В целях уменьшения рисков, связанных с мошенничеством, Национальный банк Украины (НБУ) ввел усиленные меры по аутентификации пользователей для поставщиков платежных услуг.
Об этом сообщает НБУ.
Это решение обусловлено необходимостью имплементации Закона Украины “О платежных услугах” и приведения украинского законодательства в сфере платежных услуг в соответствие с законодательством Европейского Союза.
Согласно новым требованиям, поставщики платежных услуг обязаны внедрять усиленные протоколы аутентификации пользователей при осуществлении следующих действий: удаленного доступа к счетам, инициирования удаленных платежных операций и любых других действий, вызывающих подозрение в мошеннических или незаконных действиях или представляющих потенциальный риск таких действий.
В рамках усиленной проверки подлинности провайдеры платежных услуг должны генерировать уникальный код проверки подлинности после завершения процедуры проверки подлинности. Этот код позволит увязывать конкретные суммы транзакций с определенными получателями. Пользователь должен предъявлять код каждый раз, когда он получает доступ к своей учетной записи, инициирует удаленную платежную транзакцию или принимает участие в связанных с ней действиях.
Ранее для осуществления онлайн-транзакций требовалась только информация о платежной карте и одноразовом пароле. Однако новые правила предусматривают использование по меньшей мере двух защитных элементов, чтобы гарантировать, что платежи производятся законными пользователями, имеющими законные основания для использования конкретных платежных инструментов, а не мошенниками.
Следует отметить, что Национальный банк не накладывает никаких ограничений на участников рынка по технологическим решениям для усиленной аутентификации.
Кроме требований к аутентификации, регулятор ввел следующие меры:
- Обязательно внедрение механизмов и процедур выявления несанкционированных или мошеннических действий с учетом значительного количества факторов риска (в том числе перечня скомпрометированных или похищенных элементов аутентификации, распространенных сценариев платежного мошенничества, индикаторов заражения вредоносным программным обеспечением и т.п.).
- Ужесточены меры безопасности для платежных операций, включая правила использования кодов аутентификации и динамического связывания платежной информации.
- Защита элементов, связанных с усиленной проверкой подлинности, средствами удаленной коммуникации и связанным с ними программным обеспечением.
- Требования к независимости элементов усиленной проверки подлинности.
- Исчерпывающий список случаев, когда поставщики платежных услуг освобождаются от применения усиленной аутентификации пользователей.
- Требования защиты конфиденциальности и целостности информации об индивидуальных учетных записях пользователей.
- Спецификации электронного взаимодействия между участниками платежных услуг и меры безопасности при таком взаимодействии.
- Эти положения изложены в постановлении Правления Национального банка Украины от 3 мая 2023 г. № 58 “Положение об аутентификации и применении усиленной аутентификации пользователей на платежном рынке”.
Важно отметить, что эти требования распространяются на всех поставщиков платежных услуг, в том числе на банки, платежные учреждения, филиалы иностранных платежных учреждений, учреждения электронных денег, финансовые учреждения, уполномоченные предоставлять платежные услуги, операторов почтовой связи, нефинансовых поставщиков платежных услуг, Национальный банк, другие государственные органы и органы местного самоуправления.
