マーケット情報

　ＲＢＩ（インド準備銀行）が２０２６年に施行する新規制では、動的認証の義務化と発行者責任の明確化が柱となっている。二要素認証の１つを欠いた場合、不正利用による損害を全額負担することになる。

　ＲＢＩは、デジタル決済分野における詐欺の増加を抑制するため、認証基準を強化する包括的な新規制を発令した。

　２０２５年９月２５日付で発表された「デジタル決済取引における認証メカニズムに関する指示２０２５」では、国内すべてのデジタル取引に対してより厳格なセキュリティプロトコルの導入を義務付けている。

●ＲＢＩ、２０２６年４月までにすべてのデジタル決済で動的認証を義務化

　銀行を含むすべての決済システム提供者、および非銀行系事業者は、２０２６年４月１日までにこれらの規制を遵守しなければならない。

　今回の措置は、従来からの二要素認証の基準を基礎としつつ、さらに踏み込んだ内容となっている。すべてのデジタル取引において、カード提示型決済を除く場合、少なくとも１つの動的認証要素を必須とすることが新たに追加された。

　具体的には、ＳＭＳで送信されるワンタイムパスワード（ＯＴＰ）、生体認証データ、ハードウェアトークンなどの認証情報は、各取引ごとに固有のものでなければならず、再利用や不正利用を防止する必要がある。

　ＲＢＩによると、この枠組みは決済エコシステムが新技術に適応するのを支援するとともに、消費者保護と市場の健全性を維持することを目的としている。また、インド国内で発行されたカードを使用した国境を越えた取引に対しても、同様の保護措置が適用される。

　２０２６年１０月１日以降、カード発行機関は非反復型の国境を越えた「カード非提示」取引の有効性を検証するとともに、すべての当該決済に対してリスクベースの審査を導入することが義務付けられる。これは不正防止基準に沿った措置である。

　発行機関は、認証システムの堅牢性を確保する直接的な責任を負う。規制順守の不備により損失が発生した場合、発行機関は影響を受けた顧客に対して全額補償を行わなければならない。

　ＲＢＩはさらに、すべての認証メカニズムが２０２３年デジタル個人データ保護法の規定に準拠することを指示した。

　この枠組みでは相互運用性が重視されており、システム提供者はトークン化サービスや認証サービスがデバイス、アプリケーション、ストレージメカニズムを問わず、利用可能であることを保証する必要がある。このオープンアクセス方式により、急速に拡大する決済市場におけるセキュリティ基準の統一が期待される。

　加えて、ＲＢＩは発行機関に対して認証プロセスにリスクベースアプローチを採用するよう奨励している。取引の検証にあたっては、ユーザーの位置情報、デバイス属性、過去の支出パターンといった行動的・文脈的パラメータを考慮することが可能となる。

　高リスク取引に対しては、追加の認証レイヤーが適用される場合があり、顧客への通知・確認手段としてインド国営のクラウドデジタル化サービスである「デジロッカー（ＤｉｇｉＬｏｃｋｅｒ）」がプラットフォームとして提案されている。

　今回の新指示は主に国内決済を対象としているが、国境を越えた取引についても遵守期限を設定しており、発行機関は２０２６年１０月までにグローバルカードネットワークに対して自身の銀行識別番号（ＢＩＮ）を登録する必要がある。

　ＲＢＩは、これらの規則がデジタル取引における増大するリスクに対処するための重要な節目であると位置付けている。特にインドではデジタル決済の普及が急速に進む中、詐欺や不正アクセスが重大な懸念事項となっていると指摘している。

　現在、国内の小売決済の大半をデジタル取引が占める状況において、中央銀行が今回実施した規制強化は、金融システムをサイバー脅威から守るための規制当局の取り組みが強化されていることを示している。

●インド、世界の暗号資産普及率で首位に立つも詐欺事件が増加

　インドは現在、暗号資産の普及率で世界トップに位置しており、２０２５年の「チェイナリシス・グローバル暗号資産普及指数」において４つのサブインデックスすべてで首位を獲得した。

　しかし、草の根レベルでの利用拡大と金融システムへの統合が進む一方で、詐欺事件の急増と規制当局による取り締まりが並行して発生している。

　８月６日、執行局（ＥＤ）はデリーおよび他の都市において１１か所を家宅捜索し、２９００万ドル規模のビットコイン詐欺事件を捜査した。捜査当局によると、詐欺グループは警察や政府関係者、さらにはマイクロソフト＜ＭＳＦＴ＞やアマゾン＜ＡＭＺＮ＞の技術サポートスタッフを装って、国内外の被害者から金銭を脅し取っていたという。

　不正資金はＵＡＥ（アラブ首長国連邦）のテザー（ＵＳＤＴ）やハワラネットワークを通じて洗浄されたとみられている。この家宅捜索は、ＥＤが前日から開始していた４７０万ドル規模の偽装されたコインベースウェブサイトを介した詐欺事件の捜査に続く形で実施された。

　インドにおける暗号資産関連犯罪は法廷にも及んでいる。８月３１日、汚職防止裁判所は、２０１８年に実業家シャイレシュ・バット氏を誘拐した罪で、現職・元職の警察官１１名と元議員１名を含む計１４名に対し、終身刑を言い渡した。

　被告グループは同氏にビットコインと現金の送金を強要しており、検察当局はこれを国内で最も注目を集めた暗号資産関連の恐喝事件の一つと位置付けている。

　普及が進む一方で、規制当局の慎重姿勢は依然として続いている。９月１０日付の政府文書によると、インドは包括的な暗号資産法の制定は行わないものの、課税とコンプライアンスを通じて部分的な規制監督を維持する方針である。

　当局は、投機的取引やステーブルコインに関連するリスクについても言及しており、これらの成長がインドの決済システムに混乱をもたらす可能性があると警告している。

　インド政府の規制アプローチにより、利益に対する３０％の課税と取引額の１％の手数料が導入された結果、暗号資産の取引量が減少している。ただし、世界的なプラットフォームは金融情報機関への登録を条件に現在も運営を継続している。

　当局の推計によると、インド国民は約４５億ドル相当のデジタル資産を保有しており、これは世界的な普及率の高さと、制度に対する根強い懐疑心、そして繰り返し発生する詐欺事件という矛盾した状況を示している。

（イメージ写真提供：１２３ＲＦ）

https://cryptonews.com/news/india-cracks-down-on-alarming-digital-payments-fraud-with-strict-new-rules/

This story originally appeared on cryptonews.com.