Стоит ли банкам бороться за безопасность мобильных платежей?

«На прошлой неделе в прессе началась шумиха о заражении мобильных устройств под управлением Android 350 тысяч клиентов российских банков и нанесенном им ущербе в 50 миллионов рублей. В итоге в прошлую среду Банк России опубликовал у себя на сайте сообщение «О несанкционированных операциях, совершенных с использованием устройств мобильной связи». Произошло это спустя месяц с момента вступления в силу новой редакции положения Банка России 382-П, устанавливающего требования по защите информации при осуществлении денежных переводов, в том числе и мобильных.

В 382-П вопросам безопасности мобильного банкинга как самостоятельной задаче внимания почти не уделено, что и понятно. Все-таки мобильный банкинг, с точки зрения защиты, отличается от обычного только способом получения клиента ДБО – через магазин приложений Apple, Google или Microsoft. Вся остальная обработка, реализуемая на стороне банка, идентична Интернет-банкингу и другим формам денежных переводов от физлиц. Кроме того, клиенты не входят в сферу регулирования ни Банка России, ни иных регуляторов. Поэтому ни ФЗ-161 о Национальной платежной системе, ни ПП-584 о защите информации в платежных системах, ни 382-П не распространяются на клиентов и не требуют от них ничего в контексте обеспечения информационной безопасности.

Поэтому Банк России, продолжая свою традицию, начатую письмами Банка России 120-Т от 02.10.2009 и 154-Т от 22.11.2010 и распространяющуюся на банковские карты, решил вновь выпустить некоторую памятку для клиентов, но уже как пользователей мобильного банкинга, а не платежных карт. Эта памятка содержит в себе восемь простых и при этом здравых рекомендаций:

• установить на устройство мобильной связи антивирусное программное обеспечение с регулярно обновляемыми базами;
• не переходить по ссылкам, приходящим из недостоверных источников, в том числе на известные сайты;
• своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи, который клиент предоставил кредитной организации для получения услуги «мобильный банкинг», в том числе, на который происходит информирование об операциях по счету клиента;
• не скачивать на устройство мобильной связи приложения из непроверенных источников;
• не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам;
• не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карты (СVV/CVC-код1), пароли от «Клиент-банка», одноразовые коды подтверждения;
• при наличии подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом кредитной организации по контактным данным, указанным на ее официальном сайте;
• в случае обнаружения списания денежных средств необходимо в сроки, установленные законодательством РФ, обратиться в кредитную организацию или к оператору связи (если произошло списание денежных средств, предоставленных оператору связи в качестве оплаты услуг связи, в том числе перечисление денежных средств на «короткие номера»).

У меня, по сути, претензия только к последней рекомендации, а точнее к «срокам, установленным законодательством РФ». Где они установлены и почему нельзя было просто указать конкретное значение?