Из обновленной версии законопроекта «Антифрод 2.0» убрали норму об обязательном подтверждении финансовых операций и других значимых действий через мессенджер MAX. Банки и операторы связи смогут продолжать использовать SMS для идентификации клиентов и подтверждения операций.
Изначально обсуждалась более жесткая схема: дистанционные действия клиента предлагали подтверждать через MAX вместо SMS или вместе с SMS. Для банков это означало бы перестройку действующих антифрод-процессов, новую интеграцию, дополнительные расходы и спорный эффект для безопасности.
Ко второму чтению требование убрали. В обновленной редакции MAX больше не закрепляется как обязательный канал для подтверждения банковских операций. Но это не запрет на использование мессенджера. Банк сможет применять разные способы подтверждения, если они подходят под требования регуляторов и собственную модель риска.
Финансовый рынок критиковал идею двойного подтверждения через SMS и MAX еще весной. Банки указывали, что мошенники часто не ломают технологию подтверждения, а убеждают клиента самому подтвердить перевод. В таком сценарии второй код в мессенджере не спасает: человек всё равно вводит код или подтверждает действие, считая его нужным.
У MAX также были прикладные ограничения. Для массовой доставки банковских кодов нужен стабильный канал, понятные SLA, масштабирование, защита от подмены, работа с пользователями без приложения и совместимость с текущими банковскими системами. SMS остаются слабым каналом с точки зрения перехвата и социальной инженерии, но они встроены в процессы банков, операторов и клиентов.
ЦБ ранее называл преждевременной идею обязательного подтверждения волеизъявления через MAX для финансовой отрасли. После доработки проекта эту норму из текста убрали. В итоге банки сохраняют возможность использовать SMS, push-уведомления, собственные приложения и другие механизмы подтверждения.
Поправки к «Антифроду 2.0» затрагивают не только MAX. В документ добавили механизм компенсаций для жертв мошенников. Если банк или оператор связи нарушил обязательный порядок выявления подозрительных операций и это привело к хищению денег, организация должна будет вернуть клиенту сумму перевода. Если все требования были выполнены, а клиент сам отправил деньги злоумышленникам, компенсация не предусмотрена.
Ожидаемый срок запуска компенсационного механизма — 1 марта 2027 года. До этого должны появиться подзаконные правила: порядок выплат, критерии нарушения, процедуры проверки и взаимодействие между банками, операторами и клиентами.
В обновленном пакете также изменили другие спорные положения. Из проекта убрали требование регистрироваться на значимых интернет-ресурсах только через российскую электронную почту. Также исключили норму об открытии банковского счета только с привязкой к ИНН и отдельные положения о восстановлении доступа к «Госуслугам».
Запрет звонков из-за рубежа тоже не будет включаться автоматически. Абонент сможет активировать такую защиту добровольно. Идея проста: часть мошеннических звонков идет через зарубежную телефонию, но автоматическая блокировка могла задеть нормальные звонки родственников, бизнеса, сервисов и банков.
В проекте осталась мера против быстрой замены SIM-карт. Договор на услуги связи можно будет расторгнуть только через 90 дней после заключения. Это должно усложнить использование одноразовых SIM-карт в мошеннических цепочках.
Также сохраняется лимит в 20 банковских карт на одного пользователя. Ранее обсуждался вариант «до пяти карт в каждом банке», но в обновленной версии выбрали общий лимит. В документе также остались единая система учета банковских карт, маркировка звонков из-за рубежа, досудебная блокировка сайтов с вредоносным ПО и ограничения для хостинг-провайдеров, предоставляющих ресурсы под VPN-сервисы.
Финальная редакция станет понятна после прохождения законопроекта через второе и третье чтения. Рассмотрение ожидается 9 июня.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
