Госдума приняла в третьем чтении масштабные поправки, направленные на комплексное усиление мер противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий.
По мере прохождения законопроекта текст существенно менялся: часть наиболее обсуждавшихся идей исключили, но сохранили ряд «инфраструктурных» решений для связи и финансового сектора, а также обновили ряд определений и полномочий в смежных законах.
Ключевые факты
- В Закон о связи внесено понятие «абонент»: физлицо, которому по договору подвижной радиотелефонной связи выделен абонентский номер.
- Абонент сможет расторгнуть договор в отношении выделенного номера лишь по истечении 90 дней со дня выделения номера.
- Массовые вызовы, нарушающие требования законодательства, признаны незаконными (с исключениями, в том числе для информирования по инициативе госорганов и подведомственных организаций в предусмотренных законом случаях).
- Вводится понятие базы данных идентификаторов пользовательского оборудования; требования к ней устанавливает Правительство РФ.
- Уточнена ответственность за разглашение банковской тайны для оператора единой системы учета платежных карт и его работников, включая возмещение ущерба в порядке, установленном законом.
- Закреплено право совета директоров Банка России при необходимости устанавливать лимит платежных карт для переводов, превышающий предусмотренное Законом о национальной платежной системе количество карт, предоставляемых клиенту-физлицу.
- Закон о национальной платежной системе дополнен обязанностью оператора по переводу денег отказывать в выполнении распоряжения/операции при наличии информации о воздействии вредоносного ПО на пользовательское оборудование; также детализированы случаи ответственности и порядок возмещения при несанкционированных переводах.
Что это значит на практике
Принятый пакет концентрируется на двух блоках: связь (идентификация и контроль абонентских действий, регулирование массовых вызовов, создание базы идентификаторов пользовательского оборудования) и платежи (ограничения по количеству карт, единая система учета карт, отказ в операциях при признаках воздействия вредоносного ПО, более детальный порядок ответственности и взаимодействия с клиентом при несанкционированных списаниях).
Отдельно важно, что к третьему чтению из текста исключили ряд инициатив, которые могли бы затронуть широкий круг компаний (в том числе обсуждавшиеся варианты порядка авторизации на значимых ресурсах). Это означает, что новые требования в текущей редакции в большей степени адресованы операторам связи, кредитным организациям и участникам платежной инфраструктуры, а не всем бизнес-субъектам «по умолчанию».
Вступление норм предусмотрено поэтапно: от даты опубликования до 1 января 2028 г. Практически это требует инвентаризации процессов (связь, антифрод, клиентские коммуникации, выпуск и учет карт) и подготовки внутренних регламентов под конкретные даты запуска отдельных положений.
Кому стоит обратить внимание
- операторам связи и их комплаенс-службам;
- кредитным организациям и операторам по переводу денежных средств;
- участникам платежной инфраструктуры и пользователям системы учета платежных карт;
- владельцам цифровых сервисов и юристам, сопровождающим финансовые и ИТ-процессы;
- специалистам по информационной безопасности и антифрод-подразделениям.
Главный эффект поправок — усиление «инфраструктурных» антифрод-мер и перераспределение рисков: больше обязанностей по предотвращению несанкционированных операций и формализации взаимодействия с клиентом, а в сфере связи — более жесткие правила вокруг абонентских номеров, массовых вызовов и учета идентификаторов пользовательского оборудования.