Закон о защите граждан от кибермошенничества может создать новые риски и трудности для некоторых видов бизнеса — маркетплейсов и операторов связи. Гарантий полной безопасности при этом он дать не сможет.
Госдума приняла сразу во втором и третьем чтениях закон, который должен защитить граждан от телефонных и кибермошенников. Согласно документу, банки будут обязаны хранить доверенности на получение наличных в течение 5 лет. Запрещается использовать зарубежные мессенджеры сотрудникам государственных органов, банков, а также операторам связи. Кроме того, для звонков вводится обязательная маркировка.
Предусматривается создание государственных информационных систем "антифишинг" и "антифрод", которые должны обеспечить оперативный обмен данными между госорганами, банками и цифровыми платформами. Граждане же теперь могут оформлять самозапрет на заключение договоров об оказании услуг связи, а микрокредиты будут выдавать только по биометрии.
Отстояли своё
На этапе рассмотрения в первом чтении законопроект вызвал немалую тревогу у представителей отрасли электронной торговли. Больше всего возражений в первоначальной версии документа было связано с обязанностью использовать Единую биометрическую систему (ЕБС) для идентификации клиентов. Кроме того, что использование системы сопряжено с высокими затратами (стоимость одного запроса — от 8 до 20 рублей), для торговли это требование выглядело очевидно избыточным. Ведь при продаже большинства товаров не требуется идентификация покупателя. Применение ЕБС (или ЕСИА) участники рынка считали оправданным лишь в случаях дистанционной продажи товаров, для приобретения которых требуется подтверждение возраста покупателя (алкоголь, табачные изделия, электронные устройства для доставки никотина).
Как пояснил "ДП" президент Ассоциации компаний интернет–торговли (АКИТ) Артём Соколов, в новой редакции эта опция полностью добровольная: если клиент изъявит желание пройти идентификацию с помощью государственных систем, площадка может обеспечить ему такую возможность. Тем не менее на определённые затраты бизнесу в связи с этим всё же придётся пойти.
“
"Критично сказаться на отрасли интернет–торговли мог и полный запрет на использование для коммуникации мессенджеров и соцсетей. По запросам потребителей для их удобства и оптимизации общения туда интегрированы многие процессы, в том числе оформление заказов, клиентские обращения, техподдержка. В итоговом документе подход скорректирован: коммуникация может реализовываться, например, через Telegram, если пользователь сам выбрал для себя этот канал коммуникации", — добавил он.
Системный подход
Эксперты в сфере кибербезопасности считают защиту от мошенничества весьма актуальным направлением, поскольку угрозам подвержены как рядовые пользователи, так и бизнес. По данным приложения Kaspersky Who Calls, в 2024 году в Петербурге в среднем 65% пользователей получали вызовы с неизвестных номеров с подозрением на мошенничество. При этом спам–звонки получало подавляющее большинство пользователей в городе — 96%.
"Внедрение маркировки звонков, ограничение использования зарубежных мессенджеров для критически важных сфер и другие регуляторные меры — важный шаг в борьбе с телефонным мошенничеством. Это будет сдерживать рост количества атак и тем самым поможет вывести ситуацию на плато", — считает главный эксперт "Лаборатории Касперского" Сергей Голованов.
Как отмечают юристы, в правовой системе существует основа, позволяющая квалифицировать действия мошенников и пресекать распространённые схемы обмана. Например, ст. 159.6 УК РФ предусматривает ответственность за мошенничество в сфере компьютерной информации, а ст. 272–273 УК РФ — за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных компьютерных программ.
Тем не менее количество инцидентов растёт, что говорит о необходимости более жёстких и технологичных мер. Практика показывает, что имеющихся правовых норм недостаточно. Преступники быстро адаптируются к изменениям законодательства, используют анонимные цифровые инструменты, технологии IP–телефонии, социальную инженерию и фишинг, часто действуя из–за рубежа. Кроме того, уровень цифровой грамотности граждан остаётся невысоким, что делает их уязвимыми.
Адвокат, управляющий партнёр Бюро юридических стратегий Legal to Business Светлана Гузь называет новый закон попыткой создать целостную, системную архитектуру правового регулирования в этой сфере.
Придётся приспособиться
Некоторые риски и неудобства для бизнеса новый закон всё же создаёт. Например, невозможность совершать "холодные обзвоны" осложнит взаимодействие с клиентами для некоторых компаний, которые привлекают клиентов через коммуникацию по телефону.
“
"Компании, активно использующие мессенджеры для обслуживания клиентов или внутренних коммуникаций, особенно в таких отраслях, как доставка, логистика, ретейл, банковский сектор, будут вынуждены адаптировать свои IT–инфраструктуры под новые требования. При этом отечественные решения не всегда могут предложить тот же уровень функциональности, стабильности работы сервисов или пользовательского опыта, что и зарубежные аналоги", — отмечает Светлана Гузь.
Маркировка телефонных звонков и более жёсткие правила выдачи сим–карт повлекут за собой необходимость изменения бизнес–процессов и дополнительной настройки технических систем. Особенно это актуально для кол–центров, сервисных служб, телемаркетинга, а также операторов связи.
Неопределённость вызывает и внедрение обязательной биометрии при выдаче микрокредитов. С одной стороны, это действительно шаг к защите граждан от мошеннического оформления займов. С другой — не все микрофинансовые организации имеют необходимую инфраструктуру для работы с ЕБС и не все граждане сдали биометрические данные.
Эксперты констатируют, что добросовестный бизнес часто оказывается на пересечении между требованиями государства и ожиданиями потребителей. Усиление борьбы с мошенничеством в целом приветствуется рынком, однако его реализация требует дополнительных ресурсов, времени и адаптации. Часто под удар попадают именно те компании, которые уже соблюдают все нормы, но вынуждены перестраивать процессы под новые регуляторные требования.
"В ряде случаев возможны и непрямые негативные последствия. Например, снижение доступности микрозаймов может уменьшить потребительскую активность, что отразится на e–commerce, HoReCa и других потребительских сегментах. Также переход на отечественные системы связи может повлечь временное снижение эффективности клиентского сервиса", — допускает Светлана Гузь.
Маловато будет
Между тем финансовые потери из–за мошеннических атак несут не только граждане, но и компании. Один успешный фишинговый e–mail, отправленный сотруднику бухгалтерии, может привести к утечке средств в размере миллионов рублей буквально за считаные минуты. Поэтому бизнес вынужден инвестировать значительные средства в кибербезопасность. По оценкам директора по развитию ИИ и web–технологий Artezio (входит в группу "Ланит") Сергея Матусевича, расходы российских компаний на обеспечение кибербезопасности выросли в 1,5–2 раза за последние 3 года. Эксперт считает, что закон ограничит возможности для мошенников в краткосрочной перспективе, но не решит проблему в целом. Вместе с тем произойдут изменения, которые коснутся бизнеса с точки зрения обеспечения безопасности.
"Телеком–операторам придётся модернизировать инфраструктуру для внедрения маркировки звонков и предотвращения подмены номеров. Это большие инвестиции, которые в конечном счёте могут отразиться на тарифах для пользователей. Банки и микрофинансовые организации должны будут внедрять биометрическую верификацию и интегрироваться с государственными системами. Для логистических компаний усложнение процедуры идентификации клиентов может замедлить процесс оформления заказов и увеличить операционные расходы", — перечисляет эксперт.
Говоря о необходимости расширения регулирования в сфере безопасности, Сергей Матусевич выделяет важность детальной проработки ответственности за утечку персональных данных, а также ответственности интернет–платформ за размещение мошеннического контента.
Также необходимо развитие международного сотрудничества в борьбе с кибермошенничеством. Большинство современных схем имеют трансграничный характер: фишинговый сайт может быть размещён в одной стране, управляться из другой, а денежные потоки проходить через третью.
“
Квалификация мошенников растёт, появляются новые виды мошенничества — для борьбы с этим необходимо обновлять законодательную базу. Однако расширение границ регулирования не всегда эффективно для решения проблемы. На данный момент борьба с кибермошенничеством на законодательном уровне идёт путём запретов и ограничений, усиления ответственности. В то же время вопросы повышения осведомлённости граждан о кибербезопасности, а также стимулы для бизнеса исследовать угрозы и внедрять новые решения остаются без внимания. Ограничения в части совершения банковских операций и фильтрация спам–звонков, вероятно, помогут предотвратить мошеннические действия в отношении граждан в отдельных случаях. С другой стороны, существует риск ошибок. Если клиент попадает в чёрный список по ошибке или из–за недобросовестных действий, ему придётся доказывать банкам и операторам связи, что он не является мошенником, чтобы распорядиться собственными денежными средствами или воспользоваться услугами связи. Кроме того, борьба с кибермошенничеством часто связана с увеличением требований к деятельности субъектов. Любые требования, связанные с использованием специального оборудования, хранением информации, маркировкой чего–либо, означают дополнительные расходы для бизнеса и повышение стоимости услуг для их клиентов.
Ольга Новинская
юрист практики по интеллектуальной собственности / информационным технологиям адвокатского бюро "Качкин и партнёры"
“
Рост количества киберпреступлений требует от бизнеса значительных вложений в модернизацию существующих механизмов. Например, банки — создание антифрод–систем, проверка транзакций. Маркетплейсы — проверка продавцов и выявление мошенников. Человек, ставший жертвой мошенников, может стать причиной утечки конфиденциальной информации компании, сотрудником которой он является, что приведёт к ряду негативных последствий. Вступление в силу закона позволит уменьшить количество совершаемых преступлений, но не станет некой волшебной палочкой. Мошенники постоянно применяют новые способы и предлоги, используемые для кражи денег. Довольно сложно оперативно отслеживать все существующие схемы кражи средств. Запрет на отправку сообщений во время разговора позволит снизить количество случаев кражи аккаунтов "Госуслуг", но всё же останется возможность для сброса вызова мошенниками и последующего нового звонка после прихода кода. Предполагаю, что в условиях действия предлагаемых законопроектом мер мошенники будут делать упор именно на фишинговые ссылки, с помощью которых пытаются украсть аккаунты на "Госуслугах" и в банковских приложениях. На мой взгляд, необходимо дополнительно ужесточить предусмотренные законом наказания для мошенников и их пособников.
Тимофей Воронин
заместитель директора по трансферу технологий Центра компетенций НТИ по направлению "Технологии хранения и анализа больших данных" на базе МГУ имени М. В. Ломоносова
“
Сейчас есть активность со стороны государства по устранению как причин, так и последствий возможных противоправных действий в сфере IT. Пример — снижение объёма нежелательной почты. Одной из причин является ужесточение законодательства в сфере защиты персональных данных, вступившее в действие в период с 2019 по 2024 год. Эти изменения вынудили сервисы email–рассылок пересмотреть свои подходы к работе.
Дмитрий Костин
эксперт по информационной безопасности "МойОфис"
“
Закон может усложнить работу представителям некоторых сфер экономики. Например, ограничение использования зарубежных мессенджеров может создать сложности для международных компаний, которые активно используют такие сервисы для работы с клиентами и партнёрами. Маркировка звонков и биометрия могут потребовать дополнительных затрат на адаптацию инфраструктуры, что будет ощутимо для малого и среднего бизнеса. Важно усилить ответственность за создание и использование фишинговых ресурсов, а также ввести механизмы обязательной верификации доменов и усиления защиты платёжных данных. Требуется и популяризация вопросов киберграмотности среди населения.
Максим Большаков
директор по развитию направления кибербезопасности "Edge Центр"
