🚨Банк дал кредит мошенникам по смс. Суд сказал: «Виновата жертва». Кассация всё отменила

💸 История, которая может произойти с каждым: мошенники, представившись сотрудниками «Мосэнергосбыта», удаленно получили доступ к телефону клиента банка. Через мобильное приложение банка они оформили на ее имя кредит на 135 тыс. рублей и тут же перевели их на свой счёт.

🔍 Что сделала жертва?
🔹написала заявление в полицию.
🔹потребовала в суде признать кредитный договор недействительным, так как она его не подписывала и не получала денег.

⚖️ Шокирующее решение судов:
Суды первой и апелляционной инстанций отказали ей. Их вердикт: раз операция была подтверждена СМС-кодом (по их мнению - простой электронной подписью), отправленным на ее номер, значит, это было ее «волеизъявление». Вина клиентки, по их мнению, в том, что она «не обеспечила сохранность данных».

😱 Фактически, суды постановили: если мошенники смогли взломать ваше мобильное устройство вы автоматически соглашаетесь со всеми их действиями. Банк при этом не несет никакой ответственности.

🛡 Справедливость восторжествовала: Первый кассационный суд общей юрисдикции отменил это решение, указав на грубейшие нарушения.

Вот главные претензии кассации к нижестоящим судам:
🔹Игнорирование отсутствия ВОЛИ. Суды забыли главный принцип права: сделка требует настоящего волеизъявления. Доказательств, что клиент банка хотела взять кредит, нет, а доказательств обмана — предостаточно.
🔹Банк проигнорировал «красные флаги». Мгновенная подача заявки на кредит и такое же мгновенное распоряжение о переводе всей суммы третьему лицу — это повод для банка проявить повышенную бдительность. Банк этого не сделал, и суды не дали этому никакой оценки.
🔹Суды не выяснили, с кем же банк заключил договор. Это ключевой вопрос! С гражданкой, чью волю исказили, или с мошенником, который технически использовал ее данные? Без ответа на этот вопрос нельзя говорить о законности сделки.
🔹Не исследованы обстоятельства. Суды даже не проверили, была ли у пострадавшей реальная возможность ознакомиться с условиями договора, пока мошенники контролировали ее телефон.

Вывод: Это ещё одно прецедентное решение, возможно суды уже используют решение Верховного Суда — в любом случае это ещё один серьезный сигнал для остальных судов. Он ставит технологическую формальность (логин, СМС) на второе место после базового права — права на реальное выражение своей воли.

Дело направлено на новое рассмотрение. Теперь у суда есть четкий ориентир: установить, чья же воля была реализована в сделке — пострадавшей стороны или мошенников.

🚀Об ЭП и УЦ

✍️Исторический пост - 8 лет назад
участники круглого стола «Сфера электронных услуг Российской Федерации. Пути развития и угрозы», проведенного CNews и РОСЭУ, обсудили внесенный Минцифры законопроект и предложили свой вариант усовершенствование работы удостоверяющих центров.

На сегодняшний день регулирования сферы выдачи электронной подписи в России со стороны государства явно недостаточно, что способствует возникновению множества проблем и снижению доверия к этому важному инструменту развития цифрового государства. Однако, усилия регулятора должны быть направлены не на разрушение уже сложившейся инфраструктуры, а на ее совершенствование. Все предложенные поправки к закону «Об электронной подписи» не меняют порядок деятельности УЦ – они меняют только их количество.

- говорили 8 лет назад.

Изменения по итогу были внесены Федеральным законом, получившим номер 476-ФЗ.

✍️Чистосердечное признание сети O'КЕЙ о компрометации личных ключей электронной подписи их сотрудников

📣Цифровизация даёт обратный ход

Пока законопроект об электронных архивах четвертый год пылится в Госдуме. Давно уже уволился зам.министра Минэка, который представлял его в рамках первого чтения (если в прошлом году представитель Минэка принимал участие в PKI-Форуме в рамках тематической сессии об электронных архивах, то в этом году Минэка не было) цифровизация в стране начинает делать реверс в сторону бумажных документов:

🔹Депутат Госдумы Михаил Делягин сообщил «Газете.Ru», что направил в Росреестр письмо с просьбой возобновить выдачу бумажных свидетельств о собственности на недвижимость. Депутат отметил, что бумажный документ воспринимается как нечто более надежное и менее подверженное угрозе фальсификаций, чем запись в базе данных.

🔹ComNews опубликовал статью, что на сай­те гос­за­купок поя­ви­лось шесть тен­де­ров на соз­да­ние бу­маж­ных ко­пий элек­трон­ных до­кумен­тов, ко­торые фор­ми­рует ав­то­мати­зиро­ван­ная ин­фор­ма­цион­ная сис­те­ма "Еди­ная ме­дицин­ская ин­фор­ма­цион­но-ана­лити­чес­кая сис­те­ма го­рода Мос­квы" в 2025-2027 гг.
ComNews отправил запрос в Департамент информационных технологий Москвы, Департамент здравоохранения Москвы, ГКУ Москвы "Информационно-аналитический центр в сфере здравоохранения", однако ответа не получил. Департамент города Москвы по конкурентной политике на момент публикации не предоставил комментария. Расходы на соз­да­ние бу­маж­ных ко­пий составят 832 млн. руб., никакой юридической значимости у распечаток естественно не будет.

Пишут, что Департамент здравоохранения Москвы 🏥 планирует до 2027 года сделать резервные копии всех медицинских сведений из ЕМИАС... на бумаге. Если не придираться к цитате юриста, что:

"Требования к хранению персональных данных вынуждают дублировать сведения из ЕМИАС в бумажном виде для хранения в архивах"

(таких требований в законодательстве лично мне не известно), то эта история очень показательная ☝️ Последние годы российское здравоохранение активно продвигает электронный формат медицинских документов – введены правовые нормы, разрешающие или стимулирующие отказ от бумажного документооборота, а в нормативных актах прямо указано, что при хранении электронных медицинских документов должна быть организована резервная копия и возможность восстановления. При этом эксперты критикуют избыточное дублирование бумажной и электронной формы: 📄

"Эксперты НФ призвали исключить дублирование бумажных и электронных документов в здравоохранении".

Решение Депздрава идет вразрез с трендом. Почему? Если отбросить невозможное (надо срочно потратить неизрасходованный до конца года миллиард), то видится мне несколько причин: ✍️
1️⃣ Опасение, что резервные копии (электронные) не позволяют гарантировать восстановление. На практике крупные цифровые проекты часто сталкиваются с проблемами при резервировании – устаревшие форматы, миграции, отказ оборудования, человеческий фактор. Возможно, чиновники делают бумажную копию как "страховку"; если система выйдет из строя, бумага все равно останется (если хранится будет правильно).
2️⃣ Неумение в кибербез или недоверие к тем, кто это делает. В такой ситуации, бумажная копия может рассматриваться как менее уязвимая "офлайн"-страховка (хотя у нее свои риски: пожар, истирание, контроль версий, аудит изменений и т.д.).
3️⃣ Нежелание идти в ЭДО с его непостоянными требованиями и необходимостью постоянно перевыпускать ключи ЭП. Оставлю свое же предположение без комментариев 😊
4️⃣ Переходный этап / сохранение "legacy"-процессов. Медицинские учреждения часто имеют "привычку" бумажной работы, ведения бумажных карт. И даже при электронной системе документооборота могут поддерживать бумагу "на всякий случай" или из-за сопротивления изменениям. Помню в одном госоргане бухгалтера взбунтовались при попытке перевести их на Астру. Директору поставили ультиматум: "или Астра и ты без зарплаты или мы на Винде, но все как ты привык". Директор не стал сопротивляться, хотя по бумагам там 100%-е импортозамещение операционных систем и офисного ПО 😂
5️⃣ Возможно, существует бюджет на бумагу, заинтересованные подрядчики, "архивные" услуги, что стимулирует создание бумажных копий.

Если верно любое из первых двух предположений, то это плохой знак 👎 Государство не верит в кибербез, потому что не умеет выстраивать процессы. Вот тут в новом канале по ИБ об этом тоже упоминается. Одно дело в чеклисте проставить галочку "наличие бэкапа" и совсем другое дело выстроить процесс резервного копирования с регулярной проверкой возможности восстановления данных в заданное время 👎

Возможно, госорган не в состоянии выполнить растущее число разрозненных нормативных требований по ИБ от разных регуляторов ☹️ В любом случае если это станет трендом (а вот тут Евгений пишет о схожих проблемах), то это нехорошо; я уже привык к Госуслугам (ЕМИАСом не пользуюсь – раз в год только зайду посмотреть, сколько неоказанных мне в реальности услуг на меня навесили), с ними реально стало удобно и число походов по всяким госорганам за справками сократилось многократно 📉

ЗЫ. Спасибо подписчице, что подкинула новость в комментариях 🙏

#стратегия

Помните историю про отключение банков от СМЭВ при отсутствии аттестации ФСТЭК? 🗂 История получает свое развитие. Банки получили от Минцифры письмо, в котором говорится о риске отключения от ЕСИА при отсутствии СКЗИ класса КС3 (VPN и средство ЭП). Не знаю, что стоит за этим письмом (не инцидент же), но описанная в нем логика прослеживается достаточно давно. Например, ФСТЭК еще с 2022-го года считает, что внутренний нарушитель есть всегда, а значит по линии ФСБ 🇷🇺 – это уже модель нарушителя Н3 и средства криптографической защиты не ниже класса КС3. А в 2019-м году на Магнитке зампред ЦБ, Ольга Скоробогатова, прямо говорила, что по их мнению все банки должны использовать СКЗИ классом не ниже КС3.

Отдельной вишенкой на этом "торте" 🍰 является предупреждение от Минцифры 🔢 о том, что если кто-то не исполнит описанные требования, то доступ к ЕСИА может быть ограничен, а к нарушителю может быть отправлена проверка ФСБ 👮

Но, как мне кажется, банки 🏦 – это только начало и требование применения КС3 будет распространено на все компании, подключающиеся к ЕСИА. Что это значит для большинства компаний? Например, запрет на виртуализацию и облака, в которых КС3 просто нельзя реализовать из-за требований ФСБ к криптографии этого класса защиты. В свою очередь это приводит нас к перестройке архитектуры решений, пересмотру используемых решений, росту затрат... А учитывая, что в ЕСИА/ЕБС сегодня загоняют многих, то 🕺

#регулирование #криптография #тенденции

✍️Только у меня глаз задёргался от формулировки из письма Минцифры?

С использованием сертифицированного ФСБ России средства электронной подписи (далее – СЭП), имеющего класс не ниже КСЗ, при этом техническое решение, использующее данное СЭП, должно пройти оценку влияния на СКЗИ в соответствии с требованиями Приказа ФСБ России от 9 февраля 2005 г. № 66 «Положение ПКЗ-2005»

Открываем реестр сертифицированных СКЗИ и читаем, чему там должно быть соответствие:

соответствует Требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3 и может использоваться для криптографической защиты (шифрование и имитозащита данных, передаваемых в IP‑пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну

ни слова про средства электронной подписи (796 приказ ФСБ России, как например для HSM), криптошлюз КС3 - только на соответствие СКЗИ.
Безграмотность Минцифры уже не удивляет.

📣Мифы не только про электронную подпись

Вирусные твиты «тупят» ИИ, пишет BIS Journal с ссылкой на исследование учёных из Университета Иллинойса, Массачусетского технологического института и Сингапурского университета управления.

А у нас высказывания депутатов "тупят" СМИ. Чего только стоит фраза, процитированная федеральными СМИ (РИА Новости, Ведомости):

"С 1 июля 2026 года в России начнет функционировать новая правовая норма, позволяющая использовать биометрические данные при совершении дистанционных сделок с недвижимостью. Простыми словами это значит, что граждане смогут подтверждать свою личность с помощью биометрических данных - отпечатков пальцев, лица, радужной оболочки глаза или другого биометрического признака - без необходимости физического присутствия на сделке по купле-продаже, оформлению ипотеки и аренде"

Нейросети это запомнили и уже выдают ответы про отпечатки пальцев и радужную оболочку глаза.

Как на самом деле. Если открыть закон о Единой биометрической системе, то можно увидеть только два фактора биометрии:
🔹изображение лица человека, полученное с помощью фотовидеоустройств;
🔹запись голоса человека, полученная с помощью звукозаписывающих устройств.

О чем на самом деле речь - летом был подписан Федеральный закон 133-ФЗ, вступающий в силу с 1 июля 2026 года, в котором говорится:

сторонами договора об отчуждении объекта недвижимости, если соответствующее заявление и прилагаемые к нему документы в форме электронных документов и (или) электронных образов документов подписаны усиленной квалифицированной электронной подписью заявителей при условии идентификации сторон договора с использованием государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»

✅ Документы подписываются КЭП, идентификации через ЕБС🗿 🗣

📣Google ужесточает правила для TLS-сертификатов

Важная новость от GlobalSign на фоне ужесточения политики Chrome.

🔹Chrome, и Mozilla объявили о планах прекратить доверие к корневым TLS-сертификатам, созданным более 15 лет назад. 

Браузеры постепенно перестанут доверять корневым сертификатам старше 15 лет.
График для GlobalSign:
🔹15 апреля 2025 — отзыв доверия к GlobalSign R1 (выпуск уже прекращен).
🔹15 апреля 2027 — Ключевая дата для корня R3. Выпуск 200-дневных сертификатов под ним будет прекращен до 27 августа 2026.
🔹Далее по графику — будут отозваны R5 (в 2029) и современный R6 (через 15 лет с даты создания).

🔹Google Chrome вводит правило, согласно которому публичные TLS-сертификаты, выданные после августа 2026 года, смогут иметь только одно «расширенное назначение ключа» (EKU) — ServerAuth. Это основа HTTPS.

Под вопросом расширение ClientAuth, которое используется для входа на корпоративные порталы, VPN и в API с помощью сертификатов вместо логина/пароля. Такие сертификаты перестанут доверять в Chrome.

Что дальше?
1. Пока ничего: GlobalSign будет использовать старые «многоцелевые» корневые сертификаты, чтобы использовать сертификаты с ClientAuth до августа 2026.
2. Но готовиться заранее: компания планирует перейти раньше этого срока. Для клиентской аутентификации они рекомендуют свой продукт IntranetSSL, не подверженный этим ограничениям.

TLS-сертификаты становятся«одноцелевыми» — только для сайтов. Аутентификация клиентов уходит в специализированные PKI-продукты.

⚡️ СМЭВ ввел лимиты для банков

С 24 октября 2025 года по 31 декабря 2025 года СМЭВ 3 установил ограничения для кредитных организаций по доступу к виду сведений "Предоставление необходимой для уплаты информации".

🔹Лимит: 10 обращений в секунду
🔹Метод: SendRequestRequest
🔹Категория: "Кредитные организации", "Банковской платежный агент" и "Платежный агент"

❌Превышение лимита приведет к временной блокировке отправки запросов через СМЭВ с ошибкой SMEV-100.

Когда для банков введут платный доступ лимит сохранится?

После запуска сервиса могут появиться десятки поддельных страниц или сайтов газовых компаний.

Пользователю могут предлагать «ускоренное оформление договора» или «обновление электронной подписи» и вместе с этим, очевидно, выманивать паспортные данные и реквизиты банковских карт. Нужно максимально быть внимательными.

☑️ Подписывайтесь на MAX

#сенаторшейкин
#советфедерации
#цифровойсенатор

Еще один способ, которым пользуются мошенники, - подделка ЭП. Они могут убедить пользователя выдать доверенность на "представителя компании" или установить сомнительное приложение якобы для подписания документов, в результате чего ЭП окажется в чужих руках, объяснил Шейкин.

Подделать электронную подпись - невозможно.

🚀Об ЭП и УЦ

📣65 стран подписали первую Конвенцию ООН против киберпреступности

Вчера в Ханое 65 государств подписали первую в мире Конвенцию ООН против киберпреступности. От России документ подписал генеральный прокурор Александр Гуцан.

Следующий шаг — ратификация документа национальными парламентами. Конвенция вступит в силу после одобрения 40 государствами.

Проект конвенции был разработан еще 5 лет назад Генеральной прокуратурой Российской Федерации при координирующей роли МИДа.

Статья 11 — Неправомерное использование устройств
1. Каждое Государство-участник принимает такие законодательные и иные меры, какие могут потребоваться, с тем чтобы признать в соответствии со своим внутренним законодательством в качестве уголовных правонарушений, когда такие деяния совершаются умышленно и неправомерно:

a) получение, производство, продажу, приобретение для использования, ввоз, распространение или предоставление иным способом:

i) устройств, включая программное обеспечение, разработанных или адаптированных прежде всего для целей совершения какого-либо из преступлений, признанных таковыми в соответствии со статьями 7–10 настоящей Конвенции; или

ii) пароля, реквизитов доступа, электронной подписи или аналогичных данных, позволяющих получить доступ ко всей информационно-коммуникационной системе или любой ее части;

с намерением, чтобы устройство, включая программное обеспечение, или пароль, реквизиты доступа, электронная подпись или аналогичные данные были использованы в целях совершения любого из преступлений, признанных таковыми в соответствии со статьями 7–10 настоящей Конвенции.

🚀Об ЭП и УЦ

✍️Инфраструктура цифровой
идентификации по мнению Банка России

"Понимаете, каждый год 31 декабря в октябре мы с друзьями ходим в
баню обновляем ключи СМЭВ. Это у нас такая традиция…"

У каждого СКЗИ есть сертификат соответствия требованиям ФСБ. Тут отслеживается как раз версия СКЗИ и версия ПО на этом СКЗИ.
Если сам СКЗИ и ПО на нём давно не обновлялось, то могут возникнуть проблемы при замене мастер-ключей.
Соответствующая новость ранее была размещена на канале 03.10.2025.

❌В рамках работ по смене мастер‑ключей в защищенных сетях ViPNet СМЭВ для сети 6024 (КО) у части участников мог наблюдаться ограниченный доступ к ресурсам СМЭВ.

Рекомендация от поддержки, если возникла проблема с доступом к СМЭВ при замене мастер-ключей:
🔹Завести заявку во ФГИС СЦ с темой: «КО. Смена МК. Наименование организации» и указать серийные номера криптооборудования.
🔹Подготовить удаленный доступ к криптооборудованию с использованием консольного кабеля RS‑232.
🔹Подготовить USB‑флешку емкостью до 8 ГБ, отформатированную в FAT32.