Найти в Дзене
Notificore – Будущее бизнес коммуникации
8 подписчиков

Подтверждение значимых действий SMS-кодами: как настроить и когда станет обязательным

7 мин
С 1 сентября 2026 года в России могут вступить в силу новые требования к подтверждению важных действий в интернете. Госдума приняла в первом чтении законопроект, который вводит обязательное использование кодов из SMS для определённых операций. Уточним, что это значит для бизнеса, как подготовиться и почему стоит начать внедрение уже сейчас. Закон обязывает российские сайты и сервисы запрашивать подтверждение для так называемых значимых действий. Точный перечень таких действий утвердит правительство до сентября 2026 года. Предполагается, что это будут операции, связанные с финансами, изменением важных данных аккаунта или совершением юридически значимых действий. Подтверждение будет работать через два канала одновременно: одноразовый код в SMS и дублирующее сообщение через мессенджер Max. По сути, это двойная проверка на случай технических сбоев или попыток обхода защиты. Закон также расширяет требования к авторизации. Если сейчас можно использовать зарубежные почтовые сервисы, то скоро
Оглавление

С 1 сентября 2026 года в России могут вступить в силу новые требования к подтверждению важных действий в интернете. Госдума приняла в первом чтении законопроект, который вводит обязательное использование кодов из SMS для определённых операций. Уточним, что это значит для бизнеса, как подготовиться и почему стоит начать внедрение уже сейчас.

Что меняется

Закон обязывает российские сайты и сервисы запрашивать подтверждение для так называемых значимых действий. Точный перечень таких действий утвердит правительство до сентября 2026 года. Предполагается, что это будут операции, связанные с финансами, изменением важных данных аккаунта или совершением юридически значимых действий.

Подтверждение будет работать через два канала одновременно: одноразовый код в SMS и дублирующее сообщение через мессенджер Max. По сути, это двойная проверка на случай технических сбоев или попыток обхода защиты.

Закон также расширяет требования к авторизации. Если сейчас можно использовать зарубежные почтовые сервисы, то скоро правительство получит право устанавливать случаи, когда регистрация должна проходить только через российские домены или номер телефона.

Зачем это нужно

Основная цель — борьба с мошенничеством. По данным ЦБ, большая часть хищений происходит из-за того, что злоумышленники получают доступ к учётным записям пользователей: слабые пароли, их повторное использование на разных сайтах, фишинг создают лазейки.

Отправка кодов подтверждения усложняет задачу. Даже если кто-то узнал логин и пароль, без доступа к телефону он не сможет провести операцию. Код генерируется случайно и действует ограниченное время, обычно от 30 секунд до 5 минут. Это даёт минимальное окно для атаки.

Кроме защиты, такой подход повышает доверие пользователей. Когда человек видит, что каждое важное действие требует подтверждения, он понимает: компания серьёзно относится к безопасности его данных.

Какие действия попадут под требование

Пока официального списка нет, но можно предположить, основываясь на текущую практику и логику закона:

  • Финансовые операции. Переводы с карты на карту, оплата покупок выше определённой суммы, вывод средств со счёта. Банки уже применяют подобную защиту, теперь это может стать обязательным для всех платформ, работающих с деньгами.
  • Изменение данных аккаунта. Смена пароля, привязка новой карты, изменение контактного номера или email. Если кто-то получил доступ к вашему аккаунту, он не сможет просто поменять телефон и закрепить контроль.
  • Подтверждение регистрации. Создание нового аккаунта потребует проверки через код. Это исключает массовую регистрацию ботов и фейковых профилей.
  • Подписание документов. Дистанционное заключение договоров, согласие на обработку данных, оформление услуг. SMS-код может заменить физическую подпись в определённых сценариях.
  • Доступ к конфиденциальной информации. Просмотр медицинских данных, результатов анализов, выписок по счетам. Везде, где речь идёт о персональных данных, может потребоваться дополнительное подтверждение.

Как это работает технически

Процесс выглядит просто с точки зрения пользователя, но требует правильной настройки на стороне бизнеса.

  1. Пользователь совершает действие — например, нажимает кнопку «Перевести деньги».
  2. Система генерирует случайный код из 4-6 цифр и отправляет его на привязанный номер телефона.
  3. Код действует ограниченное время, обычно от 1 до 5 минут.
  4. Пользователь вводит полученный код в форму на сайте или в приложении.
  5. Система проверяет совпадение. Если код верный и не истёк — операция проходит. Если нет — отклоняется.

Для отправки кодов бизнесу нужен сервис, который интегрируется с вашей системой через API. Например, платформа Notificore позволяет настроить автоматическую отправку одноразовых паролей без сложной инфраструктуры.

Создаёте запрос, указываете номер получателя, текст шаблона и параметры кода: количество цифр, время жизни, число попыток ввода. Система генерирует код, отправляет SMS и возвращает статус доставки. Если сообщение не дошло, можно настроить автоматическую повторную отправку или переключение на альтернативный канал.

Что говорят эксперты

Участники рынка отреагировали на законопроект неоднозначно. Национальный совет финансового рынка направил в правительство письмо с просьбой пересмотреть требование о двойном подтверждении через SMS и Max.

Главный аргумент: это приведёт к многомиллиардным расходам для банков и других компаний. Каждое сообщение стоит денег, а если умножить это на миллионы операций в день, получается серьёзная статья затрат. Кроме того, обязательная интеграция с мессенджером создаёт риски: если Max ляжет из-за технического сбоя или атаки, вся банковская система может остановиться.

Есть и другой момент. Эксперты отмечают, что увеличение числа факторов подтверждения не остановит мошенничество. Основной инструмент злоумышленников — социальная инженерия. Это когда человека убеждают самостоятельно ввести код, прикрываясь легендой о блокировке карты или проверке безопасности. Никакая защита не поможет, если пользователь под давлением подтверждает перевод мошенникам.

Специалисты предлагают рассмотреть альтернативные методы. Например, TOTP-коды — временные одноразовые пароли, которые генерируются в приложении на устройстве пользователя и меняются каждые 30-60 секунд. Для их работы не нужна мобильная сеть, что делает их более защищёнными от перехвата.

-2

Push-уведомления в банковском приложении — ещё один вариант. Пользователь просто подтверждает операцию нажатием кнопки, без ввода кода.

Как подготовиться

Даже если закон вступит в силу только через полтора года, начинать подготовку стоит уже сейчас.

  • Определите, какие действия критичны. Составьте список операций, которые требуют повышенной защиты. Это могут быть не только те, что попадут под закон, но и любые действия, связанные с риском для бизнеса или пользователей.
  • Выберите платформу для отправки. Понадобится сервис с API для генерации и доставки кодов. Обратите внимание на доставляемость, скорость отправки, возможность настройки резервных каналов и аналитику. Платформа Notificore, например, поддерживает отправку кодов.
  • Интегрируйте API в вашу систему. Техническая часть обычно занимает от нескольких часов до пары дней в зависимости от сложности проекта. Готовые SDK упрощают процесс.
  • Протестируйте сценарии. Проверьте, как работает отправка при разных условиях: когда телефон вне зоны доступа, когда пользователь вводит неверный код, когда превышено время ожидания. Важно, чтобы система корректно обрабатывала все случаи и не блокировала пользователей без возможности восстановления доступа.
  • Настройте защиту от злоупотреблений. Установите лимиты на количество запросов кодов с одного номера. Например, не больше 3 попыток за 10 минут. Это защитит от спам-атак и снизит расходы на отправку.
  • Подготовьте пользователей. Объясните, зачем вводится дополнительная проверка. Некоторые воспримут это как усложнение процесса. Покажите, что вы заботитесь об их безопасности, а не создаёте барьеры.

Сколько это будет стоить

Один из главных вопросов. Цена отправки тех же авторизационных SMS в России начинается от 2 рублей за сообщение. Если у вас 10 000 пользователей совершают хотя бы одну операцию в месяц, это уже минимум 20 тысяч рублей. Для крупных сервисов счёт идёт на миллионы.

Банкиры призвали закрепить бесплатную отправку кодов подтверждения операторами связи или хотя бы установить единый льготный тариф. Пока таких решений нет, можно оптимизировать расходы другими способами.

  • Настройте TOTP-код для постоянных пользователей. Предложите клиентам подключить генератор кодов в приложении. Это одноразовая настройка, после которой отправка SMS не понадобится.
  • Оптимизируйте частоту запросов. Не требуйте подтверждение для каждого мелкого действия. Установите пороговые значения: например, переводы до 1000 рублей проходят без дополнительной проверки, выше — с кодом.
  • Договаривайтесь с провайдерами. Чем больше объём, тем ниже цена. Если отправляете сотни тысяч сообщений в месяц, то команда Notificore всегда готова обсудить индивидуальные условия.

Что в итоге

Обязательное подтверждение значимых действий через SMS-коды — логичный шаг. Пользователи теряют деньги из-за взломов, компании теряют репутацию из-за утечек данных. Дополнительная проверка может снизить риски для всех сторон.

Да, это создаёт дополнительные расходы и требует технической интеграции. Но если начать подготовку сейчас, у вас будет достаточно времени, чтобы выбрать оптимальное решение, протестировать его и внедрить без авралов.

Платформы вроде Notificore позволяют настроить отправку кодов подтверждения за несколько дней. Получаете API, готовые шаблоны, аналитику по доставке и возможность комбинировать каналы. Это универсальный инструмент, который подходит и для стартапов, и для крупных компаний с миллионами пользователей.

Закон планируют доделать к сентябрю, но лучше не ждать последнего момента. Внедряя подтверждение, вы не только выполните требования заранее, но и покажете клиентам, что их безопасность для вас приоритет.