Центробанк
планирует выпустить навую версию 382-П, в которой планируется фиксировать информацию не только об инцидентах, но и об окружении, в котором такая транзакция осуществляется. Технические специалисты тут же заговорили о том, что это бессмыслено, что все идентификаторы устройств можно поменять и мошенника так всё-равно не найдёшь. Однако ЦБ, возможно, мыслит несколько другими категориями, и цель его состоит не в поимке преступника, а в том, чтобы не дать мошеннику совершить подозрительную транзакцию.
Сременные техногиии оценки риска банковских операций опираются на репутацию людей, которые обрщаются в банки за получением финансовых услуг. Однако хрнить базу данных по репутации того или иного человека входит в конфликт с законом о персонаьных данных. В результате, банки идут на самые различные ухищрения, чтобы формально соблюсти букву закона, а на самом деле всеми правдами и неправдами собрать-таки эти данные о репутации человека.
Впрочем, это не единственный путь оценить риск операции, просто собирать данные нужно не по людям, а по устройствам, которыми они пользуются. Наиболее рискованные операции сейчас связаны с дистанционным банковским обслуживанием. А оно, как правило, совершается с помощью различных устройств: компьютеров, планшетов или сматфонов. Причем вряд ли мошенник будет воровать деньги через ДБО с помощью тогоже устройсва, которым пользуется легальный клиент. Скорее всего он для этой операции будет использовать своё оборудование. Стало быть устройство не хуже аутентифицирует пользователя системы, чем документы, но права этих устройств российским законом не защищаются. Таким образом, собирая информацию об устройствах, а не о пользователях, будет меньше шансов нарушить закон.
Действительно, мошенник может легко изменить MAC-адрес и даже IMEI своего устройства, однако рпутация у него будет нулевая, и банк будет воспринимать такую транзакцию как подозрительную - например, запросит у клиента дополнительное подтверждение. Конечно, сейчас мошеннические транзакции выполняют прямо с компьютеров легальных клиентов, репутация которых достаточно высока. Однако и в этом случае система может достаточно быстро выявить аномалии и предположить, что устройство было взломано. А если учесть, что мошенники вынуждены разбивать транхакции по времени и воровать небольшими порциями, то и украсть даже со взломанногл компьютера до того, как система поднимет тревогу, скорее всего, получится не много.
Следует отметить, что такой сервис по определению репутации устройств предлагает компания iovation, которая уже активно ипользует его за рубежом. Для проверки репутации устройства компании достаточно в свой сайт добавить код, который формирует слепок устройства, который потом можно передать в сервис и проверить насколько хорошая репутация у данного устройства. Причем отследить с помощью этого сервиса можно не только компьютеры, планшеты и смартфоны, но и банкоматы и другие устройства. Хотя пока пользователей сервиса в России нет, тем не менее репутация у российских устройств уже начинает формироваться, как клиентами иностранных банков, которые приезжают в Россию, так и самими российскими пользователями, которые совершают покупки в иностранных сервисах.
В России услуги iovation будет представлять компания Experian, которая уже предлагает систему определения репутации первичных документов "национальный Хантер". Вполне возможно, что аналогичную систему дополнительных сигналов о подозрительных транзакциях собирается создать и Центробанк - это позволило бы сократить количество мошеннических транзакций и сделать национальную платёжную систему более безопасной. А именно это и является целью ЦБ!