Минцифры готовит новый удар по мошенникам с трёхлетними архивами и запретами для СМС

Минцифры готовит новый удар по мошенникам с трёхлетними архивами и запретами для СМС

Изображение: grok

Минцифры разослало ведомствам третий пакет антифрод-поправок, где предлагается три года хранить данные о регистрации пользователей на сайтах, привязать виртуальные АТС к российским IP-адресам, расширить сбор сетевых сведений операторами связи и убрать из СМС любую персональную информацию. Проект пока рабочий, но участники рынка уже говорят о технических сложностях и рисках для законных сервисов. Для россиян это означает возможное изменение содержания привычных банковских уведомлений и работы онлайн-сервисов.

С проектом ознакомилось издание Forbes. Документ разослали профильным ведомствам письмом от 1 июля 2026 года. Это не финальная редакция закона, а рабочая версия, которой предстоят обсуждение и правки.

Одно из самых заметных предложений затрагивает сайты и мобильные приложения. Поправки в закон «Об информации» предписывают интернет-сервисам три года хранить сведения о регистрации пользователя, входах в аккаунт и его удалении. Даже после того как человек сотрёт профиль, информация о существовании учётной записи и действиях с авторизацией останется в системах компании. По запросу эти данные должны передаваться уполномоченным структурам.

Для цифрового бизнеса норма означает появление большого архива, который нельзя удалить вместе с профилем клиента. Крупные платформы уже давно ведут логи авторизации, а вот небольшим сервисам норма грозит тратами на серверы, резервное копирование и защиту накопленных сведений.

Есть и обратная сторона. Чем дольше хранится массив данных, тем привлекательнее он для злоумышленников. Журналы входов пригодятся не только следователям, но и хакерам при атаке на сам сервис.

Второй крупный блок посвящён виртуальным АТС — облачным телефонным платформам, через которые работают колл-центры и распределённые команды. Минцифры хочет разрешить таким сервисам обслуживать лишь клиентов с российскими IP-адресами. Хостинг-провайдеры, где размещены виртуальные АТС, тоже должны использовать российские адреса. Получается двойная привязка — и клиент, и серверная инфраструктура обязаны находиться внутри российского адресного пространства.

Хостинг-компаниям предписывают передавать в специальный реестр перечень принадлежащих им IP-адресов. Это позволит сопоставлять облачную телефонию с конкретной инфраструктурой и её владельцами.

Уточняется, что мера должна затруднить работу мошенническим колл-центрам, которым облачная телефония даёт удобный конструктор для быстрого запуска сотен линий без физического офиса.

При слабом контроле такие сервисы становятся идеальным инструментом для аферистов. Достаточно арендовать виртуальную АТС, подключить операторов и запустить поток звонков. Российский IP-фильтр усложнит анонимный запуск подобной схемы.

У привязки есть и минусы для честного бизнеса:

  • сотрудник в командировке может подключаться через зарубежную корпоративную сеть;
  • компании нередко используют облачную защиту с иностранным адресом на выходе;
  • IP-геолокация не даёт стопроцентной точности;
  • корпоративные VPN и международные дата-центры показывают серверу иностранный адрес;
  • один неудачно настроенный фильтр отключит от связи легального сотрудника быстрее реального мошенника.

Третья громкая идея касается содержания СМС-рассылок. Минцифры предлагает запретить указывать в сообщениях персональные данные получателя и сведения о его близких родственниках. На бумаге это защита от утечек, на практике определение персональной информации настолько широкое, что под него попадает половина привычных уведомлений россиян.

Банки шлют клиентам суммы операций, остатки, задолженности и номера договоров. Операторы связи сообщают о тарифе, балансе и подключённых услугах. Онлайн-магазины присылают номер заказа, стоимость покупки и адрес пункта выдачи. Почти каждое сообщение содержит данные, связанные с конкретным человеком.

Источник Forbes в телекоммуникационной отрасли считает такую норму практически неисполнимой в её нынешнем виде. По оценке собеседника издания, персональной информацией можно признать баланс, сумму платежа, задолженность, номер договора, телефон и тариф. Тот же источник обратил внимание на обязанности банков, которые по закону должны уведомлять клиентов об операциях. Слишком широкий запрет вступит в конфликт с действующими требованиями.

Отмечается, что для проверки СМС оператору придётся анализировать текст сообщений, а это ставит вопрос о тайне связи и превращает телеком-компанию в цензора банковских уведомлений.

Есть и вопрос ответственности. Сообщение создаёт банк, магазин или иной заказчик рассылки, а передаёт его оператор. Без чёткого распределения обязанностей участники цепочки будут перекладывать претензии друг на друга.

Операторам связи готовят новую нагрузку. Три года им предпишут сохранять IP-адреса и порты абонента, использованные при заключении договора на мобильную связь, вместе с точным временем оформления. Норма нацелена против дистанционного оформления сим-карт на чужие документы.

Сетевые параметры дают следующие возможности расследователям:

  • сопоставить заявку с конкретным устройством и подключением;
  • связать сим-карту с адресом, откуда её оформили;
  • отследить массовые регистрации с одного адреса;
  • восстановить хронологию действий мошенника;
  • проверить принадлежность подключения абоненту.

При этом IP-адрес не всегда указывает на конкретного человека. Один внешний адрес совместно используют жильцы дома, сотрудники офиса, посетители кафе или множество абонентов мобильной сети. Порты и временные отметки повышают точность, но увеличивают объём хранимых данных.

Государственная информационная система «Антифрод» получит новую подпитку. В неё будут загружать данные о мошенниках, их телефонных номерах и средствах доступа к интернет-ресурсам. Формулировка допускает попадание в базу сведений, которые сами злоумышленники получили незаконным способом.

Источник Forbes, близкий к Минцифры, связал эту норму с ограничениями закона о персональных данных, тайне связи и банковской тайне. Когда человек отзывает согласие на обработку своих данных, коммерческая компания теряет часть оснований для дальнейшего использования сведений. Новая поправка должна создать отдельное правовое основание для наполнения антифрод-базы.

Собеседник Forbes, участвующий в обсуждении документа, пояснил, что формулировка может относиться к базе дропперов. Так называют людей, предоставляющих карты, счета и сим-карты для вывода похищенных денег. Дропперы часто получают чужие данные незаконно и передают мошенникам доступ к банковским продуктам.

Есть риск ошибок. Ошибочная запись способна привести к блокировке добросовестного пользователя, чьи сведения попали к преступникам без его ведома. Человек мог стать жертвой утечки, потерять сим-карту или обнаружить счёт, оформленный по украденным документам. Для системы нужны механизмы проверки, исправления ошибок и обжалования — без них база рискует превратиться в цифровой чёрный список.

Поправки должны заработать с 1 марта 2028 года. Третий пакет обсуждается несколько месяцев. В апреле Татьяна Скворцова, директор департамента развития технологий цифровой идентификации Минцифры, сообщила о подготовке нового набора мер. В мае Иван Лебедев, заместитель главы Минцифры, перечислял возможные положения будущего документа, где упоминалось подтверждение значимых действий в интернете через СМС либо мессенджер «Макс». В версии от 1 июля этого пункта уже нет, но окончательно от идеи не отказались.

Первый антифрод-пакет Госдума приняла в марте 2025 года, второй — в июне 2026 года. Скорость появления новых поправок показывает, как быстро меняются мошеннические схемы.

Реакция телеком-рынка сдержанная. В «Мегафоне» сообщили, что предметно оценят инициативу после официальной публикации проекта. В «Вымпелкоме», работающем под брендом «Билайн», изучают законопроект и поддерживают меры против мошенничества, при условии их справедливости и соразмерности. «Ростелеком» комментировать документ не стал, МТС не ответила Forbes.

Третий антифрод-пакет выглядит как честная попытка догнать мошенников, которые давно работают быстрее регуляторов. Идея объединить телефонные номера, IP-адреса, банковские операции и облачную телефонию в единый контур обнаружения аферистов имеет смысл, но дьявол кроется в реализации. Трёхлетнее хранение данных о регистрации у всех сайтов и приложений создаёт огромную зону риска — эти архивы станут лакомой целью для хакеров. Тотальный запрет персональной информации в СМС при существующей широте определения способен превратить банковские уведомления в бесполезные абстракции, что играет на руку мошенникам с фишинговыми письмами.

До марта 2028 года остаётся время отделить рабочие механизмы от красивых формулировок, невозможных для корректной технической реализации. Российским пользователям опасность грозит с двух сторон одновременно — от аферистов и от переусложнённых защитных мер, которые сломают привычные сервисы.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: