Банки и финансы

Доступ закрыт: как узбекистанцы за границей остаются без онлайн-платежей и банковских сервисов

Опубликовано
Вадим Ерзиков
Вадим Ерзиков
Заместитель главного редактора
Кибербезопасность мошенники приложения
Kursiv Uzbekistan поговорил об этом с экспертами
Как вернуть доступ к банковским приложениям за границей. Фото: depositphotos.com

Все больше узбекистанцев за рубежом сталкиваются с проблемой: после смены телефона или при переустановке и обновлении банковского приложения система требует повторной идентификации личности. Но пройти ее можно только внутри страны. Жалобы поступают и на то, что банки присылают код подтверждения платежей только на телефон и не дублируют на электронную почту, что вызывает трудности у пользователей за границей. Kursiv Uzbekistan выяснил, как действовать в подобных ситуациях и какие системные решения разрабатываются для восстановления баланса между безопасностью и удобством.

Что вы узнаете из этой статьи:

Суть вопроса: борьба с фродом

Проблема невозможности идентификации личности за пределами страны через приложение возникла неслучайно. Это прямое следствие ужесточения мер кибербезопасности из-за роста мошенничества.

В ответ на запрос Kursiv Uzbekistan в Центральном банке (ЦБ) объяснили суть проблемы и принятых мер так:

«При анализе причин резкого увеличения случаев мошенничества с банковскими картами в нашей стране в 2024 году выявлено, что мошенники, войдя в доверие граждан и получив коды подтверждения, незаконно присваивают средства с банковских карт и входят в их аккаунты в мобильных приложениях банков и платежных организаций, находясь за рубежом» (из приложения к письму ЦБ РУз от 14 октября 2025 года №39-15/135).

В связи с этим, согласно соответствующему указанию Центробанка, с сентября 2024 года первичная регистрация и вход в кабинет с другого устройства в мобильных приложениях банков и платежных организаций были ограничены и должны осуществляться только с территории республики.

ЦБ подчеркивает, что это требование не распространяется на пользователей, уже зарегистрированных в мобильных приложениях. Граждане, у которых уже есть аккаунт, могут продолжать использовать мобильные приложения банков и платежных организаций на своих устройствах за пределами Узбекистана.

При потере доступа к мобильному приложению гражданам предоставляется возможность обратиться в свой банк, объяснили в ЦБ.

В своем письме регулятор объясняет, что банки могут применять технические меры в рамках своих внутренних регламентов для положительного разрешения обращений граждан.

Как должна работать идентификация за границей

Заместитель начальника Центра кибербезопасности ЦБ Даврон Абдуллаев в комментарии Kursiv Uzbekistan уточнил, что на сегодняшний день как Центральный банк, так и коммерческие банки создали круглосуточные кол-центры, задача которых — поддержка клиентов.

«Если у клиента возникает особая ситуация, он звонит в кол-центр, объясняет, устанавливается общение в форме видеоконференции с сотрудниками банка и создается возможность идентификации личности», — отметил он.

Kursiv Uzbekistan не проверял, насколько предложенный способ эффективен и какие банки его практикуют. Но специалист ЦБ уточнил, что такой выход из ситуации должны предоставлять все финучреждения.

Он также подтвердил, что введение ограничений было вынужденной мерой, поскольку большинство случаев мошенничества зафиксировано за границей. Абдуллаев подчеркнул, что было получено очень много обращений о потере средств гражданами.

Что изменится в будущем

Заместитель начальника Центра кибербезопасности также рассказал о стратегическом подходе: в настоящее время Центробанк проводит широкомасштабную работу по борьбе с мошенничеством. С целью изучения международного опыта и разработки будущей стратегии была привлечена международная консалтинговая компания KPMG.

Совместно с ней проводится углубленный анализ банковского сектора Узбекистана и инфраструктуры кибербезопасности. Специалисты KPMG предложат решения, соответствующие международным стандартам. Эта работа, включая изучение существующих документов, процедур и практик, должна быть завершена в следующем году с предоставлением окончательных выводов и рекомендаций, которые планируется внедрить на практике.

Коды в СМС: какие вопросы остались

Согласно данным ЦБ, для обеспечения кибербезопасности при оказании дистанционных финансовых услуг и предотвращения подозрительных фрод-операций защитные механизмы постоянно совершенствуются. В настоящее время одноразовый код подтверждения (OTP), отправляемый пользователю по СМС, действует только через его мобильное устройство.

Такой подход регулятора понятен. Однако за границей граждане жалуются на трудности с получением кода даже на свое мобильное устройство. Об этом в своем посте в Telegram сообщил экономист Ботир Кобилов.

Объектом его критики стал тот факт, что СМС отправляется только на номер с кодом +998, а альтернативный канал в виде email не используется. По его словам, на вопрос о причинах такого подхода ему отвечают: «В Узбекистане email никто не пользуется».

Представитель ЦБ Даврон Абдуллаев полагает, что нужно подключать SMS-роуминг, тогда коды будут приходить без препятствий. Ботир Кобилов, напротив, отмечает, что это не выход из ситуации. В качестве аргумента он привел сообщение о том, что с 6 октября в роуминге в России временно недоступны СМС и мобильный интернет.

«Необходимо прекратить осуществлять доступ к банковским услугам только через СМС. Дополнительный способ — внедрить email и/или push-уведомления. Срочно», — резко отреагировал Кобилов в своем посте на новость из РФ.

Мнение эксперта

Менеджер проектов MD Audit группы компаний Softline Кирилл Лёвкин считает, что нынешний подход в Узбекистане, основанный на жесткой геоблокировке, является главной ошибкой.

Он уверен, что сегодня борьба за безопасность обернулась снижением удобства и частичной потерей доступа к финансовым услугам. По его мнению, мировая практика давно движется к адаптивной аутентификации.

«Система оценивает риск в реальном времени и применяет разные уровни проверки в зависимости от контекста — местоположения, устройства, привычек пользователя. Если клиент авторизуется из необычной страны, платформа не должна просто блокировать вход. Вместо этого можно включить дополнительную биометрию, видеоподтверждение личности или push-подпись», — полагает эксперт.

Представитель IT-компании считает, что ряд технологических и организационных решений могут повысить безопасность, не лишая клиентов доступа.

Надежная идентификация: ключи, сертификаты и мультифакторы

Одно из решений — использование FIDO2/WebAuthn, когда на устройстве создается криптографический ключ, а сервер хранит только публичную часть. Это исключает возможность кражи пароля и не требует передачи биометрии. Пользователь может заранее зарегистрировать несколько устройств или аппаратный токен, например YubiKey.

Важным шагом может стать использование сертификатов на SIM или eSIM, где хранится приватный ключ, что безопасно подтвердит вход из-за рубежа.

Умное восстановление: Video-KYC

Кирилл Лёвкин считает, что банкам следует внедрять video-KYC — видеопроверку личности с распознаванием документа.

Для длительно находящихся за рубежом клиентов можно использовать консульскую или нотариальную верификацию, когда банк принимает документы, заверенные в посольстве, отмечает эксперт.

Безопасная биометрия и Device Attestation

Эксперт подчеркивает, что современные устройства позволяют хранить биометрические данные локально, без их отправки на сервер. Важно, чтобы Face ID или Touch ID служили лишь локальным фактором разблокировки, а не способом удаленной идентификации.

Банки могут применять технологию device attestation, которая проверяет целостность устройства, отсутствие рут-доступа и подлинность аппаратного ключа. Это обеспечивает высокий уровень доверия даже при смене телефона.

Отказ от СМС в пользу push-подписей

Эксперт уверен, что СМС остаются слабым звеном, они уязвимы для подмены SIM-карт и перехвата. Гораздо надежнее переходить на push-уведомления с криптографической подписью или генераторы TOTP / HOTP внутри приложения. Для операций с повышенным риском можно использовать аппаратные токены или FIDO-подписи.

Если банк все же использует СМС, стоит внедрить международные шлюзы и дублирование через eSIM, но без опоры на этот канал как основной, уверен специалист.

Предиктивная безопасность

Современные решения класса UEBA (User and Entity Behavior Analytics) позволяют отслеживать паттерны поведения пользователей — скорость набора, маршруты платежей, устройство. Любое отклонение фиксируется и активирует step-up-аутентификацию. В связке с SIEM и SOAR это дает возможность мгновенно реагировать на подозрительные активности и блокировать потенциальные атаки.

Для новых устройств эксперт предложил ввести «песочницу» — ограниченный функционал на первые 48–72 часа до подтверждения репутации.

Клиентоориентированный UX

Кирилл Лёвкин считает, что приложение банка должно предлагать travel-mode-функцию, позволяющую уведомить о поездке и временно ослабить геоограничения с усиленным мониторингом. Интерфейс должен содержать понятный сценарий восстановления доступа: кнопка «Я за границей» с чеклистом документов и возможностью пройти видеоидентификацию онлайн.

Также можно ограничивать функциональность при восстановлении: просмотр баланса и платежи на заранее подтвержденные счета сразу, а полный доступ — после прохождения всех этапов проверки.

Компромисс между защитой и доступностью

Опыт узбекских банков наглядно показывает, что решения, принятые во имя защиты данных, могут непреднамеренно создать цифровое неравенство. Граждане теряют доступ к своим счетам просто потому, что находятся за границей.

Как подчеркнул Кирилл Лёвкин, выход — в адаптивной модели кибербезопасности, где защита строится не на запретах, а на анализе рисков, контекста и доверия. Использование криптографических ключей, многофакторной аутентификации, Video-KYC и поведенческой аналитики позволяет обеспечить высокий уровень защиты и сохранить доступность сервисов для всех клиентов, где бы они ни находились. Именно этот подход должен стать стандартом современного цифрового банкинга.

Центральный банк, со своей стороны, уже запустил процесс стратегического анализа совместно с KPMG, что говорит о понимании необходимости модернизации антифрод-систем.

Ранее Kursiv Uzbekistan рассказывал, как мошенники оформляют кредиты на узбекистанцев и забирают деньги себе.

Читайте также