10 травня 2023 року набула чинності постанова Правління Національного банку України "Про затвердження Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку". Видання UA.NEWS поспілкувалось із учасниками українського платіжного ринку про недоліки і підводні камені цього документа, та як нові правила вплинуть на бізнес та кінцевих користувачів. 

Інсайдери говорять, що це лише додаткове ускладнення для українського платіжного бізнесу, яке потягне за собою додаткові витрати часу і коштів - як на технічну реалізацію вимог НБУ, так і на перевірки та звіти, які вимагає регулятор у рамках посиленої аутентифікації. Дуже сумнівно, що ці заходи допоможуть побороти платіжні шахрайства, адже більшість афер відбувається через низьку фінансову грамотність населення. І користувачам це не принесе ніякої зручності - чим більше перевірок на шляху платежа, тим довше він іде. 

 

Що передбачає постанова НБУ про посилену аутентифікацію: ключові моменти

Вимоги постанови Нацбанку про посилену аутентифікацію розповсюджуються на усіх надавачів платіжних послуг. Це: банки, платіжні установи, філії іноземних платіжних установ, установи електронних грошей, фінансові установи, що мають право на надання платіжних послуг, оператори поштового зв’язку, надавачі нефінансових платіжних послуг, Національний банк України, інші органи державної влади та органи місцевого самоврядування. 

Згідно із документом, надавачі платіжних послуг зобов’язані застосовувати посилену автентифікацію користувачів під час: 

• отримання ними дистанційного доступу до рахунків (наприклад, коли ви заходите в онлайн-банкінг чи у мобільний застосунок банку) 


• ініціювання дистанційної платіжної операції (наприклад, коли ви розраховуєтесь в інтернеті чи робите переказ із картки на картку) 


• інших дій у разі підозри шахрайства чи неправомірних дій (або існування відповідного ризику) 

Надавач платіжної послуги у рамках посиленої автентифікації користувача, має створити унікальний код автентифікації, який дозволяє пов’язувати операцію на певну суму і конкретного отримувача. Цей код повинен прийматися надавачем платіжних послуг щоразу під час отримання користувачем доступу до рахунку, ініціювання дистанційної платіжної операції тощо. 

Тож якщо раніше під час онлайн-розрахунків достатньо було інформації про платіжну картку і одноразового пароля, то тепер слід використовувати як мінімум два елементи захисту, які підтверджують, що платіж здійснює законний користувач, а не шахрай. 

Надавачі платіжних послуг можуть і не застосовувати посиленої автентифікації користувача платіжних послуг, якщо платіжна операція має низький рівень ризику та:

•  її сума не перевищує 2 000 гривень


• або загальна сума попередніх платіжних операцій з часу останньої посиленої автентифікації не більше 10 000 гривень


• або кількість операцій, ініційованих платником з часу застосування останньої посиленої автентифікації, не перевищує 5. 

З більшими сумами є нюанси - гравцям ринку потрібно щомісяця розраховувати коефіцієнт рівня шахрайства для кожного виду платіжних операцій і забезпечувати його як мінімум на тому рівні, що вказав НБУ. Регулятор також має право подати запит щодо коефіцієнту рівня шахрайства до надавача платіжних послуг. 

Хоч право не застосовувати посилену автентифікацію для операцій низького ризику у надавачів платіжних послуг є, але компанія повинна як мінімум раз на рік проводити перевірку впроваджених заходів безпеки із захисту платіжних операцій, реєстрації випадків шахрайства та розрахованого загального коефіцієнта шахрайства для кожного виду платіжної операції. За результатами перевірки надавач платіжних послуг має представити звіт і давати його на запит Національного банку. 

 

Що нові вимоги щодо посиленої аутентифікації фактично означають для надавачів платіжних послуг? 

Учасники платіжного ринку говорять, що нові вимоги НБУ - це, у першу чергу, додаткові витрати для надавачів платіжних послуг. “Тому що потрібно, як мінімум, програму по-іншому прописувати, а це трудові часи”, - каже інсайдер ринку, який побажав залишитись анонімним. 

Головна конкурентна перевага українських платіжних компаній та банків - зручність платіжних операцій та їх швидкість для користувача. Із новими вимогами регулятора забезпечити це буде значно важче. Чим більше додаткових перевірок від ініціювання платіжної операції, тим довше буде проводитись платіж. Без сумніву, для українських споживачів це аж ніяк не зручно. 

“Український фінтех, платіжні системи і сфера банківських послуг потужно себе зарекомендували ще до повномасштабної війни. Термінали, банкомати, оплати-онлайн доступні майже в усіх куточках нашої країни. Кешлес-розрахунки стали звичними. Завдяки NFC і розрахункам в інтернеті навіть банківські картки в гаманці чи кишені перестали бути необхідністю, достатньо мобілки. Про те, наскільки українські сервіси доступніші, зручніші і швидші за європейські, ви точно чули і раніше від людей, які подорожували і від вимушених переселенців зараз. Так от, нові нормативи НБУ однозначно ускладнять роботу компаній, які обслуговують українців і є вірогідність, що це стане кроком назад і завадить подальшому розвитку”

Згідно із повідомленням НБУ, постанову із посиленими вимогами щодо аутентифікації, схвалили з метою боротьби із шахрайством на українському платіжному ринку. Однак інсайдери стверджують, що додаткові перевірки цьому не допоможуть. Адже більшість шахрайств відбувається саме через низький рівень фінансової грамотності населення. Тож якщо регулятор дійсно хоче знизити платіжний аферизм, потрібно у першу чергу працювати над фінансовою освіченістю людей. 

“На сьогоднішній день більшість шахрайств пов'язані не з тим, що платежі мають недостатній захист. Проблема в іншому - відсутність фінансової грамотності, банальна наївність. У 90-ті, “нульові”, як і сто років тому, людей “розводили” не через легкість чи складність переказів коштів. Люди надають свої персональні дані, необачно перераховують гроші або відправляють реквізити карток включно з CCV просто тому що не знають, що цього робити не можна з багатьох причин”

Ще одним мотивом ухвалення постанови НБУ стала гармонізація українського законодавства у сфері надання платіжних послуг із законодавством ЄС. Але гравці індустрії стверджують, що таких жорстких вимог щодо регулювання аутентифікації немає у жодній країні Євросоюзу. Навіть коли у Європі були посилені правила і контроль за фінансовими організаціями та платежами у зв’язку із терористичною загрозою, до настільки сильних заходів регулювання справа не дійшла.

***

Нагадаємо, нові вимоги містить постанова Правління Національного банку України від 03 травня 2023 року № 58 "Про затвердження Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку". 

Документ набирає чинності з 10 травня 2023 року, крім вимог до електронної взаємодії між суб’єктами платіжних операцій та відповідних заходів безпеки, що наберуть чинності з 01 серпня 2025 року (одночасно з уведенням у дію глави 4 розділу IV Закону України "Про платіжні послуги").