الجامعة اللبنانية

مركز المعلوماتية القانونية

الوقاية من الافعال الجرمية الالكترونية

عدد المواد: 6
تعريف النص: قرار اساسي رقم 12725 تاريخ : 28/11/2017

عدد الجريدة الرسمية: 58 | تاريخ النشر: 14/12/2017 | الصفحة: 4376-4378



فهرس القانون
إن حاكم مصرف لبنان،
بناء على قانون النقد والتسليف سيما الـمواد 70 و174 و182 منه،
وبناء على احكام قانون مكافحة تبييض الاموال وتمويل الارهاب رقم 44 تاريخ 24/11/2015،
وبناء على القرار الاسـاسـي رقـم 7818 تـاريــخ 18/5/2001 وتعديلاته الـمتعلق بنظام مراقبة العمليات الـمالية والـمصرفية لـمكافحة تبييض الاموال وتمويل الارهاب، الـمرفق بالتعميم الاساسي رقم 83،
وبناء على «الدليل الارشادي للوقاية من الافعال الجرمية بواسطة البريد الالكتروني» الصادر عن مصرف لبنان وهيئة التحقيق الخاصة وجمعية مصارف لبنان ومكتب مكافحة جرائم الـمعلوماتية وحماية الـملكية الفكرية التابع لوحدة الشرطة القضائية الذي تم اطلاقه بتاريخ 20/10/2016،
وبناء على قرار الـمجلس الـمركزي لـمصرف لبنان الـمتخذ في جلسته الـمنعقدة بتاريخ 21/11/2017،
يقرر ما يأتي:

المواد

المادة 1

على الـمصارف والـمؤسسات الـمالية اعداد سياسات واتخاذ تدابير واجراءات وقائية من الافعال الجرمية بالوسائل الالكترونية تتضمن، على الاقل:
أولاً: سياسات عامة تشمل:
1ــ تحليل مخاطر الجرائم الالكترونية الـمحتملة والاطلاع الـمستمر على آخر الـمستجدات في مجال تكنولوجيا أمان الـمعلومات.
2ــ تخصيص الـمبالغ والـموازنة اللازمة لإرساء وتطبيق سياسة ونظم وقواعد أمان تكنولوجيا الـمعلومات.
3ــ تنظيم عقود تأمين تغطي مخاطر الافعال الجرمية بالوسائل الالكترونية.
4ــ وضع الخطط اللازمة للوقاية من الافعال الجرمية الالكترونية وتحديثها باستمرار (مثل خطة الاستجابة للحوادث، خطة استمرار التشغيل اثناء وبعد حدوث كارثة، خطة التدريب على التدخل الفوري (
5ــ انشاء فريق عمل مخصص للوقاية من الافعال الجرمية بالوسائل الالكترونية.
6ــ تبادل الـمعلومات، الـمتعلقة بالأفعال الجرمية بالوسائل الالكترونية، مع الجهات الـمعنية داخل أو خارج الـمصرف أو الـمؤسسة الـمالية.
7ــ توعية الـموظفين والعملاء حول الوقاية من الافعال الجرمية الالكترونية.
8ــ مراقبة اي تغييرات في عادات وسلوك الـموظفين، سيما الذين يتمتعون بامتيازات هامة لدخول الانظمة الـمعلوماتية.
9ــ التيقّظ والحذر لدى التعاقد مع جهات خارجية لتكليفها بمهام تتعلق بالانظمة الإلكترونية والتأكد من أن هذه الجهات لا تقوم بالتعاقد مع ملتزمين ثانويين أقل موثوقية.
ثانياً: اجراءات تقنية تشمل:
1ــ اعتماد تقنية تعتمد على وسيلتين على الأقل للتأكد من هوية الـمستخدمين من خارج الـمصرف أو الـمؤسسة الـمالية لا سيما لجهة حقهم بالدخول الى النظام.
2ــ إستخدام تقنية ترميز كامل وآمن للبيانات الهامة جدا، منعاً لفقدانها أو التلاعب بها.
3ــ اعتماد قواعد صارمة لجهة تفحص (Filtering) البريد الإلكتروني الوارد وضبط الوصول الى علب البريد الإلكتروني من خارج الـمصرف أو الـمؤسسة الـمالية.
4ــ تحديث انظمة اجهزة الكومبيوتر كافة والتحقق من امان الأجهزة الـموضوعة بتصرف الـموظفين لاستخدامها خارج الـمصرف أو الـمؤسسة الـمالية.
5ــ اختبار إمكانية الإختراق لكشف أي نقاط ضعف محتملة في الشبكة.
6ــ مراقبة الحركة على الشبكة لكشف أي سلوك غير اعتيادي، سواء من خلال نوعية الحزم الـمرسلة أو عددها.
7ــ التحقق من سلامة البيانات ومراقبتها بهدف كشف أي تلاعب غير مشروع بها، وتعقّب مصدر الوصول غير الـمشروع إليها.
 

المادة 2

على الـمصارف والـمؤسسات الـمالية، كل في ما خصها، ان تقوم بشكل عام وعلى مسؤوليتها باتخاذ الاجراءات الادارية والتقنية والقضائية الـمناسبة للتنبه ورصد ومكافحة الجريمة الالكترونية الـمالية وبصورة خاصة:
1ــ الاخذ، بشكل خاص، بالإرشادات الواردة في البند (1) من الجزء الاول من «الدليل الارشادي للوقاية من الافعال الجرمية بواسطة البريد الالكتروني» كدلالة على افعال جرمية بالوسائل الالكترونية.
2ــ اتباع «السياسات والاجراءات الوقائية من الافعال الجرمية» الـمحددة في البند (2) من الجزء الاول من الدليل الـمنوه عنه اعلاه.
3ــ وضع انظمة واجراءات داخلية مخصصة لتنفيذ طلبات تحويل الاموال الواردة اليها الكترونياً (بريد الكتروني، خدمة العمليات الـمصرفية الالكترونية (Electronic Banking(،
4ــ تضمين العقد الـموقع مع العميل احكاماً خاصة تتعلق بتحديد وسائل اخرى غير البريد الالكتروني للاتصال بالعميل (كالاتصال الهاتفي مثلاً ...) لتأكيد صحة طلبات التحاويل الـمرسلة الكترونياً على ان لا يتم تغيير هذه الوسائل الا بالاتفاق الخطي بين الطرفين.
5ــ اعلام العميل عن الـمخاطر الناتجة عن استخدام البريد الالكتروني لطلب اجراء تحاويل مالية وتوجيهه لاستعمال وسائل اخرى اكثر اماناً والاستحصال على موافقته الخطية على تحمل هذه الـمخاطر.
6ــ تزويد العميل بـ «الارشادات للأشخاص وسائر الـمؤسسات والهيئات غير الـمالية» موضوع الجزء الثاني من الدليل الـمنوه عنه اعلاه.
7ــ الطلب من عملائها الابلاغ عن اية افعال جرمية بالوسائل الالكترونية قد تعرضوا لها فور عملهم أو اكتشافهم أو تبلغهم انهم وقعوا أو كادوا ان يقعوا ضحية لها.

المادة 3

على الـمصارف والـمؤسسات الـمالية، عند اكتشافها أو علـمها أو تبلغها بأن أي من عملائها قد وقع ضحية افعال جرمية بالوسائل الالكترونية ذات طابع مالي، اتخاذ اجراءات سريعة وفعالة  تشمل، على الاقل، الاجراءات التصحيحية الواردة في البند (3) من الجزء الاول من الدليل الـمنوه عنه اعلاه، سيما:
1ــ تزويد كل من الـمصرف الـمراسل والـمصرف الـمستفيد أو الـمؤسسة الـمالية الـمستفيدة بالـمعلومات ذات الصلة كافة وطلب الغاء عملية التحويل واعادة قيمتها للعميل.
2ــ ابلاغ هيئة التحقيق الخاصة بالـمعلومات وبالـمراسلات ذات الصلة ومن بينها الـمعلومات التقنية الـمتعلقة بما يلي:
ــ مصدر البريد الالكتروني (IP Address) الـمنسوب للعميل أو الذي تم عبره ارسال طلبات التحاويل الـمشبوهة.
ــ اسم الشركة مقدمة خدمة الانترنت التي تم عبرها ارسال طلبات التحاويل الـمشبوهة.
ــ اسم الشركة مقدمة خدمة الانترنت الـمستخدمة للولوج غير الـمصرح به الى حساب العميل عن طريق خدمة العمليات الـمصرفية الالكترونية (Electronic Banking).
3ــ توجيه العميل لتقديم ابلاغ أو شكوى قضائية الى الجهات الـمختصة.

المادة 4

تقوم «دائرة الامتثال» الـمنشأة لدى كل من الـمصارف والـمؤسسات الـمالية بتطبيق احكام هذا القرار.

المادة 5

يعمل بهذا القرار فور صدوره.

المادة 6

ينشر هذا القرار في الجريدة الرسمية.



بيروت في 28 تشرين الثاني 2017
حاكم مصرف لبنان
رياض توفيق سلامه