«Значимые действия» через «Макс» или смс. Что снова предлагает Минцифры и как этого избежать? Разбор #14

Что за третий антифрод-пакет, кого он затронет и почему сведение подтверждения к одному закрытому мессенджеру — спорное решение с точки зрения безопасности.
Что это за рубрика

В рубрике «Разбор Теплицы» мы в режиме реального времени разбираемся в определённой проблеме, новостях интернет-цензуры и рассказываем:

  • что происходит;
  • как это устроено;
  • как с этим можно бороться.

Кратко

6 июля 2026 года Forbes со ссылкой на источники в IT- и телеком-отраслях сообщил, что Минцифры предлагает включить в третий пакет антифрод-мер норму об обязательном подтверждении «значимых действий» в интернете через смс-сообщения или мессенджер «Макс». Ведомство эту информацию отрицает.

Ключевое, что теряется в заголовках:

  • Это не первая попытка. Ту же норму пытались провести во втором антифрод-пакете зимой, но ко второму чтению убрали после возражений почти всего бизнеса. Сейчас — третий заход.
  • Формулировка изменилась. В прошлый раз в тексте стояло подтверждение через «Макс» и смс (через запятую, с разночтениями). Теперь речь про «или» — один из двух каналов на выбор. Мягче, но суть та же: список разрешенных способов сжимается до двух.
  • Никто не знает, что такое «значимые действия». Критериев нет ни в одном документе. Под это определение при желании подводится что угодно — от входа в аккаунт до перевода денег.
  • Статус — обсуждение, а не закон. Минцифры говорит, что «такая мера не рассматривается», но само же подтверждает, что третий пакет в проработке. 

По сути дискуссия давно вышла за пределы борьбы с мошенничеством. Спор идет о том, кто определяет, чем вы подтверждаете свои действия в сети — вы и сервис или закон, замкнутый на один государственный мессенджер.

Что происходит

О норме рассказали три собеседника Forbes: источник в IT-отрасли и подтвердившие информацию собеседник в IT-индустрии и источник в телекоммуникационной отрасли. По словам последнего, мера уже обсуждалась при подготовке второго пакета, но в финальную версию не вошла.

Реакция Минцифры знакома нам по прошлым разборам. Ведомство заявило, что «такая мера не рассматривается», добавив, что третий пакет «согласовывается с заинтересованными ведомствами и отраслью», а все инициативы «разрабатываются с учетом баланса безопасности и прав пользователей». Формула обтекаемая: она отрицает конкретную норму, но не отрицает, что пакет готовится и его содержание еще меняется. Для сравнения: сам третий пакет Минцифры анонсировало еще в апреле, а в конце мая замглавы ведомства Иван Лебедев прямо говорил, что документ обсуждается с правоохранительными органами, банками и операторами связи. То есть «не рассматривается» здесь стоит читать как «пока не в тексте», а не как «этого не будет».

Такая схема — «отрицаем в моменте, вносим позже» — уже встречалась в истории с антифрод-мерами, как и многими другими, не раз. Поэтому опровержение само по себе мало что гарантирует. Гарантирует опубликованный текст законопроекта, а его пока нет.

Что за антифрод-пакеты?

Обсуждаемая норма — звено в цепочке ужесточения правил.

  • Первый пакет принят в 2025 году (основные положения заработали с сентября): маркировка звонков от организаций, запрет госорганам и банкам связываться с клиентами через иностранные мессенджеры и еще более трех десятков мер.
  • Второй пакет («Антифрод 2.0») прошёл первое чтение 10 февраля 2026 года и был принят сразу во втором и третьем чтениях 9 июня, подписан в конце июня. В нем — компенсации пострадавшим, маркировка международных звонков и самозапрет на их приём, единая база IMEI, лимит банковских карт, досудебная блокировка сайтов с вредоносным ПО, запрет хостинга для VPN-сервисов.
  • Именно из второго пакета ко второму чтению убрали три спорные нормы: подтверждение «значимых действий» через «Макс», обязательную регистрацию на «значимых ресурсах» только через российскую почту и открытие счетов с привязкой к ИНН.
  • Третий пакет анонсирован в апреле, готовится к рассмотрению. Обсуждаемое подтверждение «значимых действий» — попытка вернуть в него ту самую норму, которую полгода назад отбили.

Каждый раз формулировка чуть меняется, а идея остается: сузить список легальных способов подтверждения до смс и «Макса».

Механика: что такое «значимые действия» и «двухфакторка»

Когда вы входите в аккаунт или переводите деньги, сервис хочет убедиться, что это действительно вы. Пароль — это «фактор знания» (то, что вы знаете). Но пароль можно подсмотреть, украсть или подобрать, поэтому к нему добавляют второй фактор — «фактор владения» (то, чем вы физически обладаете) или «фактор свойства» (биометрия). Это и называется двухфакторной аутентификацией (2FA). Код из смс, код из приложения-генератора, аппаратный ключ, push-подтверждение в банковском приложении, отпечаток пальца — всё это разные реализации второго фактора.

Руководитель АНО «Информационная культура» Иван Бегтин прямо говорит: под «значимые действия» при желании можно подвести что угодно, но, скорее всего, в первую очередь имеется в виду именно двухфакторная авторизация. Здесь и кроется главный вопрос. Не все вторые факторы одинаково надежны, и разница между ними не вкусовщина, а измеримая инженерная характеристика.

Иерархия факторов: от слабого к сильному

Коротко, чем один способ отличается от другого.

  • Смс-код. Самый слабый из распространённых. Уязвим к перехвату на уровне сети (протокол SS7), к подмене SIM-карты (SIM-swap) и к банальному фишингу — когда жертву на поддельной странице просят ввести код. В актуальной редакции руководства по цифровой идентификации американского института стандартов NIST (SP 800-63B-4, утверждена 30 мая 2025 года) смс- и телефонные одноразовые коды через телефонную сеть общего пользования — единственные в категории «ограниченных» (restricted) методов аутентификации. Использовать его можно, но с оговорками: сервис обязан предупреждать пользователя о рисках, предлагать альтернативу и иметь план миграции. Мир от смс постепенно уходит.
  • Push-подтверждение в приложении сервиса. Надежнее смс: подтверждение привязано к конкретному приложению на конкретном устройстве, код не «летит» по сети открытым каналом.
  • TOTP (одноразовый код из приложения-аутентификатора). Открытый мировой стандарт, описанный в спецификации RFC 6238. Код генерируется на устройстве по общему секрету и текущему времени, ничего не пересылается по сети, перехватывать нечего. Не привязан к производителю или платформе.
  • Аппаратные ключи (FIDO2/WebAuthn, passkey) и биометрия. Верхний уровень. Устойчивы к фишингу по своей конструкции: ключ криптографически проверяет, тому ли сайту он отвечает.

Почему это важно: технический разбор

Разберем самую суть нововведений. У инициативы есть три технических изъяна, и каждого по отдельности хватило бы, чтобы насторожиться.

Изъян первый: закон легализует слабое и запрещает сильное

Если норму примут в обсуждаемом виде, картина выходит такая.

Способ подтверждения Надежность Статус по инициативе
Смс-код низкая (SS7, SIM-swap, фишинг) разрешён
Код в «Максе» код закрыт, независимо не проверялся, контролируется государством разрешён
Push в приложении сервиса выше смс под вопросом
TOTP (RFC 6238) высокая, открытый стандарт де-факто вытесняется
Аппаратный ключ / passkey максимальная, антифишинг де-факто вытесняется
Биометрия высокая де-факто вытесняется

Государство предлагает оставить два слабых по надежности варианта и фактически закрыть сильные. Регулирование в такой конфигурации движется против инженерной логики. Эксперт по цифровой безопасности проекта «Сетевые свободы» Станислав Селезнев напоминает про открытый стандарт двухфакторной авторизации RFC 6238 TOTP: он не привязан к производителю или платформе и остается одним из самых распространенных и надёжных в мире, а отказ от него в пользу частного решения нужно серьезно обосновать. Обоснования нет, есть только закрытый код «Макса», о котором, по словам эксперта, неизвестно, как он работает и насколько надежно само приложение.

То же говорят и на финансовом рынке. Гендиректор SafeTech Денис Калемберг отмечал, что схема с обязательным «Максом» противоречит текущим требованиям ЦБ, которые предполагают использование криптографических средств для защиты транзакций. А глава правления ассоциации «Финансовые инновации» Роман Прохоров напоминает главное: основной инструмент мошенников — социальная инженерия, которая позволяет «вести» жертву несколько дней. Против такой схемы расширение числа каналов почти бессильно: если человек психологически вовлечен в сценарий атаки, он подтвердит операцию и во второй, и в третий раз. Проблема не в количестве каналов, а в том, что человека обманом заставляют их использовать.

Изъян второй: один из двух разрешенных каналов не везде разрешен

Вечером 3 июня 2026 года «Макс» пропал из App Store. Apple объяснила удаление санкционными ограничениями. Владельцы айфонов лишились возможности скачать приложение, а у тех, кто уже установил, перестали приходить push-уведомления. Как сказал глава Минцифры Максут Шадаев, «получается, Apple ограничила сразу доступ больше 20 миллионов пользователей к сервисам национального мессенджера». А это не менее четверти всей аудитории «Макса».

Почему пропали именно уведомления ` важная техническая деталь. В iOS push доставляются через сервис APNs по токену, который система выдает при установке приложения из App Store. Как только приложение исчезает из магазина, iOS отзывает токен, и сервер «Макса» больше не может «разбудить» приложение на устройстве. Сообщения при этом доставляются, но тихо. Пресс-служба «Макса» так и советовала пользователям в официальном оповещении — «время от времени самостоятельно открывать приложение, чтобы не пропустить важные сообщения».

Получается, что государство предлагает строить общенациональную систему подтверждения юридически значимых действий на канале, который на устройствах Apple не то чтобы стабильно работает. Ровно об этом риске банки из Национального совета финансового рынка (НСФР) предупреждали еще в марте. Как формулировал глава НСФР Андрей Емелин, обязательная привязка к одному мессенджеру создает «единую точку отказа»: любой серьезный технический сбой или компьютерный инцидент, например DDoS-атака на национальный мессенджер, может «привести к остановке на неопределенное время всей юридически значимой онлайн-деятельности в стране, включая банковские операции и совершение сделок». В июне этот сценарий частично реализовался ещё до всякого закона — только точкой отказа оказался не DDoS, а решение Apple.

Селезнев добавляет: push как альтернатива смс хорош, но для этого push-сервис в приложении должен работать, а «Макс» не получает push-уведомления на всех устройствах Apple. Частичный обход есть — веб-версия web.max.ru, добавленная на экран «Домой» через Safari, умеет присылать уведомления по технологии PWA. Тем же способом после блокировки в App Store живут «Сбер», ВТБ и «Альфа-Банк». Но «частичный обход через PWA» и «надежный канал для юридически значимых действий по всей стране» — это очень разные уровни гарантий.

Изъян третий: сам «Макс» вызывает вопросы как фактор

Второй фактор аутентификации имеет смысл только тогда, когда самому каналу можно доверять. С «Максом» здесь все сложно, и это не про политику, а про то, что показал разбор кода.

Отсутствие сквозного шифрования и закрытый код. В обычных чатах «Макса» нет E2EE — технически сервер имеет доступ к содержимому. Исходный код закрыт, независимый аудит не планируется: нельзя проверить ни то, как реализованы коды подтверждения, ни то, что приложение делает помимо заявленного.

Отключаемая проверка TLS. В середине мая 2026 года исследователь под ником zarazaexe разобрал APK приложения и, среди прочего, описал возможность отключения TLS-валидации, то есть проверки подлинности сертификата сервера, к которому подключается клиент. В связке с другими найденными функциями (сбор списка приложений и контактов, скриншоты, скрытая запись) исследователь резюмировал это как комбинацию «дай все, что в памяти, и не проверяй сертификат того, кто это запрашивает». Отключаемая проверка сертификата для приложения, которое предлагают сделать национальным инструментом подтверждения операций, — это прямая угроза для второго фактора: она открывает дорогу MITM-атакам.

Модуль детекции VPN. 5 марта 2026 года исследователь под ником runetfreedom опубликовал на «Хабре» разбор APK «Макса» (версия 26.4.3). Реверс-инжиниринг показал: приложение асинхронно получает внешний IP пользователя сразу из нескольких источников (список перемешивается при каждом запуске: половина российских, половина зарубежных), параллельно проверяет доступность Telegram, WhatsApp и Google через ping и порт 443 и отправляет результат на сервер с флагом, указывающим на активное VPN-соединение. Множественные источники IP — как раз чтобы вычислять пользователей с раздельной маршрутизацией, которые не заворачивают российский трафик в туннель. Трафик модуля смешан с основным в закрытом бинарном протоколе, отфильтровать его, не сломав мессенджер, нельзя, а сам модуль, по данным исследователя, включается и выключается удаленно с сервера — в том числе прицельно для конкретных аккаунтов. Пресс-служба «Макса» слежку отрицала, объясняя запросы работой WebRTC и проверкой push. Вопросы это не сняло: зачем для WebRTC пинговать gosuslugi.ru по ICMP и зачем «безобидные» данные прятать в закрытом бинарном протоколе.

Слабое место самой аутентификации. Вход в «Макс» завязан на номер телефона. Если пользователь не установил облачный пароль (дополнительный фактор), защита держится на одном смс-коде — а его перехватывают фишингом или подменой сим-карты. При этом сам «Макс» уже стал площадкой для массовых взломов: сценарий «пришел код — продиктуйте» плюс троян «Мамонт», который на Android запрашивает доступ к чтению смс и уведомлений и перехватывает одноразовые коды. Строить обязательное подтверждение операций на канале, который сам активно ломают, — решение как минимум спорное.

Отдельно стоит признать: у подтверждения кодов «Госуслуг» через «Макс» есть и осмысленная деталь — чат-бот «Коды подтверждения» перед выдачей кода задает контрольные вопросы, создавая психологический барьер против диктовки кода мошеннику. Идея разумная. Но она не отменяет всего перечисленного выше и не превращает закрытый мессенджер без E2EE и с отключаемой проверкой TLS в надежный фундамент для общенациональной системы.

Что говорит бизнес

Здесь показательно не только то, кто против, но и кто молчит.

Против — публично. Президент Ассоциации компаний интернет-торговли (АКИТ) Артем Соколов: даже если предусмотреть альтернативу — смс или «Макс», а не оба канала одновременно, — это всё равно не решает проблему полностью. Еще в апреле, при работе над вторым пакетом, АКИТ оценивала издержки бизнеса от обязательной рассылки в сотни миллиардов рублей и указывала, что схема дискриминирует пользователей без российского номера, в роуминге, в зонах плохого покрытия и без установленного «Макса».

Против — сдержанно. В группе РВБ (объединенная компания Wildberries & Russ) инициативу в предлагаемой конфигурации назвали избыточной: на платформах уже работает многоуровневая система проверки подозрительной активности и анализа рисков, а обязательная рассылка «не приведет к пропорциональному повышению уровня безопасности, но существенно увеличит операционные издержки», которые в итоге лягут на цену товаров и услуг для конечных пользователей.

Молчат. В VK, Ozon, «Яндексе» и ВТБ от комментариев отказались. В ЦБ, «Сбере» и Газпромбанке на запросы прессы не ответили. Молчание тоже сигнал: после мартовского письма банков против обязательного «Макса» публично спорить с инициативой мало кто готов.

По данным собеседника Forbes, из второго пакета норму в свое время исключили именно потому, что против выступил весь бизнес, кроме VK, чья «дочка» разрабатывает «Макс», и операторов связи. Расклад интересов с тех пор не изменился.

Со стороны власти сигналы разнонаправленные. Первый зампред думского комитета по информполитике Антон Горелкин назвал сообщения СМИ об этой инициативе искусственным созданием негативного фона вокруг национального мессенджера и заявил, что подтверждения значимых действий через «Макс» не случится — против такой идеи, по его словам, выступают и участники рынка. При этом сам он формулирует принцип, который работает как аргумент против инициативы: «Каждый пользователь должен иметь право выбирать, как та или иная платформа будет запрашивать код доступа: через SMS, через национальный (или любой другой) мессенджер, через push-уведомление или приложение для генерации TOTP».

Как это устроено в других странах

Чтобы понять масштаб странности решения (если не сказать хуже), полезно посмотреть, как вопрос второго фактора решают в мире. Нигде не встречается требования использовать один закрытый мессенджер.

  • США. Институт стандартов NIST в актуальной редакции руководства по цифровой идентификации (SP 800-63B-4, 2025) впервые ввёл категорию «ограниченных» методов аутентификации и отнес к ней смс- и телефонные одноразовые коды. Регулятор не назначает конкретное приложение, а задает требования к стойкости и подталкивает индустрию к приложениям-аутентификаторам, аппаратным ключам и passkey.
  • Евросоюз. Директива PSD2 и стандарт «сильной аутентификации клиента» (SCA) требуют для платежей минимум двух независимых факторов из разных категорий (знание, владение, свойство). При этом способ не привязан к одному государственному каналу: банки конкурируют реализациями, от push в собственных приложениях до аппаратных генераторов.
  • Общий принцип. В открытых экосистемах регулятор описывает, каким должен быть результат (устойчивость к перехвату и фишингу), а не диктует единственный инструмент. Привязка всей страны к одному каналу — это отдельная модель, характерная скорее для режимов с курсом на цифровой суверенитет, а не общемировая норма.

Аргумент «за» звучит неубедительно даже в технической плоскости: задачу борьбы с мошенничеством решает не сужение списка каналов, а качество идентификации и риск-ориентированный анализ операций, который российские платформы, по их словам, уже применяют.

Что это значит для разработчиков

Сразу оговоримся: мы не знаем точный механизм работы данной инициативы, потому что она сейчас описана как желаемое действие и никакой конкретики касаемо методов аутентификации, видов сервисов, устройств и т.п. в публикациях СМИ нет. Когда будет больше конкретики, мы ее обязательно обозначим и дадим более подробные советы.

Если вы делаете сервис с российской аудиторией — веб-приложение, мобильное приложение, платформу с личными кабинетами, — обсуждаемая норма бьет не по интерфейсу, а по архитектуре аутентификации. Повторим важное: пока это обсуждение, а не закон, поэтому речь о подготовке и снижении рисков, а не об авральных действиях. Но заложить маневр стоит уже сейчас.

Что имеет смысл сделать.

  1. Проведите инвентаризацию точек подтверждения. Составьте список всех действий, где сейчас требуется второй фактор: вход, смена пароля, привязка устройства, критичные операции. Именно они первыми попадут под определение «значимых действий», если оно появится в подзаконных актах. Пока критериев нет — считайте кандидатом все, что меняет состояние аккаунта или двигает деньги.
  2. Не завязывайте аутентификацию на один канал на этапе дизайна. Архитектура, где второй фактор жестко прибит к одному способу доставки, хрупка при любом регулировании. Держите абстракцию над провайдером доставки кодов, чтобы добавление или замена канала не требовали переписывания логики.
  3. Сохраняйте сильные факторы как основу, а не как опцию. TOTP (RFC 6238), WebAuthn/passkey, push в собственном приложении — это то, что дает реальную защиту. Если регулирование обяжет добавить смс или «Макс» как дополнительный канал, пусть он будет именно дополнительным поверх стойкого фактора, а не заменой ему. Не понижайте общий уровень защиты ради формального соответствия. Конечно, если законодательная норма напрямую не запретит такое свободомыслие.
  4. Заложите риск-ориентированную логику. Система сама должна определять требуемый уровень подтверждения по совокупности факторов (устройство, геолокация, поведение, сумма операции) — это и есть современный антифрод. Такой подход и эффективнее против социальной инженерии, и гибче под будущие требования.
  5. Проверьте сценарии для пользователей вне периметра «Макса». Пользователи без российского номера, в роуминге, на устройствах Apple без установленного приложения, в зонах плохого покрытия — все они не должны терять доступ, если один из каналов недоступен. Заранее протестируйте деградацию: что происходит, когда push в «Максе» не доходит.
  6. Следите за текстом, а не за пересказами. Пока не опубликован законопроект, любые сроки и формулировки — это источники, а не норма. Ключевые триггеры: появление критериев «значимых действий» в тексте и перечень, который должно утвердить правительство. Мы обновим этот разбор, когда появится официальный документ.

Отдельно для тех, кто проектирует именно 2FA: не выбрасывайте открытые стандарты. Если завтра закон обяжет поддержать смс или «Макс», это не повод убирать TOTP и passkey. Наоборот — они станут вашим способом сохранить нормальный уровень безопасности для тех пользователей, кому важна защита, а не формальная галочка.

Кстати, запрет авторизации на российских сайтах через иностранные сервисы (Google, Apple) закреплён законом № 406-ФЗ ещё с декабря 2023 года, а с 7 июля 2026 за его несоблюдение ввели штрафы для владельцев сайтов. Эту историю мы подробно изучали в Разборе #11, и описывали способы этот запрет обойти. Инициатива про «Макс» и смс – из того же ряда мер по огораживанию идентификации, только про другой ее этап: #11 отвечает на вопрос «чем вы входите», а этот разбор— «чем вы подтверждаете действия».

Что делать пользователям

Пока норма не принята, паниковать не из-за чего. Но базовые правила безопасности от этого не меняются:

  1. Не складывайте все в одну корзину. Для доступа к «Госуслугам» и важным сервисам держите запасные способы входа, не завязанные на один телефон и одно приложение. На «Госуслугах» в разделе «Безопасность» сейчас доступны альтернативы «Максу» — смс, биометрия и одноразовый код из TOTP-приложения.
  2. Используйте самый стойкий доступный фактор. Где можно — включайте приложение-аутентификатор (TOTP) или аппаратный ключ вместо смс. Это надежнее и не зависит от судьбы конкретного мессенджера.
  3. Никогда не диктуйте коды. Ни один настоящий сервис не попросит вас продиктовать код из смс или уведомления. Классика «пришел код — скажите код» — это всегда мошенничество, в каком бы мессенджере оно ни происходило.
  4. Если вы все-таки пользуетесь «Максом» — включите облачный пароль. Без него аккаунт держится на одном смс-коде. Пароль для входа и «безопасный режим» в настройках закрывают самые простые сценарии угона. И не забывайте — у любых коммуникациях через «государственный месенджер» у вас есть невидимый наблюдатель.
  5. Держите под рукой веб-версию. Если push в «Максе» на айфоне не приходит, веб-версия web.max.ru, добавленная на экран «Домой» через Safari, частично решает проблему уведомлений. Надеемся, что этого не дойдет, но готовимся к худшему. 

Но мы отдельно повторим: если есть хотя бы какой-то вариант не использовать «Макс» — не используйте «Макс». Этот мессенджер: а) контролируется связанным с государством бизнесом, б) сам по себе небезопасен и непрозрачен, в) может и будет делиться информацией с любыми заинтересованными силовиками. То же касается и смс, которые уже давно не считаются надежным вторым факторам. Кейсы с дублированием сим-карт для доступа к аккаунтам, в России известны более 10 лет.

Вместо вывода

Формально все это подается как забота о безопасности граждан. На деле инициатива предлагает сузить список способов подтверждения до двух: смс, от которого мир постепенно уходит, и закрытого мессенджера, который за последние полгода успел лишиться push-уведомлений у четверти аудитории, обрасти репутацией площадки для массовых взломов и попасть под разбор кода с находками про отключаемую проверку TLS и детекцию VPN.

Публично против выступают практически весь бизнес и эксперты по безопасности. В пользу нормы работает разве что кривая логика, в которой удобство государственного контроля важнее инженерной надежности, плюс размытое «значимое действие», под которое при желании подводится вся активность пользователя в сети.

Пока это обсуждение. Но когда одна и та же норма возвращается третий раз за год, речь идет уже не о случайных инициативах, а о выбранном курсе.

Источники

Материал будет обновлён при появлении официального текста третьего антифрод-пакета.