22-apreldan boshlab O‘zbekistondagi bank ilovalari va to‘lov servislarida operatsiyalarni amalga oshirishda majburiy identifikatsiya, telefon raqamni JSHSHIR orqali tekshirish va boshqa talablar qo‘llaniladi. Bu choralar kiberfiribgarlikka qarshi kurashishga qaratilgan.

22-apreldan O‘zbekistonda Markaziy bankning masofaviy moliyaviy xizmatlar ko‘rsatishda axborot va kiberxavfsizlikka qo‘yiladigan minimal talablarni belgilovchi yangi nizomi kuchga kiradi.

Hujjat banklar, to‘lov xizmatlari va to‘lov tizimlari operatorlarining mobil ilovalaridan foydalanishda onlayn firibgarlikning oldini olish bo‘yicha qo‘shimcha choralar va talablarni joriy etadi.

Biometriya majburiy bo‘ladi

Asosiy yangiliklardan biri — biometrik ma’lumotlardan majburiy foydalanishdir.

Muhim amaliyotlarni bajarish uchun — yangi qurilmadan kirish, kartani bog‘lash yoki parolni o‘zgartirish — qo‘shimcha identifikatsiya, jumladan selfi yordamida (jonli mavjudligini aniqlash uchun fotosurat orqali identifikatsiya qilishga ruxsat berilmaydi) talab etiladi. Bitta SMS-kod yetarli bo‘lmaydi.

Ilovada ro‘yxatdan o‘tish va bank kartasini ulash endi turli biometrik autentifikatsiya bilan alohida bosqichlar bo‘ladi.

Raqam va JSHSHIR muvofiqligini tekshirish

Ilovalar telefon raqami karta egasiga rasmiylashtirilganligini tekshirishi shart. Agar raqam boshqa shaxsga ro‘yxatdan o‘tkazilgan bo‘lsa yoki foydalanuvchining JSHSHIRiga mos kelmasa, tizim yangi qurilmadan foydalanganda operatsiyalarga, jumladan, ilovaga kirish va onlayn to‘lovlarga kirishni cheklaydi.

Markaziy bankning aniqlik kiritishicha, bu talab hammaga birdaniga ta’sir qilmaydi — mavjud foydalanuvchilar ilovalardan odatdagidek foydalanishni davom ettirishlari mumkin. Cheklovlar yangi harakatlarda qo‘llaniladi: ro‘yxatdan o‘tish, ilovani qayta o‘rnatish yoki kartani ulash.

Shuningdek, telefon raqami yaqin qarindoshi, jumladan ota-onasi, aka-ukalari, opa-singillari, turmush o‘rtog‘i yoki farzandlari nomiga rasmiylashtirilgan hollarda ham ilovadan foydalanishga ruxsat beriladi.

Agar telefon raqami yoki bank kartasi foydalanuvchi bilan bog‘liq bo‘lmagan begona shaxsga ro‘yxatdan o‘tkazilgan bo‘lsa, cheklovlar yuzaga kelishi mumkin.

Mobil ilova foydalanuvchilari faqat o‘zlarining bank hisobvaraqlari, kartalari va elektron hamyonlarini (yaqin qarindoshlaridan tashqari) akkauntga bog‘lashlari va ular orqali P2P o‘tkazmalarini amalga oshirishlari mumkin.

Yaqin qarindoshlarga ota-onalar, aka-ukalar va opa-singillar, er-xotinlar, bolalar (shu jumladan farzandlikka olinganlar), bobolar, buvilar, nevaralar, shuningdek, er-xotin tomonidan qarindoshlar kiradi.

Qayta rasmiylashtirish uchun raqamning hozirgi egasi va u ro‘yxatdan o‘tkaziladigan shaxsning shaxsan ishtiroki talab etiladi. Xizmat pullik bo‘lib, uning narxi operatorga bog‘liq va o‘rtacha 25 ming so‘m atrofida. “Chiroyli” raqamlar uchun qo‘shimcha ravishda ularning qiymatidan 5−25% miqdorida komissiya olinishi mumkin. Bir qator hollarda (masalan, yaqin qarindoshlar — ota-ona, er-xotin, bolalar, aka-uka va opa-singillar o‘rtasida qayta rasmiylashtirishda) bunday komissiya qo‘llanilmaydi.

Shuni hisobga olish kerakki, ba’zi hollarda operatorlar raqamni qayta rasmiylashtirish uchun arizalarni 10 kalendar kungacha ko‘rib chiqadilar. Bu shuni anglatadiki, ariza oldindan topshirilgan taqdirda ham, jarayon 22-apreldan keyin yakunlanishi mumkin.

Muqobil variant — o‘z nomiga rasmiylashtirilgan yangi SIM-karta sotib olish va unga SMS-xabarnomalar xizmatini bog‘lash.

Yangi qurilmadan kirish va sessiyani boshqarish

Yangi qurilmadan kirishda ilovalar ulangan kartalarni asliga qaytarishi va mahalliy ma’lumotlarni (tarixni) tozalashi kerak. Foydalanuvchi qurilma sozlamalari haqida bildirishnoma oladi.

Har bir ilovada qaysi qurilmalardan, IP-manzillardan va qachon hisobga kirilgani ko‘rinadigan bo‘lim paydo bo‘lishi kerak. Foydalanuvchi faol seanslarni kuzatishi va ularni qo‘lda tugatishi mumkin.

Qo‘ng‘iroqlardagi cheklovlar va masofadan kirishdan himoya

Agar shu paytda telefonda audio yoki video qo‘ng‘iroq (jumladan, Telegram, WhatsApp va boshqa messenjerlar orqali) amalga oshirilayotgan bo‘lsa, banklarning mobil ilovalari ishlamaydi. Bu firibgarlar ijtimoiy muhandislik yordamida jabrlanuvchini telefon orqali aldash sxemasiga qarshi kurashish uchun qilingan.

Shuningdek, masofaviy kirish dasturlarini aniqlash ham ko‘zda tutilgan (masalan, AnyDesk yoki TeamViewer orqali) — ular aniqlansa, operatsiyalar bloklanadi.

SMS va OTP kodlar uchun yangi qoidalar

Bir martalik kodlar kamida oltita belgidan iborat bo‘lishi hamda harflar va raqamlarni o‘z ichiga olishi kerak. Ularning amal qilish muddati 59 soniyadan oshmaydi.

Uchta noto‘g‘ri urinishdan so‘ng kiritish kamida 15 daqiqaga bloklanadi va uch daqiqadan ortiq harakatsizlikka yo‘l qo‘yilsa, foydalanuvchi tizimdan avtomatik ravishda chiqib ketadi.

Kredit yoki o‘tkazmani tasdiqlash uchun OTP faqat u yuborilgan qurilmada ishlaydi. Uni ushlab olib, boshqa smartfonda ishlatib bo‘lmaydi.

Kartadan-kartaga (P2P) o‘tkazmalarga endi faqat mobil ilovalar orqali ruxsat beriladi. Bunday operatsiyalarni veb-saytlar orqali amalga oshirish taqiqlanadi.

Mobil ilovada bank kartasi egasining ismi to‘liq, familiyasi esa faqat birinchi harfi bilan ko‘rsatilishi shart. Pul o‘tkazmalarida telefon raqamiga bog‘langan karta egalarining ma’lumotlari qisman yashirilgan holda ko‘rsatilishi kerak.

Bundan tashqari, mobil ilovalar yoki veb-resurslar orqali bank kartasi orqali SMS-xabarnomalar xizmatini yoqish, o‘chirish yoki o‘zgartirish taqiqlanadi. Bu harakatlarning barchasini faqat bank bo‘limi, bankomat yoki terminal (agar nazarda tutilgan bo‘lsa) orqali amalga oshirish mumkin bo‘ladi.

Onlayn kreditlar uchun yangi qoidalar

Onlayn kreditlarni rasmiylashtirishda qo‘shimcha himoya joriy etilmoqda. Banklar kreditlar bo‘yicha o‘z-o‘zini taqiqlash mavjudligini tekshirishlari, shuningdek, bir nechta tashkilotlarga ariza berilishini hisobga olishlari shart.

Kredit byurolari bir vaqtning o‘zida bitta JSHSHIR bo‘yicha faqat bitta so‘rovga javob beradi. Agar bitta tashkilot kredit bergan bo‘lsa, boshqalar keyingi 24 soat ichida bu foydalanuvchining ma’lumotlarini ololmaydi. Bu bir kunda turli banklarda 5−6 ta kredit rasmiylashtirilishining oldini oladi.

Pulni o‘tkazishdan oldin bank foydalanuvchiga kreditning to‘liq qiymati va qarzdorlikning umumiy summasi ko‘rsatilgan PUSH va SMS yuborishi shart. Foydalanuvchi arizani bekor qilish imkoniyatiga ega bo‘ladi.

Kredit ma’qullangan taqdirda ham, pulni kartaga yakuniy o‘tkazish faqat qayta biometrik identifikatsiyadan so‘ng amalga oshirilishi mumkin.

Agar firibgarlik sodir bo‘lsa

Ilovalarda bankka tezkor shikoyat yuborish uchun maxsus fikr-mulohaza shakli (“Firibgarlik haqida xabar berish” tugmasi) paydo bo‘ladi.

Banklar qo‘llab-quvvatlash xizmati raqamini (24/7) bank kartalarining orqa tomoniga oson o‘qiladigan shaklda joylashtirishlari shart.

Hujjat firibgarlik sodir etilganda harakat qilish mexanizmini belgilaydi:

• jabrlanuvchi huquq-tartibot idoralariga murojaat qiladi;
• tergovchi yoki sud shaxsni jabrlanuvchi deb topishi bilanoq, bank “firibgarlik” krediti bo‘yicha foizlar, jarimalar va penyalarni hisoblashni darhol to‘xtatishi hamda uni undirishni to‘xtatishi shart;
• agar bank bunday kreditni to‘lash hisobiga pulni yechib olishga ulgurgan bo‘lsa, u sud qarori kuchga kirganidan keyin 15 kun ichida ularni jabrlanuvchining kartasiga qaytarishi shart.