Новости и ИИ: 21-27 февраля 2026 года

Неделя обозначила сдвиг к жёсткому контролю личности на всех уровнях — от платёжной инфраструктуры и маркетплейсов до публичного пространства.

Регуляторный ландшафт этой недели выстраивается вокруг единой логики: государство и рынок одновременно ужесточают требования к установлению личности участников любых значимых транзакций — финансовых, потребительских, публичных. Сразу несколько инициатив затрагивают механизмы идентификации: законодательные ограничения для платёжных агентов, административная ответственность за сокрытие лица в публичных местах, обязательная верификация продавцов на маркетплейсах. Это не совпадение дат, а проявление последовательной политики деанонимизации рыночных отношений и публичного пространства.

Параллельно идут процессы переосмысления прав граждан на управление собственными данными: предложения об упрощении отзыва согласий на обработку ПДн и о страховании персональных данных указывают на то, что регулятор постепенно движется к балансу между интересами контроля и защитой субъектов. Вместе с тем события в сфере кибербезопасности — прежде всего масштабная утечка KYC-данных через Google Play и инцидент с Авито — показывают, что расширение периметра идентификации неизбежно сопровождается ростом рисков для самих субъектов этих данных.

На глобальном уровне та же тенденция: итальянский регулятор ограничивает слежку Amazon за сотрудниками склада, оператор криптоматов Bitcoin Depot ужесточает KYC при каждой транзакции. Контуры всё более однородны — и в России, и в Евросоюзе, и на американском рынке прослеживается переход к непрерывной, а не единовременной идентификации.

Идентификация: сужение круга полномочных операторов

Президент подписал закон, лишающий банковских платёжных агентов права проводить идентификацию физических лиц — эта функция сосредотачивается непосредственно у банков и уполномоченных структур. Одновременно группа из 13 депутатов Госдумы внесла законопроект о штрафах за нахождение в публичных местах с закрытым лицом: 10–15 тысяч рублей за первичное нарушение и 15–30 тысяч за повторное. Исключения предусмотрены для медицинских, трудовых, спортивных и погодных оснований.

Эти два события, при всей разнице сфер применения, отражают общую логику: государство последовательно сужает круг субъектов, которым разрешено участвовать в идентификационных процедурах, и одновременно расширяет обязанность физических лиц быть распознаваемыми. Законопроект о публичных местах прямо апеллирует к концепции «Безопасный город» и задачам раскрываемости правонарушений — то есть видеоидентификация встраивается в нормативную инфраструктуру как плановый инструмент, а не экстренная мера. Авторы документа также указывают на опыт ряда государств Средней Азии, что говорит о сознательной регуляторной унификации в этом направлении.

Для бизнеса — прежде всего для компаний, работающих в сфере платёжного агентирования, финтеха и идентификационных сервисов — это означает необходимость пересмотра договоров с банками-партнёрами: часть функций и связанной с ними ответственности возвращается к кредитным организациям. Платёжным агентам следует провести аудит текущих процедур онбординга и убедиться, что идентификационные процессы делегированы только надлежащим операторам.

Персональные данные: права субъектов под давлением практики

Леонид Слуцкий направил в Минцифры обращение с предложением обязать операторов ПДн обеспечивать возможность отзыва согласия теми же способами, которыми оно было получено: согласие онлайн — отзыв онлайн. Лидер ЛДПР привел статистку Роскомнадзора, согласно которой в 2024 году было зафиксировано 135 утечек баз данных, затронувших свыше 710 миллионов записей о гражданах РФ. Кроме того, в 2025 году зафиксировано 118 случаев компрометации, в результате которых в открытый доступ попали более 52 миллиона записей. Параллельно Роскомнадзор утвердил план обязательных профилактических визитов по обработке персональных данных (Приказ № 390 от 19.12.2025).

Инициатива об упрощении отзыва согласий затрагивает болезненную точку: на практике многие операторы выстраивают асимметрию — согласие получают в один клик, отзыв требует бумажного письма, которое в большинстве случаев остаётся без ответа. Если инициатива найдёт воплощение в законе, это потребует пересмотра пользовательских соглашений, технической архитектуры платформ и внутренних регламентов обработки данных у большинства B2C- и B2B-игроков. Приказ РКН № 390, в свою очередь, означает, что плановые визиты надзорного органа станут регулярной практикой, а не исключительной мерой.

Компании — операторы персональных данных должны уже сейчас проверить, предусмотрены ли в их интерфейсах и регламентах механизмы онлайн-отзыва согласий, соответствующие способу их получения. Отсутствие такого механизма при принятии закона станет основанием для предписаний в ходе профилактических визитов РКН.

Антифрод и доступ к государственным данным

«Ассоциация больших данных», объединяющая «Сбер», «Яндекс», VK и других крупных игроков, обратилась в IT-комитет Госдумы с предложением открыть компаниям — участникам единой антифрод-системы доступ к отдельным категориям данных МВД: сведениям о подозреваемых, обвиняемых, лицах в розыске, дееспособности. По оценке инициаторов, это позволит выстраивать более точные антифрод-модели. Глава IT-комитета Сергей Боярский назвал предложение заслуживающим «всестороннего анализа», операторы связи — в частности, «МегаФон» — его поддержали.

Инициатива знаковая: фактически она предлагает перевести часть государственных идентификационных баз в режим коммерческой антифрод-инфраструктуры. Сторонники указывают на повышение эффективности выявления мошеннических схем; критики из числа ИБ-специалистов предупреждают об обратном эффекте — чем шире круг компаний с доступом к чувствительным данным МВД, тем выше совокупный риск утечки. Юридическое сообщество настаивает на необходимости чётких правовых ограничителей, исключающих злоупотребления.

Для финансовых организаций, телекоммуникационных операторов и технологических платформ, заинтересованных в участии в антифрод-системе, необходимо уже сейчас прорабатывать внутренние регламенты использования таких данных — с ограничением доступа, журналированием и механизмами предотвращения утечек. Положительное решение по инициативе создаст не только возможности, но и новый уровень регуляторной ответственности.

Утечки и платформенная ответственность

Два приложения из Google Play одного разработчика, суммарно установленные более полумиллиона раз, из-за ошибки конфигурации облачного хранилища Google Cloud Storage оказались доступны без какой-либо авторизации. В открытом доступе находились 12 терабайт пользовательских данных, включая более 8,27 миллиона файлов: фотографии, видеозаписи и KYC-данные (имена, адреса, телефоны, изображения документов). Утечка затронула пользователей в 26 странах. Google удалил приложения из магазина после публичного раскрытия инцидента. Параллельно Московский районный суд г. Рязани запретил Авито требовать от пользователей видеозапись с паспортом для разблокировки профиля — тем самым ограничив практику, которую площадка использовала в рамках собственных антифрод-процедур.

Оба события наглядно показывают противоречие, с которым всё чаще сталкиваются платформы: чем интенсивнее они собирают данные для верификации, тем масштабнее последствия инцидентов. KYC-данные — одни из наиболее чувствительных: в отличие от паролей, скомпрометированные документы не поддаются быстрой замене. Итальянский регулятор на этой же неделе выписал предписание Amazon прекратить обработку персональных данных сотрудников склада — ещё один сигнал, что надзорные органы в ЕС и России синхронно смещают фокус на непропорциональный сбор биометрии и идентификационных сведений.

Платформам и сервисам верификации необходимо, как минимум убедиться, что облачные хранилища закрыты от прямого доступа, ограничить к ним доступ для большинства сотрудников и перестать копить базы сканов паспортов. Удалять исходники сразу после того, как личность человека подтверждена. Как показало судебное решение по Авито, практика требования избыточных документов у клиентов несёт правовые риски для бизнеса. Сбор данных должен быть соразмерен цели и подкреплён корректным правовым основанием.

Верификация на маркетплейсах: нормативный дедлайн

Минэкономразвития представило концепцию обязательной верификации продавцов на маркетплейсах, которая должна вступить в силу с 1 октября 2026 года. Параллельно оператор криптоматов Bitcoin Depot объявил о переходе к идентификации при каждой транзакции после судебного иска прокуратуры штата Массачусетс, обвинившей компанию в содействии криптомошенничеству. Оба случая демонстрируют движение от однократного KYC к непрерывной верификации как отраслевому стандарту.

Установление обязательной верификации продавцов к октябрю 2026 года создаёт для маркетплейсов жёсткий технологический и операционный дедлайн. По сути, платформы становятся звеном в цепочке государственного контроля за участниками торговли — это смещает их роль от посредника к оператору идентификации, со всеми вытекающими из этого обязательствами по 152-ФЗ и антифрод-законодательству. Опыт Bitcoin Depot показывает, что даже без прямого регуляторного требования рыночное и правовое давление может вынудить платформу перейти к транзакционной верификации.

Маркетплейсам необходимо приступить к проектированию систем верификации продавцов уже сейчас: до 1 октября 2026 года осталось чуть более семи месяцев, а технологическая интеграция, правовая база и онбординг потребуют существенных ресурсов. Компании, работающие в этих сегментах, всё активнее рассматривают внешние сервисы верификации и комплаенс-решения как способ ускорить внедрение без построения инфраструктуры с нуля.

Что это значит для компаний

1. Платёжным агентам — провести ревизию договоров с банками-партнёрами и убедиться, что идентификация физических лиц передана уполномоченным операторам; самостоятельное проведение таких процедур с вступлением закона в силу становится нарушением.
2. Операторам персональных данных — проверить наличие технически реализованного механизма онлайн-отзыва согласий и отразить порядок отзыва непосредственно в тексте согласия; это снизит риски при плановых визитах РКН по Приказу № 390.
3. Маркетплейсам и платформам — начать проектирование инфраструктуры верификации продавцов с учётом дедлайна 1 октября 2026 года; рассмотреть интеграцию готовых решений для удаленного удостоверения личности (сервисов автоматического распознавания документов и биометрии).
4. Финансовым организациям и технологическим платформам — при выработке позиции по инициативе АБД о доступе к данным МВД подготовить внутренние политики использования таких данных заблаговременно: в случае принятия закона это станет обязательным условием участия в антифрод-системе.
5. Сервисам с KYC-процедурами — провести аудит облачной инфраструктуры на предмет корректности настроек доступа к хранилищам с идентификационными материалами; практика, обнаруженная в случае с Google Play, — типовая уязвимость при использовании сторонних облачных провайдеров.
6. Платформам с антифрод-практиками — пересмотреть практику сбора дополнительных документов при верификации пользователей: судебное решение по Авито свидетельствует о формировании судебной позиции против избыточных требований, не соответствующих принципу соразмерности.
7. Всем операторам ПДн — рассмотреть перспективу введения страхования персональных данных как инструмента управления репутационными и финансовыми рисками при утечках: законодательная инициатива в этом направлении находится в публичном поле и может обрести нормативную форму в обозримые сроки.