В умовах всеохопної діджиталізації, електронної комерції та онлайнової взаємодії суб’єктів бізнесу стрімко розвивається платіжна сфера, життєво необхідна для здійснення оплати товарів, робіт, послуг. Водночас спостерігається «удосконалення» схем шахрайства, несанкціонованого доступу до даних платіжних інструментів, а також здійснення незаконних платіжних операцій. Поряд із зазначеним вище у фінансовому секторі збільшується кількість ризиків кібератак.
Отже, на тлі посилення загроз і кіберризиків з’являються нові виклики правовому забезпеченню безпеки платежів, що має бути спрямовано на виявлення вразливості сучасних методів захисту транзакцій у платіжних системах і підвищення рівня їхньої захищеності, а також попередження, усунення та управління можливими супутніми ризиками.
Забезпечення високого рівня безпеки грошових переказів, електронних і мобільних платежів за допомогою платіжних інструментів, а також збереження клієнтських грошей сприяє популяризації безготівкових розрахунків і відходу від використання готівки.
Безпека платежів передбачає, щоб кожен користувач платіжної системи відчував себе захищеним від несанкціонованого доступу до його платіжних інструментів під час здійснення транзакцій. Безпека платежів (Payment Security) вимагає впровадження та використання інноваційних технологій безперервного захисту інформації щодо переказу коштів на всіх етапах її формування, обробки, передачі та зберігання, як з боку учасників платіжних систем, так і операторів послуг платіжної інфраструктури.
Також необхідно зазначити, що платіжні системи можуть використовуватись і для легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення. У зв’язку з цим платіжні операції є об’єктом фінансового моніторингу у частині запобігання та протидії використанню платіжних систем для відмивання «брудних» коштів і фінансування тероризму. Швидкість і простота здійснення платіжних операцій створюють передумови для виникнення ризиків використання легальних платіжних систем у схемах протиправної діяльності фізичних та юридичних осіб.
Здійснення будь-якої платіжної операції супроводжується передаванням переважно у реальному часі якісної та достовірної інформації, яка є ціннісним ресурсом платіжної системи та водночас може бути неправомірно перехоплена і використана зловмисниками через несанкціонований доступ до неї. У зв’язку з цим інформація, яка циркулює у платіжній системі, потребує безперервно надійного захисту на кожній ланці організаційної та технологічної інфраструктури платіжної системи .
Так, для ефективного переказу коштів платіжні системи мають у своїй основі розподілені бази (сховища) даних, що надають можливість оперативного доступу до даних з будь-якої точки мережі. З одного боку, це зручність для здійснення платежів, а, з іншого боку — ймовірність кібератак та несанкціонованих дій щодо інформаційно-телекомунікаційних систем платіжних інфраструктур, що може призвести до таких негативних наслідків: втрата грошей і глобальні катастрофи. Тому режими функціонування і технологічні регламенти роботи платіжних систем повинні визначати питання забезпечення їх кібербезпеки. Наприклад, для забезпечення безперервної діяльності платіжної системи в надзвичайній ситуації платіжна організація даної системи зобов’язана розробити і затвердити план відповідних заходів, спрямованих на підтримку технологій виконання платіжних операцій в надзвичайних умовах, у тому числі і в разі відмови / збою роботи телекомунікаційних мереж та/або окремих складових програмно-технічного забезпечення, а також на відновлення безперервності проведення платежів. Правила будь-якої платіжної системи також передбачають положення про систему управління в ній ризиками (правовим, фінансовими, розрахунковим, операційним, системним), механізм контролю, мінімізації та усунення наслідків впливу ризиків, що виникають у платіжній системі. У разі передачі електронної платіжної інформації для проведення транзакції засобами телекомунікаційного зв’язку відповідної платіжної системи такі дані повинні бути зашифровані.
Для запобігання та протидії шахрайству під час здійснення електронних платежів кожна платіжна організація у внутрішніх правилах роботи своєї платіжної системи повинна передбачити політику інформаційної безпеки шляхом її реалізації за допомогою комплексу організаційних заходів і програмно-технічних засобів, які забезпечують надійний захист інформації на кожній ланці організаційної та технологічної інфраструктури системи.
У своїх рекомендаціях НБУ звертає увагу на обов’язкову відповідність системи захисту інформації певної платіжної системи не лише національному законодавству, а й міжнародним стандартам забезпечення безпеки платежів, серед яких можна виділити сучасні криптографічні алгоритми, протоколи, паролі та ключі з відповідною довжиною щодо захисту інформації для передачі даних у мережі, токенізацію тощо.
Виявити підозрілі операції та не допустити їх допомагають платіжним системам так звані антифрод-системи за допомогою певних правил, фільтрів і списків, за якими і перевіряється кожна транзакція. Такі системи дають змогу запобігти списанню грошей, якщо є підозра на шахрайство. Кожна операція, проходячи через платформу, аналізується, після чого дається рекомендація відхилити або застосувати додаткову перевірку.
Отже, безпека платежів та захист платіжної інформації є фундаментом довіри користувачів до платіжних систем. Правове забезпечення безпеки платежів спрямовано на виявлення вразливостей сучасних методів захисту платіжних транзакцій та підвищення рівня їх безпечності (захищеності), а також попередження, виявлення, усунення та управління можливими супутніми ризиками.
Для забезпечення належного рівня безпеки платежів важливим є досконале правове регулювання відносин у цій сфері за допомогою національного законодавства та міжнародних стандартів щодо впровадження та використання інноваційних технологій безперервного захисту інформації під час платіжних операцій на всіх етапах її формування, оброблення, передавання та зберігання в платіжному просторі.