Принят второй пакет антифрод-мер. Операторы связи обязаны выявлять подозрительные номера и блокировать их, а за бездействие будут возмещать ущерб пострадавшим. Банки обязаны защищать свои приложения и сайты от вредоносного ПО, а также предлагать клиентам дополнительную защиту на их устройствах. Вводится шестичасовая задержка подозрительных переводов. Создаётся единая база IMEI-кодов, граждане смогут устанавливать самозапрет на международные звонки, а родители – уведомлять оператора о передаче SIM-карты ребёнку. Ограничивается количество банковских карт на одного человека (не более 20). Появляется «тревожная кнопка» на «Госуслугах». У пострадавших появляется право на компенсацию от банков и операторов связи в полном объёме похищенных средств – правда, только в 2027 году и только если те нарушили установленный порядок действий.
Государство действительно пытается перекрыть технические каналы, которыми пользуются преступники.
Всё это важные и нужные шаги. Но, если честно, это уже знакомый нам путь. Первый пакет мер в 2025 году тоже выглядел внушительно. В результате количество мошенничеств даже немного снизилось. Но раскрываемость IT-преступлений всё равно осталась на уровне 10%, а ущерб, по разным оценкам, достиг 350 миллиардов рублей. И похищенные суммы продолжают расти.
Почему так происходит?
Потому что законодатель каждый раз делает ставку на технические барьеры. Но технические барьеры – это хорошо, только они неизбежно запаздывают. Мошенники каждый раз находят новые лазейки, а система их догоняет. Государство гражданам говорит: «Мы не можем поймать преступника и вернуть ваши деньги, зато мы можем сделать так, чтобы вам было сложнее их отдать». И вместо борьбы с причиной (манипуляция сознанием, трансграничная организованная преступность, утечки данных) создаётся всё более сложный, запутанный и неудобный для обычного человека цифровой лабиринт. А ведь Россия может стать первой страной в мире, если бы реально озаботилась проблемой социальной инженерии и работе в этом направлении.
Для госслужащего технические барьеры – это измеримый результат, которым можно отчитаться, что создано столько-то блокировок, введено столько-то ограничений, предотвращено столько-то переводов. А раскрываемость в 10% и миллиардные убытки, это уже проблема следствия и банков, а не законодателя.
В чём же корень проблемы?
Она в самом подходе. Все эти меры направлены на защиту от последствий уже начавшегося преступления. Они блокируют перевод или звонок, но не предотвращают сам момент, когда сознание человека захвачено паникой, страхом или ложным доверием. В этом состоянии жертва сама обходит любую защиту. Она подтверждает перевод, называет код из СМС, устанавливает вредоносное приложение. Все потому что искренне верит, что спасает свои деньги или помогает близким. Жертва становится союзником собственного грабителя. И никакая «тревожная кнопка» не поможет, если человек в этот момент уверен, что спасает свои деньги от «мошенников из банка».
Мошенник из-за границы, используя подменный номер и базу утекших данных, звонит жертве. Жертва под воздействием манипуляции переводит деньги. Деньги уходят через дропперов и криптокошельки. Преступника не находят, деньги не возвращают. Но государство отчитывается: «Мы ввели двухфакторную аутентификацию, заблокировали миллион звонков и установили период охлаждения для переводов».
Что в итоге?
Добросовестный пользователь проходит через всё новые круги бюрократической защиты, а мошенник просто меняет сценарий разговора: «Сейчас банк попросит подтвердить перевод кодом из СМС – скажите его мне, это для проверки». И всё. Технический барьер снова преодолён руками самой жертвы.
К сожалению, новый закон вновь делает ставку на технику. Из него исключили даже требование об обязательном указании ИНН при выдаче карт и подтверждении операций через национальный мессенджер. Но главное, что в нём по-прежнему нет места системной работе с человеческим сознанием, с тем, чтобы граждане умели распознавать манипуляцию и могли сохранять критическое мышление даже в стрессовой ситуации.
Технические меры необходимы. И да, звонков стало меньше. Но суммы похищенных денежных средств больше, ущерб значительнее. И технические меры никогда не будут главным решением, потому что главная уязвимость заключается не в коде приложения, а в человеческой психике. Пока мы не начнём массово обучать людей распознавать манипуляции, пока не создадим систему психологической «прививки» от социальной инженерии, мы будем бесконечно усложнять жизнь законопослушным гражданам, а преступники будут находить способы обходить эти сложности – вместе с теми, кого они контролируют.
ФПП.