Штрафы за вход через Google и Apple ID: закон 199-ФЗ и переход на российскую авторизацию

1396
Штрафы за вход через Google и Apple ID: закон 199-ФЗ и переход на российскую авторизацию

7 июля 2026 года вступила в силу статья 13.55 КоАП РФ. Она появилась благодаря Федеральному закону № 199-ФЗ от 26.06.2026. Штраф для юрлица за первое нарушение — от 500 000 до 700 000 рублей, за повторное — до 1,4 млн. Должностным лицам грозит от 30 000 до 50 000 рублей, гражданам-владельцам ресурса — от 10 000 до 20 000. Пользователей штрафы не касаются вообще.

Сама обязанность авторизовать российских пользователей определёнными способами закреплена в части 10 статьи 8 закона № 149-ФЗ ещё с 1 декабря 2023 года. Всё это время нарушение не каралось — в КоАП не было соответствующей статьи. 199-ФЗ закрыл пробел, и кнопка «Войти через Google», два с половиной года провисевшая без последствий, стала статьёй расходов. Первыми об отключении иностранного входа предупредили пользователей Wildberries, Ozon и 2ГИС — крупные площадки не стали ждать проверок и отключили кнопки заранее.

Штраф — не главная проблема. Пока вход идёт через чужой OAuth-провайдер, реальным держателем ключа от аккаунта пользователя остаётся не бизнес, а корпорация в другой юрисдикции. Она может отозвать API-доступ или заблокировать интеграцию без предупреждения — и тогда часть пользователей физически потеряет доступ к своему профилю, а RKN тут ни при чём.

Кого касается закон и что именно разрешено

Ответственность несёт владелец сайта, приложения или информационной системы — российское юрлицо или гражданин РФ, работающий с пользователями на территории страны. Обычный лендинг без регистрации и личного кабинета норма не затрагивает: обязанность возникает только там, где есть полноценная авторизация.

Закрытый перечень разрешённых способов — четыре пункта: номер российского мобильного оператора, ЕСИА («Госуслуги»), Единая биометрическая система (ЕБС) и «иная информационная система», отвечающая требованиям статьи 16 149-ФЗ по защите информации. Последний пункт — самый гибкий: система считается российской, если гражданин РФ без второго гражданства или российское юрлицо владеет ею прямо или косвенно более чем на 50%. Именно этот критерий определяет, подходит ли конкретный IdP под закон — не бренд, а структура собственности.

Сравнение российских сервисов авторизации

Рынок российских ID успел разрастись задолго до 199-ФЗ — просто раньше подключать их было делом вкуса, а не обязанностью. Ниже — основные варианты с тем, что реально нужно для подключения.

СервисКто владеетКак подключитьОсобенности
Номер телефона РФОператор связи (МТС, Билайн, МегаФон, Т2)SMS/звонок-подтверждение, встраивается напрямуюБазовый способ из закона, не требует стороннего IdP
ЕСИА / «Госуслуги»Минцифры РоссииКЭП юрлица + регистрация ИС на технологическом портале, только протокол OpenID ConnectСамая надёжная идентификация, но тяжёлая бюрократия — месяцы, а не дни
ЕБС (биометрия)Государство / ЦБЧерез операторов биометрии, отдельная инфраструктураТребует согласия на обработку биометрических данных
VK IDVKSDK для Android/iOS/веб, бесплатно для разработчиковКрупнейшая база пользователей, экосистема VK, Одноклассников и Mail
Яндекс IDЯндексOAuth-регистрация приложения, LoginSDK для мобильныхПривычный вход через Маркет, Такси, Плюс — высокое доверие пользователей
Сбер IDСберAndroid/iOS SDK, документация для разработчиковХорошо заходит в финтех- и e-commerce-аудиторию
T-ID (Т-Банк)Т-БанкПартнёрская интеграция, вход по номеру телефона без счёта в банкеУже на 100+ сайтах — hh.ru, S7, X5, Wildberries, Детский мир
WB IDWildberries & RussТестируется как внешний IdP для сторонних сервисовНовый игрок, опирается на 79 млн активных аккаунтов маркетплейса
MAX-аккаунтОператор национального мессенджера MAXЧерез SDK мессенджера, статус соцсетиМолодой сервис, быстро набирает функциональность
MTS ID / MegaFon IDМТС, МегаФонПока преимущественно для собственных сервисов операторовСлабо распространены как сторонняя кнопка входа — стоит уточнять доступность перед интеграцией

Спор, который закон не закрыл: что с иностранной почтой

Здесь источники расходятся, и упрощать не стоит. Первый зампред думского комитета Сергей Боярский публично назвал слухи о штрафах за вход через Gmail-почту «вбросом». Но юридический разбор прямо утверждает обратное: владельцы ресурсов обязаны запретить авторизацию через иностранную почту наравне с Google и Apple ID. Сам текст части 10 статьи 8 149-ФЗ почту вообще не упоминает — там только телефон, ЕСИА, ЕБС и «иная система». Формально это означает, что вход по паре «email + пароль», где проверку делает сам сайт, а не сторонний иностранный сервис, под запрет не подпадает — но однозначной судебной или разъяснительной практики по этому вопросу пока нет. До появления официальных разъяснений Роскомнадзора безопаснее считать вопрос открытым, а не решённым в чью-то пользу.

Что расхождений не вызывает: закон обратной силы не имеет. Аккаунты, заведённые через Google или Apple ID до 7 июля, продолжают работать. Проблема — только у тех, кто входил исключительно через иностранный сервис и не привязал телефон заранее: им придётся восстанавливать доступ через поддержку вручную.

Материал носит информационный характер. При выборе способа авторизации и переносе пользовательской базы нужно соблюдать требования 149-ФЗ, 152-ФЗ о персональных данных и КоАП РФ. Текст не предлагает схем обхода закона и не заменяет консультацию юриста по конкретному проекту.

Второй фронт: рекомендательные технологии и статья 13.56

Тот же пакет поправок ввёл отдельную статью — 13.56 КоАП, и её часто путают с 13.55, хотя это разные обязанности. Штрафуют за отсутствие уведомления пользователей о работе рекомендательных алгоритмов, отсутствие правил их применения на сайте и отсутствие контактов владельца ресурса. Суммы штрафов первично совпадают с 13.55 — до 700 тысяч для юрлица, но при неисполнении отдельного требования Роскомнадзора о прекращении выдачи рекомендаций штраф для юрлица при повторном нарушении может доходить до 2,8 млн рублей — это уже больше, чем максимум по авторизации. Если на сайте есть лента «вам может понравиться» или персональные рекомендации товаров, это отдельная зона риска, независимая от кнопок входа.

Что делать технически: от готового провайдера до своего Identity Provider

Самый быстрый путь — подключить готовый российский IdP: VK ID, Яндекс ID, Сбер ID или T-ID. Интеграция по SDK или партнёрскому API занимает от нескольких дней до пары недель. Минус тот же, что и с Google: бизнес снова отдаёт ключ от базы пользователей стороннему владельцу, просто теперь российскому.

ЕСИА выглядит привлекательно как государственный и максимально надёжный вариант, но для коммерческой организации это не быстрая интеграция: нужна квалифицированная электронная подпись юрлица, регистрация информационной системы на технологическом портале и обязательная работа строго по протоколу OpenID Connect. Закладывать на это стоит не недели, а полноценный проект с профильным подрядчиком.

Альтернатива — свой Identity Provider на своей инфраструктуре: Keycloak, Ory или Authentik закрывают базовый OAuth2/OIDC, сессии, MFA. Перенос пользователей без принудительного сброса пароля возможен, если уже есть e-mail или телефон каждого — миграция сводится к созданию учётки и привязке первого входа через одноразовый код, а не к переносу хешей пароля, которых у вас никогда не было: раньше их считал Google.

Без Google Advanced Protection защиту от брутфорса и ботов придётся собирать самому: rate limiting, ограничение попыток входа с устройства и IP, капча как крайний рубеж. Risk-based аутентификация своими силами — комбинация сигналов: отпечаток устройства, скорость смены гео-локаций, репутация IP. Такая система с нуля — отдельный проект на месяцы, а не настройка в конфиге за вечер.

Частые вопросы

Штрафуют ли обычного человека за вход через Google или Apple ID?

Нет. Ответственность по статье 13.55 КоАП несут только владельцы сайтов и приложений, а не пользователи, которые этими сервисами входят.

Можно ли по-прежнему регистрироваться на сайте через Gmail-почту?

Однозначного ответа нет: официальные представители Госдумы называют такие сообщения вбросом, а часть юристов считает, что закон охватывает и иностранную почту. Текст нормы почту прямо не упоминает — до разъяснений Роскомнадзора вопрос стоит считать спорным.

Что будет со старыми аккаунтами, созданными через Apple ID до 7 июля 2026 года?

Закон обратной силы не имеет, такие аккаунты продолжают работать. Проблема — у тех, кто не привязал альтернативный способ входа и вынужден восстанавливать доступ через поддержку.

Чем штрафы за авторизацию отличаются от штрафов за рекомендательные технологии?

Это разные статьи КоАП — 13.55 для авторизации и 13.56 для рекомендательных алгоритмов. Суммы первичных штрафов близки, но за игнорирование требования Роскомнадзора по рекомендательным технологиям штраф для юрлица может доходить до 2,8 млн рублей — это выше потолка по авторизации.

Обязательно ли переходить именно на VK ID или Яндекс ID?

Нет. Закон допускает любую российскую систему авторизации, отвечающую требованиям статьи 16 149-ФЗ и принадлежащую российскому лицу более чем на 50%, включая собственный Identity Provider владельца сайта.

На момент вступления закона в силу ни одного публично подтверждённого дела по статье 13.55 в открытых источниках нет — норма слишком свежая, а первые проверки Роскомнадзор традиционно проводит по жалобам и плановому аудиту, а не в первые сутки действия статьи.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
10 000 человек уже думают как хакеры
Ты — пока нет. Реальные атаки, реальные стенды, реальная разница между «знаю» и «умею».
Присоединиться →
WHITE HAT // verified
РЕКЛАМА

Николай Нечепуренков

Я – ваш цифровой телохранитель и гид по джунглям интернета. Устал видеть, как хорошие люди попадаются на уловки кибермошенников, поэтому решил действовать. Здесь я делюсь своими секретами безопасности без занудства и сложных терминов. Неважно, считаешь ты себя гуру технологий или только учишься включать компьютер – у меня найдутся советы для каждого. Моя миссия? Сделать цифровой мир безопаснее, а тебя – увереннее в сети.