Центробанк РФ вместе с банками реализует пилотный проект по подтверждению электронной почты банковских клиентов — физических лиц, стало известно газете «Коммерсант». Первый заместитель главы департамента информационной безопасности Банка России Артем Сычев подтвердил изданию эту информацию. Он пояснил, что банки часто направляют клиенту сообщения по СМС или электронной почте, при этом, если адрес не подтвержден, доступ к банковской тайне может получить злоумышленник.
Изначально граждане, становясь клиентами банка или оформляя какой-то новый продукт, сами предоставляют электронный адрес. Но со временем он может устареть, быть взломан или в случае корпоративной почты перейти к другому лицу. Сейчас банки эти риски фактически игнорируют, не запрашивая данные об изменении электронного адреса, а клиенты нередко просто забывают, какой почтовый ящик указывали при заполнении анкеты.
Между тем кредитные организации отправляют гражданам по электронной почте важную персональную информацию, такую, например, как выписки по счетам. Верификация телефонных номеров существует и будет усилена через законопроект по обмену информации по сим-картам. «Однако провести схожую верификацию с имейлами невозможно: разные операторы, почты разные, собственные есть системы, — пояснил Сычев. — Между тем важно, чтобы информация (выписка, сообщение о платежах и так далее), если направляется по данному каналу, попала тому, кому принадлежит».
В ходе пилотного проекта банки прорабатывают варианты подтверждения электронной почты. По данным «Коммерсанта», среди участников пилотного проекта — Тинькофф Банк, ОТП Банк, ВТБ. В кредитных организациях участие не отрицают, однако раскрывать не хотят. В ОТП Банке указали лишь, что процедура должна быть простой, но при этом обеспечивающей достаточный уровень верификации. Артем Сычев подчеркнул, что необходимо верифицировать почту как новых, так и уже действующих клиентов.
По словам председателя правления банка «Русский Стандарт» Александра Самохвалова, доступным способом подтверждения почты для клиентов могут стать интернет- и мобильный банки, банкомат (при введении карты и ПИН-кода), предложение подтвердить имейл клиент может получать при входе в дистанционный канал обслуживания. По словам гендиректора Zecurion Алексея Раевского, например, при подтверждении через мобильный банк клиенту может приходить на почту код, который опять же надо будет ввести в мобильном банке.
После появления перечня предложений его планируется обсудить со всем рынком. Первые материалы по итогам пилотного проекта банки должны представить на следующей неделе. Пока не решено, будут предложения по верификации электронной почты выпущены в виде методических рекомендаций или же станут обязательными требованиями путем внесения поправок к положению 382-П. В ЦБ этот вопрос не комментируют.
Участники рынка в целом поддерживают инициативу регулятора, уточняя, что важно конкретное содержание будущих требований или рекомендаций. По словам директора департамента клиентских взаимоотношений Промсвязьбанка Даниила Ткача, подтверждение почты позволит повысить эффективность коммуникации, однако для верификации электронных адресов банкам может потребоваться дополнительная автоматизация: «Важно, чтобы ЦБ дал время на реализацию требований по верификации, разумным может быть срок от полугода».
Кроме того, регулятор должен определить, что можно отправлять по электронной почте, а что нет. «Почта была и остается каналом, по которому данные пересылаются в открытом виде, их легко перехватить, подменить, — отмечает консультант по интернет-безопасности компании Cisco Алексей Лукацкий. — И потому сообщения не должны содержать критическую информацию». Если же речь идет о банковской тайне, то письма с ее содержанием должны направляться только с согласия клиента, добавляет эксперт.
