В соответствии с Приказом Банка России от 05.11.2025 № ОД-2506, который расширил и детализировал требования Федерального закона № 161-ФЗ «О национальной платежной системе», с 1 января 2026 года банки обязаны использовать обновленный перечень признаков подозрительных операций.
Ниже приведен полный список 12 признаков, на основании которых банк обязан приостановить перевод или отказать в совершении операции:
1. Наличие сведений о получателе в базе ЦБ: Информация о получателе средств (счет, карта, электронный кошелек) уже содержится в базе данных Банка России о случаях покушения на осуществление переводов без согласия клиента (база ФинЦЕРТ).
2. Совпадение параметров устройства с базой ЦБ: Техническое устройство (смартфон, ноутбук), с которого совершается платеж, ранее использовалось мошенниками и занесено в соответствующий реестр регулятора.
3. Нетипичный характер операции: Резкое отклонение от привычного финансового поведения клиента: нехарактерная сумма, необычное время совершения платежа, нетипичная периодичность или место проведения операции (геолокация).
4. Информация от операторов связи о «подозрительной активности»: Поступление данных от сотовых операторов о том, что перед совершением перевода зафиксирована повышенная активность СМС-сообщений или длительные звонки с неизвестных номеров (признак социальной инженерии).
5. Внезапная смена учетных данных: Совершение перевода в течение 48 часов после того, как клиент сменил номер телефона, SIM-карту, переустановил банковское приложение или изменил данные в профиле на «Госуслугах».
6. «Круг самопомощи» через СБП: Перевод самому себе суммы свыше 200 000 руб. через Систему быстрых платежей (СБП) из другого банка с последующей немедленной попыткой отправить эти деньги новому получателю (третьему лицу).
7. Технические аномалии доступа: Использование скрытых IP-адресов, анонимайзеров (VPN, Tor), которые ранее не использовались клиентом, либо одновременные сессии из разных географических точек.
8. Наличие признаков удаленного управления: Обнаружение антифрод-системой признаков использования программ для удаленного доступа (TeamViewer, AnyDesk и аналоги) или наличие активного вредоносного ПО на устройстве в момент транзакции.
9. Снятие наличных после трансграничного зачисления: Попытка обналичить средства через банкомат в течение 24 часов после получения перевода из-за границы на сумму более 100 000 руб. (или эквивалента).
10. Подозрительные операции с цифровым рублем: Совершение транзакций с использованием платформы цифрового рубля, имеющих признаки транзитных операций или направленных на счета, связанные с криптовалютными обменниками.
11. Массовая рассылка переводов: Попытка совершения множественных мелких переводов в адрес разных получателей в короткий промежуток времени (признак работы «дропов» или оплаты нелегальных услуг).
12. Поведенческая биометрия: Несоответствие привычных паттернов взаимодействия с устройством (скорость набора текста, манера движения мыши или удержания смартфона), зафиксированное системами анализа поведения пользователя.
Правовые последствия:
При выявлении хотя бы одного из указанных признаков банк обязан:
* Приостановить исполнение распоряжения на 2 дня (период охлаждения).
* Уведомить клиента о приостановке и запросить подтверждение.
* В случае, если после двухдневной паузы клиент настаивает на переводе, банк обязан исполнить его (кроме случаев нахождения получателя в черном списке ЦБ), но при этом снимает с себя ответственность за потерю средств.
Судебная практика:
При оспаривании действий банков суды сейчас (в 2026 году) строго придерживаются позиции, изложенной в определении Верховного Суда РФ по делу № А55-34561/2021. Если банк проигнорировал указанные признаки и не приостановил операцию, он может быть обязан возместить клиенту сумму ущерба в полном объеме.
