19 марта в "Известиях" вышел материал о вступлении в силу указания Центрального Банка РФ №3361-У и, в частности, пункта 2.8.3 этого указания, согласно которому операторы по переводу денежных средств (т.е. банки) на "на основании заявления клиента" устанавливают "перечень устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга с целью осуществления переводов денежных средств, на основе идентификаторов указанных устройств".
Согласно трактовке "Известий":
ЦБ обязал банки регистрировать все смартфоны и ноутбуки клиентов для совершения транзакций через Сеть. Клиенты не смогут провести операции с незарегистрированных устройств.
Из публикации "Известий", в которой не делается акцента на фразе о заявлении клиента, можно сделать вывод, что новые правила касаются всех клиентов всех российских банков. Такая трактовка, в свою очередь, ставит под вопрос работу всех систем дистанционного банковского обслуживания (ДБО), так как указании ЦБ не дает четкого определения того, что является идентификатором устройства, а у банков и их клиентов возникает необходимость постоянно заниматься бумажной работой, составляя и передавая списки доверенных устройств.
Трактовка "Известий" выглядит пугающе еще и потому, что однозначная идентификация ряда клиентских устройств без установки на них специального ПО в принципе невозможна: MAC-адреса недоступны через веб, т.н. device fingerprints далеки от уникальности, как далеки от уникальности и динамические IP-адреса. Традиционно для усиления защиты удаленного доступа к интернет-банкам и брокерским услугам используется привязка через выделенный (статический) IP-адрес клиента, однако для этого клиент должен приобрести дополнительную услугу по предоставлению такого адреса у интернет-провайдера.
В свою очередь, если фраза "на основании заявления клиента" в указании подразумевает добровольное ужесточение условий доступа к ДБО на основании заявления клиента, то это вполне адекватная мера, защищающая интересы клиентов, которым требуется более серьезная защита и которые готовы для этого предпринять некие усилия со своей стороны.
Roem.ru попросил пресс-службу Центрального Банка прокомментировать, касается ли требование из пункта 2.8.3 указания ЦБ абсолютно всех клиентов ДБО, или возникает на основании заявления клиента, которое для повышения безопасности подается клиентом добровольно.
Ответ ЦБ приводим полностью:
Пункт 2.8.3 Положения Банка России № 382-П (в редакции изменений, внесенных Указанием № 3361-У) устанавливает обязанности кредитной организации, являющейся оператором по переводу денежных средств, определять на основании заявления клиента параметры операций, которые клиент может осуществлять с использованием системы Интернет-банкинга.
При этом порядок предоставления такого заявления определяется договором, а необходимость подачи заявления и соответствующие параметры, в том числе перечень устройств, клиент определяет самостоятельно.
Предоставление клиентом в кредитную организацию сведений о перечне устройств, с использованием которых может осуществляться доступ к системе Интернет-банкинга с целью осуществления переводов денежных средств, является одной из мер, направленных на обеспечение безопасности операций в системе Интернет-банкинга.