حرصًا على حماية حقوق عملاء القطاع المصرفي، يواصل بنك الكويت المركزي اتخاذ مجموعة من الإجراءات في سبيل مجابهة حالات الاحتيال المالي، من خلال إصدار وتحديث التعليمات الرقابية الملزمة لكل الجهات الخاضعة لرقابته، إضافة إلى رفع الوعي لدى العملاء.
فمن جهة التعليمات الرقابية، أصدر «المركزي» عام 2019 تعليمات بشأن قواعد ونظم الحوكمة في البنوك الكويتية، تضمنت تعزيز إدارة المخاطر وحوكمتها، وضرورة تحديد مسؤوليات تنظيمية لإدارة المخاطر معرّفة على نحو جيد، إضافة إلى تأكيد أهمية مواجهة مخاطر نظم أمن المعلومات والأمن السيبراني، في ظل المخاطر المقترنة بالتطور المتسارع للتقنيات المستخدمة في مجال العمل المصرفي، حيث يتعيّن على مجالس إدارة البنوك تعميق الوعي في مجال أمن المعلومات، وأن تركّز جهودها في اختيار النظم التي من شأنها تعزيز حماية أمن المعلومات في مواجهة مخاطر الاختراق عبر الإنترنت، إضافة إلى إنشاء وحدة مستقلة لأمن المعلومات تضع السياسات والمعايير الخاصة بتنفيذ وتشغيل ومراقبة ضوابط الأمن السيبراني، بما يتماشى مع استراتيجية البنك ونزعة المخاطر.
وعلى صعيد تعزيز نظم أمن المعلومات وتطوير القدرات والكفاءات لدى القطاع المصرفي، انتهى «المركزي» في فبراير 2020 من بناء الإطار الاستراتيجي للأمن السيبراني للقطاع المصرفي بالكويت، وهو إطار متكامل للتعامل مع مخاطر الأمن السيبراني، ويشمل الحد الأدنى من المتطلبات الخاصة بالحكومة وإدارة المخاطر والالتزام، والمتطلبات الخاصة بإدارة العمليات والتقنيات، والمتطلبات الخاصة بالأطراف الثالثة والحوسبة السحابية، والمتطلبات الخاصة بحماية أنظمة الدفع الإلكتروني، كما تم إلزام الجهات الخاضعة بالاستعانة بمدقق خارجي معتمد للتحقق من الالتزام بمتطلبات الوثيقة بشكل سنوي.
كذلك تم إلزام الجهات الخاضعة في القطاع المصرفي بالالتزام بتطبيق الضوابط الأمنية الموجودة في وثيقة الحد الأدنى من متطلبات الأمن السيبراني، ومن ضمنها:
1. تطبيق الضوابط الأمنية الخاصة بعمليات الدخول والتحقق من هُوية المستخدم.
2. إبلاغ العملاء بأي تغييرات تطرأ على حساباتهم المصرفية والخاصة بالخدمات الإلكترونية، مثل تغيير كلمات المرور، أو إضافة مستفيدين جدد أو تحويلات مالية.
3. التغييرات لبيانات العملاء تتم بعد التحقق من هُوية العميل باستخدام المصادقة المتعددة.
4. إضافة خاصية إيقاف البطاقات والحسابات من قبل العميل كإجراء احترازي.
5. إيقاف إمكانية الدخول المتزامن للخدمات الإلكترونية.
6. إيقاف صلاحية الدخول بعد خمس دقائق من عدم التفاعل.
7. تحديد صلاحية رمز التحقق لمدة 5 دقائق.
8. استخدام المصادقة المتعددة لعمليات تفعيل الحسابات والتحويلات المالية وإضافة المستفيدين.
9. منع استخدام التطبيقات البنكية على الأجهزة غير المعتمدة، وربط الأجهزة المستخدمة للدخول إلى الخدمات المصرفية مع حسابات مستخدميها.
10. استخدام التشفير أثناء تخزين أو نقل أو معالجة البيانات المصرفية.
11. إلزام الجهات الخاضعة في القطاع المصرفي بإغلاق الثغرات.
12. الالتزام بالمعايير العالمية في حماية بيانات البطاقات المصرفية مثل (PCI-DSS، PA-DSS، EMV).
ويأتي هذا المشروع ثمرة لجهود فريق من البنوك الكويتية برئاسة بنك الكويت المركزي، ويسهم في تعزيز قدرة القطاع المصرفي على مواجهة مخاطر الأمن السيبراني وتنسيق الجهود في مواجهة هذا النوع من المخاطر. كما أطلق «المركزي» ضمن مبادرة كفاءة لبناء الكوادر الوطنية التي يقودها بالتعاون مع البنوك الكويتية وإدارة معهد الدراسات المصرفية برنامج قادة الأمن السيبراني، لتطوير الكفاءات الوطنية عالية التأهيل في هذا المجال.
وعلى صعيد متصل، أصدر «المركزي» في أبريل 2023 تعميمًا إلى جميع البنوك المحلية بشأن روابط الدفع الإلكتروني للعملاء الأفراد، حيث يتعيّن أن تظهر في كشف الحساب المصرفي للعميل بيانات الطرف الآخر، متضمنة الاسم الكامل والغرض من الدفعة، مع ضرورة ألا تتجاوز صلاحية رابط الدفع 24 ساعة، ووضع سقف يومي وشهري لقيمة العمليات التي يمكن تنفيذها عبر روابط الدفع، وغيرها من الضوابط وإجراءات المتابعة لوقاية العملاء من الاحتيال المالي.
كذلك عمم «المركزي» على البنوك المحلية في سبتمبر 2023 بضرورة اتخاذ الإجراءات اللازمة لمنع استخدام تطبيق البنك على الهاتف النقال في حال تحميل الهاتف لأي من تطبيقات التحكم عن بُعد، مثل تطبيق Anydesk.
وعلى جانب تعزيز أمن البطاقات المصرفية، التي تشمل بطاقات السحب الآلي والبطاقات الائتمانية، ألزم «المركزي» البنوك المحلية أن تراعي عند إصدار تلك البطاقات أو تجديدها منع استخدامها إلا بعد تفعيلها من قبل العميل، وأن يتم ذلك من خلال قنوات آمنة، مثل مركز خدمة العملاء أو أجهزة الصراف الآلي.
كذلك تم تحديد عدد المحاولات الخاطئة لإدخال الرقم السري الخاص ببطاقات السحب الآلي على جميع القنوات، مثل مركز خدمة العملاء وأجهزة السحب الآلي، حيث يتم إيقاف البطاقة بعد 3 محاولات خاطئة، ولا يتم تفعيلها إلا من خلال اتصال العميل بمركز خدمة العملاء، وكذلك الأمر بالنسبة إلى عدد المحاولات الخاطئة لإدخال تاريخ انتهاء صلاحية البطاقة على قناة الدفع الخاصة بشركة الخدمات المصرفية الآلية المشتركة (كي نت) لتكون 3 محاولات فقط.
ومن بين التدابير المتخذة، حماية البطاقات المصرفية من خلال منع تمرير عمليات البطاقات الائتمانية باستخدام البيانات الموجودة على البطاقة فقط، والتأكد من طلب بيانات إضافية، مثل عنوان السكن أو شفرة سرية للتحقق من صحة العمليات التي تتم باستخدام البطاقات الائتمانية، ومنع المتاجر من مسح البطاقة المصرفية (Double Swipe) للعملاء أثناء الدفع على أجهزة نقاط البيع، فضلًا عن إرسال رسائل للعملاء بشأن العمليات غير المقبولة التي تتم على البطاقات المصرفية (بطاقات السحب الآلي والبطاقات الائتمانية)، وذلك لإحاطة العميل بأية عمليات تستدعي أن يبلّغ البنك بشأنها.
كما وجّه «المركزي» منذ يناير 2011 الجهات الخاضعة لرقابته نحو إنشاء وحدات للتعامل مع شكاوى العملاء الأفراد ومعالجتها.
وبداية من عام 2013 يوفر خدمة هاتفية للرد على استفسارات عملاء المؤسسات المالية والمصرفية بشأن المنتجات والخدمات التي تقدّمها تلك الجهات، على الرقم المخصص لهذا الغرض (1864444)، وذلك في إطار حرص «المركزي» على نشر الوعي لدى هؤلاء العملاء، وأعلن ذلك في قنواته المتعددة من موقعه الإلكتروني الرسمي وحتى حسابات شبكات التواصل.
كذلك أطلق «المركزي» في ديسمبر 2022 نظامًا إلكترونيًا لوحدة حماية العملاء لديه، بهدف تسهيل تلقي الشكاوى والتظلمات من العملاء الأفراد ضد البنوك المحلية، مما يُعفي مقدمي تلك الشكاوى والتظلمات ضد البنوك المحلية من الحاجة إلى الحضور شخصيًا إلى مقر البنك.
وعلاوة على ذلك، وضع «المركزي» دليلًا شاملًا لحماية حقوق العملاء أصدره في يوليو 2015، متضمنًا مجموعة من المبادئ والتوجيهات للقطاع المصرفي، تهدف إلى ترسيخ المقومات اللازمة لتوفير بيئة مناسبة لحفظ حقوق العملاء، في إطار علاقة متوازنة توفر الحماية للقطاع المصرفي وعدم تعريضه لمخاطر السمعة التي قد تنشأ في حالة عدم التزام البنوك بضوابط السلوك المهني.
وقد تضمن الدليل مجموعة من المبادئ العامة لحماية العملاء، من ضمنها مراعاة أهمية التوعية والتثقيف المالي، ووضع آلية معالجة شكاوى وتظلمات العملاء بطريقة سريعة وعادلة ومستقلة، وألزم المبدأ الخامس من دليل العملاء البنوك بحماية ودائع العملاء ومدخراتهم من خلال وضع أنظمة الرقابة الداخلية الفعالة التي تتسم بالكفاءة والمستوى العالي من الرقابة الدقيقة، بهدف الحد من عمليات الاحتيال والاختلاس، أو إساءة استخدام الخدمات المالية، والتأكّد باستمرار من كفاءة الأنظمة المستخدمة لمواكبة التغيرات في الأساليب الاحتيالية، كما وجّه البنوك إلى وضع قواعد واضحة ومحددة لمعالجة حالات الخطأ أو الاحتيال في حالة وقوعه.
وقد أصدر «المركزي» في سبتمبر الماضي توجيهات إلى اتحاد مصارف الكويت لإنشاء غرفة مركزية للتعامل مع حالات الاحتيال المالي تعمل على مدار الساعة لاستقبال بلاغات العملاء.
كما أن البنوك ملزمة عند تنفيذ عمليات العملاء باستيفاء متطلبات العناية الواجبة، وكذلك المراقبة المستمرة لمعاملات العملاء، وذلك بموجب تعليمات «المركزي» بشأن مكافحة غسل الأموال وتمويل الإرهاب والمحدّثة في فبراير 2023.
«لنكن على دراية»
يقود «المركزي» حملة متواصلة للتوعية المصرفية بعنوان «لنكن على دراية» وذلك لرفع الوعي لدى العملاء، بالتعاون مع البنوك الكويتية، بهدف رفع الوعي المالي للمجتمع.
وتتناول الحملة عبر القنوات الإلكترونية ومنصات التواصل وغيرها سبل تجنّب الوقوع ضحية للاحتيال الإلكتروني، كذلك حرص «المركزي» على التعاون مع الجهات والمؤسسات الحكومية، مثل التعاون مع وزارة الإعلام لنشر الإعلانات الخاصة بالتوعية من مخاطر الاحتيال الإلكتروني في التلفزيون والإذاعة، وإجراء لقاءات مع مختصين في هذا المجال، والتعاون مع الهيئة العامة للاتصالات وتقنية المعلومات لنشر رسائل توعية عبر شركات الاتصالات، فضلاً عن تقدّم «المركزي» باقتراح إلى الهيئة لإظهار أسماء الجهات الاعتبارية على شاشة هاتف متلقي الاتصال لمنع المحتالين من الادعاء بتمثيل تلك الجهات.
كذلك تعاون البنك المركزي مع الجهاز المركزي لتكنولوجيا المعلومات لنشر رسائل التوعية عبر تطبيق سهل.
ويواصل «المركزي» مراقبة ما يستجد في هذا المجال، ولن يتوانى عن اتخاذ الخطوات اللازمة لمواجهة مخاطر الاحتيال، بالتنسيق والتعاون مع الأطراف المعنية.