Весна 2025 года оказалась богатой на события, направленные на повышение уровня кибербезопасности финансовой сферы и экономики страны в целом. В частности, 1 апреля 2025 года президент Владимир Путин подписал Закон № 41-ФЗ о противодействии телефонному и кибермошенничеству.

Весенние ласточки

Новый документ запрещает сотрудникам госорганов, банков и операторов связи общаться с клиентами через зарубежные мессенджеры, а также требует от МФО обязательной идентификации дистанционных клиентов через Единую биометрическую систему (ГИС ЕБС). Под ограничения попали и некредитные финансовые организации, крупные агрегаторы и веб-сайты с числом уникальных посетителей более 500 тыс. в день, а также сервисы объявлений с ежедневным охватом более 100 тыс. пользователей. Все они с 1 июня 2025 года не смогут использовать иностранные мессенджеры для общения с гражданами.

Чем же можно заменить иностранные мессенджеры? Например, коммуникационной платформой MAX от VK, в которой ВТБ уже успел запустить свой платежный сервис. Генеральный директор VK Владимир Кириенко на международной конференции Data Fusion озвучил этот кейс в присутствии главы Банка России Эльвиры Набиуллиной.

На этой же сцене председатель Союза китайских предпринимателей в России Чжоу Лицюнь предложил схожий метод борьбы с недружественными американскими социальными сетями и мессенджерами. Метод жесткий и одновременно справедливый: «Для борьбы и с фейками, и утечками ПДн, а теперь с последствиями торговой войны США с КНР предлагается отключение всех тех иностранных платформ, которые игнорируют китайское законодательство».

Реакция Роскомнадзора (РКН), которому новый закон буквально развязал руки по практическому применению уже принятых нормативных актов, не заставила себя долго ждать. Так, 15 апреля 2025 года на сайте РКН появилась новость о том, что суд впервые привлек к ответственности финансовую организацию за использование иностранного мессенджера для передачи персональных данных гражданина. Название банка РКН пока не разглашает.

Как известно, с марта 2023 года действует запрет на использования иностранных платформ при оказании финансовых и государственных услуг, а в июне этого года Госдума ввела штрафы до 700 тыс. рублей для финансовых организаций и госструктур за пересылку юридически значимых документов в иностранных мессенджерах.

И вот жительница Москвы с доказательствами обратилась в правоохранительные органы. В ходе разбирательства выяснилось, что сотрудник кредитной организации вопреки запрету отправил с корпоративного номера сообщение должнику через WhatsApp. Банк был признан виновным по статье 13.11.2 КоАП и оштрафован на 200 тыс. рублей за коммуникацию с должником через WhatsApp.

«Госуслуги» и антифрод на контроль

Этот прецедент не остался незамеченным ИБ-сообществом. В частности, в чате «ИБ в Финсекторе», модерируемом экспертами АРБ, помимо всего прочего горячо обсуждались реалии работы банковских клиентских менеджеров, у них на руках имеется немало всяких девайсов, как личных, так и корпоративных, которыми они пользуются и в рабочее, и в нерабочее время. Что же РКН имел в виду под корпоративным номером?

Очевидно, ждать действий финансового регулятора по наведению порядка в этой сфере долго не придется, иначе штрафы пойдут потоком, в том числе по нарушению норм весеннего федерального закона, который помимо всего прочего внес новеллы и в сферу антифрода.

В частности, звонки от организаций теперь будут обязательно маркироваться, и на экране телефона будет отображаться название компании, что поможет отличить официальные звонки от мошеннических или совершенных с личных телефонов в служебных целях.

Доставит неприятностей финансовым маркетологам и норма 41-ФЗ о том, что «граждане смогут через операторов установить самозапрет на международные звонки, а также на спам-обзвоны и СМС-рассылки». В этой сфере стоит ожидать повышенного креатива как подпольных, так и легальных колл-центров. Кроме того, заработает автоматическое удаление старого номера телефона из личного кабинета портала «Госуслуги» и банковских приложений при отказе от него.

К сказанному необходимо добавить, что банки обяжут проверять, не было ли признаков выдачи денег в банкомате без добровольного согласия клиента, и если они были — ограничивать выдачу наличных на 48 часов. Финансовые организации будут прекращать операции в банкоматах, если зафиксированы подозрительные действия.

Для контроля за соблюдением 41-ФЗ создается ГИС противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий.

Минцифры, в свою очередь, 3 апреля 2025 года сообщило о новом правиле для повышения безопасности портала «Госуслуги». Если действия пользователя на сайте имеют признаки мошеннической активности, доступ к связанным с финансами разделам личного кабинета, таким как информация о доходах, налогах, работе, пенсиях, льготах и выплатах, будет ограничен на 72 часа.

При подозрении на взлом аккаунта будет ограничена возможность войти с помощью портала «Госуслуги» на чувствительные ресурсы. Например, нельзя будет авторизоваться на сайтах микрофинансовых организаций или активировать мобильное приложение «Госключ».

При ограничении доступа пользователю достаточно будет подождать 72 часа для разблокировки. В случае необходимости быстрого доступа можно обратиться в центр обслуживания.

ЗОКИИ для всех

В ходе Форума Data Fusion в рамках дискуссии «Цифровая экосистема: разговор с Министром о приоритетах, будущем ИИ и импортозамещении», прошедшей 17 апреля 2025 года, глава Минцифры Максуд Шадаев заявил о новых приоритетах правительства, напрямую затрагивающих и финансовую сферу в части ИБ.

Первое направление связано с претворением в жизнь отдельных положений Указа Президента № 309 от 7 мая 2024 года «О национальных целях развития Российской Федерации…» в рамках реализации программы «Экономика данных».

«Теперь за каждое третье преступление в стране отвечает Минцифры», — посетовал Максуд Шадаев, имея в виду прежде всего ущерб, наносимый дропперами. Правительство и Минцифры готовят второй пакет по борьбе с кибермошенничеством, где будут прописаны как уголовная ответственность, так и регулирование оборота банковских платежных карт, в частности детских карт. Одно из предложений — ограничение количества карт, открытых на одного человека. Во многом Минцифры ориентируется на практику по обелению рынка SIM-карт. В осеннюю сессию работы Госдумы Минцифры планирует представить соответствующий законопроект.

Второе направление обозначено как исполнение № 58-ФЗ от 07.04.2025 «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». Этот закон предписывает правительству и Банку России «жестко определить типовые объекты критической информационной инфраструктуры и установить не менее жесткие сроки перехода на отечественные решения». Этот процесс будет распространяться не только на государственные компании и банки, четыре из которых уже выступили флагманами и заменили в своей инфраструктуре около 95% решений, включая электрические розетки. Субъектом значимых объектов критической информационной инфраструктуры (ЗОКИИ) может стать теперь любой банк.

С точки зрения руководства Минцифры, эти принудительные меры пойдут на пользу отечественным производителям, а с точки зрения банкиров — это серьезные затраты в жесткие сроки при дефиците квалифицированного персонала.

Помочь им в этом помогут опыт, накопленный в Индустриальном центре компетенций «Финансы», а также инициатива Банка России в области создания тестовых полигонов для облечения масштабирования на малые и средние банки того опыта импортозамещения, который накоплен их крупнейшими коллегами.