голосовой помощник сбербанка что может
Греф назвал виртуального помощника Сбербанка
Сбербанк создал новое семейство виртуальных помощников под названием «Салют». Об этом сообщил глава компании Герман Греф на презентации нового логотипа банка, трансляцию ведет РБК.
«Мы первый и единственный банк в мире, который начал производить умное устройство», — заявил Греф.
В Сбербанке разработали три «персонажа» голосового помощника из «семейства Салют» — Сбер, Афина и Джой. Пользователь может выбрать одного из них, у каждого разный голос, характер и манера общения с клиентом. «Пользователь может выбрать ассистента себе по духу и сменить его в любой момент», — отметил глава SberDevices Константин Круглов.
Как рассказал представитель компании, Сбер — молодой ассистент с широким кругозором и мягким чувством юмора, Афина — начитанная и скрупулезная, стремится быть эффективным для пользователя, а Джой старается, чтобы у клиента было больше времени на развлечения, решая бытовые дела за него.
Круглов отметил, что при создании «виртуального ассистента» было использовано облачное хранилище компании на базе суперкомпьютера Christofari. Так, помощник может записать клиента в кино, поговорить на различные темы, активно интересуется предпочтениями пользователя.
Виртуальный ассистент работает в приложении и устройстве SberBox, которое подключается к телевизору. Устройство может включить кино по просьбе клиента, а также закажет ему попкорн через приложение «Самокат». Также помощник может купить что-то из фильма, так как распознает объекты в кадре. Так, в презентации Джой предложила актрисе Кристине Асмус купить платье, которое было показано в фильме «Дублер».
Через планшет SberPortal голосовой помощник узнает клиента по лицу, а также выполняет функции «Умного дома», например, приглушает свет в комнате. Также помощник может позвонить в салон красоты или поликлинику и голосом попросить записать клиента на визит. По словам Круглова, все данные, полученные виртуальным ассистентом, надежно хранятся как банковская тайна.
Ранее Сбербанк официально представил новый логотип компании, в котором нет слова «банк». Новый товарный знак состоит из зеленой надписи «Сбер» и незаконченного круга с градиентом из синего, желтого и зеленого цветов и галкой внутри. По словам главы Сбербанка Германа Грефа, теперь компания не просто банк, а целая экосистема сервисов.
Железная леди: кто и как создал IVR для Сбера
Если вы наберете номер 900, вам ответит голосовой бот Сбера. Это IVR (Interactive Voice Response) — робот, обученный помогать клиентам. Меня зовут Николай Судаков, я отвечаю за развитие этого продукта и расскажу, как мы создали голосовой IVR и как устроена работа продакта в Сбербанке (про метрики и работу над ошибками тут тоже будет).
До Сбера я девять лет работал с кредиторской задолженностью в другом банке. За это время я успел сменить несколько ролей. Порядком устав, я решил уйти в консалтинг и устроился в Ernst & Young, где поработал на нескольких проектах, связанных с крупным финтехом. Это был все еще «фин-», но уже «-тех», то есть гораздо ближе к тому, что мне на тот момент было интересно — к технологиям. Тогда же я прошел курс по Python 2 на Codecademy и курс «Математика и Python для анализа данных» на Coursera и это дало мне базовое понимание, на что способны современные технологии машинного обучения.
В 2016 году я пришел в Сбер на позицию проджект-менеджера — моя команда занималась жалобами клиентов на работу банка. Но проработал на этой позиции недолго — началась эджайл-трансформация банка (которая с тех пор продолжается). Благодаря этому в Сбере открылось много новых направлений. На общем собрании нам рассказали, что появятся новые продукты, и каждый может попробовать себя в роли продактов. Я решил рискнуть: пришел на собеседование с лидером продукта (голосовой IVR), рассказал, как собираюсь его развивать, почему интересуюсь именно им и зачем учил Python и базу по ML. Так в 2017 году из проджекта я стал продактом.
На самом деле никакого голосового IVR у Сбера в 2017 году не было — был предзаписанный голос и кнопочное меню. Работало это так: клиент набирал номер банка и ему предлагали какие-то ограниченные опции. «Если вы хотите заблокировать карту, нажмите два», «Если вы хотите поговорить с оператором, нажмите пять». Но кнопочный IVR сильно ограничивал и клиентов, и нас — мы поняли, что подход нужно менять. Нужно было сделать эту историю более понятной и полезной для клиента.
Мне пришлось с нуля погружаться в новую для меня технологию, учиться, много общаться с коллегами. Поначалу я вообще не понимал, что происходит. Если на какой-то встрече я слышал незнакомое слово (например, MRCP, сигнальный трафик, Kafka и VXML), я говорил — стоп, объясните, пожалуйста, что это значит. Потому, что если я промолчу, я подпишусь под решением, сути которого не понимаю. Это дало свои плоды: я за пару месяцев во всем разобрался и стал понимать разговоры на техническом языке.
Сразу стало понятно, что подходящих технологий для создания нового голосового IVR у нас нет, и мы решили провести конкурс на закупку систем распознавания и синтеза речи. К нам пришло 13 поставщиков (это очень много), поэтому конкурс закончился только в октябре 2018 года. К сожалению, большинство компаний принесли на конкурс синтез, основанный на технологии Unit Selection, а она тогда была на стадии своего заката. Мы проверяли не только качество синтеза, но и другие параметры — например, TCO (total cost of ownership, то есть затраты на создание продукта). В итоге выиграл синтез, который был основан на не самой современной технологии. Но с этим уже можно было начинать делать бота, и мы приступили к работе.
Банковский голосовой бот — сложный технологический продукт. Если упростить, он состоит из четырех компонентов. Первые два — синтез речи (его «голос») и распознавание (его «слух»). Третий компонент — NLP-классификатор, и именно благодаря ему помощник понимает клиентов. Если клиент говорит «хочу узнать баланс», машина благодаря функции распознавания речи получает набор букв. Она не понимает, что это значит, а классификатор как раз помогает понять. Четвертый компонент — это банковские интеграции. Для того, чтобы клиент все-таки смог узнать баланс по своей карте, бот должен не только понять его просьбу, но и знать, откуда и как брать информацию.
Кнопочный IVR, который я взял на развитие как продакт, был устроен намного проще. Старый помощник умел делать только две вещи: сообщать баланс по карте и историю пяти последних операций. Это было неудобно, поэтому мы пошли в сторону персонализированных предиктивных сценариев — то есть сценариев, основанных на данных о поведении клиента. Как банк мы знаем о клиенте очень много — какие операции он совершал и что у него могло случиться. Например, мы знаем, что карту клиента зажевал банкомат, и когда он нам звонит — нам очевидно, зачем он набрал номер. И вместо того, чтобы заставлять его продираться через множество вопросов и нажимать кнопки, «железная леди» может начать разговор с сообщения о том, что в банке уже знают о проблеме. Поэтому такие сценарии и называются предиктивными — мы знаем, что произошло у клиента.
Кроме того, мы знаем его привычки. Мы проанализировали огромные массивы данных и выделили клиентов, которые, например, всегда звонят, чтобы узнать баланс. И стали спрашивать: «Вы хотите узнать баланс?». Это, хоть и не сразу, но сработало. Поначалу из 100% людей, которые звонят на номер 900, чтобы узнать баланс, только 20% делали это в IVR, а остальные шли к оператору. Сейчас у нас 80% — к оператору с этой задачей идет лишь пятая часть пользователей. К 2019 году мы были сфокусированы именно на этом: создавать такие сценарии, чтобы клиенты действительно могли решить свою проблему.
Еще одно направление, которое было важным с точки зрения клиентского опыта — синтез, то есть голос, который будут слышать клиенты. Синтез на Unit Selection был далек от совершенства — с ним приходилось очень много работать, чтобы компенсировать это несовершенство. Например, он не мог правильно произнести «Вам подходят эти условия?» и просто говорил клиенту: «Вам подходят эти условия». И все — без вопросительной интонации. И мы нашли лайфхак: если добавить частицу «ли», интонация у робота становилась вопросительной — он спрашивал «Подходят ли вам эти условия?». Да, это было компромиссное решение, но с несовершенным синтезом, который был у нас тогда, эти решения работали. Еще мы понимали, что сообщения, озвученные голосом, воспринимаются иначе, чем напечатанные текстом, и просто следовать общепринятым рекомендациям по написанию текстов было бы неверно.
Тогда в дополнение к дата-сайентистам, аналитикам, тестировщикам, разработчикам и CJE мы наняли новых людей в команду — например, очень опытного редактора, который долго работал на радио. Лингвистов, которые умеют работать с текстами и прекрасно знают правила русского языка. Сценариста, которому уже приходилось делать похожие вещи и который хорошо понимал, как должен строиться диалог с клиентом. Нам удавалось даже из плохого синтеза выжимать хорошие результаты.
Кстати, окончательно мы убрали кнопочное меню и перевели всех пользователей на новый голосовой IVR в июне 2019 года — а до этого дорабатывали решение.
Сейчас у нас работает синтез, созданный нашими коллегами из SberDevices. Он улучшил качество голоса и радикально снизил нагрузку на команду в части адаптации текстов. Он звучит очень по-человечески, с ним точно не надо использовать частицу «ли» в вопросительных предложениях. А если изредка и возникают погрешности в произношении, то коллеги правят их в течение 2-3 дней. А еще распознавание речи нового синтеза приблизилось к такому уровню, что «железная леди» практически не ошибается.
Так что использование нового синтеза не только повлияло на качество звучания IVR, но и в несколько раз повысило скорость нашей работы.
Мы знаем, как пользователи общаются с операторами, и это очень помогает. Например, мы слушали, как отвечают операторы: это был оптимальный и полезный ответ или пользователю пришлось переспросить? И на основании этого мы проектировали прототипы. Мы создавали небольшой «кусочек» помощника, приглашали клиентов на интервью, задавали гипотетическую ситуацию и смотрели на то, как клиенты взаимодействуют с продуктом, что им нравится, а что — нет. Раз в два спринта мы обязательно общались с клиентами, с 10 — 12 людьми.
Интервью часто помогали понять, что мы повернули не туда. Например, у нас была такая проблема: некоторые люди не понимали, что говорят с роботом. Они начинали развернуто рассказывать помощнику о своей проблеме и машина не справлялась. Чтобы это исправить, мы добавили такую фразу: «Пожалуйста, сформулируйте свой рассказ в двух словах». И во время исследования поймали интересный инсайт: мы увидели, что на этой фразе люди зависают. В итоге четыре человека из семи сказали, что не знают, как сформулировать свою проблему, используя всего два слова. Оказалось, что они воспринимали просьбу робота буквально. Так мы отказались от этой формулировки и стали использовать другую — «Не совсем поняла ваш рассказ. Будьте добры, уточните вопрос». Это, кстати, одна из тех фраз, которые в тексте выглядят не очень, а на слух воспринимаются очень хорошо.
Еще мы постоянно мониторим, что о нас пишут, и это тоже хороший способ собирать инсайты. Недавно на «Пикабу» появился пост клиента Сбера: он рассказал, что спрашивает у нашего помощника, какой период полураспада у радия, чтобы его побыстрее перевели на оператора. Это наш стандартный подход: не важно, что спрашивает клиент — если мы не поняли его, мы переспросим, а если не поняли второй раз – предложим соединиться с оператором.
После этого поста мы добавили сценарий с периодом полураспада радия — теперь помощник может на это ответить. Это единственный не purpose-based сценарий у нашей «железной леди». Почему мы отреагировали именно так? Нам нужна была отдушина.
Это был конец тяжелого для команды коронавирусного периода, когда работы было очень много: клиенты стали активно пользовались удалёнными каналами обслуживания и у них возникало много вопросов. По нашим подсчетам, в мае мы получили на 30% больше звонков, чем в феврале. В тоже время часть операторов банка уходила на больничный, ведь никто не застрахован от болезни.
Добавляли работы и выступления президента, на которых он, например, объявлял о выплатах семьям с детьми. И вот выступление в два часа дня, а мы уже понимаем, что завтра с утра клиенты будут звонить и спрашивать: как получить выплату, узнать номер счёта и т.д. А значит, у нас в запасе всего несколько часов, чтобы подготовить правильный, исчерпывающий ответ на вопросы клиентов. И мы всегда успевали отреагировать на такие события.
В начале 2020 года я со своей командой пошел в «Продуктовую мастерскую» Сбера — это такая внутренняя банковская история для прокачивания продактов. Это нельзя назвать обучением или акселерацией (хотя по сути мы учились и акселерация была) — скорее фреймворк, который мы встраивали в рабочие процессы. Помогали нам менторы из ФРИИ — то есть мы продолжали работу над продуктом, но под их руководством.
В «Продуктовую мастерскую» я пришел, чтобы понять, как помочь клиентам решать их вопросы. А трекер в первый же день спросил: «А сколько клиентов вообще не задают вопросы?». И мы уже на старте увидели, что те 30% человек, которые сразу же зовут оператора, не пытаясь решить вопрос через помощника, генерируют 80% нагрузки на контактные центры. То есть они даже не давали нам шанса помочь. При этом многие из этих 30% звонили для того, чтобы узнать баланс. Это действительно было проблемой: операторы были загружены такими звонками, пока на линии ждали люди с более сложными проблемами. Чтобы это исправить, мы добавили переспрос: помощник стал говорить «Я поняла, что вы хотите поговорить с оператором, но скажите, пожалуйста, чем мы можем вам помочь». Как только мы добавили переспрос, метрика «автоматизация» (она показывает, скольким из позвонивших клиентов помог бот, а не человек) моментально, за один день выросла на 5% — при том, что рост на 10% был нашей целью на ближайший год.
Кстати, ломали мы эту метрику также успешно. Однажды мы решили, что слишком сухо говорим с клиентом и нужно добавить какую-то фразу повеселее. И придумали такую формулировку: «Теперь я работаю оператором, я умею вот это и вот это. ». И люди перестали задавать вопросы, люди стали жаловаться. Клиенты напрямую говорили, что их это раздражает, и метрика резко просела — так резко, что мы откатили все назад.
Вообще в «Продуктовой мастерской» нам всем хорошо прочистили мозги. Такое бывает, когда человек о чем-то знает, но игнорирует эти знания или использует их неправильно. А тут рядом были два профессиональных человека, которые постоянно нас челленджили, и это многое изменило. Например, мы научились быстро откручивать гипотезы. Неделя — и две гипотезы «откручиваются», неделя — еще две гипотезы. Это была неправильная гипотеза? Ну и черт с ней, мы потратили на нее всего два дня..
Так получилось, потому что мы перестали отвлекаться на ерунду и долгий предварительный анализ. Такой анализ актуален для команд, у которых релизы раз в квартал, а мы можем выкатывать новые изменения раз в 15 минут, и детальный анализ нам нужен уже после того, как гипотеза «открутилась» на проде. Еще до мастерской мы постоянно говорили про A/B-тесты, но не делали их — не доходили руки. А сейчас каждая гипотеза проходит через A/B. Мы накапливаем данные, все сравниваем, смотрим, на сколько результат изменился и какой у него доверительный интервал, то есть стоит ли этому изменению доверять или это просто в пределах погрешности. К концу «Продуктовой мастерской» мы посчитали и поняли, что сэкономили банку десятки миллионов рублей такими изменениями.
Именно такими ситуациями и заняты операторы в колл-центрах. Но множество проблем клиенты могут решить (и решают) с помощью голосового IVR, и это радует. Мне очень нравится тот продукт, который получается — по сути мы смогли создать новую технологию внутри банка и уйти с кнопочного IVR. Но это как с ребенком: детей любят по определению, но глупо не замечать их недостатки. Я знаю, что в продукте работает не так, и у нас есть план, как это все поменять. Я хочу, чтобы человек, который позвонит на 900, получил ответ на свой вопрос быстро и качественно, и при этом даже не понял, что говорит не с реальным человеком.
Голосовой помощник Сбербанка может подсказывать мошенникам
Сервис в некоторых случаях позволяет узнать баланс карты и последние трансакции жертвы
Информацию о состоянии счетов клиентов можно получить не только от инсайдера-банкира, который продает их на «черном рынке». «Пробить» данные можно с помощью полезных сервисов, вроде голосового помощника Сбербанка.
В редакцию Банки.ру обратился сотрудник оператора связи и рассказал, что обнаружил лазейку, которой могут пользоваться злоумышленники. Узнать баланс карты и последние операции жертвы можно с помощью голосового помощника Сбербанка — достаточно позвонить в банк от имени потенциального клиента-мишени.
«Пробиваем» данные без «слива»
«Здравствуйте, Ольга Александровна! Это Сбербанк, я ваш голосовой помощник. Я могу решить большинство ваших задач. Просто скажите, чем я могу вам помочь», — говорит услужливая виртуальная сотрудница Сбербанка. Я не Ольга Александровна, но, произнеся слово «баланс», узнаю, что на карте хранится больше 40 тыс. рублей, а после требования «последние операции» — список из последних трансакций своей родственницы. Хотя звонок шел не с телефона клиентки, суммы называются с точностью до копейки и совпадают со свежей выпиской по счету. На этом демонстрационная часть эксперимента заканчивается, и мой собеседник переходит к объяснениям, как такое возможно.
«Мы расследовали подозрительный инцидент на нашей сети и наткнулись на то, что человек хотел через нас это делать, пресекли, а потом додумали», — рассказывает сотрудник компании, которая оказывает услуги телефонии. По его словам, мошенники нередко пользуются «облачными АТС», чтобы подменять номер телефона и звонить своим жертвам, выдавая себя за партнеров по бизнесу, поставщиков или сотрудников банков. Обзвон банковских клиентов особенно популярен — в январе «Коммерсант» сообщал о всплеске случаев такого мошенничества. Чаще всего жертвами становились клиенты Сбербанка, который лидирует в России по количеству эмитированных карт. Последние истории про взломы могут объясняться в том числе уязвимостями дистанционных сервисов Сбербанка, утверждает собеседник Банки.ру.
Мошенник с помощью специальных программ может совершить звонок на один из номеров Сбербанка — он пойдет с телефона злоумышленника, но в кредитную организацию поступит как будто бы с номера жертвы. В этом случае включается голосовой помощник Сбербанка. Сервис называет человека по имени и отчеству и обещает выполнить команды после авторизации. Для этого бывает достаточно назвать последние цифры карты клиента. Заранее «пробив» окончание номера карты, злоумышленник с помощью голосового помощника может узнать баланс карты и последние пять операций по счету человека. Наличие подобного багажа существенно упрощает «обработку» жертвы методами социальной инженерии. Последние схемы мошенничества, описанные в СМИ, как раз предполагали, что злоумышленник для убедительности рассказывает клиенту о состоянии счета и трансакциях. Во многих случаях человек сам по незнанию переводил деньги мошенникам или компрометировал карту.
IT-специалист показал, как работает схема, на примере трех карт Сбербанка, принадлежащих разным клиентам. Только в одном случае голосовой помощник для авторизации попросил назвать не последние цифры карты, а код клиента — это была моментальная карта, выпущенная накануне.
Уязвимость или нет?
В Сбербанке отказались комментировать ситуацию. Там также не ответили, какая доля держателей карт может идентифицироваться в голосовом помощнике только по личному коду. Таким образом, нельзя точно оценить, сколько клиентов кредитной организации можно считать более уязвимыми перед подобным мошенничеством. Зампред Сбербанка Станислав Кузнецов заявил, что специалисты кредитной организации знают о том, что идентификация по последним цифрам карты может нести риски для пользователей сервиса. «Мы внимательно следим за подобного рода рисками и видим, что здесь есть определенного рода риски не то что утечки информации, а получение сведений об остатках карты. В настоящее время идет глубокий анализ, как ужесточить эту ситуацию для того, чтобы иметь большую защищенность на стороне клиента», — сказал Кузнецов на пресс-конференции во время Международного конгресса по кибербезопасности, организованном Сбербанком.
Идентификация в сервисах ДБО по последним цифрам карты категорически небезопасна, считает руководитель группы анализа защищенности Solar JSOC «Ростелеком-Солар» Александр Колесов. По его словам, у мошенников есть несколько путей достать такую информацию. «Самый простой способ — получить слип (документ об оплате покупки банковской картой), где обычно указано и имя владельца, и последние цифры карты. Люди редко отдают себе отчет в том, что эти данные могут представлять ценность, и не проявляют никакой осторожности при обращении с ними. Последние цифры карты также можно узнать, сделав потенциальной жертве копеечный перевод по номеру телефона. Наконец, данные карт и привязанные к ним номера телефонов массово и довольно недорого продаются на специализированных форумах в Даркнете», — перечисляет эксперт. Он, впрочем, считает, что в случае с голосовым помощником Сбербанка происходит не идентификация для сервиса ДБО, а идентификация для звонка в техподдержку.
Так или иначе, схема позволяет узнать чувствительную информацию, и это опасно, говорит технический директор Qrator Labs Артем Гавриченков. «Это неприемлемая ситуация, поскольку данные об операциях, равно как и данные о балансе счета, — это информация сугубо конфиденциальная. Фактически любой человек, имеющий доступ к минимальному и достаточно простому инструментарию для подделки номеров мобильных телефонов, имеет возможность следить за финансовыми операциями тех, чьи номера телефонов ему известны. Если там не поставлено ограничений по частоте звонков, конечно», — отмечает эксперт. Он подчеркивает, что такой способ сбора данных о клиентах может применяться широко — все процессы из этой цепочки легко автоматизируются.
Цифры не в пользу клиентов
Согласно исследованию Positive Technologies, в I квартале 2019 года 54% кибератак совершались с целью получения информации. Платежные карты продолжают сохранять ценность для хакеров и мошенников — на них приходится 16% всех украденных данных. Более ранние исследования IT-компании показали серьезные уязвимости финансовых приложений и сервисов. Так, в 2017 году 56% финансовых приложений содержали уязвимости высокого уровня риска. Например, позволяли получать доступ к сведениям, составляющим банковскую тайну клиентов. Тогда же в 48% мобильных банков была выявлена хотя бы одна критически опасная уязвимость. Более половины финансовых клиентских приложений (65%) имели недостатки, связанные с небезопасным хранением данных или недостаточной защитой процесса аутентификации пользователя. Уровень защищенности сервисов растет, но еще не может считаться достаточно высоким, признают IT-специалисты. Это связано как с изобретательностью мошенников, так и с уступками, на которые вынуждены идти банки.
«Банки активно пытаются идти навстречу пользователям, внедрять новые вещи, иногда, к сожалению, они не согласовываются с отделом безопасности. Иногда это происходит намеренно: условно говоря, отдел развития продуктов и дополнительных сервисов, получив отказ от отдела безопасности три раза, на четвертый раз постарается их обойти, — объясняет Гавриченков. — Мы не говорим, что это произошло в конкретном случае, но сплошь и рядом бывают такие ситуации, когда при внедрении инновационных технологий, таких как распознавание речи, активно «срезаются углы», в том числе страдает безопасность. У ряда организаций внедрение таких инноваций просто стоит у менеджеров в KPI».
Риск использования банковской информации для мошенничества считается высоким. По данным самого Сбербанка, социальная инженерия остается основным методом хищения денег у частных лиц. В 2018 году в России 80% атак на клиентов банков совершались с ее помощью. В 79% случаев жертвы поддаются на уловки и переводят деньги злоумышленникам, говорится в обзоре Treat Zone’19.
Правовые риски
Мошенничество с помощью методов социальной инженерии практически не оставляет клиентам шансов вернуть деньги на свой банковский счет. Если человек сам совершает операцию или разглашает данные, которые позволяют ее провести, карта считается скомпрометированной. В этом случае кредитные организации не несут ответственности за пропажу средств — подобный пункт считается стандартным для банковских договоров.
Согласно пользовательскому соглашению, приложение «Сбербанк Онлайн» предоставляется клиентам as is («как есть»). Банк не несет ответственности практически за любые убытки, полученные при использовании сервиса, «даже если банку было известно о возможности такого ущерба».
Это распространенная формулировка, отмечает партнер юридического бюро «Замоскворечье» Дмитрий Шевченко. «Уведомляя о том, что голосовой помощник является лишь техническим средством, не обладающим сознанием и психикой, банк фактически заявляет о том, что понятие «вины» к ситуациям использования этого помощника юридически не применимо», — поясняет юрист. Он сомневается, что в таких спорах пострадавший клиент сможет доказать, что получил ущерб именно из-за уязвимостей голосового помощника или мобильного.
Против взлома только плохие приемы
«Если в банке применяется биометрическая идентификация по голосу, то такая атака будет бессмысленной», — говорит Колесов, отвечая на вопрос о том, могут ли мошенники пользоваться уязвимостями голосового помощника Сбербанка. Пока этот сервис не предусматривает распознавания клиента по голосу. Сбербанк работает в другом направлении, пояснил зампред кредитной организации Станислав Кузнецов.
«Одновременно с другими методами, дополнительными, на стороне распознавания голоса, изучения попыток со стороны мошенников, мы дополнительный комплекс мер приняли, чтобы хеджировать этот риск на уровне наших систем, когда мы понимаем, что с большой вероятностью мошенник запрашивает эти данные», — сказал топ-менеджер. Он уточнил, что речь идет о сборе образцов голосов злоумышленников.
Такой подход может использоваться как один из инструментов борьбы с рецидивистами, соглашается Артем Гавриченков. Эксперт, впрочем, сомневается, что это легко сделать. «Я не уверен, что это настолько простая история с точки зрения законодательства, поскольку на это тоже распространяются нормы о хранении и обработке персональных данных. Закона, который бы позволял собирать биометрическую информацию о злоумышленниках без их ведома и передавать их коммерческим банкам, я не припомню», — говорит технический директор Qrator Labs.
Обратный механизм защиты — сравнивать голос клиента с ранее сданным образцом — тоже не безупречен. Есть риск, что под видом телефонного опроса злоумышленник попросит человека озвучить нужный набор фраз и цифр и уже потом использует отпечаток голоса.
Пока что лучшее, что тут придумано с точки зрения безопасности, — это кодовое слово, считает Гавриченков. Но главный недостаток этого подхода — риск, что клиент просто забудет код. Варианты с СМС-подтверждением или уточнением других данных специалисты по информационной безопасности тоже не считают идеальными. «Тут вообще хороших решений нет. Есть плохие и «так себе», — резюмирует один из собеседников Банки.ру.
Юлия КОШКИНА, Banki.ru
Статья носит информационный характер и публикуется с целью предупреждения случаев мошенничества в финансовой сфере.