После публикации статьи о регистрации устройств, с которых клиенты банков пользуются онлайн-банкингом, со мной связался начальник управления безопасности информационных технологий АО «СМП Банк» Головлёв Павел Михайлович. Он читает GeekTimes и его раздосадовало то, как журналисты «Известий» (по материалу которых я писал статью) исказили смысл происходящего.
Головлёв спешит успокоить общественность. По его словам, ЦБ не обязывает банки принудительно регистрировать все устройства клиентов. Наоборот, клиент теперь имеет право потребовать у банка ограничить доступ к его онлайн-банкингу определёнными устройствами. А уже банк обязан на основании заявления клиента думать о том, каким образом он это будет делать.
Головлёв написал, что «ЦБ требует от банков предоставить клиентам возможность управлять собственными рисками и самостоятельно устанавливать лично приемлемые и разумные ограничения на собственные операции. Естественно, что в настоящий момент каждый банк будет предлагать те варианты идентификации устройств, которые возможно технически и целесообразно экономически реализовать на имеющейся платформе.
А дальше встает вопрос о том, что будет предложено на рынке и что выберет потребитель, и будет ли он вообще требовать это от банков».
Заявление об идентификации по ip-адресу касалось только корпоративных клиентов, пользующихся стационарным оборудованием (не мобильными устройствами), которые пожелали привязать свой доступ к онлайн-банкингу к своему постоянному ip-адресу. Это уже выглядит вполне логично и даже разумно.
Головлёв отметил, что ещё остаются вопросы по поводу обязанности банков приостанавливать рассылку уведомлений по SMS при смене клиентом SIM-карты, поскольку о такой смене банк самостоятельно узнать не может. А мобильные операторы ЦБ не подчиняются и уведомлять банки о таких операциях не обязаны. В этом отношении Указание ЦБ пока что выглядит довольно странно. Но каких-то критичных проблем с этого направления не ожидается.
Автор: SLY_G