Российские власти планируют обязать банки подтверждать финансовые операции клиентов через госмессенджер Мах. Соответствующая норма прописана в законопроекте «Антифрод 2.0», который готовится ко второму чтению в Госдуме, пишет «Коммерсант». Согласно документу, такое подтверждение будет требоваться для всех «значимых действий», которые россияне совершают дистанционным способом. При этом критерии, по которым действие может быть признано значимым, в проекте законе не указаны.
В Национальном совете финансового рынка (НСФР) выступили против нововведения, назвав его «юридически избыточной и необоснованно затратной» процедурой. Это следует из письма организации в правительство и Центробанк, с которым ознакомился «Коммерсант». Банки выразили озабоченность тем, что при навязывании подтверждения через Мах полностью игнорируются иные доступные варианты подтверждения, способные обеспечить более высокий уровень защиты. В частности, обязательное использование Мах может создать неприемлемые риски угроз информационной безопасности, отметили участники финансового рынка.
«Любой серьезный технический сбой или компьютерный инцидент, например DDoS-атака на национальный мессенджер, может привести к остановке на неопределенное время всей юридически значимой онлайн-деятельности в стране, включая банковские операции и совершение сделок», — пояснил глава НСФР Андрей Емелин. Также он отметил, что на сегодняшний день отправка сообщений в Мах от юрлица физлицу без предварительного запроса на диалог со стороны клиента технически невозможна.
По словам ведущего инженера CorpSoft24 Михаила Сергеева, по сравнению с Мах push-уведомления в банковских приложениях намного безопаснее, потому что они не зависят от мобильной сети. Вне зависимости от способов отправки дополнительных кодов подтверждения операций это никак не может улучшить защиту клиентов банков, так как они перехватываются на всех этапах жизненного цикла, отметил гендиректор SafeTech Денис Калемберг. «Кроме того, данная схема противоречит текущим требованиям ЦБ, которые подразумевают использование криптографических средств для обеспечения безопасности трансакций», — добавил эксперт.
Использование госмессенджера Мах для подтверждения операций не приведет к значимому снижению числа мошеннических операций, поскольку мошенники опираются больше на социальную инженерию, а не на технологии, заключил глава правления ассоциации «Финансовые инновации» Роман Прохоров.
