Открыть новый счет в казахстанских приложениях банков с 12 июля станет сложнее
В Казахстане радикально ужесточают правила безопасности в мобильных банках. С 12 июля 2026 года в силу вступает постановление АРРФР, которое обяжет финансовые институты внедрить доскональную проверку личности, пишет digitalbusiness.kz
Главное изменение
Регулятор наносит удар по схеме, когда мошенники используют чужие утекшие данные или оформляют SIM-карты на подставных лиц, чтобы удаленно открыть счет и повесить на человека миллионный заем. С июля зарегистрироваться в любом банковском приложении Казахстана просто по имени и номеру телефона станет физически невозможно.
Что заставили сделать
Теперь при дистанционной регистрации банк обязан одновременно запустить биометрическую проверку лица (сверяя изображение с государственной базой данных) и жестко проверить, зарегистрирован ли этот номер телефона на конкретный ИИН в госсистеме мобильных граждан (либо потребовать ЭЦП).
Действующим клиентам
Для действующих клиентов ничего не изменится. Крупные технологические лидеры рынка (вроде Kaspi или Halyk) уже давно используют двухфакторную защиту при входе. Каждый раз, когда вы заходите в личный кабинет, система и так просит вас ввести код из SMS/пуш, приложить палец (Touch ID) или отсканировать лицо (Face ID).
Новые правила АРРФР не усложняют жизнь добросовестным клиентам, а лишь заставляют абсолютно все мелкие банки и финансовые организации страны подтянуть свои системы безопасности до уровня лидеров рынка.
Новый стандарт входа
Для любого входа в личный кабинет извне регулятор теперь требует комбинацию минимум из двух независимых факторов. Это могут быть: пароль или секретный вопрос; физическое устройство (смартфон, на который приходит пуш) или криптоключ; биометрические данные (отпечаток, лицо).
Кухня банков
Постановление регулирует не только клиентский софт, но и внутреннюю кухню самих банкиров. Вся ответственность за утечки теперь персонально возложена на первых руководителей финансовых организаций.
Вся служебная почта банков и переписка с клиентами должна размещаться исключительно на серверах внутри Казахстана с обязательным включением алгоритмов защиты от подделки адресов (SPF, DKIM, DMARC).
Банки обязаны мгновенно уведомлять регулятора о любых киберинцидентах, DDoS-атаках или несанкционированных переводах. Если банковское приложение «упадет» и будет недоступно более одного часа - банк обязан официально отчитаться перед АРРФР о причинах простоя.
Напомним
Двойная авторизация в приложениях - это далеко не единственная система защиты банковских клиентов в Казахстане. Например, с 1 января 2026 года в стране изменились правила работы банкоматов. По требованию Нацбанка все финтех-структуры теперь обязаны хранить видеозаписи с камер, установленных на банкоматах, не менее 180 календарных дней.
Сама норма об обязательном наличии камер, фиксирующих лицо человека при снятии денег, действует в РК еще с 2016 года. Однако увеличение срока хранения записей до 6 месяцев понадобилось для того, чтобы упростить расследование финансовых преступлений.
В случае кражи карт, спорных транзакций или действий мошенников, у правоохранительных органов и служб безопасности банков теперь есть гарантированный полугодовой архив видеодоказательств для защиты прав пострадавших клиентов.