Дискуссия вокруг законопроекта «Антифрод 2.0» вышла за пределы темы кибербезопасности и стала вопросом экономики цифровых операций. Национальный совет финансового рынка предложил ЦБ и правительству изменить норму, по которой дистанционные «значимые действия» граждан должны подтверждаться одновременно через SMS и сообщения в национальном мессенджере MAX. Банки считают такую схему избыточной, дорогой и технически спорной, а эксперты по информбезопасности сомневаются, что она действительно снизит число мошеннических операций.
Для рынка это важнее, чем выглядит на первый взгляд. Если подтверждение удаленных операций станет обязательным сразу по двум каналам, банки получат рост транзакционных расходов, зависимость от ограниченного набора коммуникационных инструментов и новые операционные риски. Для экосистемы цифровых сервисов — от финансовых платформ до e-commerce и удаленной идентификации — это означает ужесточение требований к маршруту подтверждения действий клиента.
Кратко для практиков
- НСФР просит изменить норму законопроекта «Антифрод 2.0», которая предусматривает обязательное подтверждение дистанционных «значимых действий» граждан одновременно через SMS и сообщения в MAX.
- Банки считают такую модель юридически избыточной и экономически обременительной: по оценке НСФР, при массовых сценариях она может привести к многомиллиардным дополнительным расходам в год.
- В проекте не прописаны критерии, по которым действие признается «значимым», а значит, бизнес пока не понимает реальный масштаб будущих обязанностей.
- Финансовый рынок предупреждает о риске «единой точки отказа»: если юридически значимые действия будут завязаны на MAX, серьезный сбой или киберинцидент в одном канале может повлиять на широкий круг онлайн-операций.
- По словам участников рынка, в текущем порядке работы MAX односторонняя отправка сообщений от юрлица физлицу без предварительного запроса на диалог со стороны клиента технически невозможна.
- Эксперты по ИБ сомневаются, что двойное подтверждение заметно сократит число мошеннических операций: социальная инженерия по-прежнему остается главным инструментом злоумышленников.
- Для банков, финтеха и цифровых сервисов ключевой вопрос теперь звучит так: как усилить защиту операций без роста издержек, без технологической зависимости от одного канала и без ухудшения клиентского пути.
Что именно не устраивает банки в проекте «Антифрод 2.0»
Суть спора сводится к одному пункту: для всех совершаемых гражданами дистанционным способом «значимых действий» предлагается ввести обязательное подтверждение сразу по двум каналам — через SMS и MAX. Письмо с предложением скорректировать эту норму НСФР направил в ЦБ и правительство 23 марта.
Для финансового рынка проблема не только в самом требовании, но и в его конструкции. Во-первых, проект не раскрывает критерии, по которым действие будет считаться значимым. Это означает, что банки не могут точно оценить ни объем будущих обязательств, ни масштаб перестройки клиентских и технологических процессов. Во-вторых, обязательная двухканальная схема фактически превращает подтверждение одного действия в услугу двойной стоимости.
Глава НСФР Андрей Емелин прямо называет такую процедуру «юридически избыточной и необоснованно затратной». Для рынка это не риторика. В массовом банкинге стоимость подтверждения — не абстрактная статья расходов, а элемент unit-экономики миллионов операций: переводы, смена реквизитов, удаленные заявления, согласия, подтверждения. Чем шире будет трактовка «значимых действий», тем сильнее эффект на себестоимость обслуживания клиента.
Почему обязательные MAX и SMS — это не только про безопасность, но и про стоимость операции
В цифровых сервисах защита почти всегда конкурирует с издержками и скоростью процесса. Если операция должна подтверждаться дважды, бизнес оплачивает два канала доставки, меняет логику сценариев в приложениях и контактных центрах, а также принимает на себя риск большего числа прерванных действий из-за недоставленных или несвоевременно полученных кодов.
Именно поэтому НСФР предупреждает о многомиллиардных ежегодных дополнительных расходах при массовых пользовательских сценариях. Для банков это означает давление на рентабельность. Для клиентов — риск удорожания услуг. Для цифровой экономики в целом — рост скрытого «налога на подтверждение», который будет встроен в каждую чувствительную дистанционную операцию.
Здесь важно другое: спор идет не о желательности дополнительной защиты как таковой, а о том, должен ли закон жестко предписывать конкретные каналы связи. Рынок как раз настаивает, что такой подход закрывает более гибкие и в ряде случаев более защищенные варианты подтверждения.
Почему эксперты не ждут резкого снижения мошенничества
Аргумент о слабом антифрод-эффекте звучит в письме участников рынка и в комментариях профильных экспертов довольно последовательно. Глава правления ассоциации «Финансовые инновации» Роман Прохоров указывает, что основной инструмент мошенников — социальная инженерия, когда жертву ведут несколько дней и подводят к «осознанному» подтверждению действий. В такой модели увеличение числа каналов подтверждения почти ничего не меняет: если человек уже психологически вовлечен в сценарий атаки, он пройдет и вторую, и третью проверку.
Это ключевой вывод для банковской безопасности. Не каждое усложнение процедуры равно усилению защиты. Если уязвимость лежит в поведении клиента под давлением мошенника, то простое добавление еще одного уведомления не устраняет первопричину риска. Скорее наоборот: система становится сложнее и дороже, а выигрыш в безопасности оказывается ограниченным.
Для финтеха и e-commerce этот вывод универсален. В цифровом мошенничестве слабое звено часто находится не в канале передачи кода, а в сценарии убеждения пользователя. Значит, регулирование, сосредоточенное на канале подтверждения, рискует решать не ту часть проблемы, которая дает злоумышленникам основной результат.
Какие альтернативы считают более надежными
Дискуссия вокруг MAX одновременно показывает и более широкую развилку: какой именно способ подтверждения считать современным стандартом защиты. Председатель Координационного совета негосударственной сферы безопасности РФ Игорь Бедеров отмечает, что MAX, построенный по принципам сквозного шифрования и жесткой привязки к конкретному устройству, надежнее классического SMS, хотя уступает биометрии и аппаратным ключам.
Ведущий инженер CorpSoft24 Михаил Сергеев идет дальше и указывает, что push-уведомления в банковских приложениях и TOTP-коды, такие как «Яндекс ID» или Google Authenticator, безопаснее, чем MAX, поскольку не зависят от мобильной сети. Генеральный директор SafeTech Денис Калемберг также подчеркивает, что само по себе увеличение числа способов отправки кода не улучшает защиту клиента, если эти коды могут быть перехвачены на разных этапах жизненного цикла. По его оценке, предложенная схема еще и расходится с подходом ЦБ, который требует использовать криптографические средства для обеспечения безопасности трансакций.
Для рынка из этого следует очевидный вывод: проблема не в том, нужен ли дополнительный фактор вообще, а в том, почему закон заранее ограничивает выбор инструментов двумя каналами, один из которых многие эксперты считают устаревшим, а второй — пока неуниверсальным.
Где возникает риск единой точки отказа
Отдельная претензия банков касается архитектуры устойчивости. Если юридически значимые действия будут жестко завязаны на MAX и SMS, система подтверждения станет зависеть от ограниченного набора коммуникационных каналов. В письме НСФР это описано как риск возникновения уязвимости критического уровня — единой точки отказа.
Сценарий понятен: серьезный технический сбой, DDoS-атака или иная авария в национальном мессенджере может затормозить или остановить на неопределенное время широкий спектр юридически значимой онлайн-активности — от банковских операций до сделок. Это уже не частная проблема одного финсервиса, а вопрос устойчивости всей цифровой среды.
Для логики современных платформ это крайне чувствительная тема. Чем сильнее норматив закрепляет конкретный инфраструктурный канал, тем выше системный эффект любого сбоя в этом канале. Для банков это операционный риск. Для государства — риск архитектурной перегрузки одного сервиса. Для пользователей — вероятность того, что не получится завершить действие не потому, что оно опасно, а потому, что недоступен единственный допустимый маршрут подтверждения.
Почему текущая модель MAX вызывает технические вопросы
Участники финансового рынка обращают внимание еще на один практический аспект. По словам Андрея Емелина, при текущем порядке функционирования MAX юрлицо не может технически отправить физлицу одностороннее исходящее сообщение без предварительного запроса на диалог со стороны клиента.
Для массового банковского сервиса это не мелочь, а базовое ограничение. Банковские подтверждения работают эффективно тогда, когда инициатором может выступать сама организация: клиент совершает действие — система немедленно отправляет код или уведомление. Если же канал требует предварительного установления диалога пользователем, это ломает логику автоматизированных операций и создает дополнительное трение в клиентском пути.
На практике это означает, что даже если MAX будет признан политически или регуляторно приоритетным инструментом, его операционная пригодность для миллионов банковских сценариев зависит не только от статуса, но и от зрелости самого продукта. Иначе регулирование начнет требовать того, что рынок технически не может масштабировать без потери качества.
Что это меняет для банков, финтеха и цифровых сервисов
Для банков последствия очевидны. Во-первых, вырастает стоимость клиентской операции. Во-вторых, повышается зависимость от внешних каналов связи. В-третьих, усложняется комплаенс-модель: нужно не просто выполнить требование, но и доказать, что подтверждение по обоим каналам прошло корректно. Это уже влияет на архитектуру дистанционного обслуживания, хранение логов, разбор спорных операций и стоимость поддержки.
Для финтех-компаний ситуация еще чувствительнее. Их конкурентное преимущество часто строится на простоте и скорости пользовательского пути. Чем больше обязательных шагов в критическом сценарии, тем выше риск отказа клиента от операции. В таких сегментах, как инвестиционные сервисы, BNPL, цифровая идентификация, маркетплейс-платежи и страховые продукты, дополнительное подтверждение может напрямую ударить по конверсии.
Для e-commerce и платформенной экономики тема тоже не чужая. Если государство закрепляет жесткую модель подтверждения «значимых действий» в финансовом секторе, это создает прецедент для более широкой цифровой среды: удаленные согласия, изменение платежных реквизитов, возвраты, подтверждение условий сделки могут со временем попасть под ту же логику. Поэтому спор банков с регуляторами — это еще и спор о будущем стандарте цифровой аутентификации в России.
Почему вопрос тарифа становится не менее важным, чем вопрос безопасности
Финансовое сообщество предлагает не только расширить допустимые варианты подтверждения, но и нормативно закрепить безвозмездность доведения кодов значимых действий для SMS и MAX либо установить государственно регулируемый тариф на такие услуги.
Это предложение показывает, что проблема уже рассматривается рынком как инфраструктурная. Если подтверждение становится обязательным элементом доступа к юридически значимым действиям, его стоимость перестает быть частным коммерческим вопросом между сервисом и оператором связи. Тогда она превращается в часть обязательной цифровой инфраструктуры, а значит, требует особого режима тарификации.
Для экономики рынка это важный поворот. Регулятор может пытаться повысить защищенность операций, но если каждое такое усиление автоматически наращивает себестоимость дистанционного взаимодействия, рынок будет компенсировать издержки через цену продукта, сокращение функциональности или ухудшение клиентского пути.
FAQ: частые вопросы по теме
Что именно хотят изменить банки в законопроекте «Антифрод 2.0»?
Они предлагают отказаться от обязательного подтверждения дистанционных «значимых действий» сразу через два канала — SMS и MAX — и не ограничивать рынок только этими инструментами.
Почему финансовый рынок считает норму избыточной?
Потому что она увеличивает стоимость каждой чувствительной операции, при этом, по мнению участников рынка и экспертов, не дает сопоставимого прироста защиты от мошенничества.
Почему двухканальное подтверждение может не сработать против мошенников?
Потому что основным инструментом злоумышленников остается социальная инженерия. Если клиент уже вовлечен в сценарий обмана, он обычно подтверждает действия и повторно.
Чем MAX лучше или хуже SMS?
По оценке экспертов, MAX надежнее SMS за счет современных принципов шифрования и привязки к устройству, но уступает более сильным инструментам вроде биометрии, аппаратных ключей, push-уведомлений в банковских приложениях и TOTP-кодов.
В чем риск единой точки отказа?
Если критически важные операции будут зависеть от ограниченного набора каналов, серьезный сбой или киберинцидент в одном из них может затронуть большую часть юридически значимой онлайн-деятельности.
Почему тема важна не только для банков?
Потому что речь идет о модели подтверждения действий в цифровой среде в целом. Подход, который закрепят для финансовых операций, может повлиять и на другие удаленные сервисы, где важны аутентификация, юридическая значимость и защита клиента.
Вывод
Спор вокруг обязательного подтверждения операций через MAX и SMS — это не конфликт между консервативным банковским рынком и очередной технологической новацией. Это более фундаментальный вопрос: можно ли повышать защищенность цифровых действий за счет жестко заданных каналов связи, если такая модель одновременно увеличивает стоимость операций, создает зависимость от ограниченной инфраструктуры и не решает главный источник мошенничества — социальную инженерию.
Для банков и финтеха вывод практический. Победит не та система, где уведомлений больше, а та, где защита сильнее, клиентский путь короче, а технологическая архитектура устойчивее. Для регулятора вывод не менее важен: чем жестче норма навязывает конкретный инструмент, тем выше риск, что рынок получит не усиление доверия, а удорожание и усложнение всей цифровой транзакционной среды.
