$ 38.08 € 41.49 zł 9.64
+9° Киев +9° Варшава +10° Вашингтон
Усиленная аутентификация: почему новые требования регулятора негативно повлияют на пользователей и бизнес

Усиленная аутентификация: почему новые требования регулятора негативно повлияют на пользователей и бизнес

15 Травня 2023 08:12

10 мая 2023 вступило в силу постановление Правления Национального банка Украины "Об утверждении Положения об аутентификации и применении усиленной аутентификации на платежном рынке". Издание UA.NEWS пообщалось с участниками украинского платежного рынка о недостатках и подводных камнях этого документа, и выяснило, как новые правила повлияют на бизнес и конечных пользователей.

Инсайдеры говорят, что новации - лишь дополнительное усложнение для украинского платежного бизнеса, которое повлечет дополнительные затраты времени и средств как на техническую реализацию требований НБУ, так и на проверки и отчеты, которые требует регулятор в рамках усиленной аутентификации. Очень сомнительно, что эти меры помогут побороть платежные мошенничества, ведь большинство афер происходит из-за низкой финансовой грамотности населения. И пользователям это не принесет никакого удобства – ведь чем больше проверок на пути платежа, тем дольше он идет.

 

Что предусматривает постановление НБУ об усиленной аутентификации: ключевые моменты


Требования постановления Нацбанка об усиленной аутентификации распространяются на всех поставщиков платежных услуг. Это: банки, платежные учреждения, филиалы иностранных платежных учреждений, учреждения электронных денег, финансовые учреждения, имеющие право на предоставление платежных услуг, операторы почтовой связи, поставщики нефинансовых платежных услуг, Национальный банк Украины, другие органы государственной власти и органы местного самоуправления .

Согласно документу, предоставители платежных услуг обязаны применять усиленную аутентификацию пользователей во время:

  • получени ими дистанционного доступа к счетам (например, когда вы заходите в онлайн-банкинг или в мобильное приложение)

  • инициирование дистанционной платежной операции (например, если вы рассчитываетесь в интернете или делаете перевод с карты на карту)

  • других действий в случае подозрения мошенничества или неправомерных действий (или существования соответствующего риска)


Предоставитель платежной услуги в рамках усиленной аутентификации пользователя должен создать уникальный код аутентификации, позволяющий связывать операцию на определенную сумму и конкретного получателя. Этот код должен приниматься поставщиком платежных услуг каждый раз при получении пользователем доступа к счету, инициировании дистанционной платежной операции и т.п.

И если раньше во время онлайн-расчетов достаточно было информации о платежной карте и одноразовом пароле, то теперь следует использовать как минимум два элемента защиты, подтверждающие, что платеж осуществляет законный пользователь, а не мошенник.

Предоставители платежных услуг могут и не применять усиленную аутентификацию пользователя платежных услуг, если платежная операция имеет низкий уровень риска и:

  •  ее сумма не превышает 2000 гривен

  • или общая сумма предварительных платежных операций с момента последней усиленной аутентификации не более 10 000 гривен

  • или количество операций, инициированных плательщиком с момента применения последней усиленной аутентификации, не превышает 5.


С большими суммами есть нюансы – игрокам рынка нужно ежемесячно рассчитывать коэффициент уровня мошенничества для каждого вида платежных операций и обеспечивать его как минимум на том уровне, что указал НБУ. Регулятор также имеет право подать запрос относительно коэффициента уровня мошенничества к поставщику платежных услуг.

Хотя право не применять усиленную аутентификацию для операций низкого риска у предоставителей платежных услуг есть, но компания должна как минимум раз в год проводить проверку внедренных мер безопасности по защите платежных операций, регистрации случаев мошенничества и рассчитанного общего коэффициента мошенничества для каждого вида платежной операции. По результатам проверки поставщик платежных услуг должен представить отчет и давать его по запросу Национального банка.

 

Что новые требования по усиленной аутентификации фактически значат для поставщиков платежных услуг?


Участники платежного рынка говорят, что новые требования НБУ – это, в первую очередь, дополнительные расходы для поставщиков платежных услуг. "Потому что нужно как минимум программу по-другому прописывать, а это трудочасы", - говорит инсайдер рынка, пожелавший остаться анонимным.

Главное конкурентное преимущество украинских платежных компаний и банков – удобство платежных операций и их скорость для пользователя. С новыми требованиями регулятора обеспечить это будет гораздо труднее. Чем больше дополнительных проверок от инициирования платежной операции, тем дольше будет производиться платеж. Без сомнения, для украинских потребителей это отнюдь не удобно.

“Украинский финтех, платежные системы и сфера банковских услуг мощно себя зарекомендовали еще до полномасштабной войны. Терминалы, банкоматы, оплаты онлайн доступны почти во всех уголках нашей страны. Кэшлес-расчеты стали привычными. Благодаря NFC и расчетам в интернете даже банковские карты в кошельке или кармане перестали быть необходимостью, достаточно смартфона. О том, насколько украинские сервисы доступнее, удобнее и быстрее европейских, вы точно слышали и раньше от людей, которые путешествовали, и от вынужденных переселенцев сейчас. Так вот, новые нормативы НБУ однозначно усложнят работу компаний, обслуживающих украинцев и есть вероятность, что это станет шагом назад и помешает дальнейшему развитию”.

Участник украинского платежного рынка

:


Согласно сообщению НБУ, постановление с ужесточенными требованиями по аутентификации одобрили с целью борьбы с мошенничеством на украинском платежном рынке. Однако инсайдеры утверждают, что дополнительные проверки этому не помогут. Ведь большинство мошенничеств происходит именно из-за низкого уровня финансовой грамотности населения. Так что если регулятор действительно хочет снизить платежный аферизм, нужно в первую очередь работать над финансовой образованностью людей.

“На сегодняшний день большинство мошенничеств связано не с тем, что платежи имеют недостаточную защиту. Проблема в другом – отсутствие финансовой грамотности, банальная наивность. В 90-е, "нулевые", как и сто лет назад, людей "разводили" не из-за легкости или сложности переводов средств. Люди предоставляют свои персональные данные, опрометчиво перечисляют деньги или отправляют реквизиты карточек включая CCV просто потому, что не знают, что этого делать нельзя по многим причинам”

Участник украинского платежного рынка

:


Еще одним мотивом принятия постановления НБУ стала гармонизация украинского законодательства в сфере предоставления платежных услуг с законодательством ЕС. Но игроки индустрии утверждают, что таких жестких требований по регулированию аутентификации нет ни в одной стране Евросоюза. Даже когда в Европе были ужесточены правила и контроль за финансовыми организациями и платежами в связи с террористической угрозой, до настолько сильных мер регулирования дело не дошло.

***

Напомним, новые требования содержит постановление Правления Национального банка Украины от 03 мая 2023 г. № 58 "Об утверждении Положения об аутентификации и применении усиленной аутентификации на платежном рынке".

Документ вступает в силу с 10 мая 2023 года, кроме требований к электронному взаимодействию между субъектами платежных операций и соответствующим мерам безопасности, которые вступят в силу с 01 августа 2025 (одновременно с введением в действие главы 4 раздела IV Закона Украины "О платежных услугах") ).