Ответ на пост «Вопрос на ночь»⁠⁠4

Это не так работает. Клиент в договоре с банком договаривается, что СМС-код, направленный на номер такой-то, является простой цифровой подписью. Принадлежность этого номера роли не играет. И не важно кто потом вводит этот СМС-код, он все равно будет считаться подписью клиента.

Прекрасно соотносится, курите 63-ФЗ об электронной подписи.
Нет, серьезно, вы думаете, что юридические департаменты крупнейших банков страны пропустят нестыковку с законодательством, но зато её заметит героический пикабушник?

Простая цифровая подпись не позволяет идентифицировать подписанта. Усиленная - позволяет.

Стоп. Отделим мух от котлет. При заключении договора с банком,  мы заключили и соглашение об использовании простой ЭП. То есть показали паспорт, сфоткались и предоставили банку свой номер мобильного телефона. Соглашение это не на словах же. Фактически - договорились об удобном обмене документами. Банк нам смс, мы в ответ - код. Можем, наверное, и не заключать соглашение, но тогда по всем операциям придётся ходить в банк с паспортом. По поводу «пусть запишут со слов» - не совсем опять понял. Утрировано, конечно, но мы же понимаем, что для начала взаимной работы нужно заключить договор или соглашение. Мне кажется, Вам будет любопытно и полезно вдумчиво прочитать 63-ФЗ об электронной подписи. Там почти всё доступно вполне изложено. Простой ЭП, в принципе, может быть не только смс, но и, например, e-mail. И если подобное соглашение где-то будет заключаться, нужно следить, чтобы другие люди не имели доступа к указанному ящику.  По большому счету, нужно менять отношение к электронным устройствам, логинам, паролям  - теперь это не игрушка, а серьёзная штука, которую надо беречь.

Почему на левую симку? Когда договор заключается с банком, клиент (и банк) подписывают соглашение об использовании простой цифровой подписи. Клиент указывает там номер, который будет использоваться для получения sms-кодов. Соответственно, клиент должен быть в здравом уме, трезвой памяти и понимать, что телефон отныне важная вещь, которую надо беречь от посторонних. Это же основной принцип безопасности при работе с ЭЦП - не допускать возможности использования ее посторонними. У нас, к сожалению, цифровая грамотность сильно отстаёт от самих технологий. Многие воспринимают смс-коды только как некоторую меру защиты и перестраховки, но не как юридически значимую вещь. Отсюда и искреннее удивление при мошеннических действиях «я же просто переслал смс, а там вон делов наворотили, как же так?!??».

Извините, не совсем понял сейчас про паспорт и фото. Это ведь при заключении договора с банком требуется, вполне логично.  Мы с банком, как я выше написал, заключаем соглашение об использовании простой ЭП. То есть фактически договариваемся, что код является юридически значимым аналогом собственноручной подписи. Я просто действительно не совсем понимаю Ваш вопрос про «пусть они проверяют его на достоверность»? Имеете в виду, что банк должен проверить, сам ли клиент вводит смс-код? Обязанность по хранению и безопасному использованию ЭП всегда лежит на владельце. Это касается не только банковской сферы, но и любой ЭЦП, выданной любым удостоверяющим центром. Строго говоря, использование усиленной квалифицированной электронной подписи помогло бы избежать многих проблем, однако создаст неимоверное количество новых. Например, существуют bluetooth токены ЭЦП(выглядит как толстая карточка доступа). Можно сделать доступ к приложениям банка, например, по ним. То есть приложение не пустит в личный кабинет, пока не подключишь к телефону эту игрушку и дополнительно не ведёшь пин-код. Но будем честны с собой, готовы ли клиенты к такому? Да и обязанность хранить эцп в недоступном для других месте никто с владельца не снимет. Мошенники будут охотиться за этими ключами и пинами к ним. И все уйдёт на новый виток борьбы. А сейчас всего-то пользователю нужно помнить и понимать, что ЭП даже простая, в виде кода, должна оберегаться от посторонних.