Для повышения уровня защиты в сфере потребительского онлайн микрокредитования и улучшения безопасности программного обеспечения при предоставлении микрокредитов электронным способом Агентство РК по регулированию и развитию финансового рынка (АРРФР) внесло изменения в постановление Правления Национального Банка РК от 28 ноября 2019 года № 217 "Об утверждении Правил предоставления микрокредитов электронным способом".
Согласно документу, размещенному на портале "Открытые НПА", микрофинансовые организации (МФО), помимо ранее действующих правил по проверке данных клиента, ознакомлению последнего с правилами предоставления микрокредита и пр., должны:
- запрашивать у клиента способ предоставления микрокредита (посредством выдачи клиенту наличных денег через терминал или кассу, или перевода микрокредита на банковский счет (платежную карточку) клиента или банковский счет юридического лица, с которым у организации, осуществляющей микрофинансовую деятельность, заключен договор, предусматривающий оплату за приобретаемый товар или выполненные работы, услуги заемщиком);
- запрашивать реквизиты банковского счета (IBAN) и/или реквизиты платежной карточки клиента в случае предоставления микрокредита на банковский счет (платежную карточку) клиента.
Требования по закону
Согласно документу АРРФР, в связи со ст. 200 УПК РК о "Представлении по устранению обстоятельств, способствовавших совершению уголовного правонарушения…" и ст. 71 УПК РК о "Потерпевший" МФО не позднее трех рабочих дней должна совершить следующие действия:
- приостановить начисления вознаграждения по такому микрокредиту;
- приостановить взыскание задолженности и претензионно-исковую работу по микрокредиту;
- приостановить направление в кредитные бюро информации о наличии задолженности клиента по микрокредиту;
- направить письменное уведомление клиенту о приостановлении начисления вознаграждения по микрокредиту, взыскании задолженности и проведении претензионно-исковой работы по клиенту.
В случае отмены уполномоченным на то лицом или органом представления либо постановления, на основании которого приостановлено начисление вознаграждения по микрокредиту, взыскание задолженности и проведение претензионно-исковой работы, МФО вправе доначислить вознаграждение за пользование микрокредитом за период приостановления начисления вознаграждения, и возобновить взыскание задолженности и претензионно-исковую работу по клиенту.
Если судом установлен факт неполучения клиентом микрокредита, МФО в течение 15 рабочих дней должно осуществить следующие действия:
- принять решение о списании задолженности клиента по данному микрокредиту;
- внести корректировки в кредитную историю клиента в кредитных бюро путем устранения записей о наличии задолженности по данному микрокредиту и количестве просроченных дней по нему;
- осуществить возврат клиенту сумм задолженности по данному микрокредиту, ранее взысканных МФО, либо погашенных клиентом самостоятельно.
Стоит отметить, что согласно документу АРРФР, списание задолженности клиента по микрокредиту не лишает МФО права требовать с клиента возмещения задолженности по выданному ему микрокредиту, оформленному мошенническим способом при наличии вины самого клиента, установленной судом.
Требования к автоматизированной информационной системе
Теперь в "Правилах предоставления микрокредитов электронным способом" прописаны следующие требования к автоматизированной информационной системе (АИС):
- АИС должна включать программное обеспечение серверов веб-приложений, программное обеспечение для мобильных устройств и программное обеспечение серверов программных интерфейсов;
- Разработка и (или) доработка АИС осуществляется МФО в соответствии с утвержденным внутренним документом, регламентирующим порядок разработки и (или) доработки, этапы разработки и их участников.
МФО несет ответственность за сохранность конфиденциальных данных, кодов доступа, паролей. Также МФО должно обеспечивать безопасное хранение электронных сообщений и иных документов, предоставленных клиенту и полученных от него, с соблюдением их целостности и конфиденциальности в течение не менее 5 лет после прекращения обязательств сторон по договору о предоставлении микрокредита.
Хранение исходных кодов АИС, разрабатываемых в МФО, осуществляется в специализированных системах управления репозиториями кода, размещаемых в периметре защиты организации, осуществляющей микрофинансовую деятельность, с обеспечением резервного копирования.
Для идентификации и аутентификации клиента в личном кабинете клиента используются следующие способы:
- электронная цифровая подпись клиента, представленная национальным удостоверяющим центром Республики Казахстан;
- биометрическая идентификация клиента посредством использования услуг ЦОИД;
- двухфакторная аутентификация клиента.
Двухфакторная аутентификация клиента осуществляется путем применения как минимум двух из следующих факторов: подтверждение фактора знания: ввода клиентом самостоятельно заданного при регистрации пароля или кодового слова.
Обмен данными между клиентской и серверной сторонами АИС должно быть зашифровано с использованием версии протокола шифрования Transport Layer Security (Транспорт Лэйер Секьюрити) не ниже 1.2
"Правила предоставления микрокредитов электронным способом" размещены на портале "Открытые НПА". Документ вступит в действие с 1 января 2024 года.
