متطلبات مكافحة الاحتيال الأساسية من ساما تدخل حيز التنفيذ: التزامات إلزامية على بنوك وفنتك السعودية

في 13 أبريل 2026 دخلت متطلبات مكافحة الاحتيال الأساسية (Counter-Fraud Fundamental Requirements - CFFR) الصادرة عن البنك المركزي السعودي حيز التنفيذ الكامل، لتحلّ محل قواعد مكافحة الاحتيال السابقة لشركات التمويل، وتفرض على البنوك ومزودي خدمات الدفع وشركات الفنتك ضوابط تشغيلية وتقنية موحّدة. الإطار الجديد ليس وثيقة استرشادية، بل التزام رقابي قابل للتدقيق، ومؤسستك إما ممتثلة، أو معرّضة لمخاطر تنظيمية مباشرة.

ماذا يغطي إطار CFFR وما الفرق عن الإصدار السابق؟

الإطار يُغطّي قطاع التمويل وأنظمة الدفع ومزودي خدمات الدفع، ويوسّع النطاق ليشمل مؤسسات النقد الإلكتروني (EMIs)، ومزودي خدمات معلومات الحساب (AISPs)، وخدمات «اشترِ الآن وادفع لاحقاً» (BNPL)، وشركات التمويل الأصغر، ومُصدري بطاقات الائتمان. الفرق الجوهري عن نسخة 2022 يتمثّل في الانتقال من توصيات مرنة إلى ضوابط إلزامية مُرقَّمة قابلة للتقييم عبر مستويات نضج، مع نطاقات تطبيق إضافية للمنتجات عالية المخاطر.

الإطار يتقاطع مباشرةً مع أُطر SAMA CSCC وNCA ECC وPDPL، وهو ما يعني أن مسؤولي الامتثال يحتاجون لتحديث مصفوفة الضوابط الموحّدة (Unified Control Matrix) لتفادي ازدواجية الجهود وفجوات التغطية بين فِرَق GRC والاحتيال والأمن السيبراني.

الضوابط التقنية الإلزامية: المراقبة اللحظية والمصادقة متعددة الطبقات

الإطار يُلزم المؤسسات بتطبيق منظومة مراقبة احتيال لحظية (Real-Time Fraud Monitoring) تستند إلى محرّك قواعد ديناميكي وتعلّم آلي قادر على رصد أنماط شاذة في معاملات الدفع الفوري عبر SARIE وsarie instant ومحافظ mada Pay وSTC Pay. كما يُشترَط وجود مصادقة قوية متعدّدة الطبقات (Strong Customer Authentication) متوافقة مع منهجية ساما للهوية الرقمية، مع تطبيق ضوابط مخاطر السلوك (Behavioral Biometrics) للحسابات عالية القيمة.

على صعيد الحوكمة، يجب وجود خطة استجابة موثّقة لحوادث الاحتيال (Fraud Response Plan) بمسارات تصعيد واضحة، وتقارير مرفوعة لمجلس الإدارة، وآلية إخطار فوري لساما عند الحوادث الجسيمة. غياب أيٍّ من هذه العناصر يُعدّ ثغرة امتثال مباشرة قابلة للرصد في أي تدقيق تنظيمي.

التحديات العملية للمؤسسات المالية السعودية

الفجوة الأكبر التي نرصدها لدى عملاء فنترالينك تكمن في ثلاثة محاور: أولاً، عدم تكامل أنظمة كشف الاحتيال (FDS) مع منصات SIEM وSOC، ما يُضعف قدرة المحلّلين على ربط مؤشرات الاحتيال بمؤشرات الاختراق (IoCs). ثانياً، اعتماد قواعد ثابتة (Static Rules) عوضاً عن نماذج تعلّم تكيُّفي قادرة على رصد هجمات الـ Authorized Push Payment وعمليات استيلاء الحسابات (ATO) المُمكَّنة بالذكاء الاصطناعي والتزييف العميق. ثالثاً، ضعف ضوابط مخاطر الطرف الثالث (TPRM) على مزوّدي خدمات الدفع المُستضافين سحابياً.

التحدي الإضافي للفنتك وشركات BNPL هو متطلبات النطاق الموسّع (Additional Domain) التي تفرض ضوابط حماية مخصّصة لأموال العملاء (Safeguarding) ومراقبة الاستخدام المتعدّد للحسابات وبصمات الأجهزة (Device Fingerprinting). الالتزام بهذه الضوابط دون إعادة تصميم المعمارية الأمنية الحالية يستحيل عملياً.

التأثير على المؤسسات المالية الخاضعة لرقابة ساما

الإطار يُترجَم مباشرةً إلى مخاطر امتثال ومخاطر تشغيلية. المؤسسة التي لا تُثبت قدرتها على رصد ومنع وتقرير الاحتيال خلال نوافذ زمنية محدّدة تُعرّض نفسها لعقوبات مالية، وتضييق نطاق المنتجات المرخّص بها، وإلزام بإجراء تدقيق خارجي على نفقتها. كذلك يتقاطع الإطار مع PCI-DSS v4.0.1 فيما يخص ضوابط مراقبة المعاملات وتقسيم الشبكة، ومع PDPL فيما يخص إشعار المتأثرين عند تسريب بيانات احتيال.

الأهم: ساما تربط نتائج تقييم نضج CFFR بتصنيف المخاطر التشغيلية للمؤسسة، ما يؤثّر مباشرةً على متطلبات رأس المال التنظيمي وفق Basel III. الامتثال لم يعد قراراً سيبرانياً، بل قراراً مالياً استراتيجياً.

التوصيات والخطوات العملية

1. إجراء تحليل فجوة (Gap Assessment) شامل بين الضوابط الحالية وبنود CFFR الجديدة، مع توثيق مستوى النضج الحالي لكل ضابط من أصل أربعة مستويات.
2. تحديث مصفوفة الضوابط الموحّدة لربط بنود CFFR مع ضوابط SAMA CSCC وNCA ECC وPCI-DSS لتفادي الازدواجية.
3. تطوير منصّة مراقبة احتيال لحظية مع قدرات تعلّم آلي تكيّفي ودمجها مع SIEM لربط الأحداث الأمنية والاحتيالية.
4. اعتماد المصادقة القوية متعددة الطبقات مع بصمات السلوك (Behavioral Biometrics) لجميع المعاملات عالية القيمة.
5. توثيق خطة الاستجابة لحوادث الاحتيال ودمجها مع IRP السيبراني الحالي مع تشغيل تمارين Tabletop ربع سنوية.
6. تحديث برامج TPRM لتغطية مزوّدي خدمات الدفع والشركاء التقنيين، مع شرط إثبات الامتثال لـ CFFR في العقود.
7. تأهيل فريق الاحتيال على تقنيات كشف التزييف العميق (Deepfake Detection) وهجمات الهندسة الاجتماعية المُمكَّنة بالذكاء الاصطناعي.

الخلاصة

متطلبات مكافحة الاحتيال الأساسية من ساما تُمثّل تحوّلاً جوهرياً في الحوكمة المالية الرقمية في المملكة. المؤسسات التي عاملت إطار 2022 كقائمة استرشادية ستجد نفسها أمام واقع تنظيمي جديد يفرض تكاملاً تشغيلياً وتقنياً عميقاً بين فرق الاحتيال والأمن السيبراني والامتثال. التأخير في الاستجابة لا يعني فقط مخاطر مالية، بل يعني خسارة الميزة التنافسية في سوق دفع رقمي يتسارع نموه وفق رؤية 2030.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومتطلبات مكافحة الاحتيال الأساسية.