ДБО в новой реальности
Почему банки уходят от мобильных к веб-приложениям
После удаления приложений российских банков из сторов из-за санкционных ограничений фактически не осталось удобных способов их обновления. Поэтому участники рынка активно развивают адаптивные веб-приложения. Они уступают по функционалу мобильным банкам, но при загрузке приложений через специализированный браузер эти неудобства нивелируются. При этом разработка адаптивного веба обходится значительно дешевле.
Исчезающие нативы
В 2022 году после введения блокирующих санкций против отечественных банков, начали удалять мобильные приложения российских игроков из сторов. Клиенты крупнейших игроков финансового рынка, в том числе Сбербанка, ВТБ, Альфа-банка, лишились возможности скачивать и обновлять приложения в официальных магазинах Google Play и App Store. А китайская компания Huawei убрала из своего фирменного магазина AppGallery мобильные банки ВТБ, «ФК Открытие» и ПСБ. Сегодня под санкциями находится больше 60 кредитных организаций.
Но мобильное приложение не может работать без обновлений. Постоянно обнаруживаются новые уязвимости и возникают угрозы защищенности данных, злоумышленники знают о том, что существует временной промежуток между появлением уязвимости и ее закрытием, а также установкой патчей на устройствах пользователей (от нескольких часов до нескольких дней), и активно используют это «окно» для того, чтобы завладеть данными клиентов банков, их аккаунтами и денежными средствами, отмечает руководитель направления кибербезопасности RTM Group Артем Бруданин. Если обнаруживается проблема с безопасностью данных и предпринимается атака с ее использованием, под угрозой оказываются все, кто не обновил приложение до новой версии, в которой она закрыта. Кроме того, возможность скачать приложение необходима новым клиентам. Поэтому банки стали публиковать свои мобильные приложения в сторах, но от чужого имени и с неочевидными названиями. Их удаляли. Приложение Сбербанка «Учет Онлайн», которое заменило «Сбербанк Онлайн», продержалось в App Store всего пару дней. ВТБ загрузил в App Store копию своего приложения под видом ресторанного справочника «Все просто» — и тоже ненадолго. В апреле этого года стало известно об удалении приложений Millioner Consulting Газпромбанка и «К Деньгам» МКБ.
Еще один вариант обновления приложения — по ссылке из СМС или в отделении банка. Последний способ активно практиковал Сбербанк.
Новые практики кредитных организаций породили целую волну мошенничеств. В СМИ было немало сообщений об атаках, когда ведомые социальными инженерами клиенты банков скачивали под видом приложений вредоносы, в результате преступники получали доступ к счетам и вкладам людей.
В ЦБ подтверждают актуальность этой схемы хищений и указывают, что злоумышленники способны создавать мошеннические мобильные приложения, схожие по дизайну с банковскими. Фейковое приложение Сбербанка «Сбер: Онлайн Банк» сравнительно недавно было в App Store. В мае появилось GPrombank, мимикрирующее под Газпромбанк. Год назад о фейковом приложении «В банк: доступ онлайн» предупреждал ВТБ, в феврале этого года появилось три фейка с символикой и наименованием «Тинькофф»: The MortgagePro app, «Тинькофф — Ваш выбор» и «Тинькофф Карты & Voice Memos». В апреле МВД заявило о новых подделках приложений ВТБ и «Тинькофф» в App Store.
Кроме того, еще в конце марта СМИ сообщили о мошеннической схеме, когда в аэропортах и на вокзалах злоумышленники, выдавая себя за сотрудников банка, предлагали оформить выгодные кредитные карты и для этого обновить приложение «через проводок». В результате загружалась фишинговая программа, с помощью которой мошенники получали доступ к личным кабинетам и выводили деньги.
В ЦБ пояснили, что сейчас основной риск при использовании нативных приложений банков, в отношении которых введены санкционные ограничения, связан с их своевременным обновлением. Кредитным организациям нужно проверять свои приложения на отсутствие в них уязвимостей — такая необходимость предусмотрена нормативными документами Банка России, подчеркнули в пресс-службе регулятора.
Как отметили в «Телеком бирже», обновление мобильных банков для телефонов на Android возможно через RuStore, на IPhone — нет. И потому для пользователей со смартфонами на iOS единственной разумной альтернативой мобильных приложений являются веб-приложения, которые могут заменить привычные, но так сложно обновляемые мобильные банки. «А если они так хорошо работают на iOS, насколько целесообразно тратить ресурсы и разрабатывать полноценные нативные приложения отдельно под Android? — указывают в «Телеком бирже».
По словам экспертов, достойной альтернативой мобильным приложениям являются веб-приложения, которые могут заменить привычные, но так сложно обновляемые мобильные банки.
На полпути к вебу
Переход на веб-приложения имеет серьезные плюсы. По словам директора Центра цифровых решений для корпоративного и инвестиционного бизнеса Росбанка Алексея Ясакова, это в первую очередь экономия ресурсов: разработка и поддержка одного адаптивного сайта выгоднее, чем создание отдельных приложений для разных платформ. В Почта-банке соглашаются, что при переходе на веб можно фокусировать ресурсы только на одной платформе, тогда как ранее приходилось разрабатывать приложения фактически под четыре платформы.
Кроме того, по словам господина Ясакова, адаптивный сайт доступен и работает всегда вне зависимости от App Store и других сторов, имеет внешний вид и функциональность обычного приложения, быстро загружается и занимает минимальное количество памяти на смартфоне. Этот формат приложений в нынешних условиях является наилучшим решением как для клиентов, так и для банков, заключает он.
К тому же, отмечает Артем Бруданин, при переходе на веб банки уменьшают свои риски, увеличивая как клиентский охват, так и возможность централизованного обновления. Основной плюс перехода на веб — это возможность использования приложения на любых устройствах и без серьезных ограничений с третьих сторон, добавляет вице-президент АБР Алексей Войлуков.
По функционалу классические веб-приложения уступают адаптивным, указывают эксперты. Например, часто у них менее удобный интерфейс, который не всегда выполнен в привычном стиле приложений устройства, отмечает Алексей Войлуков. В некоторых случаях адаптивные приложения могут иметь проблемы с производительностью, а также ограничения функционала (например, не будут работать датчики мобильных устройств, push-уведомления), добавляет господин Бруданин. Также в веб-приложениях в чистом виде нет доступа к книге контактов, камере (а значит, нельзя платить по QR-коду), не работают Face ID и Touch ID.
Поэтому есть риск, что банк разработает веб-приложение, а оно не понравится клиентам, отмечает директор по развитию направления разработки и внедрения ПО компании «Инфосистемы Джет» Максим Мельситов: «Пользователи с каждым годом становятся все более требовательными, в конкурентной среде нативные приложения становятся все более удобными, понятными и быстрыми, поэтому разработчикам адаптивных веб-продуктов приходится прилагать больше усилий от момента анализа процессов, которые найдут отражение в продукте, и проработки концепции до дизайна интерфейса и UX-прототипирования».
Браузер — наше все
Нивелировать недостатки адаптивных веб-приложений возможно, если загружать их через специальные браузеры, указывают эксперты. На рынке сейчас представлено три таких решения.
Одно из них — браузер «Луна». В описании браузера в App Store в качестве главного преимущества продукта указана возможность работы с сайтами российских банков и государственных учреждений. Главного, но не единственного. Браузер умеет «работать с разными информационными и платежными QR-кодами (СБП, ЖКХ, штрафы, QR Сбербанка и другие), а также распознавать номера телефонов — например, для перевода денег на номер отсканируйте его и скопируйте в форму перевода вашего банковского приложения», следует из описания обновлений в App Store. «Луна» — продукт компании «Инновационная разработка», созданной в марте 2022 года, на 99% «внучки» Почта-банка.
Судя по всему, именно поэтому клиенты с iPhone Почта-банка, как сообщили в кредитной организации, могут пользоваться веб-приложением, которое позволяет вызвать с Home Screen без браузера, входить по Face ID без пароля, оплачивать покупки по QR-коду и получать веб-пуши без СМС.
Кроме того, ВТБ, владеющий, согласно системе профессионального анализа рынка и компаний SPARK, почти 50% Почта-банка, также рекомендует на своем официальном сайте владельцам iPhone пользоваться браузером «Луна» при установке адаптивного веба, обещая при этом возможность получения push-сообщений.
Еще одно похожее решение — браузер «Восход», его разработчик — частное лицо, некая Алена Ушакова. В App Store к преимуществам продукта относят «удобный и безопасный доступ к вашему веб-ресурсу через мобильное приложение. Интегрируйте свой сайт с нашим приложением, используя технологию WebView, и предоставьте пользователям возможность входа с помощью Apple Face ID». В отзывах о работе приложения указано, что через него возможно загрузить приложение Альфа-банка на iPhone. В Альфа-банке на вопрос “Ъ” не ответили.
Третий браузер для работы с банковскими веб-приложениями — Sferra, разработанный компанией SafeTech. В описании решения говорится о возможности с помощью Sferra превратить веб-приложение «в полный аналог нативного приложения на смартфоне»: использовать Face ID/Touch ID для входа, отправлять клиентам push-сообщения, подтверждать операции с помощью электронной подписи, получать доступ к контактной книге и камере и т. д. На сегодня нет сведений о том, клиенты каких банков через этот браузер загружают и используют банковские веб-приложения, в SafeTech раскрывать эту информацию также отказались.
Банки начали миграцию
По словам технического директора «Телеком биржи» Евгения Пудовкина, в скором времени можно ожидать появления и других специальных браузеров, равно как и расширения круга участников рынка (и даже компаний из других отраслей), использующих такие браузеры: «Необходимость перехода с нативных на веб-приложения как минимум попавших под санкции игроков очевидна, как и очевидно желание кредитных организаций сохранить для своих клиентов максимум привычного функционала».
Максим Мельситов указывает, что тренд на переход банков с мобильных приложений на веб-версии уже заметен. Опрос кредитных организаций, проведенный “Ъ”, подтвердил мнение экспертов.
Как показал опрос банков, многие банки действительно активизировали веб-разработки. Например, в Росбанке развивают веб не только для физических, но и для юридических лиц. По словам Алексея Ясакова, обновление «Росбанк Бизнес» невозможно из-за ограничений Apple, практика использования «замаскированных» приложений также не является оптимальной и потому Росбанк принял решение приступить к реализации прогрессивного веб-приложения.
Директор департамента розничных продуктов Абсолют-банка Виталий Костюкевич указал, что в понимании банка адаптивный веб — основной инструмент для клиентов на платформе IOS, для клиентов со смартфонами на платформе Android будут доступны и нативные приложения, и адаптивный веб. «Современные версии веб-приложений ничем не отличаются по функционалу и использованию от мобильных приложений»,— указал господин Костюкевич.
ВТБ сообщил, что также перешел на веб-разработку. «В условиях удаления банковских приложений из App Store мы создали веб-приложение, которое объединяет в себе все преимущества привычного онлайн-банка и в то же время надежно в использовании и для клиента, и для банка,— указывают в банке.— Его не нужно обновлять, а функционал и интерфейс такие же, как в обычном приложении».
При этом некоторые банки рассматривают веб как дополнительное решение и отказываться от привычных нативных приложений не планируют. Например, такой позиции придерживается Сбербанк. «Уже сейчас наши клиенты могут пользоваться веб-версией СберБанк Онлайн, при этом мы будем продолжать развивать мобильные приложения»,— рассказывают в пресс-службе кредитной организации.
В пресс-службе ГПБ сообщили, что здесь интернет-банк выступает как альтернатива мобильному приложению. В то же время в веб-версию интегрированы «современные платежные технологии, в частности QR-код».
Алексей Войлуков уверен, что именно санкционные ограничения в первую очередь стимулируют банки переходить на веб-версии. Хотя это и не всегда справедливо. Например, не стремятся развивать адаптивные веб-приложения как в не попавшем под санкции ОТП-банке, так и в «Зените», присутствующем в санкционном списке.