С целью снижения рисков мошенничества Нацбанк установил к предоставителям платежных услуг требование применять усиленную аутентификацию пользователей.
Такое решение обусловлено необходимостью реализации Закона "О платежных услугах" и гармонизации украинского законодательства в сфере предоставления платежных услуг с законодательством Европейского Союза.
Соответствующее постановление Правления НБУ от 3 мая 2023 года № 58 "Об утверждении Положения об аутентификации и применении усиленной аутентификации на платежном рынке" вступило в силу с 10 мая 2023 года, кроме требований к электронному взаимодействию между субъектами платежных операций и соответствующих мер безопасности, которые вступят в силу с 1 августа 2025 года (одновременно с введением в действие главы 4 раздела IV Закона "О платежных услугах").
Требования постановления распространяются на всех предоставителей платежных услуг (банки, платежные учреждения, филиалы иностранных платежных учреждений, учреждения электронных денег, финансовые учреждения, имеющие право на предоставление платежных услуг, операторы почтовой связи, предоставители нефинансовых платежных услуг, Нацбанк, другие органы государственной власти и органы местного самоуправления).
Так, предоставители платежных услуг обязаны применять усиленную аутентификацию пользователей во время:
получения ими дистанционного доступа к счетам;
инициирования дистанционной платежной операции;
любых других действий в случае подозрения совершения мошенничества или других неправомерных действий (или существования такого риска).
По результатам процедуры усиленной аутентификации пользователя предоставитель платежной услуги должен создать уникальный код аутентификации, позволяющий связывать операцию на определенную сумму и конкретного получателя. Этот код должен приниматься предоставителем платежных услуг каждый раз во время получения пользователем доступа к счету, инициирования дистанционной платежной операции и т. п.
В частности, если раньше во время онлайн-расчетов было достаточно информации о платежной карте и одноразового пароля, теперь необходимо будет использовать как минимум два элемента защиты, подтверждающие, что платеж осуществляет пользователь, имеющий законные основания для использования конкретного платежного инструмента, а не мошенник.
В то же время Национальный банк никоим образом не ограничивает участников платежного рынка в выборе технологических решений для усиленной аутентификации.
Кроме установления требований относительно усиленной аутентификации регулятор также:
обязал предоставителей платежных услуг внедрить механизмы и процедуры выявления несанкционированных или мошеннических действий с учетом значительного количества факторов риска (в частности, списков поврежденных или украденных элементов аутентификации; распространенных сценариев платежного мошенничества; признаков заражения злоумышленными программами и т. п.);
усилил безопасность платежных операций, установив меры безопасности, требования к использованию кодов аутентификации и к динамической увязке платежной информации и кода;
определил защиту элементов усиленной аутентификации и средств дистанционной коммуникации и программного обеспечения, связанных с их обработкой;
установил требования к независимости элементов усиленной авутентификации;
определил исчерпывающий перечень случаев, когда предоставители платежных услуг имеют право не требовать применения усиленной аутентификации пользователя;
установил требования относительно защиты конфиденциальности и целостности индивидуальной учетной информации пользователей;
определил требования к электронному взаимодействию между субъектами платежных операций и к мерам безопасности во время электронного взаимодействия.
По сообщению НБУ
Проверяете соответствие требованиям регуляторов? Попробуйте LIGA360:Compliance. В нашей полной базе документов вы сможете найти все действующие нормы Налоговой, Нацбанка и других госорганов. Узнайте больше преимуществ по ссылке.
Читайте также:
Нацбанк предлагает изменения в Закон "О потребительском кредитовании": что предусмотрено
