Gücləndirilmiş müştəri autentifikasiyasının yerli tətbiqi ilə bağlı problemlər

Onlayn ödənişlərin artım dalğası davam edərkən ödənişlərin təhlükəsizliyi barədə müzakirələr daha da aktuallaşır. Son illərdə isə xüsusilə müxtəlif cihazlarda və veb platformalarda ödənişlərdən istifadə durmadan artır. Sürətlə genişləndiyi qədər kənar müdaxilələrə də həssas olan bu sahə ödəniş edənlərin təhlükəsizliyi və eyniləşdirilməsi problemləri ilə diqqət çəkir. Bununla əlaqədar gücləndirilmiş müştəri autentifikasiyası (“GMA”) ifadəsi də aktlara yaxın vaxtlarda daxil olub. Bəs məsələ üzrə müvafiq təcrübə və yerli tənzimləmə nə yerdədir?

GMA ifadəsindəki “autentifikasiya” hər hansı ödəniş icra olunmazdan əvvəl şəxsin eyniləşdirilməsi prosesidir. GMA isə sadə dillə desək, ödənişlərin daha təhlükəsiz edilməsi ilə əlaqədar tələbdir. Belə bir tələbin mövcud olmasının əsas məqsədi onlayn edilən ödənişlər zamanı saxtakarlıq hallarının, risklərin minimuma endirilməsidir.

Onlayn ödənişlərdə GMA tələbi 2019-cu ildə yenilənmiş ödəniş xidmətləri barədə Avropa İttifaqı Direktivinin¹ (“Direktiv”) gətirdiyi yeniliklərdən biridir. Direktivə əsasən GMA (i) istifadəçinin bildiyi, (ii) sahib olduğu və (iii) ona məxsus olan kimi təsnifləşdirilən, iki və daha çox müstəqil elementin istifadəsinə əsaslanan autentifikasiyadır.² İstifadəçinin bildiyi məlumatlara yalnız onun bilməli olduğu informasiya aiddir. Tipik nümunələri pin kod və şifrədir. Sahib olduğu məlumatlara isə ona aid telefon, istifadəçinin xüsusi giriş imkanı olan mobil tətbiq və s. aiddir. “İstifadəçiyə məxsus olan” dedikdə isə barmaq izləri, üz tanıma, səs tanıma və s. başa düşülür.

Yuxarıda sadalanan hər üç element ayrı-ayrılıqda müstəqildir və birinin hər hansı formada yanlış olması digərlərinə təsir göstərmir.³ Həmçinin onlayn ödənişlər zamanı həmin üç elementdən ən az ikisinin istifadəsi məcburidir. Belə ki, eyni element daxilində iki növün istifadəsi, məsələn, həm üz tanıması, həm də barmaq izinin istifadəsi GMA tələbinin ödənilməsi sayılmayacaqdır.

“Autentifikasiya” anlayışı yerli qanunvericilikdə öz əksini müxtəlif formalarda tapsa da,⁴ GMA-nın yerli qanunvericilikdə ödənişlər üçün xüsusi olaraq tətbiq edilməsi tələbi mövcud deyil.⁵ Konkret olaraq GMA anlayışı isə Mərkəzi Bankın bu il yenilənmiş “Bank hesablarının açılması, aparılması və bağlanması” Qaydalarında (“Qaydalar”) istifadə edilmişdir. Qaydaların 5.7-ci maddəsində göstərilən GMA anlayışı Direktivdəki GMA anlayışı ilə eynilik təşkil edir.

Lakin Direktivlə Qaydalar arasında əsas fərq ondan ibarətdir ki, Direktiv mövcud müştərilərin hesablardan istifadəsi üzrə GMA tətbiqini tələb etdiyi halda, Qaydalar GMA-nı yeni⁶ və mövcud müştərilər⁷ tərəfindən hesab açılması üçün eyniləşdirmə metodlarından biri kimi təsbit edir.

Direktivə əsasən GMA tələbinin tətbiq edilməsinin üç halı müəyyənləşdirilir:

1. Müştəri ödəniş hesabına onlayn daxil olduqda;
2. Müştəri tərəfindən onlayn ödənişlər həyata keçirildikdə;
3. Ödəniş fırıldaqçılığı və ya digər sui-istifadə riskini nəzərdə tutan uzaq kanallar vasitəsilə hər hansı əməliyyatın həyata keçirilməsi.

Yəni Qaydalar Direktivin anlayışını kontekstdən çıxararaq fərqli bir çərçivədə istifadə edir. Sual yaranır ki, Direktivdə hesabdan istifadə üçün təhlükəsizlik tədbiri kimi istifadə edilən GMA-nın Qaydalarda eyni məzmunda bank hesabı açılarkən eyniləşdirmə üsulu olaraq müəyyən edilməsi nə dərəcədə düzgündür?

Belə ki, yuxarıda qeyd edilən GMA elementlərinə nəzər salsaq, görərik ki, həmin elementlər bankda artıq eyniləşdirilmiş şəxslərə aid ola bilər. Nümunə üçün fərqli elementlər olan pin kod və xüsusi girişi olan mobil tətbiqi göstərmək olar. Şəxsin bunlara sahib olması üçün əvvəlcədən bankın müştərisi olmalı və bank tərəfindən ona pin kod və s. təyin edilməlidir. Əks halda bank sadəcə hesab açmaq üçün istifadə edilən cihazda həmin detalları şəxsin məhz özünün müəyyən etməsinə etibar etməlidir. Həmçinin nəzərə alsaq ki, GMA tələbinin ödənilməsi üçün ən azı iki element mövcud olmalıdır, bu da yeni müştəri üçün GMA ilə hesab açmağın təhlükəsizliyini bir daha sual altına alır.

Ümumiyyətlə, GMA anlayışının tərkibinə də nəzər salsaq, müştəri (ingiliscə customer) ifadəsindən istifadə edilir. Müştəri isə bankda ən azı bir dəfə əməliyyat aparmış, bank tərəfindən eyniləşdirilmiş şəxsi ehtiva edir.⁸

Bu nəticəyə gəlmək mümkündür ki, Qaydalarda GMA anlayışı uğurla istifadə edilməmiş, tələbin əsas elementləri dəqiqliklə analiz edilməmişdir. Həmçinin qeyd edilməlidir ki, GMA-nın artıq geniş tətbiq olunması və getdikcə tələblərinin daha da sərtləşməsi zəruri hal almışdır. Belə ki, texnologiyanın inkişafı ilə onlayn ödənişlər zamanı saxtakarlıq halları geniş yayılmaqda davam edir. Qanunvericiliyimizdə də GMA anlayışının düzgün istifadəsi, onun ödənişlər üzrə tətbiqi ilə bağlı şərtlərin müəyyənləşdirilməsi və məcburi hala gətirilməsi risklərin minimallaşdırılmasında mühüm rol oynayacaqdır.

1. Directive (EU) 2015/2366 of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC  (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32015L2366).
2. Direktiv, maddə 4(30).
3. Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32018R0389), maddə 9.
4. “Autentifikasiya” anlayış olaraq Azərbaycan Respublikasının Mərkəzi Bankının “Banklarda informasiya təhlükəsizliyinin idarə edilməsi” Qaydasında göstərilmişdir; həmin qaydalara əsasən autenfikasiya xidmət istifadəçisinin kimliyini və fərdiləşdirilmiş təhlükəsizlik məlumatlarının istifadəsinin etibarlığını yoxlamağa imkan verən prosedurdur.
5. Elektron autentifikasiya üsullarından istifadə sadəcə tövsiyə xarakterli olaraq Mərkəzi Bankın müvafiq metodoloji rəhbərliyində öz əksini tapmışdır: Azərbaycan Respublikasında elektron bankçılıq xidmətlərinin göstərilməsinə və bu xidmətlər üzrə təhlükəsizliyin təmin olunmasına dair Metodoloji Rəhbərlik.
6. Qaydalar, maddə 5.5.2.
7. Qaydalar, maddə 5.6.
8. Azərbaycan Respublikasının qanunverciliyində müştəri anlayışına “Cinayət yolu ilə əldə edilmiş pul vəsaitlərinin və ya digər əmlakın leqallaşdırılmasına və terrorçuluğun maliyyələşdirilməsinə qarşı mübarizə haqqında” Qanunda rast gəlinir. Həmin qanuna əsasən müştəri “pul vəsaitləri və ya digər əmlakla əlaqədar əməliyyatın həyata keçirilməsinə dair monitorinq iştirakçıları və ya monitorinqdə iştirak edən digər şəxslərin hər hansı xidmətindən daimi və ya qeyri-müntəzəm istifadə edən fiziki və ya hüquqi şəxsdir”.