Банки.ру уже не раз писал о мошеннических действиях со счетами вкладчиков с помощью перевыпуска злоумышленником сим-карты абонента, что позволяло ему проходить аутентификацию на банковских сервисах и подтверждать переводы денег на свой счет. Подобной практике решили положить конец законодательно: Национальный совет финансового рынка (НСФР) совместно с Общероссийским народным фронтом (ОНФ) подготовил проект поправок к закону «О связи». Чем хороша и чем плоха эта идея?
Сим-сим, закройся!
Сим-фрод — довольно популярная в народе «забава». До недавнего времени получить сим-карту по фальшивой доверенности или даже просто под честное слово не составляло труда. В сторону защиты абонентов от мошенников дело сдвинулось лишь после громкой истории Анны Знаменской, чью карту злоумышленники умудрились перевыпустить несколько раз подряд.
В качестве меры, направленной против такого рода мошенничества, банки вводят функцию верификации абонента по уникальному идентификатору (IMSI) сим-карты. Но сделали это пока не все, да и назвать панацеей ее сложно: против технически подкованных мошенников, умеющих подделывать IMSI, система бессильна.
Вообще, согласно пункту 2.8 положения Банка России от 9 июня 2012 года № 382-П, кредитная организация должна приостанавливать отправку сообщений для подтверждения операций при появлении признаков, указывающих на изменение данных получателя. Практика показывает, что информацию такого рода банк получает только после обращения вкладчика. Еще до того, как абонент поймет, что стал жертвой мошенников, и обратится в службу безопасности банка, злоумышленники успеют сделать свое дело.
Именно для исправления этой ситуации НСФР и ОНФ предлагают создать единый центр взаимодействия кредитных организаций с операторами связи с целью получения актуальной информации о статусе использования абонентского номера клиента (о смене владельца номера, о прекращении обслуживания номера и т. д.). И эта инициатива уже поддержана главным управлением безопасности и защиты информации (ГУБиЗИ) Банка России.
Отменить тайну связи
Как считают авторы поправок, самый простой способ для банка верифицировать пользователя — запросить данные непосредственно у сотового оператора. Для этих целей предполагается создать информационную систему, которая станет «буфером» между оператором связи и банком, с помощью которой кредитные организации смогут получать интересующие их данные.
Но на пути встает закон «О связи», гласящий, что «сведения об абонентах и оказываемых им услугах связи, ставшие известными операторам связи в силу исполнения договора об оказании услуг связи, являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации». В перечень таких сведений входят номер и «другие данные, позволяющие идентифицировать абонента или его оконечное оборудование».
Более того, закон гласит, что «предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с их согласия, за исключением случаев, предусмотренных настоящим федеральным законом и другими федеральными законами». Чем и хотят воспользоваться авторы документа, внеся в ФЗ соответствующие поправки.
Как же хотят изменить закон «О связи»? Для начала ввести в него понятие «единой информационной системы для противодействия незаконным операциям» (ЕИС) и прописать обязанность операторов предоставлять в ЕИС данные по запросам банков, заключивших договор с уполномоченной организацией, обеспечивающей ее функционирование. При этом за непредоставление (или за несвоевременное предоставление) данных предполагается установить административную ответственность.
Какого рода данные будут предоставляться? Во-первых, кредитная организация сможет узнавать, соответствует ли Ф. И. О. владельца номера данным, предоставленным им банку. Во-вторых, если в запросе банка указаны Ф. И. О., номер паспорта, номер телефона, то оператор должен предоставить в ЕИС данные о дате заключения договора с абонентом, дате выдачи ему сим-карты и ее замены, если таковая имела место. Получать информацию из ЕИС смогут не только банки, но и иные организации, перечень которых, по замыслу авторов идеи, будет определяться правительством РФ.
Кроме того, чтобы обезопасить население от мошенников, авторы предлагают закрепить за оператором право предоставлять сервис по переводу денег с использованием телефонного номера только надлежащим образом идентифицированным физическим лицам. А самим физлицам предлагают ограничить количество сим-карт, которые можно использовать для «работы с деньгами», пятью.
Сотовые операторы «против»
Но насколько предлагаемый механизм соответствует поставленной задаче? Управляющий партнер агентства «ТМТ Консалтинг» Константин Анкилов считает предлагаемые меры избыточными: «Механизм доступа к информации об абонентах существует — его могут получать силовые структуры. А если кредитные организации хотят иметь подтверждение номера владельца, можно включать копию контракта в список требуемых для оформления кредита документов».
А вот коммерческий директор компании «Джейсон энд Партнерс Консалтинг» Павел Ермолич уверен, что введение подобной системы способно принести пользу, особенно для компаний, занимающихся дистанционными платежами. «Безусловно, организация такой системы и поддержание ее оперативной работы означают дополнительные работы и издержки для операторов связи (поэтому предоставление этих услуг для коммерческих организаций, на мой взгляд, должно быть платным). Но игроки платежного рынка смогут таким образом снизить свои риски, что положительно повлияет на дальнейшее развитие рынка», — говорит эксперт.
В «МегаФоне» и «Билайне» порталу Банки.ру сообщили, что и так полностью соблюдают законодательство и оформляют сим-карты только при наличии документов, удостоверяющих личность. А представитель МТС Дмитрий Солодовников сказал Банки.ру, что компания не поддерживает предлагаемую инициативу: «Создание новой базы данных, куда все операторы связи будут передавать без согласия абонентов указанную информацию, противоречит требованиям законов «О связи» и «О персональных данных». Передача какой-либо информации о своих абонентах операторами связи должна сопровождаться обязательным получением согласия самих абонентов. Наличие дополнительного звена в отношениях между оператором связи и лицами, желающими получить информацию о статусе абонентского номера, является спорным».
Не в восторге операторы и от предложения предоставлять финансовые услуги только «прошедшим проверку» абонентам. «В соответствии с ФЗ «О национальной платежной системе» оператор связи лишь осуществляет возврат аванса абоненту, а перевод электронных денежных средств осуществляет оператор по переводу денежных средств, то есть кредитная организация. Таким образом, существует двусторонний контроль совершения платежей с помощью мобильного телефона, когда можно проследить, кем и в чью пользу совершен платеж», — поясняет Солодовников.
Банки — за
Неудивительно, что в банках на этот проект смотрят совершенно иначе. Для них он — реальная возможность «загнать в стойло» операторов связи, превратив их из непрозрачной прослойки между банком и клиентом в передаточное звено, отчасти контролируемое с помощью штрафов.
Как сообщили порталу Банки.ру в Лето Банке, «данная инициатива может оказаться полезным инструментом противодействия мошенничеству при получении кредитов, определенный рост которого мы наблюдаем в связи с кризисом и снижением платежеспособного спроса. Она дополнит механизмы борьбы с мошенничеством, уже применяемые в Лето Банке, такие как биометрическое распознавание лиц и проверка указанных в анкете контактных данных в присутствии клиента. В результате это положительно скажется на качестве кредитного портфеля банка».
«Безусловно, информация об абонентах, имеющаяся у сотовых операторов, интересна банкам, – говорит начальник управления риск-менеджмента физических лиц Райффайзенбанка Станислав Тывес. – Она может дать кредитным организациям новые возможности по оценке платежеспособности заемщика. Но предоставление этих данных банкам должно происходить с согласия абонента. И необходимость получения такого согласия тоже следует отразить на законодательном уровне. На наш взгляд, институт обмена информацией между банками и сотовыми операторами нужно развивать, и принципы предоставления информации должны быть схожи с принципами, по которым кредитные бюро предоставляют кредитные истории. Стоимость подобных услуг также должна быть сопоставима со стоимостью отчетов, которые предоставляют БКИ».
Кто кого перелоббирует
В предлагаемых поправках нашлись и явные юридические коллизии, что, вероятно, должно препятствовать их продвижению и принятию. Так, управляющий партнер компании Heads Consulting Александр Базыкин считает, что «инициативы в текущем виде противоречат общему содержанию статей 17 и 24 главы 2 Конституции РФ, где говорится о защите прав гражданина страны и запрете сбора и распространения информации о гражданине без его согласия. Предоставление третьим лицам данных об абоненте, его активности и принадлежности может быть проведено только в особых случаях – в рамках расследований, например, и некоторых других частных случаев, но это прописано законодательно и имеет четкий регламент. В остальных случаях закон не подразумевает передачи личных данных далее».
Согласен с ним и управляющий партнер юридической компании «Ценные бумаги Консалтинг» Дмитрий Волосов. «Данная инициатива ОНФ, как большинство законодательных инициатив проправительственных партий и движений в последнее время, мало опирается на правовое поле, – утверждает Волосов. – Сразу встает вопрос, насколько данная инициатива корреспондируется с 24-й статьей Конституции, согласно которой сбор, хранение и использование информации о частной жизни лица без его согласия не допускаются. А вторая часть 55-й статьи прямо запрещает издавать законы, отменяющие или умаляющие права и свободы человека и гражданина.
В обсуждаемом случае практическое значение приобретает такой правовой элемент, как обратная сила закона. Дело в том, что на момент возможного принятия соответствующих поправок все без исключения абонентские договоры с операторами сотовой связи будут заключены без учета новых норм. Иными словами, люди, передавая оператору сотовой связи свои персональные данные, обоснованно исходили из того, что никакие иные организации (правоохранительные органы не в счет) не смогут этими данными воспользоваться».
Как водится, судьба законопроекта зависит в первую очередь от того, кто кого перелоббирует – банки операторов или наоборот (это если допустить, что законопроект будет внесен в Думу и успешно пройдет профильные комитеты). А уж юридические коллизии в нашей стране, как показывает практика, легко преодолеваются при наличии политической воли.
Принять закон мало, надо еще заставить его работать. «Пока отсутствует как формальный запрет, так и реальный механизм, позволяющий заставить людей пользоваться только номерами телефона мобильной связи, оформленными на свое имя, данная законодательная инициатива будет мертворожденной», – указывает Волосов.
Павел ШОШИН, Михаил ДЬЯКОВ, Banki.ru
Комментарии
1) Я, меняя места работы, частенько получал новые номера мобильных телефонов ("корпоративные номера"), которые были зарегистрированы на юрлицо-работодателя. Я успешно использовал их для работы с интернет-банками. Получается, мне теперь будет это делать низзя?
2) Как-то так получилось, что всю жизнь я покупал всей семье телефоны / симки и все номера были зарегистрированы на меня. Получается, что так теперь тоже нельзя, если номером, зарегистрированным на меня, будет пользоваться супруга и подцепит его к своему интернет-банкингу?!
А вообще, какое-то странное направление развития. По мне всё должно быть существенно проще - если мы говорим про распоряжения на перевод с банковского счета, то все такие переводы должны тупо стать отзывными, по крайней мере, в течение какого-то разумного срока (3 дня... 5 дней... 10 дней). Чтобы предотвратить злоупотребления, при отзыве платежа отправителем получатель должен в течение такого же разумного срока предоставить подтверждение, что на этот перевод он имеет право (договор, акт, счет и т.д.). Если получателя просто "нет" - банк оформил карту на левое/несуществующее лицо, деньги возвращаются отправителю, а проблема становится проблемой банка-получателя...
По-моему, такая мера решает вопрос существенно эффективнее, чем какие-то привязки мобильников.
10раздолбайство(не сверяет данные лица внимательно)
2) Банальный сговор сотрудника -все остальное это глупые юридические ужимки из разряда "докажи-не докажи"-конечное звено есть всегда и оно вовсе не среди хакеров лабораторий
Если не рассматривать вариант с виртуальной сим картой конечно(в статье не об этом)
Надо менять не закон а прекратить среди сотовых операторов гонку за нормативами продаж сим-карт, при которой сотрудники оформляют карты даже по копии(для этого и действующие нормы подойдут-например в случае какой бяки с симкой отвечать будет директор регионального недоразвития- одного посадить другие будут своим сотрудникам хвосты пуще силовиков крутить)
выдачу дубликата разрешать только там где есть прямой доступ к базе -в офисах компаний, а не у станций метро
Банки конечно за но они лукавят- обладая информацией с номера можно за клиента (вместо него) заниматься приписками-выдавать кредиты онлайн-это будет гораздо хуже чем немассовые случаи хищений
1 Весьма неосмотрительно с Вашей стороны использовать корпоративные номера для банкинга. Потому как по доверенности операции с номером может делать широкий круг лиц-бухгалтерша которая в расстройстве из за того что не подарили ей конфетку на 8 марта
2 Это как раз не юридический момент а вопрос доверия. Если уверены в своих близких то можете это делать. В банках на кого офрмлен номер при подключении интересуются чисто формально(кстати тоже упущение) Детям надо объяснять что телефон зарегистрирован на маму\папу и что баловаться и вызывать дядей пожарных нельзя
Куда только свой нос сунуть они уже не хотят - в пенсионный фонд, в ОМС, в миграционную службу, теперь полезли в базы сотовых операторов...
Прямо КГБ какое-то...
Не давать выводить деньги на номера телефонов? Ну так это вообще не понятно как будет работать, получится, что я номер телефона друга на 100 рублей не смогу пополнить через банк? Гораздо проще и эффективнее создать правила на количество и суммы переводов, с плавающим подтверждением - при превышении разумного или подозрении требовать дополнительной идентификации или перенаправить в иной канал, где идентификация более "железная".