Хостинг только для «своих». Как власти решили окончательно «приземлить» VPN

Минцифры подготовило ко второму чтению новый пакет антимошеннических поправок, который вводит дополнительные обязанности для операторов связи и банков, а также меняет правила работы с платежами, сертификатами безопасности и электронным взаимодействием. Как стало известно Forbes, документ предусматривает механизм возмещения ущерба при переводах без согласия клиента, отказ в операциях при признаках воздействия вредоносного ПО, создание Единой системы учета платежных карт и новые требования к операторам связи по выявлению мошеннических номеров.

Поправки затрагивают законы О связи, Об информации, Об электронной подписи, О банках и банковской деятельности и О национальной платежной системе. Копия законопроекта есть в распоряжении Forbes. Основная часть норм должна вступить в силу с 1 марта 2027 года, отдельные положения - с 1 сентября 2027 года и с 1 января 2028 года. В Минцифры сообщили изданию, что поправки ко второму чтению еще согласовываются с заинтересованными ведомствами и финальной версии документа пока нет. В комитете Госдумы по информполитике от комментариев отказались.

Одно из ключевых нововведений касается возмещения похищенных средств. Гражданин, считающий, что стал жертвой противоправных действий, сможет передать сведения через Госуслуги в ГИС Антифрод. Операторы связи, в свою очередь, должны будут выявлять номера с признаками мошенничества, а также номера, с которых злоумышленники звонят или рассылают сообщения, передавать информацию о них в ГИС Антифрод и прекращать оказание услуг связи или пропуск трафика по таким номерам.

Если перевод или платеж прошел без согласия клиента, оператор связи должен будет возместить ущерб при соблюдении нескольких условий. Абонентский номер должен быть указан в договоре с банком, перевод должен быть совершен после звонка или СМС с того же номера, оператор должен нарушить требования по работе с ГИС Антифрод, то есть не передать сведения о потенциальной жертве и не приостановить услуги связи или пропуск трафика по номеру злоумышленника. Одновременно банк должен выполнить требования закона О национальной платежной системе в части спорных переводов. Кроме того, по счету клиента не должно быть приостановок или отказов по операциям с платежными картами, в базе данных о несанкционированных переводах не должно быть сведений о подобных попытках в отношении этого клиента, сам клиент должен обратиться за возмещением не позднее десяти рабочих дней после перевода, а по факту хищения должно быть возбуждено уголовное дело.

Эта норма стала одним из самых спорных пунктов пакета.

Поправки также предусматривают создание Единой системы учета платежных карт, оператором которой станет Национальная система платежных карт. Банки должны будут передавать туда данные о номерах и видах карт физлиц, сведения о картах, прекративших действие, а также ИНН клиентов. Отдельно в законопроекте прописан запрет для хостинг-провайдеров предоставлять мощности владельцам сетей и ресурсов, обеспечивающих доступ к информации, запрещенной российским законодательством.

Как выяснил Коммерсантъ, поправки ко второму чтению второго пакета антимошеннических изменений в законодательство Антифрод 2.0 запрещают провайдерам хостинга предоставлять вычислительные мощности владельцам сайтов и информационных систем, которые обеспечивают доступ к информации, заблокированной на территории России. Таким образом, ограничения предлагается распространить и на владельцев VPN-сервисов. При этом санкции за несоблюдение таких требований в документе не прописаны. В Минцифры сообщили изданию, что поправки ко второму чтению сейчас согласовывают с заинтересованными ведомствами и организациями, а финальной версии документа пока нет.

Участники рынка говорят, что в случае принятия такой нормы роль хостинг-провайдеров заметно изменится. Если раньше они в основном оставались техническими посредниками и реагировали уже после жалоб или предписаний, то теперь от них могут потребовать заранее проверять клиентов, учитывать требования Роскомнадзора и отказывать в услугах тем, кто нарушает установленные правила. В отрасли также предупреждают, что у многих компаний пока нет готовых механизмов для такой проверки и исполнения новых требований. Дополнительные расходы на интеграцию с государственными системами, контроль клиентов и отказ в обслуживании части заказчиков рынок, вероятно, в итоге переложит на остальных потребителей, что может привести к дальнейшему росту цен на хостинг. При этом часть игроков призывает не делать окончательных выводов заранее, поскольку норма пока находится на стадии согласования, а ее практическое применение и технические критерии еще не определены.

Существенный блок касается закона Об электронной подписи. В финальную версию вошли положения о создании Национального удостоверяющего центра, который будет выдавать сертификаты безопасности владельцам сайтов, разработчикам программного обеспечения и участникам электронного взаимодействия в корпоративных информационных системах. Такие сертификаты используются для проверки подлинности серверов, идентификации пользователей при входе в корпоративные системы, подписания документов и электронных писем, а также для шифрования данных.

Согласно проекту, сертификаты безопасности от Национального удостоверяющего центра будут применяться для устойчивого и защищенного взаимодействия с информационными системами и сайтами, их аутентификации и подтверждения владения ими. Создание, выдача и прекращение действия сертификатов будут происходить с использованием государственной информационной системы НУЦ, а ее оператора определит правительство по согласованию с ФСБ. Выдача сертификатов может быть платной, но в пределах лимита, который установит правительство. Бесплатно сертификаты будут получать госорганы, органы местного самоуправления, Банк России и организации из перечня правительства.

Правительство также сможет определить случаи обязательного применения сертификатов НУЦ. Такая обязанность может коснуться юрлиц и индивидуальных предпринимателей с лицензией на работу с шифровальными средствами, отдельных разработчиков российского программного обеспечения, перечень которых утвердит кабмин, а также участников банковской сферы и финансового рынка по согласованию с ЦБ.

Отдельный блок поправок касается банков. Кредитные организации смогут отказывать в переводах и других платежных операциях при наличии признаков воздействия вредоносного ПО. В таком случае банк должен будет уведомить клиента о причинах отказа и одновременно сообщить о возможности провести перевод при личном присутствии клиента или его представителя у оператора. После электронного подтверждения операции клиентом банк в течение шести часов сможет отложить исполнение распоряжения или отказать в повторной операции. После истечении этого срока банк обязан выполнить подтвержденное распоряжение клиента.

Возмещение со стороны банка также предусмотрено, если операция имела признаки проведения без согласия клиента на основании данных из ГИС Антифрод, клиент обратился с требованием не позднее десяти рабочих дней после перевода, если тот был совершен после телефонного звонка или СМС, и у клиента есть постановление о возбуждении уголовного дела по факту хищения. Срок возмещения в таком случае составит не более 30 дней после обращения.

Вместе с тем участники рынка указывают на спорные моменты проекта. В Мегафоне отметили, что критерии, по которым звонок будут считать мошенническим, а абонента - жертвой, пока не утверждены и должны быть разработаны правительством. Там же предупредили, что механизм полного возмещения может привести к появлению нового вида мошенничества, когда компенсацию попытаются получать по специально выстроенным схемам, а часть клиентов станет менее осторожной, рассчитывая на гарантированный возврат денег.

Спорным остается и вопрос о распределении ответственности между банками и операторами связи. Гендиректор Билайна Сергей Анохин ранее говорил, что банковский сектор выступает за возложение такой ответственности на операторов, тогда как телеком-компании настаивают на разделении обязанностей и считают возможную нагрузку чрезмерной. С похожей позицией выступал и глава Мегафона Хачатур Помбухчан, назвавший абсурдной логику, при которой оператор связи должен отвечать за похищенные со счетов деньги только потому, что одним из инструментов обмана стал телефонный звонок.