Tazabek — Правление Национального банка 31 октября утвердило Положение «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству (антифрод) в платёжных организациях/операторах платёжных систем».
Документ регламентирует базовые процессы и контрольные механизмы для предотвращения мошенничества в платёжной сфере.
Постановление вступает в силу по истечении 15 дней со дня официального опубликования, за исключением пунктов 6–9 и 23–24 Положения, которые начнут действовать с 1 марта 2026 года.
Юридическому управлению НБКР поручено опубликовать документ на сайте регулятора в течение 3 рабочих дней и направить его в Минюст для включения в госреестр НПА.
Управление методологии надзора в этот же срок доведёт постановление до операторов платёжных систем, платёжных организаций и Ассоциации операторов платёжных систем KG. «Секретариат Правления» уведомит внутренние подразделения и территориальные управления, включая Представительство НБКР в Баткенской области.
Контроль исполнения возложен на члена Правления, курирующего методологию надзора.
ПОЛОЖЕНИЕ
о минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству (антифрод) в платежных организациях/операторах платежных систем Кыргызской Республики
Глава 1. Общие положения
Глава 2. Политика и организационные меры
Основные требования Политики как минимум должны отражать:
— стремление руководства, подтверждающее приверженность защите клиентов/пользователей услуг от внутреннего и внешнего мошенничества в системах удаленного/дистанционного обслуживания;
— принципы раннего выявления, предупреждения и предотвращения мошенничества в системах удаленного/дистанционного обслуживания;
— порядок применения адекватных и своевременных автоматизированных или полуавтоматизированных мер реагирования на выявленные случаи или попытки мошенничества, соразмерных оцененному уровню риска;
— меры ответственностей в соответствии с законодательством Кыргызской Республики, применяемых к сотрудникам платежной организации/оператора платежной системы за бездействие или ненадлежащие действия в сфере противодействия мошенничеству, включая мониторинг угроз, разработку и внедрение мер противодействия, а также реагирование на инциденты.
Политика подлежит пересмотру и актуализации не реже одного раза в год.
Внутренние процедуры и документы платежной организации/оператора платежной системы, регламентирующие противодействие мошенничеству в системах удаленного/дистанционного обслуживания, подлежат пересмотру по мере необходимости, но не реже 1 (одного) раза в два года, с учетом эффективности применяемых мер, лучшего международного опыта и актуальных угроз.
Платежная организация/оператор платежной системы обязана/н интегрировать вышеуказанные процедуры и документы в систему управления рисками и обеспечить ознакомление с ними всех необходимых сотрудников платежной организации/оператора платежной системы.
Глава 3. Техническая реализация антифрод-контроля
— в виде отдельного, независимого программного и/или программно-аппаратного комплекса, взаимодействующего с используемыми автоматизированными системами удаленного/дистанционного обслуживания;
— путем интеграции специализированного модуля противодействия мошенничеству непосредственно в каждую из используемых автоматизированных систем удаленного/дистанционного обслуживания.
Система противодействия внутреннему и внешнему мошенничествам должна обеспечивать как минимум:
— базовую проверку операций;
— сравнение с типичными поведенческими шаблонами клиента (при наличии соответствующих данных);
— блокировку или приостановку подозрительных операций по заранее определенным критериям.
Внимание! Пункты 6-9 настоящего Положения вступают в силу с 1 марта 2026 года.
Глава 4. Категоризация рисков и действия по инцидентам
— низкий риск: операция безопасна;
— средний риск: операция подозрительна и может быть мошеннической;
— высокий риск: операция является мошеннической.
— переоценить уровень риска и присвоить операции новый уровень: низкий или высокий;
— внести необходимые изменения в правила и шаблоны системы противодействия мошенничеству в удаленное/дистанционное обслуживание, дополнив их выявленными признаками мошеннических операций, выявленных при анализе операций с высоким уровнем риска;
— обеспечить хранение полной информации о проведенной проверке, включая результаты, полученные данные, сведения о сотрудниках, принимавших решения, и направленные клиенту уведомления в системе противодействия мошенничеству в дистанционное обслуживание. Указанная информация подлежит хранению не менее 5 (пяти) лет с момента проведения операции.
Данный реестр должен включать как минимум номер телефона, ID QR-кода (уникальный QR для идентификации), сервисное имя (идентификатор) получателя или отправителя платежной/банковской системы, а также иные идентификаторы и атрибуты, связанные с мошеннической деятельностью.
Данный реестр должен использоваться при последующей оценке риска с возможностью блокировки или дополнительной проверки.
— операциями по банковским счетам;
— операциями посредством мобильных приложений, в том числе мобильных приложений агентов (далее — МПА);
— операциями по электронным кошелькам;
— операций с использованием QR-кодов/карт;
— переводом денежных средств внутри страны;
— международными переводами денежных средств;
— переводом средств на кошельки виртуальных активов и счета иностранных операторов торгов виртуальных активов;
— снятием наличных денежных средств;
— зачислением денежных средств через системы удаленного/дистанционного обслуживания;
— иными высокорискованными операциями, а также определенными платежной организацией/оператором платежной системы в рамках своей политики по предотвращению мошенничества.
Платежная организация/оператор платежной системы должна/н определить уполномоченных лиц/специализированные подразделения, ответственных за мониторинг операций в режиме реального времени, а также регулярно пересматривать перечень операций, подлежащих оценке риска, с учетом новых схем мошенничества и изменений в цифровой безопасности.
Глава 5. Базовые признаки мошеннических операций
Критерии мошенничества представляют собой один или совокупность признаков и моделей поведения, свидетельствующих об отклонении от стандартной активности клиента и потенциальной попытке совершения мошеннической операции.
Применяемые критерии мошенничества должны включать в том числе, но не ограничиваться следующими признаками:
— аномальная частота операций: внезапное увеличение количества операций как инициированных клиентом, так и полученных им;
— групповая аномальная активность: внезапный рост активности группы клиентов, осуществляющих операции, подобные по сумме, получателю или типу;
— аномальный размер (сумма) операции: операции на суммы, не соответствующие типичному поведению клиента, а также совершение платежей в непривычных для клиента категориях товаров/услуг;
— аномальное географическое положение: необычное географическое положение (IP-адрес), регистрация с нового мобильного устройства, использование VPN или прокси-серверов;
— аномальное время проведения операций: необычное время суток или день недели для совершения операций клиентом;
— многократные неудачные попытки входа: повторные неудачные попытки авторизации в системе;
— частая смена контактной информации: частая смена контактных данных, особенно перед крупными операциями;
— совпадение с известными схемами мошенничества: соответствие операции признакам известных схем мошенничества;
— частые возвраты или отмены операции: необычно большое количество возвратов или отмененных операций;
— использование подозрительных получателей: переводы средств на счета/мобильные приложения, включая МПА/электронные кошельки получателей, идентифицированных как подозрительные;
— распределение средств на множество получателей: дробление операций и распределение средств на большое количество получателей;
— аномальные источники пополнения средств: пополнение счета из источников, не характерных для данного клиента;
— аномальные изменения в режиме доступа: изменения в режиме доступа, включение новых способов авторизации или изменение способа входа, несвойственные для данного клиента;
— участие мобильных приложений, включая МПА/электронного кошелька клиента в дроблении или укрупнении денежных средств и с быстрым переводом на другие счета/мобильные приложения, МПА/электронные кошельки/карты клиента в другом банке/платежной организации;
— пополнение банковских счетов/мобильных приложений, МПА/электронного кошелька/карт разными лицами с помощью разных инструментов с дальнейшим выводом со счета/мобильных приложений, МПА/электронного кошелька;
— иные критерии, определенные платежной организацией/оператором платежной системы в рамках своей политики по предотвращению мошенничества.
Глава 6. Обязанность по приостановке операций и взаимодействию с клиентами
— при выявлении признаков, соответствующих критериям мошенничества, установленным в пункте 15 настоящего Положения;
— при отсутствии от клиента подтверждающей информации, однозначно свидетельствующей о самостоятельном совершении операции;
— по уведомлению клиента о мошеннических действиях по его мобильным приложениям, МПА, электронному кошельку.
Такая возможность должна быть реализована в виде отдельной функции, обеспечивающей:
— круглосуточную доступность;
— наличие обособленного канала коммуникации, предназначенного исключительно для передачи уведомлений о мошеннических операциях;
— простую, интуитивно понятную форму подачи уведомления (SMS-оповещение, электронная почта), с возможностью указания ключевых параметров операции: дата, сумма, реквизиты получателя, описание обстоятельств и наличия доказательств;
— автоматическую фиксацию факта подачи уведомления в информационных системах платежной организации/оператора платежной системы с отметкой времени и идентификатора клиента;
— инициацию процедуры приостановки и анализа операции.
Уведомление, поданное через указанную функцию, подлежит незамедлительному рассмотрению и принятию соответствующих мер, по оценке операции, с последующим информированием клиента о принятых мерах, в том числе рекомендацией по обращению в правоохранительные органы.
Глава 7. Ведение списка идентификаторов и мониторинг повторов
Платежная организация/оператор платежной системы должна/н иметь внутренние процедуры и документы, регламентирующие порядок внесения идентификаторов в реестр запрещенных к обслуживанию, а также порядок исключения записей из него в случае обнаружения ошибок или подтверждения самостоятельного проведения операции клиентом.
В случае выявления фактов осуществления операций в отношении идентификаторов, обслуживание которых запрещено, а также в случае выявления фактов нарушения установленных требований в соответствии с нормативными правовыми актами Национального банка, платежная организация/оператор платежной системы обязана/н возместить клиенту ущерб, причиненный в результате такой операции.
Доступ к реестру разрешается только уполномоченным сотрудникам платежной организации/оператора платежной системы с использованием многофакторной аутентификации.
Глава 8. Оценка эффективности антифрод-системы
— доля заблокированных подозрительных операций, которые впоследствии были подтверждены как мошеннические;
— доля ложноположительных срабатываний (ошибочно заблокированных транзакций) (False positive rate);
— доля пропущенных мошеннических операций среди всех подтвержденных случаев (Recall);
— среднее время выявления инцидента (Mean time to detect);
— среднее время реагирования на инцидент (Mean time to respond);
— количество выявленных и задокументированных способов мошенничества;
— показатель клиентского опыта и точности работы системы (антифрод), включая скорость реагирования и процент разрешения конфликтных ситуаций в пользу клиента при ошибочной блокировке;
— показатель качества ведения реестра запрещенных идентификаторов (актуальность, полнота, своевременность обновления).
Результаты оценки эффективности подлежат документированию и предоставлению в Национальный банк согласно форме, установленной в приложении 1 к настоящему Положению, не реже 1 (одного) раза в квартал до 25 числа месяца, следующего за отчетным кварталом.
Глава 9. Обязанности по тестированию и актуализации системы
Тестирование проводится не реже одного раза в год, а также при внесении значительных изменений в систему.
Обязательными являются следующие виды тестирования:
— стресс-тестирование, заключающееся в моделировании массовых мошеннических атак для проверки устойчивости системы;
— тестирование безопасности на проникновение;
— тестирование новых алгоритмов на основе актуальных способов мошенничества.
По результатам тестирования платежная организация/оператор платежной системы должна/н в течение 30 рабочих дней разработать и внедрить соответствующие корректирующие меры для устранения выявленных уязвимостей высокого уровня критичности, для иных случаев — 60 рабочих дней. Сроки могут быть продлены на основании технического заключения платежной организации/оператора платежной системы.
Платежная организация/оператор платежной системы должна/н документировать результаты стресс-тестирования и ежегодно предоставлять их результаты в Национальный банк по результатам тестирования.
Документация по тестированию подлежит хранению не менее 5 (пяти) лет.
Внимание! Пункты 23-24 настоящего Положения вступают в силу с 1 марта 2026 года.
ОТЧЕТ
об оценке эффективности мер противодействия мошенничеству
Наименование системы: ______________________________________________________
Наименование оператора платежной системы: ___________________________________
Отчетный период: ___________________________________________________________
За последними событиями следите через наш Твиттер @tazabek
По сообщению сайта Tazabek