Банки и операторы связи будут обязаны возвращать гражданам похищенные мошенниками деньги — но только в случаях, когда сами нарушили правила противодействия фроду. Такой законопроект, известный как «Антифрод 2.0», Госдума приняла 9 июня сразу во втором и третьем чтениях. Документ еще не вступил в силу: его должен одобрить Совет Федерации, после чего подписать президент России.
Право на возмещение возникает, если организация не выполнила обязанности по выявлению и предотвращению мошеннических операций и это привело к хищению средств. Для банков речь идет о переводах без добровольного согласия клиента: если банк получил нужные сведения из государственной антифрод-системы, но все равно неправомерно исполнил операцию, деньги придется вернуть.
Для операторов связи предусмотрена схожая ответственность. Если из-за неисполнения новых обязанностей средства спишут с лицевого счета абонента, оператор возместит сумму перевода. Конкретный порядок выплат установит правительство.
При этом, если банк или оператор выполнил все требования, а человек сам передал мошенникам данные или перевел им деньги, выплата не предусмотрена. Новые нормы заработают с 1 марта 2027 года.
MAX вместо СМС исключили
Ко второму чтению из законопроекта убрали ряд вызвавших споры предложений. В частности, из документа исключили требование подтверждать значимые действия в интернете одновременно через СМС и мессенджер MAX.
Из доработанной версии законопроекта убрали требование использовать при авторизации электронную почту только в российской доменной зоне. Поэтому пользователи по-прежнему смогут указывать, например, адрес Gmail при регистрации на российском сайте. Однако вход через иностранные системы авторизации — такие как кнопки «Войти через Google» или «Войти через Apple» — уже ограничен действующим законодательством.
Также авторы отказались от обязательной привязки открытия банковского счета к ИНН, отдельных правил восстановления доступа к учетной записи на «Госуслугах» и регулирования работы сим-боксов и виртуальных телефонных станций.
В Минцифры объяснили «Коммерсанту», что «редакция ко второму чтению стала итогом проработки с заинтересованными ведомствами и бизнесом».
Россиянам оставят не более 20 карт
С 1 сентября 2027 года банки смогут предоставить одному физическому лицу в общей сложности не более 20 платежных карт, с помощью которых можно переводить деньги. При этом совет директоров Банка России сможет определить случаи, когда человеку разрешат оформить больше карт.
Чтобы банки могли контролировать соблюдение лимита, будет создана единая система учета платежных карт. Перед выдачей новой карты кредитная организация должна будет проверять по ней, не превышено ли установленное количество.
Передавать в систему сведения о выданных и закрытых картах, а также ИНН их держателей банки начнут с 1 сентября 2026 года.
Ранее в законопроекте обсуждался и лимит в пять карт в одном банке, однако в принятой Госдумой редакции осталось только общее ограничение — не более 20 карт на человека.
Еще одна мера направлена против быстрого оборота сим-карт, когда номера оформляют и тут же закрывают для использования в мошеннических схемах. Абонент-физлицо сможет окончательно расторгнуть договор связи только через 90 календарных дней с даты присвоения номера.
Если человек захочет отказаться от услуг раньше, оператор должен сразу приостановить связь и перестать взимать плату. Однако сам договор будет расторгнут только после окончания установленного срока.
Эти правила также планируется ввести с 1 марта 2027 года.
Международные звонки можно будет заблокировать
Россияне получат право запретить входящие вызовы с иностранных номеров, поступающие из сетей зарубежных операторов. Установить такой самозапрет можно будет через «Госуслуги» или МФЦ.
Автоматическую блокировку всех зарубежных звонков вводить не стали — решение останется за самим абонентом. При этом операторы должны будут предупреждать пользователей, что звонок поступает из-за рубежа.
Родители также смогут добровольно сообщить оператору, что передали свой номер несовершеннолетнему, указав возраст ребенка. Порядок такого уведомления определит правительство.
Кроме того, законопроект предусматривает создание базы IMEI — уникальных номеров мобильных устройств. Пополнять ее будут в том числе операторы связи.
Законопроект расширяет перечень массовых звонков, которые не будут считаться противоправными. Исключение предусмотрено для отдельных обращений банков к своим клиентам — например, когда кредитная организация пытается предотвратить операцию без согласия человека. При таком звонке банк должен будет уведомить абонента, что обращается к нему в рамках заключенного договора.
Одновременно Минцифры сможет устанавливать предельный размер платы за отдельные разрешенные массовые обзвоны.
Хостинг-провайдерам запретят размещать VPN-сервисы
Законопроект также запрещает российским хостинг-провайдерам предоставлять серверы и другие технические ресурсы для работы VPN-сервисов. При этом прямого запрета на использование VPN обычными гражданами в документе нет — ограничение касается компаний, которые помогают таким сервисам работать.
Также власти смогут без решения суда блокировать сайты, через которые распространяют вирусы и другие вредоносные программы. Эти меры должны сократить число ресурсов, которые мошенники используют для атак и кражи данных.
«Если профукали фрод, будут возвращать украденное из своего кармана»
Основатель и управляющий партнер Инвест Хаб Алексей Таранов заявил, что главной фишкой нового закона стал «перенос финансовой ответственности».
— Государство переставило фишки на доске: если раньше спасение утопающих было делом рук самих утопающих, то теперь, если банк или оператор связи профукали фрод, они будут возвращать украденное из своего кармана, — говорит Таранов.
Он добавил, что новое решение «превращает безопасность из статьи расходов бизнеса в прямую страховку от убытков».
Таранов считает, что закон «сильно усложнит жизнь преступникам», ведь им «перекрыт кислород в плане расходников».
— Массово скупать сим-карты и открывать сотни левых карт на подставных лиц теперь не получится. По сути, государство зачищает инфраструктуру, на которой держался весь теневой финтех, — считает он.
Но, по словам эксперта, «иллюзий строить не надо», ведь «это не финальная победа, а лишь успешный раунд». Таранов считает, что как только мошенникам заблокируют классическую связь и карты, они окончательно перейдут в мессенджеры и крипту, а вместо «банального испуга будут атаковать нас умными дипфейками».
— Они всегда будут изобретать новые инструменты «получения» денег у населения. Защита стала мощнее, но включать голову все равно придется нам самим. Поэтому вместе с преступниками нужно изучать технологию и фин-грамотность и не отставать, — говорит Таранов.
«Платой за безопасность может стать снижение комфорта»
Генеральный директор компании «ДА-Консалтинг» Даниил Тюнь считает, что законопроект «кардинально меняет правила игры в пользу потребителя». Ключевым нововведением он называет обязанность банков и операторов связи возмещать клиенту всю сумму похищенных средств, если будет доказано, что организации не выполнили установленные процедуры антифрод-контроля.
— Это создает мощный экономический стимул для финансовых организаций. Раньше банки часто перекладывали ответственность на клиента, ссылаясь на то, что перевод был совершен с использованием его данных — логина, пароля или СМС-кода. Теперь же, чтобы избежать прямых убытков, они будут вынуждены вкладывать значительные средства в модернизацию систем безопасности, — говорит Тюнь.
По его словам, для клиентов это означает переход от «пассивной защиты», когда человек должен был самостоятельно проявлять бдительность, к активной — при ней за безопасность отвечает профессиональная сторона.
Изменения для банковской системы, считает эксперт, будут масштабными и затронут все уровни ее работы. Финансовым организациям придется внедрять и постоянно обновлять системы мониторинга транзакций в режиме реального времени, а также инвестировать в искусственный интеллект и машинное обучение для выявления нетипичных операций.
— Процедура проверки станет более глубокой. Банки будут анализировать не только технические параметры — IP-адрес или устройство, — но и поведенческие факторы: время совершения операции, ее сумму, получателя и историю переводов клиента, — отмечает Тюнь.
Кроме того, банкам потребуется разработать новые регламенты для разбора спорных случаев, сбора доказательств и взаимодействия с операторами связи. Это может привести к росту расходов на аналитиков, юристов и сотрудников, которые будут работать с претензиями клиентов.
При этом усиление контроля может сказаться на скорости и удобстве банковских операций. По словам Тюня, одним из главных рисков станет рост числа ложных срабатываний систем безопасности. Например, банк может заблокировать законный, но необычный перевод — крупную покупку или платеж новому получателю.
— Клиенты могут столкнуться с задержками, дополнительными проверками и временными блокировками карт или доступа к онлайн-банку. Таким образом, платой за повышенную безопасность может стать некоторое снижение комфорта и скорости банковских услуг, — говорит эксперт.
Тюнь подчеркивает, что полностью искоренить мошенничество законопроект не сможет. В частности, за его рамками могут остаться схемы социальной инженерии, при которых человек самостоятельно переводит деньги злоумышленникам. Однако новые меры способны нанести серьезный удар по наиболее распространенным способам хищения средств.
Наибольший эффект, по его мнению, законопроект может дать в борьбе с несанкционированным доступом к счетам через взлом или фишинг, а также с подменой номеров и перехватом СМС.
— Мошенникам придется искать более сложные и дорогие способы обхода систем защиты. Это увеличит стоимость их «бизнеса» и в результате может привести к снижению общего количества атак, — заключает Тюнь.