С 1 октября банки обязали идентифицировать устройство и проверять данные клиента

Требования вступают в силу в соответствии с указаниями ЦБ РФ на основании положения Банка России №683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». В частности, банки обязаны идентификация устройства для проведения банковских операций с использованием удаленного доступа.

«Даже если преступники выманят пароли и коды для доступа в интернет- или мобильный банк, им не удастся войти в ваш личный кабинет со своего гаджета. Как только банк заметит подмену, он свяжется с вами и уточнит, вы ли заходите с другого устройства», — сообщает ресурс «Финансовая культура», созданный ЦБ РФ (цитата по «Интерфаксу»).

При осуществлении банковских операций через мобильные приложения банки обязаны проверять телефонные номера, а также проводить анализ характера и объемов проводимых пользователем операций. При этом способы и сроки подтверждения номеров и электронной почты не оговорены в документе.

«Периодичность указанной проверки нормативными актами Банка России не установлена. При этом считаем целесообразным первично проводить указанную проверку при осуществлении идентификации клиента в офисах кредитных организаций, а также обеспечить проведение последующих периодических проверок с целью поддержания имеющихся абонентских номеров клиентов, на которые осуществляется направление уведомлений об осуществлении банковских операций в актуальном состоянии», — объяснил директор департамента информационной безопасности ЦБ Вадим Уваров в письме, направленном в Национальный совет финансового рынка (НСФР).

Соответствующие меры защиты ранее использовались в некоторых кредитных организациях, но с 1 октября эти требования стали обязательными для всех банков.

Помимо этого с 1 октября банки должны сообщать в ЦБ об инцидентах защиты информации, а также докладывать о мерах реагирования на них. Кредитные организации также должны предоставить регулятору данные о сайтах, используемых в банковской деятельности, а также о ресурсах, принадлежащих им или администрируемыми ими в своих интересах.