Ограничения для иностранных сервисов могут осложнить работу с приложениями банков
По итогам второго чтения законопроекта об ограничении доли иностранного участия в капитале новостных агрегаторов в нем появились положения, касающиеся авторизации клиентов на сайтах и в информационных системах, которые могут создать проблемы для финансового сектора.
В частности, дочерние кредитные организации иностранных игроков не смогут легитимно работать с клиентами ни через приложения, ни через интернет-банк. Вне закона окажутся и сервисы «МирПэй» и «СБПэй». Пока эти риски компенсирует отсутствие наказания за неисполнение требований.
В принятых 25 июля поправках к законам «Об информации, информационных технологиях и о защите информации» и «О связи» появились нормы, касающиеся регламентации способов авторизации на сайтах и в информсистемах. В отзыве Ассоциации участников рынка электронных денег и денежных переводов (АЭД) говорится, что изменения могут затруднить удаленное обслуживание клиентов финансовых организаций и Национальной системы платежных карт (НСПК), а в некоторых случаях сделают его невозможным.
Как пояснил глава АЭД Виктор Достов, в законе прописаны четыре способа авторизации: через сотовых операторов, Единую систему идентификации и аутентификации (ЕСИА), Единую биометрическую систему (ЕБС) или через иную информсистему, принадлежащую гражданину РФ или российскому юрлицу (прямо или косвенно).
Глава правления ассоциации «Финансовые инновации» (АФИ) Роман Прохоров полагает, что подавляющее большинство банковских систем авторизации подпадает под действие четвертого пункта. Однако исключением могут стать дочерние структуры иностранных кредитных организаций, для которых данное требование будет «дополнительным стимулом для решения вопроса об изменении владельцев».
Не будет соответствовать нормам закона и работа приложений «МирПэй» и «СБПэй», для авторизации в которых используются сервисы Apple и Android, уточняет Виктор Достов.
В отзыве АЭД отмечается, что многие клиенты обращаются к удаленным каналам несколько раз в день, а это означает миллионы авторизационных запросов ежедневно, что на порядки больше, чем инфраструктура ЕСИА, ЕБС или сотовых операторов обрабатывает сейчас. «Сбои фактически будут означать невозможность доступа к удаленным каналам обслуживания, что крайне негативно скажется на доверии к финансовому сектору»,— говорится в письме.
Более того, все программное обеспечение, которое используется банками для собственных систем авторизации, иностранное и встроено в информационную систему, а также в систему кибербезопасности. «Тут все зависит от трактовки, которую будут использовать те, кто придет проверять банки на соответствие новому закону — импортозаместить их нереально, поскольку потребует очень много времени и денег на абсолютно бессмысленную операцию»,— считают эксперты.
Финансовые организации производят авторизацию клиентов каждый раз, когда пользователь открывает мобильное приложение или сайт интернет-банка. Используемые механизмы надежны и их безопасность подтверждена многолетней практикой, таким образом, переходить на другие способы авторизации — это неоправданные затраты без улучшения клиентского пути, полагают участники рынка.
Смягчает ситуацию, по мнению Романа Прохорова, то, что законопроект не предусматривает мер ответственности за несоблюдение порядка авторизации. Тем не менее, подчеркнул один из банкиров, «все ждут разъяснений от регулятора», которых пока не последовало.
