Долговая драма: микрозаем нельзя будет взять без электронной подписи
С 1 октября 2024 года может усложниться процедура выдачи займов в МФО — получить их граждане смогут только при наличии электронной подписи. Обязанность оформить ЭП для своих клиентов ляжет на сами микрофинансовые организации. Это следует из проекта указания ЦБ, выяснили «Известия». Как отметили в Банке России, нововведение призвано защитить граждан от получения кредитов без их согласия. Мера предотвратит мошенничества с перехватом СМС, но полностью не исключит обманы с помощью методов социальной инженерии, считают участники рынка. В МФО предупредили, что получение цифровой подписи удлинит процесс оформления займов, которые обычно нужны срочно.
Поставьте вашу подпись
Центробанк разработал новые требования по защите информации для микрофинансовых организаций (МФО). В соответствии с проектом указания ЦБ (есть у «Известий»), они должны будут обеспечить для своих клиентов использование простой или усиленной электронной подписи (ЭП). Для простой ЭП участники рынка будут обязаны обеспечить криптографическую защиту и проводить аутентификацию отправителя сообщения.
Предполагается, что изменения вступят в силу с 1 октября 2024 года. Предложения и замечания по документу принимались до 18 сентября.
— Мы рассчитываем, что выполнение требований, в том числе использование простой и усиленной ЭП, повысит защищенность граждан от получения кредитов без их согласия, а также самих МФО — от возможных оспариваний фактов заключения договоров, — заявили «Известиям» в ЦБ.
В Банке России добавили, что порядок получения и использования электронной подписи зависит от ее вида, а также от условий договора между МФО и клиентом.
Электронная подпись — это цифровой аналог подписи от руки. Она подтверждает, что действие совершает конкретный человек. Простая ЭП разнообразна, она может быть в виде индивидуального логина и пароля или кода из СМС. Усиленная ЭП — это персональный цифровой код, который может храниться на физическом устройстве (флешке) или в специальном мобильном приложении.
Сейчас при получении микрозайма онлайн МФО нужно подтвердить личность как минимум двумя способами: как правило, при подаче заявки через сайт человек предоставляет паспортные данные, а затем ему предлагается пройти аутентификацию через Госуслуги.
Чаще всего россияне сталкиваются с мошеннической схемой, по которой злоумышленники получают доступ к их личному кабинету на портале Госуслуг, сообщили «Известиям» в Центре правовой помощи гражданам в цифровой среде (создан по инициативе Роскомнадзора). После этого злоумышленники оформляют от имени граждан договоры займа (иногда свыше десятка на одного человека) с использованием упрощенной идентификации физлиц на сайтах МФО, указывая принадлежащие преступникам номер телефона и банковскую карту.
В 2023 году отмечается рост жалоб как на незаконное оформление кредитов и микрозаймов на чужое имя, так и на кибермошенничество, рассказали «Известиям» в ЦБ. Для противодействия методам социальной инженерии при оформлении ссуд, с участием регулятора разработан проект закона о самозапрете на кредиты, добавили в Банке России.
Скорость и стоимость
Новые требования для МФО фактически дублируют уже действующие для банков с 1 октября 2022 года, отметила коммерческий директор SafeTech Дарья Верестникова. Теперь подтверждение должно совершаться с использованием средств криптографической защиты со строгой аутентификацией отправителя и контролем целостности операции. Иными словами, эти методы позволяют однозначно доказать, кто совершал операцию и какую именно, пояснила она.
Своим указанием регулятор хочет защитить клиента и организации от таких атак, как программный перехват сообщений, перевыпуск SIM-карт, внутренний фрод, уточнила Дарья Верестникова.
— Усиленная квалифицированная электронная подпись выдается на USB-носителе в удостоверяющем центре. Для этого предварительно требуется оформить на сайте выбранного вами удостоверяющего центра заявление на получение ЭП и указать свои контакты для связи. Микрозаем человеку нужен, как правило, срочно и на короткий период, что не соответствует обновленному процессу, — заявил гендиректор группы компаний Eqvanta Сергей Весовщук.
При этом, по его словам, мошенники, специализирующиеся на социальной инженерии, смогут найти слой людей, которые будут передавать им не только свои данные, но даже усиленную ЭЦП. В итоге рынок микрофинансирования значительно сократится, а злоумышленники всё равно смогут добиться своих целей, ожидает Сергей Весовщук.
Применение усиленной электронной подписи, скорее всего, сократит случаи неправомерного использования персональных данных злоумышленниками, считает гендиректор финансовой онлайн-платформы Webbankir Андрей Пономарев. Однако он согласен, что полностью решить проблему нововведение не сможет.
Перечень новых требований превышает 200 строк, подчеркнули председатель совета СРО «МиР» Эльман Мехтиев. Он сообщил: реализация их к 1 октября следующего года потребует отказа от большей части технических доработок, необходимых для внедрения новых финансовых продуктов, включая программы лояльности.
В среднем совокупные затраты у одной МФО на реализацию новых требований могут составить 10–20 млн рублей, добавил начальник управления информационной безопасности Moneyman Алексей Ахмеев. При этом, по его словам, на внедрение новых методов защиты потребуется от 10 до 16 месяцев.
