9 تحديات تسهم في زيادة حالات الاحتيال المالي بالسعودية

الأحد - 10 أبريل 2022

Sun - 10 Apr 2022

حدد البنك المركزي السعودي 9 تحديات أسهمت في زيادة حالات الاحتيال المالي بالمملكة أبرزها، فتح 4.8 ملايين حساب عن بعد دون مطابقة، وضعف في أنظمة مراقبة العمليات، وقصور شديد في تتبع الأموال الناتجة من الاحتيال، وضعف في إجراءات وآليات تلقي بلاغات الاحتيال والتعامل معها، وضعف في حصر أنواع وأساليب وأعداد وأحجام كافة حالات الاحتيال، وعدم وجود إجراءات للتحقق من تطابق رقم الآيبان واسم المستفيد، وعدم الاستثمار الكافي في البنية التحتية لأنظمة مكافحة الاحتيال.

وأكد البنك المركزي في بيان له على حسابه في تويتر، على البنوك العاملة في المملكة، تطبيق عدد من الإجراءات الاحترازية لمكافحة الاحتيال المالي وحماية المتعاملين مع البنوك، مشيرا إلى أن اتخاذ هذه الإجراءات الاحترازية الإضافية، أتى بناء على ما تم رصده من ازدياد المواقع الالكترونية وحسابات التواصل الاجتماعي الاحتيالية، بالإضافة إلى استمرار حالات الاحتيال المالي التي تستهدف عملاء البنوك بطرق ووسائل مختلفة مثل الهندسة الاجتماعية، التي يقوم المحتال من خلالها بإيهام العميل بأنه يتعامل مع جهات رسمية أو خاصة أو أفراد موثوقين، والحصول على بياناتهم الخاصة؛ مما ينتج عنه تزويد عصابات الاحتيال المالي ببيانات الدخول على الحساب المصرفي ورمز التحقق، ثم إجراء عمليات احتيال مالية على حسابات العملاء.

وأوضح البنك المركزي أنه اتخذ إجراءات عاجلة وموقتة تتصل بتعليق بعض الخدمات مثل فتح الحسابات عن بُعد، ووضع حدود لإجمالي مبالغ التحويلات اليومية لحسابات الأفراد والمؤسسات الفردية لا تزيد على مبلغ 60 ألف ريال، ويمكن للعميل طلب رفع هذا الحد من البنك، وغيرها من الإجراءات التي تصب في تعزيز إجراءات مكافحة الاحتيال المالي، التي تسهم بشكل أساسي في حماية العميل، وذلك إضافة إلى ما سبق إصداره من تعليمات ومتطلبات نظامية تتعلق بمكافحة الاحتيال المالي.

وشدد البنك على عملاء البنوك بضرورة أخذ الحيطة والحذر من هذه العمليات الاحتيالية، وعدم التفريط بإفشاء البيانات البنكية والشخصية، مثل الأرقام السرية ورموز التحقق لأي شخص أو جهة، مع أهمية التأكد من موثوقية المواقع الالكترونية المتعامل معها.

  1. فتح 4,844,564 حسابا عن بعد دون التحقق من تطابق رقم هوية العميل مع رقم الهوية المستخدم في الجوال، وتشكل نسبة 55% من مجموع الحسابات التي فتحت عن بعد.

  2. ضعف في أنظمة مراقبة العمليات مما خلق تحديا في الحد من اكتشاف حالات الاحتيال بشكل مبكر.

  3. قصور شديد في تتبع الأموال الناتجة من عمليات الاحتيال لإيقافها قبل خروجها خارج المملكة.

  4. ضعف في إجراءات وآليات تلقي بلاغات الاحتيال والتعامل معها من حيث الرصد والتحقيقات والتقارير.

  5. وجود ضعف في حصر أنواع وأساليب وأعداد وأحجام كافة حالات الاحتيال، بما فيها بيانات الضحية والمستفيد من عمليات الاحتيال.

  6. نقص في الكوادر المؤهلة في وحدات مكافحة الاحتيال المالي.

  7. ضعف كفاءة برامج توعية العملاء من حيث المادة والقنوات المستخدمة، ووضع مؤشرات قياس مدى فاعليتها.

  8. عدم وجود إجراءات للتحقق من تطابق رقم الآيبان واسم المستفيد.

  9. عدم الاستثمار الكافي في البنية التحتية لأنظمة مكافحة الاحتيال باستخدام الذكاء الاصطناعي ودراسة سلوك العميل.


تعليمات وإجراءات عاجلة لمكافحة الاحتيال المالي:

01 الخدمات الالكترونية:



  • عدم تفعيل الخدمات البنكية للحسابات الجديدة التي يتم فتحها عن بعد ويتوجب على العميل استكمال تفعيل الحساب عن طريق الفرع أو الخدمات الذاتية بالبصمة لتفعيل استخدام الخدمات البنكية، وعدم اتاحة الخدمة لغير المواطنين.

  • تطبيق أكثر من معيار للتحقق من الهوية عند طلب (تأسيس الخدمات الالكترونية، تغير كلمة المرور، إصدار وتفعيل البطاقات مدى أو ائتمانيه وغيره)، وتأكيد الطلب عبر قناة أخرى (على سبيل المثال: الاتصال الهاتفي).

  • تطبيق متطلبات إضافة وتفعيل المستفيد على التحويلات المالية للمحافظ الالكترونية بأي طريقة كانت.

  • تطبيق أكثر من معيار من معايير التحقق لكل عملية تحويل مالية للعملاء المضافين مسبقا.

  • يتوجب على العملاء إدخال الرقم السري الموقت يدويا (OTP) وإيقاف خاصية التعبئة المباشرة.




02 الحوالات المالية:

تعديل سقف مجموع المبالغ لعمليات التحويل حسب الآتي:

- الحسابات المفتوحة عن طريق الفروع / أو موثقة عن طريق الفروع يتم:

• وضع إجراءات احترازية على عمليات التحويل وتعليق الحوالات لمدة ساعة على الأقل قبل تنفيذها من البنك المصدر عبر نظام RTGS.

• يكون إجمالي مبالغ الحوالات اليومية عبر نظام (IPS) بحدود مالية يحددها البنك المركزي على سبيل المثال (40,000 ) ريال كحد أعلى.

- الحسابات المفتوحة عن بعد سابقا بحيث يكون إجمالي مبالغ الحوالات اليومية لأنظمة المدفوعات (20,000) ريال كحد أعلى.

- تطبيق آلية إضافة وتفعيل المستفيد باستخدام قناة أخرى على جميع أنواع الحوالات المالية.

03 الحوالات الدولية:


  • عند إضافة مستفيد دولي من الحسابات المملوكة لمقيم، يكون التفعيل عن طريق الفرع أو أجهزة الخدمة الذاتية (بالبصمة).

  • تعليق الحوالات الدولية المنفذة عن طريق القنوات الالكترونية لمدة 24 ساعة إذا كانت للمرة الأولى، ولمدة ساعتين على الأقل للحوالات التالية لنفس المستفيد، وذلك للدول عالية المخاطر.

  • عدم السماح للحسابات المفتوحة عن بعد سابقا ولم يتم توثيقها بإجراء عمليات تحويل دولية.




04 الحسابات التي تم فتحها عن بعد سابقا:


  • فيما يخص الحسابات المفتوحة عن بعد سابقا وتم من خلالها الاستفادة من منتجات بنكية مثل (ربط الراتب، تمويلات، وغيرها)، على البنك أن يضع آلية لتوثيق الحساب إما عن طريق الفرع أو الخدمة الذاتية، وأن يتحمل المخاطر الناتجة عن عدم توثيق الحساب.

  • تقليل مبلغ العمليات الشرائية للحسابات غير الموثقة والمفتوحة سابقا (20,000) ريال يوميا، وفي حالة الظروف الخاصة على سبيل المثال تواجد العميل خارج المملكة، يمكن للبنك وضع آلية لتوثيق الحساب ورفع الحد على أن يتحمل البنك المخاطر الناتجة عن ذلك.




05 مراقبة العمليات:


  • وضع التدابير الاحترازية لإيقاف أو استعادة الحوالات المالية الدولية الالكترونية بعد تنفيذها من قبل العميل، أخذا في الاعتبار سلوك العميل في الحوالات الدولية والدول المرسل إليها تلك المبالغ.

  • عدم السماح للعملاء بتنفيذ عمليات مالية عند دخول العملاء للحسابات من خلال خاصية السمات الحيوية أو خاصية (M PIN)، وأن تكون تلك الخدمات للاستعراض فقط دون إجراء عمليات مالية حسب متطلبات البنك المركزي. وفي حال رغبة العميل تنفيذ عمليات مالية يتوجب تطبيق أكثر من معيار من معايير التحقق من الهوية (OTP) لكل عملية مالية، وتطبيق الإجراءات النظامية حيال العمليات المالية.

  • عمل مراجعة شاملة للتأكد من عدم وجود أي ثغرات تقنية أو إجرائية تؤدي إلى إظهار أي معلومة حساسة عن العميل (على سبيل المثال: رقم البطاقة البنكية، قائمة البطاقات).

  • التحقق من جميع إصدارات تطبيق البنك، وعدم وجود أي ثغرات سيبرانية أو تقنية أو إجرائية، وعدم السماح بالدخول للخدمات الالكترونية من الأجهزة المعدلة (على سبيل المثال: Jailbreak ).

  • عند دخول العملاء عبر خدمة الهاتف المصرفي، أن تطبق أكثر من معيار من معايير التحقق من الهوية، أخذا في الاعتبار إمكانية البنك من التعرف على رقم الاتصال ما إذا كان اتصالا من رقم حقيقي أو من رقم انتحالي لرقم العميل.


06 ضوابط عامة:


  • إبلاغ العملاء في حال ترقية الحساب إلى فئة أعلى، وأخذ الموافقة على رفع الحدود المالية للعمليات. كما يجب وضع الخيار للعملاء على نحو واضح في حال الرغبة بتقليل الحد اليومي للعمليات المالية. وفي حال رغبة العميل إعادة رفع الحد اليومي، يجب على البنوك استخدام أكثر من معيار من معايير التحقق من الهوية، بالإضافة إلى وضع تدابير آمنة للتحقق تتضمن استخدام قناة أخرى غير المستخدمة في عملية طلب تغيير الحد (على سبيل المثال الاتصال الهاتفي، جهاز الصراف الآلي، الفرع،...إلخ)،على ألا يتجاوز الحد اليومي لفئة العميل المحددة من قبل البنك مع إرسال رسائل إشعار فورية للعملاء وتحديد وقت يحدده البنك لتفعيل الطلب

  • تطبيق الحدود اليومية على الحسابات بما فيها الحسابات الفرعية على سبيل المثال: إذا كان الحد الأعلى للحساب 100,000 ريال فإنه يشمل الحسابات الرئيسة والفرعية أي مجموعها لا يتجاوز 100,000 ريال.

  • تحديد الغرض من جميع أنواع رسائل التحقق (OTP) بشكل واضح وصريح، بما في ذلك عمليات التجارة الالكترونية، وأن تشمل الغرض، والمبلغ، واسم المتجر حسب قوالب الإشعارات المعتمدة.

  • التأكيد على تطبيق خدمة تحقق لجميع الحسابات البنكية حسب التعليمات الصادرة سابقا.

  • إشعار العملاء بعمليات تسجيل الدخول التي تتم على الحساب في حال تم تسجيل الدخول من جهاز جديد.


07 بلاغات الاحتيال:


  • وضع إجراءات داخلية فعالة تضمن سرعة التجاوب مع حالات الاحتيال بعد اكتشافها أو بعد شكوى العميل، على أن تشمل جميع الإدارات ذات العلاقة وعلى مدار (24/7).

  • وضع إجراءات فعالة وسريعة على مدار (24/7 ) للتجاوب مع حالات الاحتيال الواردة من البنوك الأخرى، وأن تشمل إجراءات احترازية لتجميد المبالغ المعترض عليها إلى حين التحقق من سلامة مصدرها، وحوكمة تلك الإجراءات. كما يتعين أن تكون ضمن نطاق المراجعة الداخلية لإجراء التقييمات على تطبيق الإجراءات المعتمدة من البنك على نحو دوري.

  • دراسة جميع شكاوى العملاء والتي يشتبه بها حالات احتيال وتحليل الأساليب المستخدمة في عمليات الاحتيال وإضافتها في أنظمة مكافحة الاحتيال.

  • حصر وتحليل كافة أنواع وأساليب وأحجام وأعداد حالات الاحتيال المالي بما فيها بيانات الضحايا والمستفيدين من الأموال الناتجة من عمليات الاحتيال وحفظها في قواعد بيانات وحدة مكافحة الاحتيال المالي.

  • عند إبلاغ العميل البنك عن التعرض لحالة احتيال ، يتوجب على البنك/ المصرف إيقاف كافة الخدمات المرتبطة بالحساب وجميع القنوات بشكل فوري. وعلى البنك بذل العناية الواجبة للتحقق من هوية العميل قبل إعادة تفعيل الخدمات، وعكس حالات بطاقات مدى والبطاقات الائتمانية ومزامنتها (تاريخ الصلاحية، الحالة، ...إلخ ) مع البطاقات المضافة على المحافظ الالكترونية (مثل Apple Pay).

  • تزويد البنوك الأخرى وكذلك الجهات ذات العلاقة بالمواقع والإعلانات الوهمية التي تنتحل أسماء وهويات الجهات الحكومية والخاصة أو شخصيات معرفة بما فيها الحسابات في شبكات التواصل الاجتماعي والأساليب الحديثة عبر لجنة مكافحة الاحتيال المالي بين البنوك.




تعليمات و إجراءات متوسطة المدى سيتم تطبيقها خلال شهرين:

01 الاستثمار في البنى التحتية:

الاستثمار في البنى التحتية والأنظمة المتقدمة الخاصة بمكافحة الاحتيال المالي، وأن تكون هناك تدابير احترازية كافية وفعالة للتأكد من هوية العميل لتمكينه من إجراء العمليات المالية، مع الأخذ في الاعتبار دراسة سلوك العميل سواء في العمليات المالية أو ما يتعلق بسلوك العميل في آلية الدخول للخدمات الالكترونية، وتطوير أنماط وسيناريوهات شاملة وفعالة لاكتشاف العمليات المشبوهة، ووضع تدابير احترازية للحد من عمليات الاحتيال، على أن يتم تحديث تلك الأنماط والسيناريوهات على نحو دوري أخذا في الاعتبار أنماط وسيناريوهات الاحتيال المتجددة، ومن ذلك–على سبيل المثال لا الحصر– الآتي:

  • عند تسجيل الدخول من عدة مناطق جغرافية مختلفة في مدة زمنية قصيرة.

  • عند تسجيل الدخول من جهاز غير الجهاز الذي يستخدمه العميل.

  • عند تغيير الرقم السري أو رقم الجوال وتتبعها محاولات إجراء عمليات مالية.

  • اختلاف سلوك العميل في طريقة كتابة الرقم السري.

  • تحليل سلوك العميل من ناحية العمليات المالية في حال إجراء عدد من الحوالات المالية في وقت قصير كنتيجة لحوالات مالية واردة لنفس الحساب.

  • تحليل سلوك العميل من ناحية العمليات المالية التي تتم على حساب العميل وفق حد العمليات اليومي، على أن يتضمن ذلك الحوالات الداخلية والمحلية والخارجية، وربط العمليات المالية بجميع حسابات العملاء والقنوات البنكية المستخدمة من قبلهم، وبحسب سلوك العميل المالي في العمليات المالية، على أن تشمل التدابير العملاء المضافين والمعرفين مسبقا.

  • تطوير أنماط وسيناريوهات شاملة ومفصلة للكشف عن عمليات الاحتيال، واتخاذ الإجراءات اللازمة في شأنها، وقياس فعاليتها وتحديثها على نحو دوري.




02 تصحيح الحسابات المفتوحة عن بعد سابقا:

يتعين على البنك وضع خطة تصحيحية لإجراء التصحيح للحسابات المفتوحة عن بعد سابقا وتوثيقها عن طريق الفروع أو أجهزة البنوك الذاتية (بالبصمة) خلال مدة لا تتجاوز شهر.

03 برامج التدريب والتوعية:


  • تأهيل وتدريب الكوادر البشرية والصفوف الأمامية لخدمة العملاء على حالات الاحتيال المستحدثة وتطورات عمليات التصيد الاجتماعي، وتزويدهم بالصلاحيات اللازمة لاتخاذ إجراءات إيقاف وتعليق الخدمات البنكية والمصرفية وفق حوكمة تعتمد من البنك. كما يجب عمل العناية الواجبة للوقوف على كل عملية إيقاف أو تعليق الخدمات للعملاء للتحقق من عدم إساءة استخدام الصلاحيات فيما يضر مصلحة العملاء.

  • القيام ببرامج توعوية فعالة ومستمرة لغرض توعية العملاء عن أساليب الاحتيال المالي والسيبراني المتجددة، وتكون بطرق مبتكرة وحديثة بعيدا عن الطرق التقليدية، ويكون لهذه البرامج مؤشرات أداء تقيس فاعليتها. وللبنوك أن تنظم حملات توعوية مشتركة فيما بينها لتحقيق الوعي في عمليات الاحتيال المالي.