रिजर्व बैंक ऑफ इंडिया (आरबीआई) ने डिजिटल भुगतान लेनदेन को और सुरक्षित करने के लिए, तकनीकी प्रगति पर लाभ उठाकर न्यूनतम दो-कारक प्रमाणीकरण से परे अतिरिक्त जोखिम-आधारित चेकों की शुरूआत की है।
आरबीआई ने गुरुवार (25 सितंबर, 2025) को रिजर्व बैंक ऑफ इंडिया (डिजिटल भुगतान लेनदेन के लिए प्रमाणीकरण तंत्र) दिशाओं, 2025 को जारी किया, जो 1 अप्रैल, 2026 से लागू होगा।
ये दिशाएं सभी भुगतान प्रणाली प्रदाताओं, भुगतान प्रणाली प्रतिभागियों (बैंकों और गैर-बैंकों) और सभी घरेलू डिजिटल भुगतान लेनदेन पर लागू होंगी।
दिशाओं के अनुसार जारीकर्ताओं को अंतर्निहित लेनदेन की धोखाधड़ी जोखिम धारणा के आधार पर अतिरिक्त जोखिम-आधारित चेक को अपनाना चाहिए।
उन्हें इंटरऑपरेबिलिटी और प्रौद्योगिकी तक खुली पहुंच की सुविधा के लिए कहा गया है।
जब भी विदेशी व्यापारी या अधिग्रहणकर्ता द्वारा ऐसा अनुरोध उठाया जाता है, तो गैर-आवर्ती क्रॉस-बॉर्डर कार्ड (CNP) लेनदेन में प्रमाणीकरण के अतिरिक्त कारक (AFA) के अतिरिक्त कारक को मान्य करने के लिए कार्ड जारीकर्ता को अनिवार्य करने के लिए निर्देश कॉल करें।
वर्तमान में भारत में सभी डिजिटल भुगतान लेनदेन को प्रमाणीकरण के दो कारकों के आदर्श को पूरा करने की आवश्यकता है। जबकि प्रमाणीकरण के लिए कोई विशिष्ट कारक अनिवार्य नहीं था, डिजिटल भुगतान पारिस्थितिकी तंत्र ने मुख्य रूप से एसएमएस-आधारित वन टाइम पासवर्ड (ओटीपी) को अतिरिक्त कारक के रूप में अपनाया है।
दिशाएँ व्यापक सिद्धांत प्रदान करती हैं जो प्रमाणीकरण के एक रूप का उपयोग करते हुए भुगतान श्रृंखला में सभी प्रतिभागियों द्वारा अनुपालन किए जाएंगे।
जबकि ये दिशाएँ केवल घरेलू लेनदेन पर लागू होती हैं, भारत में जारी किए गए कार्डों का उपयोग करके किए गए ऑनलाइन अंतर्राष्ट्रीय लेनदेन के लिए समान स्तर की सुरक्षा प्रदान करने के लिए, दिशा-निर्देश भी विशिष्ट क्रॉस-बॉर्डर कार्ड लेनदेन के लिए आवश्यक निर्देशों को शामिल करते हैं।
“यह सुनिश्चित किया जाएगा कि डिजिटल भुगतान लेनदेन के लिए, कार्ड के अलावा अन्य लेनदेन के अलावा, प्रमाणीकरण के कम से कम एक कारक गतिशील रूप से बनाए गए या सिद्ध होते हैं, अर्थात, कारक के कब्जे का प्रमाण, लेनदेन के हिस्से के रूप में भेजा जा रहा है, उस लेनदेन के लिए अद्वितीय है,” आरबीआई ने कहा।
प्रमाणीकरण का कारक ऐसा होगा कि एक कारक से समझौता दूसरे की विश्वसनीयता को प्रभावित नहीं करेगा।
“सिस्टम प्रदाताओं और सिस्टम प्रतिभागियों को प्रमाणीकरण या टोकन सेवा की पेशकश करने की आवश्यकता होगी जो सभी अनुप्रयोगों / टोकन अनुरोधकर्ताओं के लिए सुलभ है जो सभी उपयोग के मामलों / चैनलों या टोकन भंडारण तंत्र के लिए उस परिचालन वातावरण में काम कर रहे हैं,” यह कहा।
जारीकर्ता अपनी आंतरिक जोखिम प्रबंधन नीतियों के अनुरूप हो सकते हैं, व्यवहार / प्रासंगिक मापदंडों जैसे लेनदेन स्थान, उपयोगकर्ता व्यवहार पैटर्न, डिवाइस विशेषताओं, ऐतिहासिक लेनदेन प्रोफ़ाइल, आदि के खिलाफ मूल्यांकन के लिए लेनदेन की पहचान कर सकते हैं।
लेन-देन से जुड़े कथित जोखिम के आधार पर, न्यूनतम दो-कारक प्रमाणीकरण से परे अतिरिक्त चेक का सहारा लिया जा सकता है। नियामक ने कहा कि जारीकर्ता डिगिलोकर को उच्च जोखिम वाले लेनदेन के लिए अधिसूचना और पुष्टि के लिए एक मंच के रूप में उपयोग कर सकते हैं।
“एक जारीकर्ता तैनाती से पहले प्रमाणीकरण तंत्र की मजबूती और अखंडता सुनिश्चित करेगा,” यह कहा।
“यदि कोई नुकसान इन दिशाओं का अनुपालन किए बिना लेनदेन से प्रभावित होता है, तो जारीकर्ता ग्राहक को बिना किसी डेमूर के नुकसान के लिए क्षतिपूर्ति करेगा।”
जारीकर्ता डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम, 2023 के प्रावधानों का पालन सुनिश्चित करेंगे, यह जोड़ा।
आरबीआई ने 31 जुलाई, 2024 को डिजिटल भुगतान लेनदेन के लिए वैकल्पिक प्रमाणीकरण तंत्र पर मसौदा निर्देश जारी किए थे और हितधारक टिप्पणियों के लिए 07 फरवरी, 2025 को सीमा पार सीएनपी लेनदेन में एएफए की शुरूआत पर ड्राफ्ट दिशा-निर्देश।
जनता से प्रतिक्रिया को शामिल करने के बाद ये निर्देश जारी किए गए हैं।
