Главное Авторские колонки Пресс-релизы Промо Вакансии Вопросы
😼
Выбор
редакции
467 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Положение 851-П и SIM-swap: что изменилось для банков и как защитить клиентов от подмены SIM

С октября 2025 года в полную силу вступило положение Банка России № 851-П. Документ существенно ужесточил требования к защите банковских коммуникаций — в первую очередь к SMS-подтверждению операций. Одновременно растут убытки: по данным ЦБ, хищения в цифровых каналах в 2024 году превысили 27,5 млрд рублей.
Мнение автора может не совпадать с мнением редакции

В чём проблема со стандартными SMS-кодами

SMS с одноразовыми паролями — привычный и удобный канал подтверждения для клиентов. Проблема в том, что он уязвим сразу на нескольких уровнях. Мошенники могут перевыпустить SIM-карту клиента по поддельным документам и получить полный контроль над номером — вместе со всеми приходящими SMS. Это называется SIM-swap.

После подмены SIM злоумышленник получает все OTP-коды, подтверждает переводы — и клиент узнаёт об этом постфактум. 851-П фактически признаёт, что стандартный SMS-код не обеспечивает достаточного уровня защиты: положение требует криптографического подтверждения с гарантией аутентичности и целостности данных.

Почему переход на криптографию — это не быстро

Идеальное решение по 851-П — криптография на клиентском устройстве. Но её внедрение требует серьёзных инвестиций, изменения клиентских сценариев и длительных сроков. Для большинства банков это горизонт нескольких лет.

В этот переходный период банкам нужно что-то, что защищает SMS-канал уже сейчас — не ломая привычный UX.

Как работает IMSI-контроль

Каждая SIM-карта имеет уникальный идентификатор — IMSI. В отличие от номера телефона, IMSI привязан к конкретной физической карте. При SIM-swap номер остаётся прежним, но IMSI меняется.

Механика простая: банк фиксирует IMSI клиентской SIM-карты при первой регистрации. Перед каждой отправкой критического SMS — запрашивает актуальное значение у оператора. Совпадение — отправка разрешена. Несовпадение — операция блокируется. Всё происходит до того, как сообщение ушло.

Два варианта для банков разного размера

Небольшим и средним банкам с гибкой архитектурой подойдёт прямая API-интеграция. Внедрение — до трёх недель. Вся логика принятия решений остаётся на стороне банка.

Крупным банкам со сложной инфраструктурой удобнее подключение через SMS-шлюз. В этом варианте шлюз берёт на себя хранение IMSI, проверку перед каждой отправкой и автоматическую блокировку при несовпадении.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.