Нацбанк через шахрайство ввів подвійне підтвердження для онлайн-оплати: що змінилось

Захист при оплаті онлайн під час розрахунку за послуги або товари посилили. Тепер необхідно використовувати посилену автентифікацію як мінімум з двох елементів захисту. Розбираємось чому посилили захист, коли його зобов’язані використовувати та які є виключення з законів про онлайн-платежі.

Національний банк України 9 травня вніс зміни, щоб знизити ймовірність шахрайства з банківськими картками українців. Це зробили на основі постанови правління НБУ від 03 травня 2023 року № 58 “Про затвердження Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку”. Журналісти Вільного радіо звернулись за деталями до Національного банку України.

Чому посилили захист від шахрайства для платежів онлайн

З травня 2023 року продавці товарів чи послуг повинні використовувати посилений автентифікатор, щоб покупка була більше захищена. Застосовувати її повинен саме надавач послуг, а не їхній користувач/покупець.

Новий порядок здійснення онлайн-платежів змінили для адаптації українського законодавства під платіжні стандарти ЄС. 

“86% від загальної кількості випадків платіжного шахрайства за 2022 рік відбулися при здійсненні дистанційних операцій в мережі інтернет. Водночас лише 14% — через фізичні пристрої, це торговельні мережі, банкомати та пристрої самообслуговування. Тому впровадження учасниками ринку посиленої автентифікації відповідає інтересам їх користувачів”, — уточнюють спеціалісти НБУ у відповідь на запит Вільного радіо.

Зазначимо, у 2023 році шахраї також використовують різні схеми, але даних за цей рік наразі немає. 

Коли зобов’язані використовувати багаторівневу ідентифікацію при оплаті онлайн

Згідно зі статтею 68 Закону України “Про платіжні послуги”, існує три випадки, коли захист онлайн-платежів необхідно посилити, це:

• рахунок на який заходять віддалено, наприклад, через інтернет та мобільні платіжні застосунки;
• дистанційний розрахунок за товари чи послуги;
• підозра на шахрайство чи інші незаконні дії.

“До третього пункту можуть відноситись випадки, коли, наприклад, користувачі намагаються дистанційно внести зміни до індивідуальної інформації про себе (зокрема, змінити свій фінансовий номер телефону). Або якщо надавач послуг має інші об’єктивні причини підозрювати можливість шахрайства, несанкціонованого доступу або інших неправомірних дій”, — пояснюють фахівці НБУ.

В НБУ наголошують, клієнти мають дбати, щоб покупка була захищена і намагатись більше контролювати кошти. 

Які елементи захисту платежів онлайн використовують

До травня 2023 року захист банківських платежів онлайн був меншим. Для онлайн-розрахунку за послугу достатньо було інформації з платіжної картки та одноразового пароля. 

Згідно з постановою НБУ, тепер купити товари чи послуги онлайн можна лише з використанням щонайменше двох захисних механізмів. Це підтвердить, що розплатитись хоче власник картки, а не шахрай. До елементів захисту відносяться:

• знання — інформація, яка відома лише користувачу;
• володіння — використання матеріального предмета, яким володіє охочий отримати послуги;
• притаманність — перевірка біометричних даних або деталей рис чи характеристику, які притаманних лише цієї людини.

“Наприклад, можна перевірити, чи знає користувач пароль для входу в онлайн чи мобільний банкінг (це категорія знань, — ред.). Плюс чи має він мобільний телефон з певним фінансовим номером, на який надсилається одноразовий динамічний пароль (це категорія володіння, — ред.)”, — пояснюють спеціалісти Національного банку України.

Що таке код автентифікації у банківській справі

Кожен офіційний продавець повинен створити унікальний код, який пов’яже розрахунок грошима між ним та покупцем. Такий код продавець зобов’язаний створювати кожного разу, щоб провести переказ грошей, коли рахунок сплачують віддалено та в інших випадках, щоб шахраї не змогли скористатись коштами покупця.

Такий код — це не те саме, що пароль, який передають через SMS або телефоном для підтвердження зняття грошей, коли роблять переказ  та інших дій пов’язаних з оплатою. Такі елементи захисту використовують лише під час посиленої автентифікації для підтвердження, що, наприклад цей номер телефона дійсно належить покупцю.

“Код автентифікації створюється надавачем платіжних послуг з обслуговування рахунку  після проведення процедури посиленої автентифікації користувача платіжної послуги з використанням мінімум двох елементів і є результатом певного математичного перетворення даних, та має бути пов’язаним з сумою платіжної операції та отримувачем”, — пояснюють банкіри.

Щоб подвійна аутентифікація платежів спрацювала правильно, важливо дотримуватись таких умов:

1. будь-яка зміна суми чи даних отримувача зробить код автентифікації не дійсним;
2. маючи перетворений код неможливо відновити інформацію про елементи, які використали для посилення автентифікації.

Користувач ніколи не знає код автентифікації. Його використовує надавач послуг лише як підтвердження, що процедура оплати мала посилений захист.

“Національний банк дотримується принципу технологічної нейтральності та не нав’язує надавачам платіжних послуг конкретні математичні перетворення та засоби для їх проведення”, — додають фахівці банку.

Тобто ці елементи можуть коригувати банки та продавці послуг або товарів самі.

Коли можна сплачувати за послуги без посиленої автентифікації користувача

У законі України “про платіжні послуги” йдеться, що посилена аутентифікація при оплаті онлайн необхідна під час онлайн-платежів.

“Дистанційним доступом вважається лише доступ який відбувається, наприклад, під час проведення операцій на комп’ютері через мережу Інтернет, за допомогою платіжного застосунку в мобільному телефоні”, — уточнюють в відповіді на запит в НБУ.

Водночас навіть при дистанційному користуванні банківськими послугами, бувають випадки коли можна не використовувати посилений захист карткових операцій. Це можливо при таких умовах:

• сума платежу не перевищує 2 000 гривень (таких операцій допускають 5, щоб витратити до 10 тисяч загалом)
• якщо покупець послуг здійснив один платіж з посиленою автентифікацією та додав після цього продавця послуг у список довірених отримувачів грошей, то наступні платежі будуть можливі без посиленої автентифікації користувача;
• коли користувач послуг застосував платіж з посиленою автентифікацією та робить регулярні однакові платежі “за шаблоном”;
• оплата через систему МОТО;

• протягом минулих 180 днів посилену автентифікацію до покупця вже використав інший продавець послуг під час першого доступу до рахунку користувача послуг;
• інші онлайн-розрахунки за послуги, які за даними банків мають низьку ймовірність шахрайства.