आज के समय में भारत में चाय की टपरी से लेकर बड़े-बड़े शॉपिंग मॉल्स तक, हर जगह डिजिटल पेमेंट्स (Digital Payments) का बोलबाला है। हम सभी अपनी रोजमर्रा की जरूरतों के लिए UPI (जैसे PhonePe, Google Pay, Paytm), क्रेडिट कार्ड, डेबिट कार्ड और मोबाइल वॉलेट्स पर पूरी तरह से निर्भर हो चुके हैं। भारत हर महीने अरबों डिजिटल ट्रांजैक्शन प्रोसेस करता है, जो दुनिया भर में एक मिसाल है।
लेकिन, जैसे-जैसे डिजिटल पेमेंट्स की संख्या में इजाफा हुआ है, वैसे-वैसे साइबर ठगों (Cyber Fraudsters) ने भी लोगों को लूटने के नए-नए तरीके ईजाद कर लिए हैं। सिम-स्वैपिंग (SIM-swapping), फिशिंग लिंक्स और मैलवेयर के जरिए पलक झपकते ही बैंक खाते खाली हो रहे हैं। इसी बढ़ते खतरे को जड़ से खत्म करने और ग्राहकों के पैसे को 100% सुरक्षित बनाने के लिए, भारतीय रिजर्व बैंक (RBI) 1 अप्रैल 2026 से एक ऐतिहासिक बदलाव करने जा रहा है।
इस नए बदलाव का नाम है RBI Two Factor Authentication rule, जो आपके ऑनलाइन लेनदेन के तरीके को हमेशा के लिए सुरक्षित और थोड़ा अलग बना देगा। इस विस्तृत गाइड में, हम आपको आसान और स्पष्ट भाषा में बताएंगे कि यह नया नियम क्या है, यह 1 अप्रैल से कैसे लागू होगा, और एक आम उपभोक्ता के रूप में आपके UPI और कार्ड पेमेंट्स पर इसका क्या असर पड़ेगा।
क्या है नया RBI Two Factor Authentication rule? (What is the New Rule?)
अभी तक जब भी हम कोई ऑनलाइन ट्रांजैक्शन करते थे, तो सुरक्षा के नाम पर हमें अपने मोबाइल नंबर पर आने वाले एक 6 अंकों के OTP (One Time Password) पर निर्भर रहना पड़ता था। लेकिन नई तकनीक के युग में केवल OTP पर्याप्त नहीं रह गया है।
1 अप्रैल 2026 से लागू हो रहे RBI Two Factor Authentication rule के तहत, अब किसी भी डिजिटल पेमेंट को पूरा करने के लिए सिर्फ एक OTP काफी नहीं होगा। RBI ने “ऑथेंटिकेशन मैकेनिज्म फॉर डिजिटल पेमेंट ट्रांजैक्शन डायरेक्शंस, 2025” (Authentication Mechanisms for Digital Payment Transactions Directions, 2025) जारी किया है। इसके अनुसार, हर पेमेंट को प्रमाणित करने के लिए अब कम से कम दो अलग-अलग स्तरों (Two Factors) से गुजरना होगा।
इसे ऐसे समझें कि अब सिस्टम को दो अलग-अलग प्रकार के सबूत चाहिए होंगे कि पेमेंट आप ही कर रहे हैं। ये सबूत इन तीन श्रेणियों में से कोई दो हो सकते हैं:
- Something you know (कुछ ऐसा जो सिर्फ आपको पता हो): जैसे आपका पासवर्ड, PIN या कोई सीक्रेट सवाल।
- Something you have (कुछ ऐसा जो आपके पास हो): जैसे आपका रजिस्टर्ड स्मार्टफोन, हार्डवेयर टोकन या स्मार्ट कार्ड।
- Something you are (कुछ ऐसा जो आपकी शारीरिक पहचान हो): जैसे आपका फिंगरप्रिंट (Biometrics), फेस आईडी (Face ID) या रेटिना स्कैन।
नए नियम की सबसे बड़ी शर्त यह है कि इन दो फैक्टर्स में से कम से कम एक फैक्टर ‘डायनामिक’ (Dynamic) होना चाहिए—यानी ऐसा फैक्टर जो हर ट्रांजैक्शन के साथ बदलता हो और जिसे कोई चुरा न सके।
RBI को यह नियम क्यों लागू करना पड़ा? (Why the Shift from OTP?)
कई लोगों के मन में यह सवाल आ रहा होगा कि जब OTP सिस्टम ठीक काम कर रहा था, तो इसे बदलने की क्या जरूरत थी? इसका सीधा जवाब है— साइबर सुरक्षा में आई सेंधमारी।
साइबर अपराधियों ने OTP को बाईपास करने के कई तरीके खोज लिए थे:
- सिम स्वैप फ्रॉड (SIM Swap Fraud): ठग किसी तरह आपके नंबर का डुप्लीकेट सिम निकलवा लेते थे और आपके बैंक के सारे OTP उनके पास जाने लगते थे।
- मैलवेयर और स्क्रीन रिकॉर्डिंग ऐप्स: कई बार अनजाने में डाउनलोड किए गए ऐप्स आपके फोन की स्क्रीन रीड कर लेते थे और बैकग्राउंड में OTP चुरा लेते थे।
- फिशिंग (Phishing): नकली बैंक वेबसाइट्स या कस्टमर केयर बनकर लोगों से OTP मांग लिया जाता था।
इन्हीं कमजोरियों को देखते हुए और आपके खून-पसीने की कमाई को सुरक्षित रखने के लिए ही RBI Two Factor Authentication rule लाया गया है। इस नए सिस्टम में, अगर कोई ठग आपका OTP चुरा भी लेता है, तो भी वह आपके खाते से पैसे नहीं निकाल पाएगा क्योंकि उसके पास आपका फिंगरप्रिंट (Biometric) या आपका वास्तविक डिवाइस (Device Binding) नहीं होगा।
1 अप्रैल के बाद UPI और कार्ड पेमेंट्स में क्या-क्या बदलेगा? (Impact on Daily Transactions)
अगर आप UPI या कार्ड इस्तेमाल करते हैं, तो RBI Two Factor Authentication rule आपके पेमेंट के तरीके को थोड़ा बदल देगा, लेकिन यह बदलाव आपकी भलाई के लिए ही है। आइए देखते हैं कि 1 अप्रैल 2026 के बाद आपको क्या व्यावहारिक बदलाव देखने को मिलेंगे:
1. OTP का एकाधिकार खत्म (End of OTP-Only Era)
अब आपको पेमेंट के वक्त सिर्फ SMS में आने वाले OTP का इंतजार नहीं करना पड़ेगा। OTP अब प्रमाणीकरण (Authentication) का केवल एक हिस्सा बनकर रह जाएगा। इसके साथ आपको अपना फिंगरप्रिंट, फेस स्कैन या ऐप का सिक्योर PIN दर्ज करना होगा।
2. पेमेंट में लग सकते हैं कुछ अतिरिक्त सेकंड
चूंकि अब सुरक्षा की दो परतें (Two Layers) पार करनी होंगी, इसलिए ट्रांजैक्शन पूरा होने में 2 से 3 सेकंड का अतिरिक्त समय लग सकता है। हालांकि, यह समय आपके बैंक खाते की जीवनभर की सुरक्षा के सामने कुछ भी नहीं है।
3. डिवाइस बाइंडिंग (Device Binding) का महत्व बढ़ेगा
आपका बैंक या UPI ऐप (जैसे GPay, PhonePe) अब आपके फोन के हार्डवेयर को पहचानेगा। यदि कोई आपके अकाउंट को किसी नए या अज्ञात डिवाइस में लॉग इन करके पेमेंट करने की कोशिश करेगा, तो सिस्टम तुरंत उसे रोक देगा और अतिरिक्त वेरिफिकेशन मांगेगा।
रिस्क-बेस्ड ऑथेंटिकेशन: स्मार्ट और सुविधाजनक (Risk-Based Authentication)
RBI यह भी जानता है कि हर छोटे पेमेंट के लिए बार-बार फिंगरप्रिंट या कड़े पासवर्ड मांगना ग्राहकों को परेशान कर सकता है। इसीलिए, रिस्क-बेस्ड मॉडल भी RBI Two Factor Authentication rule का एक अहम हिस्सा है।
रिस्क-बेस्ड ऑथेंटिकेशन (Risk-Based Authentication) का मतलब है कि सिस्टम यह तय करेगा कि किस पेमेंट में कितना खतरा है:
- लो-रिस्क ट्रांजैक्शन (Low-Risk): अगर आप अपने उसी पुराने फोन से, उसी पुरानी किराने की दुकान पर ₹100 का पेमेंट कर रहे हैं, तो सिस्टम इसे ‘कम जोखिम’ वाला मानेगा और पेमेंट तुरंत (बिना ज्यादा झंझट के) पास हो जाएगा।
- हाई-रिस्क ट्रांजैक्शन (High-Risk): लेकिन, यदि आप रात के 2 बजे, किसी नए डिवाइस से, किसी अज्ञात विदेशी मर्चेंट को ₹50,000 का पेमेंट कर रहे हैं, तो सिस्टम तुरंत अलर्ट हो जाएगा। ऐसे में यह आपसे OTP के साथ-साथ बायोमेट्रिक या कोई अन्य मजबूत वेरिफिकेशन जरूर मांगेगा।
यह स्मार्ट तकनीक सुनिश्चित करेगी कि आम और रोजमर्रा के पेमेंट्स बिना किसी रुकावट के होते रहें, जबकि बड़े और संदिग्ध पेमेंट्स पर कड़ी नजर रखी जा सके।
बैंकों की बढ़ेगी जवाबदेही, ग्राहकों को मिलेगा मुआवजा (Increased Accountability for Banks)
इस नए नियम की सबसे अच्छी बात यह है कि अब सुरक्षा की पूरी जिम्मेदारी सिर्फ ग्राहक पर नहीं होगी। बैंकों और पेमेंट गेटवे कंपनियों को अपने सिस्टम को अभेद्य बनाना होगा।
ग्राहकों को सुरक्षा देने वाले इस RBI Two Factor Authentication rule के मुताबिक, अगर बैंक या पेमेंट प्लेटफॉर्म की सुरक्षा प्रणाली में कोई चूक (System Failure) होती है और किसी ग्राहक के साथ फ्रॉड हो जाता है, तो इसकी जवाबदेही सीधे तौर पर बैंक की होगी।
- मुआवजा (Compensation): यदि यह साबित हो जाता है कि फ्रॉड बैंक के सिस्टम की खामी या 2FA नियम का पालन न करने के कारण हुआ है, तो बैंक को RBI के ‘लायबिलिटी फ्रेमवर्क’ (Liability Framework) के तहत ग्राहक को पूरा मुआवजा देना होगा।
- त्वरित समाधान: इससे ग्राहकों की शिकायतों का निवारण (Dispute Resolution) पहले के मुकाबले बहुत तेजी से होगा, क्योंकि वित्तीय संस्थानों पर सिस्टम को सुरक्षित रखने का भारी दबाव होगा।
अंतरराष्ट्रीय पेमेंट्स (Cross-Border Transactions) पर नियम
कई लोग जो ऑनलाइन विदेशी वेबसाइट्स (जैसे नेटफ्लिक्स, अंतरराष्ट्रीय ई-कॉमर्स साइट्स या सॉफ्टवेयर सब्सक्रिप्शन) पर पेमेंट करते हैं, उनके लिए भी नियम अपडेट किए गए हैं।
RBI ने स्पष्ट किया है कि भारत के बाहर होने वाले ‘कार्ड नॉट प्रेजेंट’ (CNP – Card Not Present) और क्रॉस-बॉर्डर ट्रांजैक्शन भी इस दायरे में आएंगे। विदेशी वेबसाइट्स पर होने वाले संदिग्ध लेनदेन के लिए ‘एडिशनल फैक्टर ऑफ ऑथेंटिकेशन’ (AFA) अनिवार्य होगा।
हालांकि, कार्ड जारी करने वाली कंपनियों और नेटवर्क (जैसे Visa, Mastercard, RuPay) को अंतरराष्ट्रीय पेमेंट्स के लिए इस सिस्टम को पूरी तरह से लागू करने के लिए 1 अक्टूबर 2026 तक का समय दिया गया है। तब तक उन्हें अपने ‘बैंक आइडेंटिफिकेशन नंबर’ (BINs) को रजिस्टर करना होगा।
(नोट: मंथली ई-एमआई (EMIs), ओटीटी सब्सक्रिप्शन या म्यूचुअल फंड की SIP जैसे रेकरिंग पेमेंट्स (Recurring e-mandates) को इस नए नियम से छूट दी गई है, ताकि आपकी मंथली साइकिल बिना किसी रुकावट के चलती रहे।)
सुरक्षा-प्रथम की दिशा में एक शानदार कदम
तकनीक जितनी तेजी से बदल रही है, हमें अपनी सुरक्षा के तरीके भी उतनी ही तेजी से बदलने होंगे। भारत एक कैशलेस इकोनॉमी बनने की राह पर बहुत तेजी से दौड़ रहा है, और इस दौड़ में आम आदमी का भरोसा सबसे ज्यादा मायने रखता है।
कुल मिलाकर, RBI Two Factor Authentication rule भारत के डिजिटल पेमेंट सिस्टम को दुनिया के सबसे सुरक्षित इकोसिस्टम में से एक बनाने की दिशा में एक क्रांतिकारी कदम है। 1 अप्रैल 2026 से जब आप पेमेंट करेंगे, तो भले ही आपको एक अतिरिक्त स्क्रीन या फिंगरप्रिंट स्कैन से गुजरना पड़े, लेकिन आपके मन में यह तसल्ली जरूर होगी कि आपका बैंक खाता अब हैकर्स की पहुंच से कोसों दूर है।
सुविधा से समझौता किए बिना सुरक्षा को मजबूत करना ही RBI का मुख्य लक्ष्य है। एक जागरूक नागरिक के रूप में, हमें इन बदलावों का स्वागत करना चाहिए और अपने बैंकिंग ऐप्स को समय-समय पर अपडेट रखना चाहिए।
भावेश Tez Khabri के सह-संस्थापक और प्रबंध संपादक हैं। अभिनय के क्षेत्र में अपनी पहचान बनाने के बाद, अब वे पत्रकारिता के माध्यम से समाज में पारदर्शिता लाने का प्रयास कर रहे हैं। भावेश जी मुख्य रूप से राजनीति, क्राइम और शिक्षा से जुड़ी खबरों का नेतृत्व करते हैं और सुनिश्चित करते हैं कि हर खबर पूरी तरह से सत्यापित (Verified) हो।