Для противодействия исполнения нелегальных финансовых операций и операций по переводу денежных средств в случае, когда отсутствует согласие клиента на перевод, Центробанк сформулировал для финансовых организаций – кредитных и некредитных – требования о подтверждении принадлежности указанного электронного адреса конкретному клиенту.
Информация по этому требованию отражена в письме Центробанка от 12.02.2020 N ИН-014-56/6 "О проверке кредитными организациями и некредитными финансовыми организациями принадлежности клиенту адреса электронной почты".
Так, если финансовая организация направляет уведомление клиенту, необходимо реализовать механизм подтверждения адреса электронной почты.
Документ содержит информацию по принципу осуществления механизма. Если клиент сообщает финансовой организации свою электронную почту, информационная система организации должна сравнить предоставленный электронный адрес с имеющимися адресами в системе. Если будет обнаружен дубль электронного адреса, то такой адрес будет считаться неподтвержденным. Если оказывается так, что адрес электронной почты невозможно подтвердить, то клиент должен быть уведомлен об этом любым способом, позволяющим его идентифицировать.
Если система не найдет задублированной электронной почты, то организация создаёт уникальную ссылку с графическим кодом подтверждения и отправляет на тот адрес электронной почты, который был указан клиентом. Также уникальный код отправляется в виде СМС на номер телефона, который был подтвержден клиентом.
Клиент должен перейти по указанной ссылке и ввести на сайте полученный в СМС-сообщении код. Тогда система будет считать, что данный электронный адрес подтвержден.
Регулятор прописывает и требования к каждому из этапов по реализации механизма подтверждения электронных адресов:
-
ссылки должны быть уникальными, без возможности их самостоятельно подобрать, с ограниченным по времени сроком действия,
-
код, рассылаемый в СМС должен быть уникальным, без возможности подбора, с ограниченным количеством попыток ввода,
-
форма ввода сведений также должны иметь ограничение по времени,
После истечения периода действия ссылки или при достижении лимита ввода данных, электронный адрес должен быть удален из системы.
Данное информационное сообщение было опубликовано на официальном портале Центробанка в сети Интернет.
Портал «Вести 115-ФЗ»
https://cbr.ru/Content/Document/File/103457/20200212_in-014-56_6.pdf