Законодательство
18 июня 2026, 15:53

Лимит на выдачу карт и компенсации жертвам мошенников: что нужно знать о новых антифрод-мерах

В России приняли второй пакет мер по борьбе с мошенниками, который вводит новые требования к банкам и операторам связи. Ключевая новелла — обязанность бизнеса возмещать жертвам мошенников всю украденную сумму, если хищение произошло по вине компании. Юристы говорят, что участникам рынка придется дорабатывать свою IT-инфраструктуру, чтобы усилить меры безопасности и добиться соответствия новым требованиям. Это означает рост финансовых издержек и в конечном счете — удорожание услуг.

Совфед одобрил законопроект о новых мерах борьбы с мошенниками. Закон вступает в силу с момента опубликования, но некоторые его положения заработают позже. Второй пакет антифрод-мер предусматривает компенсации жертвам мошенников, ограничения на выдачу банковских карт, самозапрет на международные звонки, внесудебную блокировку сайтов и другие инициативы. Основные из них — ниже.

Изменения в банковской сфере

Лимит на выдачу карт

Мера направлена на борьбу с дроперами, и по новым правилам человек сможет оформить не более 20 платежных карт во всех банках в совокупности. Теперь перед оформлением новой карты банки будут проверять соблюдение лимита через специальный реестр. Речь идет о новой системе учета платежных карт, за которую будет отвечать оператор Национальной платежной системы. С 1 сентября банки начнут вносить в этот реестр информацию о выданных картах и ИНН ее держателей. В некоторых случаях ЦБ сможет повысить установленный лимит.

Власти также планировали ввести лимит на выдачу карт в одном банке (не более пяти), но от этой идеи отказались. Кроме того, к третьему чтению из документа исключили норму об обязательном указании ИНН при выдаче карт, но ЦБ включил эту норму в другой законопроект.

Хранение данных о подозрительных клиентах

Закон устанавливает срок хранения сведений о человеке в базе данных ЦБ о мошеннических операциях. После попадания в нее банк ограничивает дистанционное обслуживание клиента. Так, при первом включении в черный список сведения будут хранить в течение года, а при повторном включении — три года. Регулятор может досрочно исключить сведения из базы, если получит от правоохранительных органов информацию о прекращении уголовного дела о мошенничестве.

Приостановка денежных переводов

Банки смогут задержать денежный перевод на срок до шести часов, если операцию до этого уже приостановили как подозрительную и клиент снова ее инициировал. В этом случае финансовая организация должна незамедлительно уведомить человека о причинах повторной приостановки. Мера дополняет полномочия банков, которые уже вправе приостанавливать подозрительные переводы на два дня.

Проверка гаджетов на вирусы

До сентября 2027 года банки должны запросить у клиентов разрешение или получить отказ на подключение средств защиты к их телефонам и компьютерам. Если клиент согласится, то банк сможет проверять его устройство на вредоносные программы и при их обнаружении отказывать в совершении денежной операции. Финорганизация уведомит об отказе клиента и предложит провести ее с другого безопасного устройства или в офисе банка.

Изменения в использовании мобильной связи и сим-карт

База IMEI всех ввезенных устройств

В России появится база идентификационных номеров мобильных устройств (IMEI). Данные в нее будут вносить госорганы и сотовые операторы, а порядок установит правительство. В Госдуме сообщили, что граждан обяжут сообщать IMEI своего мобильного телефона оператору, чтобы тот внес номер в договор об оказании услуг связи. Без этого в услугах откажут. По словам первого зампреда комитета Госдумы по защите конкуренции Игоря Игошина, нелегально ввезенный или «ворованный аппарат» будет попадать в черный список и такие устройства перестанут работать в российских сетях.

Борьба с одноразовыми сим-картами

Абоненты смогут расторгнуть договор с оператором связи только спустя 90 дней с момента оформления сим-карты. Мера должна помочь в борьбе с мошенническими схемами, в которых используют одноразовые номера. Если человек захочет расторгнуть договор раньше установленного срока, то оператор прекратит услуги и перестанет списывать за них плату, но номер все равно не получится переоформить на другого абонента.

В первой версии законопроекта говорилось, что оператор вправе выделить абоненту в совокупности не более десяти номеров, но затем эту норму из документа убрали. Закон «О связи» уже ограничивает количество сим-карт на человека: гражданин РФ может оформить не более 20 номеров, а иностранец — не более 10.

Маркировка звонков и запрет на массовые обзвоны

У операторов появится еще одна обязанность — маркировать международные вызовы. Человек при этом сможет установить запрет за такие звонки, но снять его получится только при личном визите в МФЦ. Изначально правительство хотело ввести автоматический запрет на звонки из-за рубежа, но в финальную версию включили именно вариант с самозапретом.

Помимо этого, закон разрешает массовые обзвоны клиентов только в определенных случаях: если это звонки от госорганов или банков (но не рекламного характера) или звонки, которые необходимо совершать по закону. Дополнительно Минцифры сможет установить предельную стоимость законных массовых обзвонов.

Другие меры

Компенсации жертвам мошенников

К третьему чтению законопроект дополнили мерой о материальной ответственности бизнеса за невыполнение обязанностей по предотвращению мошенничества. Если банк не отреагировал на данные о вредоносном ПО на устройстве клиента или если оператор связи не внес в ГИС «Антифрод» подозрительный номер телефона, с которого совершили мошенничество, то компания должна будет возместить жертве украденную сумму в полном объеме.

Клиент банка в течение десяти дней после совершения мошеннической операции может потребовать компенсацию. Финорганизация обязана вернуть деньги не позднее чем через 30 дней после обращения, если у клиента будет на руках постановление о возбуждении уголовного дела. Если компания не возместит ущерб добровольно, жертва вправе требовать такое возмещение через суд. Для операторов механизм возмещения установят отдельным постановлением правительства.

Норма заработает с марта 2027 года.

Сертификаты безопасности

Национальный удостоверяющий центр будет выдавать сертификаты безопасности сайтам, приложениям, разработчикам российского ПО и участникам корпоративных информационных систем. Эти сертификаты подтверждают присвоение им ключа аутентификации и подлинность программного обеспечения. В закон об «Электронной подписи» также внесут понятия «ключ идентификации» и «ключ аутентификации», а правительство будет вправе установить случаи обязательного использования сертификата безопасности (в частности, в банковской сфере по согласованию с ЦБ). Поправки вступают в силу с 1 января 2028 года.

Внесудебная блокировка сайтов

Роскомнадзору разрешили без суда блокировать ресурсы с предложением установить вредоносное ПО или приобрести такой софт. В Минцифры пояснили, что запрет распространяется и на предложения о продаже радиоэлектронных средств, для которых не выделены радиочастоты в соответствии с российским законодательством. Помимо этого, закон запрещает хостинг-провайдерам предоставлять ресурсы для размещения VPN-сервисов.

«Красная кнопка» на «Госуслугах»

На «Госуслугах» появится сервис «тревожной кнопки». Если человек заподозрил, что стал жертвой мошенников, он сможет сообщить об этом на портале и оперативно приостановить незаконную денежную операцию. Сигнал об этом сразу поступит операторам, банкам и другим платформам, которые подключены к ГИС «Антифрод».

Подтверждение действий через Max

Из финальной версии законопроекта разработчики убрали положение об обязательном подтверждении значимых действий в интернете через мессенджер Max, а также требование регистрироваться на значимых ресурсах исключительно через российские почтовые сервисы.

Что ждет бизнес: рост издержек и перестройка IT-инфраструктуры

По словам партнера Orchards Алексея Станкевича, необходимость скорректировать регулирование назрела на фоне распространения мошенничества. При этом большая часть положений закона вступит в силу в марте 2027 года. И к этому времени банкам и операторам придется выполнить целый комплекс антифрод-мер, чтобы минимизировать риски наступления ответственности, говорит старший юрист коммерческой практики ALUMNI PartnersИнна Неминущая. Участникам рынка нужно привести в соответствие новым требованиям технологии мониторинга и защиты данных, а также подготовиться к передаче сведений о противоправных операциях в ГИС «Антифрод». В итоге, чтобы соответствовать такому объему требований, профильным компаниям придется выстраивать комплаенс-систему в сфере противодействия мошенничеству с новыми процедурами, ответственными подразделениями и доработкой IT-инфраструктуры, отмечает партнер, руководитель межотраслевой группы Пепеляев Наталья Коваленко. Несмотря на поэтапное вступление в силу поправок, готовиться бизнесу нужно уже сейчас, считает эксперт.

Все большее вовлечение бизнеса в защиту населения от мошенников означает рост финансовых и операционных издержек, которые в конечном счете отразятся на стоимости услуг для потребителей.

Наталья Коваленко, руководитель межотраслевой группы Пепеляев

По мнению юриста практики разрешения споров «Меллинг, Войтишкин и Партнеры»Светланы Желудковой, расширение полномочий Роскомнадзора по внесудебным блокировкам создает новую операционную неопределенность для бизнеса и вынуждает компании не ограничиваться техническими доработками, а полностью пересмотреть свои бизнес-процессы, бюджеты на кибербезопасность и юридическую поддержку. Кроме этого, на бизнес повлияют новые полномочия Национального удостоверяющего центра и внедрение новых понятий в закон «Об электронной подписи», считает Станкевич, а часть принятых мер, включая жесткие антифрод‑процедуры банков и усиленную аутентификацию, могут сделать операции менее удобными для пользователей.

Крупным сервисам, банковским и корпоративным IT‑системам придется адаптировать архитектуру аутентификации под требования удостоверяющего центра. Браузеры и приложения будут обязаны поддерживать сертификаты безопасности, иначе существует риск ограничения работы и проблем с доступом для пользователей.

Алексей Станкевич, партнер Orchards

Кроме этого, важно учитывать, что некоторые ключевые процедуры правительство еще не утвердило, например порядок взаимодействия между банком и оператором при возмещении ущерба, состав и сроки передачи сведений в систему о выявленных признаках противоправных операций. Кабмин определит их после согласования с профильными ведомствами. Поэтому для бизнеса будет отдельной задачей отследить принятие всех подзаконных актов и обеспечить их исполнение, отмечает Неминущая.

Поправки формируют новую реальность, в которой бизнесу предстоит искать баланс между усилением мер безопасности и сохранением удобства клиентских сервисов, между новыми издержками и потенциальным ростом доверия со стороны потребителей.

Светлана Желудкова, юрист практики разрешения споров «Меллинг, Войтишкин и Партнеры»