З метою зниження ризиків шахрайства регулятор зобов’язав надавачів платіжних послуг застосовувати посилену автентифікацію користувачів. Банкам і платіжним установам відтепер в разі підозрілих дистанційних транзакцій доведеться застосувати двофакторну автентифікацію як додатковий рівень безпеки.
Як зазначається на сайті Національного банку України, таке рішення зумовлене необхідністю реалізації закону “Про платіжні послуги”, а також гармонізації законодавства із законодавством Європейського Союзу.
Раніше під час онлайн-розрахунків було достатньо інформації про платіжну картку і одноразового пароля. Тепер, як зазначає НБУ, необхідно буде використовувати як мінімум два елементи захисту. Вони мають підтверджувати, що платіж здійснює не шахрай, а клієнт.
Надавачі платіжних послуг зобов’язані застосовувати посилену автентифікацію, якщо користувач отримує дистанційний доступ до рахунків, ініціює дистанційну платіжну операцію чи за будь-яких інших дій, якщо є підозра або ризик вчинення шахрайства чи інших неправомірних дій.
Надавач платіжної послуги має створити унікальний код автентифікації, який дає змогу пов’язувати операцію на певну суму і конкретного отримувача. Цей код повинен прийматися надавачем платіжних послуг щоразу за кожної нової дистанційної дії.
Зі свого боку Нацбанк дозволив надавачам платіжних послуг використовувати будь-які формати двофакторної автентифікації. Регулятор не обмежує учасників платіжного ринку у виборі технологічних рішень.
Такі норми містить постанова Правління НБУ від 03 травня № 58 “Про затвердження Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку”.
Її вимоги поширюються на всіх надавачів платіжних послуг, серед яких банки, платіжні установи, філії іноземних платіжних установ, установи електронних грошей, фінансові установи, що мають право на надання платіжних послуг, оператори поштового зв’язку, надавачі нефінансових платіжних послуг, сам Нацбанк, а також інші органи державної влади та органи місцевого самоврядування.
Цей документ набирає чинності з 10 травня 2023 року крім вимог до електронної взаємодії між суб’єктами платіжних операцій та відповідних заходів безпеки. Останні наберуть чинності з 1 серпня 2025 року.