Банки раскритиковали обязательное подтверждение операций через СМС и Mах

Российские банки выступили с критикой отдельных положений законопроекта «Антифрод 2.0», предложив пересмотреть требование об обязательном двойном подтверждении дистанционных операций. Речь идёт о норме, согласно которой все «значимые действия» клиентов должны подтверждаться одновременно через СМС и сообщения в мессенджере Mах. Соответствующее письмо 23 марта направил Национальный совет финансового рынка (НСФР) в Банк России и правительство, пишет «Ъ».

В обращении указывается, что в законопроекте отсутствуют чёткие критерии, позволяющие определить, какие именно действия считаются значимыми. При этом предлагаемый алгоритм подтверждения банкиры считают избыточным и экономически неоправданным. По их оценке, необходимость отправки двух уведомлений по каждой операции приведёт к существенному росту расходов — речь может идти о многомиллиардных затратах ежегодно, что отразится на стоимости услуг для клиентов и рентабельности банковского бизнеса.

Дополнительную обеспокоенность участников рынка вызывает обязательное использование мессенджера Max. По их мнению, это ограничивает применение других, более надёжных способов подтверждения операций и создаёт риски для информационной безопасности. В частности, концентрация значимой инфраструктуры в одном сервисе может привести к эффекту «единой точки отказа»: в случае технического сбоя или кибератаки, например, DDoS, возможна остановка онлайн‑операций, включая банковские транзакции и заключение сделок. Кроме того, банки указывают на технические ограничения — в текущей версии Max невозможна отправка сообщений клиентам без предварительно установленного диалога.

Представители финансового сообщества предлагают закрепить альтернативные способы подтверждения операций, а также снизить нагрузку на банки за счёт регулирования стоимости соответствующих услуг. В частности, предлагается либо сделать доставку кодов подтверждения бесплатной, либо инсталлировать государственные тарифы на такие услуги.

Эксперты равным образом сомневаются, что увеличение числа каналов подтверждения существенно повлияет на падение мошенничества. По их словам, основным инструментом злоумышленников остаётся социальная инженерия, при которой жертва самостоятельно подтверждает операции, находясь под влиянием мошенников. В таких условиях дополнительные коды не становятся эффективной преградой.

Специалисты в области информационной безопасности отмечают, что мессенджер Max потенциально более защищён, чем традиционные СМС, однако уступает по уровню надёжности биометрическим решениям и аппаратным ключам. Одновременно альтернативные методы, такие как push-уведомления банковских приложений или одноразовые коды (TOTP), считаются более безопасными, поскольку не зависят от мобильной сети.

На момент публикации в Банке России и правительстве не прокомментировали предложения финансового рынка, а представители мессенджера Max от комментариев отказались.