Как используют компьютер в банке

Обновлено: 03.07.2024

Век цифровых технологий значительно облегчил жизнь, и не только простым гражданам, но и предпринимателям (ИП), и юридическим лицам. Что стоит только онлайн-доступ к банковским услугам? Не надо ездить в банк по каждому пустяку, а распоряжение клиента по счету исполняются почти мгновенно. Сегодня системой дистанционного банковского обслуживания (далее – СДБО) пользуется практически каждая организация. Но за возможность, не выходя из офиса распоряжаться средствами на счете, приходится порой дорого расплачиваться. И дело не только в абонентской плате за обслуживание расчетного счета. Простота и удобство использования СДБО несомненны, но есть один серьезный минус – уязвимость: не успеешь оглянуться, а деньги со счета пропали в неизвестном направлении. Как не лишиться всех средств с расчетного счета при использовании онлайн-доступа к счету? Есть ли шансы оспорить операции по счету в суде и вернуть средства обратно? Об этом предлагаю поговорить, исходя из сложившейся судебной практики.

СДБО клиентов используются многими банками. Зачастую это целый комплекс из специального программного обеспечения, средств идентификации клиента через связку "логин-пароль", удостоверяющей цифровой подписи, и нередко специального ключа – USB-токена (флешки, содержащей шифр-ключ, который выступает аналогом подписи клиента и генерируется при использовании токена). Клиент может получать доступ либо через веб-интерфейс системы посредством интернет-браузера, либо через специальную программу, установленную на компьютер клиента. По правилам банка доступ к системе должен иметь ограниченный круг лиц (чем меньше, тем лучше), на практике это или руководитель организации, или главный бухгалтер. Любое распоряжение клиента банку, поступающие по СДБО, удостоверяется индивидуальной цифровой подписью клиента, которая и содержится обычно на USB-токене. При этом банк проверяет по сути лишь подлинность логина-пароля, удостоверяющей подписи, IP-адрес входа в систему. "Увидеть" кто на самом деле отдает распоряжение и сидит за компьютером со стороны клиента получается не всегда, значительная доля ответственности за безопасность счета при СДБО ложится на самого клиента, о чем ИП и организации часто забывают.

Иллюстрацией может послужить следующее дело: АО обратилось в арбитражный суд с иском к банку о взыскании убытков, возникших в результате ненадлежащего исполнения банком обязательств по договору банковского счета и договору об использовании электронных документов (Постановление Арбитражного суда Дальневосточного округа от 27 августа 2015 г. № Ф03-3569/2015 по делу № А51-35104/2014). Свои требования общество мотивировало тем, что банк неправомерно списал со счета более 12 млн руб., в то время как был предупрежден по телефону и по электронной почте о возможной компрометации ключей и неисправности системы.

Распоряжение о списании средств поступило по СДБО до начала операционного дня в банке в период с 5 до 7 утра по местному времени, и было исполнено банком около 9 утра. В этот же день финансовый директор общества попыталась войти в систему, но ей это не удалось – на странице отображалась информация о невозможности входа в связи с проведением технических работ с 0 часа до 10 часов по московскому времени. В 15 часов 39 минут из общества в банк поступил звонок, а в 15 часов 45 минут и письмо по электронной почте с уведомлением о невозможности входа в систему, на что банк сначала устно, а затем и письменно уведомил, что никакие работы в тот момент не проводятся, и порекомендовал перестать пользоваться системой, отключив срочно USB-токен от компьютера. Клиент же в свою очередь посчитал, что, предупредил банк о проблемах, и последний должен был принять меры по защите счета клиента, на следующий день удалось войти в систему, и тогда-то пропажа средств со счета и была обнаружена, после чего клиент потребовал у банка вернуть средства на счет, так как посчитал, что виноват в пропаже именно банк.

Таким образом, по мнению суда, Банк действовал строго в соответствии с условиями договора, добросовестно исполнил свои обязательства, а вот клиент отнесся к своим обязанностям халатно. По условиям договора с банком система должна использоваться с одного компьютера, на котором обеспечивается "чистота" от троянов, компьютерных вирусов и прочих вредоносных программ, USB-токен должен был храниться у генерального директора общества, и только он имел право использовать его. Между тем, фактически СДБО была установлена на компьютере финансового директора. Более того, из акта осмотра рабочего места пользователя системы, проведенного сотрудником банка и подписанного самим финансовым директором, следует, что USB-токен хранился в ящике рабочего стола при отсутствии в кабинете сейфа, а в ночь, когда произошел инцидент, USB-токен был оставлен во включенном персональном компьютере.

При таких обстоятельствах, по мнению суда, банк не несет ответственности перед клиентом, поскольку со стороны клиента допущено нарушение условий пользования СДБО. Банк несет ответственность только с момента, когда клиент предупредил о компрометации ключа. В конечном итоге в удовлетворении иска к банку было отказано.

Трудно сказать, куда "ушли" в конечном итоге средства клиента, вероятнее всего хищение было произведено посредством дистанционного доступа к компьютеру АО, с помощью специальных вредоносных программ, тем более АО "своими руками" предоставила для этого злоумышленникам все инструменты для этого. Не исключено также, что хищение произведено и кем-то из сотрудников АО, тем более в определении апелляционного суда содержится указание, что первоначально в службу поддержки банка поступил звонок от АО в 8 часов 39 минут по московскому времени от некоего мужчины о невозможности входа в систему. Это свидетельствует об открытости доступа к компьютеру для посторонних лиц.

В другом деле, со счета клиента было списано сначала около 2,5 млн руб., а затем еще почти 1 млн. руб. Списание средств произведено по платежным поручениям, поступившим в электронном виде. Клиент утверждает, что не направлял такие поручения, и банк необоснованно списал денежные средства. Помимо этого, он должен был уточнить волю клиента на списание средств, но не сделал этого, поручения пришли за пределами операционного дня банка (платеж был исполнен в период с 14 до 15 ч). Об одной из проведенных операции клиент узнал от другого банка, в котором открыт счет получателя денежных средств, когда банк получателя заподозрил неладное, и попросил общество подтвердить платеж. Это помогло оперативно отменить операцию и отозвать средства по первому платежу. А вот другой платеж благополучно "уплыл" в другой банк, и, к сожалению, клиенту пришлось с деньгами распрощаться: суд не усмотрел вины банка при проведении операции (Постановление Арбитражного суда Северо-Западного округа от 22 декабря 2015 г. по делу № А26-386/2015).

Поступившие платежные поручения были подписаны индивидуальной цифровой подписью клиента, содержали необходимые реквизиты; поступившие платежные поручения в электронном виде могут быть исполнены в любое время. По соглашению, подписанному между сторонами, банк был обязан принимать к исполнению такие электронные платежные поручения, также не были установлены ограничения в соглашении и по сумме проводимых операций и обязанность банка уточнять волю клиента по каждому платежу. Таким образом, оснований сомневаться в подлинности платежных поручений у банка не было.

Каким образом в данном деле злоумышленники получили доступ к системе клиента в деле подробно не раскрывается, но возможно опять подвела низкая финансовая дисциплина и пренебрежение к "чистоте" компьютеров.

Но бывает и банки сами дают промах – в судебной практике встречаются, хоть и значительно реже, дела, когда клиенты взыскивали с банка "уплывшие" со счетов средства.

Так, в банк поступило по СДБО два платежных поручений в электронном виде на сумму в 40 тыс. и 400 тыс. руб. соответственно. Второе платежное поручение банк отверг, как подозрительное, а вот 40 тыс. руб. со счета клиента списал, и отказался вернуть средства, когда клиент заявил о том, что не давал распоряжений о списании. Клиент обратился в суд с иском о взыскании средств с банка и в итоге выиграл дело (Постановление Арбитражного суда Поволжского округа от 3 сентября 2014 г. по делу № А72-10909/2013).

Суд первой инстанции посчитал, что вины банка нет и в удовлетворении иска отказал, а вот апелляционный суд, поддержанный судом округа, решил иначе: банк в данной ситуации действовал неосмотрительно. Обязанностью банка является обеспечение сохранности денежных средств, в рамках которой банк должен обеспечить своих сотрудников достаточной квалификацией, необходимой для выявления неверной информации в документах, наличия поддельных подписей в них; применять меры безопасности, предотвращающие незаконное списание денежных средств со счетов клиентов. Актом внутренней проверки было подтверждено, что составление платежного поручения и его отправка возможны только на стационарном компьютере директора клиента, находящегося в офисе общества. Закрытый ключ электронной подписи хранился в указанном компьютере, в целях безопасности на другие носители не копировался. В день проведения операции указанный компьютер при выходе в Интернет использовал статический IP-адрес, что подтверждено письмом ОАО "Ростелеком" с детализацией сессий.

Спорное платежное поручение поступило в электронную систему Банка в 14 часов 8 минут с постороннего IP-адреса, не совпадающего с адресом общества, что подтверждено представленной ответчиком детализацией сессий в Интернете по лицевому счету общества, и детализацией входов в систему iBank2. Из платежного поручения следует, что платежу присвоен статус "подозрительный". Согласно условиям договора, при таких обстоятельствах банк должен был немедленно закрыть прием платежных документов от клиента по СДБО до выяснения обстоятельств произошедшего, и связаться с клиентом. Между тем, банк прием спорного платежного документа не закрыл и с клиентом для выяснения обстоятельств произошедшего не связался. При этом суд обратил внимание, что второе платежное поручение на сумму в размере 400 тыс. руб. банк заблокировал, значит, имел возможность установить несанкционированность доступа к системе клиента.

Дополнительно суд апелляционной инстанции отметил, что именно банк, являясь профессиональным участником на рынке оказания банковских услуг, должен определить достаточность надежности работы при приеме, передаче, обработке и хранении информации, а также защите информации, обеспечивающей разграничение доступа, шифрование, контроль целостности.

Итак, исходя из вышесказанного, 10 советов, как не допустить кражу с банковского счета.

Клиенту рекомендуется использовать СДБО строго в соответствии с условиями договора с банком и правилами пользования СДБО.

При заключении договора с банком на использование СДБО, внимательно ознакомьтесь с условиями договора, правилами использования системы, уточните действия банка при возникновении подозрительных ситуаций, а также каковы критерии подозрительности операций у конкретного банка.

USB-токен к СДБО необходимо хранить в сейфе в закрытом помещении.

Право пользования USB-токеном должно быть у ограниченного круга лиц – желательно не больше одного-двух, поскольку злоумышленники могут установить на компьютер вредоносные программы – например, трояны, которые не всегда вовремя распознаются антивирусными пакетами. Контактные данные, по которым осуществляется связь, также должны быть установлены.

Рекомендуется устанавливать СДБО на один компьютер, к которому доступ имеет ограниченный круг лиц. Желательно данный компьютер размещать в отдельном закрытом помещении.

Используйте для защиты компьютера только официальные антивирусные пакеты, так как с помощью вредоносных программ злоумышленники могут получить доступ к счету клиента даже во время легальной сессии работы.

Необходимо вытаскивать USB-токен из компьютера сразу же после проведения операций.

Рекомендуется разработать и принять локальный нормативный акт, регламентирующий порядок доступа к системе и устанавливающий меры безопасности.

Рекомендуется установить ограничения лимит по банковскому счету, в пределах которого позволяется списание средств по СДБО без дополнительного подтверждения от клиента – разовый, суточный и ежемесячный. В случае превышения лимита банк будет связываться с клиентом для подтверждения операций, а до его получения они будут приостановлены. При этом круг лиц, имеющих право на подтверждение операций, также должны быть ограничены, равно как и их контактные данные.


Две трети американцев используют мобильный онлайн-банкинг или посещают свой виртуальный финансовый кабинет только с персонального компьютера. Представители обеих групп вынуждены полагаться либо на смартфон, либо на ПК.

Плохая новость заключается в том, что оба электронных устройства представляют интерес для интернет-мошенников.

Какое из этих двух устройств наилучшим образом защитит пользователя от мошенников, «умный» телефон или компьютер? Этот вопрос был задан специалистам разных уровней.

Доводы в пользу смартфона


По мнению Кайла Марчини, старшего аналитика по вопросам борьбы с мошенничеством (исследовательская консалтинговая компания Javelin Strategy & Research), когда речь идет о безопасности, банковское приложение, установленное на мобильном устройстве, имеет явные преимущества. Марчини считает, что пользователь, который заходит в свой платежный аккаунт через браузер компьютера, рискует больше. Скачав вредоносное программное обеспечение, разработанное хакерами, он даже не заметит этого.

Вредоносные программы могут быть тайно установлены и скачаны пользователем персонального компьютера во время загрузки небезопасной веб-страницы. Современные хакерские утилиты способны воспроизводить комбинации клавиш, на которые нажимает держатель финансового счета во время захода на сайт банка. Зафиксировав, какие из клавиш были нажаты, программа пересылает добытые сведения хакеру.

При установке мобильного приложения человек вручную подтверждает свое согласие на установку. Эта мера усложняет задачу хакеров.

Еще одна полезная функция умных телефонов – возможность заблокировать экран. В случае потери или кражи гаджета никто не сможет получить доступ к личным данным его владельца.

Доводы в пользу персонального компьютера


Рэндал Вулвертон, сертифицированный государственный бухгалтер, предпочитает совершать покупки через компьютер, подключенный к безопасной сети. Он считает, что смартфоны, по сравнению с компьютерами, более подвержены хакерским атакам. Тот факт, что смартфоны путешествуют вместе со своими хозяевами, открывает перед мошенниками уникальную возможность получить доступ к личным сведениям жертвы, не прибегая к использованию хакерских программ. Например, стоя в очереди и заглянув через плечо стоящего впереди человека, доставшего телефон, чтобы освежить в памяти состояние своего платежного счета.

В такой ситуации вряд ли окажется человек, пользующийся компьютером.

Альтернативное мнение


Джейсон Глассберг, соучредитель фирмы Casaba Security, которая специализируется на кибербезопасности, считает, что принимать решение (компьютер или «умный» телефон?) человек должен в зависимости от того, где он находится. Если необходимость воспользоваться услугами онлайн-банкинга возникла во время пребывания в отеле или библиотеке, лучше воспользоваться смартфоном.

Воспользовавшись общедоступным компьютером, подключенным к незнакомой сети, пользователь подвергает свой платежный аккаунт большому риску.

Если же владелец виртуального банковского счета находится у себя дома и в его распоряжении имеется компьютер, подключенный к частной сети и защищенный антивирусной программой, он без опаски может воспользоваться компьютером.

Век цифровых технологий значительно облегчил жизнь, и не только простым гражданам, но и предпринимателям (ИП), и юридическим лицам. Что стоит только онлайн-доступ к банковским услугам? Не надо ездить в банк по каждому пустяку, а распоряжение клиента по счету исполняются почти мгновенно. Сегодня системой дистанционного банковского обслуживания (далее – СДБО) пользуется практически каждая организация. Но за возможность, не выходя из офиса распоряжаться средствами на счете, приходится порой дорого расплачиваться. И дело не только в абонентской плате за обслуживание расчетного счета. Простота и удобство использования СДБО несомненны, но есть один серьезный минус – уязвимость: не успеешь оглянуться, а деньги со счета пропали в неизвестном направлении. Как не лишиться всех средств с расчетного счета при использовании онлайн-доступа к счету? Есть ли шансы оспорить операции по счету в суде и вернуть средства обратно? Об этом предлагаю поговорить, исходя из сложившейся судебной практики.

СДБО клиентов используются многими банками. Зачастую это целый комплекс из специального программного обеспечения, средств идентификации клиента через связку "логин-пароль", удостоверяющей цифровой подписи, и нередко специального ключа – USB-токена (флешки, содержащей шифр-ключ, который выступает аналогом подписи клиента и генерируется при использовании токена). Клиент может получать доступ либо через веб-интерфейс системы посредством интернет-браузера, либо через специальную программу, установленную на компьютер клиента. По правилам банка доступ к системе должен иметь ограниченный круг лиц (чем меньше, тем лучше), на практике это или руководитель организации, или главный бухгалтер. Любое распоряжение клиента банку, поступающие по СДБО, удостоверяется индивидуальной цифровой подписью клиента, которая и содержится обычно на USB-токене. При этом банк проверяет по сути лишь подлинность логина-пароля, удостоверяющей подписи, IP-адрес входа в систему. "Увидеть" кто на самом деле отдает распоряжение и сидит за компьютером со стороны клиента получается не всегда, значительная доля ответственности за безопасность счета при СДБО ложится на самого клиента, о чем ИП и организации часто забывают.

Иллюстрацией может послужить следующее дело: АО обратилось в арбитражный суд с иском к банку о взыскании убытков, возникших в результате ненадлежащего исполнения банком обязательств по договору банковского счета и договору об использовании электронных документов (Постановление Арбитражного суда Дальневосточного округа от 27 августа 2015 г. № Ф03-3569/2015 по делу № А51-35104/2014). Свои требования общество мотивировало тем, что банк неправомерно списал со счета более 12 млн руб., в то время как был предупрежден по телефону и по электронной почте о возможной компрометации ключей и неисправности системы.

Распоряжение о списании средств поступило по СДБО до начала операционного дня в банке в период с 5 до 7 утра по местному времени, и было исполнено банком около 9 утра. В этот же день финансовый директор общества попыталась войти в систему, но ей это не удалось – на странице отображалась информация о невозможности входа в связи с проведением технических работ с 0 часа до 10 часов по московскому времени. В 15 часов 39 минут из общества в банк поступил звонок, а в 15 часов 45 минут и письмо по электронной почте с уведомлением о невозможности входа в систему, на что банк сначала устно, а затем и письменно уведомил, что никакие работы в тот момент не проводятся, и порекомендовал перестать пользоваться системой, отключив срочно USB-токен от компьютера. Клиент же в свою очередь посчитал, что, предупредил банк о проблемах, и последний должен был принять меры по защите счета клиента, на следующий день удалось войти в систему, и тогда-то пропажа средств со счета и была обнаружена, после чего клиент потребовал у банка вернуть средства на счет, так как посчитал, что виноват в пропаже именно банк.

Таким образом, по мнению суда, Банк действовал строго в соответствии с условиями договора, добросовестно исполнил свои обязательства, а вот клиент отнесся к своим обязанностям халатно. По условиям договора с банком система должна использоваться с одного компьютера, на котором обеспечивается "чистота" от троянов, компьютерных вирусов и прочих вредоносных программ, USB-токен должен был храниться у генерального директора общества, и только он имел право использовать его. Между тем, фактически СДБО была установлена на компьютере финансового директора. Более того, из акта осмотра рабочего места пользователя системы, проведенного сотрудником банка и подписанного самим финансовым директором, следует, что USB-токен хранился в ящике рабочего стола при отсутствии в кабинете сейфа, а в ночь, когда произошел инцидент, USB-токен был оставлен во включенном персональном компьютере.

При таких обстоятельствах, по мнению суда, банк не несет ответственности перед клиентом, поскольку со стороны клиента допущено нарушение условий пользования СДБО. Банк несет ответственность только с момента, когда клиент предупредил о компрометации ключа. В конечном итоге в удовлетворении иска к банку было отказано.

Трудно сказать, куда "ушли" в конечном итоге средства клиента, вероятнее всего хищение было произведено посредством дистанционного доступа к компьютеру АО, с помощью специальных вредоносных программ, тем более АО "своими руками" предоставила для этого злоумышленникам все инструменты для этого. Не исключено также, что хищение произведено и кем-то из сотрудников АО, тем более в определении апелляционного суда содержится указание, что первоначально в службу поддержки банка поступил звонок от АО в 8 часов 39 минут по московскому времени от некоего мужчины о невозможности входа в систему. Это свидетельствует об открытости доступа к компьютеру для посторонних лиц.

В другом деле, со счета клиента было списано сначала около 2,5 млн руб., а затем еще почти 1 млн. руб. Списание средств произведено по платежным поручениям, поступившим в электронном виде. Клиент утверждает, что не направлял такие поручения, и банк необоснованно списал денежные средства. Помимо этого, он должен был уточнить волю клиента на списание средств, но не сделал этого, поручения пришли за пределами операционного дня банка (платеж был исполнен в период с 14 до 15 ч). Об одной из проведенных операции клиент узнал от другого банка, в котором открыт счет получателя денежных средств, когда банк получателя заподозрил неладное, и попросил общество подтвердить платеж. Это помогло оперативно отменить операцию и отозвать средства по первому платежу. А вот другой платеж благополучно "уплыл" в другой банк, и, к сожалению, клиенту пришлось с деньгами распрощаться: суд не усмотрел вины банка при проведении операции (Постановление Арбитражного суда Северо-Западного округа от 22 декабря 2015 г. по делу № А26-386/2015).

Поступившие платежные поручения были подписаны индивидуальной цифровой подписью клиента, содержали необходимые реквизиты; поступившие платежные поручения в электронном виде могут быть исполнены в любое время. По соглашению, подписанному между сторонами, банк был обязан принимать к исполнению такие электронные платежные поручения, также не были установлены ограничения в соглашении и по сумме проводимых операций и обязанность банка уточнять волю клиента по каждому платежу. Таким образом, оснований сомневаться в подлинности платежных поручений у банка не было.

Каким образом в данном деле злоумышленники получили доступ к системе клиента в деле подробно не раскрывается, но возможно опять подвела низкая финансовая дисциплина и пренебрежение к "чистоте" компьютеров.

Но бывает и банки сами дают промах – в судебной практике встречаются, хоть и значительно реже, дела, когда клиенты взыскивали с банка "уплывшие" со счетов средства.

Так, в банк поступило по СДБО два платежных поручений в электронном виде на сумму в 40 тыс. и 400 тыс. руб. соответственно. Второе платежное поручение банк отверг, как подозрительное, а вот 40 тыс. руб. со счета клиента списал, и отказался вернуть средства, когда клиент заявил о том, что не давал распоряжений о списании. Клиент обратился в суд с иском о взыскании средств с банка и в итоге выиграл дело (Постановление Арбитражного суда Поволжского округа от 3 сентября 2014 г. по делу № А72-10909/2013).

Суд первой инстанции посчитал, что вины банка нет и в удовлетворении иска отказал, а вот апелляционный суд, поддержанный судом округа, решил иначе: банк в данной ситуации действовал неосмотрительно. Обязанностью банка является обеспечение сохранности денежных средств, в рамках которой банк должен обеспечить своих сотрудников достаточной квалификацией, необходимой для выявления неверной информации в документах, наличия поддельных подписей в них; применять меры безопасности, предотвращающие незаконное списание денежных средств со счетов клиентов. Актом внутренней проверки было подтверждено, что составление платежного поручения и его отправка возможны только на стационарном компьютере директора клиента, находящегося в офисе общества. Закрытый ключ электронной подписи хранился в указанном компьютере, в целях безопасности на другие носители не копировался. В день проведения операции указанный компьютер при выходе в Интернет использовал статический IP-адрес, что подтверждено письмом ОАО "Ростелеком" с детализацией сессий.

Спорное платежное поручение поступило в электронную систему Банка в 14 часов 8 минут с постороннего IP-адреса, не совпадающего с адресом общества, что подтверждено представленной ответчиком детализацией сессий в Интернете по лицевому счету общества, и детализацией входов в систему iBank2. Из платежного поручения следует, что платежу присвоен статус "подозрительный". Согласно условиям договора, при таких обстоятельствах банк должен был немедленно закрыть прием платежных документов от клиента по СДБО до выяснения обстоятельств произошедшего, и связаться с клиентом. Между тем, банк прием спорного платежного документа не закрыл и с клиентом для выяснения обстоятельств произошедшего не связался. При этом суд обратил внимание, что второе платежное поручение на сумму в размере 400 тыс. руб. банк заблокировал, значит, имел возможность установить несанкционированность доступа к системе клиента.

Дополнительно суд апелляционной инстанции отметил, что именно банк, являясь профессиональным участником на рынке оказания банковских услуг, должен определить достаточность надежности работы при приеме, передаче, обработке и хранении информации, а также защите информации, обеспечивающей разграничение доступа, шифрование, контроль целостности.

Итак, исходя из вышесказанного, 10 советов, как не допустить кражу с банковского счета.

Клиенту рекомендуется использовать СДБО строго в соответствии с условиями договора с банком и правилами пользования СДБО.

При заключении договора с банком на использование СДБО, внимательно ознакомьтесь с условиями договора, правилами использования системы, уточните действия банка при возникновении подозрительных ситуаций, а также каковы критерии подозрительности операций у конкретного банка.

USB-токен к СДБО необходимо хранить в сейфе в закрытом помещении.

Право пользования USB-токеном должно быть у ограниченного круга лиц – желательно не больше одного-двух, поскольку злоумышленники могут установить на компьютер вредоносные программы – например, трояны, которые не всегда вовремя распознаются антивирусными пакетами. Контактные данные, по которым осуществляется связь, также должны быть установлены.

Рекомендуется устанавливать СДБО на один компьютер, к которому доступ имеет ограниченный круг лиц. Желательно данный компьютер размещать в отдельном закрытом помещении.

Используйте для защиты компьютера только официальные антивирусные пакеты, так как с помощью вредоносных программ злоумышленники могут получить доступ к счету клиента даже во время легальной сессии работы.

Необходимо вытаскивать USB-токен из компьютера сразу же после проведения операций.

Рекомендуется разработать и принять локальный нормативный акт, регламентирующий порядок доступа к системе и устанавливающий меры безопасности.

Рекомендуется установить ограничения лимит по банковскому счету, в пределах которого позволяется списание средств по СДБО без дополнительного подтверждения от клиента – разовый, суточный и ежемесячный. В случае превышения лимита банк будет связываться с клиентом для подтверждения операций, а до его получения они будут приостановлены. При этом круг лиц, имеющих право на подтверждение операций, также должны быть ограничены, равно как и их контактные данные.


Диджитализация банковской сферы идёт полным ходом: всё больше людей осваивают мобильный и интернет-банкинг. Выясняем, какая из этих услуг всё-таки надёжнее, и рассказываем, как обезопасить данные.

Неоднозначная статистика

По оценке Аналитического центра НАФИ, 81% аудитории с пластиком пользуется интернет-банком, а число юзеров банковских мобильных приложений достигает 69%. В центре говорят, что востребованные функции среди пользователей мобильного и интернет-банкинга – оплата сотовой связи, перевод денег другим людям и между счетами, а также отслеживание операций по счёту и карте.

Люди стали чаще настраивать автоплатежи по коммунальным услугам и подавать заявки на выпуск кредитных, дебетовых и виртуальных карт в мобильном или интернет-банке. А клиенты Русского Стандарта начали оформлять кредиты наличными онлайн.

Вице-президент холдинга Русский Стандарт Эльдар Бикмаев рассказывает: «Возраст пользователей онлайн-банкинга меняется в сторону увеличения, всё больше зрелых людей предпочитают инновационные технологии. Например, в 2017 году в интернет-банке выросло количество активных пользователей 50-60 лет на 4%, а старше 60 лет – на 6%. В мобильном банке в прошлом году стало на 90% больше 50-60-летних клиентов, в возрасте более 60 лет – на 99%».

Специалисты НАФИ считают, что большая популярность интернет-банка связана с тем, что доступ к компьютеру, в отличие от продвинутых смартфонов, сегодня есть практически у всех.

Кроме того, в приложении на смартфоне меньше функций, чем в десктопной версии.

Впрочем, статистика банка Русский Стандарт отличается от данных НАФИ. «Отмечу тенденцию 2017 года – постепенно пользователи банковских дистанционных каналов обслуживания выбирают мобильный банкинг, – говорит Эльдар Бикмаев. – Таким образом, смартфоны заменяют собой компьютеры при обращении к персональным банковским услугам».

Какая бы ни была статистика, пользователей онлайн-банкинга подстерегают ловушки, попав в которые легко лишиться средств на счёте.

Опасности онлайн-банкинга

Распространённый случай потери денег клиентами мобильного банка до смешного прост: человек меняет абонентский номер телефона и забывает оповестить об этом банк. Новому владельцу номера продолжают приходить извещения о состоянии счёта, и он может пользоваться полученными данными и совершать операции. Например, переводить деньги на другие счета с помощью смс-команд.

Что касается интернет-банка, то тут опасностей не меньше. Здесь действует схема фишинга, когда преступники обманным путём выведывают у клиентов банка данные для входа в личный кабинет. Иногда злоумышленники предлагают жертве завести новую карту и предоставить доступ к ней через личный кабинет. Люди соглашаются, не учитывая, что мошенникам станут доступны остальные карты в интернет-банке.

С каждым годом растёт число попыток хакерского взлома интернет-банков. По данным Центробанка, почти треть незаконных операций по снятию денег преступники совершают в интернет-сегменте. Они создают копии сайтов с интернет-банкингом, и доверчивые клиенты вводят информацию, которая уходит к хакерам.

И, конечно, подцепить вирус через компьютер тоже возможно.

Знаете ли Вы что

Потребительское кредитование — сегодня одна из самых востребованных услуг финансирования в экономически развитых странах мира. Только население Европы за один год берет около 200 млрд евро в кредит.

Так что же выбрать

Большинство экспертов из банковских IT-служб, в том числе и зарубежных, склоняются к тому, что мобильный банкинг всё-таки безопаснее, чем интернет-банк. На это есть несколько причин.

Как правило, уровень безопасности современных мобильных устройств гораздо выше, чем у ноутбуков и стационарных компьютеров. В смартфоны встроено криптографическое оборудование, которое защищает данные. Чтобы получить доступ к информации на мобильном устройстве, понадобятся изощренные хакерские знания.

Конечно, при входе в личный кабинет интернет-банк использует формы двухфакторной идентификации, то есть присылает SMS с паролем на телефон. Однако и это уже не проблема для мошенников – они научились выуживать из пользователей и эту информацию.

Специалист IT Фёдор Копнин готов поспорить с этим мнением: «Интернет-банк надёжнее в том смысле, что компьютер стоит у вас дома, в безопасности. А смартфон или планшет всегда с вами, и если вы оставите гаджет без присмотра на пару минут, ваши данные похитят».

Впрочем, Фёдор всё равно советует ставить пароли на ноутбуки и стационарные компьютеры, устанавливать антивирусные программы и использовать защищённые виртуальные сети VPN при работе с интернет-банком. Мужчина добавляет, что ноутбук можно зашифровать так же, как и смартфон. «Другое дело, что обычно над этим никто не заморачивается», – сетует он.

Фёдор также предупреждает, что операция «rooting» – когда пользователь сознательно снимает некоторые установленные производителем смартфона ограничения и получает привилегированный контроль над операционной системой – весьма опасна: «Когда вы «рутите» свой телефон, вы делаете данные – а значит, и мобильный банк – уязвимыми».

С другой стороны Фёдор согласен с тем, что мобильные устройства могут похвастаться мощнейшей защитой персональной информации, а банки, развивая эту услугу, обращают внимание на повышение безопасности: «Сейчас много направлений, в которых работают айтишники, пытаясь сделать мобильный банк более надёжным. Это и сканирование отпечатков пальцев и лица владельца телефона, и распознавание голоса – всё, что поможет бороться с несанкционированным доступом к вашей информации».

Таким образом, и у мобильного, и у интернет-банка есть прорехи в безопасности, но защитить данные возможно.

Как защититься

Айтишники рекомендуют соблюдать элементарные правила безопасности при использовании мобильного банка. Скачивайте только лицензионные банковские приложения и вовремя обновляйте. Также не забывайте об обновлении антивируса и не пренебрегайте дополнительной верификацией паролей.

Тем, кто отдаёт предпочтение интернет-банку, эксперты советуют тщательно, побуквенно проверять адрес сайта, на котором они вводят свои данные. Установите антивирусную программу, регулярно обновляйте её и операционную систему.

Из общих рекомендаций: не сообщайте посторонним свои персональные данные, логины и пароли. При утере телефона с мобильным банком блокируйте не только симку, но и саму банковскую карту. Устанавливайте сложные пароли: чем длиннее и необычнее они будут, тем труднее специальным программам будет их подобрать.

Читайте также: