• Новая ГИС
• Деньги с разрешения «второй руки»
• Правила снятия самозапрета
• Банкомат ограничит выдачу
• СМС-защита для «Госуслуг»

Новая ГИС

Внеся законопроект в Госдуму, правительство предложило создать сразу две государственные информационные системы (ГИС), которые помогали бы оперативно пресекать действия мошенников благодаря онлайн-обмену информацией между органами власти, Центробанком, банками, цифровыми платформами, агрегаторами, операторами связи и правоохранителями. ГИС «Антифишинг» должна была в автоматическом режиме мониторить и выявлять поддельные сайты и страницы сайтов органов власти разных уровней, организаций и физлиц и блокировать доступ к ним. А ГИС «Антифрод» – собирать информацию о фактах кибермошенничества, в том числе векторы (цифровые шаблоны) записей голосов мошенников.

Голоса мошенников попадут в базу: Госдума принимает масштабный закон о борьбе с киберпреступлениями

В итоге решено ограничиться созданием «в целях оперативного предупреждения, выявления и пресечения правонарушений и преступлений» единственной ГИС, но с неопределенно широким функционалом. Упоминание о сборе голосовой биометрии исчезло. Перечень информации, которая будет обрабатываться ГИС, порядок включения ее в систему и исключения из нее, порядок предоставления доступа к данным и другие важные детали потом установит правительство по согласованию с Федеральной службой безопасности (ФСБ). В принятом законе уточняется лишь одно: будут собраны (опять же в согласованном с ФСБ порядке) сведения «о лицах, совершивших противоправные действия с использованием сети связи общего пользования», в том числе об абонентских номерах, используемых мошенниками.

Заработать новая ГИС должна с 1 марта 2026 года. Но уже в мае 2025-го, как следует из документов, размещенных для общественного обсуждения на федеральном портале, планируется запустить два подготовительных пилотных проекта. Один из них будет осуществляться на базе созданной в 2022-м платформы «Антифишинг». На конец 2024 года, по данным Минцифры, с ее помощью выявлено более 777 тыс. ресурсов, представляющих угрозу для граждан РФ, 356 тыс. из них заблокировано. Второй проект призван отработать механизмы взаимодействия органов власти, структур и организаций в борьбе с интернет-мошенниками.

Деньги с разрешения «второй руки»

С 1 сентября этого года закон о борьбе с кибермошенничеством обязывает банки обеспечить любому клиенту возможность наделить некое «уполномоченное лицо» правом подтверждать его операции по переводу денег или снятию наличных с банковского счета.

Чем в борьбе с кибермошенниками поможет цифровая платформа

Нечто подобное предлагалось в инициативе о так называемой второй руке, внесенной в Госдуму осенью 2023 года группой депутатов во главе с Натальей Костенко (ЕР), принятой в первом чтении прошлой весной и лежавшей с тех пор без движения. Право «второй руки» в том законопроекте предписывалось оформлять нотариально заверенной доверенностью.

«Мы сразу сказали, что это очень громоздкая конструкция, требующая от клиентов и времени, и денег, и сейчас она упрощена: у нас у всех есть клиентские соглашения с банками, достаточно заключить дополнительное соглашение», – объяснил «Профилю» первый замглавы думского комитета по финансовому рынку Константин Бахарев (ЕР).

Клиент сможет выбрать одну или несколько операций, требующих подтверждения уполномоченным лицом, прописать лимит сумм и банковские счета, на которые распространится это требование. Получив распоряжение клиента о совершении требующей подтверждения операции, банк обязан незамедлительно направить уведомление уполномоченному лицу, которое должно подтвердить или отклонить ее не позднее чем через 12 часов. Вопрос о том, надо ли будет платить банку за информирование уполномоченного лица, следует решить в допсоглашении.

Кого и от чего должно защитить страхование киберрисков

Но как быть, если ваша «вторая рука» по тем или иным причинам вне зоны доступа (в тайге, в реанимации) или внезапно скончалась? «Любой закон принимается в расчете на массовую правоприменительную практику, и отразить все возможные жизненные ситуации в нем невозможно, – говорит Бахарев. – В любом случае надо понимать, что, назначив уполномоченным лицом кого-то, вы возлагаете на этого человека серьезные обязанности, обременение».

Новая норма поможет частично сократить количество дистанционных мошенничеств, полагает адвокат Андрей Гривцов, ведь «технически реализовать возможность заключения дополнительного соглашения для банков будет несложно». Ключевой проблемой, по его мнению, рискует стать выбор гражданами финансовых операций, требующих согласования. «Далеко не все клиенты, тем более пожилые, смогут в этом разобраться. Кроме того, многие из пожилых людей одиноки, в связи с чем для них в принципе определить какое-то уполномоченное лицо, которому бы они доверили согласование распоряжения своими деньгами, будет затруднительно», – сказал Гривцов «Профилю».

Вице-президент Федеральной палаты адвокатов РФ Елена Авакян назвала появление такого сервиса «по сути новым институтом добровольного частичного ограничения дееспособности гражданина, сравнимым с институтом добровольного ограничения кредитования, который уже проходит апробацию на практике». Но отчаянные времена («девятый вал» мошенничеств) требуют отчаянных мер, продолжает адвокат, «и если эта норма будет временной и докажет свою эффективность, то, видимо, она оправданна». Правда, заметила Авакян в разговоре с «Профилем», усилия мошенников «теперь могут переключиться на создание профессиональных попечителей для некоторых социально незащищенных групп граждан, которые попадут в зависимость от попечителя при удовлетворении практически всех, даже базовых потребностей».

Правила снятия самозапрета

По данным ЦБ, 40% из 27,5 млрд руб., похищенных в прошлом году мошенниками со счетов граждан, приходится на деньги, взятые в кредит. С 1 марта россияне получили право дистанционно установить через портал «Госуслуги» полный или частичный запрет на выдачу себе заемных средств, заверив заявление усиленной неквалифицированной либо квалифицированной электронной подписью. С 1 сентября установить и снять такой самозапрет можно будет также во всех МФЦ страны, придя туда с паспортом (не исключено, что в каких-то регионах эта услуга появится раньше).

Чтобы дистанционно снять самозапрет, требуется заверить заявление одним из вышеназванных видов подписи. Но с 1 июня 2025 года правила ужесточатся: совершить такое действие через «Госуслуги» можно будет только при помощи усиленной квалифицированной электронной подписи (УКЭП).

Вмененный вид: страхование бизнеса от киберрисков могут сделать обязательным

В ходе обсуждения в Госдуме депутаты обращали внимание на то, что выпуск ключа УКЭП – платная услуга (несколько тысяч рублей для физлиц в зависимости от вида подписи), поэтому новый механизм снятия самозапрета снизит доступность и, как следствие, массовость и эффективность этой меры защиты от мошенников. Глава Минцифры Максут Шадаев напомнил, что УКЭП можно оформить через приложение «Госключ» на «Госуслугах» бесплатно.

«Когда мы этот вопрос обсуждали с участниками рынка, они сказали, что, если оставить неквалифицированную электронную подпись для снятия запрета, очень велика вероятность того, что под воздействием мошенников люди будут снимать его так же быстро, как он устанавливается», – объясняет Бахарев. По его словам, 6 млн человек, установивших самозапрет меньше чем за месяц, – «это больше, чем мы рассчитывали».

Много лет одним из главных аргументов в пользу цифровизации было удобство: никуда ходить не надо. Количество офисов банков и операторов связи сокращалось, число совершаемых через «Госуслуги» действий росло. Теперь получается, что ради защиты денег и персональных данных от мошенников россиянам все чаще придется посещать МФЦ, отделение банка или офис оператора связи? «Вряд ли человек, который установил самозапрет, делает это для того, чтобы на следующий день передумать. Мы исходим из того, что установить запрет должно быть просто, а снять его получится, лишь предприняв некоторые усилия», – так ответил Максут Шадаев на вопрос «Профиля».

Кстати, с 1 сентября 2025 года граждане смогут через «Госуслуги» или придя в МФЦ установить еще и самозапрет на заключение с ними договоров на оказание услуг связи. Чтобы этот самозапрет отменить, тоже надо будет лично обратиться в МФЦ.

Банкомат ограничит выдачу

Снятие наличных через банкоматы – основной канал вывода средств мошенниками. Правоохранители утверждают, что 99% похищенных средств обналичивается в первые же сутки, после чего вернуть их невозможно. С 1 сентября 2025 года банк, прежде чем выдавать деньги через банкомат, обязан будет проверить операцию на, как говорится в законе, «наличие признаков выдачи наличных денежных средств без добровольного согласия клиента». Эти признаки установит и разместит на своем сайте ЦБ. Если они обнаружены, на срок до 48 часов вводится ограничение на выдачу средств по карте (не более 50 тыс. руб. в сутки), а клиент должен быть «незамедлительно уведомлен о причинах такого ограничения».

Упреждающая защита: кому и зачем нужны учения в сфере информационной безопасности

Кроме того, если от ЦБ получена информация, что клиент и (или) его карта попали в базу данных о случаях и попытках осуществления сомнительных переводов денежных средств, выдача наличных через банкоматы ограничивается суммой до 100 тыс. руб. в месяц.

«Банк берет на себя большую ответственность, если не будет в подозрительных случаях реагировать на сигналы правоохранителей и ЦБ. При переводе безналичных денег со счета на счет он уже обязан реагировать на подозрительные операции под угрозой финансовой ответственности, с 1 июля 2024-го такой закон эффективно действует», – отметил Бахарев. Недавно глава ЦБ Эльвира Набиуллина привела такие данные: только двадцать крупнейших банков «охлаждают» порядка 300 тыс. переводов в месяц, причем более 60% из них отклоняются самими клиентами, после того как банк выходит с ними на связь и предупреждает об опасности.

Опрошенные «Профилем» эксперты говорят о возможных проблемах с реализацией новых правил. Руководитель группы антифрод-решений Innostage Лев Афанасьев, например, считает, что многое будет зависеть от того, какие именно признаки подозрительности придется отслеживать, отмечая, что установка самих ограничений для банков серьезной проблемой не является. Пока ЦБ не публикует сведения об исключении тех или иных реквизитов клиента и средств платежа из антифрод-базы, напомнил он, и узнать об изменениях можно только путем хранения и частого сравнения между собой больших объемов данных. При внедрении требований правильно было бы организовать грамотную и оперативную методическую поддержку со стороны регулятора, добавляет Афанасьев.

Маска не поможет: как компании борются с кибермошенниками

Генеральный директор группы компаний ST IT, эксперт рынка TechNet НТИ Антон Аверьянов обращает внимание на то, что для интеграции с новой системой проверки на признаки несанкционированного снятия денег в банкоматах банкам потребуется инвестировать значительные ресурсы в обновление IT-инфраструктуры и усиление мер кибербезопасности. «Существует риск ложных срабатываний системы, что может привести к временному ограничению доступа клиентов к собственным средствам, – объясняет он. – В такой ситуации крайне важно, чтобы уведомления о причинах ограничений поступали незамедлительно, а внутренние регламенты банков были адаптированы к новым требованиям». Это потребует не только технических доработок, но и обучения персонала для оперативного реагирования на возникающие инциденты, подчеркивает эксперт.

Замдиректора Центра компетенций НТИ «Технологии доверенного взаимодействия» Руслан Пермяков уверен, что банкам придется создать службы оперативной поддержки для организации взаимодействия с клиентами, которые могут испытывать раздражение или недоверие при внезапной невозможности получить свои деньги, особенно в стрессовых ситуациях или в регионах с низкой доступностью отделений. Нагрузка на колл-центры увеличится, предупреждает он.

В думском комитете по финансовому рынку говорят, что вопрос технической готовности к перенастройке банкоматов обсуждался с банками и установленный в законе срок – результат этого обсуждения.

СМС-защита для «Госуслуг»

Генпрокурор Игорь Краснов в начале марта констатировал: мошенники «все шире используют неправомерный доступ к личным кабинетам на портале «Госуслуг», в 2024 году зарегистрировано свыше 50 тыс. такого рода преступлений». Рост, по данным Генпрокуратуры, обусловлен утечками персональных данных, чаще всего жертвами становятся социально уязвимые категории населения, пенсионеры. Получив доступ к личному кабинету гражданина на «Госуслугах», мошенники оперативно меняют телефон, пароль и электронную почту. Заблокировать скомпрометированный личный кабинет оперативно не всегда получается, ведь пострадавший может не сразу узнать о проблеме.

Кошелек мамонта: какие приемы используют кибермошенники для обмана жертв

На пленарном заседании Госдумы при обсуждении закона о борьбе с кибермошенничеством глава думского комитета по труду и социальной политике Ярослав Нилов (ЛДПР) предложил хотя бы временно запретить дистанционное восстановление пароля на портале «Госуслуг» без личного присутствия в МФЦ. «Профилю» депутат рассказал, что обращался в Минцифры с такой инициативой и недавно получил ответ за подписью замглавы ведомства Олега Качанова. Единая система идентификации и аутентификации (ЕСИА), привязанная к «Госуслугам», соответствует «всем требованиям информационной безопасности <…> в части защиты персональных данных от неправомерного доступа к ним, а также неправомерных действий в их отношении», говорится в письме.

Одной из мер по усовершенствованию механизма двухфакторной идентификации входа на «Госуслуги» посредством СМС-сообщений в ведомстве назвали установление обязанности оператора связи не направлять СМС-сообщение, в котором могут быть пароли, на телефон до тех пор, пока по нему идет разговор. Эта мера закреплена в принятом законе и заработает с 1 июня. «Ситуацию она не спасет и от мошенника едва ли защитит, – считает Нилов. – Человеку сделают повторный звонок, и все равно пароль, пин-код попытаются получить». Впрочем, в правительстве обещают продолжить работу по защите «Госуслуг».

Совместно с депутатами, сенаторами, ЦБ и правоохранителями кабмин готовит еще один пакет инициатив, направленных на противодействие кибермошенникам. Говорят, что в первую очередь он будет касаться борьбы с дипфейками и дропперами.