16.10.2017
Для проведения банковских операций клиентам придется предоставить так называемые биометрические данные. Такие меры призваны защитить самих владельцев накоплений от мошенников. Без подтверждения личности нельзя будет получить даже копейку.
16.10.2017. АПИ — Существующие процедуры аутентификации транзакций, будь то собственноручное подписание документов клиентом, использование платежных карт, электронных подписей и мобильного банкинга, не гарантируют волеизъявление конкретного лица (АПИ подробно писало о проблемах несанкционированных списаний – Безопасные наличные). Чиновники разных ведомств выдвигают противоречивые идеи по защите клиентов – от введения сложных судебных процедур и запрета на анонимные счета до снятия у пользователей отпечатков пальцев, сканирования лица и радужной оболочки, анализа голоса и так далее.
В Министерстве финансов РФ предлагают юридические механизмы решения проблемы хищения средств со счетов. Инициатором процедуры должен выступать сам потерпевший клиент – при выявлении факта несанкционированного списания или риска получения доступа к средствам управления счетом (утере карты, SIM-карты или телефона, так называемой компрометации логина и пароля и прочего) ему следует срочно уведомить обслуживающий банк. Кредитная организация, в свою очередь, обязана незамедлительно уведомить об этом банк или иного оператора, обслуживающего получателя. Если спорная сумма еще не зачислена на его счет, такая транзакция блокируется.
Дальнейшую судьбу денег будет решать суд. Руководствуясь официальным заявлением потерпевшего, банк плательщика должен в течение пяти рабочих дней подать специальное заявление в арбитраж. На решение спора служителям Фемиды выделяется неделя, еще пять дней – на отправку электронного «вердикта» финансистам. Если кредитная организация не стала обращаться в суд или ее требования были отклонены – спорная сумма зачисляется на счет получателя. При положительном для плательщика решении – возвращается.
Чиновники финансового ведомства считают предложенный механизм единственным способом предотвращения несанкционированных операций, совершаемых с использованием систем дистанционного банковского обслуживания. Ведь статистика свидетельствует о катастрофических масштабах мошенничества в этой сфере: более половины попыток оказываются успешными. «По прогнозам Банка России и экспертов, в 2017–2018 годах ожидается дальнейший рост числа атак на счета клиентов, в том числе через платежные системы, платформы для оплаты госуслуг, средства мобильной связи и системы дистанционного банковского обслуживания», – отмечают в Минфине.
Однако эксперты Министерства экономического развития РФ и участники рынка (в том числе Российский союз промышленников и предпринимателей, Ассоциация участников рынка электронных денег и денежных переводов «АЭД», ПАО «Сбербанк», АО «Россельхозбанк», ПАО «Банк «Зенит» и другие) выявили в законопроекте многочисленные противоречия. В первую очередь документ вообще не предусматривает возможность вернуть зачисленную на счет получателя сумму. Тогда как многие, даже межбанковские переводы проводятся сегодня менее чем за час, через год планируется сократить такой период до 30 секунд. Эксперты сомневаются, что этого времени будет достаточно для составления потерпевшим официального сообщения о хищении, отправки его в банк, анализа, передачи другому участнику платежной системы и так далее. «Минэкономразвития считает необходимым установить право оператора по переводу денежных средств, обслуживающего получателя и уже зачислившего денежные средства на его счет, в указанном случае блокировать их на срок, необходимый для установления факта перевода», – отмечается в заключении экономического ведомства.
Сомневаются эксперты и в возможности судов за семь дней разрешать сотни тысяч новых споров. Под вопросом остается и полнота такого рассмотрения: разработчики законопроекта предлагают использовать так называемый особый порядок установления фактов, имеющих юридическое значение. Причем спор должен будет рассматриваться без участия сторон и даже возможности получателя списанной суммы представить свои возражения. То есть служителям Фемиды придется в одиночку оценивать исключительно доводы заявителя – банка и его клиента, утверждающего о несанкционированном списании. Очевидно, что за столь короткий период невозможно собрать доказательства и провести полноценное расследование (по правилам международных платежных систем они могут занимать даже месяцы).
Участники рынка также обеспокоены высокими судебными издержками. Только государственная пошлина за подачу заявления составит три тысячи рублей, тогда как средняя сумма несанкционированного списания оценивается в 4,5 тысячи. Из законопроекта не ясно, кто возместит расходы защищающему клиента банку как в случае подтверждения, так и отклонения заявленного потерпевшим требования.
Также Минфин предлагает проводить так называемый «фрод-мониторинг», в том числе обязать участников финансового рынка предупреждать клиентов о возможных способах хищения денежных средств с их счетов и средствах выявления сомнительных операций. Эксперты не исключают, что такая информация поможет потенциальным мошенникам понять систему мониторинга подозрительных транзакций в банке и выработать тактику обхода контроля. Такие выводы подтверждаются самим Банком России: «Технологии, используемые злоумышленниками для осуществления несанкционированных операций, постоянно совершенствуются и становятся доступными широкому кругу лиц, которые могут не обладать глубокими знаниями в области информационных технологий. Повышение доступности мошеннических схем и инструментов для их реализации ожидаемо влечет за собой рост числа несанкционированных операций», – констатируется в официальном отчете регулятора.
Другой предложенный финансовым ведомством законопроект предусматривает запрет на снятие наличных денежных средств с помощью анонимных электронных средств платежа. Сейчас с открытых без полноценной идентификации (по паспорту или иным образом) электронных счетов можно ежемесячно снимать наличными до 40 тысяч рублей. «В настоящее время анонимные электронные средства платежа широко используются в противоправных и преступных целях, в том числе для обналичивания денежных средств, полученных преступным путем. При этом установить конечного получателя денежных средств, а также цель и назначение перевода, затруднительно, а в ряде случаев невозможно. Принятие законопроекта позволит повысить эффективность борьбы с финансированием противоправной и преступной деятельности с использованием неперсонифицированных электронных средств платежа», – убеждены в Минфине.
В сочетании с предлагаемой системой блокировки спорных платежей отказ от снятия наличных с анонимных счетов позволит частично предупредить хищения – мошенник не сможет получить украденное. С другой стороны, никто не ограничивает внешние переводы через открытые без надлежащей идентификации счета – существующий лимит составляет 300 тысяч рублей в месяц.
Один из крупнейших операторов электронных денег – компания «Яндекс.Деньги», не обеспокоен предложенным ужесточением за использованием «виртуальных кошельков»: «Снять наличными большую сумму можно только будучи идентифицированным клиентом крупного банка. С анонимного электронного счета в сутки можно обналичить не больше 5 тысяч рублей, и такие маленькие суммы обнальщикам просто не интересны. Это подтверждает и наш опыт – подобные операции не вызывали у правоохранителей никакого повышенного интереса, экономике и безопасности они не угрожают», – пояснили АПИ в пресс-службе оператора.
В свою очередь, сами участники рынка и регулятор видят будущее во внедрении так называемой биометрической идентификации и аутентификации пользователей (АПИ писало о внесенном еще в мае законопроекте Единый банковский паспорт). Ведь подавляющее большинство несанкционированных операций совершается посредством сети Интернет и мобильных устройств (транзакций типа Card Not Present) в результате противоправных действий или нарушения конфиденциальности.
К биометрическим персональным данным относятся отпечатки пальцев (сканы папиллярных узоров), изображения лица и радужной оболочки глаза, запись голоса и иные. Единожды очно подтвердив личность в одном банке и оставив свой «цифровой слепок», гражданин сможет дистанционно проводить операции и совершать сделки со всеми участниками как финансового, так и других рынков (операторами связи, страховщиками, авиакомпаниями и так далее). Например, путем распознавания лиц пассажиров московского метрополитена планируется отказаться от традиционных проездных карточек: ПАО «Ростелеком», по словам его президента Михаила Осеевского, запустит национальную биометрическую платформу уже в 2018 году.
Правда, многие технические, организационные и правовые вопросы пока не урегулированы. По словам заместителя председателя Банка России Ольги Скоробогатовой, на первоначальном этапе биометрическая идентификация клиентов будет идти по двум ключевым параметрам – голосу и лицу: «В перспективе параметров станет больше. В дальнейшем могут добавиться радужка глаза и иные параметры. Предполагается, что единые стандарты по биометрии будут применяться не только банками, но и негосударственными пенсионными фондами и страховыми компаниями», – заявила Ольга Скоробогатова на прошедшем в Сочи Форуме инновационных финансовых технологий Finopolis-2017.
Однако некоторые банки скептически относятся к такому предложению: «Мы активно тестировали аутентификацию по лицу и голосу в мобильном приложении розничного бизнеса и решили этого не делать, поскольку это оказалось не очень удобно той группе пользователей, по которой мы тестировали», – констатировала заместитель президента правления банка «ВТБ» Ольга Дергунова. ПАО «Сбербанк России» реализует проект «Ладошки», позволяющий детям оплачивать завтраки в школьных столовых по ладони. Оплата осуществляется благодаря привязанному к банковской карте родителя скану ладони (отпечатку пальцев ребенка). Кроме того, по словам директора головного отделения банка по Санкт-Петербургу Олега Голубенцева, уже сейчас тестируется голосовая идентификация клиентов: «Но будущее – в комбинации всех этих сервисов в одну экосистему, и сейчас все крупнейшие банки стремятся именно к этому», – говорит он.
Вместе с тем такие способы биометрической проверки пока не гарантируют точную аутентификацию. Например, на том же форуме Finopolis-2017 специальную премию получил проект идентификации клиента по голосу с «заявленной» точностью в 97 процентов. Подделать отпечаток пальца нужного лица уже не представляет большого труда даже для начинающих специалистов (достаточно найти оригинал и сделать слепок из латекса). В Правительстве России предлагают наделить кредитную организацию правом дополнительно проводить сеанс видео-конференц-связи с открывающим счет или вклад гражданином: «В ходе такой конференции работник кредитной организации сможет непосредственно устанавливать необходимую информацию или проверять полученную информацию об идентифицируемом лице», – поясняют чиновники.
Глава комитета Госдумы по финансовому рынку Анатолий Аксаков убежден, что предложенный им закон о биометрии будет принят до конца уже этого года. «К базе данных, которая будет храниться в защищенном месте, будет доступ всех банков, которые соблюдают закон», – констатирует депутат.
По данным Банка России, в минувшем году количество и размер несанкционированных операций с использованием платежных карт выросли на 30 процентов: за год было зафиксировано почти 300 тысяч спорных операций более чем на 1 млрд рублей. Правда, в общем объеме такие списания составляют всего две тысячных процента.
Ольга Дергунова, заместитель президента правления банка «ВТБ»
Роль государства на современном этапе в вопросе цифровой идентификации не должна ограничиваться только банковской индустрией. Если мы создали цифровую запись клиента, она не должна быть в ЦБ, а у государства в лице Минкомсвязи. И у того подконтрольного и выбранного государством института. Банки, которые создали эту запись, с радостью поделятся ею с Минздравом для создания телемедицины и другими социальными сервисами. Путем обогащения этой записи на стороне государства мы все станем получателями этого универсального сервиса.
Крупные банковские институты несут затраты на создание такой платформы в том виде, в котором нам укажет это делать регулятор. Но когда она будет создана, мы станем в один ряд с мелкими и средними банками на получение услуги. Вот когда начнет развиваться рынок, мы подключим пользователей.
Елена Кондратюк, председатель правления «Балтинвестбанка»
Внедрение биометрической аутентификации, безусловно, создаст для клиентов более комфортные условия пользования банковскими услугами – любые операции можно будет проводить, не выходя из дома. Также снижаются риски мошенничества по большинству видов банковских услуг для физических лиц, в частности, в процессе кредитования.
Наиболее перспективными направлениями, по нашему мнению, являются технология распознавания лиц и идентификация по голосу. Однако стоит отметить, что клиенты достаточно консервативно относятся к раскрытию своих биометрических данных. Это связано, с одной стороны, с сомнениями по поводу сохранности и защищенности данной информации, с другой – с отсутствием объективной оценки надежности существующих способов биометрической аутентификации.