Штрафы за авторизацию на сайтах: что делать бизнесу?

9 июня 2026 года Госдума приняла во втором и третьем чтениях законопроект, который вводит административные штрафы за нарушение правил авторизации пользователей на российских интернет-ресурсах. В обсуждении всплыло главное: привычные кнопки «войти через Google», Apple ID и вход через иностранные почтовые сервисы могут стать прямым поводом для штрафа.

На практике это история не про «крупные соцсети». Под удар попадает любой ресурс, где есть личный кабинет: интернет-магазин, сервис записи, B2B-портал для подрядчиков, CRM с доступом для клиентов, личный кабинет управляющей компании, закрытый раздел с документами.

Важно не накрутить себя. Обычных пользователей интернета штрафовать не собираются, ответственность ложится на владельцев площадок и должностных лиц. Это отдельно проговорили публично, когда началась паника вокруг Gmail.

Что именно изменилось?

Смысл поправок простой: требования к авторизации на российских ресурсах существуют уже не первый год, теперь к ним добавили прямую административную ответственность.

Штрафы для юридических лиц за первое нарушение заявлены в вилке 500–700 тысяч рублей. Повторное нарушение уже тянет до 1,4 млн рублей. Для граждан и должностных лиц тоже предусмотрены отдельные суммы.

Ещё один нюанс, который часто теряют в пересказах: для мобильных приложений, которые распространяются через App Store и Google Play, в новостях отдельно отмечают исключение — там правила авторизации не меняются и можно оставлять почтовые сервисы, к которым привыкли пользователи.

Какие способы входа считаются допустимыми?

В формулировках, которые цитируют деловые СМИ, «разрешённый набор» выглядит так: вход по номеру мобильного телефона, через «Госуслуги» (ЕСИА), через Единую биометрическую систему (ЕБС), через российский сервис авторизации.

Ключевая мысль для владельца ресурса: речь про то, какой механизм ты предлагаешь как способ входа. Это не только кнопки соцлогина. Это ещё и варианты типа «логин по почте через Google», «войти через корпоративный аккаунт Google Workspace», «подтвердить вход письмом, которое уходит через зарубежного провайдера».

Отдельно стоит сказать про «иностранную электронную почту». В новостях её часто упоминают как часть нарушения. ([amp.rbc.ru](https://amp.rbc.ru/rbcnews/rbcfreenews/6a28174f9a7947ddd6fd3b2d))

При этом уже после принятия законопроекта появилось пояснение от главы профильного комитета Госдумы Сергея Боярского: идея штрафов не сводится к тому, чтобы наказывать сайты из-за того, что пользователь держит ящик на Gmail. Важно аккуратно читать финальный текст и следить за разъяснениями, когда закон пройдёт все стадии.

Где чаще всего видят нарушения?

Редко кто сознательно держит «вход через Google» и ждёт штраф. Чаще это наследие прошлой разработки: сделали красиво для конверсии, потом продукт вырос, команда сменилась, кнопка осталась в углу модалки.

Три типовые ситуации, которые встречаются у малого и среднего бизнеса:

• Сайт на конструкторе или шаблоне: в теме уже встроены социальные кнопки входа, их никто не отключал.
• B2B-кабинет для партнёров: вход через Google Workspace для сотрудников контрагентов считался «удобным корпоративным SSO».
• Сервисный кабинет для клиентов: логика «вход по e-mail + пароль», при этом e-mail фактически завязан на иностранного провайдера, а «войти через Gmail» включён как быстрый вариант.

Если продукт использует OAuth-провайдеров и интеграции, полезно разложие OAuth нужен для авторизации пользователя, а где он нужен как техническая авторизация для API. Это разные риски и разные уровни видимости для Роскомнадзора. Если хочется освежить базу, в документации 101 есть раздел про OAuth 2.0 для API и интеграций.

Рекомендательные технологии: отдельный риск и отдельные штрафы

В одном пакете со штрафами за авторизацию усилили ответственность за нарушения, связанные с рекомендательными технологиями. Если платформа подбирает контент «под предпочтения» пользователя, у владельца появляются обязанности по информированию: уведомлять о применении рекомендаций, публиковать правила, раскрывать сведения о владельце ресурса.

Самый болезненный момент тут связан с предписанием Роскомнадзора. Если предписание не исполнено и выдача «рекомендованного контента» продолжается, при повторном нарушении в новостях называют штраф до 2,8 млн рублей.

Что делать владельцу сайта или приложения?

Задача сейчас управленческая: быстро понять, где в продукте есть риск, зафиксировать решение, поставить дедлайн команде или подрядчику. В идеале — сделать это до того, как закон окончательно вступит в силу и начнётся практика проверок.

Рабочий план выглядит так:

1. Шаг 1. Собери карту всех точек входа: сайт, мобильная версия, PWA, отдельный кабинет на поддомене, админка, формы регистрации в лендингах.
2. Шаг 2. Проверь, какие варианты входа видит пользователь из РФ: кнопки «Google/Apple», вход по почте, «магическая ссылка», вход через корпоративный SSO.
3. Шаг 3. Выбери разрешённый базовый способ: чаще всего бизнес стартует с входа по номеру телефона, затем добавляет ЕСИА, если нужен повышенный уровень доверия.
4. Шаг 4. Подготовь сценарий миграции: что делать с пользователями, которые уже входили через иностранный сервис, как им привязать телефон и не потерять доступ.
5. Шаг 5. Обнови документы и интерфейс: пользовательское соглашение, политика конфиденциальности, уведомления о рекомендательных технологиях, контакты владельца ресурса. По своему продукту держи документы в актуальном состоянии, у 101 это прямо зафиксировано как принцип обновления политики при изменениях в законодательстве.
6. Шаг 6. Настрой журналирование и контроль релизов: чтобы «случайно» не вернуть старую кнопку входа после обновления темы или редизайна.

Если нужен разбор под твою схему (сайт + кабинет + приложение + подрядчики), на бесплатной презентации покажем, как обычно выстраивают доступы и роли, где возникают юридические и продуктовые риски, как их закрывают без остановки продаж.

Чего ждать?

Эта история будет бить по конверсии там, где вход был «в один клик». Часть пользователей не любит SMS, часть не хочет тащить «Госуслуги» в каждый личный кабинет, часть просто привыкла к Google-аккаунту как к «универсальному ключу».

Для владельца ресурса это превращается в выбор: либо заранее строить альтернативные сценарии входа и мягкую миграцию, либо получить ситуацию, когда доступы придётся рубить резко и под давлением сроков. И тут обычно страдает поддержка, маркетинг, продажи.

При этом логика государства понятна: снизить зависимость Рунета от иностранных идентификаторов и провайдеров. В терминах рисков это про управляемость и предсказуемость. В терминах бизнеса это дополнительная стоимость соответствия требованиям, которая ложится даже на маленькие команды.

Хочешь поделиться кейсом или задать вопрос по своему сайту: где именно у тебя «сломается» авторизация, что делать с текущими пользователями, как сохранить конверсию. Давай обсуждать в нашем Telegram-сообществе: https://t.me/app_101_PRO.

Если нужен открытый формат без подписки — у нас есть публичный канал и обсуждения: https://t.me/app_101.