3) особисті криптографічні ключі повинні бути захищені від несанкціонованого доступу.
60. Методологія та порядок управління криптографічними ключами, що використовуються для шифрування або іншим чином забезпечують захист індивідуальної облікової інформації, затверджуються керівником надавача платіжних послуг.
17. Створення та передавання індивідуальної облікової інформації
( Назва глави 17 розділу IV в редакції Постанови Національного банку № 4 від 13.01.2026 )
61. Надавач платіжних послуг зобов'язаний забезпечити створення індивідуальної облікової інформації у безпечному інформаційному середовищі відповідно до вимог нормативно-правових актів Національного банку з питань захисту інформації та кіберзахисту на платіжному ринку.
62. Надавач платіжних послуг запроваджує заходи щодо зменшення ризику несанкціонованого використання індивідуальної облікової інформації та багатоцільових пристроїв і програмного забезпечення для цілей автентифікації після їх втрати, крадіжки або копіювання до моменту їх надання користувачу платіжних послуг.
63. Надавач платіжних послуг зобов'язаний забезпечити обробку та маршрутизацію індивідуальної облікової інформації та кодів автентифікації в безпечному інформаційному середовищі відповідно до вимог нормативно-правових актів Національного банку з питань захисту інформації та кіберзахисту на платіжному ринку.
18. Пов'язування користувача з платіжною операцією
64. Надавач платіжних послуг зобов'язаний забезпечити безпечне пов'язування користувача платіжних послуг з призначеними для нього індивідуальними обліковими інформаціями та багатоцільовими пристроями і програмним забезпеченням для цілей автентифікації.
65. Надавач платіжних послуг зобов'язаний забезпечити дотримання таких вимог:
1) пов'язування особи користувача платіжної послуги з індивідуальною обліковою інформацією, багатоцільовими пристроями та програмним забезпеченням для цілей автентифікації здійснюється в безпечному інформаційному середовищі;
2) пов'язування за допомогою засобів дистанційної комунікації користувача платіжної послуги з індивідуальною обліковою інформацією та з багатоцільовими пристроями або програмним забезпеченням для цілей автентифікації здійснюється з використанням посиленої автентифікації користувача платіжної послуги.
66. Відповідальність за здійснення безпечного пов'язування особи користувача платіжної послуги з індивідуальною обліковою інформацією покладається на надавача платіжних послуг. Межі такої відповідальності включають приміщення надавача платіжних послуг, інтернет-середовище, що надається надавачем платіжних послуг, або інші захищені вебсайти, що використовуються надавачем платіжних послуг та його автоматизованими сервісами, а також ризики, пов'язані з багатоцільовими пристроями та програмним забезпеченням для цілей автентифікації, які використовуються під час процесу автентифікації.
19. Постачання індивідуальної облікової інформації, багатоцільових пристроїв та програмного забезпечення для цілей автентифікації
( Назва глави 19 розділу IV в редакції Постанови Національного банку № 4 від 13.01.2026 )
67. Надавач платіжних послуг зобов'язаний забезпечити, щоб постачання індивідуальної облікової інформації, багатоцільових пристроїв та програмного забезпечення для цілей автентифікації користувача платіжних послуг здійснювалось у спосіб, що унеможливлює несанкціоноване використання через втрату, крадіжку або копіювання індивідуальної облікової інформації.
68. Надавач платіжних послуг зобов'язаний забезпечити виконання таких заходів:
1) впровадження безпечних механізмів передавання даних, що забезпечують постачання індивідуальної облікової інформації, багатоцільових пристроїв та програмного забезпечення для цілей автентифікації користувачу, який на законних підставах використовує платіжну послугу;
2) використання механізмів, що дають змогу перевіряти цілісність програмного забезпечення для цілей автентифікації, наданого користувачу платіжних послуг за допомогою мережі Інтернет;
3) створення умов, що забезпечують надання індивідуальної облікової інформації поза межами приміщень надавача платіжних послуг або з використанням засобів дистанційної комунікації та забезпечують таке:
сторонні особи не можуть отримати більше однієї зі складових індивідуальної облікової інформації або функцій багатоцільових пристроїв та програмного забезпечення для цілей автентифікації у разі надання їх з використанням засобів дистанційної комунікації;
індивідуальна облікова інформація, багатоцільові пристрої або програмне забезпечення для цілей автентифікації потребують активації перед їх використанням;
4) здійснення активації індивідуальної облікової інформації, багатоцільових пристроїв або програмного забезпечення для цілей автентифікації перед їх першим використанням у безпечному інформаційному середовищі з урахуванням вимог, визначених у главі 18 розділу IV цього Положення.
20. Відновлення, знищення, блокування та відкликання індивідуальної облікової інформації та засобів автентифікації
( Назва глави 20 розділу IV в редакції Постанови Національного банку № 4 від 13.01.2026 )
69. Надавач платіжних послуг зобов'язаний забезпечити оновлення або повторну активацію індивідуальної облікової інформації відповідно до вимог створення і використання індивідуальної облікової інформації та багатоцільових пристроїв для цілей автентифікації, викладених у главах 17-19 розділу IV цього Положення.
70. Надавач платіжних послуг зобов'язаний впровадити процеси, у межах яких потрібне виконання таких заходів:
1) забезпечення безпечного знищення, блокування або відкликання індивідуальної облікової інформації, багатоцільових пристроїв та програмного забезпечення для цілей автентифікації;
2) якщо надавач платіжних послуг надає багатоцільові пристрої та програмне забезпечення з автентифікації для багаторазового використання, то безпечне повторне використання багатоцільового пристрою або програмного забезпечення регламентується та впроваджується перед наданням до нього доступу іншому користувачеві платіжних послуг. Такий регламент затверджується керівником надавача платіжних послуг перед наданням в багаторазове використання багатоцільових пристроїв або програмного забезпечення для цілей автентифікації користувачу платіжних послуг;
3) забезпечення видалення та/або блокування інформації, що стосується індивідуальної облікової інформації, які зберігаються в інформаційних системах і базах даних надавача платіжних послуг, а в разі потреби - в загальнодоступних сховищах.
V. Вимоги до електронної взаємодії між суб'єктами платіжних операцій та до заходів безпеки під час електронної взаємодії
21. Загальні вимоги до електронної взаємодії під час автентифікації
71. Надавач платіжних послуг зобов'язаний забезпечити безпечну ідентифікацію платіжних пристроїв платника та одержувача платежів під час електронної взаємодії з ними.
( Пункт 71 глави 21 розділу V із змінами, внесеними згідно з Постановою Національного банку № 4 від 13.01.2026 )
72. Надавач платіжних послуг зобов'язаний впровадити заходи, що мінімізують ризик помилкового надсилання повідомлень стороннім особам платіжними пристроями, програмним забезпеченням та іншими інтерфейсами.
72-1. Надавач платіжних послуг з обслуговування рахунку для надання платіжних послуг у режимі реального часу зобов’язаний упровадити принаймні один інтерфейс, що дає змогу забезпечити електронну взаємодію з суб’єктами платіжних операцій. Такий інтерфейс має враховувати, крім заходів безпеки, установлених цим Положенням, також вимоги Положення про захист інформації та кіберзахист учасниками платіжного ринку, затвердженого постановою Правління Національного банку України від 19 травня 2021 року № 43 (зі змінами) (далі - Положення 43).
( Главу 21 розділу V доповнено новим пунктом 72-1 згідно з Постановою Національного банку № 4 від 13.01.2026 )
22. Контроль платіжних операцій
73. Надавач платіжних послуг зобов'язаний впровадити процеси щодо контролю всіх платіжних операцій на всіх етапах їх формування, обробки, передавання та зберігання, а також всіх видів електронної взаємодії з та між суб'єктами платіжних операцій у частині надання платіжної послуги.
74. Надавач платіжних послуг зобов'язаний забезпечити, щоб будь-яка електронна взаємодія з та між суб'єктами платіжних операцій містила:
1) унікальний ідентифікатор сеансу електронної взаємодії;
2) механізми реєстрації платіжної операції, що включають номер операції, позначку часу та іншу інформацію платіжної операції для її контролю;
3) позначки часу, які ґрунтуються на уніфікованій системі відліку часу та синхронізуються із Всесвітнім координованим часом із точністю до секунди.
( Пункт 75 глави 22 розділу V виключено на підставі Постанови Національного банку № 4 від 13.01.2026 )
23. Вимоги та параметри доступу до інтерфейсів
76. Надавач платіжних послуг з обслуговування рахунку для забезпечення доступу до рахунків у режимі реального часу зобов'язаний використати інтерфейси, що забезпечують виконання таких вимог:
1) надавач платіжних послуг з обслуговування рахунку здійснює автентифікацію надавачів платіжних послуг з надання відомостей з рахунків, надавачів платіжних послуг з ініціювання платіжних операцій за допомогою їхніх кваліфікованих сертифікатів відкритих ключів з урахуванням вимог глави 26 розділу V цього Положення;
( Підпункт 1 пункту 76 глави 23 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
2) надавач платіжних послуг з надання відомостей з рахунків має можливість здійснювати безпечну електронну взаємодію щодо обміну інформацією про один або більшу кількість рахунків та пов'язаних із ними платіжних операцій;
3) надавач платіжних послуг з ініціювання платіжної операції здійснює безпечну електронну взаємодію з метою ініціювання платіжної операції з рахунку, отримання інформації про ініціювання платіжної операції та стосовно виконання платіжної операції.
77. Надавач платіжних послуг з обслуговування рахунку забезпечує електронну взаємодію з урахуванням такого:
( Абзац перший пункту 77 глави 23 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
1) емітент електронного платіжного засобу, надавач платіжних послуг з ініціювання платіжної операції та/або надавач платіжних послуг з надання відомостей з рахунків повинні мати можливість надати доручення надавачу платіжних послуг з обслуговування рахунку розпочати та застосувати автентифікацію користувача платіжної послуги;
між надавачем платіжних послуг з обслуговування рахунку та надавачем платіжних послуг з ініціювання платіжної операції, емітентом електронного платіжного засобу, а також надавачем платіжних послуг з надання відомостей з рахунків та будь-яким користувачем платіжних послуг протягом усієї процедури автентифікації встановлюється та підтримується безперервна електронна взаємодія;
2) під час електронної взаємодії забезпечується цілісність і конфіденційність індивідуальної облікової інформації та кодів автентифікації.
77-1. Надавач платіжних послуг з обслуговування рахунку впроваджує в експлуатацію інтерфейси за результатами їх функціонального тестування, яке підтверджує організацію електронної взаємодії відповідно до вимог цього Положення, а також надає можливість надавачам платіжних послуг з ініціювання платіжної операції та надавачам платіжних послуг з надання відомостей з рахунків провести тестування свого програмного забезпечення, що використовується під час надання ними нефінансових платіжних послуг користувачам платіжних послуг у режимі реального часу.
( Главу 23 розділу V доповнено новим пунктом 77-1 згідно з Постановою Національного банку № 4 від 13.01.2026 )
78. Надавач платіжних послуг з обслуговування рахунку забезпечує в режимі реального часу налаштування інтерфейсів доступу до рахунків, що надані користувачам платіжних послуг, відповідно до вимог цього Положення.
Надавач платіжних послуг з обслуговування рахунку повинен розробити опис, у якому документувати технічні характеристики будь-якого з інтерфейсів із зазначенням набору процедур, протоколів та інструментів, сервісів, субсервісів (як компонентів сервісу), методів, потрібних для надавачів платіжних послуг з ініціювання платіжної операції, надавачів платіжних послуг з надання відомостей з рахунків та емітентів електронних платіжних засобів. Цей опис надавач платіжних послуг з обслуговування рахунку повинен опублікувати на власному вебсайті.
( Абзац другий пункту 78 глави 23 розділу V із змінами, внесеними згідно з Постановою Національного банку № 4 від 13.01.2026 )
24. Вимоги до спеціалізованих інтерфейсів
79. Надавач платіжних послуг з обслуговування рахунку за умови надання користувачу доступу до його рахунку в режимі реального часу зобов’язаний упровадити принаймні один спеціально виділений інтерфейс (далі - спеціалізований інтерфейс), що дає змогу забезпечити електронну взаємодію надавача платіжних послуг з обслуговування рахунку з надавачем платіжних послуг з надання відомостей з рахунків та з надавачем платіжних послуг з ініціювання платіжних операцій для надання користувачу в режимі реального часу платіжних послуг. Такий спеціалізований інтерфейс має враховувати, крім заходів безпеки, установлених цим Положенням, також вимоги Положення 43.
( Пункт 79 глави 24 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
80. Надавач платіжних послуг з обслуговування рахунку, який встановив спеціалізований інтерфейс, зобов'язаний забезпечити умови, за яких цей інтерфейс забезпечує належний рівень доступності та продуктивності, включаючи підтримку інтерфейсів доступних користувачу платіжних послуг, призначених для надання доступу до рахунку в режимі реального часу.
81. Надавач платіжних послуг з обслуговування рахунку, який встановив та використовує спеціалізований інтерфейс, зобов'язаний встановити основні показники ефективності та цілі з обслуговування щодо доступності та цілісності даних, наданих відповідно до вимог глави 28 розділу V цього Положення.
82. Надавач платіжних послуг з обслуговування рахунку, який встановив та використовує спеціалізований інтерфейс, зобов'язаний забезпечити, щоб цей інтерфейс не створював перешкод для надання послуг з ініціювання платежів та послуг з інформаційного обслуговування рахунків.
83. Надавач платіжних послуг з обслуговування рахунку зобов'язаний здійснювати моніторинг доступності та ефективності спеціалізованого інтерфейсу. Також надавач платіжних послуг зобов'язаний опублікувати на своєму вебсайті щоквартальну статистику щодо порушень доступності та ефективності спеціалізованого інтерфейсу та інтерфейсу, що використовується користувачами платіжних послуг.
25. Заходи щодо надзвичайних ситуацій для спеціалізованого інтерфейсу
84. Надавач платіжних послуг з обслуговування рахунку повинен враховувати в описі використання спеціалізованого інтерфейсу стратегію і плани заходів щодо дій у надзвичайних ситуаціях, якщо спеціалізований інтерфейс є недоступним або непрацездатним. Виявлення непередбаченої недоступності або непрацездатності інтерфейсу відбувається, якщо п'ять послідовних запитів на доступ до послуги з ініціювання платежу або послуги з надання відомостей з рахунку не отримали відповіді протягом 30 секунд.
( Пункт 84 глави 25 розділу V із змінами, внесеними згідно з Постановою Національного банку № 4 від 13.01.2026 )
85. Плани заходів щодо дій у надзвичайних ситуаціях повинні включати планування комунікацій з інформування надавачів платіжних послуг, які використовують спеціалізований інтерфейс, про заходи з відновлення такого інтерфейсу та інструкції щодо використання інших резервних спеціалізованих інтерфейсів.
86. Надавач платіжних послуг з обслуговування рахунку в разі виникнення надзвичайної ситуації, коли спеціалізований інтерфейс недоступний або непрацездатний, має право використовувати інші інтерфейси, доступні користувачу платіжних послуг, застосувавши до них вимоги глави 24 розділу V цього Положення, для забезпечення користувачу можливості проходження автентифікації, управління рахунком та ініціювання платіжних операцій до моменту відновлення функціонування спеціалізованого інтерфейсу.
( Пункт 86 глави 25 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
26. Вимоги до ідентифікації
( Назва глави 26 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
87. Надавач платіжних послуг з обслуговування рахунку перед наданням надавачу платіжних послуг з надання відомостей з рахунків або надавачу платіжних послуг з ініціювання платіжних операцій доступу до рахунку користувача зобов’язаний здійснити ідентифікацію та автентифікацію надавача платіжних послуг з надання відомостей з рахунків або надавача платіжних послуг з ініціювання платіжних операцій за допомогою кваліфікованого сертифіката автентифікації вебсайту або кваліфікованого сертифіката електронної печатки, які видаються цим надавачам платіжних послуг для потреб відкритого банкінгу (далі - кваліфікований сертифікат відкритого банкінгу).
( Пункт 87 глави 26 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
88. Перелік відомостей, що містяться у кваліфікованих сертифікатах відкритого банкінгу для здійснення ідентифікації та автентифікації надавача платіжних послуг з надання відомостей з рахунків або надавача платіжних послуг з ініціювання платіжних операцій, визначено в Положенні про використання електронних довірчих послуг під час отримання надавачами платіжних послуг доступу до рахунків користувачів платіжних послуг, затвердженому постановою Правління Національного банку України від 25 липня 2025 року № 82.
( Пункт 88 глави 26 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
89. Надавач платіжних послуг з обслуговування рахунку, який відповідно до вимог пункту 86 глави 25 розділу V цього Положення забезпечує електронну взаємодію з надавачем платіжних послуг з надання відомостей з рахунків або надавачем платіжних послуг з ініціювання платіжних операцій з використанням інтерфейсу для надання користувачу в режимі реального часу платіжних послуг, зобов’язаний здійснити ідентифікацію та автентифікацію надавача платіжних послуг з надання відомостей з рахунків або надавача платіжних послуг з ініціювання платіжних операцій відповідно до вимог пункту 87 глави 26 розділу V цього Положення.
( Пункт 89 глави 26 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
( Пункт 90 глави 26 розділу V виключено на підставі Постанови Національного банку № 4 від 13.01.2026 )
27. Безпека сеансу зв'язку
91. Надавач платіжних послуг із метою надання фінансових та/або нефінансових платіжних послуг під час електронної взаємодії зобов’язаний забезпечити захист даних із використанням криптографічних алгоритмів та протоколів захисту, що є національними стандартами, міжнародними стандартами або такими, що є рекомендованими Державною службою спеціального зв’язку та захисту інформації України.
( Пункт 91 глави 27 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
92. Надавач платіжних послуг, який надає фінансові та/або нефінансові платіжні послуги, зобов'язаний завершити будь-який сеанс зв'язку одразу після виконання запиту.
93. Надавач платіжних послуг з надання відомостей з рахунків та надавач платіжних послуг з ініціювання платіжної операції для підтримання паралельних сеансів зв'язку з надавачем платіжних послуг з обслуговування рахунку зобов'язані забезпечити умови, за яких ці сеанси безпечним чином пов'язані з відповідними сеансами, встановленими з користувачами платіжних послуг, з метою запобігання помилкової адресації будь-яких повідомлень або інформації.
94. Надавач платіжних послуг з надання відомостей з рахунків, надавач платіжних послуг з ініціювання платіжної операції та емітент платіжних інструментів спільно з надавачем платіжних послуг з обслуговування рахунку для забезпечення безпеки сеансу зв'язку зобов'язані впровадити таке:
1) сеанс зв'язку під час проведення платіжної операції повинен бути пов'язаний з відповідним користувачем або користувачами платіжної послуги з метою розрізнення між собою кількох запитів від одного і того самого користувача або користувачів платіжної послуги;
( Підпункт 1 пункту 94 глави 27 розділу V із змінами, внесеними згідно з Постановою Національного банку № 4 від 13.01.2026 )
2) для надання послуги з ініціювання платежів ініційована платіжна операція повинна бути ідентифікована;
3) для надання підтвердження наявності грошових коштів ідентифіковано запит, який пов'язано із сумою, потрібною для виконання платіжної операції.
95. Надавач платіжних послуг з обслуговування рахунку, надавач платіжних послуг з надання відомостей з рахунків, надавач платіжних послуг з ініціювання платіжної операції та емітент платіжних інструментів зобов'язані забезпечити, щоб під час передавання індивідуальної облікової інформації та кодів автентифікації ця інформація була захищена засобами криптографічного захисту інформації або представлена в такому вигляді, який унеможливлює зчитування цієї інформації, прямо чи опосередковано, у будь-який час.
Надавач платіжних послуг, до сфери відповідальності/компетенції якого належить подія порушення конфіденційності та/або цілісності індивідуальної облікової інформації, зобов'язаний невідкладно повідомити про це пов'язаного з ним користувача платіжних послуг та емітента цієї індивідуальної облікової інформації у разі настання цієї події у визначений договором спосіб.
( Абзац другий пункту 95 глави 27 розділу V із змінами, внесеними згідно з Постановою Національного банку № 4 від 13.01.2026 )
28. Обмін даними
96. Надавач платіжних послуг з обслуговування рахунку зобов'язаний дотримуватися таких вимог:
1) надавач платіжних послуг з надання відомостей з рахунків отримує таку саму інформацію з рахунків та пов'язаних з ними платіжних операцій, яку надавач платіжних послуг з обслуговування рахунку надає користувачу платіжних послуг під час запиту на доступ до інформації щодо рахунку, за умови, що ця інформація не містить індивідуальної облікової інформації;
( Підпункт 1 пункту 96 глави 28 розділу V із змінами, внесеними згідно з Постановою Національного банку № 4 від 13.01.2026 )
2) після отримання платіжної інструкції надає надавачу платіжних послуг з ініціювання платіжної операції таку саму інформацію про ініціювання та виконання платіжної операції, яка надається в розпорядження ініціатору платіжної операції, якщо операція ініційована безпосередньо користувачем платіжних послуг;
3) надає підтвердження в простому форматі "так" або "ні" на запит стосовно наявності на рахунку платника потрібної суми коштів для здійснення платіжної операції;
( Підпункт 4 пункту 96 глави 28 розділу V виключено на підставі Постанови Національного банку № 4 від 13.01.2026 )
97. Надавач платіжних послуг з обслуговування рахунку у разі виникнення непередбачуваної події або помилки, яка сталася під час процесу ідентифікації, автентифікації та/або обміну даними, надсилає надавачам платіжних послуг з надання відомостей з рахунків та надавачам платіжних послуг з ініціювання платіжної операції, а також емітентам платіжних інструментів повідомлення/сповіщення з поясненнями стосовно причини непередбачуваної події або помилки. Якщо надавач платіжних послуг з обслуговування рахунку використовує під час процесу ідентифікації, автентифікації та/або обміну даними спеціалізований інтерфейс відповідно до глави 24 розділу V цього Положення, то цей спеціалізований інтерфейс повинен мати можливість надання повідомлень/сповіщень стосовно причини непередбачуваної події або помилки, що повинні надаватися будь-яким надавачем платіжних послуг, який виявив подію або помилку, іншим надавачам платіжних послуг, які є учасниками процесу ідентифікації, автентифікації та/або обміну даними.
98. Надавач платіжних послуг з надання відомостей з рахунків зобов'язаний унеможливити доступ до інформації, що не стосується рахунків та пов'язаних з ними платіжних операцій користувача.
99. Надавач платіжних послуг з ініціювання платіжної операції надає надавачам платіжних послуг з обслуговування рахунку ту саму інформацію, яку надає користувач платіжних послуг під час безпосереднього ініціювання платіжної операції.
100. Надавач платіжних послуг з надання відомостей з рахунків повинен мати доступ до рахунків користувача, відкритих у надавача платіжних послуг з обслуговування рахунку з метою надання користувачу послуги з надання відомостей з рахунків відповідно до згоди користувача на надання відомостей з рахунків за будь-якої з таких обставин:
1) щоразу, коли користувач платіжних послуг запитує таку інформацію із залученням надавача платіжних послуг з надання відомостей з рахунків;
2) щоразу, але не більше чотирьох разів протягом 24 годин, коли надавач платіжних послуг з надання відомостей з рахунків відповідно до згоди користувача на надання відомостей з рахунків самостійно запитує таку інформацію;
3) щоразу, коли надавач платіжних послуг з надання відомостей з рахунків відповідно до згоди користувача на надання відомостей з рахунків самостійно запитує таку інформацію, якщо надання інформації здійснюється частіше, ніж зазначено в підпункті 2 пункту 100 глави 28 розділу V цього Положення, передбачена угодою між надавачем платіжних послуг з надання відомостей з рахунків та надавачем платіжних послуг з обслуговування рахунку.
( Пункт 100 глави 28 розділу V в редакції Постанови Національного банку № 4 від 13.01.2026 )
Додаток
до Положення про автентифікацію
та застосування посиленої
автентифікації на платіжному ринку
(підпункт 1 пункту 47 глави 12 розділу III)
РЕФЕРЕНТНИЙ КОЕФІЦІЄНТ
рівня шахрайства
( Додаток із змінами, внесеними згідно з Постановою Національного банку № 4 від 13.01.2026 )