Как стало известно «Маркеру», сразу несколько банков намерены предложить клиентам биометрические идентификационные устройства для защиты их денежных средств при операциях, совершенных в интернет-банкинге. Прежде чем провести операцию, банк проверит отпечатки пальцев клиента, который приобретет и подключит такой гаджет. Эксперты не уверены, что рядовому клиенту нужны подобные сложности при проведении платежей.

По словам участников рынка, на данный момент Сбербанк и Банк24.ру уже тестируют возможности устройств по считыванию отпечатков пальцев как дополнительную меру защиты личной информации и денежных средств своих клиентов при дистанционном банковском обслуживании (ДБО). Об этом «Маркеру» рассказали в одной из компаний — разработчиков таких устройств.

Для «Сбера» это не первый опыт. Еще в 2009 году кредитная организация совместно с компанией «Инпас» реализовала пилотный проект социальной карты в Астраханской области. Специальные банковские карты можно было использовать в POS-терминалах и банкоматах с функцией биометрической идентификации. Для проведения какой-либо операции необходимо было приложить к экрану три пальца, а для отмены — четыре. Четвертый палец назывался в рамках проекта «стоп-пальцем», или «тревожным пальцем» — дело в том, что при касании экрана четырьмя пальцами АТМ показывал нулевой баланс, что при необходимости позволяло ввести в заблуждение злоумышленников. Биометрической инновацией могли воспользоваться граждане, имеющие право на социальные выплаты. О запуске проекта где-либо, помимо Астраханской области, пока неизвестно.

Первым банком, который снимет отпечатки пальцев для доступа в интернет-банк, стал Инвестбанк, который заключил договор с компанией AGSES на поставку так называемых биометрических идентификационных AGSES-карт. «Банковские приложения для дистанционного обслуживания клиентов с широким спектром услуг, поддерживающие вход в систему, и подтверждение поручений банку с помощью биометрических карт AGSES будут доступны весной как юридическим, так и физическим лицам — клиентам АКБ «Инвестбанк». Первой в марте вводим в промышленную эксплуатацию систему isFront для частного клиента, в апреле закончим тестирование поддержки биометрических карт в интернет-банке для юридических лиц iBank2», — отмечает зампредправления банка Дмитрий Богдашев. Пока банк закупил 500 таких карт.

«Необходимость использования российскими банками новейших технологий обеспечения информационной безопасности в системах дистанционного банковского обслуживания очевидна, — отмечает Роман Стогов, директор российского представительства AGSES. — Уровень потерь от успешных мошеннических действий по каналам ДБО постоянно растет и уже составляет, по независимым оценкам, сотни миллионов долларов в месяц. Момент усиления безопасности объективно назрел, и я считаю, что банки должны действовать в этой сфере быстрее и решительнее, чем они это делают сейчас».

Что может AGSES-карта

Сейчас AGSES-карта используется в банках Германии и Швейцарии. Реализованы функции авторизации доступа клиентов интернет-банка (ИБ) и подтверждения платежей, совершаемых клиентами в данной системе. Такие же функции будут доступны клиентам Инвестбанка. По размеру AGSES-карта похожа на банковскую, только толще. Само устройство по виду напоминает mp3-плеер — на нем тоже есть дисплей и кнопка включения-выключения. Также на карте расположены набор световых датчиков и сканер отпечатка пальца. Изначально пользователь AGSES-карты должен персонализировать устройство, введя в него отпечатки трех своих пальцев. Отпечатки преобразуются в модели и хранятся только в устройстве, то есть, по сути, у самого пользователя.

Для входа в систему интернет-банкинга с помощью AGSES-карты вместо стандартных логина и пароля вводится 12-значный уникальный номер устройства. На экране появляется особый фликер-код, который необходимо считать, поднеся карту прямо к экрану. Завершается авторизация подтверждением отпечатка пальца владельца устройства. При этом уровень идентификации может включать подтверждение как одного, так и двух зарегистрированных отпечатков, также дополнительно может быть запрошен ввод PIN-кода самой AGSES-карты. После сверки биометрических параметров на дисплее AGSES-карты отобразятся логотип банка и одноразовый пароль для доступа в систему ИБ.

Для подтверждения платежа пользователю необходимо проверить ключевые реквизиты получателя и сумму на дисплее AGSES-карты и после этого ввести отображаемый на дисплее одноразовый пароль в системе интернет-банка. Банк может устанавливать время действия одноразового пароля, по истечении которого он станет недействительным.

Карта защитит от троянцев

Карта защищает от случаев, когда мошенники используют поддельные сайты банков для получения данных о картах пользователей. Кроме того, карта может использоваться для защиты от скимминга при операциях с банкоматами и платежными терминалами, а также в качестве инструмента онлайн- или офлайн-платежного средства.

«Необходимость получения неотделимого от пользователя инструмента аутентификации остро назрела в последние годы в связи с широким распространением троянских программ, которые позволяют злоумышленнику похищать средства клиента незаметно для него прямо с его рабочего или домашнего компьютера даже при кратковременном подключении носителя ключей систем ДБО, в том числе и токенов. AGSES-карта же не только гарантирует защиту от таких троянцев, но и предотвращает хищение средств при утере карты», — отмечает Богдашев.

Каждая AGSES-карта застрахована швейцарской страховой компанией с лимитом ответственности в 5 млн швейцарских франков. Эта сумма будет выплачена любому клиенту, у которого злоумышленники сумеют взломать счет.

Клиенты смогут совершать операции в ИБ Инвестбанка и других кредитных организаций, используя смартфоны, ноутбуки, компьютеры и планшеты. Стоимость AGSES-карты обычно составляет около 6 тыс. рублей, но для банка функционал будет ограничен, потому и стоимость, скорее всего, будет ниже.

Нужны только випам

«Подобные средства аутентификации могут быть полезны многим сегментам клиентов, — говорит Дмитрий Каштанов, начальник отдела развития интернет-банкинга Альфа-банка. — От VIP-клиентов, которые могут использовать их для осуществления более рисковых операций, до простых клиентов, которые заботятся о своей безопасности и удобстве».

Иное мнение у руководителя экспертной группы банковских технологий СБ-Банка Максима Волкова. «Я не считаю, что подобное устройство может вызвать ажиотажный спрос, — говорит он. — Корпоративным клиентам оно будет фантастически неудобно, ведь они требуют возможности «подписать документы одним махом». Здесь же придется прикладывать к экрану AGSES-карту для каждого документа отдельно. К 18-му платежу разглядывание 20-значного номера счета на устройстве станет весьма утомительным. Даже у профессионального бухгалтера довольно быстро глаза станут такого же красного цвета, как сам девайс. Рядовым частным клиентам данная карта также не очень подходит. Во-первых, она сама стоит денег, во-вторых, ее нужно с собой носить — в этом плане удобнее телефон и одноразовые пароли».