أصدر محافظ مصرف البحرين المركزي رشيد المعراج، تعميماً إلى البنوك والمؤسسات المالية العاملة في المملكة فيما يتعلق بمتطلبات الأمن السيبراني بالتواصل مع العملاء وإرسال الروابط القابلة للنقر من خلال الرسائل النصية القصيرة أو عبر التطبيقات المختلفة، حيث تضمن التعميم الإشارة إلى تعليمات جديدة ضمن مساعي المصرف لتعزيز أمن وحماية العملاء والحد من عمليات التصيد الاحتيالي.
وجاء في التعميم أنه “بالإشارة إلى استشارة مصرف البحرين المركزي (OG /‏ 203/‏2022) بتاريخ 23 مايو 2022 وتعليقات الصناعة، يقوم مصرف البحرين المركزي بإصدار التعديلات على متطلبات الأمن السيبراني في الوحدات ذات الصلة من دليل قواعد مصرف البحرين المركزي - المجلدات من 1 إلى 5 ، فيما يتعلق باستخدام  مجالات البريد الإلكتروني وعناوين URL للتواصل مع العملاء”. وأكد التعميم أنه يجب تنفيذ المتطلبات المعدلة بالكامل في موعد أقصاه 1 نوفمبر 2022. 
وجاء في المتطلبات الجديدة أنه يجب ألا يستخدم المرخص لهم نطاق بريد إلكتروني تابع لجهة خارجية للتواصل مع العملاء. ويجب أن تمتثل نطاقات البريد الإلكتروني مع المتطلبات المتعلقة بـ SPF وDKIM وDMARC 
وفيما يتعلق بعناوين URL أو الروابط الأخرى القابلة للنقر في الاتصالات مع العملاء، يجب على المرخص لهم الالتزام بعدد من المتطلبات، ومنها الحد من استخدام الروابط في SMS أو خدمات الرسائل  القصيرة الأخرى مثل WhatsApp، في الرسائل المرسلة كنتيجة كإجراء وطلب من العميل مثل التي تتطلب إجراءات من العميل كروابط التحقق، وروابط الدفع للمعاملات التي يبدأها العميل وما إلى ذلك. كما تضمنت المتطلبات الامتناع عن استخدام روابط مختصرة في التواصل مع العملاء.
وشددت التعليمات الجديدة على ضرورة تنفيذ المرخص واحداً أو أكثر من الإجراءات للروابط المرسلة إلى العملاء والتي تشمل ضمان تلقي العملاء تعليمات واضحة في الاتصالات المرسلة مع الروابط، وإشعار مسبق للعميل مثل إجراء مكالمة هاتفية معه، وإبلاغ العميل بما يفيد توقعه باستلام رابط من المرخص له، والإجراء الآخر هو توفير تفاصيل المعاملة مثل مبلغ المعاملة واسم التاجر في الرسالة المرسلة إلى العميل مع الرابط، والإجراء الرابع استخدام إجراءات التحقق الأخرى مثل كلمة المرور أو المقاييس الحيوية للمصادقة.
وتضم التعليمات بخصوص الروابط إنشاء حملات توعية للعملاء لتثقيف عملائهم بشأن مخاطر الاحتيال المتعلقة بالروابط التي يتلقونها في الرسائل القصيرة ورسائل البريد الإلكتروني بتعليمات واضحة للعملاء بأن المرخص لهم لن يرسلوا رسائل قابلة للنقر في الروابط في الرسائل القصيرة ورسائل البريد الإلكتروني والرسائل القصيرة الأخرى لطلب معلومات أو المدفوعات ما لم تكن نتيجة لطلب العميل أو إجراء معين.