Банкиры раскритиковали способ подтверждения транзакций только через СМС и мессенджер МАХ, предусмотренный новой редакцией законопроекта «Антифрод 2.0». Об этом сообщил «КоммерсантЪ» со ссылкой на письмо, которое Национальный совет финансового рынка (НСФР) 23 марта направил в ЦБ и правительство.

Новая норма не повысит защиту клиентов от мошенников, а только значительно увеличит расходы банков, сказано в письме. Такое двойное подтверждение участник рынка назвали «юридически избыточной и необоснованно затратной» процедурой.

Подтверждение операций только через СМС и МАХ будет требоваться для всех совершаемых гражданами дистанционным способом «значимых действий» — однако в законопроекте не прописаны критерии, по которым действие может быть признано значимым, обращают внимание авторы.

По словам экспертов, приведенным в письме, СМС ненадежны, а МАХ в нынешнем виде не может обеспечить подтверждение операций чисто технически. Например, мессенджер не может направлять односторонние сообщения от юрлица физлицу без предварительного запроса со стороны клиента.

Обязательное использование МАХ может создать риски для информационной безопасности, поскольку ведет к возникновению уязвимости критического уровня в виде единой точки отказа, - говорится в документе. «Любой серьезный технический сбой или инцидент, например DDoS-атака на национальный мессенджер, может привести к остановке на неопределенное время всей юридически значимой онлайн-деятельности в стране, включая банковские операции и совершение сделок», — пояснил глава НСФР Андрей Емелин.

Отдельную озабоченность у банкиров вызывает тот факт, что, навязывая подтверждения через СМС или МАХ законопроект игнорирует иные доступные и более надежные варианты подтверждения – например push-уведомления в банковских приложениях и TOTP-коды («Яндекс ID», Google Authenticator и др.), которые значительно безопаснее, поскольку не зависят от мобильной сети.

Банкиры просят внести поправки в законопроект «Антифрод 2.0» с учетом всех этих замечаний. Кроме того, эксперты отмечают, что увеличение числа подтверждающих факторов не приведет к существенному снижению числа мошеннических операций, так как основным инструментом мошенников остается социальная инженерия.

Петр Кармазин