Участники финансового рынка обратились к правительству РФ с просьбой не навязывать их клиентам способы подтверждения операций, которые ограничены в готовящемся ко второму чтению законопроекте «Антифрод 2.0» сообщениями в Max и СМС, пишет «Ъ».
Участники финансового рынка просят не навязывать их клиентам способы подтверждения операций, которые ограничены в готовящемся ко второму чтению законопроекте «Антифрод 2.0» сообщениями в МАХ и СМС. Банкиры считают, что принятие этой нормы не приведет к заметному усилению защиты операций, но удвоит их расходы. К тому же, по словам экспертов, СМС давно ненадежны, а МАХ в нынешнем виде в ряде случаев не сможет обеспечить подтверждение операций чисто технически.
Банкиры просят внести изменения в норму законопроекта «Антифрод 2.0», согласно которой подтверждать финансовые операции, проводимые удаленно, нужно будет обязательно при помощи и СМС, и сообщений в мессенджере МАХ. Письмо с соответствующими предложениями 23 марта направил Национальный совет финансового рынка (НСФР) в ЦБ и правительство. Такое подтверждение, согласно законопроекту, будет требоваться для всех совершаемых гражданами дистанционным способом «значимых действий». Однако никаких критериев, согласно которым действие может быть признано значимым или нет, в проекте закона не обозначено.
Подобное двойное подтверждение банкиры называют «юридически избыточной и необоснованно затратной» процедурой. Фактически планируется установить обязанность направления информационных сообщений по одному значимому действию по двойной стоимости. «При массовых пользовательских сценариях это может привести к многомиллиардным ежегодным дополнительным расходам, снижению рентабельности и росту цен для пользователей»,— указывает глава НСФР Андрей Емелин.
- Отдельную озабоченность участников финансового рынка вызывает тот факт, что при навязывании подтверждения через СМС или МАХ полностью игнорируются иные доступные варианты подтверждения, способные обеспечить более высокий уровень защиты.
Авторы письма также считают, что обязательное использование МАХ может создать неприемлемые риски угроз информационной безопасности, поскольку ведет к возникновению уязвимости критического уровня в виде единой точки отказа. «Любой серьезный технический сбой или компьютерный инцидент, например DDoS-атака на национальный мессенджер, может привести к остановке на неопределенное время всей юридически значимой онлайн-деятельности в стране, включая банковские операции и совершение сделок»,— поясняет господин Емелин. Кроме того, по его словам, исходя из текущего порядка функционирования МАХ, направление исходящих односторонних сообщений от юрлица физлицу без предварительного запроса на диалог со стороны клиента сегодня технически невозможно.
В пресс-службе мессенджера MAX отказались от комментариев.
Представители финансового сообщества предлагают использовать альтернативные варианты, призванные снизить издержки банков для подтверждения операций. Кроме того, авторы письма просят нормативно закрепить безвозмездность оказания операторами связи услуги по доведению кодов подтверждения значимых действий (для СМС-сообщений и сообщений МАХ) либо установить регулируемый государством тариф на соответствующие услуги.
В Банке России и правительстве не ответили на запрос “Ъ”.
