Законопроект «Антифрод 2.0», который готовится ко второму чтению, обязывает банки подтверждать все дистанционные операции клиентов сразу двумя способами - через СМС и мессенджер МАХ. Банковское сообщество выступило против: по мнению финансистов, это не сделает операции безопаснее, зато существенно увеличит расходы.
Каждый раз, когда клиент совершает дистанционно какое-либо "значимое действие", банк будет обязан отправить ему два уведомления вместо одного. При этом в законопроекте так и не прописано, какие именно действия считаются значимыми. По оценкам участников рынка, при таком подходе ежегодные дополнительные расходы банков могут исчисляться миллиардами рублей - а значит, в конечном счете эти затраты лягут на плечи клиентов.
Помимо стоимости, есть и сугубо технические претензии. По нынешним правилам работы МАХ банк не может отправить клиенту сообщение первым - без того, чтобы клиент сам начал диалог. То есть использовать мессенджер для односторонних уведомлений в его нынешнем виде попросту невозможно.
Есть и более серьезный риск: если весь поток банковских подтверждений замкнуть на один мессенджер, любой сбой или DDoS-атака на МАХ может парализовать онлайн-банкинг по всей стране.
Эксперты по информационной безопасности сомневаются, что новая схема вообще поможет бороться с мошенниками. Главный инструмент злоумышленников - социальная инженерия: они часами и днями обрабатывают жертву, пока та сама не переведет деньги. Против такого метода дополнительные коды подтверждения бессильны - человек, которого убедили, что действует правильно, без труда подтвердит операцию хоть трижды.
Специалисты также указывают, что СМС в целом давно считается ненадежным каналом, а МАХ, хотя и надежнее СМС за счет шифрования, все равно уступает биометрии, аппаратным ключам или push-уведомлениям в банковских приложениях. Последние не зависят от мобильной сети и значительно сложнее перехватить. Наконец, по мнению ряда специалистов, схема с двойным подтверждением через СМС и МАХ противоречит действующим требованиям ЦБ, которые предписывают использовать криптографические средства защиты транзакций.
Финансовое сообщество не просто критикует - оно предлагает альтернативы. Банки готовы использовать другие, более надежные способы подтверждения операций, а также просят либо сделать СМС и МАХ-уведомления бесплатными для банков, либо установить фиксированный государственный тариф на эти услуги. Письмо с такими предложениями направлено в ЦБ и правительство. Ни там ни там на него пока не ответили. Мессенджер МАХ от комментариев также отказался.
Самые читаемые
