Просто ввести номер телефона и код из SMS для входа в онлайн-банк уже не получится. С 12 июля 2026 года финансовые организации Казахстана обязаны проверять клиентов через государственную биометрическую базу, сообщает El.kz со ссылкой на постановление Агентства по регулированию и развитию финансового рынка.
Регулятор решил закрыть давнюю брешь. Раньше мошенники активно пользовались чужими SIM-картами после перевыпуска или фишинга. Теперь номер телефона перестаёт быть самостоятельным ключом. Банк должен точно знать, что за номером стоит именно тот человек, чьё лицо и данные зафиксированы в государственной системе.
Почему ввели новые правила
Постановление от 20 апреля 2026 года касается всех банков, страховых компаний, микрофинансовых организаций и других игроков финансового рынка. Главная цель – сделать так, чтобы телефон и его владелец стали одним целым в цифровом мире.
Это не просто формальность. Регулятор фактически признаёт: старые методы идентификации устарели и создают слишком много рисков для людей.
Как теперь регистрироваться в приложении
Регистрация нового клиента превратится в двухэтапный процесс. Сначала банк проверит ваше лицо через государственную базу биометрических данных. Затем подтвердит, что указанный номер телефона действительно зарегистрирован на вас в базе мобильных номеров.
Без этих двух шагов открыть счёт или получить доступ к приложению не выйдет. Процедура станет чуть дольше, зато значительно безопаснее.
Вход в приложение: теперь минимум два фактора
С 12 июля для входа в мобильный банк извне потребуется как минимум два разных способа подтверждения личности. Это может быть пароль плюс отпечаток пальца или одноразовый код вместе со сканом лица.
Все внешние соединения банки обязаны шифровать. Открытые каналы передачи данных больше не допускаются. Кроме того, на рабочих устройствах сотрудников должны стоять антивирусные системы, которые нельзя отключить самостоятельно.
Жёсткие требования к безопасности внутри банков
Первый руководитель финансовой организации теперь лично отвечает за информационную безопасность. В случае крупного взлома или утечки данных вопросы будут в первую очередь к нему.
Новым сотрудникам дают всего пять рабочих дней на изучение внутренних правил кибербезопасности. Без подписи в журнале к системам их не допустят. Права локального администратора теперь выдают только при острой необходимости и строго по должности.
Обязательное уведомление о любых атаках
Банки и страховщики должны мгновенно сообщать регулятору о серьёзных инцидентах: от DDoS-атаки до несанкционированного перевода денег. Даже если приложение легло больше чем на один час, об этом тоже нужно докладывать.
Информацию передают через автоматизированную систему. Если она недоступна – звонят и дублируют официальным письмом на бумаге. Хранить логи входов и изменений настроек теперь придётся минимум три месяца в оперативном доступе и не меньше года в архиве.
Нововведения вступают в силу уже этим летом. Для клиентов это означает чуть более сложный, но заметно более защищённый доступ к своим деньгам. Банки же получают чёткие и единые правила игры, нарушать которые станет очень дорого.
Ранее мы рассказывали, как защититься от дипфейков и ИИ-мошенников: что нужно знать.
