Банкиры попросили правительство России и Центробанк не обязывать клиентов банков подтверждать операции одновременно через СМС и национальный мессенджер MAX. Участники рынка назвали такую норму «юридически избыточной и необоснованно затратной», говорится в письме Национального совета финансового рынка (НСФР), которое цитирует «Коммерсант».
Банкиры просят внести изменения в проект закона против кибермошенничества (так называемый «Антифрод 2.0»), который Госдума готовится рассмотреть во втором чтении.
Согласно документу, для всех дистанционно совершаемых гражданами «значимых действий» будет требоваться обязательное подтверждение через СМС и сообщения в МАХ. Критерии, по которым действие может быть признано значимым, в законопроекте не перечисляются.
В НСФР предложили сохранить и другие способы подтверждения финансовых операций, обеспечивающие более высокий уровень защиты. Специалисты по кибербезопасности называют в числе таких способов push-уведомления, биометрию и TOTP-коды (например «Яндекс ID»).
Участники финансового рынка отметили, что любой серьезный сбой или DDoS-атака на MAX «может привести к остановке на неопределенное время всей юридически значимой онлайн-деятельности в стране, включая банковские операции и совершение сделок». Кроме того, юрлица пока не могут отправлять физическим лицам односторонние сообщения в нацмессенджере без предварительного запроса на диалог со стороны клиента.
Обязанность подтверждать операции и через СМС, и через МАХ повлечет дополнительные ежегодные многомиллиардные расходы, указал в письме глава НСФР Андрей Емелин. Фактически речь идет о том, что информационные сообщения по одному «значимому действию» будут направляться по двойной стоимости. Это может привести к «снижению рентабельности и росту цен для пользователей», предупредил Емелин.
Авторы письма предлагают использовать другие варианты, призванные снизить издержки банков для подтверждения операций. Банкиры также попросили закрепить в поправках, что операторы должны бесплатно оказывать услуги связи для рассылки кодов подтверждения через СМС и сообщения МАХ. Либо нужно установить регулируемый государством тариф на эти услуги, говорится в обращении к правительству и ЦБ.
Специалисты по кибербезопасности отмечают, что СМС в качестве способа подтверждения финансовых операций уже давно считаются уязвимым каналом. МАХ в этом смысле надежнее, но уступает биометрии и аппаратным ключам, заявил «Ъ» председатель Координационного совета негосударственной сферы безопасности РФ Игорь Бедеров.
По словам ведущего инженера CorpSoft24 Михаила Сергеева, push-уведомления в банковских приложениях и TOTP-коды намного безопаснее MAX, поскольку не зависят от мобильной сети. Кроме того, согласно действующим требованиям ЦБ для обеспечения безопасности трансакций нужно использовать криптографические средства, отметил гендиректор SafeTech Денис Калемберг.
Правительство внесло в Госдуму второй антифрод-пакет в декабре 2025 года. 10 февраля документ прошел первое чтение. Законопроект предлагает реализовать 19 мер, в том числе полностью запретить входящие звонки из-за границы, ввести единую базу IMEI-номеров мобильных устройств, используемых в России; ограничить число банковских карт, оформляемых на одного человека; ввести детские сим-карты.