В пресс-службе Министерства юстиции Республики Узбекистан сообщили об ужесточении требований, направленных на предупреждение онлайн-мошенничества при использовании мобильных приложений, через которые граждане осуществляют дистанционные платежи и переводы. Ведомство уточнило, что новые нормы закреплены в Положении о минимальных требованиях по обеспечению информационной и кибербезопасности и предупреждению случаев фрода при оказании дистанционных финансовых услуг физическим лицам кредитными и платежными организациями, операторами платежных систем.
Как отмечается, одним из ключевых требований становится ограничение по привязке платежных инструментов к пользовательскому аккаунту. Согласно Положению, к аккаунту, зарегистрированному в мобильном приложении, могут быть привязаны банковские счета, банковские карты и электронные кошельки, принадлежащие только самому пользователю либо его близким родственникам. Аналогичное правило устанавливается и для P2P-переводов: осуществление переводов через такой аккаунт допускается при соблюдении тех же условий. В Министерстве юстиции пояснили, что данная мера направлена на сокращение распространённых мошеннических схем, когда злоумышленники пытаются использовать аккаунты и привязанные к ним карты третьих лиц для вывода средств или маскировки движения денег.
Отдельно закрепляется требование обязательной проверки соответствия номера телефона и ПИНФЛ пользователя. В ведомстве уточнили, что при выявлении несоответствия регистрация в мобильном приложении и привязка банковской карты не допускаются. Такой механизм призван повысить достоверность идентификации клиента, исключить регистрацию на подставные или ошибочно указанные данные и снизить риск подмены личности при подключении финансовых сервисов. В практическом плане это означает усиление связки между идентификационными данными пользователя и используемым им номером телефона как основного канала подтверждения операций.
Отдельный блок требований касается биометрической идентификации. Сообщается, что кредитные и платежные организации при проведении биометрической идентификации обязаны определять факторы "живого присутствия" (liveness). В министерстве подчеркнули, что идентификация по фотографии в таких случаях не допускается, поскольку не обеспечивает достаточного уровня защиты от подделки. Применение liveness-проверок предполагает использование технологий, позволяющих отличать реального пользователя от статического изображения или воспроизведения, что рассматривается как важный элемент снижения рисков при дистанционном доступе к финансовым услугам.
Положение также вводит дополнительные ограничения при подтверждении действий через одноразовые СМС-коды. В частности, при трех неверных попытках ввода кода, направленного на телефон одноразовым СМС-сообщением, действия пользователя в мобильном приложении временно ограничиваются на 15 минут. В ведомстве пояснили, что такие ограничения направлены на предотвращение перебора кодов и снижение вероятности несанкционированного доступа к аккаунту в случаях, когда злоумышленники пытаются подобрать подтверждающие данные.
Кроме того, закреплено правило, связанное с безопасностью при смене устройства или восстановлении доступа к аккаунту. Сообщается, что при входе в аккаунт мобильного приложения с другого устройства либо при восстановлении пароля все банковские карты, привязанные к данному аккаунту, автоматически удаляются из приложения. Одновременно с устройства удаляется история финансовых операций по банковским картам. После этого повторная привязка банковских карт возможна только при прохождении биометрической идентификации. В Министерстве юстиции отметили, что такой порядок призван минимизировать ущерб в ситуациях компрометации аккаунта, обеспечить дополнительную проверку личности при восстановлении доступа и ограничить возможность использования ранее привязанных платежных инструментов без подтверждения законного владельца.
В ведомстве подчеркнули, что внедрение перечисленных требований рассматривается как часть системного подхода к повышению уровня кибербезопасности в сфере дистанционных финансовых услуг. Ожидается, что новые нормы усилят защиту пользователей, усложнят реализацию мошеннических схем и повысят доверие к цифровым платежным сервисам, при одновременном соблюдении установленного порядка идентификации и проведения операций.
