Нацбанк вирішив боротися з шахрайством, посиливши автентифікацію користувачів: які зміни набудуть чинності 10 травня

Національний банк України 9 травня повідомив, що з метою зниження ризиків шахрайства встановив до надавачів платіжних послуг вимогу застосувати посилену автентифікацію користувачів.

Так, надавачі платіжних послуг зобов’язані застосовувати посилену автентифікацію користувачів під час:

• отримання ними дистанційного доступу до рахунків;
• ініціювання дистанційної платіжної операції;
• будь-яких інших дій у разі підозри вчинення шахрайства чи інших неправомірних дій (або існування такого ризику).

Нагадаємо, раніше «Судово-юридична газета» звертала увагу на зростання повідомлень від читачів стосовно випадків інтернет-шахрайства, зокрема із банківськими картками і відсутності реагування деяких банків і Кіберполіції на такі випадки. На запит нашого видання Департамент Кіберполіції пояснив, що пересилає заяви про злочини до звичайних райуправлінь поліції, бо у складі Кіберполіції немає слідчих та дізнавачів.

Отже, як повідомляє Нацбанку, тепер за результатами процедури посиленої автентифікації користувача надавач платіжної послуги має створити унікальний код автентифікації, який дає змогу пов’язувати операцію на певну суму і конкретного отримувача. Цей код повинен прийматися надавачем платіжних послуг щоразу під час отримання користувачем доступу до рахунку, ініціювання дистанційної платіжної операції тощо. 

Зокрема, якщо раніше під час онлайн-розрахунків було достатньо інформації про платіжну картку і одноразового пароля, тепер необхідно буде використовувати як мінімум два елементи захисту, які підтверджують, що платіж здійснює користувач, який має законні підстави для використання конкретного платіжного інструмента, а не шахрай.

Водночас Національний банк жодним чином не обмежує учасників платіжного ринку у виборі технологічних рішень для посиленої автентифікації. Крім встановлення вимог щодо посиленої автентифікації регулятор також: 

• зобов’язав надавачів платіжних послуг упровадити механізми та процедури виявлення несанкціонованих або шахрайських дій з урахуванням значної кількості факторів ризику (зокрема, списків пошкоджених або викрадених елементів автентифікації; поширених сценаріїв платіжного шахрайства; ознак зараження зловмисними програмами тощо);
• посилив безпеку платіжних операцій, установивши заходи безпеки, вимоги до використання кодів автентифікації та до динамічного пов’язування платіжної інформації та коду;
• визначив захист елементів посиленої автентифікації та засобів дистанційної комунікації і програмного забезпечення, пов'язаних з їх обробкою; 
• установив вимоги до незалежності елементів посиленої автентифікації;
• визначив вичерпний перелік випадків, коли надавачі платіжних послуг мають право не вимагати застосування посиленої автентифікації користувача;
• установив вимоги щодо захисту конфіденційності та цілісності індивідуальної облікової інформації користувачів;
• визначив вимоги до електронної взаємодії між суб’єктами платіжних операцій та до заходів безпеки під час електронної взаємодії.

Такі норми містить постанова Правління Національного банку України від 03 травня 2023 року № 58 "Про затвердження Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку". Її вимоги поширюються на всіх надавачів платіжних послуг (банки, платіжні установи, філії іноземних платіжних установ, установи електронних грошей, фінансові установи, що мають право на надання платіжних послуг, оператори поштового зв’язку, надавачі нефінансових платіжних послуг, Національний банк України, інші органи державної влади та органи місцевого самоврядування).

Цей документ набирає чинності з 10 травня 2023 року, крім вимог до електронної взаємодії між суб’єктами платіжних операцій та відповідних заходів безпеки, що наберуть чинності з 1 серпня 2025 року (одночасно з уведенням у дію глави 4 розділу IV Закону України «Про платіжні послуги»).

Підписуйтесь на наш telegram-канал t.me/sudua та на Twitter, а також на нашу сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.