Постановление Правления 

Национального банка 

Кыргызской Республики 

от 31октября 2025 года 

№ 2025-П-14/59-1-(ПС) 

Об утверждении Положения  

«О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству (антифрод) в платежных организациях/ 

операторах платежных систем Кыргызской Республики»  

В соответствии со статьями 5, 9 и 64 конституционного Закона Кыргызской Республики «О Национальном банке Кыргызской Республики» и статьей 26 Закона Кыргызской Республики «О платежной системе Кыргызской Республики» Правление Национального банка Кыргызской Республики постановляет: 

1. Утвердить Положение «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству (антифрод) в платежных организациях/операторах платежных систем Кыргызской Республики» (прилагается): 

2. Юридическому управлению: 

- со дня получения соответствующих документов в течение 3 (трех) рабочих дней опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики; 

- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

3. Настоящее постановление вступает в силу по истечении 15 (пятнадцати) дней со дня официального опубликования, за исключением пунктов 6-9 и 23-24 Положения  

«О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству (антифрод) в платежных организациях/операторах платежных систем Кыргызской Республики» (приложение к настоящему постановлению), которые вступают в силу с 1 марта 2026 года. 

4. Управлению методологии надзора со дня получения соответствующих документов в течение 3 (трех) рабочих дней довести настоящее постановление до сведения операторов платежных систем и платежных организаций Кыргызской Республики, Объединения юридических лиц «Ассоциация операторов платежных систем KG (КЕЙ-ДЖИ)». 

5. Отделу «Секретариат Правления» в течение 3 (трех) рабочих дней довести настоящее постановление до сведения соответствующих структурных подразделений, областных управлений и Представительства Национального банка Кыргызской Республики в Баткенской области. 

6. Контроль за исполнением настоящего постановления возложить на члена Правления Национального банка Кыргызской Республики, курирующего управление методологии надзора. 

Председатель М. Тургунбаев 

Приложение 

к постановлению Правления 

Национального банка 

Кыргызской Республики 

от 31 октября 2025 года 

№ 2025-П-14/59-1-(ПС) 

ПОЛОЖЕНИЕ 

«О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству (антифрод) в платежных организациях/операторах платежных систем Кыргызской Республики» 

Глава 1. Общие положения 

1. Настоящее Положение «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничествам (антифрод) в платежных организациях/операторах платежных систем Кыргызской Республики» (далее – Положение) применяется в качестве основного механизма противодействия внутреннему и внешнему мошенничеству в информационных системах платежных организаций и операторов платежных систем, в том числе в случае несоответствия имеющихся в информационных системах платежных организаций и операторов платежных систем алгоритмов противодействия внутреннему и внешнему мошенничествам требованиям настоящей главы настоящего Положения. 

2. Требования настоящего Положения распространяются на платежные организации и операторов платежных систем, осуществляющих деятельность на основании лицензии Национального банка Кыргызской Республики. 

3. Платежная организация/оператор платежной системы обязаны обеспечить наличие и эффективное функционирование системы противодействия внутреннему и внешнему мошенничествам (антифрод-системы), соответствующей масштабам, характеру и видам их деятельности, в соответствии с требованиями настоящей главы настоящего Положения. 

4. Система противодействия внутреннему и внешнему мошенничествам (антифрод-система) должна быть направлена на защиту интересов пользователей услуг платежной организации и оператора платежной системы. 

Глава 2. Политика и организационные меры 

5. Платежная организация и оператор платежной системы обязаны разработать, утвердить исполнительным органом управления и/или советом директоров (при наличии) и внедрить Политику противодействия мошенничеству в системах удаленного/дистанционного обслуживания (далее – Политика). Политика может быть оформлена в виде отдельного документа или являться составной частью политики управления рисками платежной организации/оператора платежной системы. 

Основные требования Политики как минимум должны отражать: 

- стремление руководства, подтверждающее приверженность защите клиентов/пользователей услуг от внутреннего и внешнего мошенничества в системах удаленного/дистанционного обслуживания; 

- принципы раннего выявления, предупреждения и предотвращения мошенничества в системах удаленного/дистанционного обслуживания; 

- порядок применения адекватных и своевременных автоматизированных или полуавтоматизированных мер реагирования на выявленные случаи или попытки мошенничества, соразмерных оцененному уровню риска; 

- меры ответственностей в соответствии с законодательством Кыргызской Республики, применяемых к сотрудникам платежной организации/оператора платежной системы за бездействие или ненадлежащие действия в сфере противодействия мошенничеству, включая мониторинг угроз, разработку и внедрение мер противодействия, а также реагирование на инциденты. 

Политика подлежит пересмотру и актуализации не реже одного раза в год. 

Внутренние процедуры и документы платежной организации/оператора платежной системы, регламентирующие противодействие мошенничеству в системах удаленного/дистанционного обслуживания, подлежат пересмотру по мере необходимости, но не реже 1 (одного) раза в два года, с учетом эффективности применяемых мер, лучшего международного опыта и актуальных угроз. 

Платежная организация/оператор платежной системы обязана/н интегрировать вышеуказанные процедуры и документы в систему управления рисками и обеспечить ознакомление с ними всех необходимых сотрудников платежной организации/оператора платежной системы. 

Глава 3. Техническая реализация антифрод-контроля 

6. Платежная организация/оператор платежной системы обязана/н внедрить систему противодействия мошенничеству в информационных системах удаленного/дистанционного обслуживания для предотвращения как внутреннего, так и внешнего мошенничеств. Эти системы должны осуществлять мониторинг и оценку риска мошенничества для каждой операции, проводимой через системы удаленного/дистанционного обслуживания. Реализация данных систем допускается двумя способами: 

- в виде отдельного, независимого программного и/или программно-аппаратного комплекса, взаимодействующего с используемыми автоматизированными системами удаленного/дистанционного обслуживания; 

- путем интеграции специализированного модуля противодействия мошенничеству непосредственно в каждую из используемых автоматизированных систем удаленного/дистанционного обслуживания. 

7. Система противодействия внутреннему и внешнему мошенничествам в информационных системах удаленного/дистанционного обслуживания должна производить оценку риска мошенничества в отношении каждой совершаемой операции на основании правил, шаблонов и результатах анализа. 

Система противодействия внутреннему и внешнему мошенничествам должна обеспечивать как минимум: 

- базовую проверку операций; 

- сравнение с типичными поведенческими шаблонами клиента (при наличии соответствующих данных); 

- блокировку или приостановку подозрительных операций по заранее определенным критериям. 

8. При использовании программного обеспечения для противодействия внутреннему и внешнему мошенничествам в информационных системах платежная организация/оператор платежной системы должна/н направить соответствующее уведомление с полным описанием реализованной архитектуры, принципов функционирования, применяемых методов оценки риска согласно требованиям настоящего Положения, в адрес Национального банка. 

9. При невозможности реализации полной автоматизации допускается ручной анализ ответственными сотрудниками. 

Глава 4. Категоризация рисков и действия по инцидентам 

10. Система противодействия мошенничеству в информационных системах удаленного/дистанционного обслуживания должна производить оценку риска мошенничества в отношении каждой совершаемой операции на основании правил, поведенческих моделей, шаблонов и результатов анализа. В результате оценки риска мошенничества система должна присваивать как минимум один из трёх уровней:  

- низкий риск: операция безопасна; 

- средний риск: операция подозрительна и может быть мошеннической; 

- высокий риск: операция является мошеннической. 

11. Низкий уровень риска должен присваиваться операциям, которые соответствуют типичному поведению пользователя, имеют незначительные отклонения от него либо прошли успешную проверку после первоначального присвоения среднего уровня риска. 

12. При присвоении операции среднего уровня риска на основании существенного отклонения от стандартного поведения клиента или наличия совокупности факторов платежная организация/оператор платежной системы обязана/н обеспечить ее обязательную проверку. Проверка может быть выполнена автоматически или вручную уполномоченным сотрудником платежной организации/оператора платежной системы. По результатам проверки платежная организация/оператор платежной системы обязана/н выполнить одно или несколько из следующих действий: 

- переоценить уровень риска и присвоить операции новый уровень: низкий или высокий; 

- внести необходимые изменения в правила и шаблоны системы противодействия мошенничеству в удаленное/дистанционное обслуживание, дополнив их выявленными признаками мошеннических операций, выявленных при анализе операций с высоким уровнем риска. 

- обеспечить хранение полной информации о проведенной проверке, включая результаты, полученные данные, сведения о сотрудниках, принимавших решения, и направленные клиенту уведомления в системе противодействия мошенничеству в дистанционное обслуживание. Указанная информация подлежит хранению не менее 5 (пяти) лет с момента проведения операции. 

13. Платежная организация/оператор платежной системы обязана/н в рамках противодействия внутреннему и внешнему мошенничествам в информационных системах удаленного/дистанционного обслуживания формировать и поддерживать реестр запрещенных к обслуживанию идентификаторов и атрибутов, используемых при совершении мошеннических операций, в случае присвоения операции высокого уровня риска мошенничества.  

Данный реестр должен включать как минимум номер телефона, ID QR-кода (уникальный QR для идентификации), сервисное имя (идентификатор) получателя или отправителя платежной/банковской системы, а также иные идентификаторы и атрибуты, связанные с мошеннической деятельностью. 

Данный реестр должен использоваться при последующей оценке риска с возможностью блокировки или дополнительной проверки. 

14. Оценке риска мошенничества должны подвергаться все операции, проводимые через системы удаленного/дистанционного обслуживания и связанные с: 

- операциями по банковским счетам; 

- операциями посредством мобильных приложений, в том числе мобильных приложений агентов (далее – МПА); 

- операциями по электронным кошелькам; 

- операций с использованием QR-кодов/карт; 

- переводом денежных средств внутри страны; 

- международными переводами денежных средств; 

- переводом средств на кошельки виртуальных активов и счета иностранных операторов торгов виртуальных активов; 

- снятием наличных денежных средств; 

- зачислением денежных средств через системы удаленного/дистанционного обслуживания; 

- иными высокорискованными операциями, а также определенными платежной организацией/оператором платежной системы в рамках своей политики по предотвращению мошенничества. 

Платежная организация/оператор платежной системы должна/н определить уполномоченных лиц/специализированные подразделения, ответственных за мониторинг операций в режиме реального времени, а также регулярно пересматривать перечень операций, подлежащих оценке риска, с учетом новых схем мошенничества и изменений в цифровой безопасности. 

Глава 5. Базовые признаки мошеннических операций 

15. Для целей оценки риска мошенничества при проведении операций платежная организация/оператор платежной системы обязана/н использовать критерии мошенничества, являющиеся основанием для признания операции подозрительной или мошеннической. 

Критерии мошенничества представляют собой один или совокупность признаков и моделей поведения, свидетельствующих об отклонении от стандартной активности клиента и потенциальной попытке совершения мошеннической операции. 

Применяемые критерии мошенничества должны включать в том числе, но не ограничиваться следующими признаками: 

- аномальная частота операций: внезапное увеличение количества операций как инициированных клиентом, так и полученных им; 

- групповая аномальная активность: внезапный рост активности группы клиентов, осуществляющих операции, подобные по сумме, получателю или типу; 

- аномальный размер (сумма) операции: операции на суммы, не соответствующие типичному поведению клиента, а также совершение платежей в непривычных для клиента категориях товаров/услуг; 

- аномальное географическое положение: необычное географическое положение (IP-адрес), регистрация с нового мобильного устройства, использование VPN или прокси-серверов; 

- аномальное время проведения операций: необычное время суток или день недели для совершения операций клиентом; 

- многократные неудачные попытки входа: повторные неудачные попытки авторизации в системе; 

- частая смена контактной информации: частая смена контактных данных, особенно перед крупными операциями; 

- совпадение с известными схемами мошенничества: соответствие операции признакам известных схем мошенничества; 

- частые возвраты или отмены операции: необычно большое количество возвратов или отмененных операций; 

- использование подозрительных получателей: переводы средств на счета/мобильные приложения, включая МПА/электронные кошельки получателей, идентифицированных как подозрительные; 

- распределение средств на множество получателей: дробление операций и распределение средств на большое количество получателей; 

- аномальные источники пополнения средств: пополнение счета из источников, не характерных для данного клиента; 

- аномальные изменения в режиме доступа: изменения в режиме доступа, включение новых способов авторизации или изменение способа входа, несвойственные для данного клиента; 

- участие мобильных приложений, включая МПА/электронного кошелька клиента в дроблении или укрупнении денежных средств и с быстрым переводом на другие счета/мобильные приложения, МПА/электронные кошельки/карты клиента в другом банке/платежной организации;  

- пополнение банковских счетов/мобильных приложений, МПА/электронного кошелька/карт разными лицами с помощью разных инструментов с дальнейшим выводом со счета/мобильных приложений, МПА/электронного кошелька; 

- иные критерии, определенные платежной организацией/оператором платежной системы в рамках своей политики по предотвращению мошенничества. 

Глава 6. Обязанность по приостановке операций и взаимодействию с клиентами 

16. Платежная организация/оператор платежной системы вправе приостановить операции по мобильным приложениям, МПА, электронным кошелькам на срок до 30 дней в следующих случаях: 

- при выявлении признаков, соответствующих критериям мошенничества, установленным в пункте 15 настоящего Положения; 

- при отсутствии от клиента подтверждающей информации, однозначно свидетельствующей о самостоятельном совершении операции; 

- по уведомлению клиента о мошеннических действиях по его мобильным приложениям, МПА, электронному кошельку.  

17. Платежная организация/оператор платежной системы должна/н в системах дистанционного обслуживания предусмотреть возможность подачи физическими лицами уведомления о мошеннических действиях и формирование выписки по операции/операциям для последующего обращения в правоохранительные органы. 

Такая возможность должна быть реализована в виде отдельной функции, обеспечивающей: 

- круглосуточную доступность; 

- наличие обособленного канала коммуникации, предназначенного исключительно для передачи уведомлений о мошеннических операциях; 

- простую, интуитивно понятную форму подачи уведомления (SMS-оповещение, электронная почта), с возможностью указания ключевых параметров операции: дата, сумма, реквизиты получателя, описание обстоятельств и наличия доказательств; 

- автоматическую фиксацию факта подачи уведомления в информационных системах платежной организации/оператора платежной системы с отметкой времени и идентификатора клиента; 

- инициацию процедуры приостановки и анализа операции. 

Уведомление, поданное через указанную функцию, подлежит незамедлительному рассмотрению и принятию соответствующих мер, по оценке операции, с последующим информированием клиента о принятых мерах, в том числе рекомендацией по обращению в правоохранительные органы. 

18. Платежная организация/оператор платежной системы обязана/н незамедлительно информировать клиента/задействованного участника платежной системы о приостановлении операции с использованием доступных каналов коммуникации (мобильное приложение, МПА, телефон, SMS-оповещение, электронная почта, иные). 

Глава 7. Ведение списка идентификаторов и мониторинг повторов 

19. Все операции в отношении запрещенных к обслуживанию идентификаторов должны отклоняться с соответствующим уведомлением клиента/задействованного участника платежной системы. 

Платежная организация/оператор платежной системы должна/н иметь внутренние процедуры и документы, регламентирующие порядок внесения идентификаторов в реестр запрещенных к обслуживанию, а также порядок исключения записей из него в случае обнаружения ошибок или подтверждения самостоятельного проведения операции клиентом. 

В случае выявления фактов осуществления операций в отношении идентификаторов, обслуживание которых запрещено, а также в случае выявления фактов нарушения установленных требований в соответствии с нормативными правовыми актами Национального банка, платежная организация/оператор платежной системы обязана/н возместить клиенту ущерб, причиненный в результате такой операции. 

20. Реестр запрещённых к обслуживанию идентификаторов может дополняться вручную уполномоченными сотрудниками платежной организации/оператора платежной системы на основании достоверной информации о мошенническом характере того или иного клиентского идентификатора, полученной по линии государственных органов и Национального банка. 

21. Реестр запрещенных к обслуживанию идентификаторов должен вестись защищенно, не допуская несанкционированного вмешательства сотрудников платежной организации/оператора платежной системы и третьих лиц, обеспечивая целостность записей. 

Доступ к реестру разрешается только уполномоченным сотрудникам платежной организации/оператора платежной системы с использованием многофакторной аутентификации.  

22. Любые изменения в системе должны фиксироваться в журнале регистрации событий с указанием ответственного лица, времени внесения изменений и оснований для корректировки. Сведения из журнала регистрации событий должны храниться не менее 5 (пяти) лет. 

Глава 8. Оценка эффективности антифрод-системы 

23. Платежная организация/оператор платежной системы должна/н разрабатывать и внедрять системы мониторинга эффективности мер противодействия мошенничеству, включая следующие метрики: 

- доля заблокированных подозрительных операций, которые впоследствии были подтверждены как мошеннические; 

- доля ложноположительных срабатываний (ошибочно заблокированных транзакций) (False positive rate); 

- доля пропущенных мошеннических операций среди всех подтвержденных случаев (Recall); 

- среднее время выявления инцидента (Mean time to detect); 

- среднее время реагирования на инцидент (Mean time to respond); 

- количество выявленных и задокументированных способов мошенничества; 

- показатель клиентского опыта и точности работы системы (антифрод), включая скорость реагирования и процент разрешения конфликтных ситуаций в пользу клиента при ошибочной блокировке;  

- показатель качества ведения реестра запрещенных идентификаторов (актуальность, полнота, своевременность обновления). 

Результаты оценки эффективности подлежат документированию и предоставлению в Национальный банк согласно форме, установленной в приложении 1 к настоящему Положению, не реже 1 (одного) раза квартал до 25 числа месяца, следующего за отчетным кварталом. 

Глава 9. Обязанности по тестированию и актуализации системы 

24. Платежная организация/оператор платежной системы должна/н регулярно проводить стресс-тестирование систем противодействия внутреннему и внешнему мошенничеству для оценки эффективности, точности и устойчивость к новым угрозам. 

Тестирование проводится не реже одного раза в год, а также при внесении значительных изменений в систему. 

Обязательными являются следующие виды тестирования: 

- стресс-тестирование, заключающееся в моделировании массовых мошеннических атак для проверки устойчивости системы; 

- тестирование безопасности на проникновение; 

- тестирование новых алгоритмов на основе актуальных способов мошенничества. 

По результатам тестирования платежная организация/оператор платежной системы должна/н в течение 30 рабочих дней разработать и внедрить соответствующие корректирующие меры для устранения выявленных уязвимостей высокого уровня критичности, для иных случаев – 60 рабочих дней. Сроки могут быть продлены на основании технического заключения платежной организации/оператора платежной системы. 

Платежная организация/оператор платежной системы должна/н документировать результаты стресс-тестирования и ежегодно предоставлять их результаты в Национальный банк по результатам тестирования. 

Документация по тестированию подлежит хранению не менее 5 (пяти) лет.