Стаття 68. Автентифікація
1. Електронна взаємодія надавача платіжних послуг із користувачем здійснюється лише після автентифікації користувача, який є фізичною особою, або уповноваженого представника користувача, який є юридичною особою.
2. Під час виконання автентифікації надавачі платіжних послуг зобов’язані виконувати вимоги Національного банку України щодо захисту конфіденційності та цілісності індивідуальної облікової інформації користувачів.
3. Надавачі платіжних послуг зобов’язані застосовувати посилену автентифікацію користувача під час:
1) отримання користувачем доступу до рахунку за допомогою засобів дистанційної комунікації;
2) ініціювання дистанційної платіжної операції;
3) будь-яких інших дій у разі підозри вчинення шахрайства (або існування ризику шахрайства) чи інших неправомірних дій (або існування ризику вчинення інших неправомірних дій).
4. Надавачі платіжних послуг зобов’язані розробити та застосовувати елементи посиленої автентифікації, які мають бути незалежними, щоб виявлення факту несанкціонованого доступу до одного захищеного елемента або його розголошення не загрожувало надійності інших елементів, а також запровадити заходи із забезпечення захисту конфіденційності даних автентифікації.
5. Для проведення дистанційних платіжних операцій надавачі платіжних послуг зобов’язані застосовувати посилену автентифікацію платника, що включає використання унікальних для кожної окремої операції даних, які дають змогу пов’язувати (в результаті виконання алгоритму співставляти контрольний показник з даними операції) операцію на певну суму і конкретного отримувача.
6. Надавачі платіжних послуг з обслуговування рахунку зобов’язані застосовувати вимоги частин третьої і п’ятої цієї статті у разі надходження запиту з ініціювання платіжної операції від надавача послуг з ініціювання платіжної операції або запиту від надавача послуг з надання інформації за рахунками.
7. Національний банк України встановлює своїми нормативно-правовими актами вимоги до:
1) посиленої автентифікації у випадках, визначених цією статтею, а також у випадках, коли надавачі платіжних послуг мають право не вимагати застосування посиленої автентифікації користувача;
2) заходів безпеки, що повинні забезпечувати конфіденційність індивідуальної облікової інформації користувача;
3) здійснення електронної взаємодії між суб’єктами платіжних операцій для цілей ідентифікації, автентифікації, повідомлення та інформування, а також вимоги до заходів щодо забезпечення безпеки під час зазначеної електронної взаємодії.