साइबर अपराध रोकथाम और IT Act 2000: 2026 IIBF गाइड
2026 में हर बैंकर के लिए, साइबर अपराध अब केवल IT विभाग की समस्या नहीं रहा; यह जोखिम प्रबंधन, अनुपालन और ग्राहक विश्वास के केंद्र में बैठा है। फिशिंग और विशिंग से लेकर रैनसमवेयर, SIM-स्वैप धोखाधड़ी और AI-जनित डीपफेक घोटालों तक, खतरे का दायरा ठीक उसी रफ्तार से बढ़ा है जिस रफ्तार से डिजिटल बैंकिंग बढ़ी है। IIBF का Certificate in Prevention of Cyber Crime यह जाँचता है कि क्या आप इन खतरों को पहचान सकते हैं, Information Technology Act 2000 के तहत कानूनी ढाँचा लागू कर सकते हैं, और Reserve Bank of India द्वारा निर्धारित नियंत्रणों का पालन कर सकते हैं।
यह गाइड परीक्षा-संबंधी आवश्यक बातों से होकर गुजरती है: IT Act 2000 और इसके संशोधनों की कानूनी रीढ़, RBI और CERT-In के नेतृत्व वाली नियामक संरचना, सबसे आम हमले के प्रकार, और वे व्यावहारिक रोकथाम नियंत्रण जिन्हें एक ब्रांच बैंकर से लागू करने की अपेक्षा की जाती है। हर सेक्शन को एक चेकलिस्ट की तरह समझें जिसे आप परीक्षा कक्ष में और नौकरी पर अपने साथ ले जा सकें।
IT Act 2000: साइबर अपराध के विरुद्ध कानूनी रीढ़
Information Technology Act 2000 इलेक्ट्रॉनिक रिकॉर्ड, डिजिटल हस्ताक्षर और कंप्यूटर-संबंधी अपराधों को नियंत्रित करने वाला भारत का प्रमुख कानून है। इसने इलेक्ट्रॉनिक अनुबंधों और ई-रिकॉर्ड को कानूनी मान्यता दी, और यही वह चीज़ है जो इंटरनेट बैंकिंग, UPI मैंडेट और e-KYC को प्रवर्तनीय बनाती है। परीक्षा के लिए, 2008 के संशोधन द्वारा पेश और सुदृढ़ की गई अपराध धाराओं पर ध्यान केंद्रित करें।
- Section 43 — बिना अनुमति किसी कंप्यूटर सिस्टम को नुकसान पहुँचाने (अनधिकृत पहुँच, डाउनलोडिंग, वायरस फैलाना) के लिए सिविल देयता और मुआवज़ा।
- Section 66 — हैकिंग जैसे कंप्यूटर-संबंधी अपराध, जिनमें तीन वर्ष तक का कारावास और/या जुर्माना हो सकता है।
- Section 66C — पहचान की चोरी, जिसमें पासवर्ड, OTP या डिजिटल हस्ताक्षर का धोखाधड़ी से उपयोग शामिल है।
- Section 66D — कंप्यूटर संसाधन का उपयोग करके किसी का रूप धरकर धोखाधड़ी करना, यह धारा फिशिंग और विशिंग धोखेबाज़ों के विरुद्ध सबसे अधिक लागू की जाती है।
- Section 66E — निजता का उल्लंघन; Section 67 — इलेक्ट्रॉनिक रूप में अश्लील सामग्री प्रकाशित करना।
- Section 70 — संरक्षित प्रणालियाँ (महत्वपूर्ण सूचना अवसंरचना); Section 72 — गोपनीयता और निजता का उल्लंघन।
याद रखें कि IT Act, धोखाधड़ी और जालसाज़ी के लिए Indian Penal Code के प्रावधानों के साथ-साथ काम करता है, और बढ़ते रूप से Digital Personal Data Protection Act 2023 के साथ भी, जो यह नियंत्रित करता है कि बैंक ग्राहक के व्यक्तिगत डेटा को कैसे संसाधित करते हैं। परीक्षा में एक पूर्ण उत्तर आमतौर पर IT Act की धारा को संबंधित RBI सर्कुलर के साथ जोड़ता है।
बैंकरों को ज्ञात होने चाहिए साइबर अपराध के सामान्य प्रकार
पाठ्यक्रम आपसे हमले के पैटर्न को सटीक रूप से पहचानने की अपेक्षा करता है। एक अस्पष्ट विवरण से अंक कटते हैं, इसलिए प्रत्येक का सटीक तंत्र सीखें। बैंकिंग में साइबर अपराध की सबसे अधिक परीक्षण की जाने वाली श्रेणियाँ हैं:
- फिशिंग — धोखाधड़ी वाले ईमेल या वेबसाइटें जो क्रेडेंशियल चुराने के लिए बैंक की नकल करती हैं।
- विशिंग और स्मिशिंग — वॉइस कॉल और SMS जो ग्राहकों को OTP, CVV या UPI PIN साझा करने के लिए बहलाते हैं।
- SIM स्वैप — एक धोखेबाज़ OTP को रोकने और खातों को खाली करने के लिए डुप्लीकेट SIM प्राप्त करता है।
- कार्ड स्किमिंग और क्लोनिंग — ATM या PoS टर्मिनलों पर मैग्नेटिक-स्ट्राइप डेटा कैप्चर करना।
- रैनसमवेयर और मैलवेयर — बैंक या ग्राहक प्रणालियों को एन्क्रिप्ट करना और भुगतान की माँग करना।
- मैन-इन-द-मिडल और APWG-शैली स्पूफिंग — असुरक्षित नेटवर्क पर सत्रों को रोकना।
- मनी म्यूल धोखाधड़ी — अनजान खाताधारकों का उपयोग करके अवैध धन को परत-दर-परत और स्थानांतरित करना, जो PMLA 2002 के दायित्वों के साथ सीधे ओवरलैप करता है।
इनमें से अधिकांश में चलने वाले सोशल-इंजीनियरिंग सूत्र पर ध्यान दें। सबसे कमज़ोर कड़ी शायद ही कभी तकनीक होती है; यह वह ग्राहक या कर्मचारी होता है जिसे कोई गुप्त बात साझा करने के लिए मना लिया जाता है। यही कारण है कि ग्राहक जागरूकता और कर्मचारी प्रशिक्षण परीक्षा और RBI मार्गदर्शन दोनों में इतने प्रमुखता से शामिल हैं। आप IIBF mock tests पर अभ्यास सेटों का उपयोग करके इन परिभाषाओं को जल्दी से दोहरा सकते हैं और term-matching game के माध्यम से इन्हें सुदृढ़ कर सकते हैं।
RBI और CERT-In: नियामक ढाँचा
क़ानून से परे, बैंक नियामक निर्देशों की एक घनी परत के तहत संचालित होते हैं। RBI Cyber Security Framework (जून 2016) के लिए हर बैंक के पास एक बोर्ड-अनुमोदित साइबर-सुरक्षा नीति, एक Security Operations Centre, और एक Cyber Crisis Management Plan होना आवश्यक है। RBI बैंक के आकार और जोखिम प्रोफ़ाइल के अनुसार बेसलाइन नियंत्रणों को भी अनिवार्य करता है, और एक निर्धारित अवधि के भीतर असामान्य साइबर घटनाओं की रिपोर्टिंग निर्धारित करता है।
Indian Computer Emergency Response Team (CERT-In), जो Ministry of Electronics and Information Technology के तहत संचालित होता है, घटना प्रतिक्रिया के लिए राष्ट्रीय नोडल एजेंसी है। इसके अप्रैल 2022 के निर्देशों के तहत, विनियमित संस्थाओं को निर्दिष्ट साइबर घटनाओं की पहचान के छह घंटे के भीतर CERT-In को रिपोर्ट करनी होगी, 180 दिनों तक लॉग बनाए रखने होंगे, और सिस्टम घड़ियों को NPL/NIC समय सर्वर के साथ समकालिक करना होगा। आप आधिकारिक CERT-In portal पर रिपोर्टिंग प्रारूपों की पुष्टि कर सकते हैं।
भुगतान प्रणालियों के लिए, National Payments Corporation of India, UPI, IMPS और RuPay के लिए धोखाधड़ी-जोखिम नियम निर्धारित करता है, जबकि RBI के डिजिटल-लेंडिंग और टोकनाइज़ेशन मानदंड डेटा एक्सपोज़र को कम करते हैं। उम्मीदवारों को नागरिक रिपोर्टिंग चैनलों को भी जानना चाहिए: National Cyber Crime Reporting Portal (cybercrime.gov.in) और 1930 हेल्पलाइन, जो Indian Cyber Crime Coordination Centre (I4C) को सूचना देती हैं। IIBF news updates और लाइव RBI reference page के माध्यम से सर्कुलरों के साथ अद्यतन रहें।
रोकथाम नियंत्रण जो हर बैंकर को लागू करने चाहिए
परीक्षा व्यावहारिक, परतदार रक्षा को पुरस्कृत करती है। कोई एकल नियंत्रण साइबर अपराध को नहीं रोकता; बैंक डिफेंस-इन-डेप्थ पर निर्भर करता है। अपने नियंत्रणों को तीन स्तरों में समूहित करें: तकनीकी, प्रक्रियात्मक और ग्राहक-सामना करने वाले।
- तकनीकी — फ़ायरवॉल, इंट्रूज़न डिटेक्शन, एंड-टू-एंड एन्क्रिप्शन, मल्टी-फ़ैक्टर ऑथेंटिकेशन, EMV चिप कार्ड, ट्रांज़ैक्शन वेलोसिटी चेक और AI-आधारित धोखाधड़ी-निगरानी इंजन।
- प्रक्रियात्मक — मज़बूत KYC, मेकर-चेकर नियंत्रण, लीस्ट-प्रिविलेज एक्सेस, आवधिक VAPT (vulnerability assessment and penetration testing), पैच प्रबंधन और एक परीक्षित घटना-प्रतिक्रिया योजना।
- ग्राहक-सामना करने वाले — कभी OTP/PIN/CVV साझा न करने का संदेश, नए लाभार्थियों के लिए कूलिंग-ऑफ अवधि, ट्रांज़ैक्शन सीमाएँ, और हर डेबिट के लिए SMS/ईमेल अलर्ट।
अनधिकृत इलेक्ट्रॉनिक लेनदेन के लिए RBI का limited liability framework एक उच्च-महत्व वाला विषय है। यदि कोई ग्राहक तीन कार्य दिवसों के भीतर किसी अनधिकृत लेनदेन की रिपोर्ट करता है और गलती उसकी नहीं है, तो देयता शून्य होती है। विलंबित रिपोर्टिंग (चार से सात दिन) देयता को एक अधिसूचित राशि तक सीमित कर देती है, और ग्राहक की लापरवाही का सबूत देने का भार बैंक पर होता है। इसे शिकायत-निवारण और Ombudsman मार्ग के साथ जोड़ें, और आपके पास वह पूर्ण उत्तर होगा जिसकी परीक्षक अपेक्षा करते हैं।
परीक्षा-तैयार साइबर जागरूकता का निर्माण
साइबर खतरे किसी भी पाठ्यक्रम से तेज़ी से विकसित होते हैं, इसलिए अपने नोट्स के साथ-साथ RBI और CERT-In सलाहों को पढ़ने की आदत डालें। 2026 में, परीक्षक उभरते जोखिमों का बढ़ते रूप से परीक्षण करते हैं: डीपफेक वॉइस धोखाधड़ी, बड़े पैमाने पर AI-जनित फिशिंग, थर्ड-पार्टी फिनटेक विक्रेताओं पर सप्लाई-चेन हमले, और म्यूल खातों से जुड़े क्रिप्टो-लॉन्ड्रिंग संबंध। समझें कि प्रत्येक किसी ज्ञात IT Act धारा और RBI नियंत्रण से कैसे जुड़ता है, क्योंकि वही मैपिंग ठीक वह तरीका है जिससे एप्लिकेशन-आधारित प्रश्न तैयार किए जाते हैं।
अपनी तैयारी को तीन स्तंभों के इर्द-गिर्द संरचित करें: क़ानून (IT Act धाराएँ, DPDP Act, PMLA ओवरलैप), नियामक (RBI ढाँचा, CERT-In समय-सीमाएँ, NPCI नियम), और बैंक के नियंत्रण (डिफेंस-इन-डेप्थ, सीमित देयता, घटना प्रतिक्रिया)। संक्षिप्त नोट्स को दैनिक मॉक टेस्टिंग के साथ जोड़ें ताकि धारा संख्याएँ और रिपोर्टिंग अवधियाँ ताज़ा बनी रहें। यदि आप प्रमुख प्रमाणपत्रों को भी आगे बढ़ा रहे हैं, तो इसे अपनी JAIIB और CAIIB अध्ययन योजना के साथ संरेखित करें, क्योंकि साइबर जोखिम अब उनके जोखिम-प्रबंधन और डिजिटल-बैंकिंग मॉड्यूल में भी पिरोया हुआ है।
अक्सर पूछे जाने वाले प्रश्न
फिशिंग धोखाधड़ी को कौन-सी IT Act धारा कवर करती है?
फिशिंग पर सबसे आम तौर पर IT Act 2000 की Section 66D के तहत मुकदमा चलाया जाता है, जो कंप्यूटर संसाधन का उपयोग करके किसी का रूप धरकर धोखाधड़ी करने को दंडित करती है। पहचान की चोरी पर Section 66C और अनधिकृत पहुँच पर Section 43 भी अक्सर लागू होती हैं, साथ ही धोखाधड़ी पर Indian Penal Code के प्रावधान भी, जो इस बात पर निर्भर करता है कि धोखाधड़ी कैसे की गई और कितना नुकसान हुआ।
CERT-In घटना रिपोर्टिंग समय-सीमा क्या है?
अप्रैल 2022 के CERT-In निर्देशों के तहत, बैंकों सहित विनियमित संस्थाओं को निर्दिष्ट साइबर घटनाओं को नोटिस करने या उनके बारे में सूचित किए जाने के छह घंटे के भीतर CERT-In को रिपोर्ट करना होगा। संस्थाओं को सटीक फोरेंसिक के लिए भारत के भीतर 180 दिनों तक ICT सिस्टम लॉग बनाए रखने और अपनी घड़ियों को NPL या NIC समय सर्वर के साथ समकालिक करना भी होगा।
धोखाधड़ी के लिए RBI का सीमित देयता नियम क्या है?
यदि कोई ग्राहक तीन कार्य दिवसों के भीतर किसी अनधिकृत इलेक्ट्रॉनिक लेनदेन की रिपोर्ट करता है और उसकी कोई गलती नहीं है, तो उसकी देयता शून्य होती है। चार से सात दिनों के भीतर रिपोर्टिंग देयता को एक अधिसूचित राशि तक सीमित कर देती है। ग्राहक की लापरवाही साबित करने का भार बैंक पर होता है, जिससे त्वरित रिपोर्टिंग और बैंक-पक्ष के नियंत्रण विवाद के परिणामों में केंद्रीय बन जाते हैं।
भारत में मैं साइबर अपराध की रिपोर्ट कैसे करूँ?
नागरिक राष्ट्रीय रिपोर्टिंग पोर्टल cybercrime.gov.in के माध्यम से या 1930 हेल्पलाइन पर कॉल करके वित्तीय धोखाधड़ी की रिपोर्ट कर सकते हैं, ये दोनों I4C समन्वय केंद्र को सूचना देते हैं। त्वरित रिपोर्टिंग, आदर्श रूप से गोल्डन ऑवर के भीतर, धन को म्यूल खातों के माध्यम से परत-दर-परत स्थानांतरित किए जाने से पहले फ्रीज़ करने की संभावना बढ़ाती है।
अंतिम मुख्य बातें
साइबर अपराध को रोकना अब एक मुख्य बैंकिंग योग्यता है: IT Act 2000 की धाराओं, RBI Cyber Security Framework, CERT-In के छह-घंटे के नियम और सीमित-देयता संरक्षणों को अच्छी तरह जानें, फिर हर उत्तर में तकनीकी, प्रक्रियात्मक और ग्राहक नियंत्रणों की परत बनाएँ। धारा संख्याओं और रिपोर्टिंग अवधियों को समयबद्ध अभ्यास के साथ पक्का करें। अभी IIBF practice tests के साथ अपना रिवीज़न शुरू करें और 2026 में Prevention of Cyber Crime प्रमाणपत्र क्लियर करने के लिए iibf.store blog पर क्यूरेटेड अध्ययन नोट्स पढ़ते रहें।
मुफ़्त मॉक टेस्ट दें, चैप्टर PDF डाउनलोड करें या वीडियो क्लास देखें — सब iibf.store पर मुफ़्त है।
पढ़ना जारी रखें
