Про затвердження нормативно-правового акта Національного банку України з питань формування файлів інформаційного обміну

ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ

ПОСТАНОВА

18.08.2016 № 373

{Постанова втратила чинність на підставі Постанови Національного банку № 193 від 26.08.2022}

Про затвердження нормативно-правового акта Національного банку України з питань формування файлів інформаційного обміну

З метою забезпечення реалізації вимог Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення", Положення про здійснення банками фінансового моніторингу, затвердженого постановою Правління Національного банку України від 26 червня 2015 року № 417 (зі змінами), відповідно до статей 7, 15, 55, 56 Закону України "Про Національний банк України" Правління Національного банку України постановляє:

1. Затвердити Інструкцію щодо формування файлів інформаційного обміну між центральним органом виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, та банками (філіями) (далі - Інструкція), що додається.

2. Визнати такими, що втратили чинність:

1) постанову Правління Національного банку України від 04 червня 2003 року № 233 "Про затвердження Складу реквізитів та структури файлів інформаційного обміну між спеціально уповноваженим органом виконавчої влади з питань фінансового моніторингу та банками (філіями)", зареєстровану в Міністерстві юстиції України 09 червня 2003 року за № 457/7778;

2) постанову Правління Національного банку України від 25 травня 2011 року № 164 "Про внесення змін до Складу реквізитів та структури файлів інформаційного обміну між спеціально уповноваженим органом виконавчої влади з питань фінансового моніторингу та банками (філіями)", зареєстровану в Міністерстві юстиції України 16 червня 2011 року за № 706/19444.

3. Банкам привести програмне забезпечення систем автоматизації у відповідність до вимог цієї постанови протягом 60 днів з дня набрання нею чинності.

4. Банки формують файли-повідомлення про фінансові операції/фінансові операції, які можуть бути пов'язані, стосуватися або призначатися для фінансування терористичної діяльності або учасниками яких є особи, стосовно яких застосовано міжнародні санкції, відповідно до вимог пункту 11 Інструкції з дня набрання чинності цією постановою.

5. Департаменту фінансового моніторингу (Береза І.В.) довести зміст цієї постанови до відома банків для використання в роботі.

6. Контроль за виконанням цієї постанови покласти на в. о. заступника Голови Національного банку України Рожкову К.В.

7. Постанова набирає чинності через 30 днів з дня, наступного за днем її офіційного опублікування.

Голова

В.О. Гонтарева

ЗАТВЕРДЖЕНО

Постанова Правління

Національного банку України

18.08.2016 № 373

ІНСТРУКЦІЯ

щодо формування файлів інформаційного обміну між центральним органом виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, та банками (філіями)

1. Ця Інструкція визначає склад реквізитів та структуру файлів інформаційного обміну між центральним органом виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - Спеціально уповноважений орган), та банками (філіями).

Вимоги цієї Інструкції поширюються на банки, філії іноземних банків та відокремлені підрозділи банків.

2. Інформаційний обмін в електронному вигляді між банками/філіями іноземних банків/відокремленими підрозділами банків і Спеціально уповноваженим органом здійснюється шляхом обміну відповідними файлами з використанням засобів захисту інформації, розроблених Національним банком України (далі - Національний банк).

3. Банк/філія іноземного банку/відокремлений підрозділ банку формує файли інформаційного обміну відповідно до вимог, викладених у додатку 1 до цієї Інструкції.

4. Банк - юридична особа забезпечує відокремлений підрозділ банку власними програмними засобами для захисту інформації в разі її передавання від відокремленого підрозділу банку до Спеціально уповноваженого органу через банк - юридичну особу.

Якщо в банку немає власних засобів захисту інформації, то банк може звернутися до Національного банку для вирішення цього питання.

5. Один файл-повідомлення може містити декілька повідомлень про фінансові операції, але не більше ніж 100 повідомлень.

6. Банк/філія іноземного банку/відокремлений підрозділ банку формує повідомлення про фінансову операцію, що надається Спеціально уповноваженому органу з урахуванням пункту 93 розділу VII Положення про здійснення банками фінансового моніторингу, затвердженого постановою Правління Національного банку України від 26 червня 2015 року № 417 (зі змінами), за місцем реєстрації цієї операції в реєстрі фінансових операцій і підписується шляхом накладення електронного цифрового підпису (далі - ЕЦП) відповідальним працівником цього банку/філії іноземного банку/відокремленого підрозділу банку або особою, яка тимчасово виконує його обов'язки.

Якщо інформація від відокремленого підрозділу банку до Спеціально уповноваженого органу передається через банк - юридичну особу, то файл-повідомлення, який формується в банку - юридичній особі й містить повідомлення про фінансові операції, що надійшли від відокремлених підрозділів банку для подальшого передавання до Спеціально уповноваженого органу, підписується відповідальним працівником банку - юридичної особи або особою, яка тимчасово виконує його обов'язки.

7. Правила формування імен файлів, типи файлів інформаційного обміну та позначення форматів даних визначаються Спеціально уповноваженим органом і погоджуються Національним банком.

8. Банк/філія іноземного банку/відокремлений підрозділ банку здійснює накладання/перевіряння ЕЦП у порядку, наведеному в додатку 2 до цієї Інструкції.

9. Банк/філія іноземного банку здійснює формування файла-повідомлення про банк/філію іноземного банку відповідно до переліку реквізитів та правил їх заповнення, зазначених у додатку 3 до цієї Інструкції.

10. Перелік реквізитів файла-повідомлення про результати обробки інформації про банк/філію іноземного банку та правила їх заповнення наведені в додатку 4 до цієї Інструкції.

11. Банк/філія іноземного банку/відокремлений підрозділ банку формує файл-повідомлення про фінансові операції/фінансові операції, які можуть бути пов'язані, стосуватися або призначатися для фінансування терористичної діяльності або учасниками яких є особи, стосовно яких застосовано міжнародні санкції, відповідно до переліку реквізитів та правил їх заповнення, зазначених у додатку 5 до цієї Інструкції.

12. Перелік реквізитів файла-квитанції і файла-повідомлення про взяття (відмову від узяття) на облік інформації про фінансові операції/фінансові операції, які можуть бути пов'язані, стосуватися або призначатися для фінансування терористичної діяльності або учасниками яких є особи, стосовно яких застосовано міжнародні санкції, правила їх заповнення наведені в додатку 6 до цієї Інструкції.

13. Спеціально уповноважений орган здійснює запит про надання інформації у випадках, передбачених Законом України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення", шляхом формування та направлення файла-запиту, перелік реквізитів якого та правила їх заповнення наведені в додатку 7 до цієї Інструкції.

14. Банк/філія іноземного банку/відокремлений підрозділ банку формує файл-відповідь згідно з переліком реквізитів та правилами їх заповнення, зазначеними в додатку 8 до цієї Інструкції.

15. Банк/філія іноземного банку/відокремлений підрозділ банку формує файл-додаток відповідно до переліку реквізитів та правил їх заповнення, зазначених у додатку 9 до цієї Інструкції. Якщо файл-додаток містить виписку за рахунком клієнта або виписку за рахунком клієнта, операції за яким здійснюються з використанням платіжної картки, то банк формує зазначені виписки згідно з додатками 10, 11 до цієї Інструкції відповідно.

Директор Департаменту

фінансового моніторингу

І.В. Береза

ПОГОДЖЕНО:

В. о. заступника Голови Національного банку України

К.В. Рожкова

Додаток 1

до Інструкції щодо формування

файлів інформаційного обміну

між центральним органом

виконавчої влади, що реалізує державну

політику у сфері запобігання та протидії

легалізації (відмиванню) доходів,

одержаних злочинним шляхом,

фінансуванню тероризму та фінансуванню

розповсюдження зброї масового знищення,

та банками (філіями)

(пункт 3)

ВИМОГИ

щодо формування файлів інформаційного обміну

1. Усі файли інформаційного обміну мають формуватися як XML-документи.

2. Структура XML-документа має відповідати формалізованому опису, що визначається Національним банком України і міститься у відповідних файлах DTD (Document Type Definition), які доводяться до відома учасників інформаційного обміну в окремому листі.

3. Посилання на відповідний зовнішній файл DTD у другому рядку кожного файла інформаційного обміну є обов'язковим. Це посилання має вигляд XML-директиви <!DOCTYPE name_str SYSTEM "file_dtd">,

де name_str - ім'я головної структури відповідного файла, змінна;

file_dtd - ім'я відповідного зовнішнього файла DTD, змінна.

4. Директиви з іменами головних структур і файлів DTD для кожного типу файлів інформаційного обміну наведені в додатках 3 - 9 до Інструкції щодо формування файлів інформаційного обміну між центральним органом виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, та банками (філіями).

Додаток 2

до Інструкції щодо формування

файлів інформаційного обміну

між центральним органом

виконавчої влади, що реалізує державну

політику у сфері запобігання та протидії

легалізації (відмиванню) доходів,

одержаних злочинним шляхом,

фінансуванню тероризму та фінансуванню

розповсюдження зброї масового знищення,

та банками (філіями)

(пункт 8)

ПОРЯДОК

накладання/перевіряння ЕЦП

1. Електронний цифровий підпис (далі - ЕЦП) складається із 64 байтів. У файлах інформаційного обміну ЕЦП має бути поданий у вигляді 64 пар символів, кожна з яких є позначенням числа, що міститься у відповідному байті ЕЦП, у шістнадцятковій системі числення (використовуються символи від "0" до "9", великі латинські літери від "A" до "F").

2. Для підпису інформації щодо кожної фінансової операції та файла в цілому під час обміну інформацією між центральним органом виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - Спеціально уповноважений орган), та банками/філіями іноземних банків/відокремленими підрозділами банків уведено в дію тип ключа "X", який підлягає сертифікації в Центрі сертифікації ключів Національного банку України. Кількість ключів має відповідати кількості працівників, відповідальних за проведення фінансового моніторингу (далі - відповідальні працівники), та осіб, які тимчасово виконують їх обов'язки.

Для генерації ключів потрібно запустити генератор ключів з таким командним рядком:

Gensep.exe a X nn,

де nn - номер робочого місця (цифри та латинські літери).

Порядок розподілу сертифікатів ключів загальний, такий самий, що діє для інших інформаційних задач.

3. ЕЦП накладається і перевіряється за допомогою програмного забезпечення банку/філії іноземного банку/відокремленого підрозділу банку із вбудованими бібліотеками накладання/перевіряння ЕЦП Національного банку України, які вже використовуються в системах автоматизації банків.

В одному файлі може бути два типи ЕЦП: ЕЦП на кожний екземпляр структури, зокрема INF_STR, INF_ERR, INF_ZAP, INF_OTV, та ЕЦП на файл у цілому.

4. Для накладання ЕЦП на екземпляр структури потрібно зробити виклик функції накладання ЕЦП на буфер пам'яті, де розмістити всі значення тегів та атрибутів цього екземпляра, крім значення атрибута "Черговий номер екземпляра структури у файлі". Назви тегів та атрибутів до цього буфера не включаються.

5. Для накладання ЕЦП на файл у цілому формується буфер з початку і до кінця файла, уключаючи повний зміст файла. Перед накладанням ЕЦП атрибут "ЕЦП файла" має містити 128 пробілів.

6. Перевірка ЕЦП здійснюється за допомогою програмного забезпечення Спеціально уповноваженого органу та програмного забезпечення банку/філії іноземного банку/відокремленого підрозділу банку.

Для перевіряння ЕЦП щодо екземпляра структури потрібно сформувати буфер з усіх значень тегів та атрибутів цього екземпляра, за винятком значень атрибутів "ЕЦП файла" та "Черговий номер екземпляра структури у файлі".

Для перевіряння ЕЦП файла потрібно зберегти значення атрибута "ЕЦП файла", заповнити цей атрибут у файлі 128 пробілами та сформувати буфер з початку до кінця файла.

Для перевіряння ЕЦП файла, що квитується, потрібно зробити побітове порівняння з ЕЦП цього файла, яке зберігається в системі автоматизації банку.

Додаток 3

до Інструкції щодо формування

файлів інформаційного обміну

між центральним органом

виконавчої влади, що реалізує державну

політику у сфері запобігання та протидії

легалізації (відмиванню) доходів,

одержаних злочинним шляхом,

фінансуванню тероризму та фінансуванню

розповсюдження зброї масового знищення,

та банками (філіями)

(пункт 9)

ПЕРЕЛІК

реквізитів файла-повідомлення про банк/філію іноземного банку та правила їх заповнення

XML-директива для посилання на зовнішній файл DTD: <!DOCTYPE transport-file SYSTEM "xu_f710.dtd">

№ з/п

№ групи

Ідентифікатор реквізиту (тегу/атрибута)

Зміст реквізиту

Тип (максимальна довжина)

Обов'язковість заповнення

Примітки

1

2

3

4

5

6

7

1

Головна структура transport-file

2

I. Загальні відомості про файл-повідомлення про банк/філію іноземного банку (головна структура file-meta-data)

3

1.1

file-name

Ім'я файла

C (12)

+

4

1.2

file-date

Дата створення файла

D (8)

+

5

1.3

file-time

Час створення файла

T (4)

+

6

1.4

id-key

Ідентифікатор ключа ЕЦП

C (6)

+

7

1.5

file-signature

ЕЦП файла

B (128)

+

8

Картка реєстрації банку/філії іноземного банку/відокремленого підрозділу банку та відповідальних працівників (структура fm7)

9

II. Ідентифікаційні дані про банк/філію іноземного банку (підструктура ident структури fm7)

10

2.1

subj-id

Код за ЄДРПОУ

C (12)

+

11

2.2

subj-mfo

Код банку

C (6)

+

12

2.3

subj-name-shortcut

Скорочене найменування

C (254)

+

13

2.4

date-card

Дата повідомлення

D (8)

+

14

2.5

opr-act

Вид повідомлення

N (1)

+

Зазначається код згідно з додатком 6 до Інструкції щодо заповнення форм обліку та подання інформації, пов'язаної із здійсненням фінансового моніторингу, затвердженої наказом Міністерства фінансів України від 29 січня 2016 року № 24, зареєстрованої в Міністерстві юстиції України 16 лютого 2016 року за № 241/28371 (далі - Інструкція № 24)

15

2.6

id-key-ddfm

Обліковий ідентифікатор суб'єкта

C (6)

+ (якщо реквізит "Вид повідомлення" набуває значення "коригуюче")

16

2.7

id-key-bank

Внутрішньобанківський реєстраційний код

C (20)

+

17

III. Загальні відомості про банк/філію іноземного банку (підструктура ustanova структури fm7)

18

3.1

subj-name

Повне найменування

C (254)

19

3.2

subj-name-shortcut

Скорочене найменування

C (254)

20

3.3

ust-type

Тип суб'єкта

N (1)

Зазначається код згідно з додатком 7 до Інструкції № 24

21

3.4

ust-vid

Вид суб'єкта

N (4)

Зазначається код згідно з додатком 5 до Інструкції № 24

22

3.5

comment-ust-vid

Коментар до виду суб'єкта

C (1000)

23

Місцезнаходження банку/філії іноземного банку (підструктура addr структури ustanova)

24

3.6

addr-state-id

Код країни

C (3)

Зазначається цифровий код країни згідно з Класифікацією країн світу, затвердженою наказом Державної служби статистики України від 30 грудня 2013 року № 426 (далі - Класифікація)

25

3.7

addr-postal-code

Поштовий індекс

C (10)

26

3.8

addr-obl-id

Код області

N (2)

Зазначається код згідно з додатком 11 до Інструкції № 24

27

3.9

addr-city

Населений пункт і район області

C (254)

28

3.10

addr-streat

Вулиця

C (254)

29

3.11

addr-bud

Будинок

C (10)

30

3.12

addr-kor

Корпус (споруда)

C (10)

31

3.13

addr-ofis

Офіс

C (10)

32

IV. Додаткові відомості про банк/філію іноземного банку (підструктура ustanova-dod структури fm7)

33

Адреса тимчасового перебування банку/філії іноземного банку (підструктура addr структури ustanova-dod)

34

4.1

addr-state-id

Код країни

C (3)

Зазначається цифровий код країни згідно з Класифікацією

35

4.2

addr-postal-code

Поштовий індекс

C (10)

36

4.3

addr-obl-id

Код області

N (2)

Зазначається код згідно з додатком 11 до Інструкції № 24

37

4.4

addr-city

Населений пункт і район області

C (254)

38

4.5

addr-streat

Вулиця

C (254)

39

4.6

addr-bud

Будинок

C (10)

40

4.7

addr-kor

Корпус (споруда)

C (10)

41

4.8

addr-ofis

Офіс

C (10)

42

4.9

addr-tlf

Номер телефону

C (10)

43

4.10

addr-email

Адреса e-mail

C (50)

44

V. Загальні відомості про відокремлений підрозділ банку (підструктура department структури fm7)

45

5.1

subj-id

Код за ЄДРПОУ

C (12)

У разі відсутності зазначається код за ЄДРПОУ банку - юридичної особи, якому підпорядкований підрозділ

46

5.2

subj-mfo

Код банку

C (6)

У разі відсутності зазначається код банку - юридичної особи, якому підпорядкований підрозділ

47

5.3

id-key-bank

Внутрішньобанківський реєстраційний код

C (20)

48

5.4

id-key-ddfm

Обліковий ідентифікатор суб'єкта

C (6)

49

5.5

subj-name

Повне найменування

C (254)

50

5.6

subj-name-shortcut

Скорочене найменування

C (254)

51

5.7

ust-type

Тип суб'єкта

N (1)

Зазначається код згідно з додатком 7 до Інструкції № 24

52

5.8

ust-vid

Вид суб'єкта

N (4)

Зазначається код згідно з додатком 5 до Інструкції № 24

53

5.9

comment-ust-vid

Коментар до виду суб'єкта

C (1000)

54

Місцезнаходження відокремленого підрозділу банку (підструктура addr структури department)

55

5.10

addr-state-id

Код країни

C (3)

Зазначається цифровий код країни згідно з Класифікацією

56

5.11

addr-postal-code

Поштовий індекс

C (10)

57

5.12

addr-obl-id

Код області

N (2)

Зазначається код згідно з додатком 11 до Інструкції № 24

58

5.13

addr-city

Населений пункт і район області

C (254)

59

5.14

addr-streat

Вулиця

C (254)

60

5.15

addr-bud

Будинок

C (10)

61

5.16

addr-kor

Корпус (споруда)

C (10)

62

5.17

addr-ofis

Офіс

C (10)

63

5.18

addr-tlf

Номер телефону

C (10)

64

5.19

addr-email

Адреса e-mail

C (50)

65

VI. Відомості про відповідального (відповідальних) працівника (працівників) (підструктура vdp структури fm7)

66

VI.I Відомості про призначення відповідального працівника (підструктура vdp-assignment структури vdp)

67

6.1.1

vdp-pos

Посада

C (100)

68

6.1.2

vdp-name-pr

Прізвище

C (50)

69

6.1.3

vdp-name-i

Ім'я

C (30)

70

6.1.4

vdp-name-pb

По батькові

C (30)

71

6.1.5

vdp-nm

Номер наказу про призначення

C (20)

72

6.1.6

vdp-date

Дата наказу про призначення

D (8)

73

6.1.7

vdp-date-assignment

Дата призначення на посаду

D (8)

74

6.1.8

vdp-tlf

Номер телефону

C (10)

75

6.1.9

vdp-email

Адреса e-mail

C (50)

76

VI.II Відомості про призначення особи, яка тимчасово виконує обов'язки відповідального працівника (підструктура vdp-temp-assignment структури vdp)

77

6.2.1

vdp-pos

Посада

C (100)

78

6.2.2

vdp-name-pr

Прізвище

C (50)