Третий пакет антифрод-мер: новые требования к хранению данных и защите от мошенников
📋 Кратко
В июле 2026 года Минцифры разослало ведомствам проект третьего пакета антифрод-мер. Документ обязывает сайты и приложения три года хранить данные о регистрации и авторизации пользователей, ужесточает требования к виртуальным АТС, расширяет перечень сохраняемых операторами связи сведений и запрещает упоминание персональных данных в SMS-рассылках. Эксперты отмечают техническую сложность и неоднозначность ряда норм.
⏱ 7 минут чтения
В середине 2026 года российский рынок кибербезопасности и регулирования персональных данных получил очередной важный сигнал: Минцифры подготовило и направило профильным ведомствам проект третьего, самого масштабного на данный момент пакета мер по борьбе с телефонным и кибермошенничеством. Документ, направленный письмом от 1 июля 2026 года (с ним ознакомился Forbes), содержит ряд беспрецедентных предложений — от трёхлетнего хранения данных пользователей до запрета на персональные данные в SMS-рассылках.
В отличие от первых двух пакетов, принятых в марте 2025 года и июне 2026 года соответственно, третья волна антифрод-мер затрагивает не только операторов связи и банки, но и практически все интернет-сервисы — сайты, мобильные приложения, хостинг-провайдеров и облачные телефонные платформы. Разбираемся, что именно предлагает Минцифры, какие нормы вызывают споры и чего ждать бизнесу и пользователям.
Трёхлетнее хранение данных: что потребуют от сайтов и приложений
Пожалуй, самая громкая инициатива третьего пакета — поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ). Документ предлагает обязать владельцев сайтов и мобильных приложений хранить сведения о регистрации пользователей, их авторизациях и удалении аккаунтов в течение трёх лет.
Ключевой нюанс: данные необходимо сохранять даже после того, как пользователь удалил свой профиль. Информация о самом факте существования учётной записи и действиях с авторизацией остаётся в системах компании. По запросу силовых органов эти сведения должны предоставляться в установленном порядке.
Последствия для цифрового бизнеса
- Дополнительные затраты на инфраструктуру — небольшие сервисы, которые ранее не вели детальные логи авторизации, будут вынуждены развернуть системы сбора, хранения и резервного копирования
- Рост привлекательности для злоумышленников — чем дольше компания хранит данные, тем более ценной целью она становится для хакеров
- Юридические риски — в случае утечки ответственность за многолетний архив ложится на владельца сервиса
- Необходимость пересмотра политик обработки персональных данных и получения согласий от пользователей
Впрочем, в Минцифры уже дали понять, что это требование может не войти в финальную версию документа. «Говорить о том, какие из предложенных мер войдут в финальную версию, преждевременно. В частности, предстоит ещё этап общественного обсуждения, после которого также будут вноситься изменения», — заявили представители министерства, добавив, что норма о трёхлетнем хранении данных «вероятно, исключат».
Новые ограничения для виртуальных АТС: российские IP как фильтр
Второй крупный блок поправок касается виртуальных автоматических телефонных станций (виртуальных АТС) — облачных сервисов интернет-телефонии, которые массово используются бизнесом для организации колл-центров и распределённых команд. Именно виртуальные АТС, по данным правоохранительных органов, стали одним из главных инструментов мошеннических колл-центров.
Документ Минцифры предлагает следующие ограничения:
- Виртуальные АТС смогут обслуживать только клиентов с российскими IP-адресами — это привязывает использование сервиса к нахождению клиента в российской IP-зоне
- Хостинг-провайдеры смогут выделять мощности виртуальным АТС исключительно на российских IP — двойная привязка: и клиент, и серверная инфраструктура должны находиться внутри национального адресного пространства
- Провайдеры обязаны передавать в специальный реестр сведения обо всех принадлежащих им IP-адресах — что позволит сопоставлять облачную телефонию с конкретной инфраструктурой
Эксперты отмечают и побочные эффекты: технологии виртуальной телефонии активно используются легальным бизнесом, включая международные компании, которым необходимы номера разных стран. Кроме того, IP-геолокация не даёт стопроцентной точности — сотрудник в командировке, использующий корпоративный VPN, может быть ошибочно заблокирован как «иностранный клиент».
Запрет персональных данных в SMS-рассылках: благое намерение с неясными последствиями
Третья громкая инициатива — поправки в закон «О связи», вводящие запрет на указание в SMS-рассылках персональных данных получателя и его близких родственников. На первый взгляд мера выглядит разумной защитой от утечек, но на практике вызывает наибольшее количество вопросов.
Проблема в том, что определение персональных данных в российском законодательстве (ФЗ-152) крайне широкое. Под него могут попасть:
- Баланс счёта абонента
- Сумма банковской транзакции
- Номер договора с оператором
- Тарифный план
- Наличие задолженности
- Номер заказа в интернет-магазине
- Адрес пункта выдачи
Неназванный источник Forbes в телекоммуникационной отрасли прямо назвал это требование «практически неисполнимым». По его словам, неясно, каким образом операторы связи должны проверять содержимое сообщений, не нарушая тайну связи, закреплённую в статье 63 Федерального закона «О связи». При этом банки, например, по действующему законодательству обязаны направлять клиентам сведения о совершённых операциях — что вступает в прямой конфликт с предложенным запретом.
Расширение перечня данных для операторов связи
Поправки в закон «О связи» также расширяют перечень сведений, которые операторы обязаны хранить в течение трёх лет и передавать силовым органам по запросу. В него включаются новые элементы:
- IP-адреса и порты абонента, использованные при заключении договора об оказании услуг мобильной связи
- Точное время оформления договора
Эта норма направлена в первую очередь против дистанционного оформления SIM-карт на подставные документы (дропперские схемы). Сетевые параметры позволят расследователям сопоставить заявку с конкретным устройством и подключением, связать SIM-карту с IP-адресом, с которого её оформили, и отследить массовые регистрации с одного адреса. Однако, по мнению экспертов, IP-адрес не всегда указывает на конкретного человека — один внешний адрес могут совместно использовать жильцы многоквартирного дома, сотрудники одного офиса или посетители кафе.
ГИС «Антифрод»: сбор данных мошенников, включая неправомерно полученные
Отдельная норма касается Государственной информационной системы (ГИС) «Антифрод». Создание этой системы предусматривал ещё первый пакет антифрод-мер («Антифрод 1.0»), к ней обязаны подключаться органы власти, банки, операторы связи и интернет-компании. Третий пакет предлагает загружать в ГИС «Антифрод» сведения о мошенниках — их телефонные номера и данные, используемые для доступа к интернет-ресурсам, — даже если эта информация была получена неправомерным путём.
Формулировка о «неправомерно полученных» сведениях, вероятно, нацелена на обход ограничивающих норм ФЗ-152 «О персональных данных», а также законодательства о банковской тайне и тайне связи. Проблема в том, что в текущем правовом поле злоумышленник может отозвать согласие на обработку информации о себе, после чего любые манипуляции с его данными со стороны коммерческих организаций становятся незаконными. Новая норма создаёт юридическое основание для включения таких сведений в общегосударственную базу, что особенно актуально для формирования базы дропперов, используемых для обналичивания похищенных средств.
Чего нет в текущей версии
Примечательно, что некоторые ранее обсуждавшиеся меры в текущую версию документа не вошли. В частности:
- Обязательное подтверждение значимых действий в сети через SMS или мессенджер Max — эта норма не включена в опубликованную версию проекта
Ранее в СМИ также циркулировала информация о возможном введении обязательного подтверждения через Единую биометрическую систему (ЕБС) или привязки действий к «Госуслугам», но эти инициативы пока не получили нормативного закрепления в третьем пакете.
Методы защиты: как подготовиться бизнесу
Несмотря на то что пакет находится в стадии обсуждения, бизнесу стоит начать подготовку уже сейчас. Рекомендуемые шаги:
- Аудит текущих процессов сбора и хранения данных: проверьте, какие логи авторизации вы ведёте, насколько они соответствуют требованиям ФЗ-152 и методическим рекомендациям Роскомнадзора
- Оценка затрат на инфраструктуру: рассчитайте бюджет на дополнительное дисковое пространство, резервное копирование и системы защиты трёхлетнего архива
- Пересмотр политик SMS-рассылок: если ваш бизнес использует SMS-уведомления, начинайте прорабатывать альтернативные форматы — push-уведомления, чат-боты в мессенджерах, email-рассылки
- Анализ IP-инфраструктуры: для операторов виртуальных АТС — проверьте принадлежность ваших IP-адресов, готовность к передаче данных в реестр и соответствие требованиям «российского IP»
- Разработка плана действий на 2027 год: учитывая, что вступление норм ожидается с 1 марта 2028 года, у бизнеса есть около полутора лет на подготовку
📚 Читайте также
- Указ Президента о КИИ: что изменилось для операторов в 2026 году
- Сертификация ФСТЭК UserGate SIEM: 4-й уровень доверия и требования к СИБ РФ
- NIS2 и ISO 27001:2025: практическое руководство по compliance в 2026
- Red Team vs Blue Team: организуем киберучения в корпорации
- ДНК-оригами: новый подход к криптографической защите данных
📖 Термины
КИИ · Персональные данные · Приватность · Социальная инженерия · Фишинг
🔗 Источники
- Все для борьбы с мошенниками. Сайты и приложения должны будут хранить информацию о пользователях
- Минцифры предлагает хранить данные пользователей 3 года и ограничить доступ виртуальных АТС
- СМИ: третий пакет антифрод-мер предусматривает хранение пользовательских данных три года
- Третий антифрод пакет Минцифры изменит данные и СМС