Двойной удар по карману: банкиры предупреждают — навязывание MAX и СМС обернется ростом тарифов для клиентов
Банки требуют срочно переписать «Антифрод 2.0»
Участники финансового рынка бьют тревогу. Готовящийся ко второму чтению законопроект «Антифрод 2.0» может вынудить банки платить дважды за одну и ту же операцию. Суть претензий — в жестком требовании подтверждать действия клиентов исключительно через СМС и национальный мессенджер MAX.
Банкиры уверены: безопасность это не усилит, а вот расходы вырастут в разы. Эксперты добавляют: СМС давно перестали быть надежным щитом, а MAX в текущей архитектуре технически не всегда способен доставить сообщение.
Двойная плата за «значимость»
Национальный совет финансового рынка (НСФР) направил письмо в Центробанк и правительство. Дата отправки — 23 марта. Суть документа: просьба пересмотреть норму, обязывающую банки дублировать подтверждение удаленных операций.
Согласно тексту законопроекта, такое правило должно распространяться на все «значимые действия», совершаемые дистанционно. Проблема в том, что законодатели пока не дали четкого определения, что именно считать значимым.
Банкиры называют затею «юридически избыточной и необоснованно затратной».
Удвоение расходов: за одно действие придется платить дважды (за СМС и за сообщение в MAX).
Риск для бизнеса: при массовых сценариях это выльется в многомиллиардные ежегодные издержки.
Итог для клиента: банки предупреждают: снижение рентабельности неизбежно приведет к росту тарифов для пользователей.
«Это прямой путь к удорожанию услуг. Ни о каком повышении защиты речи не идет, а нагрузка на бизнес ложится колоссальная», — комментирует ситуацию глава НСФР Андрей Емелин.
Технический тупик и единая точка отказа
Финансистов беспокоит не только цена вопроса, но и техническая реализация. В письме подчеркивается, что принудительная привязка к двум каналам связи полностью игнорирует более современные и безопасные способы подтверждения, которые уже существуют на рынке.
Однако главный камень преткновения — мессенджер MAX. Участники рынка указывают на критический риск:
Уязвимость. Создается единая точка отказа. Любая DDoS-атака или серьезный технический сбой на стороне мессенджера может парализовать всю юридически значимую онлайн-деятельность в стране.
Технические ограничения. По словам экспертов, текущая архитектура MAX не позволяет юрлицам массово отправлять исходящие сообщения физлицам без предварительного запроса на диалог со стороны клиента.
В пресс-службе мессенджера MAX от комментариев отказались.
СМС не спасает, а MAX не панацея
Эксперты сходятся во мнении: гонка за количеством факторов подтверждения не победит мошенников.
Роман Прохоров, глава правления ассоциации «Финансовые инновации»:
Основной инструмент злоумышленников — социальная инженерия. Жертву «ведут» днями. Расширение числа каналов подтверждения здесь бессильно: если человек убежден перевести деньги, он подтвердит операцию хоть десять раз, даже родственникам и сотрудникам банка назло.
Специалисты по информационной безопасности также не видят в инициативе логики, сообщает Ъ.
Игорь Бедеров (Координационный совет негосударственной сферы безопасности РФ) отмечает, что MAX надежнее классического «голого» СМС благодаря сквозному шифрованию, но уступает биометрии и аппаратным ключам.
Михаил Сергеев (CorpSoft24) указывает, что push-уведомления в банковских приложениях или TOTP-коды (например, в «Яндекс ID») безопаснее: они не зависят от стабильности мобильной сети.
Денис Калемберг (SafeTech) резюмирует: схема с двойной отправкой кодов противоречит текущим требованиям ЦБ, которые делают ставку на криптографические средства защиты.
Вместо жесткого диктата банкиры предлагают альтернативу: нормативно закрепить безвозмездность таких рассылок для операторов связи или установить государственный тариф. Либо же просто дать рынку право выбора способа подтверждения, не ограничивая его устаревшими методами.
