Вижу все. Зачем ПриватБанку доступ к нашим звонкам и геолокации
Фото: depositphotos.com

Если вы когда-нибудь устанавливали Приват24 на Android-смартфон, то наверняка столкнулись с интересным моментом. Приложение запрашивает три доступа: геолокация, память и возможность совершать звонки. Запретить даже один из них нельзя - приложение не завершит установку. Если же перекрыть права уже потом, через общее меню настроек, Приват24 не пустит вас внутрь.

Что это - забота о безопасности клиента или принудительная слежка? И требуют ли подобное другие банковские приложения? Liga.Tech выяснила нюансы у представителей  банков и экспертов.

Приват: у нас - жестко

Первым делом журналист обратился в сам ПриватБанк. Там ответили коротко: все доступы - это настройки системы безопасности и антифрода. То есть противодействие мошенникам, которые хотят утащить деньги с вашей карты.

“Доступ к звонкам - это одна из функций подтверждения авторизации клиента с помощью звонка из банка”, - объясняет пресс-секретарь банка Олег Серга. Чтобы робот смог позвонить клиенту, если вдруг обнаружит подозрительные действия с картой.

Деталями в ПриватБанке не делятся. Мол, небезопасно потенциальным мошенникам раскрывать детали работы системы. На замечание, что в других приложениях все доступы можно отключить по своему усмотрению (о чем ниже), Серга отвечает: “В других банках нет автоматизированного антифрода”.

Вижу все. Зачем ПриватБанку доступ к нашим звонкам и геолокации
Доступы, которые требует Приват24 на Android. Если звонки объясняют безопасностью, то геолокацию - нет

Интересно, что жесткое требование доступа в Приват24 работает только для Android-смартфонов. Владельцы iPhone их могут отключить. “Такие требования у Apple, - рассказывает Назар Грынык, директор агентства мобильного маркетинга LEAD9. - Один из их основных принципов - не собирать никакие персональные данные без разрешения пользователя Они даже ФБР отказали в разблокировке iPhone”.

Другие банки: у нас - выбор

Liga.Tech опросила пользователей и работников Monobank, Альфа-Банка, Ощадбанка и ПУМБ

“Все разрешения в нашем приложении запрашиваются только с целью улучшить сервис для клиента. Они не затрагивают работу основной функциональности приложения. Суперобязательных среди них нет”, - говорит Антон Тютюн, заместитель председателя правления Ощадбанка.

По его словам, геолокация устройства приложению нужна, чтобы предоставлять информацию о ближайших отделениях и банкоматах. Еще Ощад 24 просит доступ к СМС, чтобы автоматически из них вытаскивать одноразовые пароли для быстрого подтверждения операций. Доступ к камере - для удобного сканирования номера карты и возможности отправки сотруднику банка сообщений со вложенными файлами.

В Monobank все запрашиваемые права также опциональны и не влияют на разрешение пользоваться приложением, говорит сооснователь продукта Олег Гороховский. От доступа к совершению звонков здесь отказались из-за пугающей формулировки. Гороховский расписывает юзкейсы для остальных разрешений:

  • к хранилищу - для загрузки документов при регистрации или загрузки дополнительных документов в банк;
  • к контактам -  для идентификации, кто из контактов клиента - клиенты банка, чтобы отобразить их в списке для переводов;
  • к геолокации -  изначально для отображения ближайших терминалов, отделений и т.д. Сейчас она нужна центру безопасности для защиты платежей. Отключить ее можно, но тогда не будет работать антифрод.

“Но если вы включите настройку безопасности “отклонять платежи, если страна не совпадает”, нам нужна геолокация для этой функции. И мы явно запрашиваем ее через API операционной системы”, - резюмирует сооснователь Monobank.

Вижу все. Зачем ПриватБанку доступ к нашим звонкам и геолокации
Такие доступы просит Monobank на iPhone

Приложение от Альфа-Банка просит доступ к контактам, чтобы не вбивать руками номер человека, которому вы хотите пополнить счет или перевести деньги. В будущем это хотят задействовать для перечислений клиентам других банков. К памяти телефона - для хранения графических элементов интерфейса и корректной работы некоторых функций приложения.

С геолокацией Alfa-Mobile Ukraine (название исправлено) работает аналогично Monobank: показать ближайшие отделения и банкоматы, обеспечить безопасность. “Например, если локация клиента критически меняется за короткое время, это сигнал для запуска процессов с целью защиты денежных средств наших клиентов”, - объясняет Илья Боровов, вице-президент, глава управления электронного бизнеса Альфа-Банка Украина. Детали по антифроду здесь тоже не раскрывают.

И да, если отключить доступы, основной функционал приложения все равно будет работать.

Вижу все. Зачем ПриватБанку доступ к нашим звонкам и геолокации
Скриншот экрана разрешений приложения от Альфа-Банка Украина

Лаконичнее всего получилось с ПУМБ. Судя по скриншоту, приложению для работы вообще не нужны специфические доступы. И ничего, все работает. Правда, откомментировать, влияет ли это на защищенность платежей, в банке до публикации не успели.

Вижу все. Зачем ПриватБанку доступ к нашим звонкам и геолокации
Разрешения для ПУМБ Online

Эксперты: безопасность - это важно, но принуждать к ней нельзя

Хорошо, пусть геоданные помогают банкам бороться с фродом. Но как именно?

“Первое - с их помощью система строит ваш обычный "маршрут покупок". Например, вы можете несколько раз в неделю после работы покупать продукты в одном и том же магазине, и так много месяцев или даже лет подряд. Это все учитывает антифрод-система”, - рассказывает Алексей Швачка, эксперт по кибербезопасности, технический директор Октава Киберзахист.  

По его словам, интернет пестрит продажей так называемого "картона", то бишь данными в формате "номер карты, срок действия, CVV". Этих данных вполне достаточно для покупки в интернете. Но если система будет знать, что клиент в Киеве, то затормозит операцию по его карте из Ужгороде или Бангкока и переведет ее в ручной режим.

“Конечно, можно спорить о приватности данных. Но согласитесь, менее приятно быть обманутым мошенником, нежели передать информацию банку о своих перемещениях”, - аргументирует Алексей Швачка.

Ирина Артишук, эксперт по защите персональных данных компании Автор, считает использование точного местоположения излишней мерой.

“Более важный параметр защиты от фрода - IP-адрес, с которого клиент произвел вход в систему или транзакцию. Он же может быть использован для определения приблизительного местоположения клиента - а этого будет достаточно для антифрода”, - считает эксперт. Также можно анализировать историю входов с данного IP-адреса - является ли он доверенным, как, например, адрес домашнего компьютера.

А многочисленные доступы, которые требуют банковские приложения, по мнению Ирины Артишук, могут быть использованы для несанкционированного сбора персональных данных. И банки обязаны давать клиенту выбор.

“Запрашивая доступ, банк должен объяснить клиенту для каких целей или функционала требуется такой доступ. Если банк жестко требует доступ к геолокации, звонкам, СМС, камере, то тем самым он нарушает требования Закона Украины "О защите персональных данных" и GDPR, если банк обслуживает жителей Евросоюза”, - объясняет эксперт.

Алексей Швачка дополняет: современные антифрод-системы даже считывают метаданные ввода текста в онлайн-платежах. Например, скорость набора символов.

“Чаще всего мы сами помогаем мошенникам. У всех есть аккаунты в соцсетях, там есть и место работы, и наши фотографии. По этим данным совершенно спокойно можно узнать местонахождение вашего рабочего места и ваш график. При грамотном использовании этих данных мошенник может "имитировать" вас. И ни один антифрод в этом случае не поможет”, - объясняет эксперт Октава Киберзахист.