Банки предупредили о возможных проблемах с мобильными платежами из-за новых требований ЦБ Статьи редакции

Может дойти до того, что клиентам понадобится два смартфона или электронная подпись.

Новые требования ЦБ о безопасности платежей могут привести к сложностям у клиентов при работе с мобильным банком. Об этом пишет «Коммерсантъ» со ссылкой на Ассоциацию российских банков (АРБ).

С 1 января 2020 года для защиты пользователей от воздействия вредоносных программ банки должны будут обеспечить использование клиентом «раздельных технологий» при подготовке платежа и при его подтверждении в тех случаях, когда кредитная организация не может гарантировать защиту другим способом.

Если банк не может обеспечить использование раздельных технологий, он должен установить ограничения на платежи клиента: по сумме перевода, списку получателей, местоположению клиента и устройствам, на которых может быть сформирован и подтверждён платёж.

Ассоциация российских банков готовит запрос в ЦБ с просьбой пояснить требования. Термин «раздельные технологии» размыт и не до конца ясно, чего от банков хочет регулятор, отмечают опрошенные «Коммерсантом» эксперты по информационной безопасности и участники финансового рынка.

Директор департамента розничных продуктов МКБ Алексей Охорзин считает, что как дополнительный канал для подтверждения операций можно использовать запасной смартфон для получения SMS и push-уведомлений, генератор паролей, звонок в колл-центр, мобильную версию интернет-банка в браузере, либо устройство с электронной подписью.

Операции можно подтверждать секретным паролем, направляемым, например, по специальной ссылке в браузере, или же с помощью пароля в личном кабинете на сайте банка.

Артём Гребнев, управляющий директор управления по работе с розничным бизнесом «Росевробанка»

Требование о раздельных технологиях требует от банков внести изменения в своё программное обеспечение. В итоге использование мобильного банка либо станет для клиентов дороже за счёт приобретения дополнительного устройства, либо будет занимать больше времени, резюмирует «Коммерсантъ».

0
47 комментариев
Написать комментарий...
Vadim Medvedev

Вполне понятно чего от банков хочет регулятор. Прекратить ситуации, когда перевыпуск сим-карты дает доступ ко всем деньгам клиента. Непонятно только почему банки сами этого не могут до сих пор сделать.

Ответить
Развернуть ветку
Антон Бузов

потому что 11 тысяч аджайл-синьоров еще не знают как это сделать, но уже работают над этим!

Ответить
Развернуть ветку
spn

вы давно не перевыпускали сим карту, теперь после перевыпуска первые 24 часа на номер не приходят никакие сообщения от банков. То есть по сути эта лазейка закрыта

Ответить
Развернуть ветку
Дима Лесин

Парный аккаунт? Серьезно?

Ответить
Развернуть ветку
spn

да, авторизация через фейсбук, имя тут поменять нельзя

Ответить
Развернуть ветку
Ultratesting

лайк за парный акк

Ответить
Развернуть ветку
Sergei Timofeyev

В Меге приходят (недавно менял), в Билайне - все СМС отключают на 24 часа.

Ответить
Развернуть ветку
Johnny Vorony

Это чтобы жена мониторила переписки с другими самками?)

Ответить
Развернуть ветку
Perch

Потому что им пох...
Если у вас угонят деньги с карты, они всегда могут сослаться на строчку в договоре, что вы не обеспечивали достаточную безопасность сим карты, вашего аккаунт и пластика. Работает безотказно.

Ответить
Развернуть ветку
KK

И сберу закрыть номер 900, чтобы вообще без пароля нельзя было деньги уводить... Но это мечты-мечты...

Ответить
Развернуть ветку
Ultratesting

а можно поподробнее?
недавно у знакомой увели лаве со сбера, и никто не знает как...

Ответить
Развернуть ветку
Алексей Струков

Раньше можно было взять у "друга" телефон поиграться и пополнить любому человеку счет через смс на номер 900.
Я специально ходил в сбер и отключал этот функционал, который по умолчанию всем активируется.

Ответить
Развернуть ветку
Ultratesting

лол
спасибо за инфу

Ответить
Развернуть ветку
Perch

Да это ерунда. Берешь заблокированный телефон любого человека. Вызываешь сири или гугл, и говоришь: "Смс на номер 900 *номер карты* пятьдесят тысяч, отправить".

Profit! Пятьдесят тысяч улетают с заблокированного телефона незнакомца. Всегда отключайте голосовые ассистенты на заблокированных экранах.

Ваш КЭП =)

Ответить
Развернуть ветку
Сергей Васильев

Чушь не пишите, во первых там стоит ограничение на перевод таким способом - 8000 /сутки. Во вторых приходит смс от банка с кодом подтверждения, который нужно будет ввести и отправить обратно, чтобы завершить операцию.

Ответить
Развернуть ветку
Perch

Ок, смс по 8000 рублей. Сергей, вам в информационную безопасность устраиваться нельзя. Говоришь сири отправь на 900 код из смс , который высвечивается в уведомлении на экране и все. Вот это сложность... У всех телочек на районе все смс читаются на золочёном экране, это только парни заморачиваются и что-то скрывают. Да и то не все.

Ответить
Развернуть ветку
Сергей Васильев

Текст смс не высвечивается на заблокированом экране

Ответить
Развернуть ветку
Alexey Ivanov

охренеть.

Ответить
Развернуть ветку
Perch

Ага. Можно поржать. Берёшь незаметно телефон друга и ставишь сотню будильников и уведомлений в промежутке с 03:00 до 06:00 . Реакция будет божественная.

Ответить
Развернуть ветку
Perch

Или говоришь «Сири, отправь смс любимой» и добавляешь любой произвольный текст про вызов шлюх в выходные))

Ответить
Развернуть ветку
Shoo

Т.е. проблему того, что сотрудники операторов барыжат "перевыпусками" симок должен решать банк? Серьезно?

Ответить
Развернуть ветку
Vadim Medvedev

Банк должен решать проблему надежной идентификации пользователя. Очевидно, что смс с привязкой только к номеру телефона (не сим карты) не является надежным решением.

Ответить
Развернуть ветку
Shoo

Т.е. если УФМС неожиданно (нет) начнет барыжить левыми паспортами, то банки должны перестать принимать его как документ подтверждающий личность?
Звучит как какое-то перекладывание ответственности. :)

Ответить
Развернуть ветку
Vadim Medvedev

Тут немного натянута сова на глобус, т.к. паспорт гражданина РФ по законам РФ является документом, удостоверяющим личность гражданина РФ. И если банк работает по законам РФ, то ему придётся его принимать.

Стоит отметить, что истории с внезапной выдачей депозитов левым людям при совпадении ФИО - реальность. Но это уже вопрос добросовестности работников банков.

Номер телефона же по законам РФ не является каким-то идентификатором. Использовать ли его в качество средства идентификации пользователя или нет - это личное дело банка. И поскольку в последнее время ненадёжность этого метода идентификации доказана множеством печальных случаев, то именно банки должны с этим что-то делать.

Другое дело, что не совсем понятно, что именно делать.

Ответить
Развернуть ветку
max pointum

Тинькофф не шлёт смс после замены симки, пока не позвонишь им и не подтвердишь. Пару лет назад столкнулся с этим, удивился.

Ответить
Развернуть ветку
depths of despair

Ну попробуй поменяй симку и зайди в мобильный банк. В альфе, например, просто так ничего не сделашь без подтверждения что ты это ты.

Ответить
Развернуть ветку
Vadim Medvedev

кроме альфы есть другие банки

Ответить
Развернуть ветку
Nice Man

Ну да, код в смс, и код на имейлы (хоть на 10).

Ответить
Развернуть ветку
Сергей Смирнов

Потому что - «денег нет, но вы держитесь»

Ответить
Развернуть ветку
Prolis Labkk

Пустить на лоскуты методолога ЦБ за термин "раздельные технологии" - как людям такое в голову могло придти. В статье правильно говорится, что скорее всего имелось в виду разделение совершения и подтверждения операций по каналам обслуживания.

Ответить
Развернуть ветку
Олег Нечаев

Ага. Посылаешь деньги онлайн, а чтоб дошли - подтверждаешь ножками в родное отделение банка. Профит!

Ответить
Развернуть ветку
Prolis Labkk

Я сарказма не понял. У человека сложно угнать одновременно и телефон и паспорт, поэтому - почему бы и нет.

Ответить
Развернуть ветку
Ильич Гватемала

"Может дойти до того, что клиентам понадобится два смартфона или электронная подпись." вот оно - наше российское решение вопроса - усложнить всё до предела; а может пойти др путём? Может наша полиция пусть расследует хищение и причины хищения денег? И если что - уголовные дела в отношении банков возбуждать будет по статье "халатность"? Ведь это 2я половина этого вопроса. Деньги воруют ещё и потому, что уверены, что полиция этим заниматься не будет. И она этими вопросами чаще всего не занимается. Людей нет или ещё какие причины.

Ответить
Развернуть ветку
Nice Man

Зачем заниматься тем, что сложно? Мозг не так устроен)).

Ответить
Развернуть ветку
StargazerXIII

Чулок форева! Надежнее. Не требует раздельных технологий. )))))

Ответить
Развернуть ветку
Dmitry Alexeev

Есть левый и правый чулок. Цб скажет класть раздельно.

Ответить
Развернуть ветку
Sergei Timofeyev

В трусы ещё потребует зашивать, но это для валюты. :)

Ответить
Развернуть ветку
Евгений Ткач

Chylok blockchain

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Анатолий Б.

Подтверждение ещё 10 лет назад было реализовано у Юникредит банка: давали карточку с кодами. Проводишь платёж - ГСЧ банка даёт номер ячейки на карте - стираешь защитный слой - вводишь код - платёж прошёл.
Не пошёл бы регулятор куда подальше со своей заботой о безопасности. Вариантов масса обезопасить платежи, но никак не 2 смартфона.

Ответить
Развернуть ветку
Ян Зовём

Карточка с сеансовыми ключами 10 лет назад стандартом практически была.

Есть и другие варианты подписи, навскидку приложение Mobipass или генератор паролей е-токен.

Но наверное они дороже или неудобнее для клиента, поэтому сейчас смс-ки являются стандартом.

Ответить
Развернуть ветку
Анатолий Б.

Да я в курсе про технологии. Я к тому, что регулятор уже не знает, какие ещё страшилки выдумать, хотя есть и более простые решения, чем авторизация по двум смартфонам. Человека увезти в лес можно и с тремя смартфонами.
Они просто там соревнуются, кто потуже гайки закрутит. Надо же премии за что-то получать.

Ответить
Развернуть ветку
Fumar mata

не только у юникредита, но это безумно неудобно
иногда приходится жертвовать безопасностью ради удобства.
(самый безопасный способ - отсутствие возможности проводить операции дистанционно)

Ответить
Развернуть ветку
Vanya Indigo

Жить становится проще, жить становится веселее...

Ответить
Развернуть ветку
Nice Man

Подтсверждение через Touch ID попроще будет.

Ответить
Развернуть ветку
Степан И.

Одноразовые коды из SMS существенно проигрывают TOTP.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Lev Vinokurov

2fa добавили бы и ок

Ответить
Развернуть ветку
Georgy Vasilyev

Помнится, канувший в лету СБ Банк, под конец своего существования, начал использовать авторизацию через Google Authenticator (или что-то такое), было весьма удобно и безопасно.

Ответить
Развернуть ветку
44 комментария
Раскрывать всегда