Минцифры снова обсуждает идею, которая уже успела вызвать споры в отрасли: обязать подтверждать «значимые действия» в интернете через SMS или мессенджер MAX.
По данным Forbes, речь идет о третьем пакете антифрод-мер против кибермошенничества.
Читают прямо сейчас:
Как устроена и зачем нужна двухфакторная аутентификация — почему SMS — самый слабый вариант второго фактора и чем его лучше заменить
Разбор: Google делает вход по ключу доступа основным способом аутентификации — какие более надёжные методы подтверждения уже существуют вместо кода из SMS
Что такое социальная инженерия и при чём тут кибербезопасность — почему единый обязательный канал подтверждения может стать удобной точкой входа для мошенников
Что хотят изменить
Суть предложения проста на бумаге, но сложна на практике.
Проблема в том, что само понятие «значимые действия» пока размыто. В обсуждениях фигурирует широкий диапазон сценариев — от финансовых операций до активности на маркетплейсах и в онлайн-сервисах.
По сути, граница между «обычным действием» и «подтверждаемым» пока не определена.
Почему вокруг идеи снова спор
Реакция рынка предсказуемо прохладная. Главная претензия — к самим способам подтверждения.
SMS давно считают слабым звеном в безопасности: сообщения можно перехватывать, подменять и использовать в атаках. К мессенджеру MAX вопросов у экспертов еще больше — от непрозрачной архитектуры до отсутствия статуса универсального стандарта.
Есть и более приземленный аргумент: деньги. Банкам и сервисам придется перестраивать инфраструктуру подтверждений и оплачивать массовые отправки сообщений. В итоге эти расходы, как обычно, могут перекочевать в стоимость услуг для пользователей.
При этом многие компании уже используют более современные схемы защиты — push-уведомления, одноразовые коды, поведенческий анализ и риск-скоринг операций.
И часть экспертов опасается, что новая модель может не усилить, а наоборот упростить атаку на пользователей, если ограничит выбор инструментов безопасности.
Почему тема вернулась
Интересно, что эта идея уже появлялась раньше — в рамках второго пакета антифрод-мер. Тогда от нее отказались после критики со стороны бизнеса.
Теперь она возвращается в обновленной версии — уже в составе третьего пакета.
И, как отмечают участники рынка, баланс сил в обсуждении не изменился: большинство крупных компаний по-прежнему против, а поддержку инициативы ранее демонстрировали лишь отдельные заинтересованные стороны.
Что в сухом остатке
Формально речь идет о борьбе с мошенниками. Фактически — о том, кто будет контролировать «точку подтверждения» в цифровой жизни пользователя: сами сервисы с их системами безопасности или единый обязательный канал, навязанный сверху.
И именно в этом споре сейчас снова пытаются найти баланс. Пока без финального решения.
