Банки предупредили о возможных проблемах с мобильными платежами из-за новых требований ЦБ Статьи редакции
Может дойти до того, что клиентам понадобится два смартфона или электронная подпись.
Новые требования ЦБ о безопасности платежей могут привести к сложностям у клиентов при работе с мобильным банком. Об этом пишет «Коммерсантъ» со ссылкой на Ассоциацию российских банков (АРБ).
С 1 января 2020 года для защиты пользователей от воздействия вредоносных программ банки должны будут обеспечить использование клиентом «раздельных технологий» при подготовке платежа и при его подтверждении в тех случаях, когда кредитная организация не может гарантировать защиту другим способом.
Если банк не может обеспечить использование раздельных технологий, он должен установить ограничения на платежи клиента: по сумме перевода, списку получателей, местоположению клиента и устройствам, на которых может быть сформирован и подтверждён платёж.
Ассоциация российских банков готовит запрос в ЦБ с просьбой пояснить требования. Термин «раздельные технологии» размыт и не до конца ясно, чего от банков хочет регулятор, отмечают опрошенные «Коммерсантом» эксперты по информационной безопасности и участники финансового рынка.
Директор департамента розничных продуктов МКБ Алексей Охорзин считает, что как дополнительный канал для подтверждения операций можно использовать запасной смартфон для получения SMS и push-уведомлений, генератор паролей, звонок в колл-центр, мобильную версию интернет-банка в браузере, либо устройство с электронной подписью.
Требование о раздельных технологиях требует от банков внести изменения в своё программное обеспечение. В итоге использование мобильного банка либо станет для клиентов дороже за счёт приобретения дополнительного устройства, либо будет занимать больше времени, резюмирует «Коммерсантъ».
Вполне понятно чего от банков хочет регулятор. Прекратить ситуации, когда перевыпуск сим-карты дает доступ ко всем деньгам клиента. Непонятно только почему банки сами этого не могут до сих пор сделать.
потому что 11 тысяч аджайл-синьоров еще не знают как это сделать, но уже работают над этим!
вы давно не перевыпускали сим карту, теперь после перевыпуска первые 24 часа на номер не приходят никакие сообщения от банков. То есть по сути эта лазейка закрыта
Парный аккаунт? Серьезно?
да, авторизация через фейсбук, имя тут поменять нельзя
лайк за парный акк
В Меге приходят (недавно менял), в Билайне - все СМС отключают на 24 часа.
Это чтобы жена мониторила переписки с другими самками?)
Потому что им пох...
Если у вас угонят деньги с карты, они всегда могут сослаться на строчку в договоре, что вы не обеспечивали достаточную безопасность сим карты, вашего аккаунт и пластика. Работает безотказно.
И сберу закрыть номер 900, чтобы вообще без пароля нельзя было деньги уводить... Но это мечты-мечты...
а можно поподробнее?
недавно у знакомой увели лаве со сбера, и никто не знает как...
Раньше можно было взять у "друга" телефон поиграться и пополнить любому человеку счет через смс на номер 900.
Я специально ходил в сбер и отключал этот функционал, который по умолчанию всем активируется.
лол
спасибо за инфу
Да это ерунда. Берешь заблокированный телефон любого человека. Вызываешь сири или гугл, и говоришь: "Смс на номер 900 *номер карты* пятьдесят тысяч, отправить".
Profit! Пятьдесят тысяч улетают с заблокированного телефона незнакомца. Всегда отключайте голосовые ассистенты на заблокированных экранах.
Ваш КЭП =)
Чушь не пишите, во первых там стоит ограничение на перевод таким способом - 8000 /сутки. Во вторых приходит смс от банка с кодом подтверждения, который нужно будет ввести и отправить обратно, чтобы завершить операцию.
Ок, смс по 8000 рублей. Сергей, вам в информационную безопасность устраиваться нельзя. Говоришь сири отправь на 900 код из смс , который высвечивается в уведомлении на экране и все. Вот это сложность... У всех телочек на районе все смс читаются на золочёном экране, это только парни заморачиваются и что-то скрывают. Да и то не все.
Текст смс не высвечивается на заблокированом экране
охренеть.
Ага. Можно поржать. Берёшь незаметно телефон друга и ставишь сотню будильников и уведомлений в промежутке с 03:00 до 06:00 . Реакция будет божественная.
Или говоришь «Сири, отправь смс любимой» и добавляешь любой произвольный текст про вызов шлюх в выходные))
Т.е. проблему того, что сотрудники операторов барыжат "перевыпусками" симок должен решать банк? Серьезно?
Банк должен решать проблему надежной идентификации пользователя. Очевидно, что смс с привязкой только к номеру телефона (не сим карты) не является надежным решением.
Т.е. если УФМС неожиданно (нет) начнет барыжить левыми паспортами, то банки должны перестать принимать его как документ подтверждающий личность?
Звучит как какое-то перекладывание ответственности. :)
Тут немного натянута сова на глобус, т.к. паспорт гражданина РФ по законам РФ является документом, удостоверяющим личность гражданина РФ. И если банк работает по законам РФ, то ему придётся его принимать.
Стоит отметить, что истории с внезапной выдачей депозитов левым людям при совпадении ФИО - реальность. Но это уже вопрос добросовестности работников банков.
Номер телефона же по законам РФ не является каким-то идентификатором. Использовать ли его в качество средства идентификации пользователя или нет - это личное дело банка. И поскольку в последнее время ненадёжность этого метода идентификации доказана множеством печальных случаев, то именно банки должны с этим что-то делать.
Другое дело, что не совсем понятно, что именно делать.
Тинькофф не шлёт смс после замены симки, пока не позвонишь им и не подтвердишь. Пару лет назад столкнулся с этим, удивился.
Ну попробуй поменяй симку и зайди в мобильный банк. В альфе, например, просто так ничего не сделашь без подтверждения что ты это ты.
кроме альфы есть другие банки
Ну да, код в смс, и код на имейлы (хоть на 10).
Потому что - «денег нет, но вы держитесь»
Пустить на лоскуты методолога ЦБ за термин "раздельные технологии" - как людям такое в голову могло придти. В статье правильно говорится, что скорее всего имелось в виду разделение совершения и подтверждения операций по каналам обслуживания.
Ага. Посылаешь деньги онлайн, а чтоб дошли - подтверждаешь ножками в родное отделение банка. Профит!
Я сарказма не понял. У человека сложно угнать одновременно и телефон и паспорт, поэтому - почему бы и нет.
"Может дойти до того, что клиентам понадобится два смартфона или электронная подпись." вот оно - наше российское решение вопроса - усложнить всё до предела; а может пойти др путём? Может наша полиция пусть расследует хищение и причины хищения денег? И если что - уголовные дела в отношении банков возбуждать будет по статье "халатность"? Ведь это 2я половина этого вопроса. Деньги воруют ещё и потому, что уверены, что полиция этим заниматься не будет. И она этими вопросами чаще всего не занимается. Людей нет или ещё какие причины.
Зачем заниматься тем, что сложно? Мозг не так устроен)).
Чулок форева! Надежнее. Не требует раздельных технологий. )))))
Есть левый и правый чулок. Цб скажет класть раздельно.
В трусы ещё потребует зашивать, но это для валюты. :)
Chylok blockchain
Комментарий удален модератором
Подтверждение ещё 10 лет назад было реализовано у Юникредит банка: давали карточку с кодами. Проводишь платёж - ГСЧ банка даёт номер ячейки на карте - стираешь защитный слой - вводишь код - платёж прошёл.
Не пошёл бы регулятор куда подальше со своей заботой о безопасности. Вариантов масса обезопасить платежи, но никак не 2 смартфона.
Карточка с сеансовыми ключами 10 лет назад стандартом практически была.
Есть и другие варианты подписи, навскидку приложение Mobipass или генератор паролей е-токен.
Но наверное они дороже или неудобнее для клиента, поэтому сейчас смс-ки являются стандартом.
Да я в курсе про технологии. Я к тому, что регулятор уже не знает, какие ещё страшилки выдумать, хотя есть и более простые решения, чем авторизация по двум смартфонам. Человека увезти в лес можно и с тремя смартфонами.
Они просто там соревнуются, кто потуже гайки закрутит. Надо же премии за что-то получать.
не только у юникредита, но это безумно неудобно
иногда приходится жертвовать безопасностью ради удобства.
(самый безопасный способ - отсутствие возможности проводить операции дистанционно)
Жить становится проще, жить становится веселее...
Подтсверждение через Touch ID попроще будет.
Одноразовые коды из SMS существенно проигрывают TOTP.
Комментарий удален модератором
2fa добавили бы и ок
Помнится, канувший в лету СБ Банк, под конец своего существования, начал использовать авторизацию через Google Authenticator (или что-то такое), было весьма удобно и безопасно.