О том, что ЦБ потребует от банков в обязательном порядке получать подтверждение от клиентов на проведение операций в режиме онлайн, рассказал на форуме Finnopolis 2015 в Казани замначальника главного управления безопасности и защиты информации ЦБ Артем Сычев. «Мы внесем изменения в положение 382-П, чтобы сделать обязательным принцип разделения контуров, где формируется платежное поручение и где оно подтверждается,- пояснил он.- Чтобы у мошенников не было возможности, захватив один канал, завершить трансакцию». Новация коснется как граждан, так и компаний. Совершая оплату в интернете, клиент должен будет получить код подтверждения и ввести его на сайте. У компаний это подтверждение проводится через специальное устройство, на котором записаны реквизиты.
Конкретных решений ЦБ не навязывает, он лишь опишет требования к технологии. Способов подтверждения много — от наиболее простых — через SMS, скретч-карты, получение одноразовых кодов в банке до криптокалькуляторов, где клиент сам набирает код, сформированный банком. Однако наиболее распространенный способ (из-за простоты и более низкой стоимости) — подтверждение по SMS.
Правила подтверждения онлайн-операций должны быть зафиксированы в документах банка и будут проверены ЦБ технически. На реализацию новой нормы банкам будет дан переходный период. Опыт повышения безопасности платежей в принудительном порядке у банкиров уже есть — с 1 июля банки могут выпускать только карты с чипом, магнитные же карты только в порядке исключения.
Технологию подтверждения операций, совершаемых дистанционно, банки используют и сейчас, однако в добровольном порядке. В отсутствие обязательности оно практикуется далеко не по всем операциям. По словам экспертов, это требует дополнительных расходов на SMS, доработку программного обеспечения и др., что в совокупности оценивается в несколько десятков тысяч долларов. «Сейчас мы как банк-эквайер для электронной коммерции сами определяем индивидуальные настройки безопасности и устанавливаем, когда необходимо дополнительное подтверждение оплаты,- отмечает вице-президент Альфа-банка Вилен Тимирязев.- Это зависит от множества параметров, в частности от надежности самой торговой точки». Наиболее часто технология используется на тех ресурсах, где происходит моментальная покупка, например, интернет-контента или осуществляются переводы с карты на карту, которые сложно оперативно оспорить, в отличие, например, от авиабилетов, которые, как правило, приобретаются заранее, отмечает вице-президент банка «Открытие» Юрий Божор. По его словам, перевозчики на своих сайтах имеют мощные системы фрод-мониторинга, поэтому использование дополнительных систем защиты они считают излишним, поскольку любое дополнительное действие, которое требуется совершить покупателю, резко снижает процент конвертации конечных клиентов, то есть успешных оплат.
Инициатива ЦБ обусловлена объективной необходимостью, считает начальник управления режима информационной безопасности департамента защиты информации Газпромбанка Алексей Плешков. «Сейчас участились случаи совершения мошеннических действий в отношении клиентов крупных банков — пользователей систем дистанционного банковского обслуживания, это касается как физических, так и юрлиц»,- отмечает он. Свежих данных по числу инцидентов и объему потерь через дистанционное банковское обслуживание (ДБО) ЦБ пока не раскрывает, но в 2014 году было выявлено 4,9 тыс. попыток осуществления несанкционированных операций через ДБО на сумму 1,64 млрд руб., из которых более 80% на сумму более 700 млн руб. прошли успешно. Однако и эти цифры не отражают всего масштаба проблемы, поскольку банки неохотно раскрывают ЦБ информацию об инцидентах в своих системах. По словам Артема Сычева, ежегодные темпы роста объема мошенничеств составляют около 30%, опережая темпы роста оборота электронных платежей (10-15% в год).
Насколько эффективными в борьбе с мошенничеством окажутся новые меры, оценить сложно, отмечают банкиры. «На некоторый сравнительно небольшой период времени это должно остановить рост мошенничества, но ровно до того момента, пока злоумышленники не найдут обходные пути,- говорит Алексей Плешков.- Помешать эффективной реализации этой меры могут и другие факторы — например, неисполнение клиентом обязательства актуализировать свои контактные данные». В таком случае банк формально будет выполнять свои обязательства по информированию клиента, но эффекта это не даст, заключает он.