Перед исполнением распоряжения клиента банк обязан удостовериться, что такое распоряжение действительно исходит от самого клиента или уполномоченного им лица.
Если распоряжение передано очно (путем непосредственного обращения в отделение банка), то банк идентифицирует обратившегося по удостоверяющему личность документу и проверяет его полномочия на распоряжение денежными средствами (если это не владелец счета, он должен предъявить банку оригинал доверенности).
Если же распоряжение передается с использованием автоматизированных систем, программного обеспечения, то идентификация тоже обязательно проводится, но путем применения клиентом специальных идентификаторов: пин-кода банковской карты в банкомате, логина и пароля клиента в личном кабинете на сайте банка или мобильном приложении, получаемого по телефону одноразового пароля для операции на внешнем сайте (сайте, на котором заказываются товары, работы, услуги), проч. При этом пин-код и логин-пароль выдаются клиенту очно в банке, при удостоверении его личности.
Такие идентификаторы для удаленной передачи распоряжений следует хранить в недоступном для иных лиц месте и не разглашать никому. В значительной степени безопасность банковских операций зависит от бдительности самого клиента.
Кредитные организации, в свою очередь, обязаны обеспечить:
– реализацию определенных уровней защиты информации для используемых объектов информационной инфраструктуры;
– использование сертифицированного прикладного программного обеспечения;
– целостность электронных сообщений и подтверждение их составления уполномоченным на это лицом;
– регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации и регистрацию результатов выполнения действий на всех технологических участках;
– хранение всей образуемой информации;
– формирование для клиентов рекомендаций по защите информации от воздействия вредоносных кодов в целях противодействия осуществлению переводов денежных средств без согласия клиента;
– доведение до клиентов информации о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления банковских операций лицами, не обладающими правом их осуществления, и мерах по их снижению:
– о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства клиента;
мерах по контролю конфигурации этого устройства и своевременному обнаружению воздействия вредоносного кода.
С 1 октября 2022 года Центробанк предоставил клиентам банков возможность самостоятельно устанавливать запрет на онлайн–операции либо ограничивать их параметры – максимальную сумму для одной транзакции или лимит на определенный период времени. Установить запрет на дистанционные каналы можно в отношении отдельных услуг, например переводов, онлайн-кредитования, или на все операции. Чтобы воспользоваться бесплатным сервисом, клиенту нужно написать заявление в свой банк. Форму документа и порядок его направления определяет кредитная организация. При этом отменить запрет или изменить параметры онлайн–операций клиент банка может в любое время без ограничений.
Также с 1 октября 2022 г. для дополнительной защиты клиентов от действий кибермошенников банки обязаны проводить идентификацию всех устройств, с которых граждане совершают онлайн-операции, подтверждать их телефонные номера и адреса электронной почты.