С 22 апреля 2026 года вступает в силу Положение о минимальных требованиях по обеспечению информационной и кибербезопасности, а также предупреждению случаев фрода при оказании дистанционных финансовых услуг физическим лицам кредитными и платежными организациями, операторами платежных систем, утвержденный постановлением Правления ЦБ (№3759)
Нововведений немало, но приведу тут основные (на мой взгляд) 6 пунктов.
1. Биометрия - это уже не опция, а обязанность.
Согласно новым требованиям, биометрия становится главным фактором для любого критического действия. Вы больше не сможете просто ввести код из SMS, чтобы привязать новую карту, сбросить пароль или войти в аккаунт с нового смартфона. Придется делать селфи каждый раз.
2. Жесткая привязка: Номер телефона + ПИНФЛ
Теперь приложение обязано проверять, действительно ли номер телефона принадлежит пользователю.
Регистрация или привязка карты будет отклонена, если:
- Номер телефона в базе оператора не зарегистрирован на ваш ПИНФЛ.
- Банковская карта, которую вы привязываете, подключена к SMS-информированию на другой номер или принадлежит другому человеку - проверка тоже через ПИНФЛ.
3. «Режим тишины» и защита от удаленного управления
Социальная инженерия («звонок от службы безопасности») - главная проблема последних лет. Новые правила внедряют функции самозащиты приложения:
Блокировка во время звонков: Приложение обязано ограничивать работу, если на смартфоне идет аудио- или видеозвонок (включая мессенджеры).
Детекция удаленного доступа: Система будет искать признаки программ а-ля AnyDesk или TeamViewer. При их обнаружении доступ к финансовым операциям должен быть немедленно блокирован.
4. Новое устройство - «чистый лист» и контроль сессий
Вход с нового смартфона теперь запускает режим очистки данных. Чтобы защитить ваши данные в случае кражи пароля, вводятся следующие меры:
Сброс карт: Все ранее привязанные карты автоматически отвязываются.
Очистка локальной истории: История операций удаляется именно на этом устройстве.
Техническое уведомление: Вам придет SMS с параметрами нового устройства (модель, IP, ОС).
Кроме того, в приложениях появится обязательный раздел «Активные сессии». Вы сможете увидеть все устройства, где выполнен вход, и принудительно завершить любую сессию одной кнопкой.
5. Онлайн-кредиты: 24-часовой барьер
Процедура получения микрозаймов становится многоступенчатой, чтобы исключить «кредиты под давлением»:
Проверка реестра: Банк обязан свериться с реестром лиц, установивших самозапрет на кредиты.
Защита от «кредитного стекинга»: Если вы подали заявки в несколько банков одновременно, кредитное бюро одобрит запрос только первого банка, заблокировав остальные на 24 часа. Это не даст мошенникам набрать 5 кредитов за час.
6. Правило 59 секунд и буквенно-цифровые коды
Технические лимиты становятся жестче, чтобы исключить подбор кода и так называемые «replay-атаки»:
Сложные OTP: Одноразовые коды теперь должны состоять минимум из 6 знаков и быть буквенно-цифровыми (лат. алфавит + цифры).
Срок жизни кода: Всего 59 секунд. Это критически важно для предотвращения перехвата кода.
Блокировка: 3 ошибки при вводе - и доступ закрыт минимум на 15 минут.
Автовыход: 3 минуты бездействия - и сессия прерывается автоматически.
Станет ли пользоваться платежными сервисами сложнее? Безусловно. Нам придется чаще делать селфи для биометрии, внимательнее вводить сложные коды и мириться с тем, что во время звонка в Telegram приложение не даст совершить перевод.
Станет ли это панацеей от мошенников? Поживем - увидим.
#безопасность #мошенничество
https://t.me/KurbanoffNet
