Как операторы связи и банки будут возвращать россиянам украденные деньги: новые правила
Принятый парламентом второй пакет антимошеннических поправок предусматривает возможность компенсации средств граждан, украденных мошенниками. Компенсации будут выплачивать банки или сотовые операторы — в зависимости от выполнения возложенных на них условий. В том числе операторы связи должны будут выявлять и блокировать звонки с мошеннических номеров, а банки — выявлять факты заражения устройств клиентов.
Единая система учета платежных карт и ограничения на их количество
Совет Федерации одобрил второй пакет поправок, направленных на противодействие мошенничеству в сфере ИКТ. Документ был разработан правительством, весной 2026 г. он прошел I чтение в Госдуме, летом 2026 г. был принят во II и III чтениях. Первый пакет антимошеннических поправок был принят в 2025 г., они, в частности, предполагают создание Минцифры ГИС (государственная информационная система) «Антифрод», к которой должны подключаться органы власти, банки, операторы связи и интернет-компании.
Часть второго антимошеннического пакета предполагает, в том числе, новое регулирование деятельности кредитных организаций и платежных систем. С этой целью вносятся поправки в законы «О Центральном банке (ЦБ)», «О банках и банковской деятельности», «О национальной платежной системе» и «О создании ГИС «Антифрод»». В частности, предполагается создание Единой системы учета платежных карт (ЕСУПК), целью которой является учет платежных карт, используемых для осуществления денежных переводов. Оператором системы станет НСПК («Национальная система платежных карт»).
Второй пакет антимошеннических поправок предусматривает возможность компенсации
Центробанк установит порядок формирования и ведения ЕСУПК. Требования к обеспечению защиты информации в ЕСУПК установит Центробанк по согласованию с ФСБ (Федеральная служба безопасности) и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Пользователями ЕСУПК будут Центробанк и операторы по переводу денежных средств (в частности, банки).
ЕСУПК будет содержать информацию: о номерах и видах платежных карт, с использованием которых осуществляются переводы денежных средств и которые предоставлены клиентам — физическим лицам; о полученных операторами по переводу денежных средств ИНН (идентификационных номерах налогоплательщиков); о количестве предоставленных клиенту — физическому лицу платежных карт. Соответствующую информацию операторы по переводу денежных средств в порядке, установленном Центробанком, будут обязаны предоставлять в ЕСУПК.
Оператор ЕСУПК будет обязан: обеспечивать функционирование данной системы; обеспечивать защиту информации в системе; по согласованию с Центробанком определять форматы взаимодействия с операторами по переводу денежных средств; предоставлять необходимую информацию операторам по переводу денежных средств.
Порядок предоставления информации операторам по переводу денежных средств установит ЕСУПК. Также Центробанк будет вправе запрашивать у оператора ЕСУПК информацию в порядке, определенном соглашением между ними. Примечательно, что согласно версии законопроекта, принятой в I чтении, оператор ЕСУПК должен был предоставлять операторам по переводу денежных средств информацию без взимания платы. В окончательной версии закона данная норма отсутствует.
Согласно варианту законопроекта, принятому в I чтении, оператор по переводу денежных средств был вправе предоставить одному клиенту — физическому лицу не более 10 платежных карт, а все операторы по переводу денежных средств — не более 20 карт. В окончательной редакции закона осталось лишь ограничение на 20 платежных карт от всех вместе операторов по переводу денежных средств. При этом совет директоров Центробанка сможет установить случаи, когда клиент — физическое лицо сможет получить и более 20 платежных карт.
До предоставления клиенту — физическому лицу платежной карты оператор по переводу денежных средств должен будет запросить у оператора ЕСУПК информацию о количестве используемых данным клиентом платежных карт и в случае превышения указанного лимита — отказать в предоставлении платежной карты.
Согласно поправкам, внесенным в антимошеннический пакет законопроектов во II чтении, кредитные организации и филиалы иностранных банков, являющиеся операторами по переводу денежных средств, должны будут предоставлять в ЕСУПК информацию о номерах предоставленных клиентам — физическим лицам платежных карт, с использованием которых осуществляются переводы денежных средств, номера таких карт, использование которых прекращено, и информацию о видах таких платежных карт. Оператор ЕСУПК не будет вправе разглашать информацию, составляющую банковскую тайну, третьим лицам. За нарушение данного требования НСПК и его работники будут нести ответственность, предусмотренную законодательством, включая возмещение нанесенного ущерба.
Возможность граждан сообщать о киберпреступлениях
Согласно принятым во II чтении поправкам, пользователи ГИС «Антифрод» при взаимодействии с системой обязаны принимать меры, направленные на предотвращение и пресечение противоправных действий, совершаемых с использованием ИКТ, а также передавать в указанную систему сведения о выявленных признаках совершения противоправных действий. Перечень таких мер, состав таких сведений, сроки и порядок их предоставления установит правительство по согласованию с ФСБ.
Физическое лицо, полагающее, что в отношении него было совершено преступление с использованием ИКТ, вправе направить об этом информацию в ГИС «Антифрод» с использованием ЕПГУ (Единый портал государственных и муниципальных услуг). Порядок обращения установит правительство. Порядок использования полученной таким образом информации установит правительство по согласованию с ФСБ.
Обязанность банков предоставлять антивирусную защиту клиентам
Оператор по переводу денежных средств обязан обеспечить защиту своего ПО, используемого клиентами для перевода денежных средств, включая сайт и мобильное приложение, средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия требованиям законодательства России в области обеспечения защиты информации. Такие средства защиты информации должны выявлять случаи воздействия вредоносного ПО на ПО, используемое клиентом для осуществления денежных переводов, до момента списания денежных средств.
Оператор по переводу денежных средств обязан предоставить клиенту — физическому лицу возможность использования средств защиты информации от воздействия вредоносного ПО на пользовательское оборудование при наличии согласия клиента путем подключения указанным клиентам средств защиты информации. Соответствующее положение должно быть включено в договор между оператором по переводу денежных средств и клиентом.
В случае наличия информации о воздействии на ПО пользователя вредоносного ПО оператор по переводу денежных средств должен будет отказать в проведении операции с использованием платежных карт, по переводу электронных денежных средств или по переводу денежных средств с использованием СБП (Система быстрых платежей). При этом оператор по переводу денежных средств обязан незамедлительно уведомить об этом клиента и одновременно проинформировать о возможности осуществить перевод с использованием другого пользовательского оборудования или путем личного присутствия клиента.
Согласно принятым во II чтении поправкам, если клиент после получения предупреждения от оператора по переводу денежных средств подтверждает операцию, то оператор вправе в течение шести часов не осуществлять данную операцию или отказать в ее осуществлении и в течение шести часов не совершать последующие повторные операции. Но по истечении шести часов оператор по переводу денежных средств обязан незамедлительно принять к исполнению подтверждение распоряжения клиента в электронном виде или совершить последующую повторную операцию.
База данных мошеннических операций
Операторы по переводу денежных средств должны будут предоставить в ГИС «Антифрод» информацию об абонентских номерах, используемых их клиентами для осуществления переводов денежных средств. Состав и порядок предоставления такой информации установит Центробанк по согласованию с Минцифры. Также, в целях формирования базы данных о случаях и попытках осуществления перевода денежных средств без добровольного согласия клиента, операторы по переводу денежных средств обязаны направить в Центробанк, в рамках реализуемой ими системы управления рисками, сведения о клиентах и их электронных средствах платежа. Порядок предоставления информации установит Центробанк. Также на сайте Центробанка будет размещена форма для предоставления данной информации.
Центробанк должен будет предоставлять в ГИС «Антифрод» информацию об абонентских номерах, в том числе и о номерах, используемых в качестве идентификаторов получателя денежных средств по переводу без добровольного согласия клиента. Также должна быть предоставлена информация о специальных кодах документов, удостоверяющих личность, ИНН индивидуальных предпринимателей, которая содержится в базе данных о случаях и о попытках осуществления перевода денежных средств без добровольного согласия клиента.
Ранее, в рамках первого антимошеннического пакета, Центробанку поручили создать базу данных о попытках осуществления денежных переводов без добровольного согласия клиентов. Сейчас в закон добавляется норма, согласно которой оператор цифрового рубля (им является Центробанк) при наличии сведений из данной базы вправе отказать в совершении операции с цифровым рублем.
Согласно принятым во II чтении поправкам, информация о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента, за исключением информации об абонентских номерах, исключается из соответствующей базы данных по истечении одного года в случае, если она была включена в базу данных впервые. Если же информация была включена повторно, то она подлежит удалению по прошествии трех лет.
Информация об абонентских номерах, используемых для осуществления денежных переводов без согласия клиента, исключается из базы данных по истечении 180 дней. В случае, если включение информации в базу данных произошло после получения информации из МВД (Министерство внутренних дел), а затем данное ведомство сообщило о прекращении уголовного преследования соответствующего лица, то информация о таких случаях будет исключена из базы данных до истечения указанных выше сроков.
Выявление телефонных номеров, используемых для мошенничества
Версия законопроекта, принятая в I чтении, предполагала создание единого реестра абонентских номеров, в отношении которых имеются признаки их использования в противоправной деятельности. В окончательной редакции закона данную норму изложили по-другому.
Операторы связи будут обязаны выявлять абонентские номера, используемые в целях совершения телефонных вызовов и направления SMS, которые имеют признаки совершения противоправных действий, и абонентские номера, на которые поступают телефонные вызовы и SMS, также имеющие признаки мошенничества. В обоих случаях соответствующие критерии установит правительство по согласованию с ФСБ и Центробанком. Информацию о таких случаях нужно будет направлять в ГИС «Антифрод».
Также операторы связи в случае выявления посредством ГИС «Антифрод» фактов использования абонентского номера для осуществления телефонных звонков и SMS с признаками мошенничества должны приостанавливать оказание услуг связи и услуг пропуска трафика по такому номеру. Ограничения также коснутся всех абонентских номеров, выделенных данным оператором связи по соответствующему договору или предоставленных в пользование абонентами данного оператора из числа юридических лиц или индивидуальных предпринимателей физическому лицу, использующему данный телефонный номер.
В состав критериев по выявлению абонентских номеров, используемых для противоправных действий, должны быть включены критерии, при выявлении которых оператор связи будет обязан приостановить оказание услуг по пропуску трафика в свою сеть в момент осуществления телефонного вызова с абонентского номера, соответствующего указанным критериям, и приостановить оказание услуг связи в отношении такого номера при телефонном вызове, совершаемом внутри одной сети связи, в момент установления такого вызова. В случае невыполнения оператором связи таких требований он должен будет возместить абоненту, ставшему жертвой мошенничества, потерянные им средства.
Информация о приостановлении оказания услуг связи должна быть направлена в ГИС «Антифрод». Срок приостановления оказания услуг установит правительство по согласованию с ФСБ. Также операторы связи должны будут направлять в ГИС «Антифрод» информацию, установленную правительством.
Когда банки должны будут возвращать клиентам украденные средства
Оператор по переводу денежных средств при проверке операции на предмет наличия признаков ее осуществления без добровольного согласия клиента обязан использовать сведения из ГИС «Антифрод» об абонентских телефонных номерах, используемых для мошенничества или являющихся объектами мошенничества, а также информацию о выявленных случаях воздействия на ПО клиента вредоносного ПО либо иной компьютерной информации, которые предназначены для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты.
В случае если оператор по переводу денежных средств после получения из ГИС «Антифрод» информации о том, что на абонентский номер клиента направляются мошеннические звонки, все равно исполняет распоряжение клиента об осуществлении денежной операции, которая соответствует признакам осуществления денежных операций без добровольного согласия клиента, то в таком случае оператор по переводу денежных средств обязан будет возместить клиенту — физическому лицу сумму денежного перевода/операции.
Аналогичным образом оператор по переводу денежных средств обязан будет возместить клиенту — физическому лицу сумму денежной операции в случае невыполнения обязательств по проверке пользовательского ПО на предмет заражения вредоносным ПО. В обоих случаях возмещение денежных средств должно будет осуществляться в течение 30 дней с момента обращения клиента, но при наличии у клиента постановления о возбуждении уголовного дела по факту хищения денежных средств.
Согласно принятым во II чтении поправкам, в случае если клиент — физическое лицо осуществил операцию по переводу денежных средств без добровольного согласия в результате поступления на свой номер телефонного вызова или SMS, то он обязан не позднее чем через 10 рабочих дней подать оператору по переводу денежных средств заявление о возмещении суммы перевода. Если оператор по переводу денежных средств выполнил возложенные на него обязательства по проверке операций на предмет их осуществления без добровольного согласия, а в ГИС «Антифрод» отсутствовали сведения о поступлении на номер клиента мошеннических вызовов или приостановлении оказания услуг по пропуску трафика на номера, используемые для мошенничества, данный оператор передает обращение оператору сотовой связи и информирует об этом клиента.
Порядок взаимодействия операторов связи и операторов по переводу денежных средств установит правительство по согласованию с Центробанком. Указанный порядок должен будет содержать сведения о порядке взаимодействия между оператором связи и оператором по переводу денежных средств, перечень сведений, предоставленных при обращении клиента, а также порядок и сроки возмещения денежных средств. При отсутствии указанных выше обстоятельств оператор по переводу денежных средств обязан возместить клиенту денежные средства в указанном выше порядке. При этом несоблюдение клиентом десятидневного срока для направления обращения о возврате денежных средств не будет основанием для отказа оператора по переводу денежных средств. Взаимодействие оператора по переводу денежных средств с клиентом осуществляется в рамках порядка, предусмотренного Законом «О банках и банковской деятельности».
В каких случаях оператор связи должен будет вернуть указанные средства клиентам
Оператор связи будет обязан возместить своему абоненту сумму денежных средств, перевод которых был осуществлен без добровольного согласия или с согласия, полученного путем злоупотребления доверием или под влиянием обмана, в случае соблюдения ряда условий. Во-первых, абонент в договоре по переводу денежных средств должен указать номер телефона, выделенный ему данным оператором связи. Во-вторых, перевод денежных средств должен быть получен в результате получения абонентом телефонного вызова или SMS с номеров, используемых для мошенничества.
В-третьих, необходимо, чтобы оператор связи не выполнил одно или несколько из следующих условий: направление информации об абонентских номерах, на которые поступают мошеннические вызовы и сообщения, в ГИС «Антифрод»; приостановление оказания услуг связи и пропуска трафика в отношении номера, используемого для мошеннических вызовов и сообщений; приостановление оказания услуг по пропуску трафика в свою сеть в момент установления телефонного вызова, если такой вызов осуществлен с номера, используемого для мошенничества; приостановление оказания услуг связи по абонентскому номеру, используемому для мошенничества, в момент осуществления такого вызова на абонентский номер лица, ставшего жертвой мошенничества, совершаемого внутри одной сети связи.
Кроме того, необходимо выполнение еще ряда условий: оператор по переводу денежных средств должен выполнить предъявленные к нему требования по проверке осуществления денежных операций на предмет отсутствия добровольного согласия; в базе данных о случаях и попытках осуществления денежных переводов без добровольного согласия на момент осуществления денежного перевода отсутствовала информация о случаях и о попытках осуществления данного перевода без добровольного согласия клиента; клиент в течение 10 рабочих дней с момента осуществления им операции по переводу денежных средств без добровольного согласия направил соответствующее обращение оператору по переводу денежных средств; наличие у клиента постановления из МВД о возбуждении уголовного дела по соответствующим фактам.
В случае если оператор связи или оператор по переводу денежных средств не осуществили возврат денежных средств, физическое лицо вправе требовать его возмещения в судебном порядке.
Новые полномочия Центробанка
Центробанк сможет запрашивать у кредитных организаций информацию о соблюдении ими требований по защите информации, по операционной надежности и по осуществлению идентификации с использованием биометрических средств, а также по осуществлению мероприятий по противодействию снятию и внесению денежных средств и предоставлению кредитов без добровольного согласия клиента и по противодействию осуществлению перевода денежных средств без согласия клиента или с согласия клиента, полученного под влиянием обмана.
Центробанк должен будет установить виды электронных средств платежа, условия их предоставления и распространения, порядок и условия совершения операций с использованием электронных средств платежа, перечень операций с их использованием, виды документов по операциям, осуществляемым с использованием электронных средств платежа, и требования к ним, а также требования к внутрибанковским правилам по вопросам использования электронных средств платежа клиентами.
Правительство должно будет согласовывать с ФСБ и ФСТЭК требования по защите информации операторами по переводу денежных средств, банковскими платежными агентами, операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ и оператором цифрового рубля. Сейчас указанные требования согласуются только с Центробанком.
Идеи, от которых отказались
По сравнению с вариантом законопроекта, принятым в I чтении, из окончательной редакции закона была исключена норма о том, что физические лица для проведения упрощенной идентификации должны, помимо документов, удостоверяющих личность, предъявлять свои паспорта. Предполагалось, что предъявление ИНН будет необходимо для осуществления операций с денежными средствами или иным имуществом, а также для открытия банковского счета.
Также норма о том, что в случае утери гражданином доступа к ЕСИА (Единая система идентификации и аутентификации), восстановление доступа будет возможно через ЕБС (Единая биометрическая система), с помощью сайта банка или мобильного приложения, с использованием УКЭП (усиленная квалифицированная электронная подпись), с использованием мессенджера Max или путем личной явки в МФЦ (многофункциональный центр оказания государственных и муниципальных услуг) или организации, выдавшей «Госключ».
