Финансовый рынок выступает против обязательного подтверждения операций через СМС и МАХ

Участники финансового сектора выразили обеспокоенность проектом поправок к законопроекту «Антифрод 2.0», предусматривающим обязательное подтверждение дистанционных финансовых операций одновременно через СМС и национальный мессенджер МАХ.

Согласно предлагаемым нормам, подтверждение значимых дистанционных действий граждан должно осуществляться посредством отправки сообщений и в мессенджере, и через СМС. Однако критериев определения «значимых действий» в законодательной инициативе не приведено.

Представители банковской сферы заявляют, что введение двойного подтверждения увеличит их издержки без заметного повышения безопасности. По их оценкам, обязательные затраты могут вырасти в несколько раз, что способно повлиять на финансовые показатели и повысить стоимость услуг для клиентов.

Кроме того, у экспертов вызывают сомнения возможность технической реализации подтверждения через МАХ в текущем виде. Оператор национального мессенджера не имеет технической возможности инициировать отправку сообщений пользователю без предварительного запроса.

Также в законодательной инициативе не учитываются альтернативные методы подтверждения, которые способны более эффективно защитить финансовые операции, отмечают специалисты.

Заставляя использовать МАХ как обязательный способ подтверждения, создается риск возникновения единой точки отказа. В случае серьезных технических неполадок или кибератак, таких как DDoS на национальный мессенджер, может быть парализована вся юридически значимая онлайн-активность, включая банковские операции.

Финансовые организации обращают внимание на необходимость учета этих рисков в нормативных актах.

В рамках подготовленных предложений Национальный совет финансового рынка рекомендует изменить нормы законопроекта, исключив необходимость обязательного двойного подтверждения через СМС и МАХ. Также выдвигается инициатива о закреплении безвозмездного предоставления операторами связи услуг по передаче кодов подтверждения либо о введении регулируемых тарифов на такие услуги.

Аналитики обращают внимание, что увеличение количества подтверждающих факторов не решает проблему мошенничества, связанного с методами социальной инженерии. Клиенты, как правило, добровольно совершают операции, что делает многократное подтверждение малоэффективным.

Специалисты по информационной безопасности отмечают, что мессенджер МАХ обладает более высокой степенью защиты, чем традиционные СМС, благодаря современной криптографии и привязке к устройству. Однако по уровню надежности он уступает биометрическим методам и аппаратным ключам.

Есть мнение, что альтернативные способы подтверждения, такие как push-уведомления банковских приложений и одноразовые коды TOTP, обеспечивают более надежную защиту, не зависящую от мобильной сети.

Кроме того, критики подчеркивают несоответствие предлагаемой схемы требованиям Центрального банка, которые регламентируют использование криптографических средств для обеспечения безопасности финансовых транзакций.