Российские банки вскоре столкнутся с новым ужесточением требований к безопасности электронных платежей и переводов. ЦБ потребует от них получать предварительное согласие клиента на проведение операции, например, через код, направляемый по SMS. Сейчас банки делают это добровольно, но не всегда и не все. Выполнение новых требований будет стоить каждому банку в среднем несколько десятков тысяч долларов. Остановить рост мошенничества это поможет, но ненадолго, считают эксперты.
О том, что ЦБ потребует от банков в обязательном порядке получать подтверждение от клиентов на проведение операций в режиме онлайн, рассказал на форуме Finnopolis 2015 в Казани замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев.
"Мы внесем изменения в положение 382-П, чтобы сделать обязательным принцип разделения контуров, где формируется платежное поручение и где оно подтверждается,-- пояснил он.-- Чтобы у мошенников не было возможности, захватив один канал, завершить трансакцию". Новация коснется как граждан, так и компаний. Совершая оплату в интернете, клиент должен будет получить код подтверждения и ввести его на сайте. У компаний это подтверждение проводится через специальное устройство, на котором записаны реквизиты.
Конкретных решений ЦБ не навязывает, он лишь опишет требования к технологии. Способов подтверждения много -- от наиболее простых -- через SMS, скретч-карты, получение одноразовых кодов в банке до криптокалькуляторов, где клиент сам набирает код, сформированный банком. Однако наиболее распространенный способ (из-за простоты и более низкой стоимости) -- подтверждение по SMS.
Правила подтверждения онлайн-операций должны быть зафиксированы в документах банка и будут проверены ЦБ технически. На реализацию новой нормы банкам будет дан переходный период. Опыт повышения безопасности платежей в принудительном порядке у банкиров уже есть -- с 1 июля банки могут выпускать только карты с чипом, магнитные же карты только в порядке исключения.
Технологию подтверждения операций, совершаемых дистанционно, банки используют и сейчас, однако в добровольном порядке.
В отсутствие обязательности оно практикуется далеко не по всем операциям. По словам экспертов, это требует дополнительных расходов на SMS, доработку программного обеспечения и др., что в совокупности оценивается в несколько десятков тысяч долларов. "Сейчас мы как банк-эквайер для электронной коммерции сами определяем индивидуальные настройки безопасности и устанавливаем, когда необходимо дополнительное подтверждение оплаты,-- отмечает вице-президент Альфа-банка Вилен Тимирязев.-- Это зависит от множества параметров, в частности от надежности самой торговой точки". Наиболее часто технология используется на тех ресурсах, где происходит моментальная покупка, например, интернет-контента или осуществляются переводы с карты на карту, которые сложно оперативно оспорить, в отличие, например, от авиабилетов, которые, как правило, приобретаются заранее, отмечает вице-президент банка "Открытие" Юрий Божор. По его словам, перевозчики на своих сайтах имеют мощные системы фрод-мониторинга, поэтому использование дополнительных систем защиты они считают излишним, поскольку любое дополнительное действие, которое требуется совершить покупателю, резко снижает процент конвертации конечных клиентов, то есть успешных оплат.
Насколько эффективными в борьбе с мошенничеством окажутся новые меры, оценить сложно, отмечают банкиры. "На некоторый сравнительно небольшой период времени это должно остановить рост мошенничества, но ровно до того момента, пока злоумышленники не найдут обходные пути,-- говорит Алексей Плешков.-- Помешать эффективной реализации этой меры могут и другие факторы -- например, неисполнение клиентом обязательства актуализировать свои контактные данные".
Ольга Шестопал
SIA.RU: Главное
