Новый антифрод-пакет: в каких случаях банк вернёт украденные мошенниками деньги, а в каких — нет
9 июня 2026 года Государственная Дума приняла второй пакет антифрод-поправок. Закон вводит финансовую ответственность банков и операторов связи за хищения, ограничивает количество банковских карт, добавляет новые инструменты защиты (например, самозапрет на международные звонки) и ужесточает правила регистрации сим-карт. Однако компенсации пострадавшим — не автоматические. Важно понимать, в каких случаях банк обязан вернуть деньги, а в каких — нет. Разбираем все нововведения по порядку.
Ключевые меры второго антифрод-пакета:
- банки обязаны возмещать ущерб только при нарушении антифрод-обязанностей (например, провели операцию, зная о вирусе на устройстве)
- один человек сможет иметь не более 20 банковских карт суммарно во всех банках (с 1 сентября 2027 года)
- операторы связи будут выявлять мошеннические звонки и нести ответственность за их пропуск
- россияне смогут установить самозапрет на входящие международные звонки
- появится «красная кнопка» на «Госуслугах» для мгновенного сигнала о мошенничестве
- ужесточаются правила регистрации и использования сим-карт
Когда банк обязан вернуть деньги, а когда — нет
Самый важный вопрос для любого человека, столкнувшегося с мошенниками: вернёт ли банк похищенные средства? Новый закон даёт чёткий, но не слишком широкий ответ.
Банк обязан возместить похищенные средства только в одном конкретном случае: кредитная организация нарушила новые антифрод-правила. Например, мошенники взломали онлайн-банк клиента с помощью вредоносной программы. Банк при этом проверил устройство, обнаружил угрозу, но не отклонил операцию и не предупредил клиента. Иными словами: банк знал о вирусе — и всё равно провёл операцию. Это его ответственность.
Если клиент сам перевёл деньги мошенникам — например, под влиянием телефонного звонка, фишинговой ссылки или обмана в мессенджере, — то компенсация законом не предусмотрена. Даже если жаль потерянных денег. Даже если мошенники представились сотрудниками банка. Закон исходит из того, что взрослый дееспособный человек несёт ответственность за свои действия. Банк не должен отвечать за то, что клиент добровольно отправил деньги злоумышленникам.
Корректная формулировка: «банк может отвечать за ущерб, если нарушил антифрод-обязанности», а не «банк вернёт деньги всем пострадавшим». Разница принципиальная, и её нужно понимать.
Как будет работать проверка устройств на вредоносное ПО
С разрешения клиента банк получит право проверять его устройство (телефон, компьютер, планшет) на наличие вредоносных программ перед проведением операции. Это важный инструмент, который позволяет выявить угрозу до того, как деньги будут списаны.
При обнаружении угрозы банк обязан:
- отклонить операцию (не дать списать деньги)
- уведомить клиента о наличии вредоносного ПО
- предложить провести операцию с другого устройства или в офисе банка
Эта норма защищает клиента: если у вас на телефоне вирус, банк просто не даст вам перевести деньги мошенникам. Даже если вы сами пытаетесь это сделать под их влиянием.
Какая ответственность появится у операторов связи
Операторы связи (МТС, Билайн, Мегафон, Tele2 и другие) теперь обязаны выявлять мошеннические звонки и применять меры защиты. Конкретный механизм возмещения ущерба для операторов установит отдельное постановление правительства по согласованию с Банком России — в самом законе этот механизм не прописан.
Логика та же, что и для банков: если оператор не выполнил свои антифрод-обязанности (например, пропустил звонок с подменного номера, не заблокировал его) и это привело к хищению, то он должен компенсировать потери абоненту. Если звонок был мошенническим, но оператор сделал всё, что от него требовалось, — ответственности не будет.
Новый лимит: один человек может оформить не более 20 банковских карт
Один человек сможет иметь не более 20 платёжных карт суммарно во всех банках. Это жёсткое ограничение. Мера направлена против дропперов — людей, которые за деньги оформляют карты на себя и передают их мошенникам. Через эти карты преступники дробят и выводят похищенные средства. Чем больше карт у одного человека, тем проще скрыть цепочку движения денег.
Учёт карт будет вести Национальная система платёжных карт (НСПК) — оператор «Мира» и Системы быстрых платежей. Центробанк по решению совета директоров сможет разрешать отдельным людям иметь больше 20 карт (например, для предпринимателей, которым нужно много карт для бизнеса, или для волонтёров).
Важная дата: правило заработает с 1 сентября 2027 года. До этого времени количество карт не ограничено. У вас есть больше года, чтобы провести ревизию: проверить, сколько активных карт открыто в разных банках, какие из них реально нужны, а какие пора закрыть. Это повод навести порядок в своих финансах.
Если вы обнаружили, что у вас открыто больше 20 карт (например, вы активный пользователь кешбэка и держите карты разных банков под разные категории), стоит заранее подумать, какие из них можно закрыть без ущерба для выгоды.
Самозапрет на международные звонки
Любой россиянин сможет заблокировать входящие звонки из-за рубежа. Это простой и эффективный способ защитить пожилых родственников: многие мошенники звонят именно из-за границы, подменяя номера российских банков, госучреждений или операторов связи.
Установить запрет можно будет дистанционно (через «Госуслуги» или приложение своего оператора). А вот снять запрет — только при личном визите в МФЦ. Это дополнительная защита: если мошенники получат доступ к вашему аккаунту на «Госуслугах», они не смогут отключить блокировку удалённо.
Закон также вводит обязательную маркировку международных звонков. Абонент будет видеть, что звонок идёт из-за границы, даже если номер подменён на российский.
«Красная кнопка» на «Госуслугах»
Через портал «Госуслуги» и мессенджер Max можно будет мгновенно сообщить о мошенничестве. Сигнал поступит банкам, операторам связи и другим участникам системы «Антифрод» — это позволит оперативно приостановить подозрительные операции и заблокировать счета дропов.
Важное уточнение: «красная кнопка» — это дополнение к звонку в банк, а не замена ему. Если деньги уже ушли или операция только что подтверждена, нужно действовать по всем каналам одновременно: сигнал через «Госуслуги», звонок в банк (по номеру на обратной стороне карты), блокировка карты в приложении. Чем быстрее вы сообщите, тем выше шанс, что перевод успеют заблокировать на стороне банка получателя.
Новые правила для сим-карт
Запрет на быструю смену оператора. Расторгнуть договор с оператором связи можно будет не раньше чем через 90 дней после его заключения. Это мера против «серых» сим-карт, которые мошенники используют короткое время, а потом выбрасывают. Если мошенник хочет купить сим-карту, совершить звонки и тут же её выбросить, новое правило помешает ему быстро переключиться на другого оператора.
Также абонентскую плату перестанут начислять с момента подачи заявления о расторжении. Раньше могли начислять до даты фактического закрытия договора, теперь — только до даты заявления.
Единая база IMEI. При покупке сим-карты абонент обязан сообщить оператору IMEI своего телефона (уникальный идентификатор устройства). Без этого услуги связи предоставляться не будут. Создаётся единая база идентификаторов устройств с информацией о разрешённых и запрещённых к использованию в России номерах. Если устройство (телефон) не внесено в базу или внесено в список запрещённых, оператор обязан ограничить доступ к сети. Это позволит блокировать «серые» телефоны, ввезённые нелегально, а также устройства, с которых зафиксированы мошеннические действия.
Детские сим-карты. Родители получат право уведомить оператора об использовании сим-карты ребёнком. Оператор в ответ обязан обеспечить доступ несовершеннолетнего только к безопасному контенту. Конкретный порядок работы детских сим-карт установит отдельный подзаконный акт правительства.
Сроки хранения данных в антифрод-базе
Закон устанавливает, как долго сведения о человеке остаются в базе данных о мошеннических операциях (туда попадают дропперы и люди, чьи счета использовались для вывода похищенных средств):
- первое попадание в базу — один год
- повторное и последующие — три года
Данные удаляются досрочно, если правоохранительные органы сообщат о прекращении уголовного преследования. Право оспорить включение в базу сохраняется: если вы считаете, что попали туда ошибочно, можете обращаться в суд.
Штрафы за авторизацию через зарубежные сервисы
Владельцы сайтов и приложений, которые допускают авторизацию пользователей через иностранные сервисы (например, через Google, Apple ID, X, Facebook — признан экстремистским и запрещён в РФ), заплатят штраф:
- граждане — от 10 000 до 20 000 рублей
- должностные лица — от 30 000 до 50 000 рублей
- организации — от 500 000 до 700 000 рублей
Это часть политики импортозамещения и цифрового суверенитета. Владельцам сайтов рекомендуется переходить на отечественные сервисы авторизации (через «Госуслуги», VK ID, Яндекс ID).
Внесудебная блокировка контента
Информацию о продаже и установке вредоносного программного обеспечения (того самого, которое крадёт данные и помогает мошенникам) будут блокировать без обращения в суд. Раньше для блокировки таких сайтов требовалось судебное решение, что занимало время. За это время злоумышленники успевали продать вирус тысячам людей. Теперь блокировка будет оперативной.
Что убрали из закона
В процессе обсуждения из пакета поправок исключили две меры, которые вызывали много споров:
- Привязку всех банковских счетов к ИНН. Инициатива не вошла в финальную редакцию. Идея была в том, чтобы все финансовые операции были привязаны к единому номеру, что упростило бы отслеживание подозрительных транзакций. Однако это вызвало опасения по поводу тотального контроля, и от неё отказались.
- Обязательное подтверждение значимых действий через мессенджер Max. Ранее предполагалось, что некоторые важные операции (например, смена пароля на «Госуслугах») нужно будет подтверждать именно через госмессенджер. От этой идеи тоже отказались — она была признана избыточной.
Когда меры вступают в силу
Не все нормы начинают работать одновременно. Вот основные даты:
Компенсации за хищения через онлайн-банк — с 1 марта 2027 года. До этого времени банки работают по старым правилам.
Лимит в 20 банковских карт — с 1 сентября 2027 года. У вас есть больше года, чтобы привести количество карт в порядок.
Самозапрет на международные звонки — точная дата уточняется, вероятно, вступление в силу после принятия подзаконных актов.
«Красная кнопка» на «Госуслугах» — также требует подзаконных актов, дата уточняется.
Остальные меры (проверка устройств на вирусы, единая база IMEI, запрет на быструю смену оператора, штрафы) — вступают в силу по мере принятия подзаконных актов, но не позднее сроков, установленных законом.
Частые вопросы
Банк автоматически вернёт деньги, если меня обманули мошенники?
Нет. Компенсация предусмотрена только в том случае, если банк нарушил антифрод-обязанности: например, обнаружил вредоносную программу на устройстве клиента, но всё равно провёл операцию. Если клиент сам перевёл деньги под влиянием мошенников, компенсация законом не предусмотрена.
Когда заработает лимит в 20 карт?
С 1 сентября 2027 года. До этой даты количество карт не ограничено.
Нужно ли срочно закрывать лишние карты?
Нет — до 1 сентября 2027 года требование не действует. Но лучше провести ревизию заранее, чтобы не спешить.
Кто такие дропперы и почему лимит карт направлен против них?
Дропперы — люди, которые намеренно или по незнанию оформляют карты и передают их мошенникам. Через эти карты преступники дробят и выводят похищенные деньги. Чем больше карт у одного человека, тем проще скрыть цепочку движения средств. Ограничение в 20 карт делает дропперство менее удобным для мошенников.
Поможет ли самозапрет на международные звонки?
Да, если мошенники звонят из-за границы. Но многие звонят и с российских номеров, используя сим-карты, оформленные на подставных лиц. Поэтому самозапрет — полезная, но не панацея.
Что делать, если я уже перевёл деньги мошенникам?
Немедленно звоните в банк по номеру на обратной стороне карты, блокируйте карту, подавайте заявление на оспаривание операции. Если прошло мало времени, шанс вернуть деньги есть, даже если закон не обязывает банк их возвращать — иногда банки идут навстречу постоянным клиентам или если операция была явно подозрительной. Но полагаться на это не стоит.
Итог: новый закон усиливает защиту, но не делает её автоматической
Второй антифрод-пакет — серьёзный шаг в борьбе с кибермошенничеством. Банки и операторы связи получают новые обязанности и рискуют собственной репутацией (и рублём) в случае их нарушения. Появляются новые инструменты самозащиты: самозапрет на международные звонки, проверка устройств на вирусы, «красная кнопка» на «Госуслугах». Ужесточаются правила регистрации сим-карт и вводится лимит на количество банковских карт (20 штук на человека).
Но главное — закон не создаёт «автоматической компенсации» для всех жертв мошенников. Если вы сами перевели деньги — ответственность на вас. Компенсация положена только если банк или оператор нарушил свои обязанности. Поэтому не стоит полагаться только на закон. Берегите свои данные, не переходите по ссылкам из подозрительных сообщений, не сообщайте коды из СМС и не переводите деньги на «безопасные счета». Закон — подспорье, но главная защита — это ваша собственная бдительность.
Мнение автора: Второй антифрод-пакет — это важный шаг, но не революция. Самое ценное в нём — обязанность банков проверять устройства на вирусы. Это реально спасёт деньги тем, у кого на телефоне завелась вредоносная программа, о которой они не знают. А вот ответственность операторов связи — палка о двух концах. Технически выявить мошеннический звонок сложно, и операторы будут перестраховываться, блокируя сотни тысяч легальных звонков. Лимит в 20 карт — тоже правильная мера, но она затронет не только дропперов, но и обычных людей, которые активно пользуются кешбэком. 20 карт — это много, но фанаты кешбэка иногда заводят и 30, и 40. Им придётся решать, какие карты закрыть. Главный же вывод: закон не освобождает вас от личной ответственности. Пока вы сами не научитесь распознавать мошенников и не перестанете переводить им деньги, никакие законы не помогут. Будьте бдительны и расскажите о схемах обмана своим пожилым родственникам.
