Новые правила регистрации в интернете угрожают приложениям банков и Apple ID

Во вторник Госдума поддержала поправки в законы «Об информации» и «О связи», которые в том числе предлагают исключить регистрацию на российских сайтах с помощью иностранной электронной почты. На российских ресурсах, где нужна регистрация, можно будет зарегистрироваться только четырьмя способами: по номеру телефона российского оператора, через «Госуслуги», Единую биометрическую систему или «через иную инфосистему, которой владеет гражданин России или российское юридическое лицо». В случае их принятия поправки вступят в силу 1 декабря 2023 года.

Эти нововведения потенциально приведут к негативным последствиям не только для интернет-отрасли, но и для финансового рынка, а также Национальной системы платежных карт (НСПК), пишет в своем письме (есть в распоряжении Forbes) на имя руководителя комитета Госдумы по информполитике Александра Хинштейна глава ассоциации «Электронные деньги» (АЭД) Виктор Достов.

Позиция в петиции

Под действие поправок попадут все финансовые организации, оказывающие услуги с помощью мобильных приложений и интернет-банкинга, — сюда входят как банки, так и небанковские кредитные организации, операторы электронных денежных средств, страховые компании, перечисляет Достов. Также они затронут и НСПК как разработчика приложения СБП для QR-платежей, говорится в письме.

«В отличие от интернет-мессенджеров финансовые организации не могут проводить авторизацию только единожды, при подключении к сервису — это бы негативно сказалось на безопасности, — поэтому авторизация проводится при каждом доступе к удаленным каналам обслуживания, — следует из документа. — Ни один из четырех предлагаемых способов авторизации не обеспечивает быстрого, удобного потребительского опыта: реализация поправок ухудшит удовлетворенность граждан без какого-либо значимого снижения рисков».

Кроме того, предложенные механизмы не обеспечивают бесшовную, быструю авторизацию клиента, полагают в ассоциации. Так, согласно постановлению правительства № 1801, сотовый оператор должен предоставить результаты проверки абонента в течение 20 минут. Аутентификация через ЕБС или ЕСИА требует переходов на другие интернет-ресурсы, это дополнительное время. «Качество и пользовательский опыт сторонних авторизационных сервисов российским финансовым организациям неизвестны. Также неясно, насколько можно полагаться на такие сторонние сервисы при осуществлении финансовых операций», — пишет Виктор Достов.

Далее проверка будет дублировать уже проведенную верификацию личности, поскольку большинство клиентов финорганизаций уже прошли полную или упрощенную идентификацию, настаивают в АЭД. Также, по мнению Виктора Достова, предложенный порядок «драматически увеличит нагрузку на существующую инфраструктуру». «В финансовом секторе авторизация проводится при каждом доступе к приложению или интернет-банку. Многие клиенты обращаются к удаленным каналам несколько раз в день. Это означает миллионы авторизационных запросов ежедневно, что на порядки больше, чем инфраструктура ЕСИА, ЕБС или сотовые операторы обрабатывают сейчас, — продолжает он. — А сбои в этой инфраструктуре фактически будут означать невозможность доступа к удаленным каналам обслуживания, что крайне негативно скажется на доверии к финансовому сектору».

Еще одним следствием нововведений будет «заведомо невыгодное положение российских поставщиков услуг», уверен Достов. Поправки, замечает он, будут распространяться только на российские сайты, значит, иностранные поставщики услуг будут по-прежнему использовать те механизмы авторизации, которые им удобны. «По нашему мнению, требования к авторизации пользователей должны учитывать уже сложившиеся практики и конкретные риски, которые могут возникать при взаимодействии с пользователями. Российский финансовый сектор, в том числе благодаря усилиям Банка России, достиг существенных успехов во внедрении цифровых финансовых сервисов, расширении безналичного оборота, является одним из самых инновационных в мире», — пишет Достов, ходатайствуя о проведении дополнительных консультаций «с заинтересованными сторонами».

Виктор Достов воздержался от комментариев, в комитете Госдумы по информполитике подтвердили, что письмо получено. В НСПК, Тинькофф Банке, «Открытии», Qiwi, «Ренессансе» на запрос Forbes не ответили.

От автора

Поправка направлена на защиту персональных данных россиян — часто именно регистрация через иностранные сервисы становится брешью, через которые персональные данные попадают в открытый доступ либо крадутся киберпреступниками, сообщил в своем Telegram-канале глава комитета Госдумы по информполитике Александр Хинштейн.

«Мы считаем, что идентификатор российских пользователей должен быть привязан к российскому номеру телефона, электронной почте в доменах .ru и .рф, «Госуслугам» или биометрии, — написал замруководителя комитета Госдумы по информполитике Антон Горелкин, автор поправок. — В свою очередь рассчитываем, что российские ID-сервисы предоставят владельцам сайтов и приложений удобные решения для авторизации с соблюдением этих требований, обеспечивающие гарантию сохранности персональных данных». Накануне, по его словам, комитет провел консультации по правоприменению этих поправок с представителями отрасли: «Договорились, что при необходимости будем готовы вернуться к обсуждению вопроса».

Удаление с поля

Однако, несмотря на слова Антона Горелкина, как заявил источник Forbes в интернет-индустрии, законопроект с отраслью не обсуждался и стал неожиданностью для всех: «Перед вторым чтением его кардинально переписали. По факту сегодня рассматривали совершенно новый законопроект». Эти изменения могут привести к тому, что в декабре миллионы российских пользователей могут потерять доступ к привычным ресурсам, говорит собеседник Forbes.

Принятие поправок в текущей версии несет существенные риски для отрасли, а также вызовет негативный отклик у миллионов пользователей российских IT-сервисов, уверен заместитель управляющего директора Ozon Алексей Минаев. «Законопроект определяет жесткие правила авторизаций пользователей четырьмя способами. Первый, с помощью номера телефона, станет доступен только после заключения договора об идентификации с оператором связи, при этом подобной практики еще не существует на рынке, — рассуждает он. — Авторизация также будет доступна через собственные системы компаний при условии отсутствия доли иностранного владения, что невыполнимо для большого числа российских IT-игроков, вышедших на IPO. Это повлечет за собой невозможность использовать push-уведомления и email-письма для авторизации». Последние два способа — через ЕСИА и ЕБС — сейчас используют менее 0,5% пользователей онлайн-сервисов, в большинстве своем предпочитая другие методы, заключает Минаев.

На еще одно важное обстоятельство обращают внимание в Ассоциации больших данных (АБД). Правила Apple подразумевают обязательную опцию входа с использованием Apple ID, если у приложения больше одного способа авторизации (при этом Apple ID использует незначительное число пользователей). «В рамках входа с использованием такого способа авторизацию проводит сам отечественный сервис на основании данных от Apple, не передавая иные данные в адрес Apple. Такой алгоритм позволяет отечественным компаниям полностью контролировать процесс обработки персональных данных и обеспечивать их защищенность по правилам законодательства России», — продолжают в АБД. Однако нововведения обязывают компании проводить авторизацию пользователей на территории России закрытым перечнем способов. Таким образом, у российских компаний будет выбор — убрать авторизацию через Apple ID (с высокими рисками удаления приложений из AppStore) или оставить только свою собственную систему авторизации, удалив все сторонние способы авторизации, в том числе через ЕСИА, ЕБС, операторов связи. «Законопроект коснется практически всех отечественных компаний, у которых есть приложения», — заключают в АБД.