Банковские приложения под защитой: что меняется для клиентов и рынка
Похоже, правила игры на рынке мобильного банкинга готовы переписать. Банк России прорабатывает идею обязать кредитные организации возвращать клиентам украденные средства, если злоумышленники получили доступ к аккаунту через вредоносное ПО и взломали приложение. Об этом рассказал директор департамента информационной безопасности регулятора Вадим Уваров в интервью, на которое ссылается ПРАЙМ.
Если коротко, логика такова: когда проблема вызвана технической уязвимостью или компрометацией приложения, ответственность не должна ложиться на клиента целиком. Предлагаемая норма призвана закрыть этот пробел и установить понятную процедуру возмещения.
Что именно предлагает регулятор
Суть инициативы — закрепить в правиле: если средства списаны в результате взлома мобильного приложения банка с использованием вредоносной программы, банк обязан возместить клиенту деньги после проверки обстоятельств инцидента. По словам Уварова, ЦБ готовит подходы и обсуждает их с отраслью, чтобы у клиентов появился предсказуемый механизм защиты, а у банков — прозрачные критерии расследования спорных операций. Детали — сроки проверки, перечень доказательств, формат взаимодействия с правоохранительными органами — еще предстоит уточнить, но вектор задан, подтверждает публикация ПРАЙМ.
Почему сейчас
За последние годы мобильный банкинг стал основным каналом управления финансами: от оплаты коммуналки до заявок на потребительские и ипотечные продукты. Чем больше операций в смартфоне, тем активнее злоумышленники охотятся за доступом к устройствам. Вирусы-воры, поддельные экраны входа, вредоносные «обновления» — все это часть повседневной реальности. Предлагаемая ЦБ обязанность призвана сбалансировать риски: если уязвимость возникла в периметре банка, клиент не должен оставаться один на один с проблемой.
Как это может работать на практике
Рассмотрим типовой сценарий. На смартфон пользователя попадает вредонос, перехватывающий одноразовые коды и подменяющий интерфейс приложения. Хищение выявляется постфактум — деньги уже списаны. При действующих правилах клиенту часто сложно доказать отсутствие «добровольного согласия». Инициатива Центробанка добавляет важный фильтр: если подтверждается именно взлом приложения или эксплуатация его уязвимости, банк возвращает деньги, а затем взыскивает ущерб с организаторов атаки или поставщиков вредоносного ПО (при участии правоохранителей).
Связка с уже введенными требованиями
С 1 октября 2025 года системно значимые и крупные на рынке платежных услуг банки обязаны были внедрить в приложения функции для оперативной подачи заявления о мошенническом переводе и получения электронной справки для полиции. Эти инструменты должны ускорять фиксацию инцидента и снижать потери времени между хищением и блокировкой спорных переводов. Новая инициатива дополняет предыдущие изменения: она отвечает на главный вопрос — кто в итоге компенсирует ущерб при доказанном взломе?
Что это означает для клиентов
Во‑первых, усиливается защита прав пользователей: появится предсказуемый сценарий возврата средств, если атака была технологической. Во‑вторых, повысится ценность «цифровой гигиены»: банки, скорее всего, будут настойчивее продвигать обязательную актуализацию приложений и проверки на вредонос. Наконец, клиенты получат понятные чек‑листы, что делать в первые 24 часа — от подачи заявления через приложение до фиксации доказательств на устройстве.
А что для банков
Банкам предстоит вложиться в Threat Intelligence, поведенческую аналитику и антифрод-модули внутри мобильных SDK. Возможны дополнительные инвестиции в sandbox‑экраны и детекторы рутирования/джейлбрейка, а также в верификацию среды исполнения. Но у инициативы есть и плюс для индустрии: унифицированные правила сократят «серые зоны» в спорах с клиентами и снизят регуляторную неопределенность.
Тонкие моменты: как разграничить вину
Ключевой вызов — доказательная база. Где проходит грань между взломом приложения и компрометацией устройства из‑за действий пользователя? Как учитывать случаи социальной инженерии, когда жертва сама передала коды? Ответ — в методиках расследования и технической атрибуции. Вероятно, банки и регулятор договорятся о признаках, которые позволят быстро квалифицировать кейс: эксплойт конкретной версии клиента, аномальные вызовы внутренних API, несанкционированные модификации библиотек, следы внедрения вредоноса и пр.
Как подготовиться уже сейчас
— Обновляйте приложение банка, отключайте установку из неизвестных источников, используйте встроенные детекторы компрометации устройства. — Отслеживайте уведомления банка: любые входы, смена устройства, попытки входа из новой локации — поводы проверить активность. — Держите под рукой быстрые сценарии обращения: в мобильном банке давно есть разделы для оспаривания операций, а в ряде банков — «паническая» кнопка. — Проверяйте финансовые продукты в одном окне: от дебетовых карт до кредитных лимитов. Например, удобнее заранее настроить лимиты по операциям, выбрать безопасную Карту МИР и внимательнее отнестись к дополнительным бонусам по картам с кэшбэком.
Что делать при инциденте: краткий алгоритм
- Сразу подайте несогласие с операцией через раздел в приложении и продублируйте обращение в контакт-центре.
- Зафиксируйте доказательства: скриншоты, уведомления, журнал звонков, список недавно установленных приложений.
- Отключите сессии на других устройствах, смените PIN/паролями и удалите подозрительные программы.
- Проверьте остатки и лимиты по продуктам — от счетов до кредитных карт; при необходимости временно заблокируйте операции.
- Отслеживайте статусы заявок и, если требуется, направьте заявление в полицию.
- После инцидента имеет смысл пересмотреть финансовые настройки: ограничить лимиты переводов, а также, при планировании крупных покупок, заранее сравнить условия по рефинансированию и другим продуктам — это поможет оптимизировать риски и расходы.
Как инициатива скажется на рынке
Вероятно, увидим рост «безопасностной премии» в себестоимости мобильного банкинга: банки будут активнее инвестировать в антифрод и DevSecOps. Для клиентов это может обернуться усилением KYC-процедур и дополнительными проверками при входе. В краткосроке рынок пройдёт адаптацию, в среднесроке — выиграет доверие пользователей к цифровым сервисам. В выигрыше и платежная дисциплина: чем быстрее спорная операция фиксируется, тем выше шанс возврата.
Где следить за изменениями
ЦБ публикует разъяснения и проекты актов в открытом доступе. Пока документ на стадии проработки, но в ближайшие месяцы, судя по риторике регулятора, можно ожидать конкретики по процедуре возмещения. Параллельно полезно мониторить официальные показатели и рыночные индикаторы — например, динамику ликвидности и курсы ЦБ РФ, если вы планируете крупные платежи в валютах или подключаете дополнительные сервисы для операций с Долларом США (USD) и Евро (EUR).
Вывод
Инициатива Центробанка — шаг к новой норме: если украли из мобильного банка из‑за взлома приложения, деньги должны возвращаться. Для пользователей это дополнительная «подушка безопасности», для банков — стимул строить ещё более зрелые процессы киберзащиты и форензики. Осталось дождаться текста и окончательных критериев — тогда правила игры станут предельно ясны.
