СПРАВКА-ОБОСНОВАНИЕ
к проекту постановления Правления Национального банка Кыргызской Республики
«О внесении изменений в постановление Правления Национального банка Кыргызской Республики
«Об утверждении Положения «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики» от 15 декабря 2005 года № 37/5
1. Цель и задачи
Проект постановления Правления Национального банка Кыргызской Республики (далее – Национальный банк) «О внесении изменений в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики» от 15 декабря 2005 года № 37/5 (далее – проект постановления) разработан в целях совершенствования системы организации управления операционным риском и снижения уровня мошеннических операций в банковской системе Кыргызской Республики.
2. Описательная часть
Проект изменений направлен на укрепление мер по противодействию внутреннему и внешнему мошенничеству в коммерческих банках Кыргызской Республики, укрепление безопасности банковских операций и защиты интересов клиентов путем совершенствования системы управления операционным риском. Необходимость вносимых изменений обусловлена актуальностью усиления, установления минимальных требований к защите банковских систем от мошенничества в условиях роста числа и сложности дистанционных транзакций, а также увеличением доли цифровых операций.
Предлагаемые изменения предусматривают внедрение обязательных требований по разработке и реализации автоматизированных и полуавтоматизированных систем выявления мошенничества, обеспечивающих своевременное реагирование в зависимости от уровня риска. Дополнительно вводится требование по установлению меры ответственности согласно законодательству Кыргызской Республики за бездействие в отношении принятия необходимых мер противодействия, что позволит повысить персональную ответственность на всех уровнях управления операционным риском.
Мошеннические операции наносят ущерб не только коммерческим банкам, но и подрывают доверие населения к финансовым институтам. Ухудшение уровня доверия замедляет развитие цифровых технологий в банковском секторе и сдерживает инвестиции.
На сегодняшний день в законодательстве отсутствуют требования к системам защиты от мошенничества в банковском секторе. Пробелы в регулировании затрудняют борьбу с операционными рисками и требуют их устранения.
Изменения направлены на обеспечение более строгого контроля над операционными рисками, повышения устойчивости финансовых организаций к мошенническим действиям, защиты активов клиентов и укрепление доверия к банковской системе в целом.
3. Прогнозы возможных социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий.
Принятие проекта постановления негативных социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий не повлечет.
4. Информация о результатах общественного обсуждения
В соответствии со статьями 19 и 22 Закона «О нормативных правовых актах Кыргызской Республики», а также с требованиями Положения «О нормативных правовых актах Национального банка Кыргызской Республики» проекты нормативных правовых актов, непосредственно затрагивающие интересы граждан и юридических лиц, а также регулирующие предпринимательскую деятельность, подлежат общественному обсуждению.
Материалы по проекту постановления будут размещены для общественного обсуждения на официальном интернет-сайте Национального банка и Едином портале общественного обсуждения проектов нормативных правовых актов Кыргызской Республики.
5. Анализ соответствия проекта законодательству
Представленный проект постановления не противоречит законодательству Кыргызской Республики.
6. Информация о необходимости финансирования
Принятие проекта постановления не потребует дополнительного финансирования.
7. Информация об анализе регулятивного воздействия
К представленному проекту постановления проведен анализ регулятивного воздействия в соответствии с Методикой проведения анализа регулятивного воздействия нормативных правовых актов на деятельность субъектов предпринимательства, утвержденной постановлением Правления Национального банка от 21 декабря 2022 года № 2022-П-02/81-6-(НПА).
Проект
О внесении изменений
в постановление Правления Национального банка Кыргызской Республики
«Об утверждении Положения «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики»
от 15 декабря 2005 года № 37/5
В соответствии со статьями 5, 9 и 64 конституционного Закона Кыргызской Республики «О Национальном банке Кыргызской Республики» Правление Национального банка Кыргызской Республики постановляет:
1. Внести изменения в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики» от 15 декабря 2005 года № 37/5 (прилагаются).
2. Настоящее постановление вступает в силу по истечении 15 (пятнадцати) дней со дня официального опубликования.
3. Юридическому управлению:
- со дня получения соответствующих документов в течение 3 (трех) рабочих дней опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики;
- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных правовых актов Кыргызской Республики.
4. Управлению методологии надзора в течение 3 (трех) рабочих дней довести настоящее постановление до сведения коммерческих банков, ОЮЛ «Союз банков Кыргызстана».
5. Отделу «Секретариат Правления» в течение 3 (трех) рабочих дней довести настоящее постановление до сведения управления банковского надзора, управления надзора за платежными системами, юридического управления, областных управлений и Представительства Национального банка Кыргызской Республики в Баткенской области.
6. Контроль за исполнением настоящего постановления возложить на члена Правления Национального банка Кыргызской Республики, курирующего управление методологии надзора.
Приложение
к постановлению Правления
Национального банка
Кыргызской Республики
от «____» ________2024 года
№________________________
Изменения
в постановление Правления Национального банка Кыргызской Республики
«Об утверждении Положения «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики»
от 15 декабря 2005 года № 37/5
1. Внести в постановление Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики» от 15 декабря 2005 года № 37/5 следующее изменение:
Положение «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики», утвержденном вышеуказанным постановлением:
- дополнить главой шесть следующего содержания:
«Глава VI. Минимальные требования к системе противодействия внутреннему и внешнему мошенничеству (антифрод)
6.1. Банки обязаны соблюдать требования настоящей главы при предоставлении банковских услуг клиенту удаленным/дистанционным способом обслуживания.
6.2. Требования настоящей главы применяются в качестве основного механизма противодействия внутреннему и внешнему мошенничеству в банковских информационных системах в случае несоответствия имеющихся в банковских информационных системах алгоритмов противодействия внутреннему и внешнему мошенничеству требованиям настоящей главы.
6.3. Банки обязаны разработать, утвердить советом директоров и внедрить Политику противодействия мошенничеству в системах удаленного/дистанционного банковского обслуживания (далее – Политика). Политика может быть оформлена в виде отдельного документа или являться составной частью политики управления рисками банка.
Политика как минимум должна содержать:
- стремление руководства, подтверждающее приверженность защите клиентов от внутреннего и внешнего мошенничества в системах удаленного/дистанционного банковского обслуживания;
- принципы раннего выявления, предупреждения и предотвращения мошенничества в системах удаленного/дистанционного банковского обслуживания;
- порядок применения адекватных и своевременных автоматизированных или полуавтоматизированных мер реагирования на выявленные случаи или попытки мошенничества, соразмерных оцененному уровню риска;
- меры ответственностей в соответствии с законодательством Кыргызской Республики, применяемых к сотрудникам банка за бездействие или ненадлежащие действия в сфере противодействия мошенничеству, включая мониторинг угроз, разработку и внедрение мер противодействия, а также реагирование на инциденты.
Политика подлежит пересмотру и актуализации не реже одного раза в год.
Внутренние процедуры и документы банка, регламентирующие противодействие мошенничеству в системах удаленного/дистанционного банковского обслуживания, подлежат пересмотру по мере необходимости, но не реже одного раза в два года, с учетом эффективности применяемых мер, лучшего международного опыта и актуальных угроз.
Банки обязаны интегрировать вышеуказанные процедуры и документы в систему управления рисками и обеспечить ознакомление с ними всех необходимых сотрудников банка.
6.4. Банки обязаны внедрить системы противодействия мошенничеству в информационных системах удаленного/дистанционного банковского обслуживания для предотвращения как внутреннего, так и внешнего мошенничеств. Эти системы должны осуществлять мониторинг и оценку риска мошенничества для каждой транзакции, проводимой через системы удаленного/дистанционного банковского обслуживания. Реализация данных систем допускается двумя способами:
- в виде отдельного, независимого программного или программно-аппаратного комплекса, взаимодействующего со всеми используемыми банковскими автоматизированными системами удаленного/дистанционного банковского обслуживания.
- путем интеграции специализированного модуля противодействия мошенничеству непосредственно в каждую из используемых банковских автоматизированных систем удаленного/дистанционного банковского обслуживания.
6.5. Система противодействия внутреннему и внешнему мошенничеству в информационных системах удаленного/дистанционного обслуживания должна производить оценку риска мошенничества в отношении каждой совершаемой транзакции на основании правил, шаблонов и результатах анализа. В результате оценки риска мошенничества, система должна присваивать как минимум один из трёх признаков:
- низкий риск: транзакция безопасна;
- средний риск: транзакция подозрительна и может быть мошеннической;
- высокий риск: транзакция является мошеннической.
6.6. При присвоении транзакции среднего уровня риска на основании существенного отклонения от стандартного поведения клиента или наличия совокупности факторов банки обязаны обеспечить ее обязательную проверку. Проверка может быть выполнена автоматически или вручную уполномоченным сотрудником банка. По результатам проверки банки обязаны выполнить одно или несколько из следующих действий:
- незамедлительно информировать клиента о потенциально мошеннической транзакции с использованием доступных каналов коммуникации (мобильное приложение, телефон, иные);
- прекратить исполнение транзакции до получения от клиента подтверждающих данных, однозначно свидетельствующих об отсутствии мошеннических намерений и осознанном совершении операции;
- переоценить уровень риска и присвоить транзакции новый уровень: низкий или высокий;
- внести необходимые изменения в правила и шаблоны системы противодействия мошенничеству в удаленное/дистанционное банковское обслуживание, дополнив их выявленными признаками мошеннических операций, выявленных при анализе транзакций с высоким уровнем риска.
- обеспечить хранение полной информации о проведенной проверке, включая результаты, полученные данные, сведения о сотрудниках, принимавших решения, и предоставленные клиенту уведомления в системе противодействия мошенничеству в дистанционное банковское обслуживание.
6.7. Низкий уровень риска должен присваиваться транзакциям, которые соответствуют типичному поведению пользователя, имеют незначительные отклонения от него либо прошли успешную проверку после первоначального присвоения среднего уровня риска.
6.8. Системы противодействия внутреннему и внешнему мошенничествам в информационных системах удаленного/дистанционного банковского обслуживания обязаны формировать и поддерживать реестр запрещенных к обслуживанию идентификаторов и атрибутов, используемых при совершении мошеннических операций, в случае присвоения транзакции высокого уровня риска мошенничества. Данный реестр должен включать как минимум номер телефона, ID QR, сервисное имя (идентификатор) получателя или отправителя платежной/банковской системы, а также иные идентификаторы и атрибуты, связанные с мошеннической деятельностью.
6.9. Оценке риска мошенничества должны подвергаться все транзакции, связанные с:
- выдачей кредитов;
- использованием электронных QR-кодов.
- внутрибанковским и межбанковским переводом средств;
- использованием систем ГРОСС/КЛИРИНГ;
- международными переводами средств (SWIFT и другие международные системы денежных переводов);
- снятием наличных денежных средств;
- приемом платежей через POS-терминалы;
- переводом средств на криптокошельки и счета иностранных криптовалютных бирж;
- погашением задолженности из источников, не характерных для пользователя;
- использованием предоплаченных карт для приобретения товаров и услуг;
- зачислением денежных средств через депозитные устройства (кэш-ин устройства);
- транзакцией с использованием виртуальных карт;
- переводом на счета и платформы онлайн-казино, игровых сервисов и сайтов ставок;
- иными операциями, определенными банком в рамках своей политики по предотвращению мошенничества.
6.10. Оценка риска мошенничества должна производится на основе правил и шаблонов, выявляющих аномальные события, то есть необычные, несвойственные конкретному клиенту (физическому лицу, юридическому лицу, POS-терминалу) или группе клиентов действия, атрибуты или признаки, а также их аномальную совокупность, включая, но не ограничиваясь следующим:
- аномальная частота транзакций: внезапное увеличение количества транзакций, как инициированных клиентом, так и полученных им;
- групповая аномальная активность: внезапный рост активности группы клиентов, осуществляющих транзакции, подобные по сумме, получателю или типу;
- аномальный размер (сумма) транзакций: транзакции на суммы, не соответствующие типичному поведению клиента, а также совершение платежей в непривычных для клиента категориях товаров/услуг;
- аномальное географическое положение: необычное географическое положение
(IP-адрес), регистрация с нового мобильного устройства, использование VPN или прокси-серверов;
- аномальное время проведения операций: необычное время суток или день недели для совершения транзакций клиентом;
- многократные неудачные попытки входа: повторные неудачные попытки авторизации в системе;
- частая смена контактной информации: частая смена контактных данных, особенно перед крупными транзакциями;
- совпадение с известными схемами мошенничества: соответствие транзакции признакам известных схем мошенничества;
- частые возвраты или отмены транзакций: необычно большое количество возвратов или отмененных транзакций;
- использование подозрительных получателей: переводы средств на счета получателей, идентифицированных как подозрительные;
- распределение средств на множество получателей: дробление транзакций и распределение средств на большое количество получателей;
- аномальные источники пополнения средств: пополнение счета из источников, не характерных для данного клиента;
- частое привязывание и отвязывание платежных инструментов: частая смена привязанных платежных карт или учетных записей;
- аномальные изменения в режиме доступа: изменения в режиме доступа, включение новых способов авторизации или изменение способа входа, несвойственные для данного клиента;
- несоответствие анкетных данных (домохозяйка, безработный и т.д.) частоте и сумме транзакциям;
- участие счета клиента в дроблении или укрупнении денежных средств и с быстрым переводом на другие счета клиента в другой банк;
- пополнение карты разными лицами с помощью разных инструментов с дальнейшим выводом с карты.
6.11. Все транзакции в отношении запрещённых к обслуживанию идентификаторов должны отклоняться с соответствующим уведомлением клиента.
6.12. Реестр запрещённых к обслуживанию идентификаторов может дополняться вручную сотрудниками банка на основании достоверной информации о мошеннической природе того или иного клиентского идентификатора, полученной по линии государственных органов и Национального банка Кыргызской Республики, в результате публикаций в СМИ, в том числе в сети Интернет, или множественных обращений клиентов.
6.13. Реестр запрещённых к обслуживанию идентификаторов должен вестись защищённо, не допуская несанкционированного вмешательства сотрудников банка и третьих лиц, обеспечивая целостность записей.».
Сравнительная таблица к проекту постановление
Правления Национального банка Кыргызской Республики «О внесении изменений постановление
Правления Национального банка Кыргызской Республики «Об утверждении Положения «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики» от 15 декабря 2005 года № 37/5
№ |
Действующая редакция |
Предлагаемая редакция |
Положение «О минимальных требованиях по управлению операционным риском в коммерческих банках Кыргызской Республики» |
||
1. |
- |
VI. Минимальные требования к системе противодействия внутреннему и внешнему мошенничеству (антифрод) 6.1. Банки обязаны соблюдать требования настоящей главы при предоставлении банковских услуг клиенту удаленным/дистанционным способом обслуживания. 6.2. Требования настоящей главы применяются в качестве основного механизма противодействия внутреннему и внешнему мошенничеству в банковских информационных системах в случае несоответствия имеющихся в банковских информационных системах алгоритмов противодействия внутреннему и внешнему мошенничеству требованиям настоящей главы. 6.3. Банки обязаны разработать, утвердить советом директоров и внедрить Политику противодействия мошенничеству в системах удаленного/дистанционного банковского обслуживания (далее – Политика). Политика может быть оформлена в виде отдельного документа или являться составной частью политики управления рисками банка. Политика как минимум должна содержать: - стремление руководства, подтверждающее приверженность защите клиентов от внутреннего и внешнего мошенничества в системах удаленного/дистанционного банковского обслуживания; - принципы раннего выявления, предупреждения и предотвращения мошенничества в системах удаленного/дистанционного банковского обслуживания; - порядок применения адекватных и своевременных автоматизированных или полуавтоматизированных мер реагирования на выявленные случаи или попытки мошенничества, соразмерных оцененному уровню риска; - меры ответственностей в соответствии с законодательством Кыргызской Республики, применяемых к сотрудникам банка за бездействие или ненадлежащие действия в сфере противодействия мошенничеству, включая мониторинг угроз, разработку и внедрение мер противодействия, а также реагирование на инциденты. Политика подлежит пересмотру и актуализации не реже одного раза в год. Внутренние процедуры и документы банка, регламентирующие противодействие мошенничеству в системах удаленного/дистанционного банковского обслуживания, подлежат пересмотру по мере необходимости, но не реже одного раза в два года, с учетом эффективности применяемых мер, лучшего международного опыта и актуальных угроз. Банки обязаны интегрировать вышеуказанные процедуры и документы в систему управления рисками и обеспечить ознакомление с ними всех необходимых сотрудников банка. 6.4. Банки обязаны внедрить системы противодействия мошенничеству в информационных системах удаленного/дистанционного банковского обслуживания для предотвращения как внутреннего, так и внешнего мошенничеств. Эти системы должны осуществлять мониторинг и оценку риска мошенничества для каждой транзакции, проводимой через системы удаленного/дистанционного банковского обслуживания. Реализация данных систем допускается двумя способами: - в виде отдельного, независимого программного или программно-аппаратного комплекса, взаимодействующего со всеми используемыми банковскими автоматизированными системами удаленного/дистанционного банковского обслуживания. - путем интеграции специализированного модуля противодействия мошенничеству непосредственно в каждую из используемых банковских автоматизированных систем удаленного/дистанционного банковского обслуживания. 6.5. Система противодействия внутреннему и внешнему мошенничеству в информационных системах удаленного/дистанционного обслуживания должна производить оценку риска мошенничества в отношении каждой совершаемой транзакции на основании правил, шаблонов и результатах анализа. В результате оценки риска мошенничества, система должна присваивать как минимум один из трёх признаков: - низкий риск: транзакция безопасна; - средний риск: транзакция подозрительна и может быть мошеннической; - высокий риск: транзакция является мошеннической. 6.6. При присвоении транзакции среднего уровня риска на основании существенного отклонения от стандартного поведения клиента или наличия совокупности факторов банки обязаны обеспечить ее обязательную проверку. Проверка может быть выполнена автоматически или вручную уполномоченным сотрудником банка. По результатам проверки банки обязаны выполнить одно или несколько из следующих действий: - незамедлительно информировать клиента о потенциально мошеннической транзакции с использованием доступных каналов коммуникации (мобильное приложение, телефон, иные); - прекратить исполнение транзакции до получения от клиента подтверждающих данных, однозначно свидетельствующих об отсутствии мошеннических намерений и осознанном совершении операции; - переоценить уровень риска и присвоить транзакции новый уровень: низкий или высокий; - внести необходимые изменения в правила и шаблоны системы противодействия мошенничеству в удаленное/дистанционное банковское обслуживание, дополнив их выявленными признаками мошеннических операций, выявленных при анализе транзакций с высоким уровнем риска. - обеспечить хранение полной информации о проведенной проверке, включая результаты, полученные данные, сведения о сотрудниках, принимавших решения, и предоставленные клиенту уведомления в системе противодействия мошенничеству в дистанционное банковское обслуживание. 6.7. Низкий уровень риска должен присваиваться транзакциям, которые соответствуют типичному поведению пользователя, имеют незначительные отклонения от него либо прошли успешную проверку после первоначального присвоения среднего уровня риска. 6.8. Системы противодействия внутреннему и внешнему мошенничествам в информационных системах удаленного/дистанционного банковского обслуживания обязаны формировать и поддерживать реестр запрещенных к обслуживанию идентификаторов и атрибутов, используемых при совершении мошеннических операций, в случае присвоения транзакции высокого уровня риска мошенничества. Данный реестр должен включать как минимум номер телефона, ID QR, сервисное имя (идентификатор) получателя или отправителя платежной/банковской системы, а также иные идентификаторы и атрибуты, связанные с мошеннической деятельностью. 6.9. Оценке риска мошенничества должны подвергаться все транзакции, связанные с: - выдачей кредитов; - использованием электронных QR-кодов. - внутрибанковским и межбанковским переводом средств; - использованием систем ГРОСС/КЛИРИНГ; - международными переводами средств (SWIFT и другие международные системы денежных переводов); - снятием наличных денежных средств; - приемом платежей через POS-терминалы; - переводом средств на криптокошельки и счета иностранных криптовалютных бирж; - погашением задолженности из источников, не характерных для пользователя; - использованием предоплаченных карт для приобретения товаров и услуг; - зачислением денежных средств через депозитные устройства (кэш-ин устройства); - транзакцией с использованием виртуальных карт; - переводом на счета и платформы онлайн-казино, игровых сервисов и сайтов ставок; - иными операциями, определенными банком в рамках своей политики по предотвращению мошенничества. 6.10. Оценка риска мошенничества должна производится на основе правил и шаблонов, выявляющих аномальные события, то есть необычные, несвойственные конкретному клиенту (физическому лицу, юридическому лицу, POS-терминалу) или группе клиентов действия, атрибуты или признаки, а также их аномальную совокупность, включая, но не ограничиваясь следующим: - аномальная частота транзакций: внезапное увеличение количества транзакций, как инициированных клиентом, так и полученных им; - групповая аномальная активность: внезапный рост активности группы клиентов, осуществляющих транзакции, подобные по сумме, получателю или типу; - аномальный размер (сумма) транзакций: транзакции на суммы, не соответствующие типичному поведению клиента, а также совершение платежей в непривычных для клиента категориях товаров/услуг; - аномальное географическое положение: необычное географическое положение (IP-адрес), регистрация с нового мобильного устройства, использование VPN или прокси-серверов; - аномальное время проведения операций: необычное время суток или день недели для совершения транзакций клиентом; - многократные неудачные попытки входа: повторные неудачные попытки авторизации в системе; - частая смена контактной информации: частая смена контактных данных, особенно перед крупными транзакциями; - совпадение с известными схемами мошенничества: соответствие транзакции признакам известных схем мошенничества; - частые возвраты или отмены транзакций: необычно большое количество возвратов или отмененных транзакций; - использование подозрительных получателей: переводы средств на счета получателей, идентифицированных как подозрительные; - распределение средств на множество получателей: дробление транзакций и распределение средств на большое количество получателей; - аномальные источники пополнения средств: пополнение счета из источников, не характерных для данного клиента; - частое привязывание и отвязывание платежных инструментов: частая смена привязанных платежных карт или учетных записей; - аномальные изменения в режиме доступа: изменения в режиме доступа, включение новых способов авторизации или изменение способа входа, несвойственные для данного клиента; - несоответствие анкетных данных (домохозяйка, безработный и т.д.) частоте и сумме транзакциям; - участие счета клиента в дроблении или укрупнении денежных средств и с быстрым переводом на другие счета клиента в другой банк; - пополнение карты разными лицами с помощью разных инструментов с дальнейшим выводом с карты. 6.11. Все транзакции в отношении запрещённых к обслуживанию идентификаторов должны отклоняться с соответствующим уведомлением клиента. 6.12. Реестр запрещённых к обслуживанию идентификаторов может дополняться вручную сотрудниками банка на основании достоверной информации о мошеннической природе того или иного клиентского идентификатора, полученной по линии государственных органов и Национального банка Кыргызской Республики, в результате публикаций в СМИ, в том числе в сети Интернет, или множественных обращений клиентов. 6.13. Реестр запрещённых к обслуживанию идентификаторов должен вестись защищённо, не допуская несанкционированного вмешательства сотрудников банка и третьих лиц, обеспечивая целостность записей. |