Top.Mail.Ru
Банки оценили расходы на подтверждение операций через Мах
Новости

Банки оценили расходы на подтверждение операций через Мах

«Юридически избыточная и необоснованно затратная»: НСФР раскритиковал двойное подтверждение операций через Мах и СМС.

Участники финансового рынка обратились к правительству Российской Федерации с просьбой не навязывать их клиентам способы подтверждения операций, ограниченные в готовящемся ко второму чтению законопроекте «Антифрод 2.0» сообщениями в мессенджере Max и SMS. Соответствующее письмо Национальный совет финансового рынка (НСФР) направил в Центральный банк и правительство, назвав предлагаемую норму «юридически избыточной и необоснованно затратной».

Суть законопроектной инициативы

Законопроект «Антифрод 2.0», который готовится ко второму чтению в Государственной Думе, предусматривает обязательное подтверждение дистанционных операций одновременно через два канала связи — SMS и национальный мессенджер Max. Инициатива направлена на усиление защиты клиентов банков от мошеннических действий, однако, по мнению представителей финансового сектора, предлагаемый механизм не достигнет поставленных целей, но создаст существенные проблемы для участников рынка.

Ключевая проблема заключается в том, что критерии «значимых действий», для которых потребуется такое двойное подтверждение, в законопроекте до сих пор не прописаны . Это создает правовую неопределенность и риски избыточного регулирования, когда под действие нормы могут попасть самые разные операции, не требующие столь высокого уровня защиты.

Экономические последствия: многомиллиардные расходы

Главный аргумент банковского сообщества против нововведения — его экономическая неэффективность. Как указал глава НСФР Андрей Емелин, двойное подтверждение операций означает направление двух информационных сообщений по каждому значимому действию, что фактически удваивает стоимость уведомлений.

«При массовых пользовательских сценариях это может привести к многомиллиардным ежегодным дополнительным расходам, снижению рентабельности и росту цен для пользователей», — заявил Емелин.

В условиях, когда банковский сектор уже несет значительные затраты на обеспечение безопасности и выполнение регуляторных требований, дополнительная нагрузка неизбежно будет переложена на клиентов в виде повышения тарифов на услуги.

Технические ограничения и риски информационной безопасности

Отдельную озабоченность участников рынка вызвал тот факт, что при навязывании подтверждения через SMS или Max полностью игнорируются иные доступные варианты подтверждения, способные обеспечить более высокий уровень защиты. Эксперты в области кибербезопасности отмечают, что SMS-сообщения давно считаются уязвимым каналом, подверженным перехвату и подмене.

Что касается мессенджера Max, его использование для подтверждения операций также сопряжено с рядом технических ограничений. Как отмечается в обращении НСФР, в настоящее время технически невозможно направлять исходящие сообщения от юридического лица физическому лицу без предварительного запроса со стороны клиента. Это означает, что банки не смогут в одностороннем порядке инициировать отправку кода подтверждения, если клиент предварительно не начнет диалог.

Еще более серьезный риск связан с созданием так называемой «единой точки отказа». Привязка подтверждения юридически значимых операций к единственному мессенджеру означает, что любой технический сбой или DDoS-атака на Max могут парализовать всю финансовую систему. Как подчеркнул Андрей Емелин, «принятие законопроекта приведет к тому, что любой технический сбой мессенджера на неопределенное время остановит всю юридически значимую онлайн-деятельность в стране, в том числе совершение сделок и банковские операции».

Альтернативные способы подтверждения

Представители финансового рынка и эксперты по кибербезопасности предлагают более гибкий подход, который позволил бы банкам самостоятельно выбирать оптимальные способы подтверждения операций в зависимости от уровня риска и технических возможностей.

Ведущий инженер CorpSoft24 Михаил Сергеев отмечает, что push (пуш)-уведомления в банковских приложениях и TOTP-коды (например, через Яндекс ID) являются более надежными способами защиты, поскольку не зависят от мобильной сети и используют криптографические методы аутентификации.

Генеральный директор SafeTech Денис Калемберг указывает, что предлагаемые законопроектом нормы противоречат действующим требованиям Центрального банка, который настаивает на использовании криптографических средств защиты транзакций. Использование SMS и мессенджера без криптографической защиты не соответствует этим требованиям.

Председатель Координационного совета негосударственной сферы безопасности РФ Игорь Бедеров, комментируя ситуацию, отметил: «Национальный мессенджер MAX, поскольку он построен по современным принципам сквозного шифрования и жестко привязан к конкретному экземпляру устройства, надежнее SMS, хотя уступает по надежности биометрии или аппаратным ключам».

Социальная инженерия как главная угроза

Ключевой аргумент противников обязательного двойного подтверждения заключается в том, что предлагаемая мера не затрагивает главный инструмент мошенников — социальную инженерию. Как поясняют эксперты, в большинстве случаев злоумышленники не взламывают технические средства защиты, а манипулируют самими клиентами, заставляя их добровольно совершать операции и сообщать коды подтверждения.

Глава правления ассоциации «Финансовые инновации» Роман Прохоров отмечает, что дополнительные способы подтверждения не помогут в ситуациях, когда мошенники ведут жертву в течение нескольких дней, и клиент осознанно совершает операции, даже после получения предупреждений от банка. В таких случаях двойное подтверждение лишь создаст дополнительные барьеры для добросовестных клиентов, не препятствуя действиям злоумышленников.

Предложения банковского сообщества

В своем обращении к правительству и Центральному банку Национальный совет финансового рынка сформулировал ряд конкретных предложений по корректировке законопроекта:

  1. Разрешить альтернативные способы подтверждения. Банки должны иметь возможность использовать любые доступные методы аутентификации, включая push-уведомления в мобильных приложениях, биометрию, TOTP-коды и аппаратные ключи, а не ограничиваться только СМС и Max.

  2. Закрепить безвозмездность отправки кодов подтверждения. Услуги операторов связи и оператора мессенджера по доведению кодов подтверждения должны предоставляться бесплатно либо на условиях государственного регулирования тарифов.

  3. Четко определить критерии «значимых действий». В законопроекте необходимо прописать, какие именно операции требуют двойного подтверждения, чтобы избежать избыточного регулирования и необоснованной нагрузки на клиентов и банки.

Перспективы законопроекта

Законопроект «Антифрод 2.0» готовится ко второму чтению в Государственной Думе. Участники финансового рынка рассчитывают, что их аргументы будут услышаны, и норма о двойном подтверждении операций будет скорректирована.

Как отмечается в материалах НСФР, «финансовые организации не намерены оплачивать фантазии» и настаивают на том, что антифрод-меры должны быть эффективными, а не просто создавать иллюзию защиты при многомиллиардных затратах.

Вопрос о том, насколько законодатели готовы учесть позицию банковского сообщества, останется открытым до рассмотрения законопроекта во втором чтении.

С уважением к Вашему делу, Ника Виноградова

Источник: Retail.ru

Вас может заинтересовать

зарплата, работодатели, повышение зарплаты, трудовая мотивация, рост доходов, компенсация, уровень жизни, конкуренция на рынке труда, удержание талантов, улучшение условий труда
17.05.2023
Почему все больше работодателей решают повысить зарплату своим сотрудникам
Изображение подготовлено с помощью https://fusionbrain.ai
29.10.2024
Сложно утилизировать, легко запретить. Названы упаковки запрещенные к производству
farmto 68
30.10.2019
Каким был ГИС “Меркурий” 10 лет назад

Политика конфиденциальности

Наш сайт использует файлы cookies, чтобы улучшить работу и повысить эффективность сайта. Продолжая работу с сайтом, вы соглашаетесь с использованием нами cookies и политикой конфиденциальности.

Принять