Банк России в августе направил в кредитные организации письмо № 146-Т «О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети Интернет». В нем, в частности, регулятор предложил банкам применять более совершенные механизмы защиты информации при осуществлении клиентами в интернете различных операций с помощью банковской карты. Среди этих методов ЦБ называет многофакторную аутентификацию и подтверждение операций с помощью одноразовых паролей.
Под «многофакторной аутентификацией» регулятор подразумевает, что держатель карты при совершении покупки в сети должен будет ввести пароль, использовать персональный идентификатор и предоставить скан отпечатков пальцев.
Кроме того, Банк России всячески призывает кредитные организации повышать финансовую грамотность населения. Банкам предлагается информировать клиентов обо всех неудачных попытках операций, проводимых через интернет, и предоставить им право останавливать или ограничивать несанкционированные действия. Кроме того, ЦБ просит информировать клиентов о возможной приостановке получения доступа к услугам, происходящей по инициативе банка, и пояснять причины, а также способы и сроки возобновления операций.
Также регулятор в своем письме рекомендует банкам в целях защиты клиентов включать в договор положения, предоставляющие клиенту возможность устанавливать лимиты на проведение операций.
Озабоченность ЦБ вполне объяснима. По его данным на 1 января 2013 года, в России выпущено около 240 млн карт. За прошедший год их количество возросло более чем на 20%. Вместе с этим растет и число случаев карточного интернет-мошенничества.
По данным ассоциации российских членов Europay, в 2012 году в мире было совершено киберпреступлений, в том числе с использованием пластиковых карт, на $13 млрд. На Россию пришлось 20% из них.
Необходимость обеспечения безопасности очевидна и самим банкирам. «Платежи по картам становятся все более популярными у россиян, поэтому, безусловно, банки должны принимать меры по повышению безопасности безналичных операций», — соглашаются с ЦБ в Связном банке.
При этом кредитные организации объясняют, что они и так сейчас принимают достаточно мер для повышения безопасности. «Все перечисленные в письме механизмы целесообразны. Мы сейчас применяем информирование клиентов о требованиях к безопасности. Мы разместили ролики в интернет-банке, достаточно часто акцентируем внимание сообщениями в соцсетях, предупреждаем, если возникают новые схемы мошенничества или учащаются старые», — рассказывает Ангелина Крашенинникова, риск-менеджер Банка24.ру.
Как рассказали в ВТБ24, для того чтобы зайти в интернет-банк, клиент должен ввести свой логин (универсальный номер клиента), пароль и код с карты переменных кодов. При этом каждая операция подтверждается еще одним введением кода с карты переменных кодов. «Также есть система защиты, работающая с помощью программы Inter-PRO, которую вы можете скачать на личной странице системы «Телебанк» в разделе «Безопасность», и электронного цифрового сертификата. При использовании данного типа защиты подтверждение операций происходит путем введения электронной цифровой подписи (пароля)», — отмечают в банке.
Устанавливают банки и лимиты по операциям. «При проведении операции сначала осуществляется проверка, не превышается ли суточный лимит, затем — не исчерпан ли месячный лимит. Лимиты устанавливаются банком. Суточные лимиты восстанавливаются через 24 часа после проведения операции. Ежемесячные лимиты восстанавливаются через месяц после проведения операции, то есть в ту же дату в следующем месяце», — добавляют в ВТБ24.
Массово водить в ближайшее время идентификацию отпечатков пальцев пользователя банкиры не планируют.
«Мы изучаем возможность ввода новых технологий, минимизирующих риски. Но ввод в эксплуатацию сканера отпечатков пальцев не входит в проекты текущего года», — говорит директор департамента платежных карт Промсвязьбанка Валентина Кузьмина. Об отсутствии намерения обязать клиентов сканировать отпечатки пальцев рассказали и в ряде других кредитных учреждений.
Банкиры оправдывают это тем, что клиенты сегодня пренебрегают даже простейшими мерами безопасности.
«Банк применяет технологию 3D-Secure (подтверждение операции по карте в интернете с помощью временного пароля, приходящего по СМС. – «Газета.Ru») при проведении операций в интернет-среде. Мы рекомендуем клиентам подключать ее, но, к сожалению, пока не все держатели наших карт используют этот сервис. Банк допускает осуществление операций без ввода дополнительных паролей. В этом случае клиенту необходимо осознавать, что он берет на себя все соответствующие риски», — говорит Валентина Кузьмина.
«Мы постоянно отслеживаем ситуацию на рынке, следим за новейшими тенденциями в области противодействия мошенничеству, внедряем новые технологии и методы защиты. В частности, мы используем многоуровневую аутентификацию, одноразовые динамические пароли, различные лимиты и уведомления при пользовании интернет-банком Citibank Online. Однако односторонних действий банка зачастую бывает недостаточно. Необходимо, чтобы клиенты с большей ответственностью и внимательностью относились к вопросам безопасности в интернете. В этих целях мы стараемся обучать наших клиентов, постоянно ведем информационную работу для повышения уровня их финансовой грамотности», — говорит руководитель управления разработки политики противодействия мошенничеству Ситибанка Анвар Хайретдинов.
Возможно, банкиры не хотят вводить новые технологии из-за их затратности.
«Исходя из того что рекомендация от ЦБ поступает в адрес банков, очевидно, что в затраты это выльется не для клиента, а для банка-эмитента, так как именно банк будет обязан обеспечить его средством безопасного использования карты в интернете. В настоящее время о стоимости доработок судить сложно, это требует более детального анализа, поскольку процедура использования отпечатков пальцев для банков будет определенно новая», — говорит первый вице-президент Бинбанка Камаль Буши.
Однако депутат Госдумы Анатолий Аксаков уверен, что банки вынуждены будут в ближайшие один-два года обратиться к новым технологиям. «Сегодня есть банки, которые вообще не вводят даже простейшие меры безопасности для пользователей карточек, однако в перспективе нескольких лет и они, скорее всего, начнут использовать отпечатки пальцев», — говорит он.
К новшествам, в том числе и сканерам отпечатков пальцев, банкиров может склонить как удешевление новых технологий, так и повышение ответственности банкиров за совершенные интернет-мошенничества.
Так, с 1 января 2013 года вступили в силу положения статьи 9 федерального закона «О национальной платежной системе» (НПС). Согласно 11-й и 12-й частям этой статьи, в случае утраты электронного средства платежа или его использования без согласия клиента, после получения от клиента уведомления о соответствующем факте оператор по переводу денежных средств, в том числе банк, будет обязан вернуть списанные денежные средства.