Для обеспечения безопасности платежных услуг, предоставляемых с использованием сети Интернет, кредитным организациям предложено проводить так называемую многофакторную аутентификацию пользователей. Официальные рекомендации по этому вопросу подписала заместитель председателя Банка России Татьяна Чугунова.
Для предупреждения киберпреступлений банки и другие операторы по переводу денежных средств должны мониторить активность каждого клиента. В частности, в целях анализа рисков определять критерии повышенного внимания к операциям (частоту, порядок, сумму, место совершения операции, получателя и пр.). Если же клиент в течение длительного времени не проводит «виртуальные транзакции», банк по истечении периода «бездействия» может заблокировать доступ и предложить пользователю подтвердить свои права.
Также операторам предложено информировать клиентов обо всех неудачных попытках получения посторонними лицами доступа к их сервисам, предоставив возможность приостанавливать или иным образом ограничивать предоставление услуг. Рекомендуется лимитировать размер совершаемых через Интернет денежных операций, причем размер таких лимитов может определяться самим клиентом.
Основной обязанностью кредитной организации остается проверка (аутентификация) пользователя. На первое место Банк России ставит многофакторный метод, предусматривающий определение «постоянных неотъемлемых свойств» клиента, к которым относятся отпечатки пальцев, знание определенной информации (например, пароля), а также наличие специального персонального идентификатора (электронного ключа) или иного устройства. Допускается динамическая аутентификация клиента (применение ограниченного по сроку действия или числа использования пароля) или подтверждение операций с помощью одноразовых кодов, передаваемых клиенту по альтернативному каналу связи (в том числе путем отправки SMS-сообщений).
Напомним, что, по данным Банка России, ежемесячно петербургские банки проводят до 7 млн операций, причем в 74 процентах случаев поручения в кредитную организацию передаются с использованием сети Интернет. Принятый два года назад Федеральный закон «О национальной платежной системе» предусматривал введение с 1 января 2013 года принципа полной ответственности банков за совершенные без согласия клиента транзакции, но в последний момент парламентарии отложили вступление в силу защищающих потребителей норм на 2014 год.