З метою зменшення ризиків, пов'язаних із шахрайством, Національний банк України (НБУ) запровадив посилені заходи з аутентифікації користувачів для постачальників платіжних послуг.
Про це повідомляє НБУ.
Це рішення зумовлене необхідністю імплементації Закону України “Про платіжні послуги” та приведення українського законодавства у сфері платіжних послуг у відповідність до законодавства Європейського Союзу.
Згідно з новими вимогами, надавачі платіжних послуг зобов’язані впроваджувати посилені протоколи автентифікації користувачів під час здійснення таких дій: віддаленого доступу до рахунків, ініціювання віддалених платіжних операцій та будь-яких інших дій, що викликають підозру у шахрайських чи незаконних діях або становлять потенційний ризик таких дій.
В рамках посиленої автентифікації провайдери платіжних послуг повинні генерувати унікальний код автентифікації після завершення процедури автентифікації. Цей код дозволить пов’язувати конкретні суми транзакцій із визначеними одержувачами. Користувач повинен пред’являти код щоразу, коли він отримує доступ до свого облікового запису, ініціює віддалену платіжну транзакцію або бере участь у пов’язаних з нею діях.
Раніше для здійснення онлайн-транзакцій була потрібна лише інформація про платіжну картку та одноразовий пароль. Однак нові правила передбачають використання щонайменше двох захисних елементів, щоб гарантувати, що платежі здійснюються законними користувачами, які мають законні підстави для використання конкретних платіжних інструментів, а не шахраями.
Варто зазначити, що Національний банк не накладає жодних обмежень на учасників ринку щодо технологічних рішень для посиленої автентифікації.
Окрім вимог щодо автентифікації, регулятор запровадив наступні заходи:
- Обов’язкове впровадження механізмів та процедур виявлення несанкціонованих або шахрайських дій з урахуванням значної кількості факторів ризику (у тому числі переліків скомпрометованих або викрадених елементів автентифікації, поширених сценаріїв платіжного шахрайства, індикаторів зараження шкідливим програмним забезпеченням тощо).
- Посилені заходи безпеки для платіжних операцій, включаючи правила використання кодів автентифікації та динамічного зв’язування платіжної інформації.
- Захист елементів, пов’язаних з посиленою автентифікацією, засобами віддаленої комунікації та пов’язаним з ними програмним забезпеченням.
- Вимоги до незалежності елементів посиленої автентифікації.
- Вичерпний перелік випадків, коли постачальники платіжних послуг звільняються від застосування посиленої автентифікації користувачів.
- Вимоги щодо захисту конфіденційності та цілісності інформації про індивідуальні облікові записи користувачів.
- Специфікації електронної взаємодії між учасниками платіжних послуг та заходи безпеки під час такої взаємодії.
- Ці положення викладені в постанові Правління Національного банку України від 3 травня 2023 року № 58 “Положення про автентифікацію та застосування посиленої автентифікації користувачів на платіжному ринку”.
Важливо зазначити, що ці вимоги поширюються на всіх надавачів платіжних послуг, у тому числі на банки, платіжні установи, філії іноземних платіжних установ, установи електронних грошей, фінансові установи, уповноважені надавати платіжні послуги, операторів поштового зв’язку, нефінансових надавачів платіжних послуг, Національний банк України, інші державні органи та органи місцевого самоврядування.