В реестре платежных карт, который создаётся Банком России, не будет содержаться личной информации о владельцах карт. Об этом на Уральском форуме «Кибербезопасность в финансах», прошедшем на минувшей неделе, сообщила Алла Бакина, глава департамента национальной платежной системы Банка России. Зачем же регулятор инициирует создание данного реестра и как это решение может повлиять на жизнь граждан — в материале «МК».
Реестр без личных тайн
Появляется всё больше информации о реестре банковских карт граждан, который был анонсирован в начале февраля. Напомним, что в первой декаде месяца статс-секретарь — заместитель министра цифрового развития РФ Иван Лебедев заявил, что ЦБ РФ в течение 2026 года создаст единую базу данных с информацией о банковских картах, принадлежащих каждому россиянину. Он добавил, что мегарегулятор и Минцифры тщательно проработали вопрос создания единого реестра и учли все «чувствительные моменты».
Пресс-служба Центробанка подтвердила информацию о данном проекте. Создание единого реестра банковских карт граждан для учета их общего количества будет осуществляться в рамках проекта «Антифрод 2.0».
На прошедшем на минувшей неделе Уральском форуме по кибербезопасности были раскрыты дополнительные детали. «Цель реестра карт — контролировать количественный показатель, — сообщила в кулуарах мероприятия Алла Бакина. — Предполагается, что детальная, персональная информация не будет доступна. Поэтому даже банки будут получать информацию в формате «да/нет», без дополнительной детализации».
Создание единого реестра является частью комплексного пакета мер, направленных на борьбу с мошенничеством, и рассматривается в связке с другими шагами, в том числе в продолжение инициативы по ограничению количества банковских карт, находящихся у одного владельца. В марте 2025 года предложение ограничить их число у россиян выдвинула глава ЦБ РФ Эльвира Набиуллина. Она предложила установить лимит в 20 банковских карт на одного гражданина, при этом в одном банке у него не должно быть открыто более пяти карт. Председатель регулятора пояснила, что это необходимо для борьбы с дропперами — людьми, которые за вознаграждение передают преступникам свои банковские карты, персональные данные или доступ к ним для совершения краж и других преступлений. В конце декабря эту инициативу внесли в Госдуму вместе со вторым пакетом поправок по борьбе с кибермошенничеством. В настоящее время она находится на рассмотрении.
Карты любят счет
Что стоит за последними инициативами регулятора, «МК» рассказал независимый эксперт по кибербезопасности Антон Редозубов.
— Почему властям потребовался реестр банковских карт граждан?
— Как специалист в области информационной безопасности, занимающийся этой темой, хочу отметить, что создание реестра — это не самостоятельная «революционная» мера, а логичный и технический шаг по реализации уже принятого решения об ограничении числа банковских карт у одного человека. Его следует рассматривать как инфраструктурный элемент более широкой программы по борьбе с кибермошенничеством.
— Что даст государству реализация этого проекта?
— Главная цель — создать унифицированный и обязательный для всех банков инструмент контроля. Реестр станет техническим механизмом, который на практике реализует ограничение на количество карт. Это поиск технического параметра для сложной системы безопасности. Его задача — системно усложнить «веерный выпуск» сотен карт для криминальных схем, что является ключевым каналом для деятельности дропперов.
— В чем главные плюсы создания реестра карт граждан?
— Главный плюс — устранение «информационной слепоты» банков. В настоящее время банк видит только свои карты у клиента, но не знает, сколько их выпущено в других кредитных организациях. Реестр ликвидирует эту лазейку, создавая единое поле контроля.
Логика обороны
— А какие риски есть у этого проекта?
— Что касается недостатков, то в классическом понимании — новые угрозы приватности, создание «сверхбазы» — их нет. По моему мнению, реестр будет строиться на уже существующих и централизованно обрабатываемых данных Национальной системы платежных карт (НСПК). По сути, это не сбор новой информации, а структурирование и предоставление доступа к уже имеющимся данным для конкретной, законодательно утвержденной цели.
— Насколько велик может быть создаваемый Центробанком реестр?
— Объем данных как таковой не станет проблемой, поскольку информация, по моему профессиональному мнению, уже аккумулируется в рамках платёжной системы «Мир». Реестр, скорее всего, будет представлять собой специализированный программный интерфейс (API) для банков, который в реальном времени будет проверять запрос на выпуск новой карты в части общего лимита.
— Каковы риски хакерской атаки на такую лакомую для мошенников базу данных?
— Риски кибератаки на эту систему принципиально не выше, чем на другие критически важные компоненты финансовой инфраструктуры — такие, как сама НСПК или система банковских электронных срочных платежей (БЭСП). Она будет подчиняться тем же строгим стандартам и требованиям регулятора в области защиты информации (ФСТЭК, ФСБ). Кража данных из реестра, даже если там будут номера карт, привязка к ФИО, — что, по моему мнению, весьма сомнительно, и регулятор это уже отчасти подтвердил, — не даст злоумышленникам значительных возможностей, поскольку для осуществления операций требуются дополнительные средства аутентификации. Другими словами, они должны будут знать CVV, 3DS, одноразовые коды, которые в такой базе храниться не будут.
— Поможет ли эта база данных решить проблему дропперов и передачи денег мошенникам?
— Сама по себе — нет. Но она является необходимым и эффективным инструментом для «осушения» потока новых карт для дропперов. Ограничив возможность массового открытия карт, мы лишаем мошенников их основного «расходного материала». Это системная мера, которая должна работать в связке с другими: предиктивной аналитикой (так называется прогнозирование, основанное на исторических данных — «МК») со стороны банков, повышением финансовой грамотности и работой правоохранительных органов. Реестр решает одну конкретную, но критически важную техническую задачу в общей системе.
Таким образом, реестр банковских карт — это не сенсация и не «шаг в пропасть», а логичное развитие регуляторного контроля. Его цель — сделать уже принятые ограничения работоспособными. Эффективность в борьбе с мошенничеством будет зависеть не столько от самой базы, сколько от того, насколько гибко и точно она будет интегрирована в экосистему существующих защитных мер банков и как дополнит другие направления работы: просвещение граждан и проактивное выявление подозрительных операций. И эти направления уже реализуются на практике.