Вопрос о том, следят ли банки за своими клиентами через мобильные приложения, регулярно вызывает оживленные споры. Пользователи все чаще обращают внимание на обилие разрешений, которые запрашивают такие сервисы: доступ к контактам, геолокации, микрофону и другим функциям устройства. Особенно многих испугал тот факт, что банки смогут определять использование VPN на смартфонах с системой Android.
На первый взгляд, для обычных операций — переводов или открытия вкладов — подобные возможности кажутся избыточными. Финансист Игорь Торхов попытался разобраться в ситуации и проанализировал, какие именно права запрашивают банковские приложения и зачем они нужны. В качестве примера он рассмотрел приложение «Сбербанк Онлайн», однако аналогичные принципы применимы и к другим банкам.
На базовом уровне список разрешений выглядит относительно скромно: камера, контакты, геолокация, микрофон, телефон, хранилище и доступ к удаленной идентификации через Единую биометрическую систему. Однако при детальном анализе выясняется, что реальное количество разрешений значительно больше — их может насчитываться несколько десятков.
Каждое разрешение открывает приложению доступ к определенным функциям устройства. Формально они необходимы для корректной работы отдельных сервисов, но в совокупности создают ощущение тотального контроля.
Идентификация и биометрия.Разрешения, связанные с биометрией и учетными записями, используются для входа в приложение — например, через отпечаток пальца или Face ID. Также сюда относится доступ к Единой биометрической системе, который применяется для подтверждения личности и внедрения новых способов авторизации. При этом сами биометрические данные не передаются приложению напрямую — они хранятся либо на устройстве, либо в защищенной системе. Риски в этом сегменте эксперт оценил как минимальные.
Доступ к телефонным функциям.Приложение может получать доступ к контактам, звонкам, микрофону и технической информации об устройстве, включая IMEI. Это необходимо для упрощения переводов по номеру телефона, связи с поддержкой и даже для борьбы с мошенничеством. Например, система может выявлять подозрительные звонки или фиксировать смену устройства. Однако теоретически такие данные могут использоваться и для анализа поведения пользователя, включая формирование персонализированных предложений.
Камера и хранилище. Доступ к камере позволяет сканировать QR-коды, квитанции и реквизиты. Хранилище используется для загрузки документов или сохранения чеков. Тем не менее, расширенные разрешения, такие как полный доступ к файлам, вызывают вопросы. Теоретически это открывает доступ к личным данным пользователя, хотя на практике такие функции могут быть связаны, например, с работой встроенных систем безопасности.
Геолокация.Данные о местоположении используются не только для поиска ближайших банкоматов и отделений, но и в целях защиты. Если операции по карте происходят в одном городе, а устройство находится в другом, система может распознать потенциальное мошенничество. При этом сохраняется риск отслеживания перемещений, что вызывает наибольшее беспокойство у пользователей.
Сетевые подключения и устройства. Доступ к интернету, Wi-Fi, Bluetooth и NFC необходим для базовой работы приложения и бесконтактных платежей. Однако такие разрешения также позволяют собирать информацию об окружении устройства и косвенно определять местоположение даже без прямого доступа к геолокации, подчеркнул Игорь Торхов.
Реклама и аналитика. Часть разрешений используется для маркетинговых целей. Приложение может анализировать действия пользователя внутри сервиса и формировать персонализированную рекламу, которая затем появляется на сторонних ресурсах. Это не связано напрямую с банковскими операциями, но активно применяется для продвижения финансовых продуктов.
Встроенные защитные функции. Отдельная категория — разрешения, превращающие приложение в инструмент кибербезопасности. Оно может отслеживать установленные программы, выявлять подозрительное ПО, блокировать опасные процессы и предупреждать пользователя о возможных угрозах. Такие функции помогают бороться с мошенниками, однако одновременно дают приложению доступ к широкому спектру данных о других программах на устройстве.
Системные возможности.Некоторые разрешения позволяют приложению банков работать в фоновом режиме, автоматически запускаться и обновляться без участия пользователя. Это обеспечивает стабильную работу сервиса, но может влиять на расход заряда батареи и общую производительность устройства.
Можно ли ограничить доступ?
Система разрешений создана для защиты пользователя, однако управлять ими можно лишь частично. Некоторые из них выдаются автоматически и не подлежат отключению. При этом отказ от ключевых разрешений может привести к некорректной работе приложения или блокировке отдельных функций. Например, без доступа к камере невозможно оплатить по QR-коду, а без хранилища — сохранить документы, объяснил эксперт.
Стоит ли опасаться?
Ситуация остается неоднозначной, считает Игорь Торхов. С одной стороны, банки обязаны соблюдать требования к защите персональных данных и банковской тайны, что снижает вероятность злоупотреблений.
«Я знаю, что в банках с большой ответственностью относятся к банковской тайне, персональным данным клиентов и к своей репутации. И знаю, что специально ни один банк не будет вредить своим клиентам. В то же время я считаю, что приложения не должны запрашивать больший доступ, чем нужен им для работы, поэтому отключил все разрешения и выдаю их по мере необходимости», — заключил эксперт.
