Мобильный банкинг

Мобильный банкинг – это услуги, связанные с совершением банковских операций и оплатой различных услуг с помощью мобильного телефона.

Услуги, позволяющие с помощью мобильного телефона управлять банковским счетом, в начале 2003 года в России впервые начали предоставлять банки и операторы в Новосибирске. Предлагая услуги мобильного банкинга, банки повышают лояльность потребителей, сокращают расходы на обслуживание и расширяют каналы продаж. Клиенты же получают доступ к своим счетам в любое время суток в любой точке, где есть мобильная связь, и экономят при этом огромное количество времени.

Сторонники проведения расчетов с помощью мобильных телефонов считают, что мобильные телефоны, в конечном счете, заменят традиционные чеки, карточки и наличные деньги при покупках через POS-терминалы. Если сейчас, по данным агентства Sotovik, доля потребителей мобильного банкинга составляет 5% от всех держателей банковских счетов, то к 2008 году в городах-миллионниках она вырастет до 15%, а в остальных – до 7–8%.

С точки зрения потребителя процедура подключения к мобильному банкингу должна быть достаточно простой, а сам сервис – иметь удобный и понятный формат. Развитие этой услуги подразумевает использование нового высокотехнологичного программного обеспечения, которое становится все более дружественным пользователю, а за простым интерфейсом скрываются все более сложные технологии и решения защиты данных.

Существует несколько видов мобильного банкинга [15]. Мобильный банкинг в классическом виде довольно явно отличается от доступа к интернет-банку с помощью мобильного терминала через GPRS/EDGE (так называемый WAP-банкинг). В первом случае существует как минимум 4 способа подключения к такому сервису, причем будущее есть только у 2 из них. Во втором случае пользователь с помощью мобильного терминала получает доступ к удаленному сервису и вся работа строится по модели “тонкого клиента” — у абонента есть только ограниченный набор команд, которые он может исполнить с помощью своего сотового.

1. Самая “древняя” модель мобильного банкинга — это “чистый” SMS-банкинг. С 2004 г. обмен SMS-сообщениями приобрел по-настоящему массовый характер, что стимулировало развитие SMS-банкинга. SMS-банкинг – это направление банковской деятельности, позволяющее осуществлять дистанционное обслуживание физических лиц посредством обмена SMS-сообщениями. Этот сервис превратился из услуги для избранных в массовый продукт.

Для частного лица услуга SMS-банкинга предпочтительнее классической услуги интернет-банкинга, и по оценке специалистов банков, уже предоставляющих данную услугу, SMS-банкинг оказался более востребован, чем другие дистанционные системы.

Снижение тарифов российских операторов сотовой связи и снижение стоимости мобильных телефонов, наравне с введением повременной оплаты за пользование стационарными телефонами, способствует стремительному распространению мобильных телефонов среди населения России. В настоящее время в России число владельцев мобильных телефонов превышает число владельцев пластиковых карт, персональных компьютеров, автомобилей.

Фактически же дело ограничивается банальным информированием клиента о проведенных операциях: по каждому событию (их можно настроить самостоятельно) пользователь получает текстовое сообщение на свой мобильный терминал:

• получать уведомления об операциях списания (блокировки средств) со счета;

Безопасность расчетов по пластиковым картам предполагает, что их держатели проверяют выписку по карточным счетам, которые банк предоставляет ежемесячно. Однако далеко не каждый держатель в состоянии отследить, какие операции по пластиковой карте он проводил. Для упрощения процедуры контроля за финансовыми потоками банк высылает держателям пластиковых карт выписку в виде SMS-сообщения, приходящего на мобильный телефон через несколько секунд после совершения операции.

В случае получения SMS-сообщения о транзакции, которую клиент не совершал, он сразу же может заблокировать счет (в том числе посредством SMS).

• получать уведомления о зачислении денежных средств на счет;

• запрашивать и получать выписку о последних операциях;

• получать информацию о текущем остатке на счете как с помощью SMS-запроса, так и в режиме регулярного оповещения (периодичность оповещения выбирается клиентом);

• получать уведомление о возникновении овердрафта или достижении порогового остатка на счете;

• блокировать пластиковую карту;

• заказать перевыпуск карты в связи с ее утерей, утерей пинкода и др.

• получать напоминания о сроках и сумме платежей по кредитам, об истечении срока депозита или его пролонгации.

Запустить такую услугу просто — достаточно SMS-шлюза, с помощью которого будут отправляться сообщения и данные для авторизации, причем в системе банка можно будет отслеживать, кому из пользователей и на какой номер отправлена информация по счетам. Чтобы стать пользователем услуг SMS-банкинга надо купить сотовый телефон стандарта GSM и подписаться на SMS-сервис. При этом телефон может быть не русифицированным, так как сообщения рассылаются в транслитерации (английскими буквами русский текст). Для подключения к SMS-сервису клиенту достаточно подтвердить в заявлении на выпуск банковской карты или на выдачу кредита свое желание получать SMS-рассылку. Те клиенты, которые уже имеют пластиковые карты банка, могут обратиться в банк и заключить с ним соглашение об SMS-обслуживании.

Однако обратная связь для пользователя здесь отсутствует.

SMS-сервис, как правило, платный. Придется платить оператору связи за свои исходящие запросы и банку - за отсылку сообщений (это может быть фиксированный месячный тариф или за каждое сообщение - определенная сумма).

По данным экспертов МТС, эта услуга предоставляется почти всеми ведущими банками. Количество пользователей — около 3% от тех 75 млн. пользователей (данные ЦБР на конец 2006 года), имеющих банковские карты. При этом до 10% от общего числа эмитированных в России карт используется непосредственно для расчетов, например, в магазинах, а не только для тотального обналичивания денег в зарплатных проектах. Таким образом, 7 млн. человек — это та потенциальная база абонентов, которую банки могут пытаться привлечь к пользованию услугой мобильного банкинга.

2. Второй вариант мобильного банкинга — это SMS-banking Advance, то есть расширенный SMS-банкинг (реализуется, к примеру, МТС совместно со Сбербанком и МБРР). Ключевое отличие от предыдущего сервиса — связь здесь устанавливается двухсторонняя, при которой клиент может не только видеть то, что происходит у него на счетах, но и отдавать распоряжения о проведении тех или иных операций (осуществлять переводы между своими счетами, оплачивать услуги ЖКХ, пополнять электронные счета мобильных телефонов, оплачивать услуги спутникового ТВ и т. д.). Хорошо, если такая функция — только дополнение к системе интернет-банка (как, к примеру, у проекта “Телебанка”, реализуемого ВТБ24), поскольку в чистом виде SMS-банкинг обречен если не на неудачу, то на весьма ограниченный успех. Вводить длинные SMS-команды (как минимум код операции, уточняющие параметры, сумму, код подтверждения) весьма утомительно, даже если они и сохранены в SMS-шаблонах в сотовом телефоне, а заполнить таким способом платежное поручение и вовсе нереально. Поэтому, безусловно, это сервисы ограниченного применения.

3. Третий вариант — STK-banking — имеет существенное преимущество перед первыми двумя. В данном случае финансово-кредитное учреждение, предоставляющее сервис, будет действовать только совместно с оператором связи, в силах которого обеспечить должную защиту передаваемой информации и записать специальное приложение на SIM-карту сотового телефона (наиболее активные проекты в этой области осуществляет “МегаФон”: проект “Мобильный банк — Verified by Visa”, технология которого представлена на рис. 4). В результате в меню сотового терминала клиента появляется дополнительный пункт, с помощью функционала которого он и совершает различные операции по оплате товаров или услуг.

Положительные стороны этой технологии очевидны. Во-первых, клиент получает преднастроенный сервис, для активации которого не нужны утомительные процедуры прописывания настроек подключения. Во-вторых, оператор связи обеспечивает защиту передаваемых данных на всем протяжении от терминала до процессингового центра банка. В-третьих, абонент работает с простым и наглядным сервисом, где выполнение различных видов операций не требует запоминать длинные последовательности цифр или носить с собой специальный справочник по правилам осуществления операций.

Рис. 4. Как происходит мобильный платеж.

4. Четвертый вариант, за которым тоже просматривается перспективное будущее, — это Java-banking. Здесь управляющая программа в виде Java-приложения “привязывается” не к SIM-карте пользователя, а к его терминалу. В результате в мобильном телефоне появляется специальное меню для проведения банковских операций. Инсталлировать подобную программу может любой пользователь, хоть однажды устанавливавший игровое приложение на свое мобильное устройство, а функционал программы позволяет исполнять большинство реализованных банковских операций. За счет того, что все дополнительные “окна” и системные уведомления уже присутствуют в программе-клиенте, пользователь может существенно сэкономить на передаче данных по GPRS/EDGE либо SMS — установленное в его трубке приложение обменивается с сервером банка только небольшими по объему сервисными командами. Также, в отличие от STK-banking размер такого приложения может быть гораздо больше нескольких десятков килобайтов — до 1 Мб, что позволяет создавать максимально наглядную среду с графическим и интуитивно понятным интерфейсом.

Однако большинство передовых специалистов сходятся на том, что мобильным банкингом следует называть только тот случай, когда мобильный телефон становится аналогом платежной пластиковой смарт-карты. Примерная схема работы мобильного банкинга видна на рис. 5. В качестве примера можно отметить систему мобильных платежей SimMP — для ее работы на SIM-карте размещается дополнительное платежное приложение, доступ к которому по сотовой сети имеет только банк. Чтобы провести платеж, необходимо сообщить продавцу номер своего мобильного телефона,

Рис. 5. Схема работы мобильного банкинга

получить SMS-запрос на транзакцию и подтвердить операцию при помощи личного “банковского” PIN-кода.

Для того чтобы мобильный телефон стал альтернативой пластиковой смарт-карте, и третьему, и четвертому перспективному варианту классификации необходимы серьезные улучшения.

Для этого необходимо кардинально улучшить несколько принципиальных моментов. К примеру, система должна быть настолько простой, чтобы абонент был в состоянии загрузить программу-клиент дистанционно и начать использовать ее самостоятельно без визитов в офис банка или в центр обслуживания абонентов сотового оператора. Безусловно, все обновления программы-клиента должны загружаться по беспроводной сети. Кроме того, система должна обеспечивать необходимый уровень наглядности — клиенту нет нужды запоминать хитроумные сочетания латинских букв и арабских цифр для того, чтобы совершить простые платежи. Только наглядные пункты меню, “выпадающие” окошки и четкие графы, заполнить которые можно без двойного толкования их предназначения. Как вариант — уже введенный по умолчанию (и доступный для редактирования) текст в определенных полях, т. е. клиент должен ввести с клавиатуры мобильного телефона минимальное количество символов.

Подобная система своей функциональностью должна охватывать все востребованные банковские операции (периодические платежи, например за пользование мобильной связью, коммунальные платежи и т. п.) и, что особенно важно, поддерживать блок платежей в госбюджет — пользователю должна быть дана возможность выбора организации-получателя в зависимости от ее типа (образовательные учреждения, суды, налоговая инспекция, отделы ГИБДД, МРЭО, паспортные столы и т. д.) и предоставлен перечень видов назначения платежа. Для осуществления платежа абоненту останется только указать, кому и сколько он будет платить, и записать свои данные в графе “Плательщик”.

Безусловно, многих аналитиков смущает тот факт, что недостаточный размер экрана обычных мобильных телефонов может осложнить процесс пользования мобильным банкингом. Если сотовым телефонам в будущем суждено значительно потеснить портативные компьютеры, то не исключено, что всё больше производителей начнут разрабатывать смартфоны, имеющие большие экраны.

Безопасность карманного банка

Вопросы обеспечения безопасности и надежности функционирования банковских систем на мобильных устройствах решаются отдельно в рамках каждого проекта — пока для этого нет стандартных рекомендаций. Участники обходятся коммерческими программами шифрования, встроенными возможностями протоколов передачи данных. Этими средствами они пытаются решить три глобальные задачи.

Первая — обеспечение конфиденциальности. Большинство технологических решений в этой области полагается на механизм строгой многофакторной взаимной аутентификации. Транзакция в системах “мобильного кошелька” может быть завершена только тогда, когда система убедится, что запрос от абонента подлинный, что он не был изменен в процессе передачи по глобальной сети и что у абонента достаточно средств для осуществления платежа, а банк готов принять платеж с данными параметрами. Обычно для входа в систему используются логин и пароль, а для подтверждения транзакции — одноразовый пароль или ПИН-код, который может и не передаваться по сети: специальный аплет, установленный в мобильном устройстве пользователя (Java-banking или STK-banking) самостоятельно проверяет его правильность по встроенному алгоритму и дает центральной системе ответ, что операция подтверждена клиентом. Информация, используемая аплетом для выполнения шифрования и формирования подписи, расположена в специальном защищенном хранилище на SIM-карте или в карте памяти устройства, что исключает возможность получения данных о ключах пользователя. Загрузка и хранение аплета и ключей выполняются в соответствии со спецификацией Security Domain, и, таким образом, злоумышленнику не удастся выкрасть ключевую информацию путем сканирования памяти устройства во время его функционирования.

Вторая задача — защита данных. Вся информация, пересылаемая при помощи SMS-сообщений (пока это основной транспорт всех подобных систем), шифруется с применением банковского ключа, записанного в безопасное хранилище в мобильном телефоне, и недоступна ни одному человеку, кроме получателя, — в том числе и сотрудникам оператора сотовой связи. Конечно, при наличии определенного ПО такую информацию можно и “расколоть”, но для этого надо заполучить в свое распоряжение SIM-карту со всей информацией, которая на ней присутствует, что само по себе непросто. Также надо учесть, что все сообщения в рамках платежных транзакций содержат цифровую подпись, что обеспечивает аутентификацию отправителя и целостность сообщения.

И наконец, третья задача — защита информации от действий самого абонента. Нередки случаи, когда сотовые телефоны лежат на рабочем месте пользователя без присмотра, и когда их оставляют в самолетах, поездах, на кораблях и в такси, в тренажерных залах и ресторанах. Учитывая это, большинство банковских учреждений не могут допустить, чтобы конфиденциальная информация хранилась в памяти смартфонов или телефонов своих клиентов, а потому весь сеанс работы с системой должен проходить в режиме on-line. Когда пользователь прекращает связь с банком, основная часть информации из его мобильного телефона удаляется. Например, у него будет возможность доступа для просмотра и хранения последних 5 - 10 банковских операций, но никаких идентификационных данных, записанных в памяти пластиковых карт (полный номер, дата прекращения действия), там уже не будет. Для защиты от вирусов предусмотрен запрет на сохранение PIN-кодов в мобильном устройстве — сочетание цифр пользователю придется заучить наизусть.

В любом случае при внедрении такой инновационной услуги всегда существует угроза, что использование многочисленных функций безопасности, которыми наделен телефон, негативно отразится на использовании самой услуги. Если абоненту нужно будет в целях безопасности ввести 10 – 12-значный набор букв или цифр на телефоне, у которого на каждую кнопку приходится по три буквы, и к тому же необходимо заучивать комбинации с системными клавишами или работать с виртуальной клавиатурой, то очень многие абоненты просто перестанут следовать таким догматичным инструкциям, которые предложит им банк. Пользователя устроило бы простое выполнение операций при нажатии двух-трех кнопок.

Определенный слой клиентов банков, для которых интернет и мобильный телефон становятся все более привычными средствами общения с кредитными организациями, уже сформировался. Среди них нет очень старых и очень молодых людей, как правило, это люди от 20 до 50 лет, сформировавшие положительное мнение об удобстве и безопасности мобильной и интернет-связи для операций с финансами. Клиенты старшего возраста это люди творческих профессий: адвокаты, художники, журналисты, то есть те, кто привык мыслить самостоятельно, а также люди, так или иначе связанные с ИТ-индустрией. Молодые же пользователи - студенты, «живущие» в интернете, в чатах и форумах. Это очень перспективный слой клиентов: хотя большой потребности в банковских услугах они пока не испытывают, так как оплачивают только мобильный телефон и интернет, но в будущем вырастут в профессионалов и станут пользоваться всем спектром банковских продуктов и услуг.