Такие прогнозы содержатся в утвержденном в мае зампредом правительства Аркадием Дворковичем плане развития электронного взаимодействия на финансовом рынке. В Центробанке и правительстве считают, что все российские финучреждения имеют разный уровень защиты систем дистанционного обслуживания, включая мобильные приложения. В связи с этим необходимо установить четкие требования к степени их безопасности. В данный момент ЦБ и ФСБ проводят анализ уровня защищенности банковских систем, о результатах которого требуется до конца июня отчитаться перед Кабмином.
Сообщается, что регулятор обеспокоен не только масштабами мошенничества (по официальным данным, несколько миллиардов рублей ежегодно), но и латентностью таких нарушений (уголовные дела возбуждаются только в 1-5% случаев, связанных с кражей клиентских денег).
Введение регулятором обязательных защитных механизмов приведет к тому, что некоторые банки либо вовсе откажутся от использования систем ДБО, либо сделают их максимально безопасными и удобными. По данным экспертов, защищенный интернет-банк имеют только 15-20 российских кредитных организаций из работающих на рынке 800.
В перечень требований к системам ДБО банков должны входить:
- отображение в SMS-сообщениях реквизитов получателя средств;
- двухфактурная авторизация при входе в интернет-банк (необходимость подтверждать вход одноразовым кодом);
- контроль смены СИМ-карты;
- мониторинг и прекращение работы фишинговых сайтов;
- контроль заражения смартфонов;
- мониторинг скомпрометированных учетных записей пользователей;
- дополнительное страхование операций, проводимых через дистанционные каналы банковского обслуживания.
За нарушение новых стандартов регулятору рекомендуется наказывать банки. Так, предлагается ввести штрафы и запрет на проведение дистанционных платежей. Также отмечается, что в сложившихся условиях введение единых обязательных требований к уровню защиты систем ДБО необходимо, поскольку не позволит кредитным организациям экономить на безопасности своих клиентов.
По мнению участников рынка, каждое финучреждение должно для себя определить баланс между степенью защиты, приемлемыми потерями и удовлетворенностью пользователей. Ведь чем сложнее процессы идентификации, тем хуже они приживаются у клиентов, не желающих носить с собой дополнительные устройства для генерации одноразовых паролей и т.п. Необходимо соблюдать баланс между интересами банка и клиента, чему во многом будет способствовать идентификация пользователей по их биометрическим параметрам (дактилоскопия, распознавание сетчатки глаза, голоса, лица).
