НОВОСТИ В УЗБЕКИСТАНЕ
Фото: Шохрух Хайдаров / Gazeta
С 22 апреля в Узбекистане вступает в силу новое положение Центрального банка, устанавливающее минимальные требования к информационной и кибербезопасности при оказании дистанционных финансовых услуг.
Документ вводит дополнительные меры и требования для предотвращения онлайн-мошенничества (фрода) при использовании мобильных приложений банков, платёжных сервисов и операторов платёжных систем.
Биометрия станет обязательной
Одним из ключевых нововведений становится обязательное использование биометрии.
Для выполнения критических операций — входа с нового устройства, привязки карты или смены пароля — потребуется дополнительная идентификация, в том числе с использованием селфи (для определения «живого присутствия», идентификация по фотографии не допускается). Одного SMS-кода будет недостаточно.
Регистрация в приложении и привязка банковской карты теперь будут отдельными этапами с разной биометрической аутентификацией.
Проверка соответствия номера и ПИНФЛ
Приложения обязаны проверять, оформлен ли номер телефона на владельца карты. Если номер зарегистрирован на другое лицо или не соответствует ПИНФЛ пользователя, система ограничит доступ к операциям, включая вход в приложение и онлайн-платежи при использовании нового устройства.
При этом сами банковские карты не блокируются: ими по-прежнему можно пользоваться в банкоматах и терминалах.Реклама на Gazeta
Как уточнили «Газете» в Центробанке, это требование не затронет всех сразу — действующие пользователи смогут продолжать пользоваться приложениями как обычно. Ограничения будут применяться при новых действиях: регистрации, переустановке приложения или привязке карты.
Также, по данным регулятора, допускается использование приложения в случаях, когда номер телефона оформлен на близкого родственника — родителей, братьев и сестёр, супругов или детей. Ограничения могут возникнуть, если номер телефона или банковская карта зарегистрированы на постороннее лицо, не связанное с пользователем.
В ЦБ подчеркнули, что новые правила распространяются преимущественно на клиентов, которые будут регистрироваться после 22 апреля. Для действующих пользователей порядок работы остаётся без изменений.
Кроме того, согласно положению. пользователи мобильных приложений могут привязывать к аккаунту только свои банковские счета, карты и электронные кошельки (а также близких родственников) и совершать через них P2P-переводы.
К близким родственникам в этом случае относятся родители, братья и сёстры, супруги, дети (в том числе усыновлённые), дедушки, бабушки, внуки, а также родственники со стороны супруга.
Переоформление номера
Пользователи могут переоформить номер телефона на своё имя через офисы мобильных операторов.
Для переоформления требуется личное присутствие текущего владельца номера и лица, на которого он будет зарегистрирован. Услуга платная, её стоимость зависит от оператора и составляет в среднем около 25 тысяч сумов. Для так называемых «красивых» номеров дополнительно может взиматься комиссия в размере 5−25% от их стоимости. В ряде случаев (например, при переоформлении между близкими родственниками — родителями, супругами, детьми, братьями и сёстрами) такая комиссия не применяется.
Следует учитывать, что в ряде случаев операторы рассматривают заявления на переоформление номера до 10 календарных дней. Это означает, что даже при подаче заявки заранее процедура может завершиться уже после 22 апреля.
Альтернативный вариант — приобрести новую SIM-карту, оформленную на своё имя, и привязать к ней услугу SMS-уведомлений.
Вход с нового устройства и контроль сессий
При входе с нового устройства приложения должны сбрасывать привязанные карты и очищать локальные данные (историю). Пользователь получит уведомление с параметрами устройства.
В каждом приложении должен появиться раздел, где видно, с каких устройств, IP-адресов и когда заходили в аккаунт. Пользователь сможет отслеживать активные сессии и завершать их вручную.
Ограничения при звонках и защита от удалённого доступа
Мобильные приложения банков не будут работать, если в этот момент на телефоне идёт аудио- или видеозвонок (в том числе через мессенджеры Telegram, WhatsApp и др.). Это сделано для борьбы со схемой, когда мошенники с помощью социальной инженерии обманывают жертву по телефону.
Также предусматривается выявление программ удалённого доступа (например, через AnyDesk или TeamViewer) — при их обнаружении операции будут блокироваться.
Новые правила для SMS и OTP-кодов
Одноразовые коды должны содержать не менее шести символов и включать буквы и цифры. Срок их действия составит не более 59 секунд.
После трёх неверных попыток ввод блокируется минимум на 15 минут, а при бездействии более трёх минут пользователь автоматически выходит из системы.
OTP-код для подтверждения кредита или перевода будет работать только на том устройстве, куда он был отправлен. Перехватить его и использовать на другом смартфоне не получится.
Переводы с карты на карту (P2P) теперь разрешены только через мобильные приложения. Проводить такие операции через веб-сайты запрещено.
В мобильном приложении имя владельца банковской карты должно отображаться полностью, а фамилия — только с указанием первой буквы. При денежных переводах данные владельцев карт, привязанных к номеру телефона, должны отображаться в частично скрытом виде.
Кроме того, запрещается включение, отключение или изменение услуги SMS-уведомлений по банковской карте через мобильные приложения или веб-ресурсы. Все эти действия можно будет сделать только через отделение банка, банкомат или терминал (если предусмотрено).
Новые правила для онлайн-кредитов
Вводится дополнительная защита при оформлении онлайн-кредитов. Банки обязаны проверять наличие самозапрета на кредиты, а также учитывать подачу заявок в несколько организаций.
Кредитные бюро будут отвечать только на один запрос по одному ПИНФЛ в моменте. Если одна организация выдала кредит, другие не смогут получить данные этого пользователя в течение следующих 24 часов. Это предотвратит оформление 5−6 кредитов в разных банках за один день.
Перед перечислением денег банк обязан отправить пользователю PUSH и SMS с указанием полной стоимости кредита и общей суммы задолженности. У пользователя будет возможность отменить заявку.
Даже если кредит одобрен, финальное перечисление денег на карту возможно только после повторной биометрической идентификации.
Если мошенничество всё же произошло
В приложениях появится специальная форма обратной связи (кнопка «Сообщить о мошенничестве») для оперативной отправки жалобы в банк.
Банки обязаны размещать номер службы поддержки (24/7) на оборотной стороне банковских карт в легкочитаемом виде.
Документ прописывает механизм действий при совершении мошенничества:
- Жертва обращается в правоохранительные органы.
- Как только следователь или суд признают человека потерпевшим, банк обязан немедленно остановить начисление процентов, штрафов и пеней по «мошенническому» кредиту, а также прекратить его взыскание.
- Если банк уже успел списать деньги в счёт погашения такого кредита, он обязан вернуть их на карту потерпевшего в течение 15 дней после вступления в силу решения суда.
На совещании у президента в ноябре сообщалось, что в Узбекистане интернетом пользуются более 31 миллиона граждан. За последние пять лет количество киберпреступлений увеличилось в 68 раз, только за 10 месяцев прошлого года выявлено свыше 46 тысяч фактов. Материальный ущерб, причинённый физическим и юридическим лицам, превысил 1,2 трлн сумов.
