Переказ грошей з картки на картку: як це робити за новими правилами

«Одноразовий пароль має містити не менше 8 символів і використовуватися не довше 10 хвилин»

Нацбанком було прийнято постанову, що передбачає впровадження ризик-орієнтованого підходу до захисту інформації в залежності від суми можливих збитків. Також вводиться обов'язкове встановлення вимог до використання засобів захисту інформації. Крім того, учасники платіжного ринку повинні визначити політику управління доступом і підвищити рівень безпеки своїх послуг для користувачів. На думку представників НБУ, «це дозволить мінімізувати кількість інцидентів інформаційної безпеки та кіберінцідентів в сфері переказу коштів».

Це постанова вже набула чинності з 29 травня, проте учасникам платіжного ринку надано комфортний перехідний період — наступні 12 місяців. За цей час вони зобов'язані вдосконалити свої системи безпеки та застосувати вимоги Нацбанку. Про те, що це за вимоги і як вони позначаться на порядку переказу коштів простими громадянами, «ФАКТАМ» розповів керуючий партнер Консалтингової компанії «Фінансова студія» кандидат економічних наук Євген Невмержицький.

— На які саме грошові перекази поширюється дія постанови? Чи йдеться про найпопулярніші перекази між картковими рахунками громадян?

— Так, дія постанови поширюється на всі платіжні системи, включно з картковими рахунками найпопулярніших систем «Віза» та «Мастеркард», а також розрахунками між власниками карт цих систем. Вимоги цієї постанови не поширюються на платіжні системи, створені НБУ, а саме — «Простір» (колишня НСМП). До слова, непопулярна система фактично нав'язана комерційним банкам самим НБУ, життєдіяльність якої забезпечується лобіюванням НБУ, а не її ефективністю, що не відповідає інтересам банків та їхніх клієнтів. На яких підставах дія постанови не поширюється на платіжні системи, створені самим регулятором, НБУ не пояснює.

— Які саме нові заходи безпеки впроваджуються?

— Ці заходи стосуються технічних аспектів, що підсилюють безпеку розрахунків, наприклад, одноразовий пароль має містити не менше 8 символів, серед яких — маленькі та великі латинські літери. І використовуватися такий пароль повинен не довше 10 хвилин. Можемо охарактеризувати цю вимогу.

Дійсно, вона збільшує безпеку та ускладнює для хакерів перехоплення пароля за допомогою шкідливого програмного забезпечення. Однак це ускладнює і використання віддаленого обслуговування, зокрема, власникам карт. Наприклад, при перерахуванні невеликої суми, до 5 000 грн, користувач повинен буде застосувати більш довгий пароль, при введенні якого він сам може помилитися, набираючи маленькі й великі символи та перемикаючись мінімум 3 рази між великими та малими. Без листочка, на якому можна записати такий одноразовий пароль, просту операцію переказу невеликої суми буде зробити складно, якщо обмежені можливості копіювання даного пароля, наприклад, з мобільного телефону.

Банкам, учасникам платіжних систем, будуть потрібні час і гроші на переоснащення своїх систем безпеки та коригування правил вказівки паролів. Це може призвести до незручностей для клієнтів при налагодженні операційних систем банків.

Така зрівнялівка, по суті, не збільшує безпеку, а просто створює додаткові незручності користувачам. Одноразовий пароль хакерам і шахраям перехопити непросто, а якщо вони можуть перехопити короткий пароль, то і довший, з різними символами, також зможуть перехопити і застосувати для викрадення коштів клієнта. Але слід зазначити, що одноразові паролі при двофакторній автентифікації — це досить надійний інструмент безпеки. І посилювати вимоги шляхом збільшення довжини пароля практично немає ніякого сенсу. Банки на таке посилення вимог безпеки витратять набагато більше грошей, ніж змогли б вкрасти шахраї за старих правил.

Також слід зазначити, що банки добре навчилися управляти інструментами безпеки на основі ризиків: чим більший ризик, тим кращий захист. Також зручний спосіб — надання самим клієнтам можливості управляти своїм захистом. Наприклад, самостійно встановлювати ліміти на перекази в Інтернеті. Якщо клієнт хоче максимально убезпечити себе від шахрайства в мережі, то встановлює нульовий ліміт переказів в Інтернеті і збільшує його до потрібної суми за будь-якої необхідності зробити платіж онлайн. Такий підхід дуже надійно захищає. Хакеру, навіть якщо він зумів розмістити на ґаджеті власника картки шкідливе ПЗ, здатне перехопити одноразовий пароль, необхідно відстежити ще й момент, коли власник буде здійснювати платіж. А це дуже складно, і витрати хакера набагато перевищать можливу вигоду.

Хоча слід зазначити, що багато вимог постанови корисні з точки зору підходів до безпеки надавачів фінансових послуг і зобов'язують їх запобігати багатьом загрозам — як внутрішнім (суб'єктивний фактор, тобто шахрайство самого персоналу), так і зовнішнім (усі види хакерських атак, компрометація даних, шкідливе ПЗ для несанкціонованого доступу до конфіденційної інформації клієнтів).

«У більшості випадків використовуються примітивні схеми без перехоплення одноразових паролів і застосування складних хакерських програм»

— Чи зміниться сам порядок переказу грошей, їх максимальні суми і таке інше?

— Принципово порядок розрахунків не зміниться, оскільки самі платіжні системи передбачили раціональні правила безпеки, які є стандартними для всього світу та збалансовані з захистом від загроз, ризиками і зручностями для користувачів. Ця збалансованість і раціональність робить міжнародні платіжні системи, такі як «Мастеркард» та «Віза», найпопулярнішими в світі. Їхні правила, обов'язкові для всіх учасників цих платіжних систем, постійно вдосконалюються і безпека розрахунків завжди на першому місці, але це не доходить до абсурдних правил, які псують життя клієнтам без обґрунтованої необхідності, зокрема одноразовий пароль з восьми символів із трьома режимами перемикання.

— Чи відчують громадяни посилення вимог до захисту інформації при переказах коштів?

— Особливих змін порядку платежів користувачі не відчують, крім додаткових незручностей при введенні більш довгого та складного пароля. Однак хочу підкреслити, що подібне регулювання в цілому є важливим елементом безпеки платежів, яка, і це треба відзначити, в Україні завжди була на найвищому рівні, без перебільшень. У більшості випадків гроші викрадають з рахунків за досить примітивною схемою — без перехоплення одноразових паролів і використання складних хакерських програм.

На жаль, НБУ часто не може захистити інтереси споживачів фінансових послуг в умовах, коли самі банки нараховують необґрунтовані комісійні, які не вказані в договорах. Саме про такий вид порушення одним з комерційних банків я особисто написав скаргу до НБУ в спеціалізований підрозділ з захисту прав споживачів, з наданням усіх необхідних документів. Мені складно придумати більш грубе порушення, яке за фактом називається крадіжкою. Нацбанк розглянув скаргу та надіслав письмову відповідь, що мені слід звернутися до суду. Такі відписки отримує більшість людей, які звертаються зі скаргами до НБУ, а порушення прав клієнтів має масовий характер. Ефективний контроль захисту прав споживачів фінпослуг Нацбанк досі не забезпечив.

Проте в цілому така постанова є корисною й додатково вдосконалила електронні сервіси комерційних банків та інших надавачів віддалених платіжних послуг, — підсумував Євген Невмержицький.

Варто нагадати, що нещодавно набув чинності закон, що змінює правила фінансового моніторингу рахунків українських громадян і компаній. Зокрема, встановлено суму грошового переказу, при перевищенні якої проводиться перевірка законності походження коштів, що перераховуються.

фото https://ua.depositphotos.com/