Издание Forbes заяивло, что Минцифры РФ предлагает включить в третий пакет антифрод-мер требование подтверждать значимые действия в интернете через СМС-сообщения или мессенджер «Макс». Издание сослалось на несколько неназванных источников. Как отмечают источники издания, эту меру обсуждали и раньше, но в финальную версию второго пакета антифрод-мер она не попала. По мнению источников, при введении этой меры компании могут потерять возможность использовать системы аутентификации, например push-уведомления и внутренние уведомления в приложениях. Систему подтверждения должен выбирать сам сервис в зависимости от разных факторов — именно так антифрод работает сейчас.

Источники отмечают, что под «значимые действия» в интернете можно отнести множество разных событий, а какие именно имеет в виду Минцифры, неизвестно. Если инициативу примут, банки и платформы понесут дополнительные расходы на рассылку СМС и уведомлений в «Макс». По словам неизвестного собеседника издания Forbes, предложенные способы подтверждения не самые надёжные, а инициативу исключили из второго пакета мер, потому что против неё выступил весь бизнес, кроме VK (дочерняя компания IT-гиганта разрабатывает «Макс») и операторов связи.

В Минцифры РФ заявили, что такую меру не рассматривают. Как уточнили в ведомстве, третий пакет мер по борьбе с кибермошенничеством по состоянию на июль 2026 года согласовывают с заинтересованными ведомствами и отраслью. Все инициативы разрабатывают с учётом баланса безопасности и прав пользователей, а меры направлены на усиление защиты граждан от мошенников в интернете.

Президент Ассоциации компаний интернет-торговли Артём Соколов не поддерживает идею ограничить способы подтверждения только отдельными каналами. По мнению Артёма Соколова, даже если оставить альтернативу — или СМС, или «Макс», а не оба канала сразу, то проблему это не решит полностью.

В группе РВБ (объединённая компания Wildberries & Russ) тоже не поддерживают инициативу в таком виде и считают её избыточной. Как сообщили в РВБ, на платформах группы уже работает комплекс современных механизмов защиты аккаунтов и операций: многоуровневая проверка подозрительной активности, анализ рисков и дополнительные сценарии подтверждения при необходимости. В компании считают, что обязательное подтверждение всех значимых действий через СМС или мессенджер не повысит безопасность пропорционально затратам, зато заметно увеличит издержки участников рынка. Эти расходы в итоге отразятся на стоимости товаров и услуг для покупателей.

Руководитель АНО «Информационная культура» Иван Бегтин отметил, что под «значимые действия» можно подвести что угодно, но, скорее всего, речь идёт в первую очередь о двухфакторной авторизации. По словам Ивана Бегтина, во многих банках уже давно можно подтверждать действия одноразовыми ключами, через электронную почту и другими способами. Поэтому инициатива выглядит как очередная попытка заставить пользователей перейти на «Макс».

Эксперт по цифровой безопасности проекта «Сетевые свободы» Станислав Селезнёв напомнил про открытый стандарт двухфакторной авторизации RFC 6238 TOTP. Стандарт не привязан к конкретному производителю или платформе и остаётся одним из самых распространённых и надёжных в мире. По мнению Станислава Селезнёва, отказ от этого стандарта в пользу частного решения нужно серьёзно обосновать. Как отметил эксперт, код Max закрыт, поэтому неизвестно, как он работает и насколько надёжно само приложение. Станислав Селезнёв добавил, что есть и другие варианты, например push-уведомления в приложении, но для этого нужен работающий push-сервис, а Max не получает push-уведомления на всех устройствах Apple.

Первый замглавы IT-комитета Госдумы Антон Горелкин заявил, что сообщения СМИ о возможном включении в третий пакет антифрод-мер требования об обязательном подтверждении значимых действий через Max — это искусственное создание негативного фона вокруг национального мессенджера. Как отметил Антон Горелкин, против такой идеи выступают участники рынка. По словам парламентария, подтверждение значимых действий через Max не случится.

Антон Горелкин отметил, что его неназванные собеседники в индустрии считают введение Max как обязательного компонента двухфакторной аутентификации для всех российских цифровых платформ не очень удачной идеей. Первый замглавы IT-комитета предположил, что «слухи подогреваются тем фактом, что в нацмессенджере есть бот с кодами подтверждения». «Но нет никаких предпосылок к тому, что это станет единственным возможным вариантом».

Антон Горелкин

Первый замглавы IT-комитета Госдумы

«Каждый пользователь должен иметь право выбирать, как та или иная платформа будет запрашивать код доступа: через SMS, через национальный (или любой другой) мессенджер, через push-уведомление или приложение для генерации TOTP».