Участники финансового рынка просят не навязывать клиентам способы подтверждения операций, предусмотренные законопроектом «Антифрод 2.0» (подготовлен ко второму чтению), узнал «Коммерсантъ». Документ обязывает использовать для «значимых действий» одновременно СМС и сообщения в мессенджере МАХ. Банкиры считают, что это не усилит защиту, но удвоит их расходы. Эксперты также указывают на техническую ненадежность СМС и возможные сбои в работе МАХ.
Письмо с предложениями поправить норму 23 марта направил Национальный совет финансового рынка (НСФР) в ЦБ и правительство. В действующей редакции законопроекта не уточняется, какие именно действия считать «значимыми».
Банкиры называют двойное подтверждение «юридически избыточной и необоснованно затратной» процедурой. «При массовых пользовательских сценариях это может привести к многомиллиардным ежегодным дополнительным расходам, снижению рентабельности и росту цен для пользователей», – указывает глава НСФР Андрей Емелин.
Участников рынка также беспокоит, что альтернативные способы подтверждения, которые могут обеспечить более высокий уровень защиты, полностью игнорируются. Кроме того, обязательное использование МАХ создает риск единой точки отказа. «Любой серьезный технический сбой или компьютерный инцидент, например DDoS-атака на национальный мессенджер, может привести к остановке на неопределенное время всей юридически значимой онлайн-деятельности в стране, включая банковские операции и совершение сделок», – поясняет господин Емелин. Он добавил, что сейчас технически невозможно отправлять исходящие сообщения от юрлица физлицу без предварительного запроса на диалог со стороны клиента.
Финансисты предлагают альтернативные варианты для снижения издержек, а также просят нормативно закрепить безвозмездность доведения кодов подтверждения операторами связи или установить государственный тариф на эти услуги.
Эксперты сомневаются, что использование МАХ значительно снизит число мошеннических операций. «Против таких методов расширение факторов подтверждения бессильно, поскольку клиенты, как правило, подтверждают осознанность и мотивированность своих действий и родственникам, и сотрудникам банков, поэтому подтвердить их несколько раз через мессенджеры не составит труда», – указывает глава правления ассоциации «Финансовые инновации» Роман Прохоров.
Специалист по информбезопасности Игорь Бедеров (председатель Координационного совета негосударственной сферы безопасности РФ) отмечает, что МАХ надежнее СМС, но уступает биометрии или аппаратным ключам. В CorpSoft24 и SafeTech добавляют, что push-уведомления в банковских приложениях и TOTP-коды безопаснее, а предложенная схема может противоречить требованиям ЦБ об использовании криптографических средств.
Источник: Коммерсантъ