Участники финансового рынка выступили против нормы законопроекта «Антифрод 2.0», обязывающей подтверждать удалённые операции клиентов одновременно через СМС и мессенджер МАХ. С соответствующим письмом в ЦБ и правительство обратился Национальный совет финансового рынка (НСФР), назвав такую процедуру «юридически избыточной и необоснованно затратной».
По мнению банкиров, двойное подтверждение не усилит защиту, но приведёт к многомиллиардным дополнительным расходам отрасли, снижению рентабельности и возможному росту тарифов для клиентов. Особое беспокойство вызывает то, что законопроект игнорирует альтернативные способы подтверждения, которые могли бы обеспечить более высокий уровень безопасности.
Кроме того, обязательное использование МАХ создаёт риск единой точки отказа: серьёзный технический сбой или DDoS-атака на национальный мессенджер могут парализовать юридически значимую онлайн-деятельность в стране, включая банковские операции. Также сейчас технически невозможно направлять исходящие сообщения от юрлица физлицу без предварительного запроса со стороны клиента.
Эксперты сомневаются в эффективности предложенной меры. Основным инструментом мошенников остаётся социальная инженерия, позволяющая вести жертву в течение нескольких дней. В таких случаях дополнительные подтверждения не помогут — клиент осознанно совершает операции, даже после предупреждений.
Специалисты по информбезопасности отмечают, что push-уведомления в банковских приложениях и TOTP-коды надёжнее, поскольку не зависят от мобильной сети. А в ЦБ действуют требования об использовании криптографических средств для защиты транзакций, что делает предложенную схему спорной.
В НСФР также просят законодательно закрепить безвозмездность услуг операторов связи по доведению кодов подтверждения либо установить регулируемый тариф.
По материалам издания КОММЕРСАНТ
Фото: freepik
