Комплаенс / Новости 03 октября

Банки РФ обязаны подтверждать телефонные номера и электронную почту клиентов для защиты от мошенников

Банки с 1 октября этого года для защиты клиентов от действий кибермошенников обязаны идентифицировать устройства, с которых граждане проводят онлайн-операции, а также подтверждать их телефонные номера и адреса электронной почты.

Соответствующие требования описаны в указании ЦБ РФ, которое вносит изменения в положение Банка России №683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

Согласно документу, кредитные организации обязаны проводить идентификацию устройств клиентов при проведении банковских операций с использованием удаленного доступа.

"Даже если преступники выманят пароли и коды для доступа в интернет– или мобильный банк, им не удастся войти в ваш личный кабинет со своего гаджета. Как только банк заметит подмену, он свяжется с вами и уточнит, вы ли заходите с другого устройства", — поясняется на ресурсе "Финансовая культура", созданным ЦБ.

Если банковская операция осуществляется через мобильное приложение, кредитные организации должны будут подтверждать телефонный номер клиента и использовать эти данные при анализе характера, параметров и объема совершаемых операций. При этом конкретные способы и сроки подтверждения электронной почты и телефонного номера в документе не указаны.

"Периодичность указанной проверки нормативными актами Банка России не установлена. При этом считаем целесообразным первично проводить указанную проверку при осуществлении идентификации клиента в офисах кредитных организаций, а также обеспечить проведение последующих периодических проверок с целью поддержания имеющихся абонентских номеров клиентов, на которые осуществляется направление уведомлений об осуществлении банковских операций в актуальном состоянии", — говорится в письме директора департамента информационной безопасности ЦБ Вадима Уварова, направленному в Национальный совет финансового рынка (НСФР). С его содержанием ознакомился "Интерфакс".

Некоторые банки уже используют эти меры для защиты клиентов, но с 1 октября эти правила стали обязательными для всех кредитных организаций.

С 1 октября кредитные организации также обязаны информировать ЦБ не только об инцидентах защиты информации, но и о принятых мерах по реагированию на них. Кроме того, они обязаны информировать ЦБ о сайтах, которые используются кредитной организацией для ведения банковской деятельности, принадлежащих ей или администрируемых в ее интересах.

В июле 2020 года НСФР направил ЦБ письмо с предложением исключить из проекта указания требование об обязательном подтверждении кредитными организациями электронной почты клиентов в связи с затратностью процесса и его влиянием на скорость предоставления услуг. В письме отмечалось, что, по мнению участников финансового рынка, введение обязательного дополнительного шага по верификации адреса электронной почты клиента противоречит принципам "бесшовного ФинТеха" и может стать основанием для полного отказа клиента в предоставлении адреса электронной почты.