Нет более актуальной темы для операторов связи, чем финансовые сервисы, в частности — мобильный банкинг. В сетях 3G он будет одним из главных дополнительных сервисов, способных “подогреть” интерес пользователей к новым терминалам и услугам от мобильных провайдеров.
Основные способы организации мобильных платежей с помощью персонального сотового телефона или смартфона можно разделить на два больших направления. С одной стороны, это будут проекты, где пользователи смогут использовать технологии ближней радиосвязи, которые позволяют мобильным телефонам работать еще и в качестве “электронных кошельков”, оплачивая с их помощью товары и услуги в обычных магазинах и торговых автоматах. Для этого нужно просто поднести аппарат к специальному считывателю, похожему на POS-терминал для пластиковых карт (примером такой разработки может служить mobile payments, базирующийся на технологии Near Field Communication — см. PC Week/RE, № 7/2006, c. 24).
С другой стороны, это полноценные сервисы управления банковским счетом с помощью мобильного коммуникационного устройства. Ведь для того чтобы оставаться на прямой связи с потребителями, современным банкам уже недостаточно иметь разветвленную сеть банкоматов, отделений и голосовых телефонных систем. В настоящий момент, сталкиваясь с широким внедрением скоростных и всеохватных сетей третьего поколения, аналитики из финансово-кредитных учреждений понимают, что для пользователей будет важно иметь возможность использовать сотовый терминал для осуществления любых операций со своими деньгами. Те банки и операторы сотовой связи (а подобные проекты возможны только в тесном их сотрудничестве), которые не смогут предоставить такой сервис своим пользователям до середины 2008 г., потеряют этот сегмент “вечного бизнеса” насовсем. В идеале мобильник должен превратиться в универсальное средство платежей, работающее круглосуточно в режиме реального времени.
Мотивация для изменений
Внедрение сервиса управления финансами с помощью мобильного телефона — это вовсе не задача завтрашнего дня. Как показывает статистика, немногие выходят из дома, не прихватив с собой сотовый телефон, КПК с Wi-Fi или другое коммуникационное устройство (а часто — несколько). Все больше и больше людей целиком и полностью полагаются на надежную работу своих мобильных устройств, поэтому не удивительно, что их функциональность растет и они справляются со всё большим количеством задач. Мобильность становится весьма важным атрибутом в повседневной жизни людей, и эти “мобильные” люди хотят иметь возможность совмещать управление своими финансами с привычным для них образом жизни — подобная тенденция отмечается не только на Западе, но и в крупных городах России. Это приводит к тому, что банки попадают во всё более затруднительное положение. Число их клиентов, запрашивающих услуги мобильного банкинга, постоянно растет, а большинство финансово-кредитных учреждений может предоставить им только некий эрзац, что грозит банкам потерей этих клиентов.
К слову, в Европе эта тенденция — к росту желающих получить полный спектр услуг мобильного банкинга за разумную цену и готовых сменить в случае необходимости банк — очень сильна. Так, по данным Всемирного исследовательского центра для исследований и разработок бизнеса самообслуживания (Global Research Center for Research and Development for Self-Service Business; Данди, Шотландия) до 25% всех банковских клиентов в Великобритании готовы даже уйти к другому банку, если тот сможет лучше удовлетворить их запросы.
Самым оперативным по части мобильного банкинга можно считать Bank of America (www.bankofamerica.com), клиенты которого могут пользоваться собственными мобильниками для оплаты различных счетов, перевода денежных средств, а также для совершения других банковских операций уже с начала апреля 2007 г. С целью более качественного предоставления услуги Bank of America объединил свои усилия с банком Wachovia (www.wachovia.com). Сервис будет доступен тем абонентам, которые имеют доступ к мобильному Интернету и обслуживаются операторами Verizon Wireless, Sprint-Nextel, Cingular и T-Mobile. Сегодня таковых 85% от числа всех абонентов мобильных операторов Америки. Используя мобильный браузер, абонент может получить доступ к таким сервисам мобильного банкинга, как проверка баланса счетов, оплата услуг связи и доставки товаров, перевод средств со счета на счет в Bank of America, проверка истории платежей, в том числе по кредитным картам. Фактически клиенты могут заниматься оплатой счетов по пути на работу (автомобильные пробки — национальная беда североамериканского континента) или в любое удобное им время.
Надо сказать, что и Citibank (www.citibank.com) намерен запустить проект со сходным функционалом приблизительно в те же сроки — его клиенты смогут начать подписываться на услугу мобильного банкинга уже в конце нынешнего апреля, а полный запуск услуги ожидается к лету. Клиенты Citibank, являющиеся пользователями мобильного банка, смогут проверять остаток на счете, переводить деньги, оплачивать счета, подсоединяться к службе сервиса и получать информацию о месте нахождения ближайшего отделения банка или банкомата.
В России услуги мобильного банкинга постепенно начнут догонять по популярности интернет-банкинг, который стал набирать обороты, как только у основной массы наших соотечественников появился домашний компьютер с широкополосным доступом в Интернет (более подробно см. PC Week/RE, № 3/2007, c. 22). К концу 2007 г. и в нашей стране все будет складываться идеальным образом для наступления эры управления личными финансами с помощью сотового телефона: крупнейшие сотовые операторы будут модернизировать свои сети, увеличивая их пропускную способность и скорость передачи данных, а на рынке мобильных терминалов все большую значимость будут приобретать смартфоны со скоростными процессорами и обязательным выходом в Интернет.
Типология сервисов
Прежде всего уточним, что же можно называть мобильным банкингом — в настоящее время по этому поводу существует такое количество информации и мнений, что можно запутаться. Мобильный банкинг в классическом виде довольно явно отличается от доступа к интернет-банку с помощью мобильного терминала через GPRS/EDGE (так называемый WAP-банкинг). В первом случае существует как минимум четыре способа подключения к такому сервису, причем будущее есть только у двух из них. Во втором случае пользователь с помощью мобильного терминала получает доступ к удаленному сервису и вся работа строится по модели “тонкого клиента” — у абонента есть только ограниченный набор команд, которые он может исполнить с помощью своего сотовика.
Самая “древняя” модель мобильного банкинга — это “чистый” SMS-банкинг, который многие отечественные финансово-кредитные учреждения (в частности, Сбербанк) ошибочно выдают за полноценный сервис с помощью мобильного терминала. Фактически же дело ограничивается банальным информированием клиента о проведенных операциях: по каждому событию (зачисление платежей, перевод денег, списание с пластиковой карты — их можно настроить самостоятельно) пользователь получает текстовое сообщение на свой мобильный терминал. Запустить такую услугу просто — достаточно элементарного SMS-шлюза, с помощью которого будут отправляться сообщения и данные для авторизации, причем в системе банка можно будет отслеживать, кому из пользователей и на какой номер отправлена информация по счетам. Однако обратная связь для пользователя здесь отсутствует.
По данным экспертов МТС, эта услуга предоставляется почти всеми ведущими банками. Количество пользователей — около 3% от тех 75 млн. пользователей (данные ЦБР на конец 2006 года), имеющих банковские карты. При этом до 10% от общего числа эмитированных в России карт используется непосредственно для расчетов, например, в магазинах, а не только для тотального обналичивания денег в зарплатных проектах. Таким образом, 7 млн. человек — это та потенциальная база абонентов, которую можно пытаться привлечь к пользованию услугой мобильного банкинга.
Второй вариант мобильного банкинга — это SMS-banking Advance, то есть расширенный SMS-банкинг (реализуется, к примеру, МТС совместно со Сбербанком и МБРР). Ключевое отличие от предыдущего сервиса — связь здесь устанавливается двухсторонняя, при которой клиент может не только видеть то, что происходит у него на счетах, но и отдавать распоряжения о проведении тех или иных операций (осуществлять переводы между своими счетами, оплачивать услуги ЖКХ, пополнять электронные счета мобильных телефонов, оплачивать услуги спутникового ТВ и т. д.). Хорошо, если такая функция — только дополнение к системе интернет-банка (как, к примеру, у проекта “Телебанка”, реализуемого ВТБ24), поскольку в чистом виде SMS-банкинг обречен если не на неудачу, то на весьма ограниченный успех. Судите сами — вводить длинные SMS-команды (как минимум код операции, уточняющие параметры, сумму, код подтверждения) весьма утомительно, даже если они и сохранены в SMS-шаблонах в сотовом телефоне, а заполнить таким способом платежное поручение и вовсе нереально. Поэтому, безусловно, это сервисы ограниченного применения, не иначе.
Третий вариант — STK-banking — имеет существенное преимущество перед первыми двумя. В данном случае финансово-кредитное учреждение, предоставляющее сервис, будет действовать только совместно с оператором связи, в силах которого обеспечить должную защиту передаваемой информации и записать специальное приложение на SIM-карту сотового телефона (наиболее активные проекты в этой области осуществляет “МегаФон”: проект “Мобильный банк — Verified by Visa”). В результате в меню сотового терминала клиента появляется дополнительный пункт, с помощью функционала которого он и совершает различные операции по оплате товаров или услуг. Положительные стороны этой технологии очевидны. Во-первых, клиент получает преднастроенный сервис, для активации которого не нужны утомительные процедуры прописывания настроек подключения. Во-вторых, оператор связи обеспечивает защиту передаваемых данных на всем протяжении от терминала до процессингового центра банка. В-третьих, абонент работает с простым и наглядным сервисом, где выполнение различных видов операций не требует запоминать длинные последовательности цифр или носить с собой специальный справочник по правилам осуществления операций. При этом сложностью с заменой SIM-карты клиента на новую, в которой записано банковское приложение, можно, на наш взгляд, пренебречь — большинство пользователей, особенно в крупных городах, уже сейчас имеют несколько SIM-карт и записывают все координаты своих друзей и родственников в память сотового терминала, что позволяет им оперативно использовать несколько номеров в одной трубке. Незначительным можно считать и неудобство, на которое указывает ряд противников подобного сервиса, — связано оно с тем, что каждая команда такого приложения должна отправляться по SMS, что увеличивает стоимость транзакции для абонента. Однако ничто не мешает оператору установить специальные цены на подобные короткие сообщения и говорить об этом как о своем конкурентном преимуществе.
Четвертый вариант, за которым, на наш взгляд, тоже просматривается перспективное будущее, — это Java-banking. Здесь путь чуть-чуть другой, чем в STK-banking: управляющая программа в виде Java-приложения “привязывается” не к SIM-карте пользователя, а к его терминалу. В результате в мобильном телефоне опять-таки появляется специальное меню для проведения банковских операций. Инсталлировать подобную программу может любой пользователь, хоть однажды устанавливавший игровое приложение на свое мобильное устройство, а функционал программы позволяет исполнять большинство реализованных банковских операций. За счет того, что все дополнительные “окна” и системные уведомления уже присутствуют в программе-клиенте, пользователь может существенно сэкономить на передаче данных по GPRS/EDGE либо SMS — установленное в его трубке приложение обменивается с сервером банка только небольшими по объему сервисными командами. Опять же, в отличие от STK-banking размер такого приложения может быть гораздо больше нескольких десятков килобайтов — до 1 Мб, что позволяет создавать максимально наглядную среду с графическим и интуитивно понятным интерфейсом.
Однако, как показывает практика, большинство “продвинутых” специалистов сходится на том, что мобильным банкингом следует называть только тот случай, когда мобильный телефон становится аналогом платежной пластиковой смарт-карты. Для этого и третьему, и четвертому варианту нашей классификации, у которых, как нам кажется, есть будущее, необходимы серьезные улучшения. Идеального мобильного банка пока не существует — хотя именно сейчас даже среднее финансово-кредитное учреждение и федеральный оператор мобильной связи могут занять значимую долю рынка, израсходовав сравнительно небольшие деньги, и получить интересный контент-сервис для эксплуатации в сетях 3G. Для этого им необходимо кардинально улучшить несколько принципиальных моментов.
К примеру, система должна быть настолько простой, чтобы абонент был в состоянии загрузить программу-клиент дистанционно и начать использовать ее самостоятельно без визитов в офис банка или в центр обслуживания абонентов сотового оператора. Безусловно, все обновления программы-клиента должны загружаться по беспроводной сети. Кроме того, система должна обеспечивать необходимый уровень наглядности — клиенту нет нужды запоминать хитроумные сочетания латинских букв и арабских цифр для того, чтобы совершить простые платежи. Только наглядные пункты меню, “выпадающие” окошки и четкие графы, заполнить которые можно без двойного толкования их предназначения. Как вариант — уже введенный по умолчанию (и доступный для редактирования) текст в определенных полях, т. е. клиент должен ввести с клавиатуры мобильного телефона минимальное количество символов.
Подобная система, без сомнения, своей функциональностью должна охватывать все востребованные банковские операции (периодические платежи, например за пользование мобильной связью, коммунальные платежи и т. п.) и, что особенно важно, поддерживать блок платежей в госбюджет — пользователю должна быть дана возможность выбора организации-получателя в зависимости от ее типа (образовательные учреждения, суды, налоговая инспекция, отделы ГИБДД, МРЭО, паспортные столы и т. д.) и предоставлен перечень видов назначения платежа. Для осуществления платежа абоненту останется только указать, кому и сколько он будет платить, и записать свои данные в графе “Плательщик”.
Безусловно, многих аналитиков смущает тот факт, что недостаточный размер экрана обычных мобильных телефонов может осложнить процесс пользования мобильным банкингом. Если сотовым телефонам в будущем суждено значительно потеснить портативные компьютеры, то не исключено, что всё больше производителей начнут разрабатывать нечто напоминающее Apple iPhone или смартфоны от HTC, имеющие большие экраны.
Безопасность карманного банка
Вопросы обеспечения безопасности и надежности функционирования банковских систем на мобильных устройствах решаются отдельно в рамках каждого проекта — пока для этого нет стандартных рекомендаций. Участники обходятся коммерческими программами шифрования, встроенными возможностями протоколов передачи данных. Этими средствами они пытаются решить три глобальные задачи.
Первая — обеспечение конфиденциальности. Большинство технологических решений в этой области полагается на механизм строгой многофакторной взаимной аутентификации. Транзакция в системах “мобильного кошелька” может быть завершена только тогда, когда система убедится, что запрос от абонента подлинный, что он не был изменен в процессе передачи по глобальной сети и что у абонента достаточно средств для осуществления платежа, а банк готов принять платеж с данными параметрами. Обычно для входа в систему используются логин и пароль, а для подтверждения транзакции — одноразовый пароль или ПИН-код, который может и не передаваться по сети: специальный аплет, установленный в мобильном устройстве пользователя (Java-banking или STK-banking) самостоятельно проверяет его правильность по встроенному алгоритму и дает центральной системе ответ, что операция подтверждена клиентом. Информация, используемая аплетом для выполнения шифрования и формирования подписи, расположена в специальном защищенном хранилище на SIM-карте или в карте памяти устройства, что исключает возможность получения данных о ключах пользователя. Загрузка и хранение аплета и ключей выполняются в соответствии со спецификацией Security Domain, и, таким образом, злоумышленнику не удастся выкрасть ключевую информацию путем сканирования памяти устройства во время его функционирования.
Вторая задача — защита данных. Вся информация, пересылаемая при помощи SMS-сообщений (пока это основной транспорт всех подобных систем), шифруется с применением банковского ключа, записанного в безопасное хранилище в мобильном телефоне, и недоступна ни одному человеку, кроме получателя, — в том числе и сотрудникам оператора сотовой связи. Конечно, при наличии определенного ПО такую информацию можно и “расколоть”, но для этого надо заполучить в свое распоряжение SIM-карту со всей информацией, которая на ней присутствует, что само по себе непросто. Также надо учесть, что все сообщения в рамках платежных транзакций содержат цифровую подпись, что обеспечивает аутентификацию отправителя и целостность сообщения.
И наконец, третья задача — защита информации от действий самого абонента. Сотовые телефоны, как правило, лежат на рабочем месте пользователя без присмотра, и мы отлично знаем, как часто их оставляют в самолетах, поездах, на кораблях и в такси, в тренажерных залах и ресторанах. Учитывая это, большинство банковских учреждений не могут допустить, чтобы конфиденциальная информация хранилась в памяти смартфонов или телефонов своих клиентов, а потому весь сеанс работы с системой должен проходить в режиме online. Когда пользователь прекращает связь с банком, основная часть информации из его мобильного телефона удаляется. Например, у него будет возможность доступа для просмотра и хранения последних пяти — десяти банковских операций, но никаких идентификационных данных, записанных в памяти пластиковых карт (полный номер, дата прекращения действия), там уже не будет. Для защиты от вирусов можно предусмотреть запрет на сохранение PIN-кодов в мобильном устройстве — сочетание цифр пользователю придется заучить наизусть.
В любом случае при внедрении такой инновационной услуги всегда существует угроза, что использование многочисленных функций безопасности, которыми наделен телефон, негативно отразится на использовании самой услуги. Если абоненту нужно будет в целях безопасности ввести десяти-двенадцатизначный набор букв или цифр на телефоне, у которого на каждую кнопку приходится по три буквы, и к тому же необходимо заучивать комбинации с системными клавишами или работать с виртуальной клавиатурой, то, думаю, очень многие абоненты просто перестанут следовать таким догматичным инструкциям, которые предложит им банк. Пользователя устроило бы простое выполнение операций при нажатии двух-трех кнопок — собственно, именно такой вариант финансово-кредитным учреждениям и предстоит предложить.
