by-Ravindra Sikarwar
मुंबई: भारतीय रिजर्व बैंक (आरबीआई) ने डिजिटल भुगतान लेनदेन के प्रमाणीकरण तंत्रों को मजबूत करने के लिए नई दिशानिर्देश जारी किए हैं, जो पारंपरिक एसएमएस-आधारित वन-टाइम पासवर्ड (ओटीपी) पर निर्भरता कम करने पर केंद्रित हैं। ‘डिजिटल भुगतान लेनदेन के प्रमाणीकरण तंत्र दिशानिर्देश, 2025’ नामक ये नियम फरवरी 2024 में पहली बार घोषित किए गए थे और अब पूर्ण रूप से लागू होने वाले हैं। इनके तहत सभी डिजिटल भुगतानों के लिए दो-कारक प्रमाणीकरण (2FA) अनिवार्य रहेगा, लेकिन प्रमाणीकरण के तरीकों में विविधता लाई जाएगी, जिसमें बायोमेट्रिक्स, टोकन और अन्य आधुनिक विकल्प शामिल हैं। एसएमएस ओटीपी को अभी भी अनुमति दी गई है, लेकिन यह एकमात्र विकल्प नहीं रहेगा।
नई दिशानिर्देशों की मुख्य विशेषताएं:
आरबीआई के अनुसार, प्रमाणीकरण कारक तीन श्रेणियों से चुने जाएंगे: ‘उपयोगकर्ता के पास कुछ’ (जैसे कार्ड हार्डवेयर या सॉफ्टवेयर टोकन), ‘उपयोगकर्ता को कुछ ज्ञात’ (जैसे पासवर्ड, पासफ्रेज या पिन), या ‘उपयोगकर्ता क्या है’ (जैसे फिंगरप्रिंट या अन्य बायोमेट्रिक्स, जिसमें डिवाइस-आधारित या आधार-लिंक्ड विधियां शामिल हैं)। इनमें से कम से कम एक कारक प्रत्येक लेनदेन के लिए गतिशील रूप से उत्पन्न या सिद्ध किया जाना चाहिए, ताकि यह अद्वितीय और सुरक्षित हो। आरबीआई ने स्पष्ट किया है कि प्रणाली इतनी मजबूत होनी चाहिए कि एक कारक के समझौते से दूसरे पर कोई असर न पड़े।
बैंकों और भुगतान प्रदाताओं के लिए ये नियम सख्त हैं। जारीकर्ताओं (जैसे बैंक और गैर-बैंक संस्थाएं) को लेनदेन के जोखिम का मूल्यांकन व्यवहारिक या संदर्भीय मापदंडों के आधार पर करना होगा, जैसे लेनदेन का स्थान, उपयोगकर्ता के व्यवहार पैटर्न, डिवाइस विशेषताएं और ऐतिहासिक प्रोफाइल। उच्च जोखिम वाले मामलों में न्यूनतम 2FA से आगे अतिरिक्त जांच की जा सकती है। आरबीआई के एक वरिष्ठ अधिकारी ने कहा, “लेनदेन से जुड़े संभावित जोखिम के आधार पर न्यूनतम दो-कारक प्रमाणीकरण से परे अतिरिक्त जांच की जा सकती है। उच्च जोखिम वाले लेनदेन के लिए अधिसूचना और पुष्टि के प्लेटफॉर्म के रूप में डिजीलॉकर का उपयोग करने पर विचार किया जा सकता है।”
यदि कोई लेनदेन इन दिशानिर्देशों का पालन किए बिना किया जाता है और ग्राहक को नुकसान होता है, तो जारीकर्ता को बिना किसी बहस के पूर्ण मुआवजा देना होगा। यह प्रावधान ग्राहक सुरक्षा को मजबूत बनाता है और वित्तीय संस्थाओं पर जवाबदेही बढ़ाता है।
कार्यान्वयन की समयसीमा:
- घरेलू लेनदेन: सभी भुगतान प्रणाली प्रदाताओं और प्रतिभागियों (बैंक और गैर-बैंक संस्थाएं सहित) को 1 अप्रैल 2026 तक पूर्ण अनुपालन सुनिश्चित करना होगा। इस तिथि से वैकल्पिक 2FA विधियों को अपनाना अनिवार्य हो जाएगा।
- सीमा-पार भुगतान: गैर-दोहराव वाले, कार्ड-अनुपस्थित (CNP) सीमा-पार लेनदेन के लिए—खासकर विदेशी व्यापारियों या अधिप्राप्तकर्ताओं द्वारा शुरू किए गए—कार्ड जारीकर्ताओं को 1 अक्टूबर 2026 तक सत्यापन तंत्र लागू करना होगा। यह विशेष रूप से अंतरराष्ट्रीय ई-कॉमर्स लेनदेन को लक्षित करता है, जहां प्रमाणीकरण अनुरोध विदेश से आते हैं।
आरबीआई ने स्पष्ट किया है कि ये समयसीमाएं भुगतान पारिस्थितिकी तंत्र को तकनीकी उन्नति के अनुरूप ढालने के लिए निर्धारित की गई हैं, ताकि धोखाधड़ी के जोखिम को कम किया जा सके।
एसएमएस ओटीपी के विकल्प:
नए नियम एसएमएस ओटीपी पर अत्यधिक निर्भरता को कम करने के उद्देश्य से लाए गए हैं, जो नेटवर्क देरी या फिशिंग जैसे मुद्दों से प्रभावित हो सकता है। अब उपलब्ध विकल्पों में शामिल हैं:
- ज्ञान-आधारित: पासवर्ड, पासफ्रेज या पिन।
- कब्जा-आधारित: हार्डवेयर टोकन (जैसे कार्ड) या सॉफ्टवेयर टोकन (मोबाइल ऐप-जनित)।
- विरासत-आधारित: बायोमेट्रिक्स, जैसे फिंगरप्रिंट स्कैन या अन्य जैविक पहचान, जो डिवाइस-स्वाभाविक या आधार से जुड़ी हो सकती है।
ये विकल्प लेनदेन को तेज और अधिक सुरक्षित बनाने में मदद करेंगे, खासकर मोबाइल और ऑनलाइन भुगतानों में। उदाहरण के लिए, अंतिम अनुमोदन के लिए बायोमेट्रिक स्कैन का उपयोग एसएमएस ओटीपी की तुलना में कम झंझट वाला होगा।
डिजिटल भुगतान पर प्रभाव:
ये दिशानिर्देश भारत के डिजिटल भुगतान क्षेत्र को आधुनिक बनाने की दिशा में एक बड़ा कदम हैं, जहां 2FA पहले से ही वैश्विक स्तर पर सख्त मानक है। इससे नवाचार को बढ़ावा मिलेगा, जैसे ऐप-आधारित टोकन या बायोमेट्रिक एकीकरण, जो लेनदेन को अधिक सहज और धोखाधड़ी-प्रतिरोधी बनाएंगे। हालांकि, बैंकों और भुगतान कंपनियों पर प्रणाली उन्नयन का बोझ पड़ेगा, जिससे संचालन लागत बढ़ सकती है। सीमा-पार लेनदेन के लिए नया सत्यापन तंत्र अंतरराष्ट्रीय व्यापार को सुरक्षित करेगा, लेकिन तकनीकी अपग्रेड की आवश्यकता होगी।
विशेषज्ञों का मानना है कि ये नियम ग्राहक विश्वास को मजबूत करेंगे और डिजिटल अर्थव्यवस्था को गति देंगे। पिछले वर्षों में बढ़ते साइबर हमलों के बीच, आरबीआई का यह कदम समयानुकूल है। उदाहरण के तौर पर, हाल ही में रेजरपे जैसे प्लेटफॉर्म्स ने बायोमेट्रिक कार्ड प्रमाणीकरण पेश किया है, जो इन दिशानिर्देशों के अनुरूप है। आरबीआई ने सभी हितधारकों से समय पर अनुपालन सुनिश्चित करने का आह्वान किया है, ताकि भुगतान प्रणाली अधिक लचीली और सुरक्षित बने।