7 июля 2026 года вступила в силу статья 13.55 КоАП РФ. Она появилась благодаря Федеральному закону № 199-ФЗ от 26.06.2026. Штраф для юрлица за первое нарушение — от 500 000 до 700 000 рублей, за повторное — до 1,4 млн. Должностным лицам грозит от 30 000 до 50 000 рублей, гражданам-владельцам ресурса — от 10 000 до 20 000. Пользователей штрафы не касаются вообще.
Сама обязанность авторизовать российских пользователей определёнными способами закреплена в части 10 статьи 8 закона № 149-ФЗ ещё с 1 декабря 2023 года. Всё это время нарушение не каралось — в КоАП не было соответствующей статьи. 199-ФЗ закрыл пробел, и кнопка «Войти через Google», два с половиной года провисевшая без последствий, стала статьёй расходов. Первыми об отключении иностранного входа предупредили пользователей Wildberries, Ozon и 2ГИС — крупные площадки не стали ждать проверок и отключили кнопки заранее.
Штраф — не главная проблема. Пока вход идёт через чужой OAuth-провайдер, реальным держателем ключа от аккаунта пользователя остаётся не бизнес, а корпорация в другой юрисдикции. Она может отозвать API-доступ или заблокировать интеграцию без предупреждения — и тогда часть пользователей физически потеряет доступ к своему профилю, а RKN тут ни при чём.
Кого касается закон и что именно разрешено
Ответственность несёт владелец сайта, приложения или информационной системы — российское юрлицо или гражданин РФ, работающий с пользователями на территории страны. Обычный лендинг без регистрации и личного кабинета норма не затрагивает: обязанность возникает только там, где есть полноценная авторизация.
Закрытый перечень разрешённых способов — четыре пункта: номер российского мобильного оператора, ЕСИА («Госуслуги»), Единая биометрическая система (ЕБС) и «иная информационная система», отвечающая требованиям статьи 16 149-ФЗ по защите информации. Последний пункт — самый гибкий: система считается российской, если гражданин РФ без второго гражданства или российское юрлицо владеет ею прямо или косвенно более чем на 50%. Именно этот критерий определяет, подходит ли конкретный IdP под закон — не бренд, а структура собственности.
Сравнение российских сервисов авторизации
Рынок российских ID успел разрастись задолго до 199-ФЗ — просто раньше подключать их было делом вкуса, а не обязанностью. Ниже — основные варианты с тем, что реально нужно для подключения.
| Сервис | Кто владеет | Как подключить | Особенности |
|---|---|---|---|
| Номер телефона РФ | Оператор связи (МТС, Билайн, МегаФон, Т2) | SMS/звонок-подтверждение, встраивается напрямую | Базовый способ из закона, не требует стороннего IdP |
| ЕСИА / «Госуслуги» | Минцифры России | КЭП юрлица + регистрация ИС на технологическом портале, только протокол OpenID Connect | Самая надёжная идентификация, но тяжёлая бюрократия — месяцы, а не дни |
| ЕБС (биометрия) | Государство / ЦБ | Через операторов биометрии, отдельная инфраструктура | Требует согласия на обработку биометрических данных |
| VK ID | VK | SDK для Android/iOS/веб, бесплатно для разработчиков | Крупнейшая база пользователей, экосистема VK, Одноклассников и Mail |
| Яндекс ID | Яндекс | OAuth-регистрация приложения, LoginSDK для мобильных | Привычный вход через Маркет, Такси, Плюс — высокое доверие пользователей |
| Сбер ID | Сбер | Android/iOS SDK, документация для разработчиков | Хорошо заходит в финтех- и e-commerce-аудиторию |
| T-ID (Т-Банк) | Т-Банк | Партнёрская интеграция, вход по номеру телефона без счёта в банке | Уже на 100+ сайтах — hh.ru, S7, X5, Wildberries, Детский мир |
| WB ID | Wildberries & Russ | Тестируется как внешний IdP для сторонних сервисов | Новый игрок, опирается на 79 млн активных аккаунтов маркетплейса |
| MAX-аккаунт | Оператор национального мессенджера MAX | Через SDK мессенджера, статус соцсети | Молодой сервис, быстро набирает функциональность |
| MTS ID / MegaFon ID | МТС, МегаФон | Пока преимущественно для собственных сервисов операторов | Слабо распространены как сторонняя кнопка входа — стоит уточнять доступность перед интеграцией |
Спор, который закон не закрыл: что с иностранной почтой
Здесь источники расходятся, и упрощать не стоит. Первый зампред думского комитета Сергей Боярский публично назвал слухи о штрафах за вход через Gmail-почту «вбросом». Но юридический разбор прямо утверждает обратное: владельцы ресурсов обязаны запретить авторизацию через иностранную почту наравне с Google и Apple ID. Сам текст части 10 статьи 8 149-ФЗ почту вообще не упоминает — там только телефон, ЕСИА, ЕБС и «иная система». Формально это означает, что вход по паре «email + пароль», где проверку делает сам сайт, а не сторонний иностранный сервис, под запрет не подпадает — но однозначной судебной или разъяснительной практики по этому вопросу пока нет. До появления официальных разъяснений Роскомнадзора безопаснее считать вопрос открытым, а не решённым в чью-то пользу.
Что расхождений не вызывает: закон обратной силы не имеет. Аккаунты, заведённые через Google или Apple ID до 7 июля, продолжают работать. Проблема — только у тех, кто входил исключительно через иностранный сервис и не привязал телефон заранее: им придётся восстанавливать доступ через поддержку вручную.
Материал носит информационный характер. При выборе способа авторизации и переносе пользовательской базы нужно соблюдать требования 149-ФЗ, 152-ФЗ о персональных данных и КоАП РФ. Текст не предлагает схем обхода закона и не заменяет консультацию юриста по конкретному проекту.
Второй фронт: рекомендательные технологии и статья 13.56
Тот же пакет поправок ввёл отдельную статью — 13.56 КоАП, и её часто путают с 13.55, хотя это разные обязанности. Штрафуют за отсутствие уведомления пользователей о работе рекомендательных алгоритмов, отсутствие правил их применения на сайте и отсутствие контактов владельца ресурса. Суммы штрафов первично совпадают с 13.55 — до 700 тысяч для юрлица, но при неисполнении отдельного требования Роскомнадзора о прекращении выдачи рекомендаций штраф для юрлица при повторном нарушении может доходить до 2,8 млн рублей — это уже больше, чем максимум по авторизации. Если на сайте есть лента «вам может понравиться» или персональные рекомендации товаров, это отдельная зона риска, независимая от кнопок входа.
Что делать технически: от готового провайдера до своего Identity Provider
Самый быстрый путь — подключить готовый российский IdP: VK ID, Яндекс ID, Сбер ID или T-ID. Интеграция по SDK или партнёрскому API занимает от нескольких дней до пары недель. Минус тот же, что и с Google: бизнес снова отдаёт ключ от базы пользователей стороннему владельцу, просто теперь российскому.
ЕСИА выглядит привлекательно как государственный и максимально надёжный вариант, но для коммерческой организации это не быстрая интеграция: нужна квалифицированная электронная подпись юрлица, регистрация информационной системы на технологическом портале и обязательная работа строго по протоколу OpenID Connect. Закладывать на это стоит не недели, а полноценный проект с профильным подрядчиком.
Альтернатива — свой Identity Provider на своей инфраструктуре: Keycloak, Ory или Authentik закрывают базовый OAuth2/OIDC, сессии, MFA. Перенос пользователей без принудительного сброса пароля возможен, если уже есть e-mail или телефон каждого — миграция сводится к созданию учётки и привязке первого входа через одноразовый код, а не к переносу хешей пароля, которых у вас никогда не было: раньше их считал Google.
Без Google Advanced Protection защиту от брутфорса и ботов придётся собирать самому: rate limiting, ограничение попыток входа с устройства и IP, капча как крайний рубеж. Risk-based аутентификация своими силами — комбинация сигналов: отпечаток устройства, скорость смены гео-локаций, репутация IP. Такая система с нуля — отдельный проект на месяцы, а не настройка в конфиге за вечер.
Частые вопросы
Штрафуют ли обычного человека за вход через Google или Apple ID?
Нет. Ответственность по статье 13.55 КоАП несут только владельцы сайтов и приложений, а не пользователи, которые этими сервисами входят.
Можно ли по-прежнему регистрироваться на сайте через Gmail-почту?
Однозначного ответа нет: официальные представители Госдумы называют такие сообщения вбросом, а часть юристов считает, что закон охватывает и иностранную почту. Текст нормы почту прямо не упоминает — до разъяснений Роскомнадзора вопрос стоит считать спорным.
Что будет со старыми аккаунтами, созданными через Apple ID до 7 июля 2026 года?
Закон обратной силы не имеет, такие аккаунты продолжают работать. Проблема — у тех, кто не привязал альтернативный способ входа и вынужден восстанавливать доступ через поддержку.
Чем штрафы за авторизацию отличаются от штрафов за рекомендательные технологии?
Это разные статьи КоАП — 13.55 для авторизации и 13.56 для рекомендательных алгоритмов. Суммы первичных штрафов близки, но за игнорирование требования Роскомнадзора по рекомендательным технологиям штраф для юрлица может доходить до 2,8 млн рублей — это выше потолка по авторизации.
Обязательно ли переходить именно на VK ID или Яндекс ID?
Нет. Закон допускает любую российскую систему авторизации, отвечающую требованиям статьи 16 149-ФЗ и принадлежащую российскому лицу более чем на 50%, включая собственный Identity Provider владельца сайта.
На момент вступления закона в силу ни одного публично подтверждённого дела по статье 13.55 в открытых источниках нет — норма слишком свежая, а первые проверки Роскомнадзор традиционно проводит по жалобам и плановому аудиту, а не в первые сутки действия статьи.