Третий пакет антифрод-мер: новые требования к хранению данных и защите от мошенников

📋 Кратко

В июле 2026 года Минцифры разослало ведомствам проект третьего пакета антифрод-мер. Документ обязывает сайты и приложения три года хранить данные о регистрации и авторизации пользователей, ужесточает требования к виртуальным АТС, расширяет перечень сохраняемых операторами связи сведений и запрещает упоминание персональных данных в SMS-рассылках. Эксперты отмечают техническую сложность и неоднозначность ряда норм.

⏱ 7 минут чтения

В середине 2026 года российский рынок кибербезопасности и регулирования персональных данных получил очередной важный сигнал: Минцифры подготовило и направило профильным ведомствам проект третьего, самого масштабного на данный момент пакета мер по борьбе с телефонным и кибермошенничеством. Документ, направленный письмом от 1 июля 2026 года (с ним ознакомился Forbes), содержит ряд беспрецедентных предложений — от трёхлетнего хранения данных пользователей до запрета на персональные данные в SMS-рассылках.

В отличие от первых двух пакетов, принятых в марте 2025 года и июне 2026 года соответственно, третья волна антифрод-мер затрагивает не только операторов связи и банки, но и практически все интернет-сервисы — сайты, мобильные приложения, хостинг-провайдеров и облачные телефонные платформы. Разбираемся, что именно предлагает Минцифры, какие нормы вызывают споры и чего ждать бизнесу и пользователям.

⚠ Ключевые цифры документа: проект разослан 1 июля 2026 года, срок вступления в силу — 1 марта 2028 года, три года хранения данных, три ключевых направления регулирования (сайты/приложения, виртуальные АТС, SMS-рассылки), первый пакет принят в марте 2025 года, второй — в июне 2026 года.
Трёхлетний архив пользовательских данных в цифровом подземелье
Трёхлетний архив пользовательских данных в цифровом подземелье

Трёхлетнее хранение данных: что потребуют от сайтов и приложений

Пожалуй, самая громкая инициатива третьего пакета — поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ). Документ предлагает обязать владельцев сайтов и мобильных приложений хранить сведения о регистрации пользователей, их авторизациях и удалении аккаунтов в течение трёх лет.

Цифровая граница российского IP-пространства блокирует внешний доступ
Цифровая граница российского IP-пространства блокирует внешний доступ

Ключевой нюанс: данные необходимо сохранять даже после того, как пользователь удалил свой профиль. Информация о самом факте существования учётной записи и действиях с авторизацией остаётся в системах компании. По запросу силовых органов эти сведения должны предоставляться в установленном порядке.

Последствия для цифрового бизнеса

  • Дополнительные затраты на инфраструктуру — небольшие сервисы, которые ранее не вели детальные логи авторизации, будут вынуждены развернуть системы сбора, хранения и резервного копирования
  • Рост привлекательности для злоумышленников — чем дольше компания хранит данные, тем более ценной целью она становится для хакеров
  • Юридические риски — в случае утечки ответственность за многолетний архив ложится на владельца сервиса
  • Необходимость пересмотра политик обработки персональных данных и получения согласий от пользователей

Впрочем, в Минцифры уже дали понять, что это требование может не войти в финальную версию документа. «Говорить о том, какие из предложенных мер войдут в финальную версию, преждевременно. В частности, предстоит ещё этап общественного обсуждения, после которого также будут вноситься изменения», — заявили представители министерства, добавив, что норма о трёхлетнем хранении данных «вероятно, исключат».

Новые ограничения для виртуальных АТС: российские IP как фильтр

Второй крупный блок поправок касается виртуальных автоматических телефонных станций (виртуальных АТС) — облачных сервисов интернет-телефонии, которые массово используются бизнесом для организации колл-центров и распределённых команд. Именно виртуальные АТС, по данным правоохранительных органов, стали одним из главных инструментов мошеннических колл-центров.

Запрет персональных данных в SMS: расколотая приватность пользователя
Запрет персональных данных в SMS: расколотая приватность пользователя

Документ Минцифры предлагает следующие ограничения:

  • Виртуальные АТС смогут обслуживать только клиентов с российскими IP-адресами — это привязывает использование сервиса к нахождению клиента в российской IP-зоне
  • Хостинг-провайдеры смогут выделять мощности виртуальным АТС исключительно на российских IP — двойная привязка: и клиент, и серверная инфраструктура должны находиться внутри национального адресного пространства
  • Провайдеры обязаны передавать в специальный реестр сведения обо всех принадлежащих им IP-адресах — что позволит сопоставлять облачную телефонию с конкретной инфраструктурой
⚠ Мнение рынка: в Ассоциации больших данных (АБД) указывают, что хостинг-провайдеры не всегда знают, какой софт их клиенты запускают на арендованной инфраструктуре. В АБД предложили альтернативу — создать реестр доверенных виртуальных АТС, где владельцы сервисов самостоятельно вносят свои IP-адреса после авторизации через «Госуслуги».

Эксперты отмечают и побочные эффекты: технологии виртуальной телефонии активно используются легальным бизнесом, включая международные компании, которым необходимы номера разных стран. Кроме того, IP-геолокация не даёт стопроцентной точности — сотрудник в командировке, использующий корпоративный VPN, может быть ошибочно заблокирован как «иностранный клиент».

Запрет персональных данных в SMS-рассылках: благое намерение с неясными последствиями

Третья громкая инициатива — поправки в закон «О связи», вводящие запрет на указание в SMS-рассылках персональных данных получателя и его близких родственников. На первый взгляд мера выглядит разумной защитой от утечек, но на практике вызывает наибольшее количество вопросов.

Отслеживание дропперских SIM-карт по цифровому следу IP-адресов
Отслеживание дропперских SIM-карт по цифровому следу IP-адресов

Проблема в том, что определение персональных данных в российском законодательстве (ФЗ-152) крайне широкое. Под него могут попасть:

  • Баланс счёта абонента
  • Сумма банковской транзакции
  • Номер договора с оператором
  • Тарифный план
  • Наличие задолженности
  • Номер заказа в интернет-магазине
  • Адрес пункта выдачи

Неназванный источник Forbes в телекоммуникационной отрасли прямо назвал это требование «практически неисполнимым». По его словам, неясно, каким образом операторы связи должны проверять содержимое сообщений, не нарушая тайну связи, закреплённую в статье 63 Федерального закона «О связи». При этом банки, например, по действующему законодательству обязаны направлять клиентам сведения о совершённых операциях — что вступает в прямой конфликт с предложенным запретом.

Расширение перечня данных для операторов связи

Поправки в закон «О связи» также расширяют перечень сведений, которые операторы обязаны хранить в течение трёх лет и передавать силовым органам по запросу. В него включаются новые элементы:

ГИС Антифрод: государственная база данных мошенников в неоновом мегаполисе
ГИС Антифрод: государственная база данных мошенников в неоновом мегаполисе
  • IP-адреса и порты абонента, использованные при заключении договора об оказании услуг мобильной связи
  • Точное время оформления договора

Эта норма направлена в первую очередь против дистанционного оформления SIM-карт на подставные документы (дропперские схемы). Сетевые параметры позволят расследователям сопоставить заявку с конкретным устройством и подключением, связать SIM-карту с IP-адресом, с которого её оформили, и отследить массовые регистрации с одного адреса. Однако, по мнению экспертов, IP-адрес не всегда указывает на конкретного человека — один внешний адрес могут совместно использовать жильцы многоквартирного дома, сотрудники одного офиса или посетители кафе.

ГИС «Антифрод»: сбор данных мошенников, включая неправомерно полученные

Отдельная норма касается Государственной информационной системы (ГИС) «Антифрод». Создание этой системы предусматривал ещё первый пакет антифрод-мер («Антифрод 1.0»), к ней обязаны подключаться органы власти, банки, операторы связи и интернет-компании. Третий пакет предлагает загружать в ГИС «Антифрод» сведения о мошенниках — их телефонные номера и данные, используемые для доступа к интернет-ресурсам, — даже если эта информация была получена неправомерным путём.

Бизнес готовится к новым требованиям: киберщит и аудит до 2028
Бизнес готовится к новым требованиям: киберщит и аудит до 2028

Формулировка о «неправомерно полученных» сведениях, вероятно, нацелена на обход ограничивающих норм ФЗ-152 «О персональных данных», а также законодательства о банковской тайне и тайне связи. Проблема в том, что в текущем правовом поле злоумышленник может отозвать согласие на обработку информации о себе, после чего любые манипуляции с его данными со стороны коммерческих организаций становятся незаконными. Новая норма создаёт юридическое основание для включения таких сведений в общегосударственную базу, что особенно актуально для формирования базы дропперов, используемых для обналичивания похищенных средств.

Чего нет в текущей версии

Примечательно, что некоторые ранее обсуждавшиеся меры в текущую версию документа не вошли. В частности:

  • Обязательное подтверждение значимых действий в сети через SMS или мессенджер Max — эта норма не включена в опубликованную версию проекта

Ранее в СМИ также циркулировала информация о возможном введении обязательного подтверждения через Единую биометрическую систему (ЕБС) или привязки действий к «Госуслугам», но эти инициативы пока не получили нормативного закрепления в третьем пакете.

Методы защиты: как подготовиться бизнесу

Несмотря на то что пакет находится в стадии обсуждения, бизнесу стоит начать подготовку уже сейчас. Рекомендуемые шаги:

  • Аудит текущих процессов сбора и хранения данных: проверьте, какие логи авторизации вы ведёте, насколько они соответствуют требованиям ФЗ-152 и методическим рекомендациям Роскомнадзора
  • Оценка затрат на инфраструктуру: рассчитайте бюджет на дополнительное дисковое пространство, резервное копирование и системы защиты трёхлетнего архива
  • Пересмотр политик SMS-рассылок: если ваш бизнес использует SMS-уведомления, начинайте прорабатывать альтернативные форматы — push-уведомления, чат-боты в мессенджерах, email-рассылки
  • Анализ IP-инфраструктуры: для операторов виртуальных АТС — проверьте принадлежность ваших IP-адресов, готовность к передаче данных в реестр и соответствие требованиям «российского IP»
  • Разработка плана действий на 2027 год: учитывая, что вступление норм ожидается с 1 марта 2028 года, у бизнеса есть около полутора лет на подготовку

📚 Читайте также

📖 Термины

КИИ · Персональные данные · Приватность · Социальная инженерия · Фишинг

🔗 Источники