Банки РФ выступили против нормы об обязательном подтверждении операций через СМС и мессенджер МАХ
Участники финансового рынка обратились к регуляторам с просьбой не навязывать клиентам способы подтверждения операций, которые ограничены в готовящемся ко второму чтению законопроекте «Антифрод 2.0». Национальный совет финансового рынка (НСФР) 23 марта направил в Банк России и правительство письмо с предложениями по корректировке нормы, обязывающей использовать одновременно СМС и сообщения в национальном мессенджере МАХ для подтверждения дистанционных финансовых операций.
Банковское сообщество считает, что принятие данной нормы в текущей редакции не приведёт к существенному усилению защиты операций, однако способно удвоить операционные расходы финансовых организаций. При этом, по мнению экспертов, СМС-сообщения уже давно не считаются надёжным каналом аутентификации, а мессенджер МАХ в нынешнем виде технически не всегда способен обеспечить бесперебойное подтверждение транзакций.
Согласно тексту законопроекта, двойное подтверждение потребуется для всех «значимых действий», совершаемых гражданами дистанционным способом. Однако в проекте закона отсутствуют чёткие критерии, позволяющие определить, какое именно действие подпадает под эту категорию. Такая неопределённость создаёт правовые риски как для банков, так и для их клиентов.
Глава НСФР Андрей Емелин характеризует предложенную процедуру как «юридически избыточную и необоснованно затратную». Фактически банки будут обязаны направлять два информационных сообщения по одному и тому же действию, что означает двойную стоимость каждой транзакции. «При массовых пользовательских сценариях это может привести к многомиллиардным ежегодным дополнительным расходам, снижению рентабельности и росту цен для пользователей», — отмечается в письме НСФР.
Эксперты указывают, что мессенджер МАХ, несмотря на активное развитие, пока не обладает необходимой инфраструктурной зрелостью для обработки пиковых нагрузок, характерных для банковских операций. В ряде сценариев доставка сообщений может быть задержана или невозможна из-за технических ограничений, что создаст неудобства для клиентов и увеличит нагрузку на службы поддержки банков.
Банковское сообщество предлагает рассмотреть альтернативные методы подтверждения, включая биометрию, Push-уведомления в защищённых приложениях и многофакторную аутентификацию на основе анализа поведенческих паттернов. Такой подход, по мнению участников рынка, обеспечит сопоставимый уровень безопасности без кратного роста издержек.