Мы провели небольшое расследование среди почти двух десятков немецких банков, изучив их условия для использования интернет-банка и предлагаемые способы защиты личных данных пользователей. Нельзя сказать, что картина получилась очень радужной, но в принципе практически во всех банках эту услугу можно использовать совершенно спокойно. Правда, за редким исключением...

В 2006 году финансовое издание «Global Finance» назвало Citibank лучшим банком, предоставляющим интернет-услуги частным лицам. Это звание банку обеспечили не только его стратегия обслуживания и дружелюбное отношение к пользователям, но также и число клиентов, использующих предоставляемый банком интернет-сервис - почти более миллиона человек. Однако, как считают специалисты, в настоящее время все эти люди ходят по тонкому льду, так как банковская система защиты данных во время проведения операций в электронном режиме (обычный Pin-Tan-способ) уже давно не отвечает требованиям времени, и мошенникам не составит особого труда воспользоваться счетами пользователей в своих интересах.

Обычный способ – не обязательно лучший
В настоящее время существует несколько способов защиты, обеспечивающих безопасность личных данных пользователей. Самый простой - как для пользователей, так, собственно, и для интернет-мошенников – Pin-Tan-способ. Состоит он в следующем: для проведения любой денежной операции в электронном режиме клиенту необходимо ввести свой личный идентификационный номер (Pin), а совершение каждой банковской операции следует подтверждать номером трансакции (Tan), который клиент выбирает из списка, присылаемого ему банком.

Каждый Tan-номер можно использовать лишь один раз, но для любой операции, так как он не привязан к определенному виду трансакций. Поэтому, если в руки мошеннику попадут эти номера, то он может произвести любую банковскую операцию на свое усмотрение, вплоть до перевода денежных сумм с личного счета жертвы. На этом основании представители из общества защиты потребителей NRW, например, считают, что, «если банковское учреждение предлагает только этот вид защиты, то лучше вовсе отказаться от использования интернет-банка».

Надежный банковский сервис
Представители банков не любят распространяться о том ущербе, который был нанесен их клиентам в результате интернет-мошенничеств (фишинга или фарминга) или воздействия программы-вируса Trojaner. Однако многие банки соответственно отреагировали на возросшее количество подобных атак и инвестировали значительное количество средств в улучшенную систему безопасности для проведения денежных операций в Интернете.
Так, например, клиенты 10 банков из опрошенных нами почти 20 (см. таблицу ниже) могут использовать при работе с интернет-банком самый эффективный на сегодняшний день стандарт безопасности – HBCI. Этот способ защиты обеспечивает поступление переданных клиентом данных непосредственно по назначению (причем данные поступят туда в первоначальном, неизмененном виде) и изначально исключает возможность проникновения к этим данным кого-либо из посторонних лиц.
Для этого способа необходима дискета или – более современная версия – карта с чипом и прибор для считывания информации с этой карты. Все банковские операции можно осуществлять только с того компьютера, к которому будет подключен этот считыватель информации. Конечно, это несколько ограничивает доступ к интернет-банку – скажем, воспользоваться компьютером своих друзей уже будет невозможно.

Из-за таких сложностей в обхождении многие клиенты не всегда охотно используют HBCI-способ, и комбинация Pin-Tan остается более предпочтительной. Поэтому эти же банки предлагают хотя бы еще один из относительно безопасных способов защиты - улучшенные версии Pin-Tan-способа: eTan, eTan plus и mTan. При их использовании клиенты могут также не беспокоиться за безопасность своих личных данных.

Еще одним из действенных подвидов Pin-Tan-комбинаций является список с пронумерованными Tan-номерами (iTan). При его использовании не сам клиент выбирает один из номеров трансакции, а банковский компьютер указывает, какой именно номер из списка необходимо ввести. Этот метод значительно усложняет жизнь интернет-мошенников, но, к сожалению, не исключает возможность проникновения к данным пользователей. Добыв несколько Tan-номеров и однажды случайно угадав правильный, такие «ловкачи» могут запросто ограбить банковский счет клиента.
Специалисты, занимающиеся разработкой систем безопасности для проведения банковских операций в Интернете, утверждают, что, используя новые методы защиты, клиенты банков могут абсолютно спокойно пользоваться интернет-банком, однако недолго. Прогресс не стоит на месте, и время между стопроцентной безопасностью и усовершенствованными атаками разношерстных интернет-мошенников постоянно сокращается. Поэтому клиенты банков должны быть осведомлены о том, что следует предпринять, если их счет все-таки будет ограблен.

Об обязанности соблюдать осмотрительность
Все банки настоятельно указывают своим клиентам, что при использовании банковских интернет-услуг необходимо проявлять осторожность и аккуратность, с тем чтобы не нанести себе же ущерб. То, что банки понимают под этими понятиями, сформулировано в «Обязанностях по соблюдению осмотрительности» (Sorgfaltspflichten). В соответствии с условиями, пока клиент соблюдает эти обязанности, он не несет ответственности за возникший ущерб.
Чего ждут банки от своих клиентов и не слишком ли завышены эти обязательства? Например, совершенно нормальными можно считать такие требования банка как немедленное извещение об изменении адреса, внимательная проверка банковских сообщений (скажем, выписок со счета) и незамедлительное уведомление банка о возможных возражениях в этой связи.
Вполне приемлемо, если банк требует от клиентов хранить свой список Tan-номеров в недоступном для посторонних лиц месте, не запоминать электронным способом и не записывать в какой-либо другой форме Pin- и Tan-номера, а кроме того, при проведении операций всегда следует убедиться в том, что никто посторонний не пытается эти номера подсмотреть.
Однако, среди требований банков встречаются и такие, которые для человека несведущего абсолютно непонятны и практически невыполнимы.

Например, Citibank, который предлагает не совсем безопасный способ дистанционного банковского обслуживания, одновременно предъявляет такие требования, которые, на наш взгляд, никто не может выполнить: при появлении на дисплее стартовой страницы банка пользователь должен удостовериться, действительно ли это правильный интернетовский адрес. Дело в том, что мошенники в настоящее время могут настолько хорошо подделать веб-страницу, что не разбирающийся в этой области человек вряд ли сможет отличить оригинал от подделки.

Точно также вызывает недоумение текст, который записан в условиях comdirect bank: клиент должен «...деактивировать в Интернете кэш-память используемого браузера или уничтожить ее после использования». Кроме того, клиент должен «удостовериться в действительности сертификата сервера используемого им браузера». Не искушенный в технике человек - даже если он знает, что для этого он должен всего лишь нажать на символ в виде замочка, который находится ниже окошка браузера - зачастую все равно не имеет понятия, что ему со всем этим там делать. И далеко не каждый знает, что такое кэш-память и где он ее может уничтожить.
По мнению представителей общества защиты потребителей, поскольку оnlinebanking адресован пользователям всех групп населения и возрастов, которые не обязательно обладают особыми познаниями в области техники, требовать от этих людей постоянного усовершенствования своих знаний или значительных навыков работы с компьютером просто нереально. Поэтому нередко при возникновении ущерба вопрос об ответственности решается в судебном порядке.

Разделение ответственности: с больной головы - на здоровую...
Об ответственности банков и их клиентов говорится в Гражданском кодексе Германии: каждая из сторон несет ответственность по мере того, насколько она виновата в случившемся. Все опрошенные нами банки внесли это законодательное положение в «Общие условия заключения сделки» (AGB). Однако, в особых условиях, касающихся использования onlinebanking, некоторые банки отступили от этого положения в ущерб клиентам (1822direkt, Hamburger Sparkasse, Haspa-Direkt, Deutsche Bank и SEB). Так, например, Deutsche Bank и SEB установили различные положения об ответственности, в зависимости от того, использует клиент Pin-Tan-способ или HBCI-способ. У Deutsche Bank в невыгодном положении оказались клиенты, использующие в качестве защиты Pin-Tan-комбинацию. У SEB, напротив, в таком положении оказались клиенты, использующие HBCI-способ. Здесь клиент несет ответственность за возможный ущерб, если причиной его возникновения послужило недостаточно точное или непонятное поручение клиента. Хотя, в принципе, подобные поручения банк должен попросту игнорировать, отправляя их назад клиенту...

Наши советы
- для новых клиентов, которые только собираются начать пользоваться интернет-банком, следует выбрать тот банк, который предлагает свои интернет-услуги с системой безопасности HBCI, eTan plus или mTan. По мнению специалистов, эти системы безопасности на сегодняшний день являются самыми эффективными (см. таблицу). В том случае, если банк предоставляет только обычный Pin-Tan-способ, лучше вообще отказаться от использования интернет-банка;
- желательно избегать тех банков, которые предъявляют завышенные требования по соблюдению осторожности (Sorgfaltspflichten), поскольку подобные требования зачастую могут выполнить лишь пользователи, имеющие значительные навыки в обращении с компьютером. В случае возникновения неприятностей банк попытается свалить вину на клиента, обосновав это тем, что клиент сам оказался виноватым в произошедшем, нарушив правила по соблюдению осторожности;
- во избежание мошенничества не показывайте никому свои Pin-/Tan-номера, игнорируйте требования в присланных по электронной почте письмах якобы из банка сообщить свой идентификационный номер. Соблюдайте обязательные предписания по безопасности своего банка, не запоминайте свои входные данные в компьютере, не используйте компьютеры в общественных местах для проведения банковских операций в электронном режиме, установите межсетевой экран (Firewall, или Brandmauer), который выполняет функцию защиты компьютерной сети от неразрешенного доступа, и анти-вирусные программы, а также современную версию программного обеспечения вашего браузера.