Полная версия
Польза 0+

Банки против государства: почему новая функция в мессенджере MAX может ударить по кошельку каждого

Казалось бы, что может быть лучше, чем дополнительная защита банковских операций? 

Источник фото: фото редакции

В эпоху, когда мошенники не дремлют, любой новый уровень безопасности кажется благом. Но неожиданно именно за эту защиту разгорелся серьёзный конфликт между банковским сообществом и авторами законопроекта «Антифрод 2.0».

В центре спора оказался национальный мессенджер MAX. Точнее — норма, которая обязывает банки подтверждать онлайн-операции одновременно через два канала: привычную СМС и через этот самый мессенджер.

Участники финансового рынка объединились и направили письмо в Центробанк и правительство. Их послание короткое, но жёсткое: эту норму нужно смягчить. Иначе пострадают все — и банки, и их клиенты.

Оглавление

  1. Что требует законопроект «Антифрод 2.0»
  2. Двойное подтверждение: почему банкиры назвали норму избыточной
  3. Цена вопроса: многомиллиардные расходы и удорожание услуг
  4. Единая точка отказа: технический аргумент, который сложно оспорить
  5. Социальная инженерия против технологий: что на самом деле крадёт деньги
  6. Что предлагают банки взамен

Что требует законопроект «Антифрод 2.0»

«Антифрод 2.0» — это уже не первая попытка государства ужесточить контроль за банковскими операциями и защитить граждан от мошенников. В новой версии законопроекта, помимо прочих новаций, содержится одно конкретное требование, которое вызвало бурную реакцию:

Онлайн-операции (переводы, платежи, снятие наличных) должны подтверждаться одновременно через два независимых канала:

  • СМС-сообщение на номер телефона, привязанный к банку;
  • Уведомление в национальном мессенджере MAX.

Идея понятна: если мошенники перехватили СМС (а технологии подмены номеров и SIM-свопинг, к сожалению, существуют), второй канал должен стать непреодолимым барьером. Но именно здесь банкиры увидели не защиту, а проблемы.

Двойное подтверждение: почему банкиры назвали норму избыточной

Национальный совет финансового рынка (НСФР), объединяющий крупнейшие банки, в своём письме чётко обозначил позицию: норма избыточна и затратна.

Почему? Потому что, по мнению участников рынка, двойное подтверждение не решает главную проблему. Сегодня львиная доля мошеннических операций совершается не через взлом технологий, а через социальную инженерию.

Мошенник звонит жертве, представляется сотрудником банка, выуживает коды подтверждения, убеждает перевести деньги «на безопасный счёт». В этой схеме наличие второго канала не играет роли: жертва сама продиктует оба кода, если её достаточно хорошо обработали психологически.

Таким образом, дополнительный уровень аутентификации становится не щитом, а формальностью, которая создаёт много проблем и почти не приносит пользы.

Цена вопроса: многомиллиардные расходы и удорожание услуг

Если требование войдёт в силу в том виде, в котором оно сейчас сформулировано, банкам придётся перестраивать свои IT-системы, интегрироваться с мессенджером MAX на новом уровне, настраивать каналы связи и обеспечивать бесперебойную работу двух независимых систем отправки уведомлений.

По оценкам банковского сообщества, речь идёт о многомиллиардных расходах.

Кто в итоге заплатит? Ответ очевиден: клиенты. Любое удорожание банковских систем, любой рост операционных затрат в конечном счёте ложится на плечи пользователей в виде:

  • повышения комиссий за переводы;
  • удорожания обслуживания счетов;
  • платы за дополнительные сервисы.

Банкиры прямо предупреждают: норма приведёт к росту стоимости услуг. А это уже не вопрос безопасности, а вопрос доступности финансовых сервисов для миллионов россиян.

Единая точка отказа: технический аргумент, который сложно оспорить

Ещё один аргумент банковского сообщества звучит гораздо более тревожно для обычного пользователя. Если сделать мессенджер MAX обязательным каналом подтверждения операций, возникает так называемая единая точка отказа.

Что это значит:

  • Если у мессенджала случится технический сбой (а это происходит с любыми IT-системами), клиент не сможет подтвердить операцию.
  • Если у пользователя возникнут проблемы с учётной записью в MAX, он окажется заперт в своей собственной финансовой деятельности.
  • Отсутствие альтернативы делает всю систему уязвимой.

«Поставьте два замка на одну дверь, и если сломается один, вы не попадёте домой», — так образно описывают эту ситуацию эксперты. Банки настаивают: у клиента всегда должна быть альтернатива.

Социальная инженерия против технологий: что на самом деле крадёт деньги

Цифры говорят сами за себя. По данным Центробанка и крупнейших банков, более 80–90% успешных мошеннических операций совершаются с использованием методов социальной инженерии. Человека не взламывают — его уговаривают.

Под видом сотрудника службы безопасности.
Под предлогом «оформления кредита на ваше имя».
Под легендой «ошибочного перевода, который нужно вернуть».

В таких схемах жертва самостоятельно сообщает мошеннику все коды и пароли, включая те, что приходят в мессенджеры. И если их будет два, она сообщит оба.

Банкиры предлагают переориентировать усилия не на умножение каналов аутентификации, а на:

  • совершенствование систем антифрода, которые могут распознавать подозрительные операции до того, как клиент введёт код;
  • усиление образовательной работы с населением (как не стать жертвой социальной инженерии);
  • создание «периода охлаждения» для подозрительных переводов.

Что предлагают банки взамен

В своём письме в ЦБ и правительство НСФР выдвинул несколько конкретных предложений, которые, по мнению участников рынка, позволят сохранить безопасность без избыточных затрат:

  1. Сохранить альтернативные методы аутентификации. Клиент должен иметь выбор: СМС, push-уведомление в приложении банка, код в мессенджере или биометрия. Обязательная привязка к одному каналу — это тупик.
  2. Сделать отправку кодов бесплатной. Если требование двойного подтверждения всё же останется, банки просят законодательно закрепить, что отправка уведомлений через все каналы должна быть бесплатной для банков. Иначе расходы снова переложат на клиентов.
  3. Пересмотреть подход к борьбе с мошенничеством. Акцент предлагается сместить с технологической «обязаловки» на реальное предотвращение операций на стороне банка, когда система сама блокирует подозрительный перевод до того, как он уйдёт злоумышленникам.

Что будет дальше

На данный момент письмо НСФР направлено. Реакции ЦБ и правительства пока нет. Но сам факт того, что крупнейшие банки объединились и публично (через «Коммерсантъ») высказали свою позицию, говорит о том, что конфликт серьёзный.

Скорее всего, нас ждёт либо смягчение формулировок законопроекта, либо поиск компромиссного решения, которое устроит обе стороны. Например, двойное подтверждение может остаться, но не для всех операций, а только для сверхкрупных или подозрительных. Или же мессенджер MAX станет одним из возможных каналов, но не единственным обязательным.

Пока же пользователям мессенджера MAX и клиентам банков остаётся следить за развитием событий. Одно можно сказать точно: дискуссия вокруг «Антифрода 2.0» только начинается, и её итоги повлияют на то, как мы будем платить и переводить деньги в ближайшие годы.

Автор: Полина Мороз
#Новости России #банки #мессенджер MAX