Ещё несколько лет назад вход в личный кабинет банка, маркетплейса или оператора связи выглядел предельно просто: ввёл номер телефона, получил СМС с кодом, подтвердил вход. Эта модель была настолько привычной, что о её альтернативах мало кто задумывался.
Но в последний год-два российский рынок авторизации начал меняться заметно быстрее, чем раньше. И дело не только в безопасности — у СМС как у технологии появились вполне конкретные деньги и инфраструктурные проблемы, которые бизнес уже не может игнорировать.
СМС подорожали и стали менее предсказуемыми
Раньше стоимость одного СМС-кода была для бизнеса почти незаметной строчкой расходов. Сейчас всё иначе: по оценкам участников рынка, с 2022 года стоимость СМС-сообщений в России выросла более чем в два раза, а операторы всё активнее переводят клиентов с фиксированной оплаты на пакетные тарифы по объёму трафика. Для сервиса, который отправляет миллионы кодов подтверждения в месяц — а это типичная ситуация для банков, маркетплейсов и доставки — даже небольшое удорожание одного сообщения превращается в заметную статью бюджета.
Есть и вторая проблема — техническая. С августа 2025 года в России заработали нормы, позволяющие абонентам отказаться от массовых рассылок и звонков от компаний. Идея понятная — защитить людей от спама и мошенников. Но на практике операторы связи, выполняя требования закона, начали фильтровать вообще весь автоматический трафик от организаций для тех, кто подал такой отказ — включая коды подтверждения для входа и подтверждения операций. Получается, что пользователь, который хотел избавиться от рекламных СМС, неожиданно для себя перестаёт получать и коды от своего банка. Для бизнеса это значит, что доставка одноразового пароля стала менее предсказуемой: код может прийти с задержкой, а может не прийти вообще.
Банки сами просят отказаться от обязательной привязки к СМС
Показательная история произошла вокруг законопроекта «Антифрод 2.0», который должен был обязать подтверждать онлайн-операции одновременно через СМС и государственный мессенджер Max. Банковское сообщество в лице Национального совета финансового рынка выступило против этой нормы. Аргумент был довольно прямым: завязка на один канал создаёт «единую точку отказа» для всей системы онлайн-операций, а сама мера не особо повышает защиту, потому что современное мошенничество чаще строится на социальной инженерии, а не на нехватке способов подтверждения. Банки предложили альтернативу — пуш-уведомления, одноразовые TOTP-коды и биометрию, назвав их более надёжными способами подтверждения, чем СМС.
Это важный сигнал: о ненадёжности СМС как канала подтверждения сегодня говорят не теоретики кибербезопасности, а крупные финансовые организации, для которых технология должна защищать деньги клиентов. СМС-код можно перехватить через подмену сим-карты или социальную инженерию, тогда как пуш-уведомление привязано к конкретному устройству — украсть его сложнее.
Поэтому крупные банки уже на практике предлагают клиентам бесплатные пуш-уведомления вместо платных СМС-информирований. И эта замена работает не только для уведомлений об операциях по карте, но всё чаще и для самой авторизации.
Что стоит за безопасным входом по биометрии
Когда сервис предлагает войти по отпечатку пальца или лицу без пароля и СМС, обычно за этим стоит стандарт ВебАус (Webauthn). Работает он не так, как может показаться на первый взгляд: отпечаток пальца или фото лица никуда не передаются и не хранятся на сервере банка или сервиса. При первой настройке устройство — смартфон или ноутбук — создаёт пару криптографических ключей. Открытый ключ отправляется на сервер, а закрытый остаётся внутри защищённого чипа самого устройства и никогда его не покидает.
При каждом следующем входе сервер присылает на устройство случайный запрос, который нужно подписать закрытым ключом, а подтвердить, что устройство держите именно вы, нужно отпечатком, лицом или пин-кодом — без набора кода и без ожидания СМС. Есть и встроенная защита от фишинга: ключ привязан к конкретному домену сервиса, поэтому даже идеальная копия сайта банка не получит рабочую подпись — устройство просто откажется её создавать для чужого адреса. СМС-код в этом смысле куда уязвимее: это обычный текст, который можно перехватить при подмене сим-карты или выманить через социальную инженерию.
Что уже работает в России
Российские экосистемы уже несколько лет выстраивают собственную инфраструктуру авторизации, и результаты заметны.
Сервис авторизации ВК (VK ID) к концу 2025 года довела долю беспарольных входов — через QR-код, автологин и биометрию — до 90% от всех авторизаций, с охватом порядка 50 миллионов пользователей. Сбер ID работает по похожему принципу единого профиля: внутри приложения вход всё чаще подтверждается отпечатком пальца или сканом лица, а не кодом из СМС. Яндекс объединил свой генератор одноразовых кодов «Яндекс Ключ» с центром управления аккаунтом в единое приложение Яндекс ID, где можно включить вход по лицу или отпечатку — без пароля и без СМС-кода. Похожим путём идёт и Газпром ID — единая платформа авторизации внутри экосистемы Газпрома. Здесь уже работает биометрический быстрый вход, построенный именно на ВебАус: пользователь подтверждает вход отпечатком или лицом, а пароль и СМС-код в этом сценарии вообще не участвуют — ровно тот механизм, что описан выше.
Отдельный уровень — государственная инфраструктура. На портале Госуслуг подтверждённую учётную запись имеют уже больше 120 миллионов человек, а Единая биометрическая система (ЕБС) постепенно становится основой межбанковской идентификации: если вы один раз пришли в отделение банка, показали паспорт и сдали биометрию, в перспективе другие банки смогут заочно подтверждать, что вы — это вы, без участия СМС.
СМС не умрут, но перестанут быть главным способом входа
Из всего этого не следует, что СМС исчезнут как технология. Слишком много людей по-прежнему пользуются кнопочными телефонами или просто не хотят разбираться в новых способах входа, поэтому СМС ещё долго останутся резервным каналом — для восстановления доступа, для пользователей без смартфона, для разовых операций с высоким риском.
Но их роль точно меняется. Рынок движется к модели, в которой основной вход подтверждается пуш-уведомлением, биометрией или доверенным устройством, а СМС становится тем самым «запасным выходом» — на случай, если основной способ недоступен. Для бизнеса это означает одновременно экономию на инфраструктуре и более устойчивую, предсказуемую авторизацию — то, чего пользователям порой не хватало в последние пару лет.
