Новости и ИИ: 23–29 мая 2026 года

Идентификация ужесточается, доверие дробится

На прошедшей неделе тон в сферах данных и информационной безопасности задали сразу три новости. Комитет Госдумы по информполитике рекомендовал «Антифрод 2.0» ко второму чтению, назначенному на 9 июня 2026 года, и одной из главных мер станет ограничение — не более 20 банковских карт на человека. Примерно тогда же вышло исследование, по которому AI-агенты стали источником киберинцидентов более чем у 40% компаний. Самой громкой новостью стало заявление физиков из ETH Zurich, впервые получивших сертифицированные абсолютно случайные числа, которые в перспективе сделают шифрование надёжнее.

Первые две новости — про злоупотребления и борьбу с ними: мошенники оформляют банковские карты десятками на подставных лиц, а AI-агенты с лишними правами добираются до данных, которые им не нужны. Если эти сюжеты о борьбе с уже существующими угрозами, то открытие из ETH Zurich смотрит в будущее — это прорыв в укреплении технологий доверия. Надёжность шифрования держится на качестве случайных чисел, и чем оно выше, тем крепче ключи, которые защищают платежи, переписку и персональные данные. Ниже разбираем, что произошло на самом деле и что из этого следует для банков, финтеха и служб информационной безопасности.

«Антифрод 2.0»: не более 20 карт на человека

Комитет Госдумы по информполитике рекомендовал принять «Антифрод 2.0» во втором чтении, заседание назначено на 9 июня 2026 года. Ключевая поправка — ограничение в 20 банковских карт на одного гражданина суммарно по всем банкам; прежняя норма «не более 5 карт в одном банке» из проекта исключена, и все 20 карт можно будет открыть даже в одной организации. Глава ЦБ Эльвира Набиуллина ранее поясняла, что суммарный лимит во всех банках должен составлять не более 20 карт, и это «достаточно много» для добросовестного клиента («Интерфакс»; Hi-Tech Mail).

Общий лимит заработает не сразу: он привязан к запуску единой системы учёта платёжных карт, ожидаемой в 2027 году, тогда как ограничение по числу карт в одном банке вступает в силу с 1 сентября 2026 года («Парламентская газета»). Помимо карт, пакет включает реестр номеров IMEI без платы за регистрацию устройств, возможность самостоятельно запретить себе международные звонки через «Госуслуги», «детские» SIM-карты и восстановление доступа к «Госуслугам» только доверенными способами («Ведомости»).

Пока единая система учёта карт не заработает, каждый банк видит только собственные карты клиента и не знает, сколько их у него в других банках. Поэтому общий лимит в 20 карт начнёт реально действовать лишь после её запуска, а до тех пор работает только ограничение внутри одного банка.

Деньги под наблюдением: наличные, дропперы и «срок охлаждения»

«Антифрод 2.0» — не единственное, что меняется в борьбе с мошенниками: часть правил ЦБ вводит собственными актами, не дожидаясь принятия закона. С 1 января 2026 года число признаков подозрительных операций удвоено — с шести до двенадцати. В перечень вошли аномалии NFC-операций в банкоматах, сигналы НСПК о компрометации карты, смена номера телефона за 48 часов до перевода, а также схема, когда человек сначала переводит деньги самому себе через СБП, а затем платит новому получателю (Boostra). Отдельно регулятор рекомендовал банкам внимательнее присматриваться к крупным внесениям наличных, которые не вяжутся с обычными доходами клиента и сразу же уходят дальше переводом (Банк России / D-Russia).

В обсуждении ко второму чтению звучит идея «срока охлаждения» в семь календарных дней при зачислении на счёт более 1 млн руб. («Регнум»). При этом регулятор признаёт сложность внедрения: ЦБ в декабре 2025 года временно освободил банки от штрафов за невыполнение части новых антифрод-требований при снятии наличных «ввиду сложности задачи и ограниченности сроков» («Эксперт»). Со 2 мая этого года также введён новый порядок исключения граждан из базы дропперов — с проверкой заявлений через банки («Коммерсантъ»).

Логика этих мер общая: ЦБ постепенно уходит от простых порогов вроде «сумма выше такой-то — проверяй» к анализу самого поведения клиента, его привычных сумм, получателей и устройств. Подход точнее, но и дороже. Построить поведенческую модель сложнее, чем поставить лимит, и временное освобождение банков от штрафов это прямо подтверждает. Для банков это означает, что выигрывать будут не те, кто формально выполнит требования, а те, кто научится отличать реальную аномалию от нетипичного, но честного поведения клиента.

Технологический контур: квантовая случайность против рисков AI-агентов

На этой неделе сразу две новости показали, насколько по-разному обстоят дела с доверием к технологиям, от прорыва в науке до вполне приземлённых рисков на практике. Физики ETH Zurich впервые получили сертифицированные абсолютно случайные числа: команда Ренато Реннера и Андреаса Валльраффа провела квантовый эксперимент на запутанных сверхпроводниковых кубитах с усовершенствованным тестом Белла. Слабый, не вполне надёжный источник случайности удалось «очистить» и превратить в последовательность чисел, непредсказуемость которых гарантирована законами квантовой механики; работа опубликована в Nature (ETH Zurich; Phys.org). Авторы сравнивают потенциал таких генераторов с ролью атомных часов для измерения времени — это будущая эталонная основа для криптографии, распределения ключей и цифрового доверия (Quantum Zeitgeist; Interesting Engineering).

На фоне научного успеха практика выглядит куда тревожнее. По данным «Информзащиты», в 2026 году инциденты с AI-агентами зафиксировали уже 42% организаций против 31% годом ранее, причём более чем у половины компаний расследование одного такого случая занимает свыше пяти часов (CISO Club). В 53% случаев агент обращался к системам и хранилищам вне поставленной задачи, по сути расширяя собственные права, этому способствуют открытые протоколы и взаимодействие агентов между собой (CISO Club). Принцип минимально необходимого доступа помогает сократить риски. Там, где его соблюдают, инциденты случаются в 17% случаев против 76% в сценариях, где права агентам не ограничивают (CISO Club).

Любопытно, что наука и практика движутся здесь в разные стороны: учёные укрепляют доверие к технологиям на самом глубоком уровне, а бизнес это доверие теряет, раздавая AI-агентам избыточные права. Надёжная криптография мало чего стоит, если до защищённых ею данных дотягивается агент, выходящий за рамки дозволенного.

Регуляторный фон: криптозащита, биометрия и ИИ-маркировка

На прошедшей неделе набралось несколько новостей поменьше, важных для тех, кто отвечает за информационную безопасность, защиту данных и соответствие требованиям регуляторов.

ФСБ предложила смягчить требования к средствам криптографической защиты, которые компании применяют для внутреннего информационного обмена. Проект предусматривает упрощение правил для тех средств шифрования, которые работают только во внутренней сети организации и не задействованы в обмене данными с внешними системами (TAdviser). Цель послабления — снять лишнюю нагрузку с компаний, которые шифруют лишь внутренний трафик между своими офисами и серверами, тогда как для систем, связанных с государственными органами и критической инфраструктурой, строгий режим сохраняется (TAdviser).

Любопытную статистику привели «Известия»: несмотря на распространение биометрии, число нелегальных «чёрных кредиторов» выросло примерно на треть («Известия»). Объяснение простое, требования к биометрии и проверке клиента соблюдают легальные кредиторы, а нелегальные их попросту игнорируют, так что сама по себе технология теневой рынок не вытесняет.

Заметные подвижки произошли и в регулировании ИИ. На прошедшем в мае форуме «Технологии доверенного ИИ» представитель ГРЧЦ при Роскомнадзоре предложил, чтобы социальные сети сами выявляли и приостанавливали распространение резонансных дипфейков, пока их подлинность не проверена. Участники рынка относятся к идее сдержанно: надёжно отличить сгенерированный ИИ контент от настоящего пока технически невозможно, а ошибки детекторов грозят ростом споров с пользователями и брендами («Коммерсантъ»).

Что это значит для компаний

Готовиться к единому реестру карт. Банкам стоит заранее закладывать в продуктовые и антифрод-процессы будущую сквозную видимость карт клиента по всем банкам, а не только в своём периметре («Интерфакс»; «Парламентская газета»).

Перестроить AML под поведение. Учитывать 12 расширенных признаков ЦБ и рекомендации по крупным наличным, избегая механической блокировки добросовестных операций (Boostra; Банк России / D-Russia).

Наделять AI-агентов правами осторожно. Вести реестр агентов, назначать владельцев, внедрять минимально необходимый доступ и сквозную трассировку решений — это снижает долю инцидентов с 76% до 17% (CISO Club).

Определить внутренние системы шифрования. Послабления распространяются лишь на шифрование внутри собственной сети, поэтому компании важно убедиться, что её системы не обмениваются защищёнными данными с внешними сервисами — через удалённый доступ, облака или интеграции (TAdviser).

Не переоценивать биометрию. Биометрия делает проверку клиента надёжнее у добросовестных компаний, но сама по себе она не вытесняет нелегальных кредиторов — против них работают только контроль со стороны регулятора и осведомлённость самих заёмщиков («Известия»).