Вернуться назад
Версия для печати
Дата создания: 2025-08-11

СПРАВКА-ОБОСНОВАНИЕ 

к проекту постановления Правления Национального банка Кыргызской Республики 

«Об утверждении Положения «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству в микрофинансовых организациях Кыргызской Республики» 

 

1. Цель и задачи 

Проект постановления Правления Национального банка Кыргызской Республики (далее Национальный банк) «Об утверждении Положения «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству в микрофинансовых организациях Кыргызской Республики» разработан в целях приведения в соответствие нормативных правовых актов Национального банка Закону Кыргызской Республики «О микрофинансовых организациях в Кыргызской Республике». 

 

2. Описательная часть  

Проект постановления направлен на формирование единого подхода к организации системы противодействия мошенничеству в микрофинансовом секторе Кыргызской Республики с учетом современных рисков цифровой среды.  

Проект постановления обязывает микрофинансовые организации разработать и внедрить внутреннюю Политику противодействия мошенничеству, в которой закрепляются конкретные механизмы идентификации и реагирования на инциденты, соответствующие уровню риска, а также устанавливаются меры персональной ответственности сотрудников за бездействие.  

Кроме того, проект постановления предусматривает обязательное внедрение автоматизированной либо полуавтоматизированной системы противодействия внутреннему и внешнему мошенничеству, обеспечивающей мониторинг операций в дистанционных каналах обслуживания в режиме реального времени. Применение трехуровневой оценки рисков позволяет классифицировать операции по степени угрозы и применять соответствующие меры реагирования. 

В целях усиления защиты клиентов устанавливается обязанность по ведению внутреннего реестра идентификаторов, запрещенных к обслуживанию и автоматической блокировке операций с их использованием. 

В случае проведения операции с использованием такого идентификатора, МФО несет ответственность за возмещение ущерба клиенту причиненного ущерба. Также предусматривается доступность круглосуточного канала для подачи клиентами уведомлений о мошенничестве с последующим проведением внутреннего расследования. 

Проект постановления содержит требованиях к регулярной оценке эффективности системы противодействия мошенничеству, включая обязательную ежеквартальную отчетность в Национальный банк и проведение ежегодного тестирования с устранением выявленных уязвимостей.  

Проект постановления распространяется на МФО, осуществляющих деятельность на основании лицензии (свидетельства) Национального банка Кыргызской Республики. 

 

3. Прогнозы возможных социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий. 

Принятие проекта постановления негативных социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий не повлечет. 

 

4. Информация о результатах общественного обсуждения 

В соответствии со статьей 22 Закона «О нормативных правовых актах Кыргызской Республики» проекты нормативных правовых актов, непосредственно затрагивающие интересы граждан и юридических лиц, а также регулирующие предпринимательскую деятельность, подлежат общественному обсуждению.  

Материалы по проекту постановления будут размещены для общественного обсуждения на официальном интернет-сайте Национального банка и Едином портале общественного обсуждения проектов нормативных правовых актов Кыргызской Республики.  

Информация по данному разделу будет дополнена по итогам проведения общественного обсуждения. 

5. Анализ соответствия проекта законодательству 

Представленный проект постановления не противоречит законодательству Кыргызской Республики. 

 

6. Информация о необходимости финансирования 

Принятие проекта постановления не потребует дополнительного финансирования. 

 

7. Информация об анализе регулятивного воздействия 

АРВ к проекту постановления, согласно пункту 4 Методики проведения анализа регулятивного воздействия нормативных правовых актов Национального банка Кыргызской Республики на деятельность субъектов предпринимательства, утвержденной постановлению Правления Национального банка Кыргызской Республики от 21 декабря 2022 года № 2022-П-02/81-6-(НПА), не требуется, поскольку предлагаемый проект постановления разработан в целях приведения в соответствие с Законом Кыргызской Республики «О микрофинансовых организациях в Кыргызской Республике». 

Проект 

 

 

 

 

Об утверждении Положения  

«О минимальных требованиях к системе противодействия  

внутреннему и внешнему мошенничеству  

в микрофинансовых организациях Кыргызской Республики» 

 

 

В соответствии со статьями 5, 9 и 64 конституционного Закона Кыргызской Республики «О Национальном банке Кыргызской Республики» Правление Национального банка Кыргызской Республики постановляет: 

 

1. Утвердить Положение «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству в микрофинансовых организациях Кыргызской Республики» (прилагается); 

 

2. Юридическому управлению:  

- со дня получения соответствующих документов в течение 3 (трех) рабочих дней опубликовать настоящее постановление на официальном интернет-сайте Национального банка Кыргызской Республики; 

- после официального опубликования направить настоящее постановление в Министерство юстиции Кыргызской Республики для включения в Государственный реестр нормативных правовых актов Кыргызской Республики. 

 

3. Настоящее постановление вступает в силу по истечении 15 (пятнадцати) дней со дня официального опубликования, за исключением пунктов 6-9 Положения «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству в микрофинансовых организациях Кыргызской Республики» (Приложение к настоящему постановлению), которые вступают в силу с 1 марта 2026 года. 

 

4. Управлению методологии надзора в течение 3 (трех) рабочих дней довести настоящее постановление до сведения микрофинансовых организаций, ОЮЛ «Ассоциация микрофинансовых организаций». 

 

5. Отделу «Секретариат Правления» в течение 3 (трех) рабочих дней довести настоящее постановление до сведения управление надзора за небанковскими организациями, юридического управления, областных управлений и Представительства Национального банка Кыргызской Республики в Баткенской области. 

 

6. Контроль за исполнением настоящего постановления возложить на члена Правления Национального банка Кыргызской Республики, курирующего управление методологии надзора. 

 

Приложение  

к постановлению Правления 

Национального банка 

Кыргызской Республики 

от «____» ________2025 года  

№________________________ 

 

 

ПОЛОЖЕНИЕ 

«О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству в микрофинансовых организациях Кыргызской Республики» 

 

Глава 1. Общие положения 

1. Настоящее Положение «О минимальных требованиях к системе противодействия внутреннему и внешнему мошенничеству в микрофинансовых организациях» применяется в качестве основного механизма противодействия внутреннему и внешнему мошенничеству в информационных системах микрофинансовых организаций (далее МФО), в том числе в случае несоответствия имеющихся в информационных системах МФО алгоритмов противодействия внутреннему и внешнему мошенничеству требованиям настоящего Положения.  

2. Требования настоящего Положения являются обязательными для всех микрофинансовых организаций, осуществляющих деятельность на основании лицензии (свидетельства) Национального банка Кыргызской Республики. 

3. МФО обязаны обеспечить наличие и эффективное функционирование системы противодействия внутреннему и внешнему мошенничеству (антифрод-системы), соответствующей масштабам, характеру и видам их деятельности. 

4. Система противодействия внутреннему и внешнему мошенничеству должна быть направлена на защиту интересов клиентов и самой МФО от мошеннических действий, включая действия со стороны сотрудников, клиентов, третьих лиц, а также аффилированных лиц. 

 

Глава 2. Политика и организационные меры 

5. МФО обязаны разработать и утвердить Политику противодействия мошенничеству в системах удаленного/дистанционного обслуживания. 

Политика как минимум должна содержать: 

- стремление руководства, подтверждающее приверженность защите клиентов от внутреннего и внешнего мошенничества в системах удаленного/дистанционного обслуживания; 

- принципы раннего выявления, предупреждения и предотвращения мошенничества в системах удаленного/дистанционного обслуживания; 

- порядок применения адекватных и своевременных автоматизированных или полуавтоматизированных мер реагирования на выявленные случаи или попытки мошенничества, соразмерных оцененному уровню риска; 

- меры ответственности в соответствии с законодательством Кыргызской Республики, применяемые к сотрудникам МФО за бездействие или ненадлежащие действия в сфере противодействия мошенничеству, включая мониторинг угроз, разработку и внедрение мер противодействия, а также реагирование на инциденты. 

Политика подлежит пересмотру и актуализации не реже одного раза в год. 

Внутренние процедуры и документы МФО, регламентирующие противодействие мошенничеству в системах удаленного/дистанционного обслуживания, подлежат пересмотру по мере необходимости, но не реже одного раза в два года, с учетом эффективности применяемых мер, лучшего международного опыта и актуальных угроз. 

МФО обязаны интегрировать вышеуказанные процедуры и документы в систему управления рисками и обеспечить ознакомление с ними всех необходимых сотрудников МФО.  

 

Глава 3. Техническая реализация антифрод-контроля 

6. МФО обязаны внедрить системы противодействия мошенничеству в информационных системах удаленного/дистанционного обслуживания для предотвращения как внутреннего, так и внешнего мошенничества. Эти системы должны осуществлять мониторинг и оценку риска мошенничества для каждой транзакции, проводимой через системы удаленного/дистанционного обслуживания. Реализация данных систем допускается двумя способами: 

- в виде отдельного, независимого программного или программно-аппаратного комплекса, взаимодействующего со всеми используемыми автоматизированными системами удаленного/дистанционного обслуживания. 

- путем интеграции специализированного модуля противодействия мошенничеству непосредственно в каждую из используемых автоматизированных систем удаленного/дистанционного обслуживания. 

7. Система противодействия внутреннему и внешнему мошенничеству в информационных системах удаленного/дистанционного обслуживания должна производить оценку риска мошенничества в отношении каждой совершаемой транзакции на основании правил, шаблонов и результатах анализа. 

Система противодействия внутреннему и внешнему мошенничеству должна обеспечивать как минимум: 

- базовую проверку транзакций; 

- сравнение с типичными поведенческими шаблонами клиента (при наличии соответствующих данных); 

- блокировку или приостановку подозрительных операций по заранее определённым критериям. 

8. При использовании программного обеспечения для противодействия внутреннему и внешнему мошенничеству в информационных системах, МФО должны направить соответствующее уведомление с полным описанием реализованной архитектуры, принципов функционирования, применяемых методов оценки риска согласно требованиям настоящего Положения, в адрес Национального банка. 

9. При невозможности реализации полной автоматизации допускается ручной анализ ответственными сотрудниками. 

 

Глава 4. Категоризация рисков и действия по инцидентам 

10. В результате оценки риска мошенничества, система должна присваивать как минимум один из трех признаков: 

- низкий риск: транзакция безопасна; 

- средний риск: транзакция подозрительна и может быть мошеннической; 

- высокий риск: транзакция является мошеннической. 

11. При присвоении транзакции среднего уровня риска на основании существенного отклонения от стандартного поведения клиента или наличия совокупности факторов, МФО обязаны обеспечить ее обязательную проверку. Проверка может быть выполнена автоматически или вручную уполномоченным сотрудником МФО. По результатам проверки МФО обязаны выполнить одно или несколько из следующих действий: 

- незамедлительно информировать клиента о потенциально мошеннической транзакции с использованием доступных каналов коммуникации (мобильное приложение, телефон, иные); 

- прекратить исполнение транзакции до получения от клиента подтверждающих данных, однозначно свидетельствующих об отсутствии мошеннических намерений и осознанном совершении операции; 

- переоценить уровень риска и присвоить транзакции новый уровень: низкий или высокий; 

- внести необходимые изменения в правила и шаблоны системы противодействия мошенничеству, дополнив их выявленными признаками мошеннических операций, выявленных при анализе транзакций с высоким уровнем риска. 

- обеспечить хранение полной информации о проведенной проверке, включая результаты, полученные данные, сведения о сотрудниках, принимавших решения, и предоставленные клиенту уведомления в системе противодействия мошенничеству не менее 3 (трех) лет. 

12. Низкий уровень риска должен присваиваться транзакциям, которые соответствуют типичному поведению пользователя, имеют незначительные отклонения от него, либо прошли успешную проверку после первоначального присвоения среднего уровня риска. 

13. МФО обязаны формировать и поддерживать внутренний реестр идентификаторов и атрибутов, связанных с подозрительной или мошеннической деятельностью, при присвоении высокого уровня риска. 

В реестр должны включать как минимум: 

- номера телефонов; 

- ID учетных записей клиентов, совершивших подозрительные действия; 

- устройства, с которых производились входы, нехарактерные для данного клиента; 

- иные атрибуты, идентифицированные в ходе анализа. 

Данный реестр должен использоваться при последующей оценке риска по новым заявкам или операциям, с возможностью блокировки или дополнительной проверки. 

14. Оценке риска мошенничества должны подвергаться все операции, связанные с: 

- выдачей микрокредитов; 

- изменение ключевой информации о клиенте (контакты, реквизиты и т.д.); 

- повторной подачей заявки на кредит в течение короткого времени; 

- переводом заемных средств на счета, ранее замеченные в подозрительной активности (в том числе полученные из реестра); 

- погашением задолженности из источников, ранее не связанных с клиентом; 

- иным операциям, определенными МФО в рамках внутренней политики. 

 

Глава 5. Базовые признаки мошеннических операций 

15. Оценка операций и заявок должна основываться на наборе правил и шаблонов, выявляющих отклонения в поведенческом профиле клиента или подозрительные признаки, включая, но не ограничиваясь: 

- аномальное увеличение количества поданных заявок на кредит от одного клиента или группы клиентов; 

- сходство заявок (IP-адреса, устройства, суммы и т.д.) от разных клиентов; 

- несоответствие суммы кредита или сроков типичному профилю заемщику; 

- аномальное время подачи заявки, не характерное для этого клиента; 

- использование нового мобильного устройства; 

- многократные неудачные попытки авторизации в системе; 

- частая смена контактной информации; 

- соответствие операции признакам известных схем мошенничества; 

- несоответствие анкетных данных (домохозяйка, без работный и т.д.) частоте и сумме транзакциям 

- изменение в режиме доступа, включение новых способов авторизации или изменение способа входа, несвойственные для данного клиента; 

- иные критерии, определенные МФО в рамках своей политики по предотвращению мошенничества. 

 

Глава 6. Обязанность по приостановке операций и взаимодействию с клиентами 

16. МФО обязаны блокировать или приостановить операции на срок до 30 дней в следующих случаях: 

- при выявлении признаков, соответствующих признакам мошеннических операций, установленными в пункте 15 настоящего Положения; 

- при отсутствии от клиента подтверждающей информации, однозначно свидетельствующих о самостоятельном совершении операции; 

- по уведомлению клиента о мошеннических действиях.  

17. МФО должны в системах дистанционного обслуживания предусмотреть возможность подачи физическими лицами уведомления о мошеннических действиях и формирование соответствующих документов для последующего обращения в правоохранительные органы. 

Такая возможность должна быть реализована в виде отдельной функции, обеспечивающей: 

- круглосуточную доступность без необходимости обращения в отделения МФО; 

- наличие обособленного канала коммуникации, предназначенного исключительно для передачи уведомлений о мошеннических операциях; 

- простую, интуитивно понятную форму подачи уведомления, с возможностью указания ключевых параметров транзакции: дата, сумма, реквизиты получателя, описание обстоятельств и наличие доказательств; 

- автоматическую фиксацию факта подачи уведомления в информационных системах МФО с отметкой времени и идентификатора клиента; 

- инициацию процедуры приостановки и анализа транзакции. 

Уведомление, поданное через указанную функцию, подлежит незамедлительному рассмотрению и принятию соответствующих мер, по оценке транзакции, с последующим информированием клиента о принятых мерах, в том числе рекомендации по обращению в правоохранительные органы. 

18. МФО обязаны незамедлительно информировать клиента о приостановлении операции с использованием доступных каналов коммуникации (мобильное приложение, телефон, иные). 

19. Требования пунктов 17 и 18 настоящего Положения распространяются на микрофинансовые компании и микрокредитные компании, предоставляющие услуги через системы дистанционного обслуживания. 

 

Глава 7. Ведение списка идентификаторов и мониторинг повторов 

20. Все транзакции в отношении запрещённых к обслуживанию идентификаторов должны отклоняться с соответствующим уведомлением клиента. 

МФО должны разрабатывать внутренние процедуры и документы, регламентирующие порядок внесения идентификаторов в реестр запрещенных к обслуживанию, а также порядок исключения записей из него в случае обнаружения ошибок или подтверждения самостоятельного проведения операции клиентом. 

В случае выявления фактов осуществления транзакции в отношении идентификаторов, обслуживание которых запрещено, а также в случае выявления фактов нарушения установленных требований в соответствии с нормативными правовыми актами Национального банка при предоставлении кредитов, МФО обязаны возместить клиенту причиненный ущерб в результате такой транзакции. 

21. Реестр запрещённых к обслуживанию идентификаторов может дополняться вручную сотрудниками МФО на основании достоверной информации о мошеннической природе того или иного клиентского идентификатора, полученной по линии государственных органов и Национального банка. 

22. Реестр запрещённых к обслуживанию идентификаторов должен вестись защищённо, не допуская несанкционированного вмешательства сотрудников МФО и третьих лиц, обеспечивая целостность записей. 

Доступ к реестру разрешается только уполномоченным сотрудникам МФО с использованием многофакторной аутентификации.  

23. Любые изменения в системе должны фиксироваться в журнале регистрации событий с указанием ответственного лица, времени внесения изменений и оснований для корректировки. Сведения из журнала регистрации событий должны храниться не менее 5 лет. 

 

Глава 8. Оценка эффективности антифрод-системы 

24. МФО должны разрабатывать и внедрять системы мониторинга эффективности мер противодействия мошенничеству, включая следующие метрики: 

- количество предотвращенных случаев мошенничества; 

- доля ложноположительных срабатываний (ошибочно заблокированных транзакций); 

- среднее время реагирования на инцидент; 

- количество выявленных и задокументированных способов мошенничества. 

25. Результаты оценки эффективности подлежат документированию и предоставлению в Национальный банк не реже 1 (одного) раза квартал. 

 

Глава 9. Обязанности по тестированию и актуализации системы 

26. МФО должны регулярно проводить тестирование систем противодействия внутреннему и внешнему мошенничеству для оценки эффективности, точности и устойчивость к новым угрозам. 

Тестирование проводится не реже одного раза в год, а также при внесении значительных изменений в систему. 

Обязательными являются следующие виды тестирования: 

- стресс-тестирование, заключающееся в моделировании массовых мошеннических атак для проверки устойчивости системы; 

- тестирование безопасности на проникновение; 

- тестирование новых алгоритмов на основе актуальных способов мошенничества. 

По результатам тестирования МФО должны в течение 30 рабочих дней разработать и внедрить соответствующие корректирующие меры для устранения выявленных уязвимостей высокого уровня критичности, для иных случаев 60 рабочих дней. Сроки могут быть продлены на основании технического заключения МФО. 

27. МФО должны документировать результаты тестирования и ежегодно предоставлять их результаты в Национальный банк по результатам тестирования. 

Документация по тестированию подлежит хранению не менее 5 лет. 

Контакты
  • Общественная приемная
    +996 (312) 61-04-86
    +996 (312) 66-90-15 +1257, +1256
  • Отдел по защите прав потребителей
    +996 (312) 66-90-15 +1671, +1666
  • Сообщи о коррупции
    +996 (312) 66-90-15 +2120
    +996 (312) 61-04-00
  • Автоинформатор официальных курсов валют
    +996 (312) 61-07-11
  • Нумизматический музей
    +996 (312) 66-90-15 +1232
    +996 (312) 61-24-14
  • E-mail
    mail@nbkr.kg
  • По работе со СМИ
    press@nbkr.kg
  • 720001, Кыргызская Республика, г.Бишкек, пр. Чуй, 168