Еженедельный регуляторный дайджест IDX — это обзор вступивших в силу норм и актуальных угроз для цифровых сервисов, маркетплейсов и KYC-систем. Регулируется законодательством РФ (КоАП РФ, ФЗ-218, ФЗ-248, ФЗ-258). Применяется командами комплаенса, разработки и антифрода.
Кратко — что изменилось 3–10 июля 2026:
- С 1 июля действует новый порядок электронной подачи документов на регистрацию сделок с недвижимостью с идентификацией через ЕБС (ФЗ № 133-ФЗ).
- С 7 июля введена административная ответственность за авторизацию пользователей через иностранные сервисы (ст. 13.55 КоАП РФ, штрафы до 700 000 ₽ для юрлиц).
- С 1 сентября 2026 — первый этап обязательного подключения к цифровому рублю (ФЗ № 248-ФЗ).
- Зафиксирован рост атак с подменой видеопотока на KYC-системы; обычная liveness-проверка уязвима.
- До 10% целевых атак на банки в 2026 году могут затрагивать ИИ-системы (прогноз участников рынка ИБ).
- ЭПР для ИИ-проектов: расширены основания, срок увеличен до 5 лет (ФЗ № 211-ФЗ от 26.06.2026).
Что изменилось в цифровых сервисах 3–10 июля 2026: главные изменения
|
Изменение |
Статус на 10 июля |
Что проверить |
|---|---|---|
|
Биометрия ЕБС при подаче документов на регистрацию сделок с недвижимостью |
Действует с 1 июля 2026 года (Федеральный закон № 133-ФЗ) |
Вид сделки, состав участников, наличие требований к нотариальному удостоверению, наличие УКЭП |
|
Авторизация с помощью иностранных сервисов |
Ответственность по ст. 13.55 КоАП РФ действует с 7 июля 2026 года |
Способы входа на сайте, в приложении и других пользовательских интерфейсах |
|
Цифровой рубль: первый этап подключения |
Федеральный закон № 248-ФЗ вступает в силу 1 сентября 2026 года; обязанности вводятся поэтапно |
Категорию организации, выручку и срок подключения |
|
Дипфейки и подмена видеопотока |
Новые отраслевые данные указывают на рост угрозы |
Источник видеопотока, liveness-проверку и сценарии повторной верификации |
|
Атаки на банковские ИИ-системы |
Отраслевая оценка участников рынка — до 10% целевых атак в 2026 году |
Обучающие и входные данные модели, права ИИ-инструментов, журналы решений |
|
ЭПР для ИИ-проектов |
Федеральный закон № 211-ФЗ опубликован 26 июня 2026 года, вступил в силу с даты опубликования |
Применимость ЭПР к конкретному пилотному ИИ-проекту |
Как работает биометрия ЕБС при регистрации сделок с недвижимостью с 1 июля 2026?
С 1 июля 2026 года стороны сделки по передаче права собственности на недвижимость могут подать электронные документы на регистрацию перехода права без предварительной отметки в ЕГРН о возможности электронной подачи. Для этого они проходят идентификацию с помощью ЕБС и подписывают заявление и приложения УКЭП. Подпись создают с применением квалифицированного сертификата, выданного аккредитованным удостоверяющим центром. Заявитель подписывает документы в личном кабинете или приложении до отправки пакета в Росреестр. Новый порядок предусмотрен пунктом 6 части 6 статьи 36.2 Федерального закона № 218-ФЗ в редакции Федерального закона от 7 июня 2025 года № 133-ФЗ. Росреестр также опубликовал разъяснения о его применении.
Порядок применяется к электронной регистрации перехода права по договорам купли-продажи, дарения, мены, ренты и другим основаниям. До подачи документов нужно проверить вид сделки, состав участников и требования к форме договора. Нотариально удостоверяемые сделки и иные специальные случаи регулируются отдельными нормами и под новый порядок не подпадают.
Идентификация с помощью ЕБС подтверждает соответствие пользователя зарегистрированным данным, но сохраняет часть рисков дистанционной сделки. В операциях повышенного риска целесообразно контролировать сессию, проверять УКЭП и анализировать аномальное поведение. Такой контроль помогает выявлять подмену видеопотока. Эти меры не предусмотрены законом как обязательные, однако снижают риски дистанционной сделки.
Практические сценарии защиты разобраны в материале IDX о подмене лица и face spoofing.
Что проверить команде
- Применяется ли новый порядок к конкретному виду сделки: проверить вид договора, состав участников и наличие требований к нотариальному удостоверению.
- Есть ли у каждой стороны действующая УКЭП и возможность пройти идентификацию с помощью ЕБС до подачи документов.
- Установлены ли роль компании в обработке данных, применимое правовое основание, состав сведений, сроки хранения и порядок документирования операций. Если в конкретном сценарии требуется согласие, определены ли способ его получения и фиксации.
- Проверена ли устойчивость системы идентификации к атакам предъявления: показу фотографии, воспроизведению записи и использованию синтетического изображения вместо изображения живого пользователя.
- Фиксируются ли идентификатор запроса, версия модели и результат каждого этапа верификации для расследования возможного инцидента (рекомендация по безопасности, не требование закона).
Как отказаться от иностранной авторизации и сохранить доступ к аккаунтам
С 7 июля 2026 года действует статья 13.55 КоАП РФ, введённая Федеральным законом от 26 июня 2026 года № 199-ФЗ. Она устанавливает ответственность владельцев информационных ресурсов за нарушение требований к способам авторизации пользователей. Размеры штрафов и перечень затронутых сервисов разобраны в июльском чеклисте регуляторных изменений IDX.
Закон регулирует авторизацию пользователей: подтверждение доступа к учётной записи в российской системе. Для оценки соответствия нужно установить поставщика авторизации, владельца логики проверки и роль каждого участника. Значение имеет то, чья система принимает решение о предоставлении доступа.
Вход с помощью Google, Apple или другого зарубежного сервиса может нарушать требования закона независимо от домена электронной почты. Значение имеет фактическая архитектура: кто получает и проверяет учётные данные, подтверждает доступ и принимает итоговое решение. Неоднозначную схему целесообразно передать на правовую оценку до формирования устойчивой регуляторной практики.
Одного удаления кнопки иностранного входа недостаточно. Сначала пользователям нужно дать возможность привязать разрешённый способ авторизации. Иначе часть из них потеряет доступ, а повторная регистрация создаст дублирующие профили.
Что проверить после 7 июля
- Все точки входа. Проверьте основной сайт, мобильные приложения, кабинеты партнёров, служебные панели, тестовые среды и поддерживаемые версии интерфейсов. Устаревшая интеграция может сохраниться в отдельном контуре после обновления основного продукта.
- Технические зависимости. Проверьте библиотеки, мобильные SDK, SSO-настройки и интеграции OAuth 2.0 или OpenID Connect. Зафиксируйте, какая система выдаёт, подписывает и проверяет токен, а также принимает решение о предоставлении доступа.
- Связь с существующей учётной записью. Дайте пользователю добавить новый способ входа до отключения старого. Иначе при входе новым способом вместо привязки к существующему профилю может быть создана дублирующая учётная запись.
- Восстановление доступа. Не превращайте смену способа входа в упрощённый обход действующей проверки. При смене номера, устройства или учётных данных предусмотрите усиленное подтверждение личности.
- Антифрод-контроль миграции. Отслеживайте новые устройства, резкую смену местоположения, массовую перепривязку учётных записей и изменение платёжных реквизитов. Эти признаки помогают выявлять захват учётной записи во время перехода.
- Персональные данные при перепривязке. Определите правовое основание обработки данных при смене способа входа. Не связывайте профили только по совпадению адреса электронной почты: подтвердите контроль над обоими способами аутентификации или примените усиленную проверку личности.
Анализ цифрового следа устройства помогает сопоставить новую попытку входа с предыдущими сессиями и назначить дополнительную проверку только для рискованных случаев.
Приоритет действий
- Отключить иностранный сервис для регистрации новых пользователей.
- Дать действующим пользователям возможность привязать разрешённый способ входа.
- Отключить прежний способ авторизации.
- Проверить восстановление доступа, объединение профилей и защиту от захвата аккаунта.
Кто обязан подключиться к цифровому рублю с 1 сентября 2026 и в какие сроки?
Федеральный закон от 23 июля 2025 года № 248-ФЗ о поэтапном внедрении операций с цифровым рублём вступает в силу 1 сентября 2026 года. Срок подключения зависит от двух параметров: категории организации и объёма выручки.
С 1 сентября 2026 года требования распространяются на системно значимые кредитные организации, значимые организации на рынке платёжных услуг и продавцов с годовой выручкой свыше 120 млн рублей. Для продавца дополнительно учитывается наличие на 1 января 2026 года договора о приёме электронных средств платежа с системно значимым банком. Продавцы с выручкой 30–120 млн рублей подключаются с 1 сентября 2027 года, а с выручкой 5–30 млн рублей — с 1 сентября 2028 года. Статус организации и условия подключения нужно сверять с актуальной редакцией закона.
Цифровой рубль представляет собой обязательство Банка России. Криптовалюта и цифровые финансовые активы регулируются иначе: различаются субъектный состав, регулятор и допустимые операции. Компаниям, работающим в нескольких сегментах, нужно анализировать каждый режим отдельно.
Что сделать до сентября
- Установить категорию субъекта по Федеральному закону № 248-ФЗ и соответствующий этап подключения.
- Проверить, распространяются ли обязанности из первого этапа на конкретную организацию.
- Если организация относится к первому этапу, запланировать интеграционное, нагрузочное и приёмочное тестирование до даты начала её обязанностей.
- Для криптоплатформ: отдельно определить состав обязанностей по Федеральному закону № 259-ФЗ и требования Росфинмониторинга применительно к категории субъекта.
Как дипфейки и подмена видеопотока обходят KYC-системы в 2026 году?
Signicat сообщила о росте выявленных попыток мошенничества с применением дипфейков на 2 137% за три года. Это результат исследования самой компании, опубликованного в феврале 2025 года по финансовому сектору в Европе. Рост отражает изменение доли дипфейков в структуре мошенничества с 0,1% до 6,5%, а не абсолютное число инцидентов. Показатель нельзя переносить на Россию без отдельной проверки выборки, периода и методики.
По сообщению РИА Новости со ссылкой на МВД, за первые пять месяцев 2026 года от мошенничества с применением дипфейков пострадали более 4 000 человек, а заявленный ущерб превысил 21 млрд рублей. Это сообщение СМИ со ссылкой на ведомство, а не опубликованный МВД массив первичных данных. Сопоставлять этот показатель с данными Signicat некорректно: источники используют разные выборки, периоды, юрисдикции и единицы наблюдения.
При подмене видеопотока злоумышленник передаёт KYC-системе записанное или сгенерированное изображение вместо сигнала реальной камеры. Для атаки используют виртуальную камеру, эмулятор или вмешательство в канал передачи данных.
Обычная liveness-проверка может обнаружить фотографию или запись перед физической камерой, но способна пропустить подмену источника сигнала. Тот же риск присутствует при электронной подаче документов на регистрацию сделок с недвижимостью, где идентификация проводится через ЕБС.
Что проверить в KYC
- Проверяет ли система признаки подмены источника видеопотока: использование виртуальной камеры, эмуляции устройства и вмешательства в канал передачи данных.
- Тестировалась ли система идентификации на актуальных сценариях внедрения поддельного видеопотока.
- Запускается ли повторная верификация при крупных операциях, смене реквизитов и восстановлении доступа.
- Сохраняются ли идентификатор запроса, версия модели, класс атаки и результат проверки для расследования инцидента (рекомендация по безопасности).
Требования к сочетанию проверки живого присутствия, контроля устройства и антифрода собраны в материале о том, что должен уметь KYC-сервис для защиты от дипфейков.
Что сделать: проверьте весь маршрут дистанционного онбординга — документ, liveness, источник видеопотока, устройство, риск-сигналы и основания для повторной верификации. Посмотреть решение IDX для маркетплейсов.
Как атакуют банковские ИИ-системы в 2026 году и как выстроить защиту?
По оценочному прогнозу опрошенных «Коммерсантом» участников рынка информационной безопасности, в 2026 году ИИ-системы могут затрагиваться в пределах 10% целевых атак на банки. Это прогноз участников рынка, а не статистика уже зарегистрированных инцидентов. Среди основных тактик — внедрение вредоносных инструкций в запрос к модели (prompt injection) и намеренное искажение обучающих данных (data poisoning).
Контроль распространяется на весь жизненный цикл данных, от обучающих наборов и входных данных модели до заявок и транзакций. Атака может начаться до принятия решения, например при загрузке документа со скрытой инструкцией или добавлении искажённых данных в обучающую выборку.
Для моделей в идентификации, скоринге и клиентской поддержке компания должна разграничить автоматические решения и случаи дополнительной проверки. Отказ в обслуживании и блокировка операции — решения с серьёзными последствиями для клиента. Их должен иметь возможность пересмотреть сотрудник: автоматическое решение модели не может быть окончательным там, где это требует закон или того требует уровень риска.
Как выстроить контроль
- Определить допустимые источники данных и изолировать обучающие наборы от непроверенного внешнего ввода.
- Ограничить права инструментов, доступных ИИ-ассистенту, и журналировать существенные действия (рекомендация по безопасности).
- Заранее определить, какие решения модели требуют подтверждения сотрудника: как минимум, отказ в обслуживании и блокировка высокорисковой операции.
- Определить, какое основание отказа компания обязана сообщить клиенту в конкретном сценарии. В уведомлении не следует раскрывать технические параметры антифрод-системы, если это может упростить обход контроля.
Что изменилось в условиях ЭПР для ИИ-проектов в 2026 году?
Федеральный закон от 26 июня 2026 года № 211-ФЗ внёс три существенных изменения в порядок применения ЭПР (Федеральный закон № 258-ФЗ): расширил основания для установления режима, увеличил его максимальный срок и добавил право субъекта выйти из режима досрочно.
Ранее ЭПР можно было установить при наличии регуляторного препятствия для эксперимента. Теперь режим доступен и при отсутствии общего регулирования соответствующих правоотношений. Максимальный срок увеличен с трёх до пяти лет, поэтому программа может охватить пилот, доработку модели, контроль рисков и измерение результатов без промежуточного продления.
Компаниям, ранее получившим отказ из-за отсутствия нормативного препятствия, стоит повторно оценить применимость ЭПР. Расширение оснований сохраняет процедуру отбора: программу согласуют, а участники выполняют закреплённые в ней обязанности.
Что изменить в обработке персональных данных при смене авторизации и KYC?
При изменении авторизации, биометрической проверки или антифрод-мониторинга обновите карту обработки персональных данных. Зафиксируйте:
- цели и правовые основания обработки;
- категории данных и источники их получения;
- получателей и лиц, имеющих доступ;
- сроки хранения и порядок удаления;
- трансграничную передачу и использование иностранных SDK;
- обработку биометрических персональных данных;
- локальные документы и пользовательские уведомления, подлежащие обновлению.
Проверьте интерфейс входа и фактические потоки данных между платформой, поставщиками авторизации, антифрод-сервисами и мобильными SDK.
Источники
- Федеральный закон от 7 июня 2025 г. № 133-ФЗ — изменения в ст. 36.2 Закона о государственной регистрации недвижимости
- Росреестр — информация о новом порядке с 1 июля 2026 года
- ГАРАНТ — разбор биометрии в сделках с недвижимостью
- Федеральный закон от 26 июня 2026 г. № 199-ФЗ — статья 13.55 КоАП
- КоАП РФ, статья 13.55 — ответственность за авторизацию
- ГАРАНТ — ответственность за иностранную авторизацию
- ППТ.ру — способы входа с 7 июля 2026 года
- Официальное опубликование Федерального закона от 26 июня 2026 г. № 199-ФЗ (pravo.gov.ru)
- Федеральный закон от 23 июля 2025 г. № 248-ФЗ — поэтапное внедрение цифрового рубля
- Signicat — рост попыток мошенничества с дипфейками
- РИА Новости — данные МВД о дипфейк-мошенничестве
- Коммерсантъ — атаки на ИИ-системы банков
- Федеральный закон от 26 июня 2026 г. № 211-ФЗ — изменения в условиях ЭПР
-
ГАРАНТ — Федеральный закон № 211-ФЗ об ЭПР
Материал носит информационный характер и не является юридической консультацией.