AntiFraud HUB

ЕМА Anti Fraud Hub (AFH) – магістральний захищений портал, через який проводиться міжгалузевий антишахрайський обмін даними та/ або їх транзит із застосуванням API, через веб-інтерфейс, в режимі приватних і групових чатів в рамках Форуму і месенджера. AFH реалізовано в формі прикладного програмного забезпечення, яке містить бази даних, модулі, сервіси та забезпечує обіг наступної інформації: 

  • щодо неправомірного, незаконного використання платіжних інструментів та платіжних систем, платіжної інфраструктури, обладнання, програмного забезпечення, придатного для компрометації інформації;
  • щодо підробки платіжних карток, електронних грошей, електронних гаманців тощо; 
  • щодо неправомірних або незаконних дій у сфері отримання (надання) позик, кредитів;
  • щодо результатів платіжного моніторингу, історій авторизації; 
  • результати аналізу інформації, які сприяють належній ідентифікації платників, отримувачів, суб’єктів правовідносин позики, кредитування, розрахунків; 
  • фото /відео/ аудіо інформації, довідкової та статистичної інформації;
  • методичних рекомендацій та експертної інформації користувачів  AFH, членів та учасників Асоціації, ЕС3 Europol, EAST, Кіберполіції, ДСФМУ.

Mobile Check, Cardholder Verification, Exchange Online, БД «Інциденти», CrimeCheck online, CardCheck Onlineє складовими БД, сервісами та модулями AFH.

Шахрайство в еквайрингової мережі /POS Fraud
CPPs & fraudulent withdrawals,
fraudulent merchants IDs,
fraudulent clients IDs,
new schemes and patterns.

Шахрайство в банкоматах / ATM Fraud
CPPs & fraudulent withdrawals,
TRF & Cash-Trapping incidents,
Logical Attacks,
Physical Attacks,
new schemes and patterns.

Шахрайство в Інтернет /CNP Fraud
CPPs & fraudulent withdrawals,
test merchants,
phishing web-sites,
malware on client’s PCs &mobile malware,
new schemes and patterns.

Шахрайство в системах ДБО / RBS Fraud
fraudulent withdrawals,
money mules IDs – both legal and private entities,
fraudulent IP –addresses,
new schemes and patterns.

Шахрайство з використанням методів соціальної інженерії /Social Engineering Fraud
fraudulent merchants & clients IDs,
money mules IDs – private entities,
fraudulent mobile phone numbers,
new schemes and patterns.

Користувачі (станом на 05.11.2020)

  • Загальна кількість організацій – 60
  • Кількість API-підключень – 9
  • Загальна кількість активних користувачів – 650
  • Кількість банківських користувачів – 533
  • Кількість користувачів українських банків – 492
  • Кількість користувачів зарубіжних банків – 41
  • Кількість користувачів PSP, торгових майданчиків і МФО- 26
  • Кількість користувачів ДКП НПУ – 91
 
 
2020 Впроваджена двухфакторна аутентифікація, запущені сервіси Cardholder Verification та Mobile Check.
2019 Мікрофінансові компанії та банки розпочали доступ до AFH по API.
2018 Введення в експлуатацію БД «Інциденти»: API AFH – PSP, Банки.
2017 Введення в експлуатацію модуля Crime Check online: API Департамент кіберполіції – AFH.
2017 OLX.com підключився до AFH.
2014 Департамент кіберполіції підключився до AFH.
2012 Платіжні сервіси підключилися до AFH.
2012 Банки з Білорусі та Казахстану підключилися до AFH.
2011 Підписання Порядку взаємодії з МВС.
2011 Банки з Молдови, РФ підключилися до AFH.
2010 Перший представник МВС підключений до AFH.
2006 Підписання Меморандуму про співпрацю з МВС.
2002 Міжбанківський обмін інформацією переведений на систему Interbank Exchange-online (IBE/AFH).
2001 Початок міжбанківського обміну інформацією про платіжне шахрайство електронною поштою
2001 Засновано Форум Безпеки Розрахунків і Кредитів (ФБР і К)
1999 Створення Асоціації ЄМА
  1. Користувачем AFH мають право бути організації – члени Асоціації ЄМА та органи визначені відповідним законодавством.
  2. AFH реалізовано в формі прикладного програмного забезпечення, яке містить базу персональних даних «Exchange-online», сервіси та модулі та функціонує у відповідності до п. 39.5 ст. 39 та ст. 401 Закону України «Про платіжні системи та переказ коштів в Україні», ст.1 Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення», ст. 6, 7 Закону України «Про захист персональних даних», Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», ст. 61-62 Закону України «Про банки і банківську діяльність», свідоцтва про Державну реєстрацію бази персональних даних «Exchange-Online», виданого 10 жовтня 2012 року Державною Службою України з питань захисту персональних даних і Кодексу Корпоративного поведінки з обробки персональних даних, рекомендованого до використання Державної Служби України з питань захисту персональних даних (лист 09 / 5410-12 від 19 листопада 2012 року).
  3. Одночасно з набранням чинності Законом України “Про платіжні послуги” (http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=70412) AFH функціонуватиме у відповідності до пункту 3 статті 67. Управління операційними ризиками та ризиками безпеки зазначеного Закону, а відповідні вимоги Закону України «Про платіжні системи та переказ коштів в Україні» перестануть впливати на права та обов’язки Користувачів AFH.
  4. Користувачі AFH розуміють та належним чином виконують положення п. 39.5 ст. 39 Закону України «Про платіжні системи та переказ коштів в Україні», а саме: «Для належної ідентифікації суб’єктів помилкових та неналежних переказів та вжиття заходів щодо запобігання або припинення зазначених переказів учасники платіжної системи повинні повідомляти інших учасників системи про таких суб’єктів та перекази в обсягах, встановлених правилами відповідної платіжної системи або договорами між ними. На підставі договорів та відповідно до цього Закону зазначену діяльність має право здійснювати юридична особа, засновниками якої є учасники платіжних систем, процесингові установи, платіжні організації. Учасники платіжної системи та заснована ними юридична особа повинні забезпечити технологічний та програмно-апаратний захист персональних даних суб’єктів помилкових чи неналежних переказів згідно із цим Законом».
  5. Користувачі AFH розуміють положення Закону України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» та належним чином виконують ідентифікацію платників, отримувачів, суб’єктів правовідносин, пов’язаних з обслуговуванням банківського рахунку (включаючи правовідносини позики, кредитування і розрахунків з використанням документів на переказ та електронних платіжних засобів), що є передумовою запобігання та протидії легалізації доходів, одержаних зазначеними особами в результаті неналежних переказів, переказів здійснених неналежними платниками.
  6. Користувачі AFH розуміють та керуються положеннями п. 3.1.5. ст. 3 «Завдання та напрямки діяльності Асоціації» Статуту Асоціації, а саме: «Провадження діяльності відповідно до Закону України «Про платіжні системи та переказ коштів в Україні», інших законів та нормативних актів по забезпеченню функціонування електронної системи обігу інформації, в т.ч. аналізу даних щодо кредитів, неналежних переказів з використанням платіжних інструментів, історій, обставин, умов, технічних, апаратних, програмних та інших особливостей їх здійснення, суб’єктів неналежних переказів тощо та взаємного інформування платіжних установ, членів платіжних систем про результати аналізу».
  7. Користувачі AFH керуються положеннями ч. 4 ст. 61 «Зобов’язання щодо збереження банківської таємниці» Закону України «Про банки і банківську діяльність», а саме: «Органи державної влади, юридичні та фізичні особи, які при виконанні своїх функцій, визначених законом, або наданні послуг банку безпосередньо чи опосередковано отримали в установленому законом порядку інформацію, що містить банківську таємницю, зобов’язані забезпечити збереження такої інформації, не розголошувати цю інформацію і не використовувати її на свою користь чи на користь третіх осіб».
  8. Користувачі AFH дотримуються положень п. п. 5, 7 ч. 2 («Особливі вимоги до обробки персональних даних») ст. 7 Закону України «Про захист персональних даних»,  що полягає у наступному: «Положення частини першої цієї статті не застосовується, якщо обробка персональних даних необхідна для обґрунтування, задоволення або захисту правової вимоги; стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом.
  1. Користувачі AFH (члени Асоціації ЄМА) прийшли до згоди вважати Публічний Договір (ДОГОВІР ПРО ПРИЄДНАННЯДО СПІЛЬНОГО ВИКОРИСТАННЯ ЕМА ANTI FRAUD HUB) основним документом, що регулює порядок і послідовність дій, права та обов’язки Користувачів щодо спільного використання AFH.

Автоматизовані Сервіси AFH:

1. API доступ до Бази інцидентів (БД «Інциденти»)

Використання даних з БД «Інциденти» дозволяє проводити розслідування і запобігати випадкам платіжного і кредитного шахрайства на початковому етапі, в т.ч, робити перевірки на етапі: – відкриття рахунку – видачі кредиту – поповнення рахунку мобільного телефону (перевірка по номеру телефону) – ініціалізації Р2Р-перекладу (перевірка по номеру телефону відправника при наявності такого поля на сторінці перекладу) – робити перевірки на наявність негативу в процесі моніторингу зарахувань на рахунок клієнта або обслуговування кредиту, тощо.

Інформація в БД «Інциденти»: – одержувачі несанкціонованих платежів (НСП) після вішинг або фішингу (виманювання реквізитів платіжних карт) – одержувачі передоплат за неіснуючий товар – одержувачі НСП через системи дистанційного банківського обслуговування (ДБО) – використання підроблених паспортів – дані з кредитних заявок, за якими було встановлено фіктивне місце роботи – дані за зверненнями родичів щодо неплатоспроможних клієнтів, за яких рідні регулярно погашають кредити – інформація про загублені / викрадені паспорти – номери телефонів, які несанкціоновано поповнювалися з банківських карток і рахунків – номера телефонів, з яких здійснювалися “шахрайські” дзвінки клієнтам або смс-розсилки

2. API CrimeCheck Online запити та відповіді членів Асоціації та Національної поліції щодо: – платіжних інструментів які, згідно з заявами потерпілих громадян, використовуються для відмивання коштів, отриманих злочинним шляхом; – оперативного визначення місця зняття зарахованих коштів, ідентифікації осіб зловмисників, передача консолідованих матеріалів до територіального підрозділу Національної поліції за місцем скоєння злочину.

3. API MobileCheck Online запити та відповіді УРФП, Асоціації та мобільних операторів щодо: – дати заміни SIM-картки; – наявності активної переадресації з MSISDN на інший MSISDN

Використання MobileCheck Online дозволяє перевіряти статус заміни SIM-карток перед виконанням високо ризикових операцій, пов’язаних з використанням номеру мобільного телефону клієнта в т.ч. відправки одноразових кодів, ідентифікації клієнта в кол-центрі, відновлення доступу до сервісів, реєстрації нового користувача інтернет-банкінгу або відновлення йому паролю доступу, розблокування платіжного інструменту, зміна лімітів.

4. API CardHolder Verification запити та відповіді членів Асоціації щодо: – верифікації власника картки, що використовується для отримання кредиту, з даними власника документів на які оформляється кредит, зареєстровано електронний гаманець, тощо.

CardHolder Verification дозволяє унеможливити зарахування кредитних коштів на картку, якщо ПІБ Держателя не співпадає з ПІБ особи в наданих документах та вирішує проблему отримання шахраями мікрокредитів за викраденими сканкопіями документів.