27 Августа 2025 11:57 27 Авг 2025 11:57 |

Поделиться

В России появится «черный список» сотовых телефонов

Второй пакет антимошеннических законопроектов

Правительство представило второй пакет законопроекта, направленный на борьбе с мошенничеством в сфере ИКТ. Об этом сообщил вице-премьер Дмитрий Григоренко. Документ опубликован на Федеральном портале проектов нормативных актов.

Первый пакет документов, направленных на противодействие мошенничеству, был принят весной 2025 г. Согласно нему, вводится запреты на передачу телефонных номеров третьим лицам, на осуществление массовых телефонных вызовов без согласия абонентов и на прием SMS во время телефонного звонка. Граждане через ЕПГУ (Единый портал государственных и муниципальных услуг) могут установить запрет на заключении от их имени договоров на услуги связи. Вводится маркировка звонков от корпоративных абонентов. Также Минцифры должно создать государственную информационную систему в сфере противодействия мошенничеству в сфере ИКТ (ГИС «Антифрод»).

Нынешний документ представляет из себя поправки в законы «О связи», «Об информации, информационных технологиях и о защите информации», «О персональных данных», «Об электронной подписи», «О национальной платежной системе», «О государственной регистрации недвижимости», «Об осуществлении идентификации и аутентификации физических лиц с использованием биометрических персональных данных» и «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий»

«Черный» список сотовых телефонов

В Законе «О связи» появится норма о базах идентификаторов пользовательского (оконченного) оборудования. Эти базы данных будут создаваться операторами сотовой связи и содержать IMEI-номера абонентских устройств. Также будет создана Центральная база идентификаторов пользовательского оборудования, в которой будет содержаться информация об IMEI-номерах, разрешенных и запрещенных к использованию на территории России.

Минцифры от имени государства будет обладателем информации в Центральной базе данных. Требования к функционированию Центральной базы данных установит Правительство, оно же выберет ее оператора. Программное изменение идентификаторов пользовательских устройств не допускается. Виртуальные сотовые операторы не должны будут вести такого рода базы данных.

Сотовые операторы обязаны допускать работу только тех абонентских устройств, идентификатор которых разрешены для работы в России, и не допускать работы устройств с запрещенными идентификаторами. Не допускается работа в сотовых сетях абонентского оборудования, в отношении идентификаторов которого введены запреты правоохранительными органами в порядке, установленном Минцифры по согласованию с ФСБ, а также имеющих идентификаторы, не соответствующие требованиям законодательства.

Требования к идентификаторам сотовых телефонов и критерии отнесения их к разрешенным или запрещенным установит Минцифры. Оператор связи должны предоставить в ГИС Роскомнадзора, предназначенную для мониторинга информации об исполнении операторами связи информации по проверке сведений, информацию об абонентских номерах, используемых в абонентских терминалах пропуска трафик, с указанием сведений о типе абонентского терминала, идентификаторе радиоэлектронных средств, в которых используются SIM-карты, адресе использования абонентского терминала и цели его использования.

Запрет телефонных вызовов из-за границы

Оператор связи должны будут принимать меры в отношении соединений своих абонентов меры для предотвращения и пресечения преступлений с использованием сетей связи и средств связи. Также оператор связи должен будет по запросу Минцифры передавать в ГИС «Антифрод» записи телефонных разговоров, содержащих признаки признаки мошенничества.

Операторы связи, для создания единого реестра номеров, в отношении которых имеются признаки совершения противоправных действий, должны выявлять и направлять в ГИС «Антифрод»: об сведения об абонентских номерах, используемых в целях совершения телефонных вызовов и направлений SMS, имеющих признаки противоправных действий; сведения об абонентских номерах, на которые осуществляются телефонные вызовы и направляются SMS, имеющие признаки мошенничества, с одновременным уведомление абонента о направлении соответствующих сведений; информация о месте нахождения пользователей оборудования.

При получении указания от ГИС «Антифрод» об использовании телефонного номера для противоправных действия оператор связи обязан приостановить оказание услуг на 24 часа. В случае невыполнения такого требования оператор связи должен будет возместить сумму денежных средств, украденных с его счета у данного оператора. Порядок действий по исключению номера из единого реестра номеров, связанных с противоправными действиями, установит Правительство. Порядок выявления номеров, используемых для противоправных действий, и порядок действий операторов связи в таких случаях установит Минцифры по согласованию с Центробанком.

Абонент телефонной связи будет вправе потребовать от своего оператора прекратить пропуск телефонных звонков из-за границы. Оператор сотовой связи должен будет информировать абонента о поступлении к нему звонка из-за границы. При осуществлении телефонных вызовов от юридических лиц и индивидуальных предпринимателей на сети сотовой связи должна передаваться информация о таких абонентах с целью информирования вызываемого абонента.

Регулирование виртуальных АТС: только российские IP-адреса

Вводится регулирование виртуальных автоматических телефонных станций (ВАТС). При взаимодействии с ними должны использоваться российские IP-адреса. Если данные IP-адреса относится к хостинг-провайдерам, включенным в соответствующий реестр Роскомнадзора, то информация об этом должна быть отмечена в данном реестре. Операторы связи должны передавать в ГИС Роскомнадзора информацию об абонентских номерах пользователей ВАТС и используемых ими IP-адресах.

В законе «Об информации» информационных технологиях и о защите и информации» будет прописано, что хостинг-провайдеры смогут предоставлять вычислительные мощности для оказания услуг ВАТС только с использованием российских IP-адресов, выделенных для обеспечения доступа к данной ВАТС. Порядок идентификации соответствующих лиц установит Правительство.

Запрет на авторизацию с иностранными электронными адресами

В Законе «Об информации, информационных технологиях и о защите информации» будет в 2023 г. была введена норма, запрещающая использовать на российских веб-сайтах иностранные ИТ-системы авторизации. Предполагается, что Правительство сможет установить случаи, когда для авторизации нужно будет использовать электронный адрес, относящийся к российской системе доменных имен. То есть на некоторых сайтах нельзя будет авторизовываться с помощью почты на зарубежных серверах типа Gmail, Yahoo и др.

В законе будет прописан запрет на распространение информации, направленной на введение в заблуждение пользователей сети интернет и распространяемой под видом достоверных сообщений, которая создает угрозу причинения имущественного ущерба указанным пользователям и получения неправомерного доступа к персональным данным таких пользователей. Критерии такой информации определит Правительство. Сайты с такого рода информацией будут блокироваться.

Сайты с информацией о приобретении средств связи, в отношении которых не проводилось обязательное подтверждение личности, тоже подлежат блокировке. Также должны будут блокироваться сайты с информацией о способах несанкционированного копирования, уничтожения, блокировки и модификации информации, а также о соответствующих программах. Роскомнадзор по запросу Минцифры в установленном Правительством порядке будет передавать информацию о заблокированных им сайтах в ГИС «Антифрод».

Владельцы мессенджеров, социальных сетей, электронных досок объявлений и хостинг-провайдеров должны будут взаимодействовать с ГИС «Антифрод», принимать меры для предотвращения совершения преступлений и передавать в данную систему информацию о признаках совершения преступлений. Перечень мер и состав передаваемых сведений установит Правительство.

Ограничения на количество банковских карт

Согласно поправкам в Закон «О национальной платежной системе», оператор по переводу денежных средств не вправе предоставлять более пяти платежных карт одному клиенту - физическому лицу. Одному физическому лице всеми кредитными организациями и филиалами зарубежных банков может быть предоставлено не более 10 платежных карт. Однако эти лимиты могут быть скорректированы Советом директором Центробанка.

При проверке наличия осуществления признаков перевода денежных средств без добровольного согласия клиента оператор по переводу денежных средств обязан получать из ГИС «Антифрод» необходимые сведения, а также использовать информацию о выявленных случаях воздействия вредоносного кода на ПО, используемое клиентом - физическим лицом для осуществления денежных переводов.

Оператор по переводу денежных средств при наличии сведений, полученных из ГИС «Антифрод», в рамках реализуемой им системы управления рисками и в порядке, предусмотренным договором с клиентами, вправе приостановить использование клиентам электронного средства платежа на период нахождения сведений об абонентском номере клиента в едином реестре абонентских номеров, в отношении которых имеются признаки использования для осуществления противоправных действий.

Оператор по переводу денежных средств при наличии информации о воздействии вредоносного кода отказывает в приеме к исполнению распоряжения клиента или в совершении соответствующей операции. При этом оператор обязан незамедлительно уведомить клиента о причинах отказа в приеме к исполнению распоряжения клиента или в совершении соответствующей операции и одновременно проинформировать клиента о возможности совершить перевод денежных средств при личном присутствии клиента или его представителя у оператора по переводу денежных средств.

В случае, если оператор по переводу денежных средств получил из ГИС «Антифрод» сведения о причастности абонентского номера к совершению противоправных действий и все равно осуществил перевод денежных средств - клиента - физического лица или совершает операцию с использованием платежных карт, перевод электронных денежных средств или перевод денежных средств с использованием сервиса Системы быстры платежей Центробанка (СБП), то оператор денежных средств обязан возместить плательщицу сумму перевода денежных средств (или иной операции). Возраст должен быть осуществлен в течении 30 дней после заявления клиента при наличии у него постановления о возбуждении уголовного дела под акту хищения денежных средств.

Оператор по переводу денежных средств при наличии согласие клиента - физического лица обязан обеспчить защиту своего ПО, используемого клиентом в целях осуществления денежных переводов, включая мобильную версию приложения и сайт в сети интернет, от воздействия вредоносного кода и осуществлять контроль и выявления случаев использования вредоносного кода на такое ПО до момента списания денежных средств клиента, включая совершение операций с использованием платежных карт, перевода электронных денежных средств или перевода денежных средств с использованием СБП.

При этом оператор по переводу денежных средств обязан включать в договор с клиентом - физическим лицом положения, позволяющие клиенту дать согласие на обеспечение операторов по переводу денежных средств защиты своего ПО, используемого для перевода денежных средств. Операторы по переводу денежных средств с использованием баз данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента направляют в ГИС «Антфирод» информацию об абонентских номерах, используемых при обслуживании клиента. Случае, состав и порядок направления такой информации установит Центробанк по согласованию с Минцифры. Также операторы по переводу денежных средств направляют в ГИС «Антифрод» информацию об абонентских номерах, используемых при обслуживании клиента. Состав и порядок направления такой информации устанавливает Центробанк по согласованию с Минцифры.

Ограничение на государственную регистрацию прав недвижимости

Согласно поправкам в Закон «О государственной регистрации недвижимости», сроки осуществления государственного кадастрового учета и государственной регистрации прав в случае наличия признаков неравнозначного встречного исполнения могут быть увеличены до 20 дней. Также осуществление государственной регистрации прав на недвижимость приостанавливается в случае, если сделка содержит признаки сомнительной сделки, установленные Правительством.

Способы разблокировки акаунтов на Госуслугах

Согласно поправкам в Закон «Об осуществлении идентификации и аутентификации физических лиц с использованием биометрических персональных данных», в случае ограничения доступа физического лица к его учетной записи в ЕСИА в связи с выявлением оператора ЕСИА факта получения третьими лицами несанкционированного доступа к такой учетной записи, восстановление физическим лицом доступа к учетной записи осуществляется одним из следующих способов: с использованием Единой биометрической системы (ЕБС); посредством сайта банка в сети интернет или банковского мобильного приложения, с использованием которых клиентам - физическим лицам предоставляется возможность открывать счета или получать кредиты в рублях; с использованием национального мессенджера Max; посредством личной явки в МФЦ. Правительство установит случае, при которых изменения сведений в ЕСИА, используемых для доступа физического лица к учетной записи в ЕСИА, будет осуществлять физическим лицом исключительно одним из вышеупомянутых способов.

Управление согласиями на обработку персональных данных через Госуслуги

Согласно изменениям в Закон «О персональных данных». государственные органы, в пределах своих полномочий, должны будут установить нормативные акты, определяющие состав персональных данных, подлежащих обработке. Указанные нормативные акты, а также нормативные акты, касающиеся трансграничной передачи данных, обработке персональных данных несовершеннолетних, биометрических персональных данных, специальных категорий персональных данных, обезличивания персональных данных, должны согласовываться с Роскомнадзором в течении 30 дней с момента их поступления.

В законе будет уточнено, что субъект персональных даных дает согласие на обработку его персональных данных «свободно, своей волей и в своем интересе». Данное согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным». Согласие требуется в случаях, предусмотренных законодательством и международными договорами. Если закон не обязывает осуществлять обработку персональных данных только с согласия в письменной форме, то данное согласие может быть в любой позволяющей подтвердить факт его получения форме.

Согласие на обработку персональных данных должно быть оформлено отдельно от иной информации и документов, которые подтверждает и подписывает субъект персональных данных. В случае, если согласие дает представитель субъекта персональных данных, оператор персональных данных должен проверить полномочия данного представителя. Оператор персональных данных не должен требовать согласия на обработку персональных данных в случаях, не предусмотренных законодательством и международными договорами.

Согласие на обработку персональных данных может быть дано оператору персональных данных непосредственно или с использованием ЕСИА (Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме). Порядок предоставления такого согласия установит Правительством а в случае с финансовой сферой порядок дополнительно должен быть согласован с Центробанком.

Типовые форма дачи согласия на обработку персональных данных через ЕСИА разработает Роскомнадзор совместно с Минцифры. В финансовой сфере данные формы должны пройти согласование с Центробанком. Отзыв согласия на обработку персональных данных также может быть направлен субъектов персональных данных непосредственно оператору персональных данных или через ЕСИА. Обработка специальных категорий персональных данных о гражданах, участвующих в СВО (специальная военная операция России на Украине) и контртеррористических операциях, а также о членах их семей осуществляется государственными и муниципальными органами власти в пределах своих полномочий и иными лицами в соответствие с законодательством.

Субъект персональных данных, зарегистрированный на ЕСИА, через ЕПГУ сможет получать информация о факте обработки его персональных данных. Информация будет отображена в личном кабинете гражданина. Порядок, случаи предоставления и состав такой информации определит Правительство, в финансовой сфере потребуется согласование с Центробанком. Если субъект персональных данных посчитает, что обработка его персональных данных происходит с нарушением его прав, он через ЕПГУ сможет обжаловать действия или бездействия оператора персональных данных.

При сборе персональных данных, в том числе с помощью сети интернет, оператор персональных данных в случаях, установленных Правительством, будет обязан передать в ЕСИА информацию о факте обработки персональных данных. Перечень передаваемой информации и порядок ее передачи установит правительство, в финансовом сфере потребуется согласование с Центробанком. Соответствующие сведения должны быть переданы до 1 сентября 2028 г.

Национальный удостоверяющий центр

Закон «Об электронной подписи» будет переименован в Закон «Об электронной подписи и удостоверяющих центрах». В нем будет введено понятие сертификата безопасности национального удостоверяющего центра - структурированной информации, созданный с использованием государственной информационной системы национального удостоверяющего центра (ГИС НУЦ). Сертификат будет включать в себя сведения об информационной системе, о сайте в сети интернет или о разработчики программы для ЭВМ или об участнике электронного взаимодействия в корпоративной информационной системе, ключ аутентификации такой информационной системы (сайта/программы/участника электронного взаимодействия) и иные параметры безопасности, с использованием которого обеспечивается их аутентификация с использованием сертификата безопасности НУЦ и организации защищенного взаимодействия с ними и подтверждения владения информационной системой (сайтом) или подтверждения целостности и подлинности происхождения программ для ЭВМ или используемая при проведении аутентификации участника электронного взаимодействия.

Под аутентификацией указанных субъектов подразумевается совокупность мероприятий по проверки принадлежности информационной системы, сайту, разработчику программы для ЭВМ, участнику электронного взаимодействия в корпоративной информационной системы созданного для них ключа идентификации посредством использования ключа аутентификации информационной системы (сайта/программы/участника электронного взаимодействия) указанного в сертификате безопасности НУЦ, в результате которых субъект считать установленным.

Ключ идентификации информационной системы (сайта/программа/участника электронного обмена) - уникальная последовательность символов, идентифицирующих информационную систему (сайт/программу/участника информационного обмена) и используемая при проведении аутентификации данного субъекта с использованием сертификата безопасности национального удостоверяющего центра и организации защищенного взаимодействия с ним, и подтверждения владения (подтверждения целостности/проведении аутентификации) информационной системой (сайтом/ сайтом/программой/участником информационного обмена).

Ключ аутентификации информационной системы (сайта/программы/участника электронного обмена)(- уникальная последовательность символов, однозначно связанная с ключом идентификации информационной системы (сайта/программы/участника электронного обмена) и предназначенная для проведения аутентификации указанного субъекта с использованием сертификата безопасности НУЦ и организации защищенного взаимодействия между ними или подтверждения владения/целостности/аутентификации информационной системы (сайта/программы/участника электронного взаимодействия).

Субъекты, получившие сертификат безопасности национального удостоверяющего центра, обязаны обеспечивать конфиденциальность ключа идентификации и уведомлять оператора ГИС НУД о нарушении конфиденциальности ключа идентификации в течении не более чем одного рабочего дня с соответствующего момента, обеспечить незамедлительное уничтожения ключа индентификации по истечении срока действия данного ключа.

Создание, выдача и прекращение действия сертификата безопасности национального удостоверяющего центра будет осуществляться с использованием ГИС НУЦ. Положение о ГИС НЦУ будет утверждено Правительством по согласованию с ФСБ (Федеральная служба безопасности) и ФСТЭК (Федеральная служба технико-экспортного контроля). Оператор ГИС НУЦ будет назначен Правительством по согласованию с ФСБ.

ГИС НУЦ будет включать в себя: подсистему, используемую для создания сертификатов безопасности национального удостоверяющего центра с применением российских криптографических алгоритмов и средств государственной информационной системы национального удостоверяющего центра; подсистему, используемую для создания сертификатов безопасности национального удостоверяющего центра с применением криптографических алгоритмов, не являющихся российскими, созданных с использованием средств ГИС НУЦ.

Посредством ГИС НУЦ осуществляется создание, выдача и прекращение действия следующего вида сертификатов: сертификатов безопасности НУЦ, используемых для проведения аутентификации информационной системы или сайта, сведения о которых включены в указанный сертификат, и организации защищенного взаимодействия между ними; сертификатов безопасности НУЦ, содержащих сведения о владении информационной системой или сайта, используемых для проведения аутентификации информационной системы сайта, о подтверждении владения ими государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом или ИП и об организации защищенного взаимодействия с такой информационной системой; сертификатов безопасности НУЦ, содержащее сведения о разработчике программы для ЭВМ, и используемых для подтверждения целостности и подлинности происхождения программ разработчика для ЭВМ; сертификатов безопасности НУЦ, используемых для проведения аутентификации участников электронного взаимодействия в корпоративной информационной системе и организации защищенного взаимодействиям с ними; сертификатов безопасности НУЦ, предназначенных для создания на их основе указанных выше сертификатов безопасности НУЦ.

Требования к сертификатам безопасности НУЦ, порядку их создания, выдачи и прекращения действия таких сертификатов, а также требования к проведению аутентификации информационной системы, сайта, разработчика программ для ЭВМ, участника электронного взаимодействия в корпоративной информационной системы и организации защищенного взаимодействия между ними определит Минцифры по согласованию ФСБ и с ФСТЭК. Сертификаты безопасности НУЦ будут безвозмездно выдаваться оператором ГИС НУЦ по запросу государственных органов, органов местного самоуправления, Центробанка и иных организаций, перечень которых установит Правительство.

За выдачу сертификатов безопасности НУЦ иным лицам может взиматься плата, предельный размер которой установит Правительство. Регистраторы доменных имен и хостинг-провайдеры, включенные в соответствующий реестр Роскомнадзора, на основе соглашения с оператора НУЦ наделяются полномочиями по выдаче сертификатов безопасности НУЦ.

Предустановка в веб-браузеры сертификатов безопасности Национального удостоверяющего центра

Юридические лица и индивидуальным предпринимателям, осуществляющие деятельность по разработке и распространения средств криптографической защиты информации, сертифицированных ФСБ, используемых для доступа к сайтам в сети интернет, обязаны обеспечить предварительную установку и использование действующих сертификатов НУЦ с применением разработанных или распространяемых ими криптографических средств защиты информации.

Аналогичное требование касается юридических лиц и индивидуальных предпринимателей, осуществляющих деятельность по созданию и модернизации программ для ЭВМ, используемых для доступа к сайтам в сети интернет, перечень которых установит Правительство. Дополнительно прописывается, что не должно быть ущерба для проведения аутентификации и организации защищенного взаимодействия, подтверждения целостности и подлинности происхождения программ разработчика для ЭВМ, которые осуществляются в соответствии с международными стандартами. Таким образом, речь идет об обязанности разработчиков веб-браузеров предустанавливать сертификаты безопасности НУЦ.

Госорганы, органы местного самоуправления, государственные и муниципальные учреждения при осуществлении взаимодействия в электронной форме, в это числе с юридическими и физическими лицами и индивидуальными предпринимателями, обязаны обеспечить возможность осуществления такого взаимодействия с применением сертификатов безопасности НУЦ. Также Правительство установит случаи, когда использование сертификатов НУЦ для обеспечения устойчивого и защищенного взаимодействия с информационной системой и сайтом в сети интернет, проведения аутентификации информационных систем, сайта и подтверждения владения ими, а также подтверждения целостности и подлинности происхождения программы для разработчика для ЭВМ или проведения аутентификации участников электронного взаимодействия в корпоративной информационной системе и организации защищенного взаимодействия с ними является обязательным.

В случае принятия закон вступит в силу с 1 марта 2026 г. Однако для ряда пунктов обозначены иные даты вступления в силу: 1 января 2026 г., 1 июля 2026 г,. 1 января 2027 г,. 1 марта 2027 г., 1 июля 2027 г., 1 марта 2028 г.

Игорь Королев

Поделиться

Подписаться на новости Короткая ссылка