Бизнес раскритиковал рамочный закон об ИИ, часть банков продолжает работать без доступа к базе паспортов МВД, а маркетплейсы получили новые ограничения на продажу сим-карт.
Новостная повестка третьей недели апреля по темам данных, идентификации и регулирования искусственного интеллекта оказалась плотной. Законопроект Минцифры об ИИ собрал замечания бизнеса в ходе общественного обсуждения, завершившегося 15 апреля. Банки с 15 апреля работают в условиях сбоя проверки паспортов через СМЭВ : крупным банкам доступ восстановили к 20 апреля, остальным участникам рынка — пока нет. МФЦ Ленинградской области завершили пилот цифрового ID без предъявления бумажного паспорта. За рубежом стало известно о несанкционированном доступе к модели Anthropic Mythos, которую компания готовится передать европейским банкам для тестирования их собственной инфраструктуры.
Государство достраивает систему контроля за данными, алгоритмами и идентификацией рамочный законопроект об ИИ, обязательная маркировка синтетического контента, расширение сценариев использования биометрии. Платформы и банки становятся ключевыми точками этой системы. Одновременно проявились уязвимости инфраструктуры, причём не только в России: сбой СМЭВ остановил конвейер онлайн-кредитования, сайт «Уральских авиалиний» показал пользователям чужие паспортные данные из-за ошибки изоляции пользовательских сессий, Anthropic расследует утечку Mythos через подрядчика.
Рамочный законопроект об ИИ: бизнес возражает, требования к платформам остаются
Проект закона об основах регулирования ИИ Минцифры пока не прошёл оценку регулирующего воздействия (ОРВ): бизнес зафиксировал избыточную нагрузку и назвал ряд норм невыполнимыми. Общественное обсуждение завершилось 15 апреля, вступление в силу планируется с 1 сентября 2027 года.
Требования к маркировке синтетического контента сохраняются. Соцсети и видеохостинги обязаны проверять наличие метки на сгенерированных материалах: при её отсутствии платформа должна поставить метку самостоятельно или удалить контент. Статья 11 перераспределяет бремя доказывания в пользу пользователя: разработчики, операторы и владельцы сервисов обязаны доказать отсутствие своей вины в противоправных результатах работы ИИ. Конструкция близка к повышенной ответственности по ст. 1064 и 1079 ГК РФ.
19 апреля вице-спикер Госдумы Борис Чернышов (ЛДПР) направил в Минцифры письмо с предложением обязать платформы внедрить кнопку «Пожаловаться на дипфейк» с ускоренным циклом модерации и уведомлением пострадавших. 17 апреля депутаты КПРФ внесли законопроект о цифровых правах граждан: гарантии доступа к интернету, право на анонимность, защита данных, блокировки только по судебному решению, ограничение на применение технических средств противодействия угрозам (ТСПУ) для целей, выходящих за рамки блокировки и фильтрации противоправного контента (ст. 46 ФЗ «О связи»).
Ключевые нормы о маркировке, ответственности за контент и обязательствах перед пользователями обсуждаются в нескольких инициативах параллельно. Складывается ситуация, когда отраслевая практика складывается быстрее, чем формируется сам закон.
Для бизнеса. Платформам, медиасервисам и рекламным площадкам стоит уже сейчас готовить внутреннюю политику работы с ИИ-генерацией: правила для авторов и партнёров, технические механизмы обнаружения синтетики, распределение ответственности в договорах.
Идентификация под давлением: сбой у банков и пилот в МФЦ
15 апреля российские банки лишились доступа к сервису проверки паспортов через СМЭВ. МВД отключило сервис в одностороннем порядке без предварительного уведомления. К 20 апреля доступ восстановлен для крупных банков, в первую очередь из числа системно значимых. Для остальных участников рынка восстановление продолжается.
Сбой осложнил выдачу онлайн-кредитов. Банки переходят на цифровой профиль с согласия клиента и на офлайн-списки недействительных паспортов; часть заявок переведена в более высокие категории риска. Ситуацию острее всего ощущают средние и небольшие банки вне приоритетного списка восстановления.
В эти же дни МФЦ Ленобласти завершили тестирование сервиса «Цифровой ID» в мессенджере MAX: верификация без бумажного документа через Единую биометрическую систему или загранпаспорт нового образца. Запуск запланирован на 15 областных МФЦ с биотерминалами. По данным Минцифры, за первое полугодие 2025 года через ЕБС было оказано 5,9 млн услуг, что в пять раз больше, чем за предыдущие три года.
Сбой СМЭВ обозначил операционный риск концентрации: вся онлайн-верификация завязана на один государственный шлюз. Альтернативный канал через ЕБС снизил эту зависимость для участников, выстроивших интеграцию до инцидента.
Для бизнеса. Компаниям с онлайн-онбордингом стоит пересмотреть схему резервирования: комбинация источников данных, биометрическое подтверждение в качестве запасного канала, балансировка нагрузки в пиковые часы и на случай сбоев принимают всё большее значение.
Платформы: SIM-карты под контролем
21 апреля «Коммерсантъ» сообщил, что Минцифры координирует с операторами связи и маркетплейсами согласование списков официальных дилеров по продаже SIM-карт. Повод— серый оборот активированных номеров вопреки запрету, введённому в 2025 году. За 2025-й заблокировано 18,45 млн SIM-карт (+76% к 2024-му). Доля электронной торговли в розничном обороте России достигает 17%, и маркетплейсы становятся заметным каналом для неавторизованных продаж. Ozon уже направил операторам запрос на согласование списка продавцов.
Регулятор применяет ту же логику, что при введении самозапретов на кредиты: найти точку входа в нарушение и организовать верификацию именно там. Для SIM-карт такой точкой на этот раз оказался маркетплейс.
Для бизнеса. Торговым площадкам предстоит аудит продавцов в категории «телеком» и построение процессов проверки дилерского статуса. Cтандарты, давно принятые в финансовом секторе, распространяются на e-commerce.
Кибератаки: рост нагрузки на мониторинг, инцидент Anthropic и ошибка на фронтенде
По данным «Информзащиты», в первом квартале 2026 года атаки на финансовый сектор стали разнообразнее. Фишинг и социальная инженерия: 68% (+11 п.п.) , вредоносное ПО с удалённым доступом — 41% (+11 п. п.), атаки через цепочки поставок — 26%, шифровальщики — 21%, шпионское ПО — 16%. При этом число успешных инцидентов снизилось до до 1,07 тыс. (−12% к 2024 году) — минимум с 2022 года.
Снижение успешных атак объясняется ростом инвестиций в защиту. Активность злоумышленников продолжает расти, разнообразие инструментов создаёт дополнительную нагрузку на команды мониторинга. По данным отраслевых исследований (Ponemon Institute, SimSpace), в типичном SOC ложноположительными признаются от 40 до 50% срабатываний, а 67% ежедневных алертов не обрабатываются из-за объёма.
22 апреля стало известно о раскрытии персональных данных на сайте «Уральских авиалиний»: при оформлении билетов пользователи видели чужие ФИО, паспортные данные, email, дату рождения и бонусный баланс. Авиакомпания назвала произошедшее «кратковременным техническим сбоем». С технической точки зрения это ошибка изоляции пользовательских сессий, при которой один пользователь получает данные другого. По ст. 21 ФЗ № 152-ФЗ «О персональных данных» (в редакции ФЗ № 266-ФЗ от 14.07.2022) инцидент квалифицируется как неправомерная передача персональных данных: оператор обязан уведомить Роскомнадзор в течение 24 часов с момента обнаружения и в течение 72 часов направить сведения о результатах внутреннего расследования.
Anthropic расследует несанкционированный доступ к модели Mythos, предназначенной для поиска уязвимостей в банковской инфраструктуре. Доступ получен через стороннего подрядчика. Британский институт безопасности ИИ (UK AI Security Institute) оценил модель как «существенно более опасную для кибернападения, чем любая ранее оцененная». Anthropic готовит передачу Mythos европейским банкам для тестирования их собственной инфраструктуры.
Для бизнеса. Атака на Anthropic прошла через подрядчика, именно этот вектор показал самый быстрый рост в первом квартале. Управление правами доступа контрагентов требует отдельного процесса, изолированного от общего онбординга. Инцидент авиакомпании показывает, что для компрометации персональных данных достаточно ошибки в изоляции сессий.
Мировой контекст: биометрия в Казахстане, ограничения Aadhaar в Индии
В Казахстане правительство обязало операторов баз персональных данных объёмом свыше 100 тыс. записей применять биометрическую идентификацию при работе с этими базами. Требование внесено в правила информационной безопасности государственных цифровых систем с акцентом на финсектор и МФО.
В Индии правительство отказалось от идеи обязательной предустановки приложения Aadhaar на смартфоны Apple, Samsung и Google. Производители сослались на рост затрат, необходимость раздельных линий сборки и вопросы безопасности. Aadhaar охватывает более 1,34 млрд граждан, и этот масштаб не снял возражений производителей.
Казахстанская норма создаёт ориентир, который может быть принят другими юрисдикциями ЕАЭС. Индийский кейс фиксирует границу: попытка встроить национальную идентификацию в базовое ПО устройств столкнулась с сопротивлением производителей и аргументами с позиций безопасности.
Для бизнеса. Компаниям с присутствием в ЕАЭС стоит закладывать биометрическую верификацию операторов крупных баз данных как ожидаемый регуляторный ориентир, не дожидаясь аналога в российском законодательстве.
Что это значит для компаний
Альтернативные каналы KYC. Разнообразить источники проверки паспортов: ЕБС, списки недействительных документов МВД, цифровой профиль с согласия клиента. Сбой СМЭВ показал, что зависимость от одного канала создаёт критический риск.
Маркировка ИИ-контента. Требования обсуждаются в нескольких инициативах одновременно. Компаниям стоит уже сейчас разработать внутренние правила работы с ИИ-контентом и зафиксировать их в договорах с партнёрами, не дожидаясь принятия закона.
Верификация контрагентов на маркетплейсах. Проверка продавцов в высокорисковых категориях (телеком, финансы, крипта) становится обязательным операционным стандартом. Площадкам предстоит внедрить процессы подтверждения статуса дилера, аналогичные банковским процедурам оценки контрагентов.
Удалённая биометрия как резервный канал. По данным Минцифры, за первое полугодие 2025 года через ЕБС было оказано 5,9 млн услуг — пятикратный рост. Интеграция с платформами удалённой идентификации, выстроенная заранее, снижает риск простоя при сбое централизованных шлюзов.
Аудит цепочки поставок в ИБ. Права доступа подрядчиков к данным и системам следует выделить в отдельную политику управления доступом третьих лиц. Инцидент Anthropic подтверждает актуальность этого контура.
Обработка обращений по цифровым правам. Банки, HR-сервисы и платформы с рекомендациями уже сейчас решают, как отвечать клиентам на вопросы «почему алгоритм отказал в кредите, работе или рекомендации». Законодательство потребует прозрачности алгоритмов; без внутренней практики компании рискуют репутационными потерями.
Биометрия при доступе к большим базам ПДн. Компании с присутствием в ЕАЭС и крупными массивами ПДн могут столкнуться с требованием применять биометрическую идентификацию операторов при работе с базами.
