ЦБ планирует обязать банки запрашивать согласие клиентов на проведение онлайн-операций.
_Центробанк РФ планирует обязать банки ужесточить требования безопасности. Теперь регулятор намерен требовать обязательное предварительное согласие клиента на проведение той или иной операции в онлайне, например, через код по СМС, сообщает «Коммерсант» со ссылкой на слова замначальника главного управления безопасности и защиты информации ЦБ Артема Сычева._
«Мы внесем изменения в положение 382-П, чтобы сделать обязательным принцип разделения контуров, где формируется платежное поручение и где оно подтверждается, — пояснил он. — Чтобы у мошенников не было возможности, захватив один канал, завершить транзакцию», — цитирует представителя ЦБ издание.
Новация коснется как граждан, так и компаний. Совершая оплату в Интернете, клиент должен будет получить код подтверждения и ввести его на сайте. У компаний это подтверждение проводится через специальное устройство, на котором записаны реквизиты, передает «Коммерсант».
Конкретных решений ЦБ не навязывает, описывая требования к технологии. Способов подтверждения много: от наиболее простых — через СМС, получения одноразовых кодов в банке, до криптокалькуляторов, где клиент сам набирает код, сформированный банком. Однако наиболее распространенный способ (из-за простоты и более низкой стоимости) — подтверждение по СМС.
Правила подтверждения онлайн-операций должны быть зафиксированы в документах банка и будут проверены ЦБ технически, сообщает издание. На реализацию новой нормы банкам будет дан переходный период. Опыт повышения безопасности платежей в принудительном порядке у банкиров уже есть — с 1 июля банки могут выпускать только карты с чипом.
Представитель одного из крупных российских банков рассказал корреспонденту «Вслух.ру», что подобная технология — 3-D Secure, когда клиенту для подтверждения покупки в интернет-магазине предъявляется одноразовый пароль, уже работает во многих кредитных организациях.
«В наземном или POS-эквайринге вопрос безопасности решен внедрением на карту чипа. На сегодняшний день эта технология надежно защищает клиента от скимминга карты — процесса, когда мошенники считывают магнитную полосу и делают дубликат карты. Чип и ввод пин-кода — это достаточный на сегодня барьер для защиты клиента, — пояснил представитель банка. — Технология 3-D Secure — это некая альтернатива чипу в Интернете. Так что ничего нового в такой идее нет, но область ее применения должна соотносится с рисками или ожидаемым результатом. Есть еще один нюанс — за каждую СМС, которую мы направляем клиенту, приходится платить».
Безопасность за счет потребителей
Он добавил, что технология двухфакторной аутентификации применяется в интернет-торговле давно и, соответственно, давно отлажена. Поэтому нарушение баланса интересов способно серьезно снизить объемы продаж.
«Использовать ли технологию в конкретном магазине, решает эквайер, а подключать ли ее к конкретной карте — эмитент. И первое решение, и второе — результат компромисса бизнес-эффекта и рисков. Так, в авиасегменте это насущная необходимость, потому что билет — товар достаточно ликвидный и мошенникам интересный. Но тотальное включение технологии в интернет-торговлю способно снизить объем продаж даже на десятки процентов: СМС могут не доходить до клиента, доходить поздно и т. д», — пояснил представитель банка.
Он рассказал, что если включение 3-D Secure в конкретный интернет-магазин, по мнению банка и владельца магазина, больше снизит продажи, нежели отсечет риски, тогда в навязывании технологии нет смысла. А конечные расходы будут компенсироваться за счет потребителей.
«Введение двухфакторной аутентификации — это промоделированное, взвешенное решение. СМС — штука платная. Эквайринг — продукт низкомаржинальный. Если появляется дополнительная затратная составляющая, то она снижает прибыльность и даже делает ее отрицательной. Поэтому банки будут стремиться перенести это на торговцев. Те, в свою очередь, на покупателей», — пояснил эксперт.
Безопасность лишней не бывает
По данным УМВД по Тюменской области, за январь-август 2015 года зарегистрировано 180 преступлений с банковскими картами: переводы средств со счетов клиентов на счет мошенников, СМС, сообщающие о псевдоблокировке карты
Такая тенденция наблюдается по всей стране. Пользователи невнимательно относятся к мобильным приложениям и программам, которые скачивают, и таким образом сами устанавливают шпионские программы и троянцы, которые и похищают средства с карт.
Поэтому требование регулятора, чтобы банки получали предварительное согласие от их клиентов, поможет сохранить средства последних, считает зампредседателя Финпотребсоюза в Тюменской области Михаил Мельцер.
«Безусловно, это правильно, ведь сейчас постоянно увеличивается количество случаев электронного мошенничества. А потом неподтвержденные операции и транзакции, которые проводились или без ведома клиента, или им случайно, вызывают большие проблемы: банки не торопятся отменять случайные или злонамеренные действия по счету, — пояснил Мельцер, добавив, что безопасность лишней не бывает. — В нынешних условиях большая часть наших финансовых операций крайне не защищена. Реальная безопасность денежных средств у нас пока минимальна».
Представитель консалтинговой компании «Финансовые партнеры» Алексей Доронин также считает, что новое обязательство банков позволит увеличить безопасность счетов и операций клиентов. «Это будет уместно и нужно, потому что обеспечивает более высокую степень безопасности, а для мошенников обойти систему — куда более трудоемкий и сложный процесс», — пояснил он.
Михаил Мельцер согласен, что эта мера в дальнейшем может стать уязвимой для мошенников, зато сделать это будет сложнее. «Естественно, мы все равно придем к тому, что злоумышленники подстроятся и под эту систему. Но любой уровень повышения авторизации увеличивает уровень безопасности. Так что мы оцениваем эту инициативу положительно», — пояснил зампредседателя областного Финпотребсоюза.