Лист Національного банку України від 24.12.2013 р. №25-111/29563
Про посилення захисту інформації при здійсненні переказу коштів
Суттєво. НБУ рекомендує банкам передбачати в договорах право банку на списання коштів з рахунку клієнта у разі надходження від банку ініціатора платежу повідомлення про несанкціонований переказ коштів з рахунка платника.
! Банкам та їхнім клієнтам
Запровадження нових інформаційних та телекомунікаційних технологій у банківській системі України дозволяє здійснити комплексну автоматизацію діяльності банківських установ, скоротити час виконання розрахункових документів, розширяти асортимент банківських послуг та підвищувати їх якість, пропонувати клієнтам різноманітні механізми дистанційного банківського обслуговування.
Проте, поруч із перевагами, що надають нові технології, виникають і нові ризики та загрози. Тому, з огляду на стрімкий розвиток високотехнологічних банківських продуктів нового покоління, банкам необхідно звертати особливу увагу на забезпечення інформаційно-технологічної безпеки при наданні послуг клієнтам, зокрема, з переказу коштів за допомогою систем дистанційного обслуговування (далі — СДО).
Враховуючи те, що в більшості випадків несанкціоновані перекази коштів з рахунків пов'язані з неналежним виконанням клієнтами правил користування СДО, Національний банк України вже звертав увагу банків щодо необхідності проведення роз'яснювальної роботи з клієнтами стосовно дотримання ними вимог із захисту інформації при здійсненні переказу коштів з використанням СДО.
Разом з тим, з метою недопущення випадків несанкціонованого доступу до рахунків клієнтів, рекомендуємо банкам переглянути укладені з клієнтами договори банківського рахунка з надання послуг з переказу коштів за допомогою СДО (далі — договір) та доповнити їх умовами, зокрема, щодо:
здійснення обов'язкової автентифікації клієнта під час надання доступу до системи дистанційного обслуговування, у тому числі пропонується визначити випадки, коли обов'язковим є застосування автентифікації, відмінної від простої автентифікації за паролем;
максимального розміру однієї трансакції, яка може здійснюватися без додаткового підтвердження платежу клієнтом;
обов'язкового дотримання правил використання та належного зберігання носіїв ключової інформації (з включенням цих правил як додатка до договору);
права банку на виконання періодичних перевірок щодо дотримання клієнтом вимог захисту інформації на робочих місцях системи дистанційного обслуговування та зберігання носіїв ключової інформації тощо.
Також уважаємо, що у договорі може обумовлюватися право банку на списання коштів з рахунка клієнта у разі надходження від банку ініціатора платежу повідомлення про несанкціонований переказ коштів з рахунка платника.
На нашу думку, співпраця банків з клієнтами з питань захисту інформації щодо переказу коштів на усіх етапах її формування, обробки, передачі і зберігання, своєчасне інформування клієнтів про нові засоби захисту інформації, проведення відповідних організаційних заходів тощо дозволять мінімізувати ризики несанкціонованого доступу до рахунків клієнтів та забезпечать належний рівень безпеки при здійсненні переказу коштів за допомогою СДО.
Директор Генерального департаменту інформаційних технологій та платіжних систем Н. СИНЯВСЬКА