Граждан расставят по адресам
ЦБ планирует ввести верификацию электронной почты физлиц
ЦБ запустил пилотный проект, призванный выработать алгоритм верификации электронной почты граждан при их взаимодействии с банками. Первые итоги будут подведены уже на этой неделе, а после обсуждения с рынком должны стать основой для нового нормативного акта. Эксперты поддерживают идею, однако ждут от регулятора предоставления возможности выбора способов верификации, четких разъяснений, что можно и нельзя отправлять по почте, а также длительных сроков внедрения новых требований.
Как стало известно “Ъ”, ЦБ вместе с банками реализует пилотный проект по подтверждению электронной почты клиентов-физлиц. Первый заместитель главы департамента информационной безопасности Банка России Артем Сычев подтвердил “Ъ” эту информацию. Он пояснил, что банки часто направляют клиенту сообщения по СМС или электронной почте, при этом, если адрес не подтвержден, доступ к банковской тайне может получить злоумышленник.
Исходно, становясь клиентами банка или оформляя какой-то новый продукт, граждане сами предоставляют электронный адрес. Но со временем он может устареть, быть взломан или, в случае корпоративной почты, перейти к другому лицу. Сейчас банки эти риски фактически игнорируют, не запрашивая данные об изменении электронного адреса, а клиенты нередко просто забывают, какой почтовый ящик указывали при заполнении анкеты.
Между тем кредитные организации отправляют гражданам по электронной почте важную персональную информацию, такую, например, как выписки по счетам. Верификация телефонных номеров существует и будет усилена через законопроект по обмену информации по сим-картам. «Однако провести схожую верификацию с имейлами невозможно: разные операторы, почты разные, собственные есть системы,— пояснил господин Сычев.— Между тем важно, чтобы информация (выписка, сообщение о платежах и т. д.), если направляется по данному каналу, попала тому, кому принадлежит».
В ходе пилотного проекта банки прорабатывают варианты подтверждения электронной почты. По данным “Ъ”, среди участников пилота Тинькофф-банк, ОТП-банк, ВТБ. В кредитных организациях участие не отрицают, однако раскрывать не хотят. В ОТП-банке указали лишь, что процедура должна быть простой, но при этом обеспечивающей достаточный уровень верификации. Артем Сычев подчеркнул, что необходимо верифицировать почту как новых, так и уже действующих клиентов.
По словам председателя правления банка «Русский стандарт» Александра Самохвалова, доступным способом подтверждения почты для клиентов могут стать интернет- и мобильный банки, банкомат (при введении карты и пин-кода), предложение подтвердить e-mail клиент может получать при входе в дистанционный канал обслуживания. По словам гендиректора Zecurion Алексея Раевского, например, при подтверждении через мобильный банк клиенту может приходить на почту код, который опять же надо будет ввести в мобильном банке.
После появления перечня предложений его планируется обсудить со всем рынком. Первые материалы по итогам пилотного проекта банки должны представить на следующей неделе. Пока не решено, будут требования по верификации электронной почты выпущены в виде методических рекомендаций или же станут обязательными требованиями путем внесения поправок к положению 382-П. В ЦБ этот вопрос не комментируют.
Участники рынка в целом поддерживают инициативу регулятора, уточняя, что важно конкретное содержание будущих требований или рекомендаций. По словам директора департамента клиентских взаимоотношений Промсвязьбанка Даниила Ткача, подтверждение почты позволит повысить эффективность коммуникации, однако для верификации электронных адресов банкам может потребоваться дополнительная автоматизация: «Важно, чтобы ЦБ дал время на реализацию требований по верификации, разумным может быть срок от полугода».
Кроме того, регулятор должен определить, что можно отправлять по электронной почте, а что нет. «Почта была и остается каналом, по которому данные пересылаются в открытом виде, их легко перехватить, подменить,— отмечает консультант по интернет-безопасности компании Cisco Алексей Лукацкий.— И потому сообщения не должны содержать критическую информацию». Если же речь идет о банковской тайне, добавляет эксперт, то письма с ее содержанием должны направляться только с согласия клиента.