аналитика 15 января 2029 По состоянию на 15 января 2029

ФинЦЕРТ и передача данных о мошенниках

ФинЦЕРТ — подразделение Банка России, принимающее данные о мошеннических операциях от банков, МФО и платёжных систем в рамках НПС. Передача таких данных затрагивает персональные данные клиентов и создаёт правовые риски по ст. 6 и ст. 9 ФЗ-152.

За нарушение порядка передачи ПДн — штраф по ч. 1 ст. 13.11 КоАП от 150 000 до 300 000 ₽; при повторности — до 500 000 ₽. Если финдиректор не контролирует бюджет на комплаенс, оборотный штраф по ч. 15 ст. 13.11 при утечке может составить 1–3% выручки, но не менее 20 млн ₽.

→ Если вы финдиректор и банк или МФО передаёт данные в ФинЦЕРТ без правового основания — это риск с ценой выше годового бюджета на ИБ.

С 2022 года объём данных, которые финансовые организации обязаны или вправе передавать в ФинЦЕРТ, существенно вырос. Параллельно ФЗ-420 от 30.11.2024 и ФЗ-156 от 24.06.2025 ужесточили ответственность за любую передачу ПДн без надлежащего основания. Финансовые директора оказались перед развилкой: не передавать — риск нарушения требований 115-ФЗ и НПС; передавать без правового основания — риск по ч. 1, ч. 2 или ч. 15 ст. 13.11 КоАП. Ниже — анализ того, как эта развилка решается в действующем праве.

Что такое ФинЦЕРТ и какие данные туда попадают?

ФинЦЕРТ (Финансовый центр реагирования на компьютерные атаки) действует при Банке России как подразделение по противодействию кибератакам и мошенничеству в финансовом секторе. Участие в информационном обмене через ФинЦЕРТ регулируется Положением Банка России о платёжной системе и рядом нормативных актов о национальной платёжной системе.

В ФинЦЕРТ передаются данные трёх типов. Первый — технические индикаторы компрометации: IP-адреса, хэши вредоносных файлов, домены. Это не ПДн в смысле ст. 3 ФЗ-152 — они не относятся к идентифицированному физическому лицу напрямую. Второй — данные о мошеннических операциях: номера счетов, суммы, время транзакций, платёжные реквизиты. Здесь граница с ПДн размыта: номер счёта сам по себе не ПДн, но в совокупности с ФИО, телефоном или адресом — уже является. Третий — данные о лицах, причастных к мошенничеству: сведения из антифрод-систем, включая идентификаторы устройств, поведенческие паттерны, привязанные к конкретным клиентам. Именно эта категория создаёт основной правовой риск.

«Ст. 3 ФЗ-152 определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Передача в ФинЦЕРТ совокупности номер счёта + телефон + сумма транзакции при наличии связи с конкретным клиентом — обработка ПДн, требующая правового основания по ст. 6 ФЗ-152.»

Какое правовое основание позволяет передавать ПДн в ФинЦЕРТ?

Основной инструмент — п. 2 ч. 1 ст. 6 ФЗ-152: обработка ПДн допускается для исполнения обязанности, возложенной на оператора законодательством Российской Федерации. Если передача данных в ФинЦЕРТ прямо предписана нормативным актом Банка России, изданным в рамках полномочий по 161-ФЗ о НПС или 115-ФЗ, согласие субъекта не требуется.

Практическая проблема состоит в том, что обязательная передача охватывает ограниченный перечень сведений. За его пределами — добровольный обмен. А добровольная передача ПДн третьему лицу (ФинЦЕРТ как структура ЦБ) требует иного основания: либо согласия субъекта (ст. 9 ФЗ-152), либо обоснования через п. 5 ч. 1 ст. 6 (договор с субъектом), либо п. 7 ч. 1 ст. 6 (законный интерес — наиболее спорный вариант для финансовой сферы).

С 01.09.2025 требования к согласию ужесточились: по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом, не может быть встроено в договор или оферту. Это означает, что банки и МФО, которые опирались на «общее согласие» в договоре на обслуживание как основание для передачи данных в ФинЦЕРТ, с 01.09.2025 такой возможности лишены.

Финдиректор: как оценить стоимость риска передачи данных в ФинЦЕРТ?

Аудит соответствия 152-ФЗ в финансовой организации стоит от 100 000 ₽. Штраф по ч. 2 ст. 13.11 КоАП за передачу ПДн без надлежащего основания — от 300 000 до 700 000 ₽ за одно нарушение. При утечке с повторностью — оборотный штраф по ч. 15 не менее 20 млн ₽. Юристы DATUM проведут аудит обработки ПДн в финансовом блоке по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как взаимодействуют 115-ФЗ, НПС и ФЗ-152 при передаче данных о мошенниках?

115-ФЗ об ПОД/ФТ обязывает финансовые организации идентифицировать клиентов, фиксировать операции и направлять сведения в Росфинмониторинг при наличии подозрений. Это самостоятельное правовое основание: ст. 6 п. 2 ФЗ-152 закрывает вопрос согласия, поскольку передача данных в РФМ — законодательная обязанность.

НПС-регулирование (161-ФЗ) обязывает операторов платёжных систем сообщать в Банк России о несанкционированных переводах. Банк России через ФинЦЕРТ консолидирует эти сведения и возвращает участникам рынка агрегированные базы данных о мошенниках. Передача от участника НПС в Банк России — исполнение обязанности. Но получение от ФинЦЕРТ обогащённых данных и их дальнейшее использование в скоринге или антифроде — это уже самостоятельная обработка ПДн, требующая собственного основания.

Именно здесь возникает пересечение с ст. 16 ФЗ-152 о скоринге: если банк на основании данных ФинЦЕРТ автоматически отказывает клиенту в операции или кредите без участия человека, клиент вправе потребовать объяснений и оспорить решение. Непредоставление такой возможности — нарушение ч. 2 ст. 16 ФЗ-152.

«Ст. 16 ФЗ-152 запрещает принятие решений, порождающих юридические последствия для субъекта, исключительно на основании автоматизированной обработки ПДн — без права субъекта на возражение и пересмотр. Использование данных ФинЦЕРТ в автоматическом антифроде без механизма оспаривания нарушает эту норму.»

Что изменилось в передаче биометрии через ЕБС для финансовых организаций?

Биометрические данные (изображение лица, голос) в финансовом секторе обрабатываются через Единую биометрическую систему по ФЗ-572 от 29.12.2022. С 01.06.2023 банки обязаны хранить исходные биометрические шаблоны только в ЕБС, оператором которой является АО «Центр Биометрических Технологий». Хранение биометрии вне ЕБС — нарушение.

В контексте ФинЦЕРТ возникает специфический вопрос: может ли банк передавать биометрический идентификатор мошенника в ФинЦЕРТ? Прямого запрета нет, но передача биометрии третьим лицам без письменного согласия субъекта нарушает ст. 11 ФЗ-152. Исключения, позволяющие обойти согласие, перечислены в ч. 2 ст. 11 ФЗ-152 и охватывают преимущественно публично-правовые функции (оперативно-розыскная деятельность, судопроизводство). Передача в ФинЦЕРТ — коммерческую организационную структуру ЦБ — под эти исключения не подпадает напрямую.

Нарушение требований к обработке биометрии влечёт ответственность по ч. 16 ст. 13.11 КоАП. За утечку биометрических ПДн — ч. 17 той же статьи: штраф от 15 000 000 до 20 000 000 ₽. Это существенно превышает размер штрафа за утечку обычных категорий данных сопоставимого масштаба.

Что подготовить финдиректору финансовой организации

Карту потоков данных в ФинЦЕРТ и Росфинмониторинг с указанием правового основания по ст. 6 ФЗ-152 для каждого типа передаваемых сведений
Актуальное уведомление в реестре РКН (pd.rkn.gov.ru) с целями обработки, включающими противодействие мошенничеству и передачу в регулятор
Отдельные согласия клиентов на добровольную передачу их данных в ФинЦЕРТ — по новым требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025
Документально закреплённый механизм оспаривания автоматических решений по ст. 16 ФЗ-152 (антифрод, скоринг)
Соглашение с ФинЦЕРТ / ЦБ РФ как поручение на обработку ПДн по п. 3 ст. 6 ФЗ-152 либо обоснование иной правовой конструкции

Какие типичные ситуации приводят к нарушениям?

Три сценария, которые чаще всего встречаются в практике финансовых организаций при работе с данными о мошенниках.

Сценарий 1. МФО передаёт в ФинЦЕРТ данные заёмщиков с признаками фрода без правового основания. МФО не является участником НПС и не обязана сообщать в ФинЦЕРТ по 161-ФЗ. Добровольная передача ПДн заёмщиков (ФИО, телефон, поведенческий профиль) без их согласия и без явной законодательной обязанности — нарушение ч. 1 ст. 6 ФЗ-152. Доказательная база РКН: логи исходящих запросов к API ФинЦЕРТ, договор об участии в информационном обмене. Вероятный исход: штраф по ч. 1 ст. 13.11 от 150 000 до 300 000 ₽, предписание прекратить обработку. Стратегия: либо получить отдельное согласие субъекта по ст. 9 ФЗ-152, либо зафиксировать законодательную обязанность (норму НПА) как основание.

Сценарий 2. Банк использует данные ФинЦЕРТ в автоматическом скоринге без уведомления клиента. Банк получает от ФинЦЕРТ «стоп-листы» — реестры телефонов и счетов, замеченных в мошенничестве, — и интегрирует их в скоринговую модель. Клиент получает отказ без объяснений. Нарушение: ст. 16 ФЗ-152 (право на возражение), ст. 22 ФЗ-152 (цели обработки не включены в уведомление). Доказательная база: жалоба клиента в РКН, запрос на ознакомление с данными по ст. 14 ФЗ-152. Вероятный исход: предписание + штраф по ч. 4 ст. 13.11 (непредоставление информации субъекту) от 40 000 до 80 000 ₽. Стратегия: ввести процедуру оспаривания автоматических решений, обновить уведомление в реестре РКН.

Сценарий 3. Утечка данных из антифрод-системы банка, интегрированной с ФинЦЕРТ. В ходе кибератаки скомпрометирована база, содержащая данные клиентов, помеченных как подозреваемые в мошенничестве. Число субъектов — более 10 000. Банк не уведомил РКН в течение 24 часов. Нарушение: ч. 3.1 ст. 21 ФЗ-152 (просрочка уведомления), ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов). Штраф: по ч. 13 — от 5 000 000 до 10 000 000 ₽, дополнительно по ч. 11 за неуведомление — от 1 000 000 до 3 000 000 ₽. Стратегия: выстроить процедуру реагирования по Приказу РКН №187, назначить ответственного по ст. 22.1 ФЗ-152 с функцией мониторинга инцидентов.

Если финдиректор получает отчёт об ИБ-инциденте в финансовой организации — у вас 24 часа на первичное уведомление РКН. Срок по ч. 3.1 ст. 21 ФЗ-152 не восстанавливается. Промедление добавляет штраф по ч. 11 ст. 13.11 от 1 до 3 млн ₽ поверх основного.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Региональный банк (Приволжский ФО, осень 2025) интегрировал API ФинЦЕРТ в систему онлайн-кредитования. В уведомлении РКН цель «передача ПДн в ФинЦЕРТ» отсутствовала. После жалобы клиента, получившего необъяснённый отказ, РКН возбудил дело по ч. 1 ст. 13.11 КоАП. Банк устранил нарушение — обновил уведомление, добавил соответствующую цель обработки, ввёл процедуру ответа по ст. 14 ФЗ-152. Итог: штраф в нижней части диапазона (150 000–200 000 ₽), предписание исполнено.

Кейс 2. МФО (Центральный ФО, начало 2026) добровольно передавала данные клиентов с признаками мошенничества в систему ФинЦЕРТ на основании «общего согласия» из договора займа. После 01.09.2025 такое основание утратило силу по ФЗ-156. Проверка РКН выявила отсутствие отдельных согласий. По ч. 2 ст. 13.11 КоАП назначен штраф в диапазоне нескольких сотен тысяч рублей. Арбитражный суд региона подтвердил правомерность протокола. Стратегия для аналогичных случаев: либо получить отдельные согласия, либо перейти на иное основание — например, зафиксировать законный интерес с проведением balancing test и документальным обоснованием.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований передачи данных в ФинЦЕРТ и Росфинмониторинг
Комплект ОРД под ключ — согласия по ФЗ-156, регламент скоринга по ст. 16 ФЗ-152
Защита при штрафе в арбитраже — обжалование протоколов по ч. 1, ч. 2 и ч. 13 ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Согласно ч. 8 ст. 14.8 КоАП, введённой ФЗ-420, финансовая организация не вправе отказывать в обслуживании потребителю, который не предоставил биометрические данные для размещения в ЕБС. Штраф за такой отказ — до 500 000 ₽ для юридического лица. Исключение: случаи, когда биометрическая идентификация прямо предусмотрена как единственный законодательно установленный способ (ст. 11 ФЗ-152, ФЗ-572).

2. Что грозит МФО за утечку клиентских данных?

МФО несёт ответственность как оператор ПДн в полном объёме ст. 13.11 КоАП. При утечке от 1 000 до 10 000 субъектов — штраф по ч. 12 от 3 000 000 до 5 000 000 ₽. Дополнительно — до 3 000 000 ₽ по ч. 11 за неуведомление РКН в течение 24 часов. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 000 000 ₽ и не более 500 000 000 ₽.

3. Какое правовое основание обработки ПДн в банке при противодействии мошенничеству?

Для обязательной передачи в Банк России по 161-ФЗ и Росфинмониторинг по 115-ФЗ — п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение законодательной обязанности). Для добровольного обмена через ФинЦЕРТ — либо отдельное согласие клиента по ст. 9 ФЗ-152, либо обоснование законного интереса (п. 7 ч. 1 ст. 6) с балансирующим тестом. Согласие с 01.09.2025 оформляется только отдельным документом по ФЗ-156.

4. Где хранится биометрия клиентов банка?

По ФЗ-572 от 29.12.2022, с 01.06.2023 банки обязаны хранить биометрические шаблоны клиентов исключительно в Единой биометрической системе (ЕБС), оператором которой является АО «Центр Биометрических Технологий». Хранение исходной биометрии на собственных серверах банка — нарушение, влекущее ответственность по ч. 16 ст. 13.11 КоАП. Утечка биометрии из банковских систем — ч. 17, штраф 15–20 млн ₽.

5. Как клиент может оспорить отказ в кредите на основании данных ФинЦЕРТ?

На основании ст. 16 ФЗ-152 клиент вправе потребовать от банка объяснений автоматизированного решения и его пересмотра с участием человека. Отказ банка предоставить такую возможность — нарушение ч. 2 ст. 16 ФЗ-152. Дополнительно клиент вправе запросить информацию об обрабатываемых данных по ст. 14 ФЗ-152 (срок ответа — 10 рабочих дней). Жалоба в РКН — стандартный инструмент воздействия.

Итог

Передача данных о мошенниках в ФинЦЕРТ — это не единый процесс с одним правовым режимом, а совокупность операций, каждая из которых требует самостоятельного основания по ст. 6 ФЗ-152. Обязательная передача по 161-ФЗ и 115-ФЗ закрыта законодательной обязанностью; добровольный информационный обмен и использование данных ФинЦЕРТ в скоринге — нет. Ужесточение требований к согласию с 01.09.2025 и введение оборотных штрафов с 30.05.2025 сделали правовые пробелы в этой области финансово опасными.

Юристы DATUM сопровождают финансовые организации — банки, МФО, платёжные сервисы — в построении комплаенса по ФЗ-152 с учётом отраслевой специфики 115-ФЗ, 161-ФЗ, ФЗ-572 и актуальной практики РКН.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

15 января 2029 года