Национальный банк Кыргызстана принял постановление «О минимальных требованиях к системе противодействия мошенничеству (антифрод-система) в микрофинансовых организациях». Об этом говорится на его официальном сайте.
Как отмечается в документе, данное положение обязательно к исполнению для всех микрофинансовых организаций (МФО), предоставляющих услуги через дистанционные каналы, и микрофинансовых компаний, привлекающих депозиты, на основании лицензии НБ КР.
Система противодействия мошенничеству
МФО обязаны обеспечить наличие и эффективную работу антифрод-системы, соответствующей масштабам и характеру их деятельности.
Система должна защищать интересы как клиентов, так и самой МФО от мошеннических действий сотрудников, клиентов, третьих и аффилированных лиц.
Система может быть реализована как отдельный комплекс или интегрированный модуль в автоматизированные системы удаленного/дистанционного обслуживания. При использовании программного обеспечения МФО обязаны уведомить Национальный банк с полным описанием архитектуры и применяемых методов.
Политика и организационные меры
МФО должны разработать и утвердить Политику противодействия мошенничеству, которая должна содержать:
-
принципы раннего выявления, предупреждения и предотвращения мошенничества;
-
порядок применения адекватных и своевременных мер реагирования;
-
меры ответственности для сотрудников за бездействие или ненадлежащие действия в этой сфере.
Политика подлежит пересмотру и актуализации не реже одного раза в год. Внутренние процедуры — не реже одного раза в два года.
Технический контроль и категории рисков
Антифрод-система должна проводить мониторинг и оценку риска мошенничества для каждой транзакции в системах удаленного обслуживания.
В результате оценки транзакции должен присваиваться один из трех признаков:
-
низкий риск — транзакция безопасна;
-
средний риск — транзакция подозрительна;
-
высокий риск — транзакция является мошеннической.
Обязательная проверка: при присвоении среднего уровня риска МФО обязаны провести обязательную проверку (автоматическую или ручную), которая может включать незамедлительное информирование клиента и приостановку исполнения операции до получения подтверждения.
МФО должны вести и поддерживать внутренний реестр идентификаторов, связанных с подозрительной или мошеннической деятельностью (номера телефонов, ID учетных записей, устройства и так далее). Реестр должен использоваться для последующей оценки риска.
Обязанность по приостановке операций и взаимодействие с клиентами
МФО обязаны блокировать или приостановить операции на срок до 30 дней в случаях, когда:
-
выявлены признаки, соответствующие признакам мошеннических операций;
-
клиент не предоставил подтверждающую информацию о самостоятельном совершении операции;
-
клиент сам уведомил о мошеннических действиях.
МФО обязаны незамедлительно информировать клиента о приостановлении операции.
В системах дистанционного обслуживания должна быть предусмотрена круглосуточная функция для подачи физическими лицами уведомления о мошеннических действиях.
Ответственность и тестирование
В случае выявления фактов осуществления транзакции в отношении запрещенных к обслуживанию идентификаторов или нарушения требований НБ КР, МФО обязаны возместить клиенту причиненный ущерб.
МФО должны регулярно проводить тестирование антифрод-системы (не реже одного раза в год), включая стресс-тестирование, тестирование на проникновение и тестирование новых алгоритмов.
Результаты оценки эффективности антифрод-системы подлежат документированию и предоставлению в Национальный банк не реже одного раза в квартал.