НБУ оновив вимоги щодо посиленої автентифікації на платіжному ринку :: Коментарі до нормативних документів і роз'яснень

НБУ оновив вимоги щодо посиленої автентифікації на платіжному ринку

Документ

Постанова Правління НБУ від 13.01.2026 р. № 4 «Про затвердження Змін до Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку»

Коментар

НБУ постановою від 13.01.2026 р. № 4 (Постанова № 4) вніс зміни до Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку, затвердженого постановою Правління НБУ від 03.05.2023 р. № 58 (Положення № 58). Зокрема, слід звернути увагу на наступні зміни.

1. Щодо введення токенізації.

Введено новий термін «токен платіжної картки». Так, згідно з новим пп.18¹ п.3 глави 1 розділу І Положення № 58 токен платіжної картки – це унікальний цифровий ідентифікатор, створений для заміни даних платіжної картки та використання під час ініціювання платіжних операцій, який може використовуватися як один з елементів (даних) посиленої автентифікації за умови, що його створено із застосуванням посиленої автентифікації користувача, проведеної надавачем платіжних послуг з обслуговування рахунку (емітентом платіжної картки).

2. Щодо показників референтного коефіцієнту рівня шахрайства.

Зокрема, внесено зміни до додатку «Референтний коефіцієнт рівня шахрайства» Положення № 58. До того ж згідно із змінами, внесеними до п.49 глави 13 розділу ІІІ Положення № 58, надавач платіжних послуг з обслуговування рахунку повинен забезпечити такий коефіцієнт рівня шахрайства, який буде еквівалентним або нижчим за референтний коефіцієнт рівня шахрайства, визначений у додатку для кожного виду платіжних операцій, незалежно від того, чи ініціювання таких операцій здійснено із застосуванням посиленої автентифікації, чи з використанням будь-яких винятків, визначених у главах 9 – 12 розділу III Положення № 58.

Надавач платіжних послуг з обслуговування рахунку зобов'язаний проводити розрахунок коефіцієнта рівня шахрайства щомісяця в перший робочий день наступного місяця (відповідні зміни внесено до п.51 глави 13 розділу ІІІ Положення № 58).

Відповідно до нової редакції п.53 глави 14 розділу ІІІ Положення № 58 надавач платіжних послуг з обслуговування рахунку зобов’язаний вимагати застосовування посиленої автентифікації користувача платіжної послуги навіть, якщо операція має низький рівень ризику відповідно до п.47 глави 12 розділу ІІІ Положення № 58, але протягом двох кварталів поспіль розрахований коефіцієнт рівня шахрайства для цього виду платіжних операцій перевищує референтний коефіцієнт, визначений в додатку до цього Положення.

3. Щодо випадків, коли надавачі платіжних послуг не вимагатимуть посиленої автентифікації.

Надавач платіжних послуг з обслуговування рахунку має право не вимагати застосування посиленої автентифікації користувача в разі отримання від користувача платіжної інструкції, підписаної кваліфікованим електронним підписом такого користувача, або якщо під час доступу користувача до рахунку здійснюється автентифікація із використанням кваліфікованого електронного підпису (главу 1 розділу І Положення № 58 доповнено новим п.5¹).

Надавач платіжних послуг має право не застосовувати посилену автентифікацію користувачів платіжної послуги у випадках виконання транскордонної платіжної операції з використанням реквізитів платіжної картки та ініціювання та/або виконання платіжної операції з використанням системи S.W.I.F.T. (главу 1 розділу І Положення № 58 доповнено новим п.7¹).

Відповідно до змін, внесених до п.37 глави 9 розділу ІІІ Положення № 58, надавач платіжних послуг з обслуговування рахунку та інші задіяні у відповідній платіжній операції надавачі платіжних послуг мають право не вимагати застосування посиленої автентифікації користувачів платіжної послуги за умови дотримання вимог п.8 та 9 глави 2 розділу І цього Положення, а також одночасного виконання наступних умов:

сума дистанційної платіжної операції не перевищує 2000 гривень;
загальна сума попередніх платіжних операцій, ініційованих платником з часу застосування останньої посиленої автентифікації користувача платіжної послуги, не перевищує 10 000 гривень або кількість попередніх операцій, ініційованих платником з часу застосування останньої посиленої автентифікації користувача платіжної послуги, не перевищує п'яти послідовних окремих операцій.

Надавач платіжних послуг з обслуговування рахунку та інші задіяні у відповідній платіжній операції надавачі платіжних послуг відповідно до нового п.37¹ глави 9 розділу ІІІ Положення № 58 мають право не вимагати застосування посиленої автентифікації користувачів платіжної послуги в разі проведення дистанційної платіжної операції, включаючи з використанням електронного платіжного засобу, токена платіжної картки, на суму, що не перевищує 30000 гривень, з метою:

сплати податків, зборів та інших обов’язкових платежів до державного та/або місцевих бюджетів, єдиного внеску на загальнообов’язкове державне соціальне страхування, а також визначених контролюючим органом грошових зобов’язань;
погашення (стягнення) податкового боргу, недоїмки зі сплати єдиного внеску на загальнообов’язкове державне соціальне страхування;
сплати розстрочених (відстрочених) грошових зобов’язань або податкового боргу платника податків та/або сум єдиного внеску на загальнообов’язкове державне соціальне страхування;
оплати житлово-комунальних послуг.

Надавач платіжних послуг з обслуговування рахунку має право не вимагати застосовування посиленої автентифікації платника за умови дотримання вимог, визначених у п.8 та 9 глави 2 розділу І цього Положення, у разі ініціювання платником кредитового переказу між власними рахунками, що обслуговуються одним надавачем платіжних послуг (відповідні зміни внесено до п.42 глави 10 розділу ІІІ Положення № 58).

Постанова № 4 набрала чинності з дня, наступного за днем її офіційного опублікування, – 22 січня 2026 р. (п.4 Постанови № 4).¹

¹ Постанову № 4 офіційно опубліковано на офіційному Інтернет-представництві НБУ 21.01.2026 р.