редакции
Положение 851-П и SIM-swap: что изменилось для банков и как защитить клиентов от подмены SIM

В чём проблема со стандартными SMS-кодами
SMS с одноразовыми паролями — привычный и удобный канал подтверждения для клиентов. Проблема в том, что он уязвим сразу на нескольких уровнях. Мошенники могут перевыпустить SIM-карту клиента по поддельным документам и получить полный контроль над номером — вместе со всеми приходящими SMS. Это называется SIM-swap.
После подмены SIM злоумышленник получает все OTP-коды, подтверждает переводы — и клиент узнаёт об этом постфактум. 851-П фактически признаёт, что стандартный SMS-код не обеспечивает достаточного уровня защиты: положение требует криптографического подтверждения с гарантией аутентичности и целостности данных.
Почему переход на криптографию — это не быстро
Идеальное решение по 851-П — криптография на клиентском устройстве. Но её внедрение требует серьёзных инвестиций, изменения клиентских сценариев и длительных сроков. Для большинства банков это горизонт нескольких лет.
В этот переходный период банкам нужно что-то, что защищает SMS-канал уже сейчас — не ломая привычный UX.
Как работает IMSI-контроль
Каждая SIM-карта имеет уникальный идентификатор — IMSI. В отличие от номера телефона, IMSI привязан к конкретной физической карте. При SIM-swap номер остаётся прежним, но IMSI меняется.
Механика простая: банк фиксирует IMSI клиентской SIM-карты при первой регистрации. Перед каждой отправкой критического SMS — запрашивает актуальное значение у оператора. Совпадение — отправка разрешена. Несовпадение — операция блокируется. Всё происходит до того, как сообщение ушло.
Два варианта для банков разного размера
Небольшим и средним банкам с гибкой архитектурой подойдёт прямая API-интеграция. Внедрение — до трёх недель. Вся логика принятия решений остаётся на стороне банка.
Крупным банкам со сложной инфраструктурой удобнее подключение через SMS-шлюз. В этом варианте шлюз берёт на себя хранение IMSI, проверку перед каждой отправкой и автоматическую блокировку при несовпадении.