Данный документ определяет ключевые процессы и контрольные механизмы, направленные на предотвращение мошеннических действий в области платежей.
Новые правила вступят в силу через 15 дней после их официального опубликования, за исключением определённых пунктов, которые начнут действовать с 1 марта 2026 года.
Юридическому управлению НБКР поручено разместить текст документа на сайте регулятора в течение трёх рабочих дней и передать его в Министерство юстиции для включения в реестр нормативных правовых актов.
Управление методологии надзора также должно обеспечить распространение информации об этом постановлении среди операторов платёжных систем, платёжных организаций и Ассоциации операторов платёжных систем KG. Кроме того, «Секретариат Правления» уведомит внутренние подразделения и территориальные управления, включая представительство НБКР в Баткенской области.
Контроль за выполнением постановления возложен на члена Правления, ответственного за методологию надзора.
Положение ПОЛОЖЕНИЕ
о минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству в платежных организациях и операторах платежных систем Кыргызской Республики
Глава 1. Общие положения
Данное Положение применяется как основной инструмент противодействия мошенничеству в информационных системах платежных организаций и операторов платёжных систем, включая случаи, когда алгоритмы противодействия не соответствуют требованиям Положения. Оно распространяется на все платежные организации и операторов систем, работающих по лицензии НБКР. Платежные организации и операторы должны создать и эффективно функционировать системы противодействия мошенничеству, учитывающие масштаб и характер их деятельности. Системы противодействия должны защищать интересы пользователей услуг. Глава 2. Политика и организационные меры
Платежная организация и оператор обязаны разработать и утвердить Политику противодействия мошенничеству, которая может быть отдельным документом или частью общей политики управления рисками. Основные элементы Политики должны включать:
- обязательства руководства по защите клиентов от мошенничества;
- принципы раннего выявления и предотвращения мошеннических действий;
- порядок применения автоматизированных мер реагирования на случаи мошенничества;
- меры ответственности сотрудников за ненадлежащее исполнение обязанностей по противодействию мошенничеству.
Глава 3. Техническая реализация антифрод-контроля
Платежные организации и операторы должны внедрить системы для мониторинга и оценки риска мошенничества при использовании удалённых/дистанционных сервисов. Эти системы могут быть реализованы как отдельные модули или интегрированные в существующие автоматизированные системы. Системы должны обеспечивать:
- базовую проверку операций;
- сравнение с типичными поведенческими шаблонами;
- блокировку подозрительных операций по заранее установленным критериям.
Глава 4. Категоризация рисков и действия по инцидентам
Система должна оценивать риск мошенничества для каждой операции, присваивая один из трёх уровней риска: - низкий риск: операция безопасна;
- средний риск: операция вызывает подозрения;
- высокий риск: операция мошенническая.
Операции со средним риском должны быть проверены, и результаты проверки должны быть документированы. Платежные организации обязаны вести реестр запрещённых идентификаторов, используемых в мошеннических операциях.
Этот реестр должен включать номера телефонов, ID QR-кодов и другие атрибуты, связанные с мошенничеством.
Глава 5. Признаки мошеннических операций
При оценке риска мошенничества должны использоваться критерии, определяющие подозрительные операции. Критерии могут включать:
- аномальную частоту операций;
- групповую аномальную активность;
- необычные размеры операций;
- необычное географическое положение;
- время проведения операций, не характерное для клиента;
- многократные неудачные попытки входа и другие факторы.
Платежная организация имеет право приостановить операции на срок до 30 дней при выявлении подозрительных действий. Необходимо предусмотреть возможность подачи клиентами уведомлений о мошенничестве через доступные каналы.
Глава 7. Ведение списка идентификаторов
Все операции с запрещёнными идентификаторами должны отклоняться с уведомлением клиента. Глава 8. Оценка эффективности антифрод-системы
Платежные организации должны разрабатывать системы мониторинга эффективности мер противодействия мошенничеству. Глава 9. Обязанности по тестированию системы
Регулярное стресс-тестирование систем противодействия мошенничеству обязательно для оценки их эффективности и устойчивости к новым угрозам. Результаты тестирования должны документироваться и предоставляться в НБКР.
