Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
goodjobmaster
8 лет назад

Правила безопасности для потребителей финансовых услуг

Все мы активно используем дебетовые карты различных банков.

Получаем на них зарплату, оплачиваем коммуналку, детский садик, интернет, мобильную связь, переводим деньги друзьям и родственникам. Очень удобно когда банковский счет имеет возможность управления не только при помощи карты, но и через мобильное приложение, устанавливаемое на мобильный телефон или через сайт в сети интернете.

Но насколько безопасно можно использовать этот комплекс удобств.

Давайте разберем подробнее.
Когда банк разрабатывает программное обеспечение, он обязан заложить в программу правила, по которым банк «узнает» своего клиента — реального хозяина банковского счета, на которые поступает команда о перечислении средств. Если процедура идентификации прошла успешно —
деньги перечисляются с вашего счета, если нет — команда не принимается.

Закон о защите прав потребителей (ч.2 ст. 7) говорит нам об общих требованиях и к таким высокотехнологичным услугам : потребитель имеет право на то, чтобы товар (работа, услуга) при обычных условиях его использования, хранения, транспортировки и утилизации был безопасен для жизни, здоровья потребителя, окружающей среды, а также не причинял вред имуществу потребителя.

Законодательно вопросы требований к безопасности платежей, которые должен выполнить банк изложены в Федеральном законе «О национальной платежной системе».

Операции с использованием мобильного банка и интернет-банка называются «с использованием электронного средства платежа». Суть требований закона в том, что обеспечить технически
безопасность расчетов должен банк как оператор платежей.

Согласно ст. 12 Федерального закона "О национальной платежной системе" оператор платежей (то есть банк в данном случае) обязан безоговорочно выполнить требования клиента и вернуть деньги, если клиент в течение суток опротестовал операцию, указав что она была проведена без его согласия.

Банк может избежать ответственности только в том случае если докажет что клиент нарушил порядок использования электронного средства платежа (не выполнил требования банка к расчетам через мобильный банк). Теперь разберем основные случаи хищения и пропажи денежных
средств с карт.

  1. Клиент пользовался мобильным приложением банка на телефоне. В один прекрасный день он узнал что несколько (часов, дней) тому назад с карты пропала определенная сумма. Несложное расследование показало, что банк идентифицировал клиента по смс-сообщениям, которое мобильное приложение отправляло с телефона клиента. То есть достаточно случайно поставить на
    телефон пиратскую программу, которая будет уметь без вашего ведома направлять в банк смс-сообщения, не видимые на экране телефона и также принимать ответные смс — и все, ваши деньги испаряются просто на глазах.

Например могут быть переведены на счет мобильного телефона злоумышленника или его пособников в каком-нибудь городке Северного Кавказа или Сибири, а затем сняты там же (ряд мобильных операторов предоставляют такую возможность). На претензии в таких случаях банк
отвечает отказом со ссылкой на нарушение правил безопасности (заражение телефона вирусной программой).

Но на самом деле все не так просто. Разбирательства идут полным ходом уже несколько лет с переменным успехом. Сбербанк даже официально на своем сайте опубликовал пресс-релиз о
том, что в связи с такими случаями ему пришлось срочно дорабатывать свое программное обеспечение (встраивать антивирус прямо в само мобильное приложение). Зададим вопрос: разве достаточно для идентификации клиента всего лишь получить СМС с определенного номера телефона ? Мобильный телефон вещь конечно индивидуальная, но это не подпись, не пин-код, не уникальный отпечаток пальца, не карта. Банк таким образом «подставляет» своего клиента, обязывая неусыпно бдить не только за своими картами и паспортом, но и … мобильной электроникой.

Моя позиция однозначна — СМС сообщение не отвечает требованиям безопасности и не может подменять собой более сложные способы авторизации клиентов в мобильном приложении.

Кроме того, банк обязан обеспечить «период охлаждения» или «период безопасности» - чтобы денежные средства оставались на счетах данного банка при переводе в другой банк как минимум одни сутки. При чем клиент должен иметь возможность заблокировать операцию так же просто как и отравить — нажатием кнопки в мобильном приложении. Ведь очень часто человек просто не успевает доехать до офиса банка в рабочее время.

  1. Клиент являясь пользователем интернет-банка (или мобильного банка) вдруг видит что сим-карта его мобильного телефона заблокирована, обращается в салон-связи, восстанавливает сим-карту но при проверке счетов узнает, что с них списаны деньги.

Эта ситуация является логическим продолжением первой ситуации, когда очень слабой безопасностью со стороны банка злоумышленники пользуются не через вирусные программы, похищающие сотни и тысячи рублей, а через безалаберных сотрудников операторов салонов мобильной связи.

Что же происходит ? Все очень просто. Мошенники получают дубликат вашей сим-карты в салоне связи. Это и может сговор с продавцами мобильной электроники а может просто «ловкость рук». Например отвлекли девушку продавца, а компьютер с базой данных оператора связи открытый — за 10 секунд активировали сим-карту с таким же номером и дело сделано. Сразу же после этого ваша реальная сим-карта перестает работать, мошенники за несколько минуть восстанавливают ваш пароль, получая его на телефон с клонированной сим-картой и начинают оперировать вашими счетами. А банк здесь опять как бы «не при чем». Проблема приобрела за последние годы такие масштабы что даже Верховный суд России, который как известно юристам, очень неохотно изменяет сложившуюся практику, не смог не остаться в стороне. В декабре 2015 года был принят судебный акт по одному спору потребителя с оператором сотовой связи с банком, и все ранее принятые судами решения и определения были отменены. Верховный суд посчитал, что в таких случаях (несанкционированная выдача сим-карт) все убытки должны лечь как минимум
на оператора сотовой связи. А степень ответственности банка еще предстоит установить суду первой инстанции при повторном рассмотрении дела. Но радует конечно что «лед тронулся».

Итак, какие же советы можно дать потребителям, использующим мобильный банк ?

  1. Используйте счет, подключенный к мобильному банку только для хранения небольших сумм, необходимых вам для расчетов. В идеале, вообще в банке, который предоставляет такую услугу не надо хранить сбережения. Один банк — для расчетом, другой (без мобильных услуг) — для хранения.

  2. Уточните, проверяется ли номер IMEI мобильного телефона или заводской номер сим-карты (это не номер мобильного телефона !) при поступлении команд на списание со счета.

  3. Научитесь быстро менять лимиты операций и регулярно их ставьте на минимум после каждой операции расхода.

  4. Подумайте и спросите в вашем какие операции нужно будет сделать мошеннику чтобы получить контроль за вашим счетом если он а) знает ваши паспортные данные б) получил ваш телефон в) получил логин и пароль от мобильного банка. Если Вы понимаете при этом что пройти все проверки
    достаточно просто — отказывайтесь от пользования услугами такого банка.

  5. Отдельный плюс — если пароль на проведение конкретной операции приходит на телефон не простым СМС-сообщением а по безопасному каналу.

1
85.285 GOLOS
На Golos с October 2016
Комментарии (8)
Сортировать по:
Сначала старые