კატეგორიები

ნავიგაცია

ჩემი ფინანსური მეგზური

მომხმარებლის ძლიერი ავთენტიფიკაცია

წესის მიზანი

ძლიერი ავთენტიფიკაცია
საქართველოს ეროვნულმა ბანკმა 2020 წლის 2 სექტემბერს „მომხმარებლის ძლიერი ავთენტიფიკაციის წესი“ დაამტკიცა, რომლის მიზანია თქვენი, როგორც საგადახდო მომსახურების მომხმარებლების უსაფრთხო ავთენტიფიკაციის უზრუნველყოფა. 

საგადახდო მომსახურების პროვაიდერებს დისტანციური არხების კუთხით ამ წესთან შესაბამისობის უზრუნველყოფა 2021 წლის 22 მარტამდე დაევალათ, შესაბამისად, 22 მარტიდან შეიცვალა დისტანციურ არხებში შესვლისა და გადახდის ოპერაციების ინიციირების წესი ყველა მომხმარებლისთვის.

რატომ გახდა საჭირო აღნიშნული წესის შემუშავება?

წესის დამტკიცება ერთის მხრივ საჭირო გახდა უკანასკნელი პერიოდის განმავლობაში გაზრდილ ფინანსურ კიბერთაღლითობის შემთხვევებზე საპასუხოდ, რომელთაც მომატებული საფრთხის წინაშე დააყენეს მომხმარებლები და ბანკები; მეორეს მხრივ კი ევროკავშირთან ასოცირების ფარგლებში აღებული ვალდებულების შესასრულებლად, რაც ქვეყნის კანონმდებლობის ევროდირექტივებთან და რეგულაციებთან დაახლოებას გულისხმობს.

რას ნიშნავს ავთენტიფიკაცია?

ავთენტიფიკაცია ნიშნავს საგადახდო მომსახურების მომწოდებლის მხრიდან ქვემოთ მოცემული ქმედებების უზრუნველყოფას:

თქვენი, როგორც მომხმარებლის იდენტობის დადგენას

ანუ იმის დადგენას, რომ პროვაიდერს ნამდვილად თქვენ მიმართავთ და არა ვინმე სხვა თქვენი სახელით

საგადახდო ინსტრუმენტის გამოყენების ვალიდურობის დადგენას

ანუ იმის დადგენას, რომ მომხმარებელს ნამდვილად ამა თუ იმ საგადახდო ინსტრუმენტის, მაგალითად, ბარათის გამოყენების უფლება აქვს.

რას გულისხმობს ძლიერი ავთენტიფიკაცია?

ძლიერი ავთენტიფიკაცია
ძლიერი ავთენტიფიკაცია არის პროცესი, რომელიც დამყარებულია ქვემოთ ჩამოთვლილი 3 კატეგორიიდან ორი ან მეტი ელემენტის გამოყენებაზე:

  1. ცოდნა (ის, რაც მხოლოდ მომხმარებელმა იცის);
  2. ფლობა (ის, რასაც მხოლოდ მომხმარებელი ფლობს);
  3. უნიკალურობა (ის, რაც თვით მომხმარებელია).

რას უზრუნველყოფს ძლიერი ავთენტიფიკაცია?

  • თქვენი და თქვენი ფინანსების ონლაინ სივრცეში დაცვას;
  • თქვენი პერსონიფიცირებული მახასიათებლების (მაგალითად, მომხმარებლის სახელის - ე.წ. „username“ და პაროლის) კონფიდენციალობისა და მთლიანობის დაცვას;
  • თაღლითობისა და სხვა უკანონო ქმედების რისკის შემცირებას.

რომელ სუბიექტზე ვრცელდება ძლიერი ავთენტიფიკაციის ვალდებულება ანუ ვინ არიან საგადახდო მომსახურების მომწოდებელი პირები, იგივე, პროვაიდერები?

წესი ვრცელდება ყველა იმ სუბიექტზე, რომლებიც საგადახდო მომსახურებას გიწევთ. ეს ის ორგანიზაციები არიან, რომელთა საშუალებითაც საქონლის ან მომსახურების საფასურს იხდით, რიცხავთ ან ანაღდებთ თანხას და ა.შ. შესაბამისად, ძლიერი ავთენტიფიკაციის განხორციელება ევალება თქვენს საგადახდო მომსახურების პროვაიდერებს, რომლებიც არიან საქართველოს ეროვნული ბანკის მიერ:

  • ლიცენზირებული კომერციული ბანკები;
  • რეგისტრირებული საგადახდო მომსახურების პროვაიდერები;
  • ან რეგისტრირებული მიკროსაფინასო ორგანიზაციები.

როდის არის სავალდებულო ძლიერი ავთენტიფიკაცია?

საგადახდო მომსახურების პროვაიდერი შეასრულებს ძლიერ ავთენტიფიკაციას მაშინ, როდესაც თქვენ:

ონლაინ რეჟიმში განახორციელებთ წვდომას თქვენს საგადახდო ანგარიშებზე.

მაგალითად, როდესაც შეხვალთ თქვენს ინტერნეტბანკსა თუ მობილბანკში;

შეასრულებთ ელექტრონული გადახდის ოპერაციას.

კერძოდ, მაღაზიაში საქონლის/მომსახურების შეძენისას უნაღდოდ - პოს-ტერმინალის საშუალებით, ინტერნეტ-მაღაზიაში საგადახდო ბარათით ონლაინ გადახდისას, თანხის გადარიცხვისას, განაღდებისას და ა.შ.

დისტანციური არხის საშუალებით განახორციელებთ ნებისმიერ ისეთ ქმედებას, რომელიც თაღლითობის ან/და სხვა უკანონო ქმედების რისკის მატარებელია.

აქ ისეთი ქმედებები იგულისხმება, რომელთა დაუცველად შესრულება თქვენთვის და თქვენი ფინანსებისთვის რისკის  შემცველია. ასეთი ქმედებებია, მაგალითად, პაროლის ცვლილება, თანხის მიმღების სანდოდ მონიშვნა, რაც დისტანციურ არხებში მიმღებისთვის ისეთი სტატუსის მინიჭებას გულისხმობს, რომელიც სამომავლო გადარიცხვების გამარტივებული პროცედურით  შესრულების შესაძლებლობას იძლევა და სხვა. რიგ ქმედებებს თავად წესი განსაზღვრავს, თუმცა, მათ უმრავლესობას თავად თქვენი მომსახურე პროვაიდერი ადგენს თქვენთვის შემოთავაზებული მომსახურების სპეციფიკიდან გამომდინარე.

მაგალითად:

შესაძლოა, თქვენ გემსახურებათ ორი კომერციული ბანკი, რომელთაგან ერთი ერთჯერად კოდებს ელექტრონულ ფოსტაზე გიგზავნით, მეორე კი ელექტრონულ ფოსტას მხოლოდ ინფორმაციის გამოსაგზავნად იყენებს. ამ უკანასკნელმა, შესაძლოა, ელექტრონული ფოსტის ცვლილებისას არ მოგთხოვოთ ძლიერი ავთენტიფიკაციისთვის საჭირო ელემენტების (რომლებსაც ქვემოთ განვიხილავთ) შეყვანა. პირველი კი აუცილებლად მოგთხოვთ, რადგან, არსებობს რისკი, თაღლითმა თქვენი ელექტრონული  ფოსტის მისამართი საკუთარით შეცვალოს, მასზე გამოგზავნილი ერთჯერადი კოდი კი თაღლითობისათვის, მაგალითად, თქვენი ანგარიშიდან თანხის გადასარიცხად გამოიყენოს.

რისკის შემცველ ქმედებას, ასევე, განეკუთვნება თქვენ მიერ მომსახურების გამოწერა (subscription) - პერიოდულად შესასრულებელ გადახდაზე თანხმობა. თუ თქვენი პროვაიდერი არ ითხოვს ძლიერ ავთენტიფიკაციას, შესაძლოა თაღლითმა რომელიმე გვერდზე მიუთითოს თქვენი ბარათის მონაცემები (რომლებიც ფიშინგის შედეგად მიიღო ან შეგნებულად/გაუფრთხილებლად გაუზიარეთ) და პერიოდული მომსახურება იყიდოს თავისთვის, ხოლო მისი ღირებულება თქვენ ჩამოგეჭრათ. ასეთი თაღლითობებისა და უკანონო ქმედებებისგან თქვენს მაქსიმალურად დასაცავად პროვაიდერი ვალდებულია განახორციელოს ძლიერი ავთენტიფიკაცია.

როგორია თქვენი, როგორც მომხმარებლის, როლი ძლიერი ავთენტიფიკაციისას?

ძლიერი ავთენტიფიკაცია
იმისათვის, რომ მარტივად აღიქვათ, მაინც რა იცვლება ახალი წესით, მაგალითისთვის მოვიყვანოთ დღემდე დამკვიდრებული პრაქტიკა - თქვენ ინტერნეტ ბანკში შედიოდით თქვენი მომხმარებლის სახელისა (username) და პაროლის ან იმავე სახელისა და თითის ანაბეჭდის გამოყენებით. ამ დროს თქვენ შეგყავდათ ახალი წესით აღიარებული მხოლოდ ერთ-ერთი - ცოდნის (პაროლი), ან უნიკალურობის (თითის ანაბეჭდი) კატეგორიის ელემენტი. მომხმარებლის სახელი არ განეკუთვნება არც ერთ ქვემოთ ჩამოთვლილ, მათ შორის, არც ცოდნის ელემენტს, რადგან ის თქვენ გარდა შესაძლოა, სხვა პირმაც იცოდეს ან ადვილად მოიპოვოს მასზე წვდომა. ძლიერი ავთენტიფიკაციის წესის მიხედვით, სიახლეს წარმოადგენს ახალი მოთხოვნა - მოხდეს დამატებით ერთი ელემენტის გამოყენება განსხვავებული კატეგორიიდან.

წესის შესაბამისად, მომხმარებლის ძლიერი ავთენტიფიკაცია უნდა განხორციელდეს ორი ან მეტი შემდეგი სხვადასხვა კატეგორიის ელემენტების კომბინაციის გამოყენებით:

ცოდნა

ის, რაც მხოლოდ მომხმარებელმა იცის (პაროლი, საგადახდო ბარათის “PIN” კოდი და სხვა).

ფლობა

ის, რასაც მხოლოდ მომხმარებელი ფლობს (მაგალითად, მოწყობილობის ფლობა, რაც დასტურდება მასზე მიღებული ან მის მიერ გენერირებული ერთჯერადი კოდით (ე.წ. OTP).

უნიკალურობა

ის, რაც თვით მომხმარებელია (თითის ანაბეჭდი, სახის ამოცნობა და სხვა ბიომეტრიული მონაცემი).

საგადახდო მომსახურების პროვაიდერი ვალდებულია, უზრუნველყოს მომხმარებლის მიერ ელემენტების შეყვანის/გამოყენების შედეგად ავთენტიფიკაციის კოდის გენერირება. კოდი გენერირდება კონკრეტული ოპერაციის ან სხვა ქმედებისთვის და პროვაიდერი უფლებამოსილია, ერთი კოდი ქმედების დასადასტურებლად გამოიყენოს მხოლოდ და მხოლოდ ერთხელ. აღნიშნული ტექნიკური პროცესი მიმდინარეობს პროვაიდერის მხარეს და ელემენტების შეყვანის შემდეგ პროცესში თქვენი ჩართვა არ ხდება. თუ ელემენტები სწორი იყო და ავთენტიფიკაციის კოდი წარმატებით დაგენერირდა, შესრულდება თქვენ მიერ ინიციირებული გადახდის ოპერაცია ან ქმედება - მაგალითად, თქვენი მოთხოვნით შეიცვლება ბანკში მითითებული თქვენი მობილური ნომერი და ა.შ.

არსებობს თუ არა გამონაკლისები, როცა არ მოითხოვება ძლიერი ავთენტიფიკაციის გამოყენება?

წესი განსაზღვრავს იმ გამონაკლისებსა და გარემოებებს, რომლების დაკმაყოფილების შემთხვევაშიც, საგადახდო მომსახურების პროვაიდერი უფლებამოსილია არ განახორციელოს მომხმარებლის ძლიერი ავთენტიფიკაცია. ასეთია უკონტაქტო გადახდები, სანდო ბენეფიციარების სასარგებლოდ გადახდები, მცირემოცულობიანი და დაბალრისკიანი ოპერაციები და სხვა. მაგალითისთვის, ძლიერი ავთენტიფიკაციის ვალდებულებისგან გათავისუფლებულია არა ყველა უკონტაქტო გადახდა, არამედ მხოლოდ ასეთი გადახდები განსაზღვრული თანხობრივი ზღვარის ან გადახდების ჯერადობის ფარგლებში.

აქედან გამომდინარე, თუ კონკრეტული ოპერაცია გამონაკლისში არ ექცევა, პროვაიდერი ვალდებულია უზრუნველყოს მომხმარებლის ძლიერი ავთენტიფიკაციის შესრულება.

რაში მდგომარეობს პროვაიდერის პასუხისმგებლობა ძლიერი ავთენტიფიკაციის წესის ფარგლებში?

ძლიერი ავთენტიფიკაცია
როგორც აღინიშნა, წესის შესაბამისად მომხმარებლის ძლიერი ავთენტიფიკაციის უზრუნველყოფა პროვაიდერის ვალდებულებაა და დარღვევისას მომხმარებლის წინაშე პასუხისმგებლობა მას ეკისრება. მაგალითად, განხორციელდა თაღლითური ოპერაცია და მომხმარებლის ანგარიშიდან მისი თანხმობის გარეშე გადაირიცხა 200 ლარი მისთვის უცნობი პირის ანგარიშზე ისე, რომ პროვაიდერს ამ კონკრეტული ოპერაციისთვის არ შეუსრულებია ძლიერი ავთენტიფიკაცია. ამ შემთხვევაში პროვაიდერმა დაარღვია ვალდებულება, რითიც ისარგებლა თაღლითმა. ამ შემთხვევაში, პროვაიდერი ვალდებულია მომხმარებლის მოთხოვნისას მას შესაბამისი თანხა აუნაზღაუროს.

მეორე მხრივ, პროვაიდერს არ ეკისრება გადამხდელისთვის ანაზღაურების ვალდებულება, თუ მას მომხმარებლის მიერ შესაძლო თაღლითური ქმედების შესახებ საფუძვლიანი ეჭვი აქვს და აღნიშნული საფუძვლის შესახებ წერილობით შეატყობინებს საქართველოს ეროვნულ ბანკს და მიმართავს შესაბამის სამართალდამცავ ორგანოს.

რა არის თქვენი, როგორც მომხმარებლის ვალდებულება და პასუხისმგებლობა?

ძლიერი ავთენტიფიკაციის პროცესში მთელი რიგი ვალდებულებები აქვს პროვაიდერს, თუმცა, პასუხისმგებლობა თქვენც გეკისრებათ. კერძოდ:

  • თქვენ, როგორც მომხმარებელი, ვალდებული ხართ დაიცვათ თქვენი ე.წ. „სენსიტიური“ საგადახდო მონაცემები ანუ ის მონაცემები, რომლების საშუალებით, შესაძლებელია ოპერაციის განხორციელება. არავის გაუზიაროთ თქვენი ინტერნეტ და მობაილ ბანკის პაროლი, ბარათის პინი, CVV კოდი, ერთჯერადი კოდი, რომელიც მობილურ ნომერზე ან ელ.ფოსტაზე მიიღეთ. ამასთან, საყურადღებოა, რომ აღნიშნული ინფორმაცია არ გაუზიაროთ კარგად ნაცნობ და ახლობელ ადამიანებსაც კი.
  • გარდა ამისა, ინტერნეტ სივრცეში თაღლითობის შემთხვევები მოწმობს, რომ მომხმარებლებს უცნობ ვებ-გვერდებზე, ან ისეთ ვებ-გვერდებზე, რომლებიც მიმსგავსებულია მათთვის ნაცნობ ნამდვილ საიტს, შეჰყავთ თავიანთი ინფორმაცია. ეს ინფორმაცია კი შემდგომ თაღლითის ხელში აღმოჩნდება, რაც მას მომხმარებლის თანხის მოპარვას გაუმარტივებს ან შესაძლებელს გახდის.
  • თუ საგადახდო ბარათი დაკარგეთ ან მოგპარეს, ასევე, ინტერნეტ ბანკში დააფიქსირეთ უცხო/საეჭვო აქტივობა, დაუყოვნებლივ უნდა მიმართოთ თქვენს მომსახურე პროვაიდერს. გასათვალისწინებელია, რომ თქვენი ვალდებულებებისა და პასუხისმგებლობების დარღვევის შემთხვევაში, ბანკს თქვენს დასაცავად შესაბამისი ბერკეტები არ ექნება.