Логин для совершения банковских трансакций через интернет планируется заменить номером мобильного телефона гражданина, то есть последний может стать идентификатором клиента для совершения операций через Сеть. Пароль при этом гражданину будет по-прежнему присваиваться банком (но его можно поменять в личном кабинете на сайте банка). По словам источника, близкого к Центробанку, такой пункт включен в «дорожную карту» («Национальная платежная инициатива»), которую разрабатывают ЦБ и банковское сообщество в лице Ассоциации российских банков и ассоциации «Национальный платежный совет». В Центробанке заявили, что против этого предложения.
— Возрастающая роль операторов связи в предоставлении финансовых услуг ставит вопрос о наделении их дополнительным функционалом на платежном рынке, учитывая, что мобильные операторы при совершении платежей во многом дублируют деятельность банков, — рассказал источник, близкий к ЦБ. — Абонентский номер может стать полноценным идентификатором для совершения платежей. Для реализации новации необходимо внести поправки в законы, регулирующие банковскую деятельность, вопрос должен решиться при совместном участии ЦБ, Минкомсвязи и Минфина. Если мера будет реализована, она приведет к росту безналичных платежей, а также повышению финансовой грамотности населения. Инициатива возникла в ходе обсуждения предложений по созданию единой базы данных сотовых номеров (izvestia.ru/news/589208).
Номер мобильного телефона уже во многом является индентификатором клиента, и закрепление его как универсального логина упрочило бы этот статус.
— Клиент сообщает номер мобильного телефона банку при открытии счета и выпуске банковской карты, наличие контактного номера почти всегда является обязательным требованием, поскольку без него снижается уровень качества контакта с клиентом. Иначе усложняется процесс идентификации при блокировании утерянной или украденной карты, а услуга мобильного банкинга вообще практически невозможна без привязки к номеру мобильного телефона, — перечисляет директор департамента маркетинга Локо-банка Денис Зверик. — Часто логин, который присваивается клиенту при регистрации в интернет-банкинге, является трудно запоминаемым набором символов, и зачастую его вместе с паролем сохраняют на носитель или записывают на бумагу. Таким образом, защита от кражи учетных данных даже возрастает. И, как показывает практика, одним из самых распространенных запросов в службы поддержки является восстановление забытого или утерянного логина.
Советник Азиатско-Тихоокеанского банка Олег Сафонов уверен: лояльный банк и сейчас может пойти навстречу клиенту, заменив ему по просьбе пароль для входа в ИБ мобильным телефоном. Управляющий директор компании «Инвесткафе» Иван Кабулаев еще более скептичен и считает, что банки и клиенты сами должны решать, как удобнее и безопаснее входить в клиент-банк.
— Любая стандартизация на этой ниве вредна и ведет к меньшей безопасности, поскольку дает больше информации хакерам, — поясняет Кабулаев. — В целом удивительная инициатива: хорошо пока шрифт и тип бумаги для договора уровнять не хотят.
В компании «ВымплелКом» («Билайн») уверены, что унификация однозначно приведет к росту мошенничества и существенному росту хищений мобильных телефонов.
— В первую очередь действия мошенников будут направлены на крупнейшие банки, — пояснили «Известиям» в пресс-службе оператора. — На телефоны также приходят коды, необходимые для совершения операций в личном кабинете. Таким образом, завладев телефонным аппаратом, злоумышленник сразу получает два «ключа» из трех, необходимых для доступа к деньгам клиента банка. Эта инициатива требует глубокого изучения и анализа.
Негативную позицию занимают на текущий момент и в Банке России.
— Указанные предложения не соответствуют нормам и требованиям федерального законодательства и нормативным актам Банка России, — сообщили в пресс-службе ЦБ. — Банк России не считает целесообразным внесение изменений в них для реализации этих предложений.
Впрочем, украв смартфон, можно и сейчас без особого труда узнать и логин — в компании МТС, напротив, выступили за нововведение.
— Сегодня существует проблема надежной и в то же время упрощенной идентификации клиентов-физлиц при осуществлении дистанционных платежей и переводов, — указали официальные представители МТС. — Для дальнейшего охвата населения финансовыми услугами номер телефона должен стать уникальным и полноценным идентификатором и единым ключом доступа к набору финансовых услуг. Замена банковского логина номером сотового телефона безопасна для пользователя. Мы принимаем все превентивные меры для защиты от злоумышленников: в 2014 году у нас запущено SMS-уведомление на «новую» и «старую» SIM-карты при замене последней, блокировка на одни сутки входящих и исходящих SMS при замене SIM-карты по доверенности, а также блокировка на двое суток на вывод денежных средств с лицевого счета в рамках сервиса мобильной коммерции при замене SIM-карты. Такие сроки позволяют реальным владельцам SIM-карт принять меры для блокировки своих счетов и ставят заслон мошенникам, которые, как правило, выводят денежные средства в первые часы после подмены SIM-карты. Кроме того, мы работаем с банками, предоставляя им специальный сервис, позволяющий получать от сотовых операторов информацию об абонентских действиях.
Руководитель аналитического центра Zecurion Владимир Ульянов не считает, что новация способна повысить финансовую грамотность населения.
— Если человеку сложно выполнить последовательность действий для входа в интернет-банк, можно ли поручиться за то, что он сможет корректно указать реквизиты перевода или не перепутает операции, которые хотел совершить? — критикует Ульянов. — Более того, упрощение проведения дистанционных финансовых операций при низком уровне осведомленности пользователей о возможных рисках и способах их минимизации неизбежно приведет к росту мошенничества. Телефон (SIM-карта) и сейчас является очень мощным инструментом в руках киберпреступников, поэтому беречь SIM-карты, привязанные к интернет-банкам, надо не менее тщательно, чем платежные карты или бумажник с наличностью. Если мы при этом начнем использовать телефон не только для одноразовых паролей, но и для первичной идентификации, безопасность системы существенно пострадает.
По данным ЦБ, киберпреступники в 2014 году пытались вывести с банковских счетов 6 млрд рублей; количество подобных инцидентов в банках РФ за год выросло примерно на 30%, до 64 тыс. атак. Представители МВД в 2014 году заявляли, что цифры ЦБ занижены более чем в 10 раз. По оценкам исследовательско-консалтинговой компании Group-IB, в прошлом году ущерб от атак на системы интернет-банкинга банков составил $289 млн.
С 2013 года все банки РФ ежемесячно сдают ЦБ отчетность по нарушениям, связанным с переводами денежных средств клиентов. ЦБ собирается ввести для банков дополнительные выездные проверки, цель которых — выяснить, как участники рынка выстраивают защиту от нарушений, связанных с переводом денежных средств. С 1 мая 2015 года в РФ начал работу Центр по борьбе с киберугрозами (ФинЦМиР/FinCERT), ЦБ представил его общественности 30 июня. Но пока его работу нельзя назвать эффективной — из-за отсутствия обязанности банков делиться с регулятором информацией о кибератаках. В пресс-службе ЦБ комментариев по существу запроса не дали.
Анастасия Алексеевских