ВТБ запускает первый в мире Telegram-банкинг. Вернее, полноценный Telegram-банкинг, потому что какие-то боты для реализации тех или иных функций вроде заказа банковской карты у других банков уже были – а у ВТБ речь идёт о практически полной замене мобильных приложений для интернет-банкинга.
Собственно, для замены приложений это решение и предназначено, поскольку они были удалены из App Store и Google Play из-за санкций и если для Android есть вариант скачать приложение из других источников, то для iOS, увы, никак.
Telegram-банк реализован при помощи новейшего API Telegram WebView, так что он не похож на обычного чат-бота с перепиской и нажатием кнопок, как можно было бы предположить. Вместо этого в боте отображается интерфейс, чем-то похожий на интерфейс мобильного приложения, что для этих задач, конечно, удобнее и даже быстрее.
Но удобнее хотя бы тем, что не нужно скачивать какое-то приложение и в него переключаться: целевая аудитория банковского бота – очевидно, люди, для которых мессенджер является некоей «точкой входа» в интернет, где они не только общаются, но и потребляют контент, читая каналы.
Функциональность пока базовая, впрочем, именно она нужна 70% пользователей: это просмотр баланса карт и счетов, перевод денег через СБП и пополнение счёта телефона. К концу года Telegram-бот сможет проводить до 98% повседневных банковских операций, в частности, оплату по QR-коду с возможностью и формировать QR-код, отображать историю операций, проводить переводы между своими счетами, оплачивать различные счета (в т.ч. пакетно), пополнять свою карту переводом с карты другого банка и т.п.
Самое интересное – это вопросы безопасности. Тут важно понимать, как в принципе работают боты в Telegram. В самих ботах ни персональные данные, ни какие-то критические команды для доступа к счетам и т.п. не передаются. Бот – это лишь интерфейс, система ввода-ввода, а все данные хранятся и операции производятся на сервере банка – собственно, так же, как в случае с мобильным приложением. С сервера приходит информация, что отобразить на экране, от бота на сервер – какую кнопку в интерфейсе нажал пользователь.
Но тут возникает резонный вопрос: в банковское приложение на смартфоне входят с пин-кодом или по биометрии, а что же в Telegram? Ведь он может работать на множестве разных устройств одновременно, в том числе и на компьютере, где нет никаких паролей – это раз. Угнать аккаунт в Telegram по фишинговой ссылке проще простого – это два. Однако эта проблема решена необходимостью ввода SMS-пароля при каждом обращении к боту. Единственная уязвимость здесь видится в кейсе утраты смартфона: тогда злоумышленник даже если не сможет его разблокировать, то переставит SIM-карту в другой аппарат, а поскольку запрос PIN-кода у всех, как правило, отключён, то легко будет получить и доступ к Telegram, и одноразовые SMS-пароли.
По данным Mediascope, аудитория Telegram в России составляет около 50 млн. пользователей. В мессенджере уже есть большое количество финтех-ботов, в основном это p2p-криптообменники. Вчера один из них (Bitzlato) был взломан, злоумышленникам удалось вывести часть средств с криптокошельков. Однако нельзя исключать и инсценировку взлома для того, чтобы остановить работу сервиса и вывод средств пользователями.