Методичка Минцифры 15 апреля 2026 — что это и как защититься
15 апреля 2026 года Минцифры разослало банкам, маркетплейсам и государственным сервисам рекомендации по «противодействию использованию VPN» в их мобильных приложениях. Документ вышел от ЦОПС (Центра мониторинга и управления сетью связи общего пользования), его подтвердили РБК, CNews и Meduza. С этого дня Сбер, Госуслуги, Магнит, Яндекс Такси и ещё 38+ приложений начали вести себя агрессивнее: показывать капчи, блокировать вход, требовать «выключить VPN». В этой статье — что именно произошло, как это работает технически, и как вернуть всё обратно за 5 минут.
Настройка защиты — 2–5 минут
На iPhone: Safari → routing.help → «Импортировать в Happ». На Android: v2RayTun → Настройки → Per-App Proxy → исключения для Сбера/Госуслуг/Магнита. Дальше пользуйтесь VPN как обычно — банки и российские сервисы пойдут напрямую.
Что такое методичка и кто её составил
Методичка — это неофициальный термин, который закрепился в медиа. Формально это рекомендательное письмо ЦОПС, направленное разработчикам приложений из перечня «значимых для граждан». Документ не является законом и не обязывает компании что-то внедрять. Но на практике банки, особенно государственные (Сбер, ВТБ, Газпромбанк), отреагировали быстро — уже к 16 апреля большинство обновило свои приложения.
Суть рекомендаций в двух пунктах:
- Обнаруживать VPN-подключение на устройстве пользователя через системные API (на Android — через
ConnectivityManager, на iOS — ограниченно через метаданные интерфейсов). - Принять меры при обнаружении: от мягких (показать предупреждение) до жёстких (заблокировать вход, потребовать отключить VPN, показать капчу после капчи).
Логика Минцифры — защитить граждан от мошенников, которые через VPN маскируют фишинговые операции. Логика пользователей — «я просто хочу открыть Instagram и при этом оплатить ЖКХ». Получилось, что методичка ударила по всем, кто пользуется VPN, не только по мошенникам.
Какие приложения попали в список
Методичка адресована приложениям из перечня «объекты критической информационной инфраструктуры» и «значимые сервисы для граждан». Это около 42 приложений в четырёх категориях:
- Банки: Сбер, ВТБ, Альфа, Тинькофф, Газпромбанк, Открытие, Россельхозбанк, МТС Банк, Яндекс Банк, Почта Банк и другие.
- Госуслуги и сервисы: Госуслуги, Мой Налог, Госключ, СберID, ФНС, Единый портал.
- Маркетплейсы и доставка: Wildberries, Ozon, Яндекс Маркет, Магнит, Пятёрочка, Перекрёсток, Delivery Club, Я.Еда.
- Транспорт и такси: Яндекс Такси, Ситимобил, Индрайвер, Туту.ру, РЖД, Аэрофлот.
Детальный разбор каждого приложения с практическими решениями мы собрали в отдельной статье «42 приложения из методички».
Как приложения детектят VPN — техническая часть
Чтобы понять, как защищаться, нужно разобраться, как именно приложения узнают про VPN. Детекция принципиально отличается на Android и iPhone.
Android — системный API видит всё
На Android приложение может вызвать ConnectivityManager.getAllNetworks() и получить список всех активных сетевых интерфейсов: Wi-Fi, мобильный интернет, VPN. Дальше для каждого интерфейса вызывается NetworkCapabilities.hasTransport(TRANSPORT_VPN) — это булево значение «это VPN или нет». Если true — приложение точно знает, что VPN включён.
Никаких ограничений Google Android на этот API не накладывает: приложению не нужны специальные разрешения, пользователь не увидит запроса. Детекция происходит в фоне за миллисекунды при каждом запуске приложения.
Дополнительно более продвинутые приложения (Сбер, Госуслуги) проверяют:
- Имена сетевых интерфейсов через
NetworkInterface.getNetworkInterfaces()— ищутtun0,ppp0,wg0, характерные для VPN. - Изменение маршрута по умолчанию — если весь трафик ушёл через нестандартный шлюз, это подозрительно.
- Несоответствие IP и геолокации — если телефон в Москве по GPS, а IP показывает Амстердам.
- Наличие установленных VPN-клиентов —
PackageManagerпозволяет приложению получить список всех установленных приложений на устройстве (разрешениеQUERY_ALL_PACKAGES).
iPhone — Apple изолирует приложения
На iOS ситуация радикально иная. В методичке Минцифры прямо признаётся:
На iOS выявление VPN существенно ограничено из-за политики изоляции приложений. — Из текста методички ЦОПС, 15.04.2026
Apple не предоставляет системного API «есть ли VPN». Приложения в iOS работают в sandbox — песочнице, которая запрещает им видеть другие приложения, сетевые интерфейсы системы или читать низкоуровневую информацию о маршрутах. Сбер на iPhone не может узнать у системы «а есть ли у пользователя VPN?» — такого запроса просто нет.
Приложения пытаются делать косвенные проверки:
- Собственным сокетом подключиться к серверу и сравнить IP с ожидаемым по геолокации.
- Проверить через CFNetwork, какие прокси настроены в системе — но это работает только для HTTP-прокси, не для VPN.
- Запросить TimeZone/Locale/Language и сверить с IP — если язык русский, а IP амстердамский, считать подозрительным.
Все эти проверки обходятся тривиально — достаточно либо иметь российский exit-IP (например, наш сервер Main идёт с IP Яндекс Облака в России), либо использовать split-tunneling (отправлять банковский трафик в обход VPN).
Что именно сломалось у обычных пользователей
Если у вас уже был настроенный VPN, после 15–16 апреля вы могли столкнуться с одним из этих симптомов:
- Сбер Онлайн: «Операция недоступна» или бесконечная загрузка при попытке сделать перевод.
- Госуслуги: «Ошибка входа» или запрос повторной авторизации через SMS/Face ID по кругу.
- Магнит / Пятёрочка: карта лояльности не подтягивается, кассовые чеки не приходят.
- Яндекс Такси: не принимается оплата картой, приложение требует «обновить геолокацию».
- ВКонтакте: капча при входе, просьба подтвердить номер телефона, иногда блокировка аккаунта на 24 часа.
- Wildberries / Ozon: не принимает адрес доставки, не видит промокоды.
Причина всегда одна: приложение обнаружило VPN и либо вошло в «усиленный режим безопасности», либо просто отказалось работать. Это не баг приложения — это осознанное поведение.
Защита на Android — пошагово
На Android есть два рабочих подхода: split-tunneling (проще) и Anubis (надёжнее).
Split-tunneling — 30 секунд
Суть: сказать VPN-клиенту «этим приложениям VPN не нужен, пусть работают напрямую». В v2RayTun и v2RayNG это называется «Исключения приложений» или «Bypass apps».
- Открыть v2RayTun → ⋯ → Настройки → Per-App Proxy.
- Включить режим «VPN только для выбранных приложений» (или «VPN для всех, кроме выбранных» — зависит от клиента).
- Добавить в обход: Сбер, Госуслуги, Магнит, Пятёрочка, Яндекс Такси, Wildberries, Ozon.
- Сохранить, переподключить VPN.
После этого указанные приложения идут напрямую через мобильный оператор / Wi-Fi, без VPN. Они «видят» обычное подключение и не ругаются. Остальные приложения (Instagram, YouTube, TikTok, ChatGPT) продолжают работать через VPN.
Anubis — когда split-tunneling не хватает
Anubis — модифицированная версия Android-клиента, которая подменяет результаты ConnectivityManager для выбранных приложений. Приложение думает, что VPN нет, хотя на самом деле он работает.
Это сложнее в установке (нужны root-права или специальные сборки), но надёжнее — не нужно настраивать бездомен или список адресов, методичка полностью нейтрализована. Подробную инструкцию мы собрали на главной странице в секции «Защита от методички» → вкладка «Anubis».
Защита на iPhone — пошагово
На iPhone всё проще благодаря iOS sandbox. Нужно только импортировать правильный профиль маршрутизации в клиент Happ.
🍎 iPhone — быстрый путь (обязательно сделайте шаг 3!)
- Установить Happ из App Store.
- Подключить VZIK VPN (ссылка-подписка приходит из Telegram-бота, ВК или формы на сайте).
- Открыть в Safari адрес routing.help → нажать «Импортировать в Happ».
- Happ автоматически установит профиль маршрутизации: все российские сайты и приложения (Сбер, Госуслуги, ВК, Магнит) пойдут напрямую, мимо VPN. Instagram, YouTube, TikTok продолжат работать через VPN.
Что делает профиль из routing.help: это JSON-файл с правилами маршрутизации для Happ. В нём прописано «для доменов вида .ru, .su, vk.com, sberbank.ru, gosuslugi.ru — не использовать VPN». Профиль публичный, проверен сообществом, регулярно обновляется.
После импорта VPN не нужно выключать перед входом в Сбер или Госуслуги — клиент Happ сам направит их запросы напрямую через ваш интернет-оператор. Для приложений это выглядит как обычное подключение без VPN.
Сбербанк на новом iPhone
Приложение Сбера пропало из App Store ещё в 2022 году после санкций. Если у вас новый iPhone, скачать приложение из магазина не получится. Решения:
- Через Safari. Откройте
online.sberbank.ru, залогиньтесь, нажмите «Поделиться» → «На экран Домой». Иконка появится на рабочем столе и будет открываться как обычное приложение. Это самый надёжный способ в 2026 году. - Enterprise-профиль Сбера. На сайте
sberbank.ru/smsможно получить ссылку на установку через корпоративный сертификат Apple. Минус: Apple периодически отзывает такие сертификаты, приложение перестаёт запускаться раз в 2–4 недели, придётся переустанавливать.
Защита на Windows
На Windows нативные программы (Сбер Онлайн для ПК, 1С, клиенты банков) и так работают мимо VPN в режиме «Системный прокси» — это поведение v2RayTun по умолчанию.
Браузерные банки и Госуслуги лечатся одним правилом в v2RayTun → Пользовательские правила → добавить список из 31 русского домена (sberbank.ru, gosuslugi.ru, vk.com, magnit.ru и т.д.). На главной странице → секция «Защита от методички» → вкладка «Windows» мы даём готовый блок для копирования.
Что делать прямо сейчас
Если у вас уже что-то сломалось — порядок действий такой:
- Определить устройство. Android или iPhone — от этого зависит метод.
- Применить базовую защиту — split-tunneling на Android или routing.help на iPhone. Это решает 80% проблем.
- Проверить работу сломанных приложений с включённым VPN. Если Сбер открылся — готово.
- При необходимости — Anubis или веб-версии приложений через Safari/Chrome с добавлением на домашний экран.
online.sberbank.ru, gosuslugi.ru.
Попробуйте VZIK VPN — 7 дней бесплатно
2 сервера (Россия + Нидерланды), готовые профили routing.help для iPhone и split-tunneling для Android, поддержка в Telegram. После триала — 149 ₽/мес. Без привязки карты.