По итогам второго чтения законопроекта об ограничении доли иностранного участия в капитале новостных агрегаторов в нем появились положения, касающиеся авторизации клиентов на сайтах и в информационных системах, которые могут создать проблемы для финансового сектора. В частности, дочерние кредитные организации иностранных игроков не смогут легитимно работать с клиентами ни через приложения, ни через интернет-банк. Вне закона окажутся и сервисы «МирПэй» и «СБПэй». Пока эти риски компенсирует отсутствие наказания за неисполнение требований.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
В принятых 25 июля поправках к законам «Об информации, информационных технологиях и о защите информации» и «О связи» появились нормы, касающиеся регламентации способов авторизации на сайтах и в информсистемах. В отзыве Ассоциации участников рынка электронных денег и денежных переводов (АЭД) говорится, что изменения могут затруднить удаленное обслуживание клиентов финансовых организаций и Национальной системы платежных карт (НСПК), а в некоторых случаях сделают его невозможным.
Как пояснил глава АЭД Виктор Достов, в законе прописаны четыре способа авторизации: через сотовых операторов, Единую систему идентификации и аутентификации (ЕСИА), Единую биометрическую систему (ЕБС) или через иную информсистему, принадлежащую гражданину РФ или российскому юрлицу (прямо или косвенно).
В результате, по словам эксперта, действующие системы авторизации, которые используют финансовые организации в мобильных приложениях и системах интернет-банкинга, могут оказаться вне закона.
Глава правления ассоциации «Финансовые инновации» (АФИ) Роман Прохоров полагает, что подавляющее большинство банковских систем авторизации подпадает под действие четвертого пункта. Однако исключением могут стать дочерние структуры иностранных кредитных организаций, для которых данное требование будет «дополнительным стимулом для решения вопроса об изменении владельцев». Крупные дочерние иностранные банки не ответили на запрос “Ъ”.
Не будет соответствовать нормам закона и работа приложений «МирПэй» и «СБПэй», для авторизации в которых используются сервисы Apple и Android, уточняет Виктор Достов.
В отзыве АЭД отмечается, что многие клиенты обращаются к удаленным каналам несколько раз в день, а это означает миллионы авторизационных запросов ежедневно, что на порядки больше, чем инфраструктура ЕСИА, ЕБС или сотовых операторов обрабатывает сейчас. «Сбои фактически будут означать невозможность доступа к удаленным каналам обслуживания, что крайне негативно скажется на доверии к финансовому сектору»,— говорится в письме.
Более того, по словам источника “Ъ” на банковском рынке, все программное обеспечение, которое используется банками для собственных систем авторизации, иностранное и встроено в информационную систему, а также в систему кибербезопасности. «Тут все зависит от трактовки, которую будут использовать те, кто придет проверять банки на соответствие новому закону — импортозаместить их нереально, поскольку потребует очень много времени и денег на абсолютно бессмысленную операцию»,— считает собеседник “Ъ”.
Финансовые организации производят авторизацию клиентов каждый раз, когда пользователь открывает мобильное приложение или сайт интернет-банка. Используемые механизмы надежны и их безопасность подтверждена многолетней практикой, таким образом, переходить на другие способы авторизации — это неоправданные затраты без улучшения клиентского пути, полагают участники рынка.
«Реализация поправок ухудшит удовлетворенность граждан без какого-либо значимого снижения рисков»,— говорится и в отзыве АЭД.
Смягчает ситуацию, по мнению Романа Прохорова, то, что законопроект не предусматривает мер ответственности за несоблюдение порядка авторизации. Тем не менее, подчеркнул один из банкиров, «все ждут разъяснений от регулятора», которых пока не последовало, в том числе на запрос “Ъ”.