Стало известно о запуске ЦБ пилотного проекта, нацеленного на выработку алгоритма верификации электронной почты физлиц, взаимодействующих с банками. Подведение первых итогов намечено уже на эту неделю, а как только пройдет обсуждение с рынком, новация должна трансформироваться в основу для нового нормативного акта. По мнению экспертов, идея заслуживает поддержки, он они ждут, когда регулятор предоставит гражданам возможность самим выбирать способ верификации, когда он четко разъяснит, что допустимо отправлять по почте, а что - нет, а также установит длительные сроки для внедрения новых требований.
Эта информация была подтверждена первым заместителем главы департамента информбезопасности Банка России Артемом Сычевым, пояснившим, что от банков клиенты нередко получают сообщения по СМС или электронной почте, при этом, в случае отсутствия подтверждения адреса, мошенники могут получить доступ к банковской тайне.
Изначально, становясь клиентом банка или при оформлении какого-то нового продукта, гражданин сам предоставляет свой электронный адрес. Но со временем эти адреса устаревают, меняются, взламываются или, если это корпоративная почта, ею пользуется уже другое лицо. На сегодняшний день эти риски банками фактически игнорируются, они не запрашивают данных об изменении электронного адреса, а клиенты часто попросту забывают, какой адрес они указали, заполняя анкету.
Между тем по "электронке" граждане получают от банков важные персональные сведения, например, выписку по счету. Телефонные номера банки верифицируют, и эту опцию они усилят с помощью законопроекта по информобмену по сим-картам. Но, по словам Сычева, проведение схожей верификации в случае с емейлами не представляется возможным: разнятся операторы и почты, есть собственные системы. И все же важно, чтобы сведения (выписка, сообщение о платежах и т. д.), при отправке по этому каналу, попадали именно адресату.
Реализуя пилотный проект, банками прорабатываются варианты подтверждения электронной почты. Есть информация об участии в проекте ВТБ, Тинькофф-банка, ОТП-банка, не отрицающих своё участие, но и не раскрывающих этой информации. По словам представителя ОТП-банка, процедура должна отличаться простотой, но обеспечивать должный уровень верификации. По словам Сычева, необходима верификация почты не только новых, но и действующих клиентов.
Как сказал председатель правления банка «Русский стандарт» Александр Самохвалов, в качестве доступного способа подтверждения почты для клиентов могут выступить интернет/мобильный банки, банкомат (когда вводится карта и пин-код), предложение о подтверждении e-mailа может приходить клиенту, когда он входит в дистанционный канал обслуживания. Как сказал генеральный директор Zecurion Алексей Раевский, к примеру, во время подтверждения через мобильный банк клиент может получать на почту код, который ему придется ввести в мобильном банке.
Когда появится весь список предложений, его обсудят с рынком. Предоставление банками первых материалов по итогам пилотного проекта намечено на следующую неделю. Пока нет окончательного решения по форме выпуска требований по верификации электронной почты: будут это методические рекомендации или же обязательные требования, которые закрепят во внесенных поправках к положению 382-П. Пока ЦБ не дал комментариев по этому вопросу.
В целом участники рынка выступают в поддержку инициативы регулятора, уточняя при этом важность конкретного содержания будущих требований или рекомендаций. Как сказал директор департамента клиентских взаимоотношений Промсвязьбанка Даниил Ткач, с помощью подтверждения почты повысится уровень эффективности коммуникации, но, чтобы верифицировать электронные адреса, банкам придутся подумать о дополнительной автоматизации. Тут важно, чтобы ЦБ дал достаточно времени на реализацию требований по верификации, и самый разумный срок для этого - полгода, не меньше.
К тому же регулятору нужно определиться с тем, что можно/нет отправлять по электронной почте. По словам консультанта по интернет-безопасности компании Cisco Алексея Лукацкого, почта была и есть канал, по которому информация пересылается в открытом виде, она легко перехватывается, подменяется. Поэтому в сообщениях не должно быть критических данных. Если же мы говорим о банковской тайне, то письма, содержащие её, необходимо направлять только если клиент даст свое согласие на это.
