Онлайн-банк в Telegram: как это работает и насколько безопасно
Бот вместо приложения
Банк ВТБ с 19 января начинает оказывать услуги онлайн-банкинга в мессенджере Telegram, сообщила кредитная организация. Онлайн-банкинг в Telegram будет работать на основе чат-бота «Помощник ВТБ». По словам члена правления ВТБ Святослава Островского, на первом этапе пользователям будет доступен просмотр балансов карт и счетов в ВТБ, перевод денег через Систему быстрых платежей и пополнение счета мобильного телефона. На них приходится около 50% повседневных банковских операций. До конца года банк планирует добавить в функционал бота переводы между счетами, оплату по QR-коду, просмотр истории операций, выпуск карт и т. д. Банк позиционирует сервис как «первый полноценный онлайн-банк в Telegram».
Для того, чтобы пользоваться сервисом, клиент должен будет пройти в чат-боте авторизацию, введя свой логин и пароль от «ВТБ Онлайн». После этого на номер телефона клиента придет СМС с кодом подтверждения. Затем клиент попадает в адаптированную под Telegram версию «ВТБ Онлайн». При этом при последующих входах потребуется вводить только код из СМС. Кроме того, при проведении операций также будет необходимо вводить подтверждающие СМС.
Банк ожидает, что наиболее востребованным сервис будет у владельцев смартфонов, работающих на операционной системе iOS, говорит Островский. В прошлом году после введения западных санкций против российских финансовых институтов мобильные приложения ВТБ и ряда других крупных банков («Сбера», «Открытия», Альфа-банка) были удалены с крупнейших платформ — AppStore и Google Play. После этого в AppStore появилось приложение «Баланс Онлайн», разработчиком которого значился поглощенный ВТБ в 2021 году банк «Возрождение», — оно полностью копировало функционал «ВТБ Онлайн», однако вскоре и оно было удалено с платформы.
По словам старшего вице-президента ВТБ Никиты Чугунова, именно санкции и удаление приложений банка из AppStore и Google Play стали первой предпосылкой того, что банк решил воспользоваться Telegram для предоставления услуг онлайн-банкинга. Кроме того, банк принимал во внимание и изменение привычек клиентов — для многих из них мессенджеры уже стали окном для получения услуг, заменив браузеры. По его оценкам, число пользователей онлайн-банкинга ВТБ в Telegram может достигнуть «сотен тысяч» человек до конца года. Как уточнила пресс-служба банка, сейчас чат-ботом «Помощник ВТБ» ежемесячно пользуется около 50 000 клиентов.
В конце прошлого года в России был принят закон, согласно которому иностранным мессенджерам (их перечень будет вести Роскомнадзор) с 1 марта запретят сервисы для перевода средств, а госкомпании и банки не смогут использовать их для передачи личных данных, информации о платежах, переводах и банковских счетах. По мнению Чугунова, несмотря на то, что Telegram не российская компания, запрет не касается интеграции онлайн-банкинга в мессенджер. «Технология веб-виджетов, которая используется для этого, не отдает никаких данных в мессенджер. Клиент по сути получает через Telegram доступ к онлайн-банку, а все операции проводятся на стороне банка, а не в мессенджере. Финансовые транзакции и информация, которая является банковской тайной, через мессенджер не проходит», — подчеркнул он. С точки зрения безопасности, по мнению Чугунова, обязательные СМС-подтверждения при входе «снимают большую часть попыток обмана клиентов».
Где еще есть онлайн-банк в мессенджерах
Чат-боты для банков начали появляться несколько лет назад, указывает руководитель лаборатории блокчейн и финтех Школы управления «Сколково» Егор Кривошея. «Например, сервис TalkBank предлагал на российском рынке банк практически в любых мессенджерах, но, как и многие независимые финтех-стартапы, остался нишевым в условиях конкуренции с крупными банками», — говорит он.
TalkBank запустился в 2017 году. Он позволяет открыть карту, оплатить покупки и сделать перевод в нескольких мессенджерах (Telegram, VK, Viber). Приложение работает на базе Транскапиталбанка и Кредит Урал Банка.
В декабре 2020 года чат-бот, который позволял оформить дебетовую карту, запустил Альфа-банк. В конце декабря банк анонсировал, что тестирует услугу перевода денег через Telegram и VK. Сейчас через Telegram можно получать от банка уведомления о тратах и поступлениях в боте «Дзынь от Альфа-банка», их можно подключить через мобильное приложение. Все данные пользователей полностью защищены, они находятся в контуре Альфа-банка, а мессенджеры не имеют к ним доступа, подчеркнул представитель банка.
В декабре 2021 года на базе технологий TalkBank свой чат-бот MTS Bank Now в Telegram и WhatsApp запустил МТС Банк. Бот позволяет оформить виртуальную карту, делать P2P-переводы, просматривать баланс и реквизиты.
По данным Naumen на осень 2022 года, примерно у 13% из 102 крупнейших по активам российских банков были Telegram-боты для коммуникации с клиентами, еще около 10% использовали другие мессенджеры и соцсети (WhatsApp, Viber, Vk, «Одноклассники»).
По мнению Кривошеи, несмотря на то, что банки развивают присутствие чат-ботов в соцсетях, это вряд ли станет повсеместным трендом. Во-первых, ограничения на использование традиционных приложений сейчас в первую очередь касаются пользователей iOS, в то время как пользователи устройств на системе Android, а их большинство, могут устанавливать приложения через другие каналы (российские магазины приложений или напрямую с сайта). Во-вторых, пользователи привыкли к мобильным банкам и с большей вероятностью могут перейти на схожие по интерфейсу и пользовательскому опыту альтернативы, например, онлайн-банк, рассуждает эксперт. Поэтому, несмотря на то, что разработка чат-ботов для банков может быть дешевле, чем разработка приложений, а вопросы безопасности и удобства в существующих чат-ботах хорошо проработаны, чат-боты вряд ли станут полноценной заменой текущих приложений — скорее дополнением, заключает Кривошея.
Вопросы безопасности
C точки зрения безопасности банковских операций через чат-боты в мессенджерах риски те же, что и у приложения, считает заместитель гендиректора производителя систем информационной безопасности «Гарда Технологии» Рустэм Хайретдинов: «Все равно все операции после подтверждения по второму каналу — в данном случае это СМС — проходят на серверах банка, а не на телефоне, с телефона лишь уходят команды на выполнение».
С другой стороны, у Telegram-бота может оказаться меньше возможностей контролировать пользователя, чем у обычного приложения, которое при соответствующих разрешениях знает про пользователя очень много: какие другие приложения он запускает, как ими пользуется, куда ездит, кому звонит и даже как набирает текст — это позволяет банку получать так называемый отпечаток клиента, то есть облако событий, идентифицирующее его не хуже отпечатков пальцев, продолжает Хайретдинов. Так что банковский антифрод при работе через бот будет получать меньше информации об отправителе команды, а значит, больше будут риски того, что транзакции будут подтверждены в случае, если телефон, например, окажется в чужих руках или злоумышленник воспользуется дубликатом сим-карты, допускает он.
Другой способ мошенничества, с которым могут столкнуться пользователи: злоумышленники будут выдавать поддельные боты за оригинальные, тем самым заставляя пользователей самим отдавать свои данные, предполагает директор по консалтингу InfoWatch Ирина Зиновкина. Подтверждение транзакций через СМС, по ее мнению, значительно повысит уровень безопасности, но «стоит помнить о стандартных методах социальной инженерии, когда мошенники обманным путем могут узнать код безопасности из СМС».
.