НБУ вимагає посилити автентифікацію користувачів для проведення платежів: все через засилля шахраїв

Зазначається, що документ ухвалено з метою зниження ризиків шахрайства, задля реалізації закону про платіжні послуги і гармонізації українського законодавства у цій сфері з законодавством Європейського союзу.

Його вимоги поширюються на банки, платіжні установи, філії іноземних платіжних установ, установи електронних грошей, фінустанови, що мають право на надання платіжних послуг, оператори поштового зв’язку, надавачі нефінансових платіжних послуг, сам НБУ, інші органи влади й місцевого самоврядування.

Передбачено, що надавачі платіжних послуг зобов’язані застосовувати посилену автентифікацію користувачів під час отримання ними дистанційного доступу до рахунків; ініціювання дистанційної платіжної операції; а також будь-яких інших дій у разі підозри вчинення шахрайства чи інших неправомірних дій (або існування такого ризику).

За результатами процедури посиленої автентифікації надавач послуги має створити унікальний код автентифікації, який дає змогу пов’язувати операцію на певну суму і конкретного отримувача. Цей код повинен прийматися щоразу під час отримання користувачем доступу до рахунку, ініціювання дистанційної платіжної операції тощо.

Зокрема, якщо раніше під час онлайн-розрахунків було достатньо інформації про платіжну картку і одноразового пароля, тепер необхідно буде використовувати як мінімум два елементи захисту, які підтверджують, що платіж здійснює користувач, який має законні підстави для використання конкретного платіжного інструмента, а не шахрай. Водночас Нацбанк підкреслює, що жодним чином не обмежує учасників ринку у виборі технологічних рішень для посиленої автентифікації.

Регулятор також зобов’язав надавачів платіжних послуг упровадити механізми та процедури виявлення несанкціонованих або шахрайських дій з урахуванням значної кількості факторів ризику (зокрема, списків пошкоджених або викрадених елементів автентифікації; поширених сценаріїв платіжного шахрайства; ознак зараження зловмисними програмами тощо).

Також НБУ посилив безпеку платіжних операцій, установивши заходи безпеки, вимоги до використання кодів автентифікації та до динамічного пов’язування платіжної інформації та коду; визначив захист елементів посиленої автентифікації та засобів дистанційної комунікації і програмного забезпечення, пов'язаних з їх обробкою.

Крім того, постанова містить вимоги до незалежності елементів посиленої автентифікації; вичерпний перелік випадків, коли надавачі платіжних послуг мають право не вимагати застосування посиленої автентифікації користувача; вимоги щодо захисту конфіденційності та цілісності індивідуальної облікової інформації користувачів.

Встановлено й вимоги до електронної взаємодії між суб’єктами платіжних операцій та до заходів безпеки під час електронної взаємодії, однак вони набудуть чинності більш ніж через два роки - з 1 серпня 2025 року, одночасно з уведенням у дію глави 4 розділу IV закону про платіжні послуги.