Tazabek — Национальный банк 26 сентября принял постановление «О внесении изменений в некоторые нормативные правовые акты Национального банка Кыргызской Республики».
Принятое постановление предусматривает установление обязательных требований к разработке и внедрению автоматизированных или полуавтоматизированных систем выявления мошенничества, обеспечивающих своевременное реагирование в зависимости от уровня риска.
Данные меры направлены на обеспечение усиления контроля над операционными рисками, повышение устойчивости финансовых организаций к мошенническим действиям, защиту активов клиентов и укрепление доверия к банковской системе в целом.
«Мошеннические операции наносят ущерб не только коммерческим банкам, но и подрывают доверие населения к финансовым институтам. Ухудшение уровня доверия замедляет развитие цифровых технологий в банковском секторе и сдерживает инвестиции», — говорится в сообщении.
1. Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики» от 15 декабря 2005 года № 37/5 следующее изменение:
Положение «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики», утвержденное вышеуказанным постановлением, дополнить главой VI следующего содержания:
«VI. Минимальные требования к системе противодействия внутреннему и внешнему мошенничеству (антифрод)
6.1. Банк обязан обеспечить наличие и эффективное функционирование системы противодействия внутреннему и внешнему мошенничествам (антифрод) в соответствии с требованиями настоящей главы.
6.2. Требования настоящей главы применяются в качестве основного механизма противодействия внутреннему и внешнему мошенничествам в банковских информационных системах, в том числе в случае несоответствия имеющихся в банковских информационных системах алгоритмов противодействия внутреннему и внешнему мошенничествам требованиям настоящей главы.
6.3. Банк обязан разработать, утвердить советом директоров и внедрить Политику противодействия мошенничеству в системах удаленного/дистанционного банковского обслуживания (далее – Политика). Политика может быть оформлена в виде отдельного документа или являться составной частью политики управления рисками банка.
Политика как минимум должна содержать:
— стремление руководства, подтверждающее приверженность защите клиентов от внутреннего и внешнего мошенничеств в системах удаленного/дистанционного банковского обслуживания;
— принципы раннего выявления, предупреждения и предотвращения мошенничества в системах удаленного/дистанционного банковского обслуживания;
— порядок применения адекватных и своевременных автоматизированных или полуавтоматизированных мер реагирования на выявленные случаи или попытки мошенничества, соразмерных оцененному уровню риска;
— меры ответственностей в соответствии с законодательством Кыргызской Республики, применяемые к сотрудникам банка за бездействие или ненадлежащее действие в сфере противодействия мошенничеству, включая мониторинг угроз, разработку и внедрение мер противодействия, а также реагирование на инциденты.
Политика подлежит пересмотру и актуализации не реже одного раза в год.
Внутренние процедуры и документы банка, регламентирующие противодействие мошенничеству в системах удаленного/дистанционного банковского обслуживания, подлежат пересмотру по мере необходимости, но не реже одного раза в два года, с учетом эффективности применяемых мер, лучшего международного опыта и актуальных угроз.
Банк обязан интегрировать вышеуказанные процедуры и документы в систему управления рисками и обеспечить ознакомление с ними всех необходимых сотрудников банка.
6.4. Банк обязан внедрить системы противодействия мошенничеству в информационных системах удаленного/дистанционного банковского обслуживания для предотвращения как внутреннего, так и внешнего мошенничеств.
Эти системы должны обеспечивать непрерывный мониторинг и оценку риска мошенничества для каждой расходной транзакции, проводимой через системы удаленного/дистанционного банковского обслуживания, независимо от суммы, регулярности и истории предыдущих транзакций. Реализация данных систем допускается двумя способами:
— в виде отдельного, независимого программного или программно-аппаратного комплекса, взаимодействующего со всеми используемыми банковскими автоматизированными системами удаленного/дистанционного банковского обслуживания;
— путем интеграции специализированного модуля противодействия мошенничеству непосредственно в каждую из используемых банковских автоматизированных систем удаленного/дистанционного банковского обслуживания.
6.5. При использовании программного обеспечения для противодействия внутреннему и внешнему мошенничествам в банковских информационных системах банк должен направить соответствующее уведомление с полным описанием реализованной архитектуры, принципов функционирования, применяемых методов оценки риска согласно требованиям настоящего Положения, в Национальный банк.
6.6. Система противодействия внутреннему и внешнему мошенничествам в информационных системах удаленного/дистанционного обслуживания должна производить оценку риска мошенничества в отношении каждой совершаемой расходной транзакции на основании правил, поведенческих моделей, шаблонов и результатов анализа. В результате оценки риска мошенничества система должна присваивать как минимум один из трёх признаков:
— низкий риск: транзакция безопасна;
— средний риск: транзакция подозрительна и может быть мошеннической;
— высокий риск: транзакция является мошеннической.
6.7. При присвоении транзакции среднего уровня риска на основании существенного отклонения от стандартного поведения клиента или наличия совокупности факторов банк обязан обеспечить ее обязательную проверку. Проверка может быть выполнена автоматически или вручную уполномоченным сотрудником банка. По результатам проверки банк обязан выполнить одно или несколько из следующих действий:
— переоценить уровень риска и присвоить транзакции новый уровень: низкий или высокий;
— внести необходимые изменения в правила и шаблоны системы противодействия мошенничеству в удаленное/дистанционное банковское обслуживание, дополнив их выявленными признаками мошеннических операций, обнаруженных при анализе транзакций с высоким уровнем риска;
— обеспечить хранение полной информации о проведенной проверке, включая результаты, полученные данные, сведения о сотрудниках, принимавших решения, и направленные клиенту уведомления в системе противодействия мошенничеству при дистанционном банковском обслуживании. Указанная информация подлежит хранению не менее 5 лет с момента проведения операции.
6.8. Низкий уровень риска должен присваиваться транзакциям, которые соответствуют типичному поведению пользователя, имеют незначительные отклонения от него либо прошли успешную проверку после первоначального присвоения среднего уровня риска.
6.9. Банк вправе приостановить расходные операции по банковскому счету на срок до 30 дней в следующих случаях:
— при выявлении признаков, соответствующих критериям мошенничества, установленным в пункте 6.12 настоящего Положения;
— при отсутствии от клиента подтверждающей информации, однозначно свидетельствующей о самостоятельном совершении операции;
— по уведомлению клиента о мошеннических действиях по его банковскому счету.
Банк должен в системах дистанционного банковского обслуживания предусмотреть возможность подачи физическими лицами уведомления о мошеннических действиях по его банковскому счету, а также формирование выписки по счету с транзакцией/транзакциями для последующего обращения в правоохранительные органы.
Такая возможность должна быть реализована в виде отдельной функции, обеспечивающей:
— круглосуточную доступность без необходимости обращения в отделения банка;
— наличие обособленного канала коммуникации, предназначенного исключительно для передачи уведомлений о мошеннических операциях;
— простую, интуитивно понятную форму подачи уведомления, с возможностью указания ключевых параметров транзакции: даты, суммы, реквизитов получателя, описания обстоятельств и наличия доказательств;
— автоматическую фиксацию факта подачи уведомления в информационных системах банка с отметкой времени и идентификатора клиента;
— инициацию процедуры приостановки и анализа транзакции.
Уведомление, поданное через указанную функцию, подлежит незамедлительному рассмотрению, и необходимо принять соответствующие меры по оценке транзакции, с последующим информированием клиента о принятых мерах, в том числе с рекомендацией по обращению в правоохранительные органы.
Банк обязан незамедлительно информировать клиента о приостановлении операции с использованием доступных каналов коммуникации (мобильное приложение, электронная почта, служба коротких сообщений (SMS), телефонный звонок и иное).
6.10. Системы противодействия внутреннему и внешнему мошенничествам в информационных системах удаленного/дистанционного банковского обслуживания обязаны формировать и поддерживать реестр запрещенных к обслуживанию идентификаторов и атрибутов, используемых при совершении мошеннических операций, в случае присвоения транзакции высокого уровня риска мошенничества. Данный реестр должен включать как минимум номер телефона, ID QR, сервисное имя (идентификатор) получателя или отправителя платежной/банковской системы, а также иные идентификаторы и атрибуты, связанные с мошеннической деятельностью.
6.11. Оценке риска мошенничества должны подвергаться все транзакции, проводимые через системы дистанционного обслуживания и связанные с:
— выдачей кредитов;
— использованием платежных QR-кодов.
— внутрибанковским и межбанковским переводом средств;
— использованием систем «ГРОСС»/«КЛИРИНГ»;
— международными переводами средств (SWIFT и другие международные системы денежных переводов);
— снятием наличных денежных средств;
— приемом платежей через POS-терминалы;
— переводом средств на кошельки виртуальных активов и счета иностранных операторов торгов виртуальных активов;
— погашением задолженности из источников, не характерных для пользователя;
— использованием предоплаченных карт для приобретения товаров и услуг;
— зачислением денежных средств через депозитные устройства (кэш-ин-устройства);
— транзакцией с использованием виртуальных карт;
— переводом на счета и платформы онлайн-казино, игровых сервисов и сайтов ставок;
— иными операциями, определенными банком в рамках своей политики по предотвращению мошенничества.
Банк должен определить специализированные подразделения, ответственные за мониторинг транзакций в режиме реального времени, а также при необходимости, регулярно дополнять перечень новыми транзакциями, подлежащих оценке риска, с учетом новых схем мошенничества и изменений в цифровой безопасности.
6.12. Для целей оценки риска мошенничества при проведении транзакций банк обязан использовать критерии мошенничества, являющиеся основанием для признания транзакции подозрительной или мошеннической.
Критерии мошенничества представляют собой один или совокупность признаков и моделей поведения, свидетельствующих об отклонении от стандартной активности клиента и потенциальной попытке совершения мошеннической транзакции.
Применяемые критерии мошенничества должны включать, в том числе, но не ограничиваться следующими признаками:
— аномальная частота транзакций: внезапное увеличение количества транзакций как инициированных клиентом, так и полученных им;
— групповая аномальная активность: внезапный рост активности группы клиентов, осуществляющих транзакции, подобные по сумме, получателю или типу;
— аномальный размер (сумма) транзакций: транзакции на суммы, не соответствующие типичному поведению клиента, а также совершение платежей в непривычных для клиента категориях товаров/услуг;
— аномальное географическое положение: необычное географическое положение (IP-адрес), регистрация с нового мобильного устройства, использование VPN или прокси-серверов;
— аномальное время проведения операций: необычное время суток или день недели для совершения транзакций клиентом;
— многократные неудачные попытки входа: повторные неудачные попытки авторизации в системе;
— частая смена контактной информации: частая смена контактных данных, особенно перед крупными транзакциями;
— совпадение с известными схемами мошенничества: соответствие транзакции признакам известных схем мошенничества;
— частые возвраты или отмены транзакций: необычно большое количество возвратов или отмененных транзакций;
— использование подозрительных получателей: переводы средств на счета получателей, идентифицированных как подозрительные;
— распределение средств на множество получателей: дробление транзакций и распределение средств на большое количество получателей;
— аномальные источники пополнения средств: пополнение счета из источников, не характерных для данного клиента;
— частое привязывание и отвязывание платежных инструментов: частая смена привязанных платежных карт или учетных записей;
— аномальные изменения в режиме доступа: изменения в режиме доступа, включение новых способов авторизации или изменение способа входа, несвойственные для данного клиента;
— несоответствие анкетных данных (домохозяйка, безработный и т.д.) частоте и сумме транзакций;
— участие счета клиента в дроблении или укрупнении денежных средств и с быстрым переводом на другие счета клиента в другой банк;
— пополнение карты разными лицами с помощью разных инструментов с дальнейшим выводом с карты;
— иные критерии, определенные банком в рамках своей политики по предотвращению мошенничества.
6.13. Все транзакции в отношении запрещенных к обслуживанию идентификаторов должны отклоняться с соответствующим уведомлением клиента.
Банк должен разрабатывать внутренние процедуры и документы, регламентирующие порядок внесения идентификаторов в реестр запрещенных к обслуживанию, а также порядок исключения записей из него в случае обнаружения ошибок или подтверждения самостоятельного проведения операции клиентом.
В случае выявления фактов осуществления транзакции в отношении идентификаторов, обслуживание которых запрещено банком, а также фактов совершения транзакций неуполномоченным клиентом лицом, за исключением случаев, когда такие транзакции совершены по вине самого клиента, либо выявления фактов нарушения установленных требований, предусмотренных нормативными правовыми актами Национального банка при предоставлении кредитов, банк обязан возместить клиенту причиненный ущерб, возникший в результате таких транзакций.
Возмещение ущерба производится за счет капитала, резервируемого для покрытия операционных рисков и рассчитываемого в соответствии с нормативными правовыми актами Национального банка.
6.14. Реестр запрещённых к обслуживанию идентификаторов может дополняться вручную уполномоченными сотрудниками банка на основании достоверной информации о мошеннической природе того или иного клиентского идентификатора, полученной по линии государственных органов и Национального банка, в результате анализа публикаций в локальных и зарубежных средствах массовой информации, включая сетевые издания, зарегистрированных в установленном порядке, или при поступлении значительного количества однотипных клиентских обращений по фактам подозрительных операций.
6.15. Реестр запрещённых к обслуживанию идентификаторов должен вестись защищённо, не допуская несанкционированного вмешательства сотрудников банка и третьих лиц, обеспечивая целостность записей.
Доступ к реестру разрешается только уполномоченным сотрудникам банка с использованием многофакторной аутентификации. Любые изменения в системе должны фиксироваться в журнале регистрации событий с указанием ответственного лица, времени внесения изменений и оснований для корректировки. Сведения из журнала регистрации событий должны храниться не менее 5 лет.
6.16. Банк должен разрабатывать и внедрять системы мониторинга эффективности мер противодействия мошенничеству, включая следующие метрики:
— долю заблокированных подозрительных операций, которые впоследствии были подтверждены как мошеннические (Precision);
— долю ложноположительных срабатываний (ошибочно заблокированных транзакций) (False positive rate);
— долю пропущенных мошеннических операций среди всех подтвержденных случаев (Recall);
— среднее время выявления инцидента (Mean time to detect);
— среднее время реагирования на инцидент (Mean time to respond);
— количество выявленных и задокументированных способов мошенничества;
— показатель клиентского опыта и точности работы системы, в том числе скорость обратной связи и процент разрешения конфликтных ситуаций в пользу клиента при ошибочной блокировке;
— показатель качества ведения реестра запрещенных идентификаторов (актуальность, полнота, своевременность обновления).
Результаты оценки эффективности подлежат документированию и предоставлению в Национальный банк не реже 1 (одного) раза в квартал.
6.17. Банк должен регулярно проводить тестирование систем противодействия внутреннему и внешнему мошенничествам для оценки эффективности, точности и устойчивости к новым угрозам.
Тестирование проводится не реже одного раза в год, а также при внесении значительных изменений в систему.
Обязательными являются следующие виды тестирования:
— стресс-тестирование, заключающееся в моделировании повышенной нагрузки и нестандартных сценариев клиентского поведения с целью оценки устойчивости и эффективности системы;
— тестирование безопасности на проникновение;
— тестирование новых алгоритмов на основе актуальных способов мошенничества.
По результатам тестирования банк должен в течение 30 рабочих дней разработать и внедрить соответствующие корректирующие меры для устранения выявленных уязвимостей высокого уровня критичности, для иных случаев – 60 рабочих дней. Сроки могут быть продлены на основании технического заключения банка.
Банк должен документировать результаты тестирования и ежегодно предоставлять их в Национальный банк.
Документация по тестированию подлежит хранению не менее 5 лет.».
2. Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Инструкции по работе с банковскими счетами, счетами по банковским вкладам (депозитам)» от 31 октября 2012 года № 41/12 следующее изменение:
Инструкцию по работе с банковскими счетами, счетами по банковским вкладам (депозитам), утвержденную вышеуказанным постановлением, дополнить пунктом 22-5 следующего содержания:
«22-5. В случае выявления признаков, указывающих на возможный мошеннический характер расходной операции, банк вправе приостановить проведение такой операции на срок до 30 (тридцати) дней.
Порядок выявления указанных признаков, алгоритм приостановки и возобновления операций устанавливаются нормативными правовыми документами Национального банка, устанавливающими минимальные требования к функционированию систем противодействия внутреннему и внешнему мошенничествам (антифрод).».
За последними событиями следите через наш Твиттер @tazabek
По сообщению сайта Tazabek