Крипторынок: полная идентификация и интеграция с платформой ЗСК
23 июня на форуме «Цифровые активы в России» советник директора Росфинмониторинга Влада Корчагина заявила: Банк России начнёт передавать цифровым депозитариям данные платформы «Знай своего клиента» (ЗСК). Платформа оценивает юридических лиц по уровню риска. Депозитарии, получив эти сведения, обязаны применять к клиентам с высокой степенью риска меры, предусмотренные законом о ПОД/ФТ.
Все новые участники крипторынка проходят идентификацию в полном объёме. Сейчас брокеры и доверительные управляющие используют упрощённую процедуру без раскрытия бенефициаров и выгодоприобретателей. Если действующий клиент брокера захочет выйти на крипторынок, ему придётся пройти доидентификацию и собрать недостающие данные. Часть этой работы депозитарии и обменники вправе делегировать банкам и профессиональным участникам рынка ценных бумаг.
Одновременно вводится правило travel rule: цифровой депозитарий обязан сопровождать переводы цифровой валюты данными об отправителе и получателе. Такая же обязанность ложится на брокеров. Перечень операций, подлежащих обязательному контролю, расширяется на пять новых видов, включая информирование Росфинмониторинга об операциях свыше 1 млн рублей.
Эти меры следуют из правительственного законопроекта № 1194918-8 «О цифровой валюте и цифровых правах», который находится на рассмотрении в Госдуме. 18 июня РБК сообщил, что версия ко второму чтению получила статью о праве правительства вводить «особый режим обращения» криптовалют в ответ на санкции, а глава комитета Госдумы по финрынку Анатолий Аксаков подтвердил «много поправок».
Законопроект планировали рассмотреть 23 июня, однако во второе чтение он не перешёл. По оценке Минфина, принятие документа сдвигается на срок «около» 1 июля. После вступления закона в силу покупать криптовалюту легально можно будет только через лицензированных посредников. Что это значит для площадок, мы разбирали в материале о лицензировании криптобирж.
Легальный крипторынок строится по модели рынка ценных бумаг. Для обменников и депозитариев это означает конкретные требования к онбордингу:
- удалённая идентификация с проверкой документа;
- биометрия с контролем живого присутствия (liveness detection);
- сверка по государственным реестрам и санкционным спискам;
- доидентификация действующих клиентов брокера при выходе на крипторынок;
- соблюдение travel rule: сопровождение переводов данными об отправителе и получателе;
- уведомление Росфинмониторинга об операциях свыше 1 млн рублей.
Владельцев сайтов начнут штрафовать за авторизацию через иностранные сервисы
9 июня Госдума приняла во втором и третьем чтениях поправки в КоАП (законопроект № 1069392-8), которые вводят ответственность за использование иностранных сервисов для входа на российские сайты и в приложения. Сам запрет действует с декабря 2023 года в рамках 149-ФЗ, но до сих пор был без санкций. Теперь штрафы делают его реально применимым. 17 июня закон одобрил Совет Федерации; он вступит в силу через десять дней после официального опубликования. Ещё в начале июня глава профильного комитета Госдумы Сергей Боярский разъяснил, что ответственность ложится только на владельцев сайтов, а рядовых пользователей штрафы не коснутся.
Размеры санкций дифференцированы по субъектам: для граждан — от 10 до 20 тыс. руб., для должностных лиц — от 30 до 50 тыс. руб., для юридических лиц — от 500 до 700 тыс. руб. При повторном нарушении верхняя планка для юрлиц возрастает до 1,4 млн руб. Ответственность несёт владелец ресурса, а не пользователь: вход через личный Gmail наказуем для оператора сайта, но не для самого пользователя.
Под запрет попали кнопки «Войти через Google», «Войти через Apple ID» и подобные иностранные сервисы авторизации, а также использование зарубежной электронной почты (Gmail, Yahoo, Outlook и аналогов) в качестве логина на стороне сайта. Разрешённые способы не изменились: российский номер телефона, ЕСИА (Госуслуги), Единая биометрическая система и иные российские системы авторизации, отвечающие требованиям ст. 16 149-ФЗ.
Что это значит для бизнеса
Для финтех-продуктов и маркетплейсов эта норма требует архитектурных изменений. Им предстоит убрать иностранные SSO‑кнопки и интегрировать доверенные российские механизмы входа, сохранив при этом конверсию онбординга. Пользовательский путь меняется на этапе аутентификации, а это требует доработки бэкенда, тестирования сценариев и пересмотра пользовательских соглашений.
Чтобы привести сайт или приложение в соответствие с новыми требованиями, пройдите по пунктам:
- проверить, есть ли кнопки «Войти через Google», Apple ID или аналоги;
- убедиться, что иностранная почта (Gmail, Yahoo, Outlook) не используется как логин на стороне платформы;
- заменить иностранные SSO-кнопки на российские альтернативы: СМС-код, ЕСИА (Госуслуги), ЕБС, другие российские провайдеры авторизации;
- протестировать новый сценарий регистрации на конверсию и UX;
- пересмотреть договоры с подрядчиками по аутентификации — распределить ответственность за возможные штрафы;
- отследить дату официального опубликования закона: штрафы вступают в силу через 10 дней после публикации.
Киберфон: фейковые ИИ-инструменты как вектор атак на бизнес
Фоновый, но важный для антифрода сюжет: 24–25 июня «Лаборатория Касперского» опубликовала отчёт об угрозах для малого и среднего бизнеса. За первые четыре месяца 2026 года её решения зафиксировали свыше 33 300 кибератак на SMB под видом популярных ИИ-инструментов — почти впятеро больше, чем в 2025 году, и около 415 000 атак с поддельными мессенджерами.
Для финтеха это довод в пользу того, что идентификация на входе и антифрод по цифровому следу устройства отвечают на растущий фишинг и подмену личности. Слабый онбординг открывает дверь не только регуляторным претензиям, но и прямому мошенничеству.
Дипфейк-атаки и утечки: масштаб потерь и реакция властей
Что произошло. На Петербургском международном юридическом форуме замначальника следственного департамента МВД Данил Филиппов сообщил о пресечении деятельности пяти интернет-площадок, продававших персональные данные граждан. На одной из таких площадок — информационном ресурсе «Соларис» — содержались данные 112 млн человек — паспорта, банковские счета и другая информация.
С начала 2026 года с помощью технологии дипфейка атакованы свыше 4 тыс. россиян, злоумышленники похитили 21 млрд руб. Средний чек составил 16 млн руб. Одновременно, по данным МВД, общее число киберпреступлений за пять месяцев снизилось на 31,2%.
Что это означает для рынка. Утечка 112 млн записей стала индикатором системной уязвимости: парольная защита перестаёт быть надёжным барьером. Дипфейк-атаки демонстрируют, что традиционные методы проверки личности, включая отдельные формы биометрии, поддаются обходу. Снижение общего числа киберпреступлений на фоне роста дипфейк-атак выглядит парадоксом, но объясняется просто: мошенники консолидируются вокруг сложных и высокодоходных схем. Как отметил председатель Госдумы Вячеслав Володин, задача в том, чтобы предотвращать киберпреступления, а не только их фиксировать.
Откуда берётся топливо для атак. «Лаборатория Касперского» в отчёте об угрозах для малого и среднего бизнеса за январь–апрель 2026 года зафиксировала свыше 33 300 атак под видом ИИ-сервисов и около 415 000 под видом мессенджеров. Значительная доля украденных таким образом учётных данных утекает на теневые площадки, туда же, где торговали базами вроде «Соларис». Так формируется замкнутый цикл: учётные данные компаний и персональные записи граждан стекаются к одним операторам теневого рынка и становятся исходным материалом для дипфейк-атак со средним ущербом 16 млн руб. за эпизод. Механика проста и оттого опасна: подлинные чужие данные дополняются синтетическим биометрическим образом, и злоумышленник проходит проверку личности, не взламывая систему, а имитируя легитимного клиента.
Что это значит для бизнеса. Компаниям, обрабатывающим персональные данные, придётся пересмотреть модель ответственности, а не не только технические меры защиты. Переход на безпарольные методы аутентификации и усиление проверки на живость становятся необходимостью. Операторам ПДн стоит оценивать финансовые риски от потенциальных утечек: на ПМЮФ прозвучало предложение ввести обязательную маркировку контента, созданного с помощью ИИ, и усилить меры защиты цифровой личности. Член ЛДПР Иван Курбаков заявил о необходимости ввести механизм автоматической компенсации для граждан, чьи персональные данные утекли в сеть.
Маркетплейсы: запрет топлива и новый стандарт ответственности
Что произошло. «Авито», Ozon и Wildberries по требованию ФАС запретили продажу топлива на своих платформах. «Авито» скрыл объявления о продаже бензина, к моменту решения их было более 600. На Ozon и Wildberries продажа бензина запрещена, попытки создать карточки блокируются на этапе модерации. В ФАС действия объяснили предотвращением спекулятивных перепродаж.
Параллельно Минэкономразвития разработало поправки к КоАП, предусматривающие штрафы для маркетплейсов до 400 тыс. руб. за ценовое давление на продавцов. А 16 июня Конституционный суд вынес постановление № 39-П: площадка больше не может прикрываться статусом посредника, если нарушение прав очевидно.
Что это означает для рынка. Требование ФАС блокировать определённые категории товаров, введение штрафов за ценовое давление и постановление Конституционного суда об ответственности за контрафакт — три разных, но взаимосвязанных рычага контроля. Первый касается безопасности оборота, второй — экономических отношений между платформой и продавцом, третий — ответственности за содержание площадки. В совокупности они формируют модель, где маркетплейс несёт ответственность не только за транзакции, но и за поведение на платформе в целом.
Что это значит для бизнеса. Продавцам на маркетплейсах стоит ожидать ужесточения правил размещения и возможного изменения комиссионной политики. Самим платформам придётся перестраивать системы модерации и контроля за ценообразованием. Компаниям, которые используют маркетплейсы как канал сбыта, важно следить за изменениями в договорных условиях и заранее выстраивать более прозрачную отчётность.
Смещение ответственности на содержание площадки меняет логику контроля: проверку участников эффективнее проводить на входе, до начала их деятельности, а не реагировать на нарушения постфактум. Раньше эта логика применялась преимущественно к товарам, теперь она распространяется и на исполнителей услуг. Показательный пример того, как этот подход реализуется на практике, — недавняя инициатива «Авито».
Материал носит информационный характер и не является юридической консультацией.
