ЦБ выступил с инициативой ввести заверение ЭЦП всех клиентских транзакций. Как это скажется на рынке платежей? Комментируют наши эксперты.

Василий Якимкин, доцент факультета финансов и банковского дела Российской академии народного хозяйства и государственной службы при Президенте РФ (РАНХиГС)

ЦБ намерен потребовать от банков получать предварительное согласие клиента на проведение операции, например, через код, направляемый по SMS. Какие последствия будут у этого решения?

Подавляющее большинство российских банков из первой сотни уже добровольно пользуются такой опцией. Лично я при пользовании интернет банком в ряде банков из этой сотни всегда подтверждаю свои платежи либо СМС-кой, либо беру код с пластиковой карты, которую мне дал банк вместе с логином и паролем для онлайн операций. Поэтому, на мой взгляд, последствий никаких не будет. У большинства банков уже все есть.

Но если допустить, что какой-то банк дополнительно не защищает транзакции клиентов с помощью СМС подтверждений, то для него такая обязаловка будет означать дополнительные расходы. Ведь надо купить технологию, оборудование, научить персонал. А это требует не только денег, но и времени. Недавно (в Казани) была озвучена цифра допрасходов со стороны каждого банка на установку этих технологий (если у него их нет) в объеме нескольких десятков тысяч долларов. В текущих непростых условиях функционирования банков лишние расходы в общем-то ни к чему. Но, с другой стороны, бороться с мошенничеством необходимо, в том числе и банкам, если это касается онлайн платежей.

Поэтому с точки зрения минимизации допрасходов банков на опцию подтверждения платежей я бы подходил со стороны Банка России к назревшим требованиям повышения безопасности дифференцированно. Например, там, где сложно отследить конечного бенефициара и оперативно оспорить проводку (покупки в интернет магазинах, перевод на пластиковую карту и проч.), там это надо делать обязательно. А вот при покупке железнодорожных билетов или на самолет эта опция мне кажется излишней, поскольку у перевозчиков уже стоят свои допсистемы защиты, и введение еще одной, банковской, видится не только не эффективной от мошенников, но эта опция может затруднять покупку билетов (банально, но пока ждешь СМС и вводишь код, билет может быть реализован или сам покупатель откажется от покупки).

Дмитрий Кузнецов, директор по методологии и стандартизации компании Positive Technologies

Отвечая за регулирование вопросов информационной безопасности в банковской сфере, Банк России использует очень правильный, на мой взгляд, подход: “Давайте посмотрим, как банки решают возникающие проблемы, выберем наиболее эффективные решения и закрепим их отраслевым стандартом или нормативным документом”. Это очень хорошо видно на примере электронных платежей.

В 1998 г., когда системы электронных платежей только появлялись, стало понятно, что нужно как-то гарантировать подлинность электронных платежных поручений. Тогда Банк России выпустил нормативный документ, который фактически требовал от банков использовать для подтверждения и проверки подлинности платежных поручений электронную цифровую подпись. Скоро выяснилось, что эта технология не универсальна, крайне непопулярна при работе с физическими лицами, тем более , что есть и альтернативные решения. В 2012 г. Банк России выпустил объемистые требования (Положение 382-П) где в части, касающейся обеспечения подлинности платежных поручений, предложил банкам использовать несколько возможных способов (электронную подпись, факсимильную подпись, однократные пароли, распечатываемые на бумаге или на скретч-картах, и т.п.).

Одновременно ЦБ обязал банки предоставлять сведения об инцидентах, связанных с электронными платежами, и о мерах защиты, которые банки используют для противодействия мошенникам. В итоге на сегодняшний день самой эффективной по сочетанию факторов (популярность, надежность, стоимость) признается технология отправки клиенту SMS-сообщений с однократными паролями. Сообщение позволяет клиенту убедиться в правильности реквизитов платежного поручения, а однократный пароль позволяет банку убедиться, что поручение действительно было отправлено клиентом. Остался последний шаг – закрепить эту практику принятием соответствующего нормативного документа.