В России могут создать единую систему онлайн-банкинга

В России должен быть создан Национальный оператор идентификации (НОИ) клиентов при дистанционном банковском обслуживании (ДБО), заявил "Известиям " научный руководитель ФГУП ВНИИПВТИ Валерий Конявский. Предприятие разрабатывает средства защиты систем и сетей от несанкционированного доступа к информации — семейство программно-технических комплексов "Аккорд" (эти средства широко применяются в организациях Центрального банка).

12 млн рублей в день прибыли

— Эту идею я озвучиваю впервые, и она должна быть реализована банковским сообществом, — заметил Конявский. Он пояснил, что Национальный оператор идентификации может быть создан при Ассоциации российских банков (АРБ) или ассоциации региональных банков "Россия". Это будет структура вроде Национального платежного совета на рынке безналичных транзакций или НБКИ на рынке бюро кредитных историй.

Оператор будет идентифицировать пользователей интернет- и мобильных банковских сервисов, а после процедуры идентификации перенаправлять клиента в конкретный банк. НОИ полностью возьмет на себя функции идентификатора, а значит, и связанные с процедурой идентификации риски (как поступают страховые компании). Ответственность за мошеннические атаки и "пропуск" недобросовестных пользователей также будет нести оператор.

По словам Конявского, в создание оператора может быть инвестировано 100–150 млн рублей, срок реализации проекта — полгода. В свою очередь и маршрутизация — выгодный бизнес, уверен собеседник "Известий".

— Если за каждую коммуникацию брать 1 рубль, получается 12 млн рублей в день, по нашим подсчетам, — говорит Конявский.

Бизнес не любит анонимности

В АРБ инициативу Конявского в целом поддержали.

— Бизнес не любит анонимности, поэтому любые попытки и средства, позволяющие надежно идентифицировать клиентов ДБО, приветствуются и рассматриваются, — заявил  исполнительный директор АРБ Тимур Аитов. — Другое дело, что все новые идеи должны быть обоснованы реальными цифрами с точки зрения эффективности.   

По словам Аитова, банки до сих пор неохотно передают на аутсорсинг все работы, так или иначе связанные с обслуживанием клиентской базы, — они опасаются потерять клиентов. Однако более важным является вопрос рисков. До сих пор хакерам удается обходить достаточно изощренные системы защиты, вполне возможно, что хакеры смогут фальсифицировать сообщения и нового удостоверяющего центра.   

— Сможет ли взять на себя небольшая организация многомиллиардные риски, сопровождающие работу сотен банков страны? — рассуждает Аитов. — Если же риски заложить в комиссии по предоставлению данной услуги, то это может свести на нет всю привлекательность идеи всероссийского "маршрутизатора".

По словам участников рынка, размер максимальной комиссии для банков при идентификации клиентов оператором должен ограничиваться 0,5% от суммы операции.

— Возможно, НОИ можно рассматривать как дополнительный идентификационный сервис только для самых крупных сделок, — продолжает Аитов. — Тогда условием возможности проведения клиентом крупных операций могла бы стать обязательная регистрация в НОИ.

Как потерять все яйца, сложенные в одну корзину

Эксперты, опрошенные "Известиями", восприняли инициативу скептически. Начальник управления транзакционных и сберегательных продуктов Абсолют Банка Мария Коханюк напоминает, что в соответствии с 161-ФЗ ответственность за транзакции с электронными средствами платежа несет банк.

— При этом сначала банк должен возместить клиенту сумму спорной транзакции, а уже потом разбираться в ситуации и возвращать средства. Никакой ответственности Национального оператора идентификации не предусмотрено. Поэтому утверждение "Ответственность за мошеннические атаки и "пропуск" недобросовестных пользователей также будет нести оператор" законодательно никак не обоснованно, — говорит Коханюк.

— Есть те же бюро кредитных историй, которым можно поручить функции идентификаторов, зачем нужен отдельный оператор? — недоумевает консультант по IT в финансовом секторе компании Сinimex (разрабатывает IT-решения для банков) Владимир Коломейцев.

По мнению менеджера компании "Юнисаб" (разработчик банковского программного обеспечения) Игоря Никитина, проект обещает быть дорогостоящим и выйдет за рамки упомянутых 100–150 млн рублей. По его словам, в проекте могут поучаствовать крупные игроки, но никак не региональные — не потянут.

Директор по продажам в России, СНГ и странах Балтии компании Stonesoft (разработчик решений в сфере обеспечения сетевой безопасности) Карен Карагедян вообще не верит в идею создания единого национального центра аутентификации.

— Это вопрос доверия банков и их клиентов какому-то вновь созданному органу своих конфиденциальных данных. Если все яйца сложить в одну корзину, потерять их значительно проще, чем сейчас, когда они лежат во многих. Риск взлома мошенниками этого центра очень высок, его нельзя сбрасывать со счетов, — говорит Карагедян.

По его словам, платежи посреднику означают дополнительные затраты, не облегчающие, а усложняющие жизнь кредитным организациям. С клиентской точки зрения посредник — это еще одна инстанция, которой он должен доверить весьма конфиденциальную информацию.

 — Главные сложности реализации идеи создания НОИ — в перенаправлении клиентских потоков в эту систему, а с другой — в интеграции этого ресурса в разнообразные системы банковской автоматизации, — говорит начальник управления безопасности информационных технологий СМП банка Павел Головлев. — Ситуация усугубляется также  неопределенностью правового поля в этом вопросе и необходимостью покрытия инфраструктуры всей территории страны.  

Юристы обращают внимание на два момента.

— Во-первых, нужно будет определить критерии допуска того или иного клиента к операции, — говорит юрист правового бюро "Олевинский, Буюкян и партнеры" Андрей Метелёв. — Во-вторых, если банки планируют снять с себя часть ответственности, у клиента должна быть возможность выявить виновное лицо между оператором и банком в случае нарушения его прав и возместить причиненный ущерб.

Каждому человеку — по IP–адресу

Аитов предлагает подумать и над альтернативами НОИ: к примеру, проще бороться с анонимностью, если закрепить IP-адрес за каждым пользователем Сети — эти идеи уже озвучивались. Да, хакеры, видимо, будут воровать ("подменять") личные IP-адреса и  пользоваться ими, но безопасность сервисов ДБО в целом улучшится, поскольку основная  масса IP-адресов будет известна, считает Аитов.