Заблокируют за звонок: в Узбекистане вводят строгие лимиты для банковских приложений

В Узбекистане кардинально меняется ландшафт цифровой безопасности в финансовом секторе. Министерство юстиции совместно с Центральным банком утвердили обновленный свод требований, направленный на борьбу с кибермошенничеством и защиту данных пользователей. Положение за номером 3759, которое вступит в полную юридическую силу через три месяца после официальной публикации, вводит жесткие технические регламенты для всех участников рынка - от банковских гигантов до платежных сервисов вроде Click, Paynet и экосистемы Uzum.

Основной удар регулятора направлен на так называемые дроп-схемы и несанкционированное использование чужих счетов. Согласно новым правилам, пользователи финтех-приложений теперь лишаются возможности привязывать к своим аккаунтам карты третьих лиц. Исключение сделано лишь для карт, принадлежащих близким родственникам владельца аккаунта. Механизм верификации будет автоматизирован: системы обязаны сверять ПИНФЛ и номер телефона пользователя с данными держателя карты. Если обнаружится несовпадение, алгоритм моментально заблокирует попытку интеграции карты или регистрацию в приложении.

Существенно ужесточаются требования к биометрической идентификации. Регулятор фактически объявил войну статичным изображениям, запретив использование простых фотографий для авторизации. Теперь финансовые организации обязаны внедрить технологии Liveliness Detection – системы, способные распознавать «живое присутствие» человека в кадре, что должно исключить использование дипфейков или масок при прохождении проверки.

Изменения коснутся и повседневной рутины использования мобильных банков. Вводится строгая дисциплина ввода паролей: троекратная ошибка при наборе кода из SMS приведет к автоматической блокировке входа в приложение на 15 минут. Более того, концепция «доверенного устройства» становится ключевой. При попытке зайти в свой профиль с нового гаджета или при процедуре восстановления пароля система произведет принудительную «очистку»: все ранее привязанные карты и история транзакций, сохраненная локально на устройстве, будут безвозвратно удалены. Восстановить привязку карт можно будет исключительно через повторную биометрическую идентификацию личности.

Отдельный блок нововведений касается онлайн-кредитования и переводов. Кредитные бюро переходят на лимитированный режим работы, обрабатывая не более одной заявки на онлайн-займ в сутки от одного ПИНФЛ. Это призвано охладить пыл мошенников, пытающихся оформить серию кредитов на жертву за короткий промежуток времени.

Сфера P2P-переводов также подверглась жесткой регламентации. Веб-интерфейсы для переброски средств между картами фактически попадают под запрет - транзакции разрешены только через защищенные мобильные приложения. Каждая операция требует подтверждения уникальным одноразовым паролем (OTP), жизненный цикл которого сокращен до 59 секунд. При этом код будет действовать строго на том устройстве, куда он был доставлен, что исключает возможность перехвата управления с другого девайса.

Разработчикам приложений придется внедрить и новые алгоритмы поведенческого контроля. Если во время работы с финансами на телефоне активен аудио- или видеозвонок (включая мессенджеры) или зафиксировано удаленное управление устройством, приложение обязано прекратить работу. Перед любой транзакцией пользователь увидит всплывающее окно с требованием осознанно подтвердить, что он действует самостоятельно, без давления извне. Без этой галочки деньги никуда не уйдут.

Наконец, вводится жесткий тайм-менеджмент сессий. Три минуты бездействия в приложении или веб-версии - и сеанс автоматически завершается. В меню настроек появится обязательный раздел «Активные сессии» с детальным логом всех входов (IP, устройство, ОС) и кнопкой принудительного завершения подозрительных подключений. При любой попытке взлома или утечке аутентификационных данных вход по паролю будет заблокирован, оставив единственным ключом к деньгам биометрию владельца, о чем банк обязан немедленно уведомить клиента через SMS.