Chirkov.net: блог

На днях на утренней пробежке пришла в голову идея, как изменить логику работу СБП и полечить все имеющиеся у этого, безусловно полезного сервиса, правовые проблемы, а именно:

– нарушение тайны счета;

– разглашение персоданных;

– инструментарий «пробивки» банков для мошенников;

– инструментарий для компрометации людей путём дачи ложной взятки и т.п. (написав, например в назначении платежа «за сексуальные услуги» и приняв такой платёж ты оказываешься должен:)

Сценарий должен быть таким:

1) отправитель вводит телефон и сумму, вводит назначение платежа и выбирает банк по-умолчанию или конкретный банк и подтверждает операцию. Вешается холд.

2) банк отправителя запрашивает НСПК и отправляет деньги либо в банк по-умолчанию или в выбранный банк, если он ассоциирован с данным номером

3) если номер не ассоциирован с данным банком холд снимается с удержанием с отправителя комиссии за неудачный перевод (она может быть прогрессивной, либо холд может сниматься с задержкой в сутки, в зависимости от интенсивности мошеннических атак)

4) получивший деньги клиент должен иметь (обязательно!) назначение платежа, полное ФИО и телефон отправителя для однозначной идентификации кто и с какими целями перевёл ему денег. У него должна быть возможность бесплатно(!) отказаться от перевода, вернув его отправителю, с которого удерживается комиссия за возврат.

Все проблемы решаются:

– тайна счета: если выбран банк по умолчанию, то его название отправителю не сообщается. Если выбран конкретный банк, то отправитель только узнает есть ли в нем счёт, ассоциированный с данным номером, но не имя его владельца. Придраться, при желании, можно, но в сравнении с текущей технологией это нарушение довольно спорное.

– персоданные вообще не разглашаются

– комиссия за каждую попытку и необходимость подвешивать суммы переводов, а так же плата за «угаданный» банк в виде суммы пробного перевода, будут неплохой защитой от «пробивания».

– полная информация о платеже и возможность бесплатно его вернуть даёт клиенту защиту от «схематозов»

После публикации этого текста в Фейсбуке представитель НСПК сообщил мне, что проблема “пробивки” надуманна, ибо существуют лимиты на запросы. Я проверил это в приложении Тинькова, которое после ввода номера телефона сразу выводит наличие у человека счета в Тинькове, Сбере и банк по умолчанию, если задан в СБП. Переправ пару десятков номеров из телефонной книги, я получил наличие счётов в Тинькове или Сбере у большой части из них и 4 или 5 счётов в других банках через СБП, после чего Тиньков действительно перестал мне выдавать даже собственные счета. Как это реализовано у других банков проверить не могу, но считаю, что эта проблема, если не совсем решена, то угроза минимизирована.