Нацбанк ужесточит требования к антифрод-системам в платежных организациях
В обосновании данного проекта отмечается, что в текущем законодательстве отсутствуют четкие требования к системам защиты от мошенничества в сфере платежей.
Недостатки в регулировании усложняют борьбу с рисками в платежной системе, что требует незамедлительного исправления. Мошеннические действия наносят вред не только организациям, но и подрывают доверие населения к банковским и платежным системам, что, в свою очередь, тормозит развитие цифровых платежных технологий.
Цели нового документа:
- Укрепление механизмов противодействия мошенничеству в платежных организациях и системах.
- Обеспечение безопасности проводимых операций и защита интересов клиентов через улучшение системы управления рисками.
Актуальность предлагаемых изменений также обусловлена необходимостью установления минимальных требований к защите информационных систем платежных организаций от мошенничества на фоне роста числа и сложности дистанционных операций, сообщается в НБКР.
Предложенные нововведения включают обязательное создание и внедрение автоматизированных и полуавтоматизированных систем для выявления мошенничества, что позволит своевременно реагировать в зависимости от уровня риска.
Положение
Глава 1. Общие положения
1. Положение «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству в платежных организациях и операторах платежных систем Кыргызской Республики» (в дальнейшем – Положение) будет использоваться как основной инструмент борьбы с мошенничеством в информационных системах платежных организаций.
2. Данное Положение применяется к платежным организациям и операторам платежных систем, которые работают на основании лицензии Национального банка Кыргызской Республики.
3. Организации обязаны иметь и эффективно использовать систему противодействия мошенничеству, соответствующую масштабу и характеру их деятельности, в соответствии с представленными требованиями.
4. Система противодействия мошенничеству должна защищать интересы пользователей услуг платежной организации.
Глава 2. Политика и организационные меры
5. Платежные организации и операторы обязаны разработать, утвердить и внедрить Политику противодействия мошенничеству в системах удаленного обслуживания, которая может быть частью общей политики управления рисками.
Основные элементы Политики должны включать:
- подтверждение руководством своей приверженности защите клиентов от мошенничества;
- принципы раннего выявления и предотвращения мошенничества;
- порядок применения адекватных мер реагирования на мошенничество в зависимости от уровня риска;
- меры ответственности для сотрудников за ненадлежащее поведение в сфере противодействия мошенничеству.
Политика должна пересматриваться не реже одного раза в год. Внутренние процедуры, касающиеся противодействия мошенничеству, также требуют регулярного пересмотра, но не реже одного раза в два года.
Глава 3. Техническая реализация антифрод-контроля
6. Платежные организации должны внедрить системы противодействия мошенничеству в удаленных сервисах для предотвращения как внутренних, так и внешних мошеннических действий. Эти системы должны оценивать риск мошенничества для каждой операции.
Системы могут быть внедрены как отдельные программные комплексы или интегрированы в существующие автоматизированные системы.
7. Система должна оценивать риск мошенничества на основе заранее установленных правил и шаблонов. Она должна осуществлять базовую проверку операций и блокировать подозрительные действия.
8. В случае использования программного обеспечения для противодействия мошенничеству, необходимо уведомить Национальный банк о принципах его работы и архитектуре.
9. Если автоматизация невозможна, ручной анализ операций также допустим.
Глава 4. Категоризация рисков и действия по инцидентам
10. Система должна присваивать каждой операции уровень риска: низкий, средний или высокий на основе анализа.
11. Низкий риск присваивается операциям, которые соответствуют типичному поведению клиента.
12. Средний риск требует обязательной проверки, которая может быть выполнена автоматически или вручную.
13. Системы должны формировать реестр запрещенных идентификаторов и атрибутов, используемых в мошеннических операциях.
14. Все операции через удаленные системы подлежат оценке риска.
Глава 5. Базовые признаки мошеннических операций
15. Критерии мошенничества включают аномалии в активности клиента и должны использоваться для оценки риска.
Глава 6. Обязанность по приостановке операций и взаимодействию с клиентами
16. Платежные организации могут приостанавливать операции при наличии признаков мошенничества.
17. Должна быть предусмотрена возможность подачи уведомлений о мошенничестве клиентами.
18. Клиенты должны быть проинформированы о приостановлении операций.
Глава 7. Ведение списка идентификаторов и мониторинг повторов
19. Операции с запрещенными идентификаторами должны отклоняться.
20. Реестр запрещенных идентификаторов должен обновляться на основании достоверной информации о мошенничестве.
21. Доступ к реестру должны иметь только уполномоченные сотрудники.
22. Все изменения должны фиксироваться в журнале.
Глава 8. Оценка эффективности антифрод-системы
23. Организации должны оценивать эффективность своих антифрод-мер, включая процент заблокированных мошеннических операций.
Глава 9. Обязанности по тестированию и актуализации системы
24. Платежные организации должны регулярно проводить стресс-тестирование своих систем.
Результаты тестирования должны документироваться и предоставляться в Национальный банк.
Читайте также: