Банки обяжут клиентов регистрировать гаджеты

Смартфоны, ноутбуки и другие устройства, с которых клиент заходит в интернет-банк, придется регистрировать. В противном случае не удастся провести операцию через Сеть. Такое требование Центробанка вступило в силу с 16 марта 2015 года. Эксперты говорят, что быстро реализовать это указание не удастся, иначе граждане останутся без доступа к дистанционным каналам обслуживания.

Взять клиентов «под колпак» – так можно расценить новое требование Банка России. С 16 марта вступили в силу новые требования по борьбе с мошенничеством при дистанционном обслуживании граждан, согласно которым банкам придется регистрировать все устройства, с которых их клиенты собираются заходить в интернет-банк и мобильный банк. Если соответствующей информации о гаджете нет, то операции с него будут недоступны. Данные требования изложены в Указании ЦБ №3361-У, которое изменяет Положение регулятора 382-П. Кроме того, банки будут обязаны блокировать рассылку служебных СМС (одноразовые пароли и прочее) при смене клиентом номера или сим-карты.

Поскольку в документе строго не прописано, каким образом необходимо идентифицировать устройство, банки выбирают свои варианты. «Чтобы зарегистрировать устройство, через которое клиент планирует заходить в интернет-банк, ему необходимо прийти в офис банка и написать соответствующее заявление, – цитируют начальника управления безопасности информационных технологий СМП-банка Павла Головлева «Известия». – Если клиент меняет устройство, то ему необходимо обратиться в банк и обновить информацию об идентификаторе устройства. Если теряет – то алгоритм действий в данном случае должен быть таким же, как и при потере банковской карты: сообщить в банк об утрате устройства и о блокировке операций, которые будут совершаться с данного IP-адреса».

Кроме того, вопрос безопасности в банках решают с помощью push-уведомлений – это разовые пароли для подтверждения операций, которые приходят на мобильные устройства.

Руководитель оператора платежей «Процессинговое агентство» Андрей Рычков говорит, что мотивы Центробанка ему понятны. Другое дело, что не даны разъяснения, зачем это делают. «Основной мотив очень простой. В Интернете очень распространена подмена сайтов, – поясняет собеседник. – Берем сайт какого-нибудь банка (систему ДБО), воруем страницу, подделываем ее. Представляемся, как будто мы банк, заражаем компьютер, и пользователь потом начинает ходить через нашу поддельную страницу на сайт своего банка. При этом функционал банка сохраняется – платежи выполняются. И вы не подозреваете, что на самом деле действуете через некую прокладку, которую вам организовали».

По словам эксперта, заставляя вести учет устройств, которые аккредитованы пользователем, Центробанк обязывает банки ужесточить безопасность и отличать поддельный вход потребителя.

«Если пользователь всегда заходит в интернет-банк из дома, то некий «цифровой оттиск» его компьютера един. Вы же не меняете компьютер каждый день, – продолжает г-н Рычков. – А если вас заразили, то оттиск поменяется, потому что на самом деле обращение к банку будет не от вас, а от поддельного сайта. И если банк будет нормально вести эти оттиски, он сможет отличить подделку. Более того, он сможет вести «черные списки» этих подделок. То есть если тысячи потребителей ходят от имени одного цифрового оттиска, становится понятно, что происходит что-то не то. Есть возможность заблокировать и защитить потребителя».

Собеседник отметил, что сам сегодня тестировал свой интернет-банк и никаких изменений не заметил. «В моем понимании должен появиться некий раздел, в котором будут видны устройства, с которых вы посещали интернет-банк. Затем должен появиться некий порядок аккредитации этих устройств посредством посещения офиса, через колл-центр, СМС, специальные программы генерации паролей», – предположил Андрей Рычков.

По словам эксперта, банки уже собирают информацию о сим-картах, информацию об идентификаторах устройств мобильных телефонов и уже частично ведут этот учет. Более того, крупные банки даже замечают замену сим-карты в пределах телефона. Мобильное приложение сообщает, что у клиента сменилась сим-карта и необходимо переподключить интернет-банк.

Но вся эта схема, конечно, ограничивает клиента. «Например, вы уезжаете в отпуск, там меняете сим-карту на местного оператора, телефон тут же реагирует, что сим-карта другая, и интернет-банк не будет работать. Или, например, вы не можете подойти в пункт коллективного доступа в аэропорту к общему компьютеру и заплатить. Вам просто не дадут, потому что это не ваш компьютер», – рассуждает г-н Рычков.

Как пояснил собеседник, цифровой оттиск – это некая комбинация уникальных параметров. В постановлении Центробанка пока не прописано, что именно туда будет входить. Как вариант, это могут быть: IP-адрес компьютера, версия браузера, версия операционной системы, МАС-адрес.