ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
| 13 січня 2026 року № 4 |
Про затвердження Змін до Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку
Відповідно до статей 7, 15, 56 Закону України "Про Національний банк України", статті 68 Закону України "Про платіжні послуги", з метою вдосконалення порядку застосування автентифікації і посиленої автентифікації на платіжному ринку Правління Національного банку України постановляє:
1. Затвердити Зміни до Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку, затвердженого постановою Правління Національного банку України від 03 травня 2023 року № 58 (далі - Положення), що додаються.
2. Учасникам платіжного ринку привести свою діяльність та документи у відповідність до вимог Положення протягом двох місяців із дня набрання чинності цієї постанови.
3. Контроль за виконанням цієї постанови покласти на Голову Національного банку України Андрія Пишного.
4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
| Голова | Андрій ПИШНИЙ |
Інд. 56
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
13 січня 2026 року № 4
Зміни
до Положення про автентифікацію та застосування посиленої автентифікації на платіжному ринку
( Див. текст )
1. У розділі I:
1) у главі 1:
у першому реченні пункту 1 слова "Про електронні довірчі послуги" замінити словами "Про електронну ідентифікацію та електронні довірчі послуги";
у пункті 3:
підпункт 6 виключити;
пункт після підпункту 12 доповнити новим підпунктом 12-1 такого змісту:
"12-1) наслідування елемента (даних) автентифікації - повторне використання надавачем платіжних послуг одного з елементів (даних), що були використані ним для цілей посиленої автентифікації під час поточного сеансу електронної взаємодії з користувачем, з метою виконання в подальшому, протягом цього сеансу, посиленої автентифікації користувача для випадків, визначених Законом про платіжні послуги;";
пункт після підпункту 18 доповнити новим підпунктом 18-1 такого змісту:
"18-1) токен платіжної картки - унікальний цифровий ідентифікатор, створений для заміни даних платіжної картки та використання під час ініціювання платіжних операцій, який може використовуватися як один з елементів (даних) посиленої автентифікації за умови, що його створено із застосуванням посиленої автентифікації користувача, проведеної надавачем платіжних послуг з обслуговування рахунку (емітентом платіжної картки);";
главу після пункту 5 доповнити новим пунктом 5-1 такого змісту:
"5-1. Надавач платіжних послуг з обслуговування рахунку має право не вимагати застосування посиленої автентифікації користувача в разі отримання від користувача платіжної інструкції, підписаної кваліфікованим електронним підписом такого користувача, або якщо під час доступу користувача до рахунку здійснюється автентифікація із використанням кваліфікованого електронного підпису.";
2) у главі 2:
главу після пункту 7 доповнити новим пунктом 7-1 такого змісту:
"7-1. Надавач платіжних послуг має право не застосовувати посилену автентифікацію користувачів платіжної послуги в таких випадках:
1) виконання транскордонної платіжної операції з використанням реквізитів платіжної картки;
2) ініціювання та/або виконання платіжної операції з використанням системи S.W.I.F.T.";
пункт 9 доповнити новим абзацом такого змісту:
"Обсяг та характеристики механізмів і процедур моніторингу операцій з переказу коштів можуть включатися надавачем платіжних послуг з обслуговування рахунку в договори щодо надання платіжних послуг.";
главу після пункту 9 доповнити новим пунктом 9-1 такого змісту:
"9-1. Надавач платіжних послуг, який забезпечує ініціювання дистанційної платіжної операції з використанням платіжної картки користувача платіжних послуг, зобов’язаний сформувати надавачеві платіжних послуг з обслуговування рахунку запит на проведення процедури посиленої автентифікації користувача або на застосування винятків, визначених у главах 9-12 розділу III цього Положення.".
2. У розділі II:
1) у главі 3:
у третьому реченні пункту 10 слова "знання та досвід роботи не менше одного року" замінити словами "сертифікати/дипломи міжнародного та/або державного зразка про здобуття навиків/знань";
у третьому реченні пункту 11 слова "знання та досвід роботи не менше одного року" замінити словами "сертифікати/дипломи міжнародного та/або державного зразка про здобуття навиків/знань";
2) у главі 4:
у пункті 14:
перше речення абзацу першого після слів "створює код автентифікації" доповнити словами "або залучає до його створення іншого надавача платіжних послуг або технологічного оператора платіжних послуг, або оператора платіжної системи";
у другому реченні абзацу другого слова "електронних підписів" замінити словами "кваліфікованих електронних підписів, удосконалених електронних підписів з кваліфікованим сертифікатом";
пункт 18 після слів "надавач платіжних послуг" доповнити словами "з обслуговування рахунку";
пункт 19 викласти в такій редакції:
"19. Надавач платіжних послуг з обслуговування рахунку має право не перевіряти справжності коду автентифікації в разі використання права не вимагати застосування посиленої автентифікації. Рішення про виконання дистанційної платіжної операції або надання доступу до рахунку за допомогою засобів дистанційної комунікації надавач платіжних послуг з обслуговування рахунку приймає за результатом застосування автентифікації користувача платіжних послуг.";
3) у главі 5:
у третьому реченні пункту 21:
слова "електронних підписів" замінити словами "кваліфікованих електронних підписів, удосконалених електронних підписів із кваліфікованим сертифікатом";
слова "ключів або" виключити;
у пункті 22:
в абзаці першому слово "застосування" замінити словами "ініціювання дистанційної платіжної операції під час застосування";
у підпункті 4 слова "та скасування ініціювання платіжної операції" виключити;
підпункт 1 пункту 24 викласти в такій редакції:
"1) стосовно платіжної операції, відповідно до якої платник надав згоду на виконання платіжної операції із зазначенням точної суми грошових коштів, що мають бути перераховані з рахунку платника, код автентифікації повинен бути пов’язаним із отримувачем або отримувачами та сумою платіжної операції, на яку платник погодився під час ініціювання платіжної операції;";
4) підпункт 2 пункту 33 глави 7 після слова "може" доповнити словом "несанкціоновано".
3. У розділі III:
1) у главі 8:
пункт 34 викласти в такій редакції:
"34. Надавач платіжних послуг з обслуговування рахунку має право не вимагати застосування посиленої автентифікації користувачів платіжної послуги за умови дотримання вимог пунктів 8, 9 глави 2 розділу I цього Положення та не розкриття індивідуальної облікової інформації і будь-якої іншої інформації під час надання користувачу відомостей з рахунку з використанням засобів дистанційної комунікації щодо:
1) залишків на рахунках користувача платіжних послуг;
2) переліку платіжних операцій, здійснених із рахунків цього користувача платіжних послуг за останні 90 днів.";
главу після пункту 34 доповнити новим пунктом 34-1 такого змісту:
"34-1. Надавач платіжних послуг з обслуговування рахунку має право не вимагати застосування посиленої автентифікації користувачів платіжної послуги під час надання надавачу платіжних послуг з надання відомостей з рахунків доступу до рахунку такого користувача платіжної послуги за умови дотримання вимог пунктів 8, 9 глави 2 розділу I цього Положення та не розкриття індивідуальної облікової інформації надавачу платіжних послуг із надання відомостей з рахунків у таких випадках:
1) посилена автентифікація користувача була застосована надавачем платіжних послуг з обслуговування рахунку під час першого доступу до рахунку користувача надавачем платіжних послуг з надання відомостей з рахунків у процесі отримання через надавача платіжних послуг з надання відомостей з рахунків згоди користувача на надання відомостей з рахунків;
2) після здійснення посиленої автентифікації користувача, визначеної в підпункті 1 пункту 34-1 глави 8 розділу III цього Положення, минуло не більше 90 днів.";
пункт 35 викласти в такій редакції:
"35. Надавач платіжних послуг з обслуговування рахунку зобов’язаний застосувати посилену автентифікацію, якщо виконується будь-яка з таких умов:
1) користувач платіжних послуг уперше отримує відомості з рахунку, зазначені в пунктах 34 глави 8 розділу III цього Положення;
2) минуло більше 90 днів із моменту, коли користувач платіжної послуги останній раз отримував із використанням засобів дистанційної комунікації відомості з рахунку, зазначені в пункті 34 глави 8 розділу III цього Положення, та була застосована посилена автентифікація користувача платіжної послуги;
3) минуло більше 90 днів із моменту, коли була здійснена посилена автентифікація користувача відповідно до підпункту 1 пункту 34-1 глави 8 розділу III цього Положення.";
пункт 36 виключити;
2) у главі 9:
в абзаці першому пункту 37:
після слів "Надавач платіжних послуг" доповнити словами "з обслуговування рахунку";
слова "в таких випадках" замінити словами ", а також одночасного виконання таких умов";
главу після пункту 37 доповнити новим пунктом 37-1 такого змісту:
"37-1. Надавач платіжних послуг з обслуговування рахунку та інші задіяні у відповідній платіжній операції надавачі платіжних послуг мають право не вимагати застосування посиленої автентифікації користувачів платіжної послуги в разі проведення дистанційної платіжної операції, включаючи з використанням електронного платіжного засобу, токена платіжної картки, на суму, що не перевищує 30000 гривень, з метою:
1) сплати податків, зборів та інших обов’язкових платежів до державного та/або місцевих бюджетів, єдиного внеску на загальнообов’язкове державне соціальне страхування, а також визначених контролюючим органом грошових зобов’язань;
2) погашення (стягнення) податкового боргу, недоїмки зі сплати єдиного внеску на загальнообов’язкове державне соціальне страхування;
3) сплати розстрочених (відстрочених) грошових зобов’язань або податкового боргу платника податків та/або сум єдиного внеску на загальнообов’язкове державне соціальне страхування;
4) оплати житлово-комунальних послуг.";
3) у главі 10:
пункт 41 викласти в такій редакції:
"41. Надавач платіжних послуг з обслуговування рахунку має право не вимагати застосування посиленої автентифікації користувача платіжної послуги за умови дотримання вимог, визначених у пунктах 8, 9 глави 2 розділу I цього Положення, для ініціювання всіх наступних платіжних операцій, що входять до серії дистанційних платіжних операцій, які відповідають списку (шаблону), зазначеному в пункті 40 глави 10 розділу III цього Положення, за умови дотримання загальних вимог щодо автентифікації, визначених у главі 2 розділу I цього Положення, та застосування посиленої автентифікації користувача для першої платіжної операції з цієї серії.";
у пункті 42 слова "не вимагає" замінити словами "з обслуговування рахунку має право не вимагати";
4) у главі 11:
назву глави викласти в такій редакції:
"11. Операції МОТО, дебетові перекази, делегування автентифікації та наслідування елементів (даних) ";
пункти 44, 45 викласти в такій редакції:
"44. Надавач платіжних послуг з обслуговування рахунку має право не вимагати застосування посиленої автентифікації користувачів платіжної послуги за умови дотримання вимог, визначених у пунктах 8, 9 глави 2 розділу I цього Положення, за дебетовим переказом за умови отримання згоди платника на виконання такої платіжної операції або в разі здійснення дебетового переказу стягувачем.
45. Надавач платіжних послуг з обслуговування рахунку має право залучити іншого надавача платіжних послуг або технологічного оператора платіжних послуг або оператора платіжної системи для проведення посиленої автентифікації користувача платіжної послуги відповідно до вимог цього Положення.";
главу після пункту 45 доповнити новим пунктом 45-1 такого змісту:
"45-1. Надавач платіжних послуг з обслуговування рахунку в межах одного неперервного сеансу зв’язку електронної взаємодії з користувачем після здійснення користувачем входу до платіжного застосунку, який було підтверджено процедурою посиленої автентифікації, має право виконувати подальші процедури посиленої автентифікації користувача з використанням наслідування одного з елементів (даних) посиленої автентифікації, застосованих під час першої процедури посиленої автентифікації цього сеансу взаємодії, та з додаванням нового елементу (даних) з іншої категорії.";
5) у пункті 46 глави 12 слова "не вимагає" замінити словами "з обслуговування рахунку має право не вимагати";
6) у главі 13:
у пункті 49:
пункт після слів "Надавач платіжних послуг" доповнити словами "з обслуговування рахунку";
цифри "8-10" замінити цифрами "9-12";
пункт 51 після слів "Надавач платіжних послуг" доповнити словами "з обслуговування рахунку";
7) у главі 14:
пункти 53, 54 викласти в такій редакції:
"53. Надавач платіжних послуг з обслуговування рахунку зобов’язаний вимагати застосовування посиленої автентифікації користувача платіжної послуги навіть, якщо операція має низький рівень ризику відповідно до пункту 47 глави 12 розділу III цього Положення, але протягом двох кварталів поспіль розрахований коефіцієнт рівня шахрайства для цього виду платіжних операцій перевищує референтний коефіцієнт, визначений в додатку до цього Положення.
54. Надавач платіжних послуг з обслуговування рахунку в разі перевищення референтного коефіцієнта рівня шахрайства хоча б один раз протягом двох кварталів поспіль має право не вимагати застосовування посиленої автентифікації користувача платіжної послуги тільки після того, як розрахований коефіцієнт рівня шахрайства для визначеного виду платіжних операцій протягом наступних двох кварталів поспіль, з моменту перевищення, буде рівним або нижчим за референтний коефіцієнт рівня шахрайства, визначений у додатку до цього Положення.";
главу після пункту 54 доповнити новим пунктом 54-1 такого змісту:
"54-1. Надавач платіжних послуг з обслуговування рахунку зобов’язаний вести підрахунок строку, визначеного вимогами пункту 54 глави 14 розділу III цього Положення, рахуючи місяці, які в сумі складають два квартали, окремо для кожного значення референтного коефіцієнта рівня шахрайства, визначеного в додатку до цього Положення, перевищення якого було виявлено.";
у пункті 55:
пункт після слів "Надавач платіжних послуг" доповнити словами "з обслуговування рахунку";
цифри "8-10" замінити цифрами "9-12";
8) пункт 56 глави 15 викласти в такій редакції:
"56. Надавач платіжних послуг з обслуговування рахунку повинен щомісяця реєструвати та контролювати для кожного виду дистанційних платіжних операцій, визначеного в додатку до цього Положення, нижчезазначені дані:
1) розрахований коефіцієнт рівня шахрайства, загальну суму платіжних операцій, учинених унаслідок несанкціонованих або шахрайських дій, а також загальну суму всіх платіжних операцій із розподілом на платіжні операції, ініційовані шляхом застосування посиленої автентифікації користувача платіжної послуги та з використанням будь-яких винятків, визначених у главах 9-12 розділу III цього Положення, з розподілом за кожним видом операцій;
2) середню суму платіжної операції, включаючи розподіл платіжних операцій, ініційованих шляхом застосування посиленої автентифікації користувача платіжної послуги та з використанням будь-яких винятків, визначених у главах 9-12 розділу III цього Положення, з розподілом за кожним видом операцій;
3) кількість платіжних операцій, до яких надавач платіжних послуг з обслуговування рахунку не застосував посиленої автентифікації користувача платіжної послуги, та їх відсоток від загальної кількості платіжних операцій.".
4. У розділі IV:
1) у главі 16:
у підпункті 1 пункту 59 слова "вразливі платіжні дані маскуються" замінити словами "індивідуальна облікова інформація маскується";
2) назву глави 17 викласти в такій редакції:
"17. Створення та передавання індивідуальної облікової інформації ";
3) назву глави 19 викласти в такій редакції:
"19. Постачання індивідуальної облікової інформації, багатоцільових пристроїв та програмного забезпечення для цілей автентифікації ";
4) назву глави 20 викласти в такій редакції:
"20. Відновлення, знищення, блокування та відкликання індивідуальної облікової інформації та засобів автентифікації ".
5. У розділі V:
1) у главі 21:
у пункті 71 слово "пристрів" замінити словом "пристроїв";
главу після пункту 72 доповнити новим пунктом 72-1 такого змісту:
"72-1. Надавач платіжних послуг з обслуговування рахунку для надання платіжних послуг у режимі реального часу зобов’язаний упровадити принаймні один інтерфейс, що дає змогу забезпечити електронну взаємодію з суб’єктами платіжних операцій. Такий інтерфейс має враховувати, крім заходів безпеки, установлених цим Положенням, також вимоги Положення про захист інформації та кіберзахист учасниками платіжного ринку, затвердженого постановою Правління Національного банку України від 19 травня 2021 року № 43 (зі змінами) (далі - Положення 43).";
2) пункт 75 глави 22 виключити;
3) у главі 23:
підпункт 1 пункту 76 викласти в такій редакції:
"1) надавач платіжних послуг з обслуговування рахунку здійснює автентифікацію надавачів платіжних послуг з надання відомостей з рахунків, надавачів платіжних послуг з ініціювання платіжних операцій за допомогою їхніх кваліфікованих сертифікатів відкритих ключів з урахуванням вимог глави 26 розділу V цього Положення;";
абзац перший пункту 77 викласти в такій редакції:
"77. Надавач платіжних послуг з обслуговування рахунку забезпечує електронну взаємодію з урахуванням такого:";
главу після пункту 77 доповнити новим пунктом 77-1 такого змісту:
"77-1. Надавач платіжних послуг з обслуговування рахунку впроваджує в експлуатацію інтерфейси за результатами їх функціонального тестування, яке підтверджує організацію електронної взаємодії відповідно до вимог цього Положення, а також надає можливість надавачам платіжних послуг з ініціювання платіжної операції та надавачам платіжних послуг з надання відомостей з рахунків провести тестування свого програмного забезпечення, що використовується під час надання ними нефінансових платіжних послуг користувачам платіжних послуг у режимі реального часу.";
абзац другий пункту 78 після слів "протоколів та інструментів," доповнити словами "сервісів, субсервісів (як компонентів сервісу), методів,";
4) пункт 79 глави 24 викласти в такій редакції:
"79. Надавач платіжних послуг з обслуговування рахунку за умови надання користувачу доступу до його рахунку в режимі реального часу зобов’язаний упровадити принаймні один спеціально виділений інтерфейс (далі - спеціалізований інтерфейс), що дає змогу забезпечити електронну взаємодію надавача платіжних послуг з обслуговування рахунку з надавачем платіжних послуг з надання відомостей з рахунків та з надавачем платіжних послуг з ініціювання платіжних операцій для надання користувачу в режимі реального часу платіжних послуг. Такий спеціалізований інтерфейс має враховувати, крім заходів безпеки, установлених цим Положенням, також вимоги Положення 43.";
5) у главі 25:
у першому реченні пункту 84 слова "є запланована недоступність інтерфейсу та/або виявлення факту непрацездатності інтерфейсу" замінити словами "спеціалізований інтерфейс є недоступним або непрацездатним ";
пункт 86 викласти в такій редакції:
"86. Надавач платіжних послуг з обслуговування рахунку в разі виникнення надзвичайної ситуації, коли спеціалізований інтерфейс недоступний або непрацездатний, має право використовувати інші інтерфейси, доступні користувачу платіжних послуг, застосувавши до них вимоги глави 24 розділу V цього Положення, для забезпечення користувачу можливості проходження автентифікації, управління рахунком та ініціювання платіжних операцій до моменту відновлення функціонування спеціалізованого інтерфейсу.";
6) у главі 26:
назву глави викласти в такій редакції:
"26. Вимоги до ідентифікації ";
пункти 87-89 викласти в такій редакції:
"87. Надавач платіжних послуг з обслуговування рахунку перед наданням надавачу платіжних послуг з надання відомостей з рахунків або надавачу платіжних послуг з ініціювання платіжних операцій доступу до рахунку користувача зобов’язаний здійснити ідентифікацію та автентифікацію надавача платіжних послуг з надання відомостей з рахунків або надавача платіжних послуг з ініціювання платіжних операцій за допомогою кваліфікованого сертифіката автентифікації вебсайту або кваліфікованого сертифіката електронної печатки, які видаються цим надавачам платіжних послуг для потреб відкритого банкінгу (далі - кваліфікований сертифікат відкритого банкінгу).
88. Перелік відомостей, що містяться у кваліфікованих сертифікатах відкритого банкінгу для здійснення ідентифікації та автентифікації надавача платіжних послуг з надання відомостей з рахунків або надавача платіжних послуг з ініціювання платіжних операцій, визначено в Положенні про використання електронних довірчих послуг під час отримання надавачами платіжних послуг доступу до рахунків користувачів платіжних послуг, затвердженому постановою Правління Національного банку України від 25 липня 2025 року № 82.
89. Надавач платіжних послуг з обслуговування рахунку, який відповідно до вимог пункту 86 глави 25 розділу V цього Положення забезпечує електронну взаємодію з надавачем платіжних послуг з надання відомостей з рахунків або надавачем платіжних послуг з ініціювання платіжних операцій з використанням інтерфейсу для надання користувачу в режимі реального часу платіжних послуг, зобов’язаний здійснити ідентифікацію та автентифікацію надавача платіжних послуг з надання відомостей з рахунків або надавача платіжних послуг з ініціювання платіжних операцій відповідно до вимог пункту 87 глави 26 розділу V цього Положення.";
пункт 90 виключити;
7) у главі 27:
пункт 91 викласти в такій редакції:
"91. Надавач платіжних послуг із метою надання фінансових та/або нефінансових платіжних послуг під час електронної взаємодії зобов’язаний забезпечити захист даних із використанням криптографічних алгоритмів та протоколів захисту, що є національними стандартами, міжнародними стандартами або такими, що є рекомендованими Державною службою спеціального зв’язку та захисту інформації України.";
у підпункті 1 пункту 94 слово "виділення" замінити словами "розрізнення між собою";
в абзаці другому пункту 95 слова "цих вразливих платіжних даних" замінити словами "цієї індивідуальної облікової інформації";
8) у главі 28:
у пункті 96:
у підпункті 1 слова "яка надається" замінити словами "яку надавач платіжних послуг з обслуговування рахунку надає";
підпункт 4 виключити;
пункт 100 викласти в такій редакції:
"100. Надавач платіжних послуг з надання відомостей з рахунків повинен мати доступ до рахунків користувача, відкритих у надавача платіжних послуг з обслуговування рахунку з метою надання користувачу послуги з надання відомостей з рахунків відповідно до згоди користувача на надання відомостей з рахунків за будь-якої з таких обставин:
1) щоразу, коли користувач платіжних послуг запитує таку інформацію із залученням надавача платіжних послуг з надання відомостей з рахунків;
2) щоразу, але не більше чотирьох разів протягом 24 годин, коли надавач платіжних послуг з надання відомостей з рахунків відповідно до згоди користувача на надання відомостей з рахунків самостійно запитує таку інформацію;
3) щоразу, коли надавач платіжних послуг з надання відомостей з рахунків відповідно до згоди користувача на надання відомостей з рахунків самостійно запитує таку інформацію, якщо надання інформації здійснюється частіше, ніж зазначено в підпункті 2 пункту 100 глави 28 розділу V цього Положення, передбачена угодою між надавачем платіжних послуг з надання відомостей з рахунків та надавачем платіжних послуг з обслуговування рахунку.".
6. Заголовок колонки третьої таблиці додатка викласти в такій редакції: "Референтний коефіцієнт для дистанційних платіжних операцій, ініційованих за допомогою платіжних карток без використання фізичного платіжного пристрою (%)".
7. У тексті Положення та додатка слова "вразливі платіжні дані" у всіх відмінках та числах замінити словами "індивідуальна облікова інформація" у відповідних відмінках та числах.
