НБУ потребовал усложнить аутентификацию пользователей для проведения платежей: все из-за засилья мошенников

Отмечается, что документ был принят с целью снижения рисков мошенничества, для реализации закона о платежных услугах и гармонизации украинского законодательства в этой сфере с законодательством Европейского союза.

Его требования распространяются на банки, платежные учреждения, филиалы иностранных платежных учреждений, учреждения электронных денег, финучреждения, имеющие право на предоставление платежных услуг, операторов почтовой связи, поставщиков нефинансовых платежных услуг, сам НБУ, другие органы власти и местного самоуправления.

Предусмотрено, что предоставители платежных услуг обязаны применять усиленную проверку подлинности пользователей при получении ими дистанционного доступа к счетам; инициировании дистанционной платежной операции; а также любых других действиях в случае подозрения в совершении мошенничества или других неправомерных действий (или даже существовании такого риска).

По результатам процедуры усиленной аутентификации поставщик услуг должен создать уникальный код аутентификации, позволяющий связывать операцию на определенную сумму и конкретного получателя. Этот код должен приниматься каждый раз при получении пользователем доступа к счету, инициировании дистанционной платежной операции и так далее.

В частности, если раньше при онлайн-расчетах было достаточно информации о платежной карте и одноразового пароля, теперь необходимо будет использовать как минимум два элемента защиты, подтверждающие, что платеж осуществляет пользователь, имеющий законные основания для использования конкретного платежного инструмента, а не мошенник. В то же время Нацбанк подчеркивает, что никак не ограничивает участников рынка в выборе технологических решений для усиленной аутентификации.

Регулятор также обязал поставщиков платежных услуг внедрить механизмы и процедуры выявления несанкционированных или мошеннических действий с учетом значительного количества факторов риска (в частности, списков поврежденных или похищенных элементов аутентификации; распространенных сценариев платежного мошенничества; признаков заражения вредоносными программами и тому подобного).

Также НБУ усилил безопасность платежных операций, установив меры безопасности, требования к использованию кодов аутентификации и к динамической увязке платежной информации и кода; определил защиту элементов усиленной проверки подлинности и средств дистанционной коммуникации и программного обеспечения, связанных с их обработкой.

Кроме того, постановление содержит требования к независимости элементов усиленной аутентификации; исчерпывающий список случаев, когда предоставители платежных услуг имеют право не требовать применения усиленной аутентификации пользователя; требования по защите конфиденциальности и целостности индивидуальной учетной информации пользователей.

Установлены и требования к электронному взаимодействию между субъектами платежных операций и мерам безопасности во время электронного взаимодействия, однако они вступят в силу более чем через два года - с 1 августа 2025 года, одновременно с введением в действие главы 4 раздела IV закона о платежных услугах. .