«Об утверждении стандартов финансовых услуг и технологий»

ПОСТАНОВЛЕНИЕ ПРАВЛЕНИЯ НАЦИОНАЛЬНОГО БАНКА РЕСПУБЛИКИ БЕЛАРУСЬ

20 января 2026 г. № 17

Об утверждении стандартов финансовых услуг и технологий

На основании абзаца пятьдесят седьмого статьи 26 и части первой статьи 39 Банковского кодекса Республики Беларусь Правление Национального банка Республики Беларусь ПОСТАНОВЛЯЕТ:

1. Утвердить:

стандарт финансовых услуг и технологий СФУТ 9.07-2026 «Банковская деятельность. Обеспечение информационной безопасности. Цифровой отпечаток устройства» (прилагается).

2. Настоящее постановление вступает в силу с 1 июля 2026 г.

Председатель Правления

Р.А.Головченко

УТВЕРЖДЕНО

Постановление
Правления
Национального банка
Республики Беларусь
20.01.2026 № 17

СТАНДАРТ ФИНАНСОВЫХ УСЛУГ И ТЕХНОЛОГИЙ
СФУТ 9.06-2026 «Банковская деятельность. Обеспечение информационной безопасности. Антифрод-система при оценке совершаемых операций»

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящий стандарт финансовых услуг и технологий (далее – стандарт) устанавливает общие требования к антифрод-системам и порядку их применения финансовыми организациями при проведении мероприятий по противодействию несанкционированным платежным операциям на платежном рынке Республики Беларусь.

Настоящий стандарт предназначен для использования финансовыми организациями – участниками платежного рынка Республики Беларусь и организациями – разработчиками антифрод-систем.

2. При применении настоящего стандарта необходимо соблюдать требования банковского законодательства, законодательства об информации, информатизации и защите информации, в том числе о персональных данных, включая:

Закон Республики Беларусь от 19 апреля 2022 г. № 164-З «О платежных системах и платежных услугах»;

Указ Президента Республики Беларусь от 29 августа 2023 г. № 269 «О мерах по противодействию несанкционированным платежным операциям и платежным операциям, связанным с незаконным оборотом наркотических средств, психотропных веществ, их прекурсоров и аналогов»;

постановление Правления Национального банка Республики Беларусь от 15 декабря 2023 г. № 453 «О несанкционированных переводах денежных средств (электронных денег)»;

постановление Правления Национального банка Республики Беларусь от 15 декабря 2023 г. № 454 «О предоставлении информации об инцидентах и нарушениях безопасности в сфере защиты информации»;

стандарт финансовых услуг и технологий СФУТ 9.07-2026 «Банковская деятельность. Обеспечение информационной безопасности. Цифровой отпечаток устройства», утвержденный постановлением Правления Национального банка Республики Беларусь, утвердившим настоящий стандарт.

3. Для целей настоящего стандарта нижеперечисленные термины используются в следующих значениях:

BlackList АСОИ – перечень сведений о получателях платежа, номерах счетов и банковских платежных карточек, электронном кошельке в виртуальных игорных заведениях, цифровом отпечатке устройства, а также предоставленные правоохранительными органами сведения о номерах банковских платежных карточек и номерах мобильных телефонов, в отношении которых финансовыми организациями принимается решение об ограничительных мерах;

антифрод-система – программный комплекс, предназначенный для анализа финансовых и (или) иных операций (действий) пользователя платежной услуги на предмет соответствия признакам совершения перевода денежных средств (электронных денег) без согласия пользователя платежной услуги (далее – признаки несанкционированного перевода) или несанкционированного доступа к системе дистанционного обслуживания (далее – СДО);

ограничительные меры – блокировка (отключение, разрыв активной сессии) доступа в СДО, приостановление или отказ в осуществлении перевода денежных средств (электронных денег), блокировка банковской платежной карточки, приостановление расходных операций по текущему (расчетному) банковскому счету пользователя платежной услуги, запрет выдачи денежных средств с текущего (расчетного) банковского счета пользователя платежной услуги, установление ограничений в отношении сумм и (или) количества операций, осуществляемых с использованием банковских платежных карточек, запрет в получении кредита.

Термин «несанкционированные платежные операции» используется в значении, определенном в пункте 4 Указа Президента Республики Беларусь от 29 августа 2023 г. № 269.

Термины «перевод денежных средств (электронных денег)», «платеж», «платежная операция», «платежный рынок Республики Беларусь», «пользователь платежной услуги», «поставщик платежных услуг» и «финансовые организации» используются в значениях, определенных соответственно в подпунктах 1.17–1.19, 1.25, 1.28, 1.30 пункта 1 и подпункте 2.1 пункта 2 статьи 2 Закона Республики Беларусь «О платежных системах и платежных услугах».

4. В Республике Беларусь в рамках выстраивания системы противодействия киберугрозам в банковской сфере функционирует механизм противодействия несанкционированным платежным операциям. Составной частью механизма являются антифрод-системы финансовых организаций и автоматизированная система обработки инцидентов Национального банка (далее – АСОИ). Посредством АСОИ осуществляется информационное взаимодействие между финансовыми организациями и правоохранительными органами, координатором которого является центр мониторинга и реагирования на компьютерные угрозы в банковской сфере (далее – FinCERTby), созданный в Национальном банке.

В целях снижения количества случаев несанкционированных платежных операций и попыток их совершения (далее – инциденты) финансовые организации при необходимости разрабатывают и применяют иные механизмы противодействия несанкционированным платежным операциям, устанавливают процессы оценки вероятности совершения несанкционированных платежных операций, утверждают порядок принятия ограничительных мер при выявлении индикаторов подозрительности в ходе оказания финансовых услуг.

ГЛАВА 2
ТРЕБОВАНИЯ К АНТИФРОД-СИСТЕМАМ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ

5. Антифрод-система применяется финансовой организацией в целях обеспечения проверки осуществления платежей на соответствие признакам несанкционированного перевода, установленным Национальным банком, посредством использования информации, представленной пользователями платежных услуг при осуществлении платежей, а также информации о технических параметрах устройств, с помощью которых осуществляются эти платежи.

6. Антифрод-система может приобретаться финансовой организацией с соблюдением требований банковского законодательства, законодательства об информации, информатизации и защите информации, в том числе о персональных данных.

7. Финансовая организация обеспечивает организацию администрирования антифрод-системы, включая техническую поддержку, сопровождение, обновление и настройку.

8. Антифрод-система обеспечивает возможность проведения финансовой организацией оценки платежа на предмет выявления признаков несанкционированного перевода, несанкционированного входа в СДО.

Реализуемые в антифрод-системе правила и фильтры распознают необычное поведение, отличающееся от стандартного, и оценивают признаки несанкционированного перевода, после чего применяются меры по разрешению или запрету проведения платежной операции либо прекращению активной сессии пользователя платежной услуги.

По результатам оценки операций (событий) антифрод-система присваивает операции одну из условных меток (определяет операции, требующие принятия ограничительных мер, которые условно соответствуют меткам):

зеленая («утверждено») – несанкционированная платежная операция не обнаружена либо сессия имеет минимальный уровень риска, принятие ограничительных мер не требуется;

желтая («необходима ревизия») – вероятность несанкционированной платежной операции повышена либо сессия имеет средний уровень риска, необходима дополнительная проверка;

красная («тревога») – необычные поведенческие действия пользователя платежной услуги, высокая вероятность проведения несанкционированной платежной операции либо сессия имеет критический уровень риска, требуется принятие незамедлительных ограничительных мер.

9. Результаты работы антифрод-системы являются основанием для принятия решения об определении статуса платежа или оценке поведения пользователя платежной услуги при осуществлении платежа в информационных системах финансовой организации. Результаты работы антифрод-системы носят вероятностный характер, зависят от полноты обработанных данных и применяемых алгоритмов их обработки. Решение о применении ограничительных мер, одобрении платежной операции либо допуске пользователя платежной услуги в СДО принимается в соответствии с уровнем риска, установленным финансовой организацией.

10. Антифрод-система в зависимости от обрабатываемой информации включает:

сессионный антифрод – обработка информации о пользовательском окружении и поведении пользователя платежной услуги в рамках сессии в СДО;

транзакционный антифрод – обработка информации на основе имеющихся данных о пользователе платежной услуги, номерах счетов и (или) номерах банковских платежных карточек, сумме денежных средств и другой информации платежного документа и баз данных.

11. Сессионный антифрод на основе настроенных правил и фильтров, которые распознают необычное поведение пользователя платежной услуги в СДО и оценивают признаки несанкционированного перевода, вырабатывает решение, которое передается в СДО для применения меры по разрешению или запрету использования сервисов СДО пользователем платежной услуги.

12. Транзакционный антифрод на основе настроенных правил и фильтров, которые оценивают параметры платежа, информацию об инициаторе и получателе платежа и иную информацию на предмет определения признака несанкционированного перевода, вырабатывает решение, передаваемое в информационные системы, обеспечивающие банковский технологический платежный процесс, для применения меры по разрешению или запрету проведения данного платежа пользователем платежной услуги.

13. Результаты работы антифрод-системы могут быть обработаны в автоматическом или ручном режиме.

14. Отдельные функции антифрод-системы могут выполняться непосредственно в информационных системах финансовых организаций, обеспечивающих банковский технологический платежный процесс.

ГЛАВА 3
ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ МЕР ПО ПРОТИВОДЕЙСТВИЮ НЕСАНКЦИОНИРОВАННЫМ ПЛАТЕЖНЫМ ОПЕРАЦИЯМ

15. В локальных правовых актах финансовых организаций в рамках обеспечения организационных мер по противодействию несанкционированным платежным операциям регламентируются следующие вопросы:

проведение в финансовой организации мероприятий по предупреждению, выявлению и противодействию несанкционированным платежным операциям, в том числе с использованием антифрод-системы;

взаимодействие структурных подразделений финансовой организации при получении информации об инцидентах;

процедуры (методики) выявления признаков несанкционированного перевода в применяемой финансовой организацией антифрод-системе.

16. Финансовые организации в рамках своей деятельности применяют признаки несанкционированного перевода, установленные постановлением Правления Национального банка Республики Беларусь от 15 декабря 2023 г. № 453.

17. Для анализа характера, параметров и (или) объемов инициируемого пользователем платежной услуги перевода, а также информации о технических параметрах устройства, с помощью которого осуществляется инициирование перевода по платежу, финансовые организации применяют классы мониторинга согласно приложению.

При подозрении на выявление признаков несанкционированного перевода финансовые организации анализируют полученную информацию по совокупности индикаторов подозрительности каждого из признаков соответствующего класса мониторинга согласно имеющейся у финансовых организаций методики (правил) оценки классов мониторинга.

Методика (правила) оценки классов мониторинга должна содержать детальное описание процедур по отдельным индикаторам подозрительности каждого из признаков класса мониторинга и порядок использования результатов, полученных в процессе совокупной оценки индикаторов подозрительности каждого из признаков соответствующего класса, а также иные необходимые процедуры, порядки и регламенты.

18. Финансовые организации в соответствии с постановлением Правления Национального банка Республики Беларусь от 15 декабря 2023 г. № 454 представляют информацию о результатах рассмотрения инцидента, полученную посредством АСОИ от правоохранительных органов или иных финансовых организаций в режиме 24/7 с дальнейшим представлением информации по ним в АСОИ. Информация об инциденте содержит сведения об отправителе и получателе платежа.

Информация об инциденте автоматически посредством АСОИ направляется в банк – получатель платежа для дальнейшего дозаполнения (актуализации) в режиме 24/7 с момента ее получения по цепочке движения денежных средств до следующего получателя платежа.

При заполнении информации об инциденте в АСОИ, полученной в результате изучения цепочки движения денежных средств, последующие получатели инцидента из АСОИ дозаполняют (актуализируют) инциденты в отношении получателей платежа (уточняют информацию о вторых получателях и направляют информацию о третьих и последующих получателях платежа).

Финансовая организация, получившая посредством АСОИ информацию о получателе платежа (в случае его участия в построении цепочек) от поставщика платежных услуг, сформировавшего инцидент в АСОИ или дозаполнившего (актуализировавшего) инцидент, связанный со свершившимся фактом несанкционированного перевода денежных средств (электронных денег), принимает решение об ограничительных мерах в отношении такого получателя платежа.

19. Информация из АСОИ используется финансовыми организациями для проверки совершения платежей в антифрод-системе и иных информационных системах финансовых организаций, обеспечивающих банковский технологический платежный процесс.

20. FinCERTby в рамках функционирования АСОИ формирует по отдельным критериям BlackList АСОИ.

BlackList АСОИ содержит:

сведения о получателе платежа (фамилия, собственное имя, отчество (если таковое имеется) и идентификационный номер (при наличии), номер счета, номер банковской платежной карточки, внутренний (аналитический) номер счета и номер договора с указанием принадлежности к финансовой организации, номер мобильного телефона, с помощью которого осуществлено хищение денежных средств, а также сведения об иных реквизитах получателя платежа);

сведения о номерах счетов и банковских платежных карточек, эмитированных иностранными банками, с указанием наименования и страны регистрации иностранного банка;

сведения о реквизитах получателя платежа (оператора криптоплатформы) с указанием идентификационных данных владельца виртуального кошелька;

сведения об электронном кошельке в виртуальных игорных заведениях;

предоставленные правоохранительными органами сведения о номерах банковских платежных карточек, эмитированных иностранными банками, без уточнения принадлежности к банку или стране и номерах мобильных телефонов, предоставленных иностранными операторами сотовой электросвязи;

информацию о цифровом отпечатке устройства в соответствии со стандартом финансовых услуг и технологий СФУТ 9.07-2026 «Банковская деятельность. Обеспечение информационной безопасности. Цифровой отпечаток устройства», с помощью которого осуществлен несанкционированный перевод денежных средств (электронных денег).

Информация из BlackList АСОИ представляется FinCERTby финансовым организациям посредством АСОИ отдельным агрегированным файлом автоматически 4 раза в сутки.

21. Актуальная информация из BlackList АСОИ загружается финансовой организацией в антифрод-систему и иные информационные системы, обеспечивающие банковский технологический платежный процесс, и проверяется на предмет совпадения с получателями денежных средств.

22. Финансовые организации принимают решение об ограничительных мерах при совпадении с информацией из BlackList АСОИ информации о получателе платежа по номеру мобильного телефона (по платежам, осуществленным посредством системы мгновенных платежей) или хотя бы одной из следующих пар признаков:

номер счета получателя платежа и банк получателя платежа;

номер банковской платежной карточки получателя платежа и банк получателя платежа;

внутренний (аналитический) номер счета получателя платежа и банк получателя платежа;

номер договора получателя платежа и банк получателя платежа;

реквизиты получателя платежа и банк получателя платежа;

номер мобильного телефона получателя платежа и банк получателя платежа.

При совпадении информации о получателе платежа (идентификационный номер, фамилия, собственное имя, отчество (если таковое имеется) с информацией из BlackList АСОИ по инцидентам, по которым осуществлен несанкционированный перевод, финансовым организациям рекомендуется обратить особое внимание на поступления в пользу данного получателя платежа на предмет его возможной причастности к несанкционированным переводам с целью своевременного принятия ограничительных мер.

23. При получении из АСОИ информации об инцидентах, по которым не произошло списание денежных средств (произошла попытка совершения несанкционированного перевода), финансовые организации, отличные от финансовой организации, сформировавшей инцидент в АСОИ, проверяют наличие счета у получателя платежа, в пользу которого инициировался несанкционированный перевод. В случае наличия такого счета финансовые организации анализируют движение денежных средств по нему на предмет возможного совершения несанкционированного перевода.

24. Финансовые организации, в которых обслуживаются пользователи платежной услуги, находящиеся в BlackList АСОИ, не вводят ограничительные меры в отношении таких пользователей по фактам получения новых банковских платежных карточек, открытия новых банковских счетов, получения денежных средств в качестве заработной платы, пенсии, стипендии, алиментов и иных выплат социального характера, а также перечислений организациям торговли (сервиса) и платежей в бюджет.

Приложение

к стандарту финансовых услуг
и технологий СФУТ 9.06-2026
«Банковская деятельность.
Обеспечение информационной
безопасности. Антифрод-система
при оценке совершаемых операций»

Классы мониторинга и рекомендуемые признаки классов мониторинга

Класс мониторинга	Рекомендуемые признаки класса мониторинга
Подозрительное поведение в рамках сессии в СДО	Запрос двух одноразовых паролей за определенное количество времени с учетом успешного ввода первого пароля
	Начало новой сессии в отсутствие окончания предыдущей (незакрытие первой сессии после направления уведомления)
	Вход в СДО после отключения пользователя от сессии в связи с подключением с нового IP-адреса
	Множественные попытки входа в СДО одного пользователя (определенное количество логинов за определенное количество времени)
	Множественные попытки входа в СДО одного пользователя с определенного количества разных устройств
	Поведенческая аналитика пользователя платежной услуги в рамках сессии
Подозрительное местоположение	Более двух разных пользователей платежной услуги произвели инициирование перевода денежных средств (электронных денег) с одного IP-адреса (за последнее определенное количество времени)
	Вход в СДО из местоположения (за последнее определенное количество времени), отличающегося от обычного местоположения пользователя платежной услуги на основании его поведенческой аналитики
	Вход в СДО из местоположений, расстояние между которыми нельзя преодолеть быстрее, чем со скоростью, превышающей определенный показатель
Подозрительное устройство	Вход в СДО с нового устройства (за определенное количество времени)
	Вход в СДО с устройства, с которого ранее производился вход в СДО, но с измененной конфигурацией (за определенное количество времени)
	Более двух разных пользователей платежной услуги инициировали перевод денежных средств (электронных денег) с одного устройства за последнее определенное количество времени
	Выявление работы устройства пользователя платежной услуги под внешним управлением
	Выявление факта поведения, отличающегося от обычного поведения пользователя платежной услуги на основании его поведенческой аналитики (скрытие отпечатка устройства (браузера), работа через VPN, использование браузера TOR)
Внесение изменений, затрагивающих безопасность при инициировании перевода денежных средств (электронных денег)	Изменение пароля учетной записи пользователя платежной услуги в рамках сессии
	Изменение (добавление, удаление) номера мобильного телефона для SMS-сообщений в рамках сессии либо смена канала получения одноразового пароля, направляемого пользователю платежной услуги для верификации его действий
	Отключение SMS/E-mail-информирования в рамках сессии
Подозрительное время инициирования перевода денежных средств (электронных денег)	Выявление фактов начала сессии пользователя платежной услуги в СДО во время суток, отличающегося от обычного начала сессии пользователя платежной услуги на основании его поведенческой аналитики (за последнее определенное количество времени)
Аномальные показатели по сумме (количеству) при инициировании перевода денежных средств (электронных денег)	Инициирование одним пользователем платежной услуги переводов денежных средств (электронных денег) с одинаковыми суммами за определенное количество времени
	Инициирование одним пользователем платежной услуги одного или нескольких переводов денежных средств (электронных денег) в сумме, близкой или равной дневному лимиту
Аномальное поведение пользователя платежной услуги при инициировании перевода денежных средств (электронных денег)	Инициирование перевода денежных средств (электронных денег) пользователем платежной услуги, неактивным в течение определенного количества времени
	Инициирование перевода денежных средств (электронных денег), которому предшествует снятие денежных средств с банковских вкладов (депозитов) или получение кредитов
Подозрительный счет пользователя платежной услуги	Счет пользователя платежной услуги открыт недавно (в течение месяца)
Подозрительный счет пользователя платежной услуги	По счету пользователя платежной услуги длительное время отсутствовало движение денежных средств

УТВЕРЖДЕНО

Постановление
Правления
Национального банка
Республики Беларусь
20.01.2026 № 17

СТАНДАРТ ФИНАНСОВЫХ УСЛУГ И ТЕХНОЛОГИЙ
СФУТ 9.07-2026 «Банковская деятельность. Обеспечение информационной безопасности. Цифровой отпечаток устройства»

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящий стандарт финансовых услуг и технологий (далее – стандарт) устанавливает требования для обеспечения единой идентификации устройств в финансовых организациях и информационной безопасности финансовых организаций, в том числе предупреждения, выявления несанкционированных платежных операций на платежном рынке Республики Беларусь и противодействия им.

стандарт финансовых услуг и технологий СФУТ 9.06-2026 «Банковская деятельность. Обеспечение информационной безопасности. Антифрод-система при оценке совершаемых операций», утвержденный постановлением Правления Национального банка Республики Беларусь, утвердившим настоящий стандарт.

3. Для целей настоящего стандарта нижеперечисленные термины используются в следующих значениях:

cookie – текстовые файлы с данными, отправляемые веб-сервером и хранящиеся на устройстве пользователя системы дистанционного обслуживания (далее – СДО);

антифрод-система – программный комплекс, предназначенный для анализа финансовых и (или) иных операций (действий) пользователя СДО на предмет соответствия признакам совершения перевода денежных средств (электронных денег) без согласия пользователя платежной услуги (далее – признаки несанкционированного перевода) или несанкционированного доступа к СДО;

аппаратные значения – параметры, зависящие от физических характеристик устройства (процессор, экран, память и т.д.);

браузер – программа (приложение), которая позволяет пользователям загружать и просматривать веб-страницы в глобальной компьютерной сети Интернет;

идентификация устройства – процесс распознавания устройства посредством сравнения предъявляемого цифрового отпечатка устройства с эталонным цифровым отпечатком устройства;

конкатенация – операция объединения нескольких строк, символов или данных в одну линейную последовательность;

конкатенированные и нормализованные значения – данные, последовательно соединенные в одну строку и приведенные к единому формату для обеспечения согласованности;

ограничительные меры – блокировка (отключение, разрыв активной сессии) доступа в СДО, приостановление или отказ в осуществлении перевода денежных средств (электронных денег), блокировка банковской платежной карточки, приостановление расходных операций по текущему (расчетному) банковскому счету пользователя СДО, запрет выдачи денежных средств с текущего (расчетного) банковского счета пользователя СДО, установление ограничений в отношении сумм и (или) количества операций, осуществляемых с использованием банковских платежных карточек, запрет в получении кредита;

программные значения – параметры, зависящие от конфигурации браузера, операционной системы и других программных настроек;

устройство – персональный компьютер либо мобильное устройство;

хэш-идентификатор – результат преобразования при помощи специального математического алгоритма исходной строки в строку фиксированной длины, состоящую из цифр и букв.

Термин «финансовые организации» используется в значении, определенном в подпункте 2.1 пункта 2 статьи 2 Закона Республики Беларусь от 19 апреля 2022 г. № 164-З «О платежных системах и платежных услугах».

Термины «многофакторная аутентификация», «система дистанционного обслуживания», «цифровой отпечаток мобильного устройства», «цифровой отпечаток персонального компьютера» используются в значениях, определенных соответственно в абзацах одиннадцатом, семнадцатом, двадцать первом и двадцать втором части первой пункта 2 Инструкции об использовании программных и (или) технических средств, проведении удаленной идентификации, удаленного обновления (актуализации) данных, утвержденной постановлением Правления Национального банка Республики Беларусь от 19 сентября 2019 г. № 379.

Термин «API» используется в значении, определенном в абзаце втором пункта 3 стандарта проведения расчетов СПР 6.01-2020 «Банковская деятельность. Информационные технологии. Открытые банковские API. Регламент взаимодействия поставщиков API и пользователей API», утвержденного постановлением Правления Национального банка Республики Беларусь от 31 декабря 2019 г. № 552.

ГЛАВА 2
ОБЩЕЕ ОПИСАНИЕ ТЕХНОЛОГИИ ЦИФРОВОГО ОТПЕЧАТКА УСТРОЙСТВА

4. Цифровой отпечаток мобильного устройства, цифровой отпечаток персонального компьютера (далее – цифровой отпечаток устройства) формируются на основе совокупности характеристик устройства, включая аппаратные значения, версию операционной системы (далее – ОС), версию браузера, а также прочие программные значения, и позволяют идентифицировать устройство пользователя СДО. Для обеспечения максимально точной идентификации устройства необходимо использовать комбинацию уникальных параметров с теми, которые по отдельности не обладают уникальностью, но в сочетании друг с другом позволяют достичь однозначного результата. В связи с возможными изменениями конфигурации устройства, вызванными обновлениями ОС или браузера, дополнительно фиксируются время создания цифрового отпечатка устройства и исходные параметры, на основе которых он был сгенерирован. Такой подход обеспечивает возможность детального анализа и расследования случаев несанкционированных платежных операций. Все значения параметров должны быть приведены к единому строковому формату (в нижний регистр, удалены лишние пробелы, числовые значения преобразованы в строки).

Помимо параметров устройства допускается использование cookie для формирования цифрового отпечатка устройства. При их применении необходимо соблюдать требования законодательства об информации, информатизации и защите информации, в том числе о персональных данных, а также обеспечить информирование пользователей СДО о сборе таких данных.

5. При определении параметров, которые необходимо получать для формирования цифрового отпечатка устройства, учитывается следующее:

в ОС iOS строго ограничено количество версий устройств, стандартизированы размеры экранов и поддерживаемые версии ОС. Устройства одной модели обладают высокой степенью унификации, что делает их практически неразличимыми между собой по аппаратным характеристикам. Количество уникальных параметров, пригодных для формирования цифрового отпечатка устройства, невелико. При этом методы сбора данных для генерации цифрового отпечатка устройства остаются стабильными и редко подвергаются изменениям;

в ОС Android используется открытый исходный код, что приводит к значительному разнообразию версий ОС, включая неофициальные модификации (измененные ОС, пользовательские сборки и другие адаптированные варианты ОС). Доступных параметров для формирования цифрового отпечатка устройства значительно больше, чем в iOS. При этом методы сбора данных для генерации цифрового отпечатка устройства обновляются и изменяются чаще;

вне зависимости от используемой ОС при попытке запроса некоторых параметров есть вероятность получить нулевые (пустые) значения;

в разных версиях ОС при извлечении одного и того же параметра могут быть получены разные значения, при этом для получения данных в новых версиях ОС могут быть дополнительно запрошены разрешения со стороны пользователя СДО, что приводит к невозможности получения параметров;

к изменению параметров устройства могут привести смена используемого браузера, переустановка мобильного приложения, перезагрузка устройства, сброс настроек устройства, обновление программного обеспечения устройства, смена SIM-карты, комплектующих устройств;

из-за развития мобильных платформ и браузеров, изменения их настроек, изменения политик доступов состав параметров, необходимых для идентификации устройства, может изменяться.

6. В целях применения технологии цифрового отпечатка устройства отбор параметров проводится с учетом следующих критериев:

параметры являются легкодоступными для их извлечения;

параметры являются наиболее сложными для изменения их значений пользователем СДО;

параметры являются уникальными для конкретного устройства либо обеспечивают в комбинации достаточную уникальность для идентификации устройства.

ГЛАВА 3
ТРЕБОВАНИЯ ПО ФОРМИРОВАНИЮ ЦИФРОВОГО ОТПЕЧАТКА УСТРОЙСТВА

7. Приложение или веб-сайт финансовой организации проводят сбор данных с устройства пользователя СДО на предмет общих, особых и уникальных параметров и настроек, а также сведений о конфигурации аппаратного обеспечения в соответствии с пунктами 10 и 11 настоящего стандарта.

8. Цифровые отпечатки устройств по точкам сбора подразделяются на два основных вида:

цифровой отпечаток устройства в веб-канале (точка сбора – персональные компьютеры, мобильные устройства);

цифровой отпечаток устройства для мобильного приложения (точка сбора – мобильные устройства).

9. Параметры устройств, используемые для формирования цифрового отпечатка устройства, указываются в разработанном Национальным банком наборе параметров цифрового отпечатка устройства, используемого в антифрод-системах финансовых организаций и автоматизированной системе обработки инцидентов Национального банка (далее – АСОИ), размещаемом в АСОИ в разделе «Справочная информация» (далее – набор параметров).

10. В целях создания цифрового отпечатка устройства в веб-канале необходимо использовать параметры устройств, указанные в таблице 1 набора параметров. Элементы параметров соответствуют определенному формату.

При невозможности получения значения какого-либо параметра в значении указывается пустая строка в виде {«Имя_параметра»: «»}.

11. В целях создания цифрового отпечатка устройства в мобильном приложении необходимо использовать параметры устройств, указанные в таблице 2 набора параметров, в которой отражены универсальные параметры для всех платформ и дополнительные – в зависимости от ОС.

Приведенный в таблице 2 набора параметров код получения данных является примером использования открытых функций, предоставляемых ОС Android и iOS. Эти функции могут изменяться в зависимости от появления новых версий ОС и обновлений политик конфиденциальности.

Сбор указанных параметров цифровых отпечатков должен осуществляться исключительно через вызов методов API, предоставляемых этими ОС.

Для ОС Android описание доступных методов API находится в официальной документации: https://developer.android.com.

Для ОС iOS описание методов API находится в официальной документации: https://developer.apple.com.

Изменения в API и политики обеих платформ контролируются финансовыми организациями таким образом, чтобы их приложения соответствовали актуальным стандартам безопасности и конфиденциальности.

12. Финансовой организацией обеспечивается полнота сбора параметров цифрового отпечатка устройства в соответствии с набором параметров, в том числе данные о местоположении устройства, с обязательным информированием пользователя СДО о сборе таких данных.

13. Формирование и адаптивное обновление цифрового отпечатка устройства предусматривают следующее:

13.1. первичное формирование эталонного цифрового отпечатка устройства осуществляется финансовой организацией при успешной удаленной идентификации клиента или первой успешной многофакторной аутентификации клиента в СДО через мобильное приложение или веб-браузер с целью совершения платежной операции или получения банковской услуги. Полученный эталонный цифровой отпечаток устройства, а также все исходные параметры, использованные для его формирования, вносятся финансовой организацией в базу данных эталонных цифровых отпечатков устройств в качестве базового эталонного образца для данного устройства и связываются с уникальным идентификатором клиента;

13.2. эталонный цифровой отпечаток устройства не является статичным и подлежит регулярной актуализации. Основанием для актуализации являются успешная многофакторная аутентификация клиента и последующее подтверждение легитимности операций. В этом случае в автоматическом режиме обновляется эталонный цифровой отпечаток устройства с учетом естественных изменений параметров устройства (например, обновление версии браузера или операционной системы, изменение разрешения экрана), тем самым минимизируется количество ложных срабатываний при последующих проверках;

13.3. поскольку клиент может использовать несколько устройств для доступа к СДО, финансовой организацией допускается привязка нескольких уникальных эталонных отпечатков к одной клиентской записи. Каждое устройство идентифицируется, актуализируется и хранится в базе данных эталонных цифровых отпечатков устройств отдельно.

14. Финансовые организации ведут базу данных эталонных цифровых отпечатков устройств и сохраняют в ней эталонные цифровые отпечатки устройств пользователя СДО вместе с исходными значениями параметров устройства, использованными при формировании соответствующего цифрового отпечатка устройства.

15. Финансовые организации при хранении цифровых отпечатков устройств реализуют следующие мероприятия:

обеспечивают связку с уникальным идентификатором клиента;

сохраняют дату сбора цифрового отпечатка устройства, исходных параметров;

сохраняют историю изменения цифрового отпечатка устройства с признаками актуальности, которая учитывается при анализе или сравнении цифровых отпечатков.

16. Срок хранения собранных цифровых отпечатков устройств вместе с набором параметров, на основе которых они сформированы, а также результатов сверки цифровых отпечатков устройств с эталонными составляет не менее одного года с момента их последнего использования.

ГЛАВА 4
КРИТЕРИИ ОЦЕНКИ СООТВЕТСТВИЯ ПАРАМЕТРОВ ЦИФРОВОГО ОТПЕЧАТКА УСТРОЙСТВА

17. При входе в СДО финансовая организация выполняет сверку цифрового отпечатка устройства с эталонным отпечатком для этого устройства, программных и аппаратных значений, применяя принцип взвешенной оценки параметров.

18. Введение системы оценки соответствия параметров цифрового отпечатка устройства обусловлено необходимостью эффективного управления рисками, связанными с естественной изменчивостью его характеристик. Поскольку цифровой отпечаток устройства не является постоянным и может регулярно изменяться, для оценки используется система взвешенных баллов.

В целях оптимизации процесса идентификации устройства необходимо использовать двухуровневый подход проверки цифрового отпечатка устройства. Первичная проверка осуществляется по унифицированному хэш-идентификатору, вторичная (детальная) – по анализу отдельных параметров.

19. Первичная проверка осуществляется в два этапа. На первом этапе формируются специализированные хэш-идентификаторы различных категорий параметров:

аппаратный хэш-идентификатор – SHA-256 от конкатенированных и нормализованных значений стабильных аппаратных параметров (Device Model, Screen Resolution, Build.MANUFACTURER и др.);

программный хэш-идентификатор – SHA-256 от конкатенированных и нормализованных значений изменяемых программных параметров (OS Version, Time zone, и др.).

На втором этапе формируется унифицированный хэш-идентификатор путем конкатенации аппаратного и программного хэш-идентификаторов с последующим вычислением SHA-256 от полученной строки.

Полученный унифицированный хэш-идентификатор сравнивается с полученным аналогичным образом унифицированным хэш-идентификатором эталонного цифрового отпечатка устройства.

20. При проведении вторичной проверки для количественной оценки степени соответствия цифрового отпечатка устройства эталонному образцу применяется алгоритм взвешенной оценки. Каждому параметру цифрового отпечатка устройства присваивается коэффициент важности (вес), выраженный в процентах, указанный в наборе параметров. Сумма весов всех параметров составляет 100 %.

21. Коэффициент доверия (КД) сессии рассчитывается по формуле

где Вес_n – коэффициент важности n-го параметра;

Совпадение_n – бинарный показатель совпадения параметра (1 – полное совпадение; 0 – несовпадение).

22. На основе рассчитанного коэффициента доверия сессии финансовая организация в соответствии с таблицей 1 принимает решение об ограничительных мерах в отношении пользователя СДО.

Таблица 1 – Классификация коэффициентов доверия

Зона риска	Коэффициент доверия, %	Процедура обработки
Зеленая	> 85	Высокий уровень доверия. Ограничительных мер не требуется
Желтая	60–84	Средний уровень доверия. Необходима дополнительная проверка
Красная	< 60	Критический уровень риска. Требуются незамедлительные ограничительные меры

ГЛАВА 5
ПРИМЕНЕНИЕ ЦИФРОВОГО ОТПЕЧАТКА УСТРОЙСТВА ПРИ ВЗАИМОДЕЙСТВИИ С АСОИ

23. При предоставлении информации о несанкционированных платежных операциях и попытках их совершения (заполнении инцидента) посредством АСОИ финансовая организация предоставляет сведения о цифровом отпечатке устройства, с которого был инициирован платеж. Цифровой отпечаток устройства предоставляется в виде информационной строки, содержащей все параметры устройства, в порядке, определенном в наборе параметров. В качестве разделителя между полями информационной строки используется символ «;» (точка с запятой).

При отсутствии данных о каком-либо параметре в значении указывается пустая строка в виде {«Имя_параметра»: «»}, при этом сохраняется структура информационной строки.

24. При заполнении цепочки банк-получатель, а также второй и последующие получатели предоставляют цифровой отпечаток устройства получателя.

25. Центр мониторинга и реагирования на компьютерные угрозы в банковской сфере Республики Беларусь, созданный в Национальном банке, в рамках функционирования АСОИ предоставляет финансовым организациям BlackList АСОИ, содержащий цифровые отпечатки устройств получателей.

26. Финансовая организация проводит сверку цифрового отпечатка устройства с информацией, полученной из BlackList АСОИ, также применяя принцип взвешенной оценки параметров.

Коэффициент риска (КР) рассчитывается по формуле

где Вес_n – коэффициент важности n-го параметра;

Совпадение_n – бинарный показатель совпадения параметра (1 – полное совпадение; 0 – несовпадение).

На основе рассчитанного коэффициента риска финансовая организация в соответствии с таблицей 2 принимает решение об ограничительных мерах в отношении пользователя СДО.

Таблица 2 – Классификация коэффициентов риска

Зона риска	Коэффициент риска, %	Процедура обработки
Красная	> 85	Критический уровень риска. Требуются незамедлительные ограничительные меры
Желтая	50–84	Средний уровень доверия. Необходима дополнительная проверка
Зеленая	< 50	Высокий уровень доверия. Ограничительных мер не требуется