Интернет-Банкинг, Украина. Безопасность. Рекомендации, часть 5. "Три уровня доступности".

Предположим наихудшее — злоумышленнику удалось "что-то" у Вас похитить. И использовать. Как Вы можете защитить свои средства в такой ситуации? Естественно, позвонить в Банк, блокировать карту, счет, операции в "интернет-банке". А если Вы в отпуске, на даче, за границей, или просто отдыхаете с отключенным телефоном, в конце концов? Насколько "доступны" в этом случае Ваши средства?

1. "Карта".

Вы "потеряли" карточку. Была они с пин-кодом "вместе" или нет, есть там CVV2 код или нет.. Считаем, похититель располагает некоторым временем и в конечном итоге снимет все, что на ней "доступно". А что может быть доступно? Какие есть способы предотвратить потери на этом "уровне"?

• "Суточный лимит", ограничивающий сумму расхода, доступную "в течении суток" (есть и "в течении месяца"). Самое популярное средство. Очень часто его "снимают". Очень часто его надо оформлять через "заявку", чтобы установить и снять, и эта заявка может выполняться несколько часов. Между тем, интернет-банкинг может давать возможность самому в течении "одной минуты" его устанавливать и снимать. Теоретически. При потере карточки — вы теряете "суточный лимит".
• "Неснижаемый остаток" — лимит, средства на котором вообще недоступны к расходу. Реально это стало "работать" только с появлением интернет-банкинга! При условии, что у Вас есть возможность самому и быстро его задавать, и без усилий переводить средства с "неснижаемого" на "расходную часть". Тут можно вообще держать на карточке "0.00", и по мере необходимости, выводить для расхода какие-то суммы "с некоторым запасом". В этом варианте (если на карте нет вдобавок "кредитного лимита") — при потере карточки Вы не теряете ничего.

В некоторых Банках это уже реализовано, в некоторых — все "по старинке".

2. "Доступ к программе".

Кому-то удалось "увести" Ваш телефонный номер (как правило, интернет-банкинг завязан на него) и Ваш пароль к программе банкинга. Тяжелый случай.. Все лимиты можно снять, все можно куда-то перечислить. Вы потеряете все на "карточных счетах". И на вкладах "до востребования".

А на "депозитах"?

Сегодня, как правило, расторжение депозита возможно, но для этого требуется "личное присутствие" и "письменное заявление" в отделении Банка, где Вы обслуживаетесь.

Как можно поступить для блокировки доступа к средствам, используя это? Самая простая схема — открываете депозит, сроком 1 месяц, с автоматической пролонгацией. Средства будут "доступны" всего 1 день в месяце, ежемесячно. Вы хотите иметь "постоянную" возможность перевести некоторую сумму с "депозита" на "текущий счет" без необходимости "визита-на-отделение"? Откройте 4 таких депозита, сроком на месяц, каждый спустя 7-8 дней от предыдущего. Каждую неделю у Вас будет возможность "вывести четверть" средств, с сохранением остальных "три четверти" на депозитах. Неудобно? Да, запутанно :) Но что я хочу этим сказать? Это уже стало иметь смысл. Это нечто, соединенное вместе как "карточка+интернет+депозит"!

Этого не было раньше. Поставив перед собой цели "безопасности+удобства", можно уже сегодня разработать 5-10-20 моделей "депозит-on-line", моделей, бессмысленных без "интернет-банкинга", но уже завтра - это будет крайне актуально для тех банков, кому потребуется обеспечить "лучший продукт".

3. "Паспорт".

К предыдущим потерям, в руки "коварного врага" попал и Ваш паспорт (Ай-яй-яй, какая незадача.. Ну, просто сплошной "черный день"!). Если кто-то, слегка загримированный, явится в отделение Банка, с Вашим паспортом, напишет заявления и закроет все Ваши депозиты — а из программы банкинга вся информация будет доступна — Вы теряете все. Если только сотрудники отделения не знают Вас в лицо. Если у них нет Ваших фото, кроме как на паспорте. Если Вы были в отделении только 1 раз — когда "открывали счет", и не посещали его с тех самых пор.

Далеко не так сложно посетить отделение несколько раз, обсудить тарифы, поговорить о разных видах вкладов, даже показаться бестолковым (..и Маша ему рассказала, и Светлана Петровна, и я уже минут 20 втолковываю!) - но если Вас запомнят.. "Интернет-банкинг" обезличивает клиента, и это не всегда хорошо.

Вот три уровня "доступности" Ваших средств. По мере развития интернет-банкинга, какими бы редкими и исключительными не казались Вам эти три "сценария потерь", они становятся все более и более реалистичными. Об этом надо знать.

Примечание: Впрочем, я забыл еще один уровень. Нулевой. Это наличка, деньги "на руках", не помещенные в Банк и на карту. Это — не по теме "интернет-банкинга" :)

"Интернет-банкинг" интенсивно развивается.

Главное, что я хочу показать этой главой: банковские технологии, разработанные "по старинке", простым повторением операций-функционала-схем расчета и зачислений-депозитов-кредитов — уже устарели. Уже сегодня. Это надо иметь в виду.

4. "Перспективы развития".

Этот пункт буду излагать уже не как "Мы рассматриваем", а как "Что можно сделать в банковских технологиях?", адресованное, в первую очередь, банкам.

На сегодня — "основным средством защиты" является "карта", и ее пин-код. 4 цифры. И существуют сотни способов его "подсмотреть", как и "сделать копию" карточки. При этом у большинства (!) клиентов не установлены ограничения на снятие и задействован максимальный кредитный лимит.

Я считаю, что необходима реализация «трехуровневой» системы доступа/защиты средств, например "карта/банкинг/паспорт". Главным звеном в ней должен являться именно "интернет-банкинг".

Что требуется реализовать для этого?

1. "Карточка" - технологии работы с карточками давно отлажены и, как бы это выразиться - "устоялись". Но массовое распространение интернет-банкинга позволяет существенно их изменить. Например, стало уже привычным подтверждение операций в интернет-банкинге через СМС-код — эту же схему можно реализовать и для карт. Это позволит вообще отказаться от "фиксированного пин-кода". Мы получаем "одноразовый пин-код", или "одноразовый CVV2-код", формируемый по запросу, из программы банкинга или от банкомата, имеющий ограниченное время использования, несколько минут, действующий для "вот этой" карточки. Мало того, становится реальной разработка приложения для смартфона или планшета, генерирующего такие коды, как "автономно", так и по "синхронизации с банкингом".

2. "Интернет-банкинг" — реализация схемы управления остатками на счету :

• "расходный остаток" — то, что доступно "с карточки";
• "скрытый остаток" — с карты не виден, снять его нельзя, можно только перевести на "расходную часть". Операция должна выполняться "моментально":
• "сейф-остаток" — в интернет-банкинге допустим только перевод средств "на него", ничего снять или вывести нельзя. Операция должна выполняться "моментально".

3. "Достоверная идентификация" — для выведения средств с "сейф-остатка" потребуется или "личный визит", либо иные, более детальные, применяемые вне банкинга, средства авторизации (видеоконтакт, дополнительная пароль-фраза, личное появление с паспортом). То есть нечто, являющее существенно более значимым, чем пароль или код, средством идентификации. Операция НЕ моментальная, но должна обеспечиваться существенно надежнее предыдущих двух.

Клиент получает при этом "инструмент" управления. Достаточно простой и быстрый. Существенно надежнее существующих инструментов. Причем, при заключении договора есть возможность выбора условий: один уровень, два или все три? Куда направлять пополнения — в "расходный" или "скрытый"? Какую из процедур "достоверной идентификации" предпочтет клиент?

Я вижу в этом простую, бытовую логику. Все эти деньги "принадлежат" карточному счету. Но если объяснить попроще:

• "расходный" — это "деньги в руках". Использовать — немедленно.
• "скрытый" — это "деньги в застегнутом кармане пиджака". Использовать — надо расстегнуть карман, достать и взять в руки. Почти сразу.
• "сейф-остаток" — это "деньги дома в тумбочке". Использовать — или пойти их взять, открыв двери, открыв тумбочку, или кто-то сходит, принесет их Вам. Надо некоторое время.
  

И внедрение такой схемы полностью меняет подход к интернет-банкигу. И этот подход, я считаю, гораздо более интересен клиенту, чем сегодняшний.

Почему этого нет уже сейчас?

Конечно же, есть — депозиты типа "Копилочка" или "Кошелек", "Неснижаемый остаток по счету", "Двухнедельный депозит с пролонгацией" и т.д.

Понемногу, постепенно, эти технологии частично реализуются то в одном банке, то в другом. В течении нескольких лет это будет реализовано повсеместно.. Сами идеи не так уж новы и "революционны", но собрать все это вместе и реализовать?

Кто станет первым?

К предыдущей части       Рекомендации,часть 4. "Вклады-on-line".

При использовании материалов просьба указывать ссылку на блог:
http://internet-bank-ua000.blogspot.com/2013/11/blog-post.html