История повторяется: на банк подали в суд из-за кредитного договора, подписанного смс

Риски, которые ждут банки при использовании смс-кодов

Риск №1: отсутствие текста документа в смс, внутренний фрод и испорченная репутация

Подписание кредитного договора смс-кодом не в первый раз становится поводом для обсуждения в СМИ и выставляет банк не в лучшем свете перед клиентами.

Например, в 2019 году СМИ рассказывали о банке, клиенты которого оформили в нём кредитный договор. Всех этих клиентов объединяло одно — они подписали договор с помощью кода из смс.

В сообщении не было видно  условий договора — просто текст «Код подтверждения 1357. Платёж по кредиту 5000 руб., комиссия 0 руб». Заёмщик называл сотруднику код и подписывал договор. А сотрудник уже добавлял к кредиту дополнительные услуги, о которых клиент не догадывался. 

С кодами подтверждения всегда остаётся одна и та же проблема — клиент не видит, что он подписывает, не может быть уверен, что соглашается на те условия, которые прочитал на бумаге. А ещё код подтверждения зачастую не гарантирует целостности и авторства, а значит, можно с лёгкостью подменить документ на другой, что и делали банковские сотрудники.

Отсутствие текста документа ведёт и ко второму риску — социальной инженерии. 

Риск №2: телефонные мошенники, суды и снова подпорченная репутация

По данным Центробанка, во втором квартале 2022 года 50% всех мошеннических схем проходили по сценарию: клиент банка назвал код из смс мошеннику. Так и произошло с жертвой недавней новости, о которой мы говорили в начале статьи. С помощью двух смс злоумышленники оформили кредит на 200 000 рублей. 

Центральный Банк РФ уже запретил использование смс и push-кодов для подтверждения транзакций, дабы защитить клиентов и сами банки (N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»). Однако данное постановление пока не касается документов на оформление банковского продукта. Но это пока.

Есть ли более безопасная альтернатива смс-кодам? 

Да, например, Nopaper Office позволяет выпустить в сервисе несколько видов электронной подписи: мобильную подпись НЭП или КЭП. Также в сервисе есть и смс-подпись, но она используется только для отдельных нерисковых случаев и по желанию самих банков. 

Когда можно использовать смс-коды, и почему смс-подпись в Nopaper Office безопаснее?

Смс в случае Nopaper Office фактически является вторым фактором для подтверждения. На сервере присутствует асимметричная криптография с контролем целостности и авторства, а SMS — дополнительный акцепт (разрешение) на подписание документа. Такая реализация защищает от ряда технических мошеннических атак при попытке подменить документ. Также перед вводом кода подтверждения клиент может ознакомиться с документом по ссылке.

Однако даже этот метод не защищает от атак социальной инженерии и телефонных мошенников, а также от иных способов перехвата смс.

А какую тогда подпись использовать для кредитов и других важных документов?

Мы рекомендуем использовать мобильную НЭП. Неквалифицированная электронная подпись позволяет определить, кто, когда, с какого устройства и даже с какой геолокации подписал документ. А текст документа можно прочитать до подписания на экране своего смартфона или планшета банка. Так вы будете уверены, что подписываете. НЭП можно выпустить в смартфоне и подписывать документы с банком через приложение. 

А если у вас, клиента банка, есть КЭП — то некоторые сервисы электронного документооборота для банка поддерживают такой вид подписи и даже выпускают её.

Цифровизируйте процессы быстро, подписывайте документы безопасно и юридически значимо вместе с Nopaper Office. И попадайте в СМИ как самый передовой и удобный банк для физических и юридических лиц.

Отправляя форму, я даю согласие на обработку персональных данных в соответствии с условиями Политики

Δ