В Узбекистане введены дополнительные меры по предотвращению онлайн-мошенничества при использовании мобильных платёжных приложений и дистанционных финансовых сервисов, сообщило Министерство юстиции.
Новые требования закреплены в Положении о минимальных требованиях по обеспечению информационной и кибербезопасности, зарегистрированном Министерством юстиции совместно с Центральным банком. Оно вступит в силу спустя три месяца.
Согласно документу, к аккаунту пользователя в мобильном приложении (Click, Paynet, Uzum и другие) могут быть привязаны только банковские карты, счета и электронные кошельки, принадлежащие самому пользователю или его близким родственникам (родители, родные и сводные братья и сёстры, супруг (а), дети (в том числе усыновлённые), дедушка, бабушка, внуки, а также родители и родные/сводные братья и сёстры супруга (и)). На тех же условиях допускается осуществление P2P-переводов.
Одним из ключевых требований станет обязательная проверка соответствия номера телефона и ПИНФЛ пользователя. При выявлении несоответствия регистрация в мобильном приложении и привязка банковской карты не допускаются.
Кроме того, кредитные и платёжные организации обязаны использовать системы биометрической идентификации с функцией определения «живого присутствия» (liveness detection), работающей в реальном времени. То есть идентификация по фотографии не допускается.
При передаче функций биометрической идентификации третьим лицам договоры должны предусматривать ответственность таких организаций за ущерб, причинённый пользователям из-за уязвимостей или сбоев их систем.
Документ также вводит ряд технических ограничений. В частности, при трёх неверных попытках ввода одноразового СМС-кода доступ к операциям в приложении временно блокируется на 15 минут.
Если пользователь входит в аккаунт с нового устройства либо восстанавливает пароль, все ранее привязанные банковские карты автоматически удаляются из приложения, а с устройства стирается история операций по этим картам. Повторная привязка карт возможна только после прохождения биометрической идентификации.
OTP-коды, направляемые для подтверждения операций, связанных с онлайн-кредитами (микрозаймами), депозитами и P2P-переводами, должны действовать исключительно на том устройстве пользователя, на котором он прошёл регистрацию (аутентификацию) и на которое поступил код. Поручено исключить возможность использования таких кодов на других устройствах.
Кредитные и платёжные организации обязаны ограничивать использование мобильного приложения в период совершения аудио- и видеозвонков (в том числе через мессенджеры), а также при удалённом управлении устройством.
В мобильном приложении и его веб-версии должен быть реализован отдельный раздел «Активные сессии» (Active Sessions), который должен содержать:
- полную информацию об активных сессиях с указанием устройств, браузеров и IP-адресов;
- по каждой сессии — данные об устройстве и операционной системе, браузере и его версии, IP-адресе, времени начала сессии и отметку текущей активной сессии (если она открыта в используемом браузере);
- кнопку «Завершить сессию» (Log out/Terminate) рядом с каждой сессией, позволяющую пользователю в любой момент завершить её.
Перед подтверждением любой финансовой операции через мобильное приложение (переводы по банковским счетам, P2P-переводы, оплата услуг и иные операции), кредитные и платёжные организации обязаны отображать пользователю предупреждающее сообщение с предложением самостоятельно подтвердить, что операция совершается им лично, без вмешательства мошенников.
Продолжение выполнения операции допускается только после подтверждения пользователем такого уведомления.
Напомним, в рамках этого положения кредитные организации больше не смогут взыскивать онлайн-кредиты с граждан, на имя которых они были оформлены мошенниками. Начисление процентов будет прекращаться после признания человека потерпевшим в рамках уголовного дела.
На совещании у президента в ноябре сообщалось, что в Узбекистане интернетом пользуются более 31 миллиона граждан. За последние пять лет количество киберпреступлений увеличилось в 68 раз, только за 10 месяцев прошлого года выявлено свыше 46 тысяч фактов. Материальный ущерб, причинённый физическим и юридическим лицам, превысил 1,2 трлн сумов.