Про ризики використання послуг "інтернет-еквайрингу"

Національний банк України (далі - Національний банк), керуючись частиною восьмою статті 18 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі -Закон про ПВК/ФТ) та статтею 66 Закону України "Про банки і банківську діяльність", вважає за потрібне звернути увагу банків, асоціацій, фінансових установ, національного оператора поштового зв'язку (далі - установи) на таке.

Національним банком отримано інформацію від правоохоронних органів про виявлені загрози національним інтересам внаслідок організації установами як надавачами фінансових платіжних послуг окремих моделей здійснення переказів/платіжних операцій з використанням технології карткових платіжних систем.

Виявлено, що технології карткових платіжних систем для здійснення переказів з рахунку фізичної особи на рахунок фізичної особи з використанням реквізитів платіжних карток платника та отримувача (далі - Р2Р перекази), які ґрунтуються на операціях "card2account" (далі - С2А) та "account2card" (далі -А2С), можуть використовуватися для здійснення платежів на користь/від осіб, які здійснюють діяльність у сфері організації та проведення азартних ігор без відповідної ліцензії, незаконних обмінних сервісів, а також уникнення обмежень, встановлених законодавством України, в тому числі, нормативно-правовими актами Національного банку (зокрема проведення операцій "квазі-кеш").

Такі перекази, зокрема, здійснюються за участі банків-еквайрів, небанківських фінансових установ (НФУ), інших банків (як надавачів фінансових платіжних послуг) на підставі укладених між ними договорів.

Таким чином, наявний високий ризик структурування платежів/платіжних операцій з метою маскування/приховування реальної суті фінансової операції під час здійснення зазначених вище переказів.

Також, виявлено випадки, коли еквайр (учасник платіжної системи), який має ліцензію на здійснення Р2Р переказів, самостійно не здійснює такі перекази, а залучає для цього інші банки-еквайри.

Окрім того, виявлено, що окремими банками-еквайрами на підставі договорів, укладених з НФУ або іншими банками, надається послуга "інтернет-еквайрингу", яка використовується в поєднанні з послугою "виплат на картки" (А2С). Зібрані кошти на підставі договору "інтернет-еквайрингу" не використовуються НФУ для перерахування на користь торговців/мерчантів, з якими ніби то укладені договори у НФУ, а використовуються для переказу коштів на "платіжні картки" фізичних осіб. Така модель здійснення переказів/платіжних операцій має ознаки структурування та призводить до маскування/приховування реальної суті фінансової операції, а також осіб, на користь/від кого здійснюються платежі.

Варто зауважити, що банками-еквайрами при наданні послуг "інтернет-еквайрингу" не вживаються достатніх заходів для перевірки приналежності інтернет-ресурсів, на яких встановлюються віртуальні платіжні термінали, конкретним юридичним особам (юридичним особам, що здійснюють відповідний вид діяльності та за товари та послуги яких ініціюються платежі з використанням послуг банку-еквайру).

При цьому окремі банки-еквайри під час виконання вимог, передбачених статтею 14 Закону про ПВК/ФТ, визначають НФУ як отримувача коштів в межах виконання переказу/платіжної операції за договором "інтернет-еквайрингу" та як платника в межах виконання переказу/платіжної операції за договором "виплат на картки" (А2С).

У зв'язку з цим наголошуємо, що НФУ не є отримувачем або платником за переказом/платіжною операцією, а є суб'єктом, за участі якого здійснюється такий переказ/платіжна операція.

Також слід зазначити, що використання наведеної моделі здійснення переказів/платіжних операцій за допомогою "інтернет-еквайрингу" та С2А, А2С суттєво підвищує вірогідність виникнення географічного ризику, оскільки активними учасниками цих платіжних операцій (користувачами) є також особи, які користуються послугами через інтернет-ресурси країни, що здійснює збройну агресію проти України.

Ураховуючи зазначене, попереджаємо про ризики послуги "інтернет-еквайринг", С2А та А2С з метою здійснення платіжних операцій на користь/від суб'єктів господарювання, які не мають ліцензій на здійснення діяльності з організації та проведення азартних ігор, у тому числі, нелегальних онлайн-казино, нелегальних обмінних сервісів, та іншої незаконної діяльності, зокрема з метою ухилення від сплати податків, виплати неоподаткованих винагород тощо.

У листі від 24.09.2021 № 25-0006/89709 "Про заходи банків-еквайрів у сфері фінансового моніторингу" Національний банк надав рекомендації банкам щодо необхідності вжиття заходів для підтвердження того, що МСС-код відповідає виду реальної діяльності торговця, а також щодо заходів співпраці банку-еквайра та фінансових компаній (платіжних агрегаторів/фасілітаторів), які укладають договори з торговцями.

Крім того, у наведеному листі наголошено на потребі забезпечення банками функціонування адекватної системи управління ризиками відмивання коштів/фінансування тероризму (далі - ВК/ФТ), зокрема під час обслуговування торговців та фінансових компаній (платіжних агрегаторів/фасілітаторів), ужиття дієвих заходів для ефективного запобігання використанню послуг банку з метою ВК/ФТ та розуміння наслідків, на які наражається банк у разі невиконання вимог законодавства України з питань протидії відмиванню коштів/фінансуванню тероризму (далі - ПВК/ФТ).

Наголошуємо, що обов'язок суб'єктів первинного фінансового моніторингу застосовувати у своїй діяльності ризик-орієнтований підхід, враховуючи відповідні критерії ризику, зокрема, пов'язані з його клієнтами, географічним розташуванням держави реєстрації клієнта або установи, через яку він здійснює передачу (отримання) активів, видом товарів та послуг, що клієнт отримує від суб'єкта первинного фінансового моніторингу, способом надання (отримання) послуг. Ризик-орієнтований підхід має бути пропорційний характеру та масштабу діяльності суб'єкта первинного фінансового моніторингу (частина перша статті 7 Закону про ПВК/ФТ).

Також суб'єкти первинного фінансового моніторингу зобов'язані вживати належних заходів із метою мінімізації ризиків, запобігати використанню своїх послуг та продуктів для проведення клієнтами фінансових операцій із протиправною метою (пункти 2, 3 частини другої статті 8 Закону про ПВК/ФТ).

Повторно звертаємо увагу на необхідність проведення всіх заходів належної перевірки фінансових компаній (платіжних агрегаторів/фасілітаторів), які є клієнтами банків-еквайрів, у тому числі з метою з'ясування клієнтської бази цих фінансових компаній, зокрема, клієнтів, з якими укладені договори, на користь яких ініціюються переказ коштів, а також на посилення заходів для встановлення торговців/мерчантів, перевірки/підтвердження розрахунків з такими торговцями/мерчантами.

Ураховуючи зазначене, з метою попередження наведених вище ризиків рекомендуємо:

- під час моніторингу платіжних операцій, що проводяться з використанням послуги "інтернет-еквайринг", С2А та А2С, посилити з урахуванням ризик-орієнтованого підходу заходи по відношенню до клієнтів, зокрема, здійснювати перевірку функціональності сайтів клієнтів/торговців, з яких проводиться ініціювання операцій, належності таких сайтів до конкретних юридичних осіб;

- при укладенні договорів з іншими банками, метою яких є забезпечення виконання переказів за участю фізичних осіб [зарахування (А2С) та/або списання коштів (С2А) з рахунків фізичних осіб], перевіряти наявність у цих банків ліцензій, наданих операторами відповідних платіжних систем, на здійснення Р2Р переказів (така взаємодія може призводити до ризику маскування/приховування реальної суті фінансової операції під час здійснення зазначених вище переказів).

Зазначаємо, що згідно з частиною шостою статті 11 Закону про ПВК/ФТ установи як клієнти банку зобов'язані подати інформацію (офіційні документи), необхідну (необхідні) для здійснення належної перевірки, а також для виконання банком як суб'єктом первинного фінансового моніторингу інших вимог законодавства у сфері ПВК/ФТ.

Додатково звертаємо увагу, що банки, які є емітентами ЕПЗ, зобов'язані, серед іншого, проводити на постійній основі моніторинг ділових відносин та фінансових операцій клієнта (пункт 34 частини першої статті 1 Закону про ПВК/ФТ), а також виявляти підозрілі фінансові операції (діяльність) згідно із статтею 21 Закону про ПВК/ФТ (уключаючи платіжні операції з використанням ЕПЗ).

У свою чергу, фінансові компанії, які згідно із Законом про ПВК/ФТ також є суб'єктами первинного фінансового моніторингу, повинні вживати заходів належної перевірки стосовно своїх клієнтів з урахуванням ризик-орієнтованого підходу.

Зазначаємо, що згідно з частиною шостою статті 14 Закону про ПВК/ФТ суб'єкту первинного фінансового моніторингу, що надає фінансові платіжні послуги платнику (ініціатору), забороняється здійснювати платіжну операцію у разі відсутності інформації, якою повинна супроводжуватися така операція відповідно до вимог цієї статті. Також частина сімнадцята статті 14 Закону про ПВК/ФТ зобов'язує посередника з проведення платіжної операції під час здійснення переказу забезпечувати збереження і передачу всієї отриманої інформації про платника (ініціатора) та отримувача.

Отже, з метою належного виконання вимог статті 14 Закону про ПВК/ФТ, зокрема в рамках надання послуги "інтернет-еквайрингу", С2А та А2С, суб'єкти первинного фінансового моніторингу зобов'язані дотримуватися вимог зазначеної статті з урахуванням своїх функцій (ролей).

Так, надавач фінансових платіжних послуг, що отримує від платника (ініціатора) платіжну інструкцію (банк, еквайр, НФУ), є суб'єктом первинного фінансового моніторингу, що надає фінансові платіжні послуги платнику (ініціатору платіжної операції).

Суб'єктом первинного фінансового моніторингу, що надає фінансові платіжні послуги отримувачу, є надавач фінансових платіжних послуг, який зараховує кошти на рахунок отримувача, зазначеного у платіжній інструкції, що надана платником (ініціатором платіжної операції), або який видає отримувачу суму платіжної операції в готівковій формі.

Всі інші учасники в рамках Закону про ПВК/ФТ є посередниками з проведення платіжної операції - суб'єктами первинного фінансового моніторингу, які безпосередньо не обслуговують ні платника (ініціатора платіжної операції), ні отримувача та виконують платіжну операцію за дорученням іншого суб'єкта первинного фінансового моніторингу, який обслуговує платника (ініціатора платіжної операції) або отримувача, або за дорученням іншого посередника з проведення платіжної операції.

З огляду на зазначене, наголошуємо на обов'язковому дотриманні вимог, передбачених у статті 14 Закону про ПВК/ФТ, в частині необхідності супроводження платіжних операцій, уключаючи Р2Р перекази, інформацією про платника та отримувача на всіх етапах проведення платіжної операції. Зазначені вимоги мають виконуватися, в тому числі, у разі використання С2А та А2С (на всіх етапах проведення платіжної операції має міститися інформація про платника (ініціатора) та отримувача).

Просимо врахувати викладені в цьому листі рекомендації у практичній діяльності.