Tazabek — Национальный банк вынес на общественное обсуждение проект постановления «Об утверждении положения «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничествам (антифрод) в платежных организациях/операторах платежных систем Кыргызской Республики».
Как говорится в справке-обосновании к проекту, на сегодняшний день в законодательстве отсутствуют требования к системам защиты от мошенничества в платежной системе.
Пробелы в регулировании затрудняют борьбу с рисками в платежной системе и требуют их устранения. Вместе с тем мошеннические операции наносят ущерб не только платежным организациям/операторам платежных систем, но и подрывают доверие населения к банковской и платежной системам. Ухудшение уровня доверия замедляет развитие цифровых платежных технологий.
Документ направлен на:
Необходимость вносимых изменений также обусловлена актуальностью усиления, установления минимальных требований к защите информационных систем платежных организаций и операторов платежных систем от мошенничества в условиях роста числа и сложности удаленных/дистанционных операций, а также увеличением доли цифровых операций, объясняют в НБКР.
Предлагаемые изменения предусматривают внедрение обязательных требований по разработке и реализации автоматизированных и полуавтоматизированных систем выявления мошенничества, обеспечивающих своевременное реагирование в зависимости от уровня риска.
Глава 1. Общие положения
1. Настоящее Положение «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничествам (антифрод) в платежных организациях/операторах платежных систем Кыргызской Республики» (далее – Положение) применяется в качестве основного механизма противодействия внутреннему и внешнему мошенничеству в информационных системах платежных организаций и операторов платежных систем, в том числе в случае несоответствия имеющихся в информационных системах платежных организаций и операторов платежных систем алгоритмов противодействия внутреннему и внешнему мошенничествам требованиям настоящей главы настоящего Положения.
2. Требования настоящего Положения распространяются на платежные организации и операторов платежных систем, осуществляющих деятельность на основании лицензии Национального банка Кыргызской Республики.
3. Платежная организация/оператор платежной системы обязаны обеспечить наличие и эффективное функционирование системы противодействия внутреннему и внешнему мошенничествам (антифрод-системы), соответствующей масштабам, характеру и видам их деятельности, в соответствии с требованиями настоящей главы настоящего Положения.
4. Система противодействия внутреннему и внешнему мошенничествам (антифрод-система) должна быть направлена на защиту интересов пользователей услуг платежной организации и оператора платежной системы.
Глава 2. Политика и организационные меры
5. Платежная организация и оператор платежной системы обязаны разработать, утвердить исполнительным органом управления и/или советом директоров (при наличии) и внедрить Политику противодействия мошенничеству в системах удаленного/дистанционного обслуживания (далее – Политика). Политика может быть оформлена в виде отдельного документа или являться составной частью политики управления рисками платежной организации/оператора платежной системы.
Основные требования Политики как минимум должны отражать:
— стремление руководства, подтверждающее приверженность защите клиентов/пользователей услуг от внутреннего и внешнего мошенничества в системах удаленного/дистанционного обслуживания;
— принципы раннего выявления, предупреждения и предотвращения мошенничества в системах удаленного/дистанционного обслуживания;
— порядок применения адекватных и своевременных автоматизированных или полуавтоматизированных мер реагирования на выявленные случаи или попытки мошенничества, соразмерных оцененному уровню риска;
— меры ответственностей в соответствии с законодательством Кыргызской Республики, применяемых к сотрудникам платежной организации/оператора платежной системы за бездействие или ненадлежащие действия в сфере противодействия мошенничеству, включая мониторинг угроз, разработку и внедрение мер противодействия, а также реагирование на инциденты.
Политика подлежит пересмотру и актуализации не реже одного раза в год.
Внутренние процедуры и документы платежной организации/оператора платежной системы, регламентирующие противодействие мошенничеству в системах удаленного/дистанционного обслуживания, подлежат пересмотру по мере необходимости, но не реже 1 (одного) раза в два года, с учетом эффективности применяемых мер, лучшего международного опыта и актуальных угроз.
Платежная организация/оператор платежной системы обязана/н интегрировать вышеуказанные процедуры и документы в систему управления рисками и обеспечить ознакомление с ними всех необходимых сотрудников платежной организации/оператора платежной системы.
Глава 3. Техническая реализация антифрод-контроля
6. Платежная организация/оператор платежной системы обязана/н внедрить систему противодействия мошенничеству в информационных системах удаленного/дистанционного обслуживания для предотвращения как внутреннего, так и внешнего мошенничеств. Эти системы должны осуществлять мониторинг и оценку риска мошенничества для каждой операции, проводимой через системы удаленного/дистанционного обслуживания. Реализация данных систем допускается двумя способами:
— в виде отдельного, независимого программного и/или программно-аппаратного комплекса, взаимодействующего со всеми используемыми автоматизированными системами удаленного/дистанционного обслуживания;
— путем интеграции специализированного модуля противодействия мошенничеству непосредственно в каждую из используемых автоматизированных систем удаленного/дистанционного обслуживания.
7. Система противодействия внутреннему и внешнему мошенничествам в информационных системах удаленного/дистанционного обслуживания должна производить оценку риска мошенничества в отношении каждой совершаемой операции на основании правил, шаблонов и результатах анализа.
Система противодействия внутреннему и внешнему мошенничествам должна обеспечивать как минимум:
— базовую проверку операций;
— сравнение с типичными поведенческими шаблонами клиента (при наличии соответствующих данных);
— блокировку или приостановку подозрительных операций по заранее определенным критериям.
8. При использовании программного обеспечения для противодействия внутреннему и внешнему мошенничествам в информационных системах платежных организаций/операторов платежных систем платежная организация/оператор платежной системы должна/н направить соответствующее уведомление с полным описанием реализованной архитектуры, принципов функционирования, применяемых методов оценки риска согласно требованиям настоящего Положения, в адрес Национального банка.
9. При невозможности реализации полной автоматизации допускается ручной анализ ответственными сотрудниками.
Глава 4. Категоризация рисков и действия по инцидентам
10. Система противодействия внутреннему и внешнему мошенничествам в информационных системах удаленного/дистанционного обслуживания должна производить оценку риска мошенничества в отношении каждой совершаемой операции на основании правил, поведенческих моделей, шаблонов и результатов анализа. В результате оценки риска мошенничества система должна присваивать как минимум один из трёх уровней:
— низкий риск: операция безопасна;
— средний риск: операция подозрительна и может быть мошеннической;
— высокий риск: операция является мошеннической.
11. Низкий уровень риска должен присваиваться операциям, которые соответствуют типичному поведению пользователя, имеют незначительные отклонения от него либо прошли успешную проверку после первоначального присвоения среднего уровня риска.
12. При присвоении операции среднего уровня риска на основании существенного отклонения от стандартного поведения клиента или наличия совокупности факторов платежная организация/оператор платежной системы обязана/н обеспечить ее обязательную проверку. Проверка может быть выполнена автоматически или вручную уполномоченным сотрудником платежной организации/оператора платежной системы. По результатам проверки платежная организация/оператор платежной системы обязана/н выполнить одно или несколько из следующих действий:
— переоценить уровень риска и присвоить операции новый уровень: низкий или высокий;
— внести необходимые изменения в правила и шаблоны системы противодействия мошенничеству в удаленное/дистанционное обслуживание, дополнив их выявленными признаками мошеннических операций, выявленных при анализе операций с высоким уровнем риска.
— обеспечить хранение полной информации о проведенной проверке, включая результаты, полученные данные, сведения о сотрудниках, принимавших решения, и предоставленные клиенту уведомления в системе противодействия мошенничеству в дистанционное обслуживание. Указанная информация подлежит хранению не менее 5 (пяти) лет с момента проведения операции.
13. Системы противодействия внутреннему и внешнему мошенничествамв информационных системах удаленного/дистанционного обслуживания обязаны формировать и поддерживать реестр запрещенных к обслуживанию идентификаторов и атрибутов, используемых при совершении мошеннических операций, в случае присвоения операции высокого уровня риска мошенничества.
Данный реестр должен включать как минимум номер телефона, ID QR-кода (уникальный QR для идентификации), сервисное имя (идентификатор) получателя или отправителя платежной/банковской системы, а также иные идентификаторы и атрибуты, связанные с мошеннической деятельностью.
Данный реестр должен использоваться при последующей оценке риска с возможностью блокировки или дополнительной проверки.
14. Оценке риска мошенничества должны подвергаться все операции, проводимые через системы удаленного/дистанционного обслуживания и связанные с:
— операциями по банковским счетам;
— операциями по мобильной связи;
— операциями по электронным кошелькам;
— операций с использованием QR-кодов;
— переводом денежных средств внутри страны;
— международными переводами денежных средств;
— переводом средств на кошелек виртуального актива и счета иностранных криптобирж;
— снятием наличных денежных средств;
— зачислением денежных средств через системы удаленного/дистанционного обслуживания;
— иными высокорискованными операциями, а также определенными платежной организацией/оператором платежной системы в рамках своей политики по предотвращению мошенничества.
Платежная организация/оператор платежной системы должна/н определить уполномоченных лиц/специализированные подразделения, ответственных за мониторинг операций в режиме реального времени, а также регулярно пересматривать перечень операций, подлежащих оценке риска, с учетом новых схем мошенничества и изменений в цифровой безопасности.
Глава 5. Базовые признаки мошеннических операций
15. Для целей оценки риска мошенничества при проведении операций платежная организация/оператор платежной системы обязана/н использовать критерии мошенничества, являющиеся основанием для признания операции подозрительной или мошеннической.
Критерии мошенничества представляют собой один или совокупность признаков и моделей поведения, свидетельствующих об отклонении от стандартной активности клиента и потенциальной попытке совершения мошеннической операции.
Применяемые критерии мошенничества должны включать в том числе, но не ограничиваться следующими признаками:
— аномальная частота операций: внезапное увеличение количества операций как инициированных клиентом, так и полученных им;
— групповая аномальная активность: внезапный рост активности группы клиентов, осуществляющих операции, подобные по сумме, получателю или типу;
— аномальный размер (сумма) операции: операции на суммы, не соответствующие типичному поведению клиента, а также совершение платежей в непривычных для клиента категориях товаров/услуг;
— аномальное географическое положение: необычное географическое положение
(IP-адрес), регистрация с нового мобильного устройства, использование VPN или прокси-серверов;
— аномальное время проведения операций: необычное время суток или день недели для совершения операций клиентом;
— многократные неудачные попытки входа: повторные неудачные попытки авторизации в системе;
— частая смена контактной информации: частая смена контактных данных, особенно перед крупными операциями;
— совпадение с известными схемами мошенничества: соответствие операции признакам известных схем мошенничества;
— частые возвраты или отмены операции: необычно большое количество возвратов или отмененных операций;
— использование подозрительных получателей: переводы средств на счета/мобильные приложения агентов (далее – МПА)/электронные кошельки получателей, идентифицированных как подозрительные;
— распределение средств на множество получателей: дробление операций и распределение средств на большое количество получателей;
— аномальные источники пополнения средств: пополнение счета из источников, не характерных для данного клиента;
— аномальные изменения в режиме доступа: изменения в режиме доступа, включение новых способов авторизации или изменение способа входа, несвойственные для данного клиента;
— участие МПА/электронного кошелька клиента в дроблении или укрупнении денежных средств и с быстрым переводом на другие счета/МПА/электронные кошельки клиента в другом банке/платежной организации;
— пополнение банковских счетов/МПА/электронного кошелька разными лицами с помощью разных инструментов с дальнейшим выводом со счета/МПА/электронного кошелька;
— иные критерии, определенные платежной организацией/оператором платежной системы в рамках своей политики по предотвращению мошенничества.
Глава 6. Обязанность по приостановке операций и взаимодействию с клиентами
16. Платежная организация/оператор платежной системы вправе приостановить операции по МПА, электронным кошелькам на срок до 30 дней в следующих случаях:
— при выявлении признаков, соответствующих критериям мошенничества, установленным в пункте 15 настоящего Положения;
— при отсутствии от клиента подтверждающей информации, однозначно свидетельствующей о самостоятельном совершении операции;
— по уведомлению клиента о мошеннических действиях по его МПА, электронному кошельку.
17. Платежная организация/оператор платежной системы должна/н в системах дистанционного обслуживания предусмотреть возможность подачи физическими лицами уведомления о мошеннических действиях и формирование выписки по операции/операциям для последующего обращения в правоохранительные органы.
Такая возможность должна быть реализована в виде отдельной функции, обеспечивающей:
— круглосуточную доступность;
— наличие обособленного канала коммуникации, предназначенного исключительно для передачи уведомлений о мошеннических операциях;
— простую, интуитивно понятную форму подачи уведомления (SMS-оповещение, электронная почта), с возможностью указания ключевых параметров операции: дата, сумма, реквизиты получателя, описание обстоятельств и наличие доказательств;
— автоматическую фиксацию факта подачи уведомления в информационных системах платежной организации/оператора платежной системы с отметкой времени и идентификатора клиента;
— инициацию процедуры приостановки и анализа операции.
Уведомление, поданное через указанную функцию, подлежит незамедлительному рассмотрению и принятию соответствующих мер, по оценке операции, с последующим информированием клиента о принятых мерах, в том числе рекомендации по обращению в правоохранительные органы.
18. Платежная организация/оператор платежной системы обязана/н незамедлительно информировать клиента о приостановлении операции с использованием доступных каналов коммуникации (мобильное приложение, телефон, SMS-оповещение, электронная почта, иные).
Глава 7. Ведение списка идентификаторов и мониторинг повторов
19. Все операции в отношении запрещённых к обслуживанию идентификаторов должны отклоняться с соответствующим уведомлением клиента.
Платежная организация/оператор платежной системы должна/н иметь внутренние процедуры и документы, регламентирующие порядок внесения идентификаторов в реестр запрещенных к обслуживанию, а также порядок исключения записей из него в случае обнаружения ошибок или подтверждения самостоятельного проведения операции клиентом.
В случае выявления фактов осуществления операций в отношении идентификаторов, обслуживание которых запрещено, а также в случае выявления фактов нарушения установленных требований в соответствии с нормативными правовыми актами Национального банка, платежная организация/оператор платежной системы обязана/н возместить клиенту ущерб, причиненный в результате такой операции.
20. Реестр запрещённых к обслуживанию идентификаторов может дополняться вручную уполномоченными сотрудниками платежной организации/оператора платежной системы на основании достоверной информации о мошенническом характере того или иного клиентского идентификатора, полученной по линии государственных органов и Национального банка.
21. Реестр запрещённых к обслуживанию идентификаторов должен вестись защищённо, не допуская несанкционированного вмешательства сотрудников платежной организации/оператора платежной системы и третьих лиц, обеспечивая целостность записей.
Доступ к реестру разрешается только уполномоченным сотрудникам платежной организации/оператора платежной системы с использованием многофакторной аутентификации.
22. Любые изменения в системе должны фиксироваться в журнале регистрации событий с указанием ответственного лица, времени внесения изменений и оснований для корректировки. Сведения из журнала регистрации событий должны храниться не менее 5 (пяти) лет.
Глава 8. Оценка эффективности антифрод-системы
23. Платежная организация/оператор платежной системы должна/н разрабатывать и внедрять системы мониторинга эффективности мер противодействия мошенничеству, включая следующие метрики:
— доля заблокированных подозрительных операций, которые впоследствии были подтверждены как мошеннические;
— доля ложноположительных срабатываний (ошибочно заблокированных транзакций) (False positive rate);
— доля пропущенных мошеннических операций среди всех подтвержденных случаев (Recall);
— среднее время выявления инцидента (Mean time to detect);
— среднее время реагирования на инцидент (Mean time to respond);
— количество выявленных и задокументированных способов мошенничества;
— показатель клиентского опыта и точности работы системы (антифрод), включая скорость реагирования и процент разрешения конфликтных ситуаций в пользу клиента при ошибочной блокировке;
— показатель качества ведения реестра запрещенных идентификаторов (актуальность, полнота, своевременность обновления).
Результаты оценки эффективности подлежат документированию и предоставлению в Национальный банк не реже 1 (одного) раза квартал до 25 числа месяца, следующего за отчетным кварталом.
Глава 9. Обязанности по тестированию и актуализации системы
24. Платежная организация/оператор платежной системы должна/н регулярно проводить стресс-тестирование систем противодействия внутреннему и внешнему мошенничеству для оценки эффективности, точности и устойчивость к новым угрозам.
Тестирование проводится не реже одного раза в год, а также при внесении значительных изменений в систему.
Обязательными являются следующие виды тестирования:
— стресс-тестирование, заключающееся в моделировании массовых мошеннических атак для проверки устойчивости системы;
— тестирование безопасности на проникновение;
— тестирование новых алгоритмов на основе актуальных способов мошенничества.
По результатам тестирования платежная организация/оператор платежной системы должна/н в течение 30 рабочих дней разработать и внедрить соответствующие корректирующие меры для устранения выявленных уязвимостей высокого уровня критичности, для иных случаев – 60 рабочих дней. Сроки могут быть продлены на основании технического заключения платежной организации/оператора платежной системы.
Платежная организация/оператор платежной системы должна/н документировать результаты стресс-тестирования и ежегодно предоставлять их результаты в Национальный банк по результатам тестирования.
Документация по тестированию подлежит хранению не менее 5 (пяти) лет.
За последними событиями следите в Телеграм-канале @tazabek_official
По сообщению сайта Tazabek