НБ КР принял меры по защите клиентов платежных организаций и операторов платежных систем от мошенников

Об этом сообщил регулятор. 

Правлением НБ КР 31 октября 2025 года принято постановление «Об утверждении Положения «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству (антифрод) в платежных организациях/операторах платежных систем Кыргызской Республики».

Документ призван привести НПА Нацбанка КР в соответствие с законом Кыргызской Республики «О платежной системе Кыргызской Республики». Он направлен на укрепление мер по противодействию внутреннему и внешнему мошенничествам в платежных организациях и операторах платежных систем КР. 

«Платежная организация/оператор платежной системы обязаны внедрить систему противодействия мошенничеству в информационных системах удаленного или дистанционного обслуживания для предотвращения внутреннего и внешнего мошенничеств. Эти системы должны осуществлять мониторинг и оценку риска мошенничества для каждой операции, проводимой через системы удаленного/дистанционного обслуживания», - говорится в постановлении.

Система противодействия внутреннему и внешнему мошенничествам должна обеспечивать как минимум: 

• базовую проверку операций; 
• сравнение с типичными поведенческими шаблонами клиента (при наличии соответствующих данных); 
• блокировку или приостановку подозрительных операций по заранее определенным критериям.

Система противодействия мошенничеству в информационных системах удаленного/дистанционного обслуживания должна производить оценку риска мошенничества в отношении каждой операции на основании правил, поведенческих моделей, шаблонов и результатов анализа. В результате оценки риска мошенничества система должна присваивать как минимум один из трех уровней: 

• низкий риск: операция безопасна; 
• средний риск: операция подозрительна и может быть мошеннической; 
• высокий риск: операция является мошеннической.

Низкий уровень риска должен присваиваться операциям, которые соответствуют типичному поведению пользователя, имеют незначительные отклонения от него либо прошли успешную проверку после первоначального присвоения среднего уровня риска.

При присвоении операции среднего уровня риска на основании существенного отклонения от стандартного поведения клиента или наличия совокупности факторов платежная организация/оператор платежной системы обязаны обеспечить ее проверку. Проверка выполняется автоматически или вручную сотрудником ПО/ОПС. По результатам проверки платежная организация/оператор платежной системы обязаны выполнить одно или ряд действий: 

• переоценить уровень риска и присвоить операции новый уровень: низкий или высокий; 
• внести необходимые изменения в правила и шаблоны системы противодействия мошенничеству в удаленное/дистанционное обслуживание, дополнив их выявленными признаками мошеннических операций, выявленных при анализе операций с высоким уровнем риска. 
• обеспечить хранение полной информации о проведенной проверке, включая результаты, полученные данные, сведения о сотрудниках, принимавших решения, и направленные клиенту уведомления в системе противодействия мошенничеству в дистанционное обслуживание. Указанная информация подлежит хранению не менее 5 лет с момента проведения операции.

Оценке риска мошенничества должны подвергаться все операции, проводимые через системы удаленного/дистанционного обслуживания и связанные: 

• с операциями по банковским счетам; 
• операциями посредством мобильных приложений, в том числе мобильных приложений агентов; 
• операциями по электронным кошелькам; 
• операций с использованием QR-кодов/карт; 
• переводом денежных средств внутри страны; 
• международными переводами денежных средств; 
• переводом средств на кошельки виртуальных активов и счета иностранных операторов торгов виртуальных активов; 
• снятием наличных денежных средств; 
• зачислением денежных средств через системы удаленного/дистанционного обслуживания; 
• иными высокорискованными операциями, а также определенными ПО/ОПС в рамках своей политики по предотвращению мошенничества.

ПО/ОПС должны отслеживать любые резкие, необычные или подозрительные отклонения в частоте, суммах, географии, времени, методах доступа, и получателях операций клиента.

ПО/ОПС имеют право приостановить операции по мобильным приложениям, МПА, электронным кошелькам на срок до 30 дней в следующих случаях: 

• при выявлении признаков, соответствующих критериям мошенничества; 
• при отсутствии от клиента подтверждающей информации, однозначно свидетельствующей о самостоятельном совершении операции; 
• по уведомлению клиента о мошеннических действиях по его мобильным приложениям, МПА, электронному кошельку.

Платежная организация/оператор платежной системы должны регулярно проводить стресс-тестирование систем противодействия внутреннему и внешнему мошенничеству для оценки устойчивости к новым угрозам. Оно проводится один раз в год, а также при внесении в систему значительных изменений.

Более подробно с постановлением можно ознакомиться по ссылке. 

Постановление вступит в силу через 15 дней со дня опубликования, за исключением пунктов 6-9 и 23-24 Положения, которые вступят в силу с 1 марта 2026 года.

Напомним, на общественное обсуждение проект постановления правления НБ КР «Об утверждении Положения «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничествам (антифрод) в платежных организациях/операторах платежных систем Кыргызской Республики» был вынесен в сентябре 2025 года. Ранее в законодательстве КР не было требований к системам защиты от мошенничества в платежной системе, а пробелы в регулировании затрудняли борьбу с рисками в платежной системе.