Поиск

Кому нужен OpenAPI

02.04.2018 от Andrew

По мотивам дискуссии, состоявшейся в рамках клиентского форума Compass Plus, на прошлой неделе, резюмирую мысли про OpenAPI, к которым пришли участники.

Краткая предыстория. В Европе с 1 января 2018 года вступил в силу PSD 2.0, обязывающий банки открыть интерфейсы для внешних сервисов и вводящая некоторые правила контроля деятельности платежных и информационных посредников между клиентами и банками, который правда местами противоречит GDPR (европейская директива по защите персоданных), поэтому фактическая его реализация началась пока только в Британии. В России активно носятся с идей необходимости аналогичной регуляции, которая якобы подвинет рынок финтеха на небывалый уровень, превратив банки в некие открытые бэк-офисы по обработке операций, а креативные ребята из разных компаний будут радовать рынок качественными инновациями. Естественно, большинство банковского сообщества совершенно не в восторге от перспективы открыть API, по-сути поделиться своими клиентами и увеличить конкурентное давление на себя со стороны небанковского сектора, в то время как так-называемое «финтех» сообщество радостно хлопает в ожидании действий ЦБ по принуждению банков к открытию API.

Читать полностью »

Рубрики: Банковская розница | Вставить свои 5 копеек »»»

Государственный блокчейн и криптовалюты

03.01.2018 от Andrew

Про блокчейн и криптовалюты не написал только ленивый (я:). Биткоин бьет новые рекорды, а прожекты с блокчейном творят не только фрики-стартаперы, но и государственные организации. Правда реально работающих проектов, что-то до сих пор не видать, хотя хайп поднялся уж года три как. Давайте разберемся в ключевых аспектах технологии и поймем есть ли у нее применение в госсекторе и платежах.

Не вдаваясь в детали отметим, что собственно блокчейн это бесконечная цепочка записей (транзакций), каждая из которых является производной от предыдущей и таким образом изъятие или замена любой записи влечет искажение всех последующих. При этом записи хранятся в распределённой базе данных и каждый узел содержит полную копию всей истории записей. Таким образом достигается неизменность базы и доверие к ее содержимому, которое невозможно подменить, если не захватить контроль над 50+% узлов, но ценой катастрофического потребления ресурсов и снижения скорострельности системы (для примера вся сеть биткоина сегодня обеспечивает производительность не более 7TPS, а объем базы превысил 100ГБ, которые миллионы раз дублированы на всех узлах). Хорошая тема для учета обязательств множества участников, не доверяющих друг-другу, условно говоря для площадки частных объявлений типа Авито. Но вот ЦБ с ведущими банками мутит Мастерчейн, для «учета закладных, электронных аккредитивов» и т.п. Отличная идея, только зачем тут блокчейн? неужели у банков существует недоверие к Банку России, который осуществляет над ними надзорные и регуляторные функции и они (или их клиенты) не доверяют централизованному сервису, крутящемуся на ресурсах Центробанка, подозревая его в возможном сговоре с конкурентом и подмене данных на сервере? Или ЦБ опасается несанкционированного доступа к своей централизованной системе? Ладно б SWIFT, где по-сути нет единого гаранта и это в некотором роде хаордическая организация из десятков тысяч банков по всему миру в разных юрисдикциях, поехал бы в сторону блокчейна, но блокчейн с регулятором это же очевидная глупость.

Криптовалюта в блокчейне изначально нужна в качестве награды для участников системы, обеспечивающих систему своими вычислительными ресурсами, необходимыми для обработки и хранения транзакций. И усложняющийся со временем процесс «майнинга» призван в отсутствие централизованного эмитента обеспечить постепенный, плавный рост денежной массы по мере роста количества участников сети. Экономическая сущность криптовалют раскрыта в книге Хайека «Частные деньги», написанной еще в 70ые годы. Теперь почитайте анонс выпуска криптовалюты в Венесуэле и подумайте, если существует единый эмитент в виде государства и обеспечение в виде ограниченного количества нефти, то какая это криптовалюта и зачем тут блокчейн? Если государство объявит дефолт или передаст месторождение какому-то новому инвестору, то как записи в блокчейне помогут владельцам «эль петро», обменять их на баррели нефти?:) Если количество нефти заранее известно, а эмитентом криптоденег является государство и выпускает их так, как пожелает, то зачем майнить и обогревать видеокартами и без того жаркие тропики? Если у государства стоит задача выпустить цифровую валюту, отвязанную от основной «бумажной» валюты (которая на самом деле ведь тоже большей частью существует не в виде банкнот и монет, а в виде записей в банковских системах), запуститете авторизационный сервер, раздайте всем организациям и/или гражданам токены и будет вам счастье. Вот примерно такая же ахинея из Британии, где функционирует Faster Payments, позволяющий в онлайне и практически даром переводить деньги между клиентами любых банков.

Примерно такая же история со смарт-контрактами. Интересная вещь для Авито, но зачем она в банковской системе не понятно. Если два контрагента считают, что Альфа-банк достаточно надежен, чтобы доверять выставленному через него аккредитиву, то зачем тут смарт-контракт и блокчейн? А если у банка в процессе исполнения смарт-контракта отзовут лицензию, то никакой блокчейн вытащить из него деньги не поможет :)

А наиболее забавно выглядит история с криптопроцессингом от Qiwi. Вспомним про производительность биткоина, а эфириум ушел не далеко от него. Единственная задача, которую решает блокчейн в этом случае это непрерывность глобального бизнеса, в случае проблем компании в одной из юрисдикций. Причем откуда тут возьмется блокчейн в виде множества независимых узлов не понятно, а зачем называть блокчейном несколько дублирующих операционных центров, принадлежащих одному владельцу не понятно…

Банальщину, наверное, написал, но просто давно не писал и на «каникулах» захотелось чем-то пополнить пыльный блог.

PS Есть мнение, что большинство проектов в сфере блокчейна, это просто прикрытие для частных лиц, желающих получить финансирование (корпоративное и даже государственное) для создания исследовательских платформ, которые в бОльшей частью майнят  спекулятивно растущую крипту для конкретных интересантов, а в меньшей степени имитируют бурную исследовательскую деятельность

Рубрики: Банковская розница | 1 уже не сдержался »»»

54ФЗ и банки

03.07.2017 от Andrew

Столько было шума по поводу поправок в 54-ФЗ, регламентирующих так называемую «электронную фискализацию» и подготовки к их реализации, а попытался вникнуть и оказалось «Безобразие! Война у порога, а мы не готовы!» (с). Причем не готовы не только банки, потому что прохлопали ушами и не обратили внимание на эту тему, но и сам закон написан очень криво с множеством противоречий.  Фиг с ним, что не понятно на кого закон уже распространяется, а на кого еще нет: там куча исключений в разных пунктах и отдельно опубликованные решением Правительства списки товарных позиций и услуг — лично мне продраться через все исключения и оговорки, перечисленные в статье 2, не удалось.

Особенно привлекло мое внимание вот это письмо Минфина, которое трактует нормы 54ФЗ таким образом, что под него попадают все банковские платежи, после чего я стал внимательно читать закон и набрел на двусмысленности и неопределенности, которые серьезно влияют на банковский бизнес не только в части эквайринга, но и традиционных платежей и переводов. Читать полностью »

Рубрики: Банковская розница, Банковские карты | 3 комментария »»»

Двухфакторная аутентификация в мобильных приложениях

21.01.2017 от Andrew

Двухфакторная аутентификация пользователя и его операций в банковских приложениях подразумевает, что кроме пары логин-пароль используется второй идентифицирующий признак клиента, который, для повышения безопасности должен быть не связан с первым идентификатором. Изначально банковские приложения были ориентированы на компьютеры (Интернет-банк) и в качестве средств вторичной аутентификации использовались следующие методы:

  • таблица с одноразовыми кодиками;
  • кодовое слово из которого для каждой сессии выбиралось определенная буква;
  • разовые пароли, отсылаемые на e-mail, но чаще в виде SMS;
  • генераторы разовых паролей типа VASCO Digipass, которые в России не получили распространения;
  • технология DPA/CAP, основанная на генерации криптограммы с помощью чиповой карты и специального ридера

Последняя технология наиболее продвинута и защищенна от мошенничества, более того она позволяет любую операцию в ДБО представить как операцию, совершенную с использованием банковской карты, однако, у нее есть и недостатки, связанные с необходимость выдать каждому пользователю ридер стоимостью порядка 10 баксов (либо карту, с встроенным дисплеем и клавиатурой), который клиент должен иметь с собой для совершения операций, поэтому единицы российских банков поддерживают эту технологию. В силу простоты, удобства, общедоступности и дешевизны (правда в прошлом) SMS-сообщений, этот способ аутентификации пользователей систем ДБО стал доминировать на российском рынке. При использовании его для доступа в Интернет-банк он был достаточно безопасен, т.к. для совершения операции необходимо было получить не только идентификационные данные клиента, но и доступ к его мобильному телефону. Однако, с появлением смартфонов, с большими экранами и полнофункциональными банковскими приложениями, все больше дистанционный банкинг смещается на мобильные телефоны, а технологии аутентификации клиентов остаются прежними. Более того, в связи с подорожанием SMS-сообщений многие банки стали заменять SMS-сообщения на Push. И двухфакторная аутентификация стала по-сути однофакторной: получив доступ к смартфону клиента (где чаще всего идентификационные данные для входа в мобильный банк запоминаются приложением), мошенник на него же и получает разовый пароль. Клиент оказывается фактически не защищен технологически, да еще и договор банковского обслуживания предусматривает, что ввод разового пароля однозначно перекладывает ответственность за нее на клиента. Даже Тинькофф многие годы получающий титул «Лучшего мобильного банка», подтверждает операции в своем мобильном банке через Push и ничего не делает для внедрения по-настоящему двухфакторной аутентификации мобильных пользователей.

Читать полностью »

Рубрики: Банковская розница | 5 комментариев »»»

ТелефонPAY

20.10.2016 от Andrew

По-моему уже все производители смартфонов отметились созданием своих платежных сервисов: ApplePay, AndroidPay, SamsungPay, MiPay, HuaweiPay. Подчеркиваю все это именно СЕРВИСЫ, хотя относительно них и пытаются употреблять термин «платежная система», но ни один из них не является платежной системой ни в терминах российского 161ФЗ, ни с точки зрения здравого смысла, т.к. все они паразитируют на существующих платежных системах и не имеют собственной межбанковской расчетной инфраструктуры. На российский рынок недавно вышли, практически одновременно, ApplePay и SamsungPay и я попробовал разобраться в их бизнес-моделях и мотивации банков сотрудничать с этими сервисами. Объединяет эти сервисы то, что они работают только на свежем модельном ряду смартфонов, обладающем NFC и технологических приседаний требуют только от эмитентов, взаимодействуя с эквайерами стандартным образом, но есть между ними и существенные различия.

Читать полностью »

Рубрики: Банковская розница, Банковские карты | 9 комментариев »»»

Банки и мессенджеры

07.09.2016 от Andrew

Наверное, уже пора высказаться по поводу захлестнувшей банковский рынок мессенджеромании. Похвально быть ближе к клиенту и предоставлять ему сервисы через все каналы, которые клиенту потенциально удобно использовать. Мессенджеры плотно оккупировали повседневную жизнь большинства пользователей мобильных платформ и появление банков там с информационными сервисами выглядит вполне логичным:

  • в связи с возросшим покрытием мобильным интернетом и снижением тарифов на него, мессенджер может быть альтернативой SMS-транспорту для оповещения клиентов об операциях
  • боты в мессенджерах могут предоставлять разнообразную не персонифицированную информацию о продуктах банка (тарифы и условия, адреса и график работы офисов и отделений), принимать заявки на продукты и услуги
  • кроме этого банки и финтех компании все чаще используют мессенджеры для предоставления персонифицированной информации о клиентских счетах и остатках, аутентифицируя клиента. Умные при этом аутентифицируют клиента, перебрасывая его на свой сайт и возвращая назад в мессенджер

Но некоторым этого мало и они пытаются с помощью ботов в мессенджерах предоставлять финансовые услуги, в частности переводы с карты на карту (украинский бот Коля, NaKa бот от МИнБ, …), но совсем некоторым и этого мало — на конференции FinTechLab2016 был презентован проект первого бот-банка TalkBank, который по аналогии с Рокет/Инстабанками выпускает клиентам карты реального банка (в данном случае Транскапиталбанка), но вместо мобильных интерфейсов все операции проводит в мессенджерах (заявку я им тогда оставил, но так пока со мной и не связались — видимо не заработало). Хорошо ли это? На той же конференции я задал вопрос про независимый или промышленный (по типу PCI DSS) аудит безопасности мессенджеров руководителю Digital Security Медведовскому и зам.нач.управления безопасности ЦБ Сычеву и они в один голос сказали, что любой мессенджер надо воспринимать как абсолютно не доверенную среду. Однако, далеко не все инноваторы в погоне за модным трендом и коротким рублем задумываются над этими вопросами. Считается, что раз Дуров сказал, что его Телеграм самый защищенный и раз никто публично не объявил о его взломе, то это истинно так. Ок, пока не взломали, а завтра взломают и что? Пока в мессенджерах не было денег, действительно серьезным хакерам его ломать было интересно только из спортивного интереса… А кто гарантирует от внутренней утечки, когда какой-нибудь оператор или администратор мессенджера использует или подменит транзакционные данные? Почему бы по е-мейлу не отправлять слипы для P2P переводов или с почтовыми голубями (их тоже никто много столетий не перехватывал)?

Самый незащищенный в этой ситуации клиент, потому что когда с его карты сопрут деньги (сделают перевод не тому получателю, или на другую сумму, или просто сольют все использованные в сервисе карты кардерам), куда он пойдет? Мессенджер ткнет в свою оферту, в которой указано, что позволяет текстовыми сообщениями и картинками обмениваться и совсем не предполагал, что кто-то через него деньги передавать будет. Банк-эмитент скажет — ну ты сам разгласил все данные своей карты, еще бы на заборе их развесил. Банк-эквайер скажет, что весь фрод был в мессенджере, за который он не отвечает, а он все выполнил согласно оферте, с которой клиент согласился совершая операцию…

PS а чуть меньше года назад я встречался с одними стартаперами, которые собираются в партнерстве с одним из мессенджером его в средство платежа превратить. То есть клиент совершает покупки, ему приходит уведомление в мессенджер, где он подтверждает операцию списания со своего банковского счета. Подтвержает SMS-паролем, естественно! The END

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Многофакторая аутентификация в мобильном банке

12.12.2015 от Andrew

Став клиентом еще нескольких банков обратил внимание, что они производят подтверждение операций в приложении мобильного банка путем доставки SMS и даже push-сообщений непосредственно телефон, в котором и запускается это мобильное приложение. Клиентам таких банков стоит много раз подумать стоит ли им использовать такие мобильные банки, а банкирам подумать зачем они бессмысленно тратят деньги на рассылку OTP (one time password) в мобильном банке. По хорошему, банк должен уведомлять клиента о том, что мобильное устройство, с которого он осуществляет операции и на которое получает одноразовые пароли, должны быть разными или придумывать для мобильного банка другой способ аутентификации (таблица кодиков, например или аутентификация по DPA/CAP ридеру) и устанавливать более жесткие лимиты на операции, совершаемые в мобильном банке.

Рубрики: Банковская розница, Банковские карты | 1 уже не сдержался »»»

FinTechLab2015

29.06.2015 от Andrew

Антон Арнаутов (основатель проекта ReBanking) на прошлой неделе достаточно успешно попытался повторить Finovate в России в рамках мероприятия FinTechLab  на котором были интересные стартапы, были занудные выступления спонсоров и просто откровенное самолюбование Домашних денег, которые никому ничего не продавали, а просто рассказали как они круто автоматизировались, жаль что по факту времени для вопросов не предусмотрели, но содержательно мероприятие вполне удалось, в отличии от традиционных конференций на которые последнее время почти не хожу…

Что мне запомнилось и понравилось в виде конспекта:

Читать полностью »

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Операторы сотовой связи и мошенники

26.01.2015 от Andrew

Билайн еще больше упростил жизнь мошенникам, предоставив им возможность снимать деньги непосредственно с лицевых счетов в банкоматах. Неужели кому-то еще может быть необходимо сначала небесплатно пополнить счет у оператора, а потом снимать с него деньги под 5,95%?! Операторы все больше и больше вторгаются на банковскую поляну, при этом они не поднадзорны ЦБ, их совсем не волнует объем мошенничества, совершаемого с использованием их сервисов.

Напоминаю типовую схему мошенничества:
Шаг 1. Методами социальной инженерии или простым воровством у клиента крадутся данные карты и с нее делается перевод либо в пополнение лицевого счета у оператора (зачастую через прокладку типа электронного кошелька Тинькова, чтобы усложнить розыск)
Шаг 2. Внутри сотового оператора деньги разбиваются на подлимитные суммы и разбегаются по множеству лицевых счетов, откуда обналичиваются. Обналичка через банкомат облегчает процесс и позволяет еще больше защитить обнальщика, который в банкомате не оставляет уже никаких следов :(

Не буду наговаривать конкретно на Билайн, но на личном опыте знаю, что в МТС нет никакого фрод-контроля и по факту обращения к ним служб безопасности банка с просьбой блокирнуть счет и заморозить деньги они сообщают, что счет конечно блокирнут, но денег на нем уже нет — они разошлись дальше, а вообще за сегодняшний день на этот счет-транзитник это уже далеко не первое пришедшее пополнение.

Рубрики: Банковская розница, Банковские карты | Вставить свои 5 копеек »»»

Про тезок, судебных приставов и вытекающие из этого проблемы

14.01.2015 от Andrew

Это поучительный рассказ о том, как уже третий год я имею проблемы из-за нерадивого тезки, проживающего в Ульяновской области и не платящего по долгам. Фокус в том, что с этим товарищем, который задолжал за коммунальные услуги сотню тысяч рублей, у меня полностью совпадает Фамилия, Имя, Отчество и Дата Рождения и на него выписано 4 исполнительных листа судебными приставами Ульяновского района Ульяновской области. Некоторые читатели, которые еще не сталкивались с такими совпадениями на своем опыте, подумают «ну и что, паспорт, СНИЛС и прочие документы у него другие, да и вообще это такой редкий случай, что и читать далее не стоит». Однако, смею вас заверить, что после публичного обсуждения этой истории на Facebook выяснилось, что многие, если не сами, то на опыте своих знакомых уже сталкивались с такими же случаями, когда судебные приставы создавали проблемы не виновнику торжества, а его однофамильцам. Поэтому рекомендую дочитать до конца и дать прочитать друзьям и знакомым — авось пригодится.

Читать полностью »

Рубрики: Банковская розница, Про жизнь, Путевые заметки | 39 комментариев »»»

« Раньше