С 1 октября российские банки дали своим клиентам право самостоятельно устанавливать запрет на онлайн-операции или ограничивать их параметры. Сами кредитные учреждения будут обязаны идентифицировать устройства, подтверждать телефонные номера и адреса электронной почты абонентов, которые совершают транзакции.
Клиент может как установить запрет на все онлайн-операции, так и предусмотреть его для отдельных услуг, например, переводов или кредитования. Доступно и ограничение сумм одной транзакции, и лимита на определённый срок.
Для этого клиент должен написать заявление в свой банк. Он сможет отменить запрет или изменить параметры ограничений в любое время.
Одновременно сами банки будут проводить идентификацию всех устройств, с которых граждане совершают онлайн-операции. Также они обязаны проверять адрес электронной почты клиента, на который приходят уведомления и справки об операциях. Когда транзакция происходит через мобильное приложение, банки должны будут подтверждать телефонный номер абонента.
Как сообщил Центробанк, количество и объём операций без согласия клиентов в 2021 году составил 13,5 млрд рублей, всего их было проведено более 1 млн.
Архитектор проектов по информационной безопасности R-Vision Артем Гольцов говорит, что сейчас пользователи мобильного приложения могут выставить лимиты как на переводы или снятие денежных средств, так и на возможность использования реквизитов карты при онлайн-покупках. Однако все лимиты может деактивировать мошенник, если он, к примеру, представится «службой безопасности банка».
Гольцов отмечает, что банки и так собирают цифровой отпечаток мобильного устройства, чтобы контролировать установку мобильных банковских приложений на новые гаджеты. Чтобы воспользоваться мобильным банком, злоумышленнику необходимо получить не только пароль от аккаунта, но и перехватить одноразовый код. Однако без применения социальной инженерии добиться этого будет непросто.
Бизнес-архитектор Solar webProxy компании «РТК-Солар» Анастасия Хвещеник же уверена, что идентификация устройств станет серьёзным препятствием для злоумышленников. По её мнению, рядовые мошенники или хакеры-любители не смогут провести подобную атаку.
Специалист «СерчИнформ» Алексей Дрозд считает, что всё будет зависеть от реализации мер. По его мнению, каждый банк сам будет решать, насколько серьёзно проверять «подлинность» пользователя.
Юрист фирмы «Ялилов и Партнеры» Амир Хасанов подчёркивает, что оспорить кредитный договор или транзакцию бывает проблематично, поскольку зачастую клиенты добровольно предоставляют доступ к мобильному банку или переводят деньги мошенникам. На этот случай разработаны условия дистанционного банковского обслуживания. Так, один из банков включил условие о том, что он не несёт ответственности в случае несанкционированного доступа к системе клиента.
Член ассоциации юристов России Евгения Мешкова объясняет, что многие мошенники используют сайты-двойники, поэтому для решения проблемы цифровые сервисы могут вести списки доверенных сайтов с доверенными ссылками.
Ранее Центробанк сообщил, что банки с 1 октября будут обязаны раскрывать условия вкладов в виде таблицы. ЦБ рекомендовал раскрывать информацию о дебетовых картах по схожему шаблону.
В июне Центробанк предложил механизм запрета для граждан на оформление кредита в собственной кредитной истории. Данный механизм должен помочь снизить риски использования злоумышленниками украденных личных данных, включая паспортные данные, логины, пароли и не только.