные рекомендации и примеры того, как следует проводить оценку своего клиента. Руководящая группа далее отмечает, что если PSP после оценки уязвимости решает не возмещать клиенту утраченные средства, этот клиент сможет обратиться к FOS, чтобы оспорить этот вывод.
Как отмечено выше, код CRM выражается в виде добровольного кода, и принимать его во внимание или нет зависит от каждого поставщика платежных услуг. Тем не менее, Руководящая группа отмечает, что «ожидается, что Служба финансового омбудсмена рассмотрит вопрос о принятии кода в качестве соответствующего соображения при рассмотрении жалоб на [PSP], возникающих в результате финансового мошенничества».
Кроме того, понятно, что FCA ожидает, что поставщики платежных услуг будут последовательно реализовывать код, и что произвольная интерпретация может потенциально привести к принудительным действиям от регулятора. Понятно также, что PSR не исключает введение законодательства, если добровольное задействование системы не наберет популярности с течением времени.