Пишут про запрет eSIM. А что в реальности? И к каким ограничениям стоит готовиться? Разбор #13

Что за «антифрод-пакет» и как готовить свои устройства?
Что это за рубрика

В рубрике «Разбор Теплицы» мы в режиме реального времени разбираемся в определённой проблеме, новостях интернет-цензуры и рассказываем:

  • что происходит;
  • как это устроено;
  • как с этим можно бороться.

Разбираемся, что стоит за обсуждаемым третьим антифрод-пакетом, кого он реально затронет и почему «запрет регистрации из-за границы» технически не так прост, как звучит в заголовках.

Кратко

23 июня 2026 года «Коммерсантъ» сообщил, что правительство обсуждает новые ограничения для двух типов сим-карт: виртуальных eSIM и M2M (machine-to-machine, «машина-машине»), которые работают в датчиках, банкоматах, автомобилях и другой технике. Среди обсуждаемых мер:

  • запрет россиянам удаленно регистрировать eSIM из-за границы,
  • выделение M2M-карт в отдельную категорию,
  • дополнительная идентификация их пользователей,
  • лишение таких карт возможности передавать голос и СМС.

Ключевое, что теряется в новостных заголовках: это пока обсуждение, а не закон

Минцифры подтверждает только сам факт работы над третьим пакетом и отказывается от деталей. Источники прямо говорят, что решение не принято и мера может не войти именно в третий пакет. При этом два сюжета — eSIM для поездок и удаленный выпуск российского номера — в публикациях смешались, хотя это разные вещи.

По последствиям все тоже неоднородно. Для eSIM эффект, по оценкам экспертов, будет точечным и заденет в основном физлиц за границей. Для M2M — системным: речь о рынке примерно в 60 млн карт, то есть о значительной части всего интернета вещей в стране.

Что происходит

Статус инициативы намеренно размыт. Один источник «Коммерсанта» говорит, что меры могут войти в третий пакет законопроектов по борьбе с кибермошенничеством (антифрод-пакет). Другой собеседник, знакомый с планами Минцифры, уточняет: «такая задача есть, но не факт, что мера войдет именно в третий пакет». Третий источник утверждает, что обсуждения идут, а конкретного решения пока нет.

Минцифры отреагировало сдержанно. Ведомство заявило, что продолжает борьбу с интернет-мошенничеством, третий пакет «обсуждается и будет представлен в ближайшее время», а говорить о деталях рано. «Вымпелком», «МегаФон» и Т2 от комментариев отказались, МТС не ответил. Ничего неожиданного.

Канал «ЗаТелеком» на фоне волны кликбейтных перепечаток справедливо обратил внимание: на слове «обсуждает» уже стоит остановиться, речь не о роуминге иностранных сим-карт, а о гипотетическом ограничении удаленного выпуска российских номеров для тех, кто за границей. Как это реализовать технически — отдельный большой вопрос, к которому мы вернёмся.

Что за антифрод-пакеты?

Обсуждаемые меры — не отдельная история, а продолжение последовательного ужесточения правил оборота сим-карт:

  • Первый пакет принят в марте 2025 года, основные положения заработали в сентябре 2025-го.
  • Второй пакет уже одобрен Госдумой и Советом Федерации. В нем — маркировка международных звонков и самозапрет на их прием, обязательная привязка IMEI к договору и единая база IMEI, сервис «красной кнопки» на «Госуслугах», лимит в 20 банковских карт на человека.
  • Одну из мер мы уже разбирали подробно. Во втором пакете был запрет хостинга для VPN. Эта норма сохранилась ко второму чтению, хотя часть других мер (подтверждение через Max, регистрация только через российскую почту) убрали. Подробно читайте об этом в Разборе #5.
  • Отдельная история: с сентября 2026 года операторам планируют запретить закупать иностранные сим-карты, оставив только карты с российским ПО и криптографией. Критерии «отечественности» при этом до сих пор четко не прописаны.

Обсуждаемые ограничения для eSIM и M2M встают в этот же ряд — как еще один уровень контроля над тем, как абонент получает связь.

Механика

Что такое eSIM и почему «граница» здесь — размыта

eSIM — это не карта, а профиль, который скачивается в специальный чип внутри устройства (его называют eUICC). Технология описана глобальным отраслевым стандартом GSMA и опирается на удалённую инициализацию — Remote SIM Provisioning.

Если упростить, в процессе участвуют четыре элемента: чип eUICC в телефоне, который хранит профили; сервер SM-DP+, который готовит и выдает профиль оператора; сервер обнаружения SM-DS, помогающий устройству найти нужный SM-DP+; и локальное ПО LPA на устройстве, которое всем этим управляет. Когда вы сканируете QR-код, в нем зашит адрес SM-DP+ и код активации: телефон связывается с сервером, проходит проверку и получает зашифрованный профиль с ключами и сетевыми настройками. Профиль шифруется именно под ваш чип — на другое устройство его не поставить.

Отсюда и главная техническая проблема запрета. В этой архитектуре «граница» не является контролируемой точкой: активация происходит на стороне устройства, а профиль приходит с сервера по интернету. Определить, в какой стране находится человек, можно по геолокации или IP — но это легко обходится.

На практике у государства остается два пути, и оба несовершенны.

Первый — обязать российского оператора (и его SM-DP+) не выдавать профиль без подтверждённого нахождения в России. Второй — блокировать иностранные eSIM-сервисы на сетевом уровне, как это сделали в Индии. В первом случае страдают легальные пользователи в поездках, во втором — запрет обходится через VPN или покупку профиля заранее.

Что значит «лишить M2M голоса и смс»

M2M-карты — это связь между устройствами без участия человека: датчики, терминалы, трекеры в транспорте, банкоматы. Сегодня они, по словам участников рынка, находятся в «серой зоне»: карту можно купить и не регистрировать на «Госуслугах», чаще всего она оформляется на юрлицо. При этом оператор на сети видит, вставлена карта в телефон или в другое устройство.

«Главная цель поправок — перекрыть мошенникам лазейку, где М2М-симки используют для спам-обзвонов. Их хотят лишить голоса и СМС, чтобы они работали только по прямому назначению», — говорит Анастасия Биджелова из «Телеком Биржи». Логика понятна, но у нее есть цена. Во многих устройствах голосовой канал или СМС используются не для разговоров, а как резервный или управляющий канал — например, для передачи команд или аварийных сигналов. Запрет затронет именно их.

Что еще стоит учитывать

Два разных сюжета — два разных эффекта

Эксперты, опрошенные «Деловым Петербургом», сходятся в том, что последствия для eSIM и M2M принципиально разные. Для наглядности, соберем различия в таблице.

Параметр запрет удаленной регистрации eSIM ограничения M2M-сим-карт 
Кого затрагивает Физлиц за пределами РФ: туристы, командированные, релоканты Бизнес: логистика, транспорт, умные дома, платежные терминалы, мониторинг
Масштаб Доля eSIM в РФ пока невелика Около 60 млн карт, ~20% всех сим-карт в стране
Главный риск Сложности с удаленным выпуском / восстановлением российского номера в поездке Запрет голоса и смс ломает устройства, где это резервный или управляющий канал
Эффект для операторов По оценкам — почти незаметный Рост административной нагрузки, возможная миграция части сим-карт
Техническая выполнимость Низкая: контроль страны активации легко обходится Выше: оператор видит тип устройства

По eSIM прогноз скорее спокойный. Глава «Рустелекома» Юрий Брюквин отмечает, что количество eSIM в России пока невелико и влияние на выручку операторов может оказаться незаметным, а удар придётся прежде всего по физлицам за пределами страны. Денис Кусков (Telecom Daily) добавляет, что число туристов с 2022 года заметно сократилось.

По M2M тревоги больше. Аналитик Эльдар Муртазин предупреждает, что жёсткие ограничения «отрубят» множество уже работающих устройств, в том числе у компаний:

Что за скобками антифрод-кампании

Заявленная цель — борьба с мошенничеством. По данным ЦБ, в 2025 году мошенники похитили 29,3 млрд рублей, и удалённое оформление номера без надёжной идентификации действительно создаёт риски. Но эксперты считают это объяснение неполным.

Запрет удалённой регистрации eSIM действительно усложнит схемы с массовой регистрацией аккаунтов на виртуальные номера, но одновременно ограничит и легальное использование иностранных сервисов россиянами за рубежом. Учитывая параллельные ограничения на VPN и иностранные мессенджеры, такое решение можно рассматривать и как ещё один инструмент контроля цифрового пространства.

Ярослав Климов, Финансовый университет (комментарий «Деловому Петербургу»)

Здесь же — содержательный аргумент против географического подхода: задачу решает качество идентификации и контроль подозрительных операций, а не страна подключения. Современные средства уже позволяют надежно подтверждать личность дистанционно, и опираться логичнее на них, а не на географию.

Как это устроено в других странах

По оценке Transforma Insights (обзор более 80 юрисдикций), обязательная регистрация телефонных сим-карт есть в 83% изученных стран, но регулирование IoT-сим-карт развито гораздо слабее: более 70% стран вообще не упоминают их отдельно, а европейские режимы чаще делают правила для IoT мягче, чем для телефонов.

  • Китай — наиболее близкая к России параллель. Явного запрета eSIM нет: ограничение работает через регуляторный дизайн. eSIM разрешена точечно — для носимых устройств и IoT, где профили выдают отечественные операторы и регистрируют под верифицированную личность. Для подключенных автомобилей с 2021 года действует отдельное требование real-name регистрации.
  • Индия — в январе 2024 года власти обязали Apple и Google убрать из местных магазинов eSIM-приложения Airalo и Holafly, а для M2M/IoT-устройств на экспорт TRAI предложил отдельную авторизацию с жестким KYC.

Для контраста — Великобритания, ЕС, США, Япония, Южная Корея, Австралия и большая часть Юго-Восточной Азии работают с открытыми eSIM-экосистемами, где операторы конкурируют за выдачу профилей. То есть контроль через инфраструктуру — это отдельная модель, а не общемировая норма.

Как смягчить последствия

Повторимся: пока это обсуждение закона, а не готовый закон. Поэтому речь о подготовке и снижении рисков, а не о срочных действиях. Что имеет смысл иметь в виду уже сейчас. Следите за статусом третьего пакета: пока не опубликован текст законопроекта, любые конкретные сроки и формулировки — это пересказ источников, а не норма. Мы обновим этот разбор, когда появится официальный документ.

Тем, кто часто бывает за границей

  1. Не складывайте все яйца в одну корзину: для доступа к российскому номеру в поездке держите запасные способы подтверждения личности и доступа к «Госуслугам», не завязанные на один телефон.
  2. Если зарубежная eSIM критична для работы — заранее установите и протестируйте профиль, не рассчитывая активировать его по прилету. Профиль, скачанный заблаговременно, обычно продолжает работать.
  3. Помните про разницу сценариев: иностранная eSIM для поездки и российский номер — это разные вещи, и регулирование (если будет принято) затронет их по-разному.

Организациям и проектам, использующим IoT/M2M

  1. Проведите инвентаризацию: какие из ваших устройств используют голос или смс как канал — пусть даже резервный или управляющий. Именно они под ударом в первую очередь.
  2. Заложите в планы возможный переходный период и затраты на перенастройку или замену оборудования, особенно для старых устройств.
  3. Убедитесь, что ваши M2M-карты оформлены и учтены прозрачно (на юрлицо, с понятным назначением) — корпоративные, «видимые» подключения в любых сценариях регулирования в более выгодном положении, чем «серые».

Разработчикам и техническим командам

Если ваш продукт использует сотовую связь для устройств, обсуждаемые ограничения для M2M бьют не по «фронтенду», а по самой архитектуре связи. Пока это обсуждение, а не закон, поэтому речь о подготовке, а не об авральных мерах, но и откладывать не стоит. Что стоит проверить и заложить заранее.

  1. Проведите аудит каналов связи. Найдите все места, где используется голос или СМС — не только как основная функция, но и как резервный или управляющий канал. Типичные случаи: СМС-команды для перезагрузки или смены конфигурации модема, голосовой дозвон как fallback при недоступном дата-канале, подтверждение по СМС в логике активации. Именно это под ударом в первую очередь.
  2. Переводите управляющую логику на data-канал. Если устройство принимает команды по СМС, заложите переход на protocol-over-IP. Это правильнее и с точки зрения надёжности, а ограничения лишь делают миграцию обязательной, а не желательной.
  3. Не завязывайтесь на один профиль на этапе дизайна. Используйте eUICC с удалённой сменой профиля (стандарт SGP.32 для IoT) — это страховка не только от регуляторных изменений, но и от смены оператора, тарифов и проблем с покрытием. Закладывайте OTA-обновление (по воздуху) профилей как штатную возможность.
  4. Инвентаризуйте парк по «возрасту» железа. Старые устройства, где голос или СМС зашиты в прошивку и не обновляются по воздуху — самый болезненный случай: их, возможно, придётся менять физически. Составьте список того, что нельзя перенастроить удалённо, и оцените стоимость замены заранее, а не в момент вступления нормы в силу.
  5. Держите карты «белыми». Убедитесь, что M2M-карты оформлены прозрачно — на юрлицо, с понятным назначением и корректным учётом. В любом сценарии регулирования видимые корпоративные подключения в куда лучшем положении, чем «серые», перепроданные под видом M2M голосовые карты.
  6. В целом нужно снижать зависимость в eSIM/SIM инфраструктурах. Это и сейчас создает проблемы для пользователей, и улучшения будут не скоро.

Обновление от 26 июня 2026 года

Пока разбор готовился, ключевой элемент контекста перешёл из статуса «одобрен» в «подписан». 26 июня Владимир Путин подписал закон о втором пакете мер против кибермошенников — тот самый «Антифрод 2.0». Главная норма, прямо смыкающаяся с темой разбора — создание государственной базы IMEI. Она будет содержать сведения о разрешенных и запрещенных к использованию в России IMEI-кодах, а операторов обяжут передавать в нее данные об идентификаторах устройств абонентов. Механика отключения сформулирована недвусмысленно: если в базе стоит запрет на конкретный IMEI, оператор не вправе оказывать услуги связи с его применением; в обслуживании откажут и в случае, если выяснится, что с одним номером используется чужое устройство. Наполнять базу будут операторы связи и органы власти, перечень которых определит правительство; плата за внесение IMEI не взимается.