Ни дня без новостях о новых штрафах и ограничениях.
9 июня во всех порталах разлетелась новость о том, что Госдума одобрила штрафы за авторизацию пользователей через иностранные сервисы. Что с этой новостью не так? В тексте была указана ссылка на законопроект № 1110676-8 вот с таким текстом. При этом текст, действительно, вносит изменения в ряд федеральных законов, но ни о каких штрафах речи там не было.
Однако в этот же день Госдума приняла в третьем чтении законопроект №1069392-8 вот с таким текстом - и про штрафы речь шла именно в нем.
Вероятно, одни журналисты ошиблись, поставили ссылку не на тот законопроект, а затем ссылку репостнули все остальные.
Законопроект ввел в КоАП новую статью 13.55 «Неисполнение обязанности по проведению авторизации пользователей сети “Интернет” при предоставлении доступа к информации», которая предусматривает следующие штрафы:
Граждане от 10 000 до 20 000 руб.
Должностные лица от 30 000 до 50 000 руб.
Юридические лица от 500 000 до 700 000 руб.
Закон ничего не говорит об увеличении суммы за повторное нарушение. Но есть риск, что вас могут оштрафовать несколько раз за одно и то же, если РКН проведет несколько "контрольных закупок", то есть несколько сессий авторизации на вашем портале.
При этом законопроект не вводит новые нормы про авторизацию (они уже были предусмотрены п. 10 ст. 8 149-ФЗ), а только предусматривает ответственность (причем, достаточно суровую) за неисполнение.
Итак, начнем с того, что в законодательстве вообще отсутствует норма, которая определяет, что такое авторизация (это значит, что ведомства при принятии решений о фактах нарушений и назначении штрафов будут руководствоваться общедоступными источниками - словарями, какими-нибудь локальными актами и т.д.).
Например, по энциклопедии Касперского, авторизация - процесс предоставления пользователю или группе пользователей определенных разрешений, прав доступа и привилегий в компьютерной системе.
Т.к. в законе нет отсылок к терминам “регистрация”, “аутентификация”, “идентификация”, то РКН будет смотреть на процесс авторизации - то есть как пользователь получает доступ к закрытой части сайта.
Из забавного: по идее, пользователь может зарегистрироваться с применением каких угодно данных, а вот авторизацию нужно будет проводить уже только с применением нормы закона.
Исходя из п. 10 ст. 8 149-ФЗ, у нас осталось только 4 законных способа авторизации пользователя:

Что получается после анализа способов:
Судя по всему, любая авторизация с использованием электронной почты (даже на Яндексе - без подключения их сервиса авторизации или Mail.ru) - недопустима, т.к. этого варианта нет в списке.
В списке способов нет мессенджера Макс, но с натяжкой этот способ подходит, т.к. в мессенджере нельзя зарегистрироваться без номера телефона. Возможно, для него будет сделано какое-то отдельное разъяснение.
Нормы закона касаются и публичных и корпоративных сервисов. Если читать норму буквально, работодателя можно оштрафовать за то, что сотрудники заходят в корпоративную систему, используя выданные им логины/пароли, без "обычной" авторизации. Почему не сделано исключение для корпоративных систем - непонятно...
Судя по всему, теперь самый рабочий способ авторизации - это использование номера телефона (что повлечет дополнительные затраты, которые нужно заложить в бюджет проекта) или использование Яндекс ID
Владельцам сайтов, порталов, интернет-магазинов и любых ресурсов (приложений, сервисов), которые предусматривают авторизацию, нужно просмотреть свои формы авторизации и скорректировать пользовательское (лицензионное) соглашение - ту часть, где описан способ авторизации.
-
Закон не описывает, что вы должны делать с пользователями, которые ранее зарегистрировались/авторизовывались с использованием ныне "запрещенных" способов. Тут сам владелец ресурса должен принять решение и, например, разослать оповещения об изменении способа авторизации.
На кого распространяется закон?
Вы - владелец ПО/сайта - гражданин РФ или российское юридическое лицо
Ваш пользователь находится на территории Российской Федерации (неизвестно, как вы должны определить, где находится ваш пользователь, но РКН будет проводить “контрольные закупки”, находясь в РФ, поэтому лучше учесть эти нормы, если вы работаете (хотя бы частично) с русскоязычной аудиторией тут либо определять по гео или перед показом формы авторизации вешать плашку с вопросом вы находитесь в РФ? и в зависимости от ответа показывать форму (это даст хотя бы какую-то позицию в споре с РКН)
На какие сервисы распространяется закон?
Я видела в сети позицию, что нормы распространяются только на сайты, а на десктопные/мобильные приложения - нет, но я с ней не согласна.
Читаем п. 10 ст. 8: Владелец сайта / Страницы сайта в сети “Интернет” / Информационной системы /Программы для электронных вычислительных машин
Термин "программа для ЭВМ" раскрыт в ст. 1261 ГК РФ, это - представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определенного результата. Термин специально сформулирован так широко, чтобы все разнообразие программ охранялось авторским правом.
Поэтому, фактически, под действие п. 10 ст. 8 попадают вообще все сервисы - сайты, порталы, мобильные приложения, десктопные приложения, SaaS и т.д. Если вы считаете, что ваш проект не попадает - напишите в комментариях, что у вас за сервис - будем разбирать, подходит к нему термин "сайт" или "программа для ЭВМ" или нет.
Кстати, закон вступит в силу через 10 дней после официального опубликования (поскольку в тексте проекта не предусмотрена специальная дата вступления в силу), то есть у всех есть около 2-х недель, чтобы избежать ситуации возможного получения штрафов.
Кстати, вот примеры довольно крупных сервисов, которые позволяют авторизоваться через иные способы


Комментарии (23)

Surrogate
10.06.2026 16:28На какие сервисы распространяется закон?
Я являюсь админом форума https://visio.getbb.ru/, отец-основатель форума умер в прошлом году.
Примерно 30% зарегистрированных, при регистрации указали gmail. Последние полгода на форуме никакой активности, форум живёт на бесплатном хостинге. Пишу парсер, чтобы перенести содержимое форума на другой хостинг (скорее всего GitHub Pages).
Дальше придется закрыть форум?

Kateryne
10.06.2026 16:28Ну не знаю, тут конечно вопрос к юристам, а еще специалистам по ИБ, ибо п.16 смущает. Но если читать буквально, по моему запретили не вход по емейл или логину-паролю, а вход через кнопку Gmail и тому подобное. Допустим, я - организация в РФ, имею свою, назовем это так, систему авторизации, у которой логин - набор букв из емейл. "Система авторизации" (пусть даже встроенная в собственно нашу систему, хотя в принципе это может быть и микросервис) должна быть размещена в РФ, то есть запрещен сторонний хостинг, это да. Но по моему - главное для этой "нашей системы авторизации" соблюдать те пункты требований по ИБ, но не обязательно быть большой системой типа Яндекс ИД. Причем по моему, даже логин может быть от gmail, главное чтобы кнопки "Войти через Google" не было. Отправку одноразового пароля на gmail вроде не запрещали, ну или по крайней мере в этом законе я этого не нашла.

Kot_na_klaviature
10.06.2026 16:28Если читать буквально, там 4 способа аутентификации и е-мейл + пароль в списке нет

Kateryne
10.06.2026 16:28Если читать буквально, то четвертый способ - "Иные системы "входа"... выполняющие требования ИБ из п.16". Чем наша местечковая авторизация внутри нашей системы - не "иная"? Если она конечно не хостится за рубежом. А вот вход через гугл - не проходит под понятие иные, так как нарушает требование "не хоститься за рубежом". Спор может быть разве что с монолитными приложениями (тут да, погранично), а вот сервис авторизации самописный по моему проходит за милую душу.

positroid
10.06.2026 16:28Даже если логин/пароль считать "иным" способом, что на мой взгляд логично - возможность входа через только почту (восстановление пароля, отправку кода на почту и тп) - уже должно попадать под штраф.
Если рассматривать "цель" законопроекта в том, чтобы зарубежные ресурсы не могли злонамеренно войти на сайт под пользователем - то в случае восстановления пароля эта возможность останется.

Kateryne
10.06.2026 16:28Вот тут тоже серая зона, да. Но это не значит Имхо запрета на авторизацию через НАШ сервис авторизации с отправкой кода на емейл, если емейл на ру домене. С иностранной почтой неоднозначно, соглашусь.

Ded_Keygen
10.06.2026 16:28Если норма относится не только к веб-сайтам, а к любым приложениям, доступным через интернет - то получается, что это относится и к корпоративным впн, и если кто-то делает удаленный доступ к своему личному компьютеру/серверу через ssh/rdp/radmin и тому подобные средства?

aik
10.06.2026 16:28Я на своих сайтах просто закрою возможности комментирования и т.п. Тем более, что они не особо посещаемые, так что много не потеряю.

AntonyLazer
10.06.2026 16:28А как можно посмотреть финальный текст того закона, который меняется этим? то есть посмотреть финальную формулировку того, что получается в итоге, если применить правки? то есть версию ещё не вступившую в силу. В интернете нигде не найти такой текст.

ksalnikova Автор
10.06.2026 16:28вы его пока что не видите, потому что он еще не прошел все стадии документооборота (совет федерации-президент-опубликование). Как только опубликуют, будет известна дата вступления в силу. Но, из практики, все эти стадии уже являются достаточно формальными

AntonyLazer
10.06.2026 16:28Вообще, если распространять авторизацию при доступе к сайтам максимально широко, то так получается, что и по ssh подключиться к серверу для его настройки - тоже нельзя?

ivkrap
10.06.2026 16:28Ксения, может, хватит уже околесицу нести? Ей богу хайп на пустом месте!
Речь исключительно о запрете авторизации следует трактовать как запрет на трансграничную передачу данных аутентификации. Государство интересует исключение из цепочки входа зарубежных провайдеров вроде Google OAuth и Apple ID.
Законодатель разделил сущности: логин (имя аккаунта) может быть любым (@gmail.com, @icloud.com, @mail.ru, @ya.ru и т. п.), но сервис авторизации (бэкенд, который проверяет пароль, отправляет код подтверждения и хранит сессию) обязаны контролировать лица из РФ.
Вы представляете, что было бы, если под запрет попали сотни миллионов российских аккаунтов с иностранными почтовыми ящиками? Гигантский социальный взрыв и тотальный паралич всех сервисов.
Согласно ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация», строка user@gmail.com – это всего лишь идентификатор (п. 3. 20). Она не имеет гражданства, это лишь набор символов. А вот база данных, где лежит хэш пароля этого пользователя – уже информационная система. Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден. То, что имя пользователя включает элемент американского сайта, российскую юрисдикцию сервера не меняет.
Вот смысл терминов по этому ГОСТу простыми словами (у них всё жуть как запутанно!), если мы разбираем процесс входа на любой закрытый ресурс: идентификация (вы говорите, кто вы, тем же user@gmail.com) --> аутентификация (вы доказываете это паролем или хешем) --> авторизация (система решает, куда вас пустить внутри). Закон направлен именно на авторизацию, которую должны осуществлять системы в России. Если сайт, который находится на хостинге в РФ просто сравнивает идентификатор с аутентификатором, а затем авторизует пользователя в своем контуре, тогда всё в порядке. Потому что процесс авторизации не покидал пределов страны.

aik
10.06.2026 16:28Если российское лицо само проверяет пароли в своей базе на территории РФ, суверенитет соблюден.
Но должна у сайта будет быть какая-то бумажка на обработку-хранение данных? Согласие юзера на обработку ПД, регистрация как оператора ПД?

Jalart
10.06.2026 16:28Уведомление в РосКомНадзор об обработке ПДН, политика конфиденциальности и правила сайта как минимум. Эти вопросы на Хабре уже обсуждались. Поищите, там более развёрнуто описано, даже есть протокол действий.

aik
10.06.2026 16:28Для комментов на сайте и мелкого местечкового форума даже заморачиваться не буду. Просто отключу-закрою.

Jalart
10.06.2026 16:28А обезличивание ПДН не вариант? При регистрации запрашивать только псевдоним, емайл, пароль и всё. Это даже не ПДН, а абракадабра, которая не мешает входить на сайт. Если пытаются ФИО указать - генерируете псевдоним типа md5 - ФИО нет.

aik
10.06.2026 16:28У нас всё что угодно могут за ПД посчитать. В комментах вообще только ник и емейл запрашивается. На форуме есть поля для дня рождения и т.п., там куча разной инфы. ФИО не запрашивается. Но, конечно, можно их все эти поля скрыть, оставить только ник.
Kot_na_klaviature
У 99% сайтов е-мейл и пароль для аутентификации. Слабо верится, что все они сейчас побегут внедрять доступ по телефону
ksalnikova Автор
да я согласна с вами. причем речь и о довольно крупных ресурсах, не только про маленькие проекты. но тем не менее, вот такой закон в такой формулировке был принят
Kot_na_klaviature
Там 4й пункт про иные системы - его по идее можно притянуть к логину и паролю.в 16 статье никаких особых требований нет