Законодавство
Платіжні послуги – через посилену автентифікацію
Набрала чинності постанова Правління Національного банку України від 3 травня 2023 р. № 58, якою встановлено для надавачів платіжних послуг вимоги до:
1) застосування автентифікації користувачів платіжних послуг, застосування посиленої автентифікації у випадках, встановлених Законом про платіжні послуги, а також у випадках, коли надавачі платіжних послуг мають право не вимагати застосування посиленої автентифікації користувачів;
2) захисту конфіденційності та цілісності вразливих платіжних даних;
3) електронної взаємодії на платіжному ринку України між суб’єктами платіжних операцій (наберуть чинності з 1 серпня 2025 р. – одночасно з уведенням у дію гл. 4 розд. IV Закону про платіжні послуги).
Як пояснили у Національному банку, надавачі платіжних послуг зобов’язані застосовувати посилену автентифікацію користувачів під час:
1) отримання ними дистанційного доступу до рахунків;
2) ініціювання дистанційної платіжної операції;
3) будь-яких інших дій у разі підозри вчинення шахрайства чи інших неправомірних дій (або існування такого ризику).
За результатами процедури посиленої автентифікації користувача надавач платіжної послуги має створити унікальний код автентифікації, який дає змогу пов’язувати операцію на певну суму і конкретного отримувача. Цей код повинен прийматися надавачем платіжних послуг щоразу під час отримання користувачем доступу до рахунку, ініціювання дистанційної платіжної операції тощо.
Зокрема, якщо раніше під час онлайн-розрахунків було достатньо інформації про платіжну картку і одноразового пароля, тепер необхідно буде використовувати як мінімум два елементи захисту, які підтверджують, що платіж здійснює користувач, який має законні підстави для використання конкретного платіжного інструмента, а не шахрай.
Читайте також: Українські схеми електронної ідентифікації зможуть визнавати країни ЄС
Водночас Національний банк не обмежує учасників платіжного ринку у виборі технологічних рішень для посиленої автентифікації.
Крім встановлення вимог щодо посиленої автентифікації:
1) зобов’язано надавачів платіжних послуг упровадити механізми та процедури виявлення несанкціонованих або шахрайських дій з урахуванням значної кількості факторів ризику (зокрема списків пошкоджених або викрадених елементів автентифікації; поширених сценаріїв платіжного шахрайства; ознак зараження зловмисними програмами тощо);
2) посилено безпеку платіжних операцій, установивши заходи безпеки, вимоги до використання кодів автентифікації та до динамічного пов’язування платіжної інформації та коду;
3) визначено захист елементів посиленої автентифікації та засобів дистанційної комунікації і програмного забезпечення, пов’язаних з їх обробкою;
4) встановлено вимоги до незалежності елементів посиленої автентифікації;
5) визначено вичерпний перелік випадків, коли надавачі платіжних послуг мають право не вимагати застосування посиленої автентифікації користувача;
6) встановлено вимоги щодо захисту конфіденційності та цілісності індивідуальної облікової інформації користувачів.
