comibank.

Анатомия цифрового банкинга и финтех-трендов

Безопасность и идентификация

Проверить 5 правил кибербезопасности банка перед вкладом

Клиент приходит в приложение, видит ставку 22% на полгода, нажимает «открыть вклад» — и через три дня узнаёт, что банк попал в санкционный список, а его данные утекли на darknet.

Проверить 5 правил кибербезопасности банка перед вкладом

Мы привыкли сравнивать банки по процентам, кэшбэку и удобству приложения. Но перед тем как доверить кому-то деньги на полгода или три года, стоит потратить пятнадцать минут на проверку пяти вещей, которые определяют, вернётся ли ваш вклад вообще.

Юридический фундамент: проверка лицензии в реестре ЦБ РФ

Первое и самое базовое — убедиться, что банк вообще существует как регулируемая организация. Звучит тривиально, но ежегодно Центральный банк отзывает лицензии у десятков кредитных организаций, и часть из них до последнего момента выглядит вполне респектабельно: красивый сайт, нормальное приложение, привлекательные ставки.

Проверка занимает две минуты. Заходим на сайт Банка России, ищем раздел «Реестр кредитных организаций» и вводим название или ИНН. Три результата возможны: банк найден и лицензия действует — хорошо; банк найден, но лицензия отозвана — немедленно уходим; банк не найден — перед нами либо мошеннический проект, либо организация, работающая без лицензии, что в России запрещено.

Но сама по себе лицензия — это только входной билет. Она гарантирует, что организация поднадзорна ЦБ, что на неё распространяется система страхования вкладов (АСВ), и что в случае краха вы получите до 1,4 млн рублей. Она не гарантирует качество антифрод-систем, уровень шифрования или то, как банк обращается с вашей биометрией. Поэтому проверка лицензии — шаг нулевой, а не единственный.

Лицензия ЦБ РФ — это не знак качества, а минимальное условие для того, чтобы ваш вклад попал под защиту государства. Без неё никакие технологии безопасности не спасают.

Технический периметр: роль TLS/SSL-шифрования и HTTPS

Когда вы заходите в интернет-банк или мобильное приложение, данные между вашим устройством и сервером банка проходят через сеть. Всё, что в этот момент летит без шифрования — номера карт, пароли, коды подтверждения, — доступно любому, кто перехватит трафик. Именно для этого существует протокол TLS (и его предшественник SSL), который превращает открытый поток данных в зашифрованный.

Для пользователя проверка проста: в адресной строке браузера должен быть значок замка и протокол HTTPS, а не HTTP. Все крупные банки давно перешли на HTTPS по умолчанию — это требование регулятора и отраслевой стандарт. Но вот что важно: наличие HTTPS на сайте не означает, что приложение использует тот же уровень шифрования внутри себя. Мобильные приложения банков используют собственные защищённые каналы, и уровень их защиты зависит от конкретной реализации.

TLS-шифрование работает на нескольких уровнях. Протокол устанавливает защищённое соединение между клиентом и сервером, шифруя данные алгоритмами, которые невозможно подобрать перебором за разумное время. Банки обязаны использовать актуальные версии протокола — на текущий момент это TLS 1.2 и выше, причём устаревшие версии (TLS 1.0, 1.1) признаны небезопасными и должны быть отключены.

ПараметрЧто проверятьМинимальный стандарт
Протокол в браузереHTTPS в адресной строке, значок замкаTLS 1.2 и выше
СертификатКлик по замку — кто выдал, срок действияДействующий сертификат от доверенного CA
Мобильное приложениеИсточник загрузки, отзывы о безопасностиТолько из App Store / Google Play
Соединение при авторизацииДополнительный уровень шифрования сессииТокенизация, certificate pinning

Отдельная история — публичные Wi-Fi сети. Банковское приложение в кафе без VPN — это классический вектор атаки «человек посередине». Даже с HTTPS перехват становится сложнее, но не невозможен, если атакующий подменяет сертификаты. Рабочее правило: никаких финансовых операций через чужие сети без VPN-туннеля.

Стандарты аутентификации: почему 2FA остаётся обязательным минимумом

Двухфакторная аутентификация — это когда для входа или подтверждения операции нужно нечто большее, чем просто пароль. Вторым фактором выступает SMS-код, push-уведомление, одноразовый пароль из приложения-генератора или аппаратный токен. Смысл в том, что даже если злоумышленник узнал ваш пароль, без второго фактора он не пройдёт.

Центральный банк сделал 2FA обязательным стандартом для дистанционного банковского обслуживания. Это значит, что каждый банк, работающий с физлицами через интернет и мобильные приложения, обязан реализовать двухфакторную подтверждение операций. Казалось бы, вопрос закрыт. Но на практике реализация различается кардинально.

SMS-коды, которые до сих пор использует большинство банков, считаются наименее защищённым вариантом второго фактора. SIM-свопинг — атака, при которой мошенник перевыпускает вашу SIM-карту через салон связи, получая доступ ко всем SMS — остаётся реальной угрозой. Более надёжные решения: push-уведомления с подтверждением в приложении (сообщение шифруется и не проходит через SMS-шлюз), TOTP-генераторы вроде Google Authenticator и аппаратные ключи безопасности.

Для открытия вклада имеет значение, как именно банк подтверждает операцию. Если подтверждение происходит только через SMS — это не провал безопасности, но и не лучший стандарт. Если банк поддерживает push-подтверждение через приложение с биометрической верификацией — это заметно надёжнее. Стоит обращать внимание на гибкость настроек: хороший банк позволяет пользователю выбирать метод аутентификации, а не навязывает единственный.

Двухфакторная аутентификация — это не про «установить и забыть». Качество реализации определяет, станет ли она стеной или ширмой: SMS уязвимы, push-уведомления надёжнее, аппаратные ключи — золотой стандарт.

Биометрическая идентификация и ЕБС: возможности и ограничения

Единая биометрическая система (ЕБС) запущена в России в 2018 году, а с 2023 года действует закон об обязательной передаче биометрических данных — образцы лица и голоса теперь хранятся в государственной инфраструктуре, а не только на серверах отдельных банков. Оператор системы — АО «Центр биометрических технологий», и любой банк, подключённый к ЕБС, может удалённо идентифицировать клиента по биометрии.

На практике это работает так: вы приходите в отделение одного банка, сдаёте биометрию (фото лица и голосовую запись), она попадает в ЕБС, и потом любой другой банк-участник может открыть вам счёт или вклад удалённо, сверив ваше лицо с образцом из государственного хранилища. Для пользователя это удобство: не нужно таскать паспорт в каждый банк физически.

Но у биометрии есть границы, и важно их понимать. Биометрические данные — не пароль, который можно сменить. Если биометрический образец утёк, вы не можете «поменять лицо». Риски хранения концентрируются в точке отказа: чем больше банков и сервисов имеют доступ к ЕБС, тем выше потенциальная поверхность атаки. Злоумышленники уже экспериментируют с deepfake-атаками, подменяя лицо на видео при идентификации, хотя биометрические системы защиты постоянно совершенствуются и учатся обнаруживать подмену.

При открытии вклада биометрия не является обязательной — вы можете пройти стандартную верификацию по паспорту в отделении. Но если банк предлагает удалённое открытие через ЕБС, стоит убедиться, что он подключён к системе корректно, а при запросе биометрии использует актуальные алгоритмы распознавания с защитой от презентационных атак (то есть от подсовывания фотографии или видеозаписи вместо живого лица).

Работа антифрод-систем: как банки блокируют подозрительные операции

Антифрод-система — это алгоритмический щит, который анализирует транзакции в реальном времени и блокирует подозрительные. Требования ЦБ РФ обязывают банки внедрять такие системы и реагировать на аномальные операции: резкий перевод крупной суммы на незнакомый счёт, вход с нового устройства из другого региона, серия мелких списаний в короткий промежуток.

Качество антифрода напрямую влияет на сохранность вклада. Если мошенник получит доступ к вашему счёту — через фишинг, социальную инженерию или украденные данные — именно антифрод-система определит, удастся ли ему вывести деньги. Слабый антифрод пропустит транзакцию; сильный — заблокирует, запросит дополнительную верификацию и уведомит вас.

Оценить антифрод-систему банка со стороны пользователя невозможно в полной мере — детали реализации являются коммерческой тайной. Но есть косвенные признаки:

  • Уведомления о каждом входе и операции. Если банк присылает push или SMS при любом действии — система мониторит.
  • Блокировка при смене устройства. Если вы вошли с нового телефона и банк запросил дополнительную верификацию — антифрод работает.
  • Лимиты на переводы. Разумные дневные и разовые лимиты — это ограничитель, который не даст мошеннику вывести всё за одну операцию.
  • Запрос подтверждения при аномальной активности. Если банк звонит вам, чтобы уточнить, вы ли делаете перевод — система отработала триггер.

Есть и обратная сторона: избыточно агрессивный антифрод блокирует легитимные операции, заставляя клиента звонить в поддержку и доказывать, что он сам переводил деньги своей бабушке. Баланс между безопасностью и бесшовностью — ключевая метрика, и лучшие банки на рынке находят его через машинное обучение, адаптируя пороги срабатывания под профиль конкретного клиента.

Для владельца вклада это важно вот почему. Вы кладёте деньги на счёт, и в этот момент антифрод-система должна защищать ваш депозит от несанкционированного вывода. Если система слабая, мошеннику достаточно одной удачной фишинговой атаки, чтобы списать средства. Если система сильная — даже компрометация пароля не приведёт к потере денег, потому что аномальная транзакция будет остановлена.

Как всё это работает вместе

Пять проверок — это не отдельные пункты чек-листа, а слои одной системы. Лицензия ЦБ РФ даёт юридическую защиту и страховку вклада. TLS-шифрование защищает данные в транзите. Двухфакторная аутентификация не даёт злоумышленнику войти в ваш аккаунт даже с украденным паролем. Биометрия через ЕБС обеспечивает удалённую идентификацию с государственным стандартом. Антифрод-система останавливает подозрительные операции в реальном времени.

Пропустив хотя бы один слой, мы создаём брешь, через которую деньги и данные могут уйти. Банк, который инвестирует во все пять уровней одновременно, — это не просто финансовое учреждение с красивым приложением. Это организация, которая понимает, что LTV клиента начинается с доверия, а доверие строится на каждом из этих слоёв. Если вы видите, что банк экономит на чём-то одном — на аутентификации, на антифроде, на прозрачности информации о шифровании — это сигнал, что и на других уровнях возможны компромиссы.

Что будет с рынком безопасности банков в ближайший год

Рынок движется в сторону конвергенции. Биометрия и антифрод срастаются в единую систему: поведенческая биометрия — анализ того, как вы держите телефон, как набираете текст, с какой скоростью скроллите — становится частью антифрод-профилей. Пассивная аутентификация, где пользователя не просят «подтвердить» что-то отдельно, а система непрерывно валидирует его по набору поведенческих маркеров, — это следующий рубеж.

В ближайшие двенадцать месяцев мы увидим, как крупные необанки начнут рекламировать «бесшовную безопасность» как ключевое конкурентное преимущество. Уже сейчас банки с более продвинутыми антифрод-системами демонстрируют ниже отток клиентов и выше конверсию в онбординге — пользователи чувствуют себя увереннее, когда им не мешают проверками на каждом шагу, но при этом знают, что система работает.

Пять правил, которые мы разобрали, не устареют в обозримом будущем — изменятся только технологии внутри каждого слоя. Лицензии останутся обязательными, шифрование станет стандартнее, аутентификация уйдёт в пассивный режим, биометрия распространится, антифрод станет умнее. Но принцип останется тем же: прежде чем доверить банку деньги, убедитесь, что он вкладывает в их защиту не меньше, чем вы — в их заработок.

Частые вопросы

Как проверить, есть ли у банка лицензия?
Необходимо зайти на сайт Банка России, перейти в раздел «Реестр кредитных организаций» и ввести название или ИНН банка.
Безопасно ли пользоваться банковским приложением через публичный Wi-Fi?
Нет, это создает риск атаки «человек посередине». Финансовые операции через чужие сети следует проводить только с использованием VPN-туннеля.
Почему SMS-коды считаются менее надежным способом защиты?
SMS-коды уязвимы для атаки «SIM-свопинг», при которой мошенники перевыпускают SIM-карту жертвы и получают доступ к сообщениям.
Обязательно ли сдавать биометрию для открытия вклада?
Нет, биометрия не является обязательной. Вы всегда можете пройти стандартную процедуру верификации по паспорту при личном посещении отделения.
Как понять, что антифрод-система банка работает эффективно?
Косвенными признаками являются получение уведомлений о каждом входе, блокировка операций при смене устройства, наличие лимитов на переводы и звонки от банка для подтверждения подозрительной активности.