Оглавление:
Сразу успокою: обычных пользователей этот закон напрямую не наказывает. Штрафы по статье 13.55 КоАП РФ касаются только владельцев сайтов и приложений. Вам лично за то, что вы заходите в сервис через Google или Apple ID, ничего не грозит.
Но на практике вы можете столкнуться с некоторыми изменениями — я бы назвала это косвенными последствиями. Давайте разберу, к чему быть готовой.
- Исчезновение привычных кнопок. Сервисы, чтобы не получить штраф, убирают или блокируют кнопки «Войти через Google», «Войти через Apple ID». Если вы привыкли к такому сценарию, сначала это может вызвать неудобство: нужно искать альтернативный способ.
- Риск потерять доступ к профилю. Ситуация сложнее, если ваш аккаунт на конкретном сайте был создан исключительно через иностранный сервис (например, вы зарегистрировались только по Gmail, и к профилю не привязан российский номер телефона, ЕСИА или другой разрешённый способ). После того как сервис отключит иностранную авторизацию, войти в такой профиль станет невозможно. Решение простое: зайдите в настройки аккаунта и привяжите разрешённый способ входа заранее.
- Возможное снижение удобства. Бизнесу приходится перестраивать интерфейсы, добавлять новые варианты авторизации. Иногда это временно нарушает привычный поток — например, могут появиться дополнительные шаги при регистрации.
При этом важно не пугаться лишних слухов. Закон не запрещает вам дальше пользоваться Gmail, YouTube, Google Drive или Apple ID в их собственных сервисах. Ограничение касается только входа через эти системы на сторонние российские ресурсы.
Что я советую сделать? Периодически проверяйте настройки своих аккаунтов на сайтах, которыми активно пользуетесь. Если видите уведомление от сервиса вроде «Привяжите номер телефона, чтобы сохранить доступ» — выполните эту простую процедуру. Так вы сохраните полный контроль над профилем.
В целом закон направлен на то, чтобы снизить зависимость российских сервисов от иностранных систем идентификации. Для вас это скорее вопрос адаптации интерфейса, а не правовых рисков.
Какие нормы закона действуют
Основа — пункт 10 статьи 8 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Именно он с декабря 2023 года установил требование: если владелец российского ресурса даёт доступ к информации только авторизованным пользователям, он обязан предлагать для входа исключительно российские способы.
А вот административную ответственность за нарушение этой нормы ввёл Федеральный закон от 26.06.2026 № 199-ФЗ. Он дополнил Кодекс об административных правонарушениях статьёй 13.55 («Неисполнение обязанности по проведению авторизации пользователей сети „Интернет» при предоставлении доступа к информации»). Запрет на использование иностранной почты для авторизации.
Таблица: что разрешено, что запрещено и какие штрафы
| Что разрешено (российские способы) | Что запрещено (иностранные сервисы) | Штрафы по ст. 13.55 КоАП РФ |
|---|---|---|
| По номеру мобильного телефона (российского оператора) | Google ID (вход через аккаунт Google) | Для граждан (владельцев ресурса): 10–20 тыс. руб. |
| Через ЕСИА (портал «Госуслуги») | Apple ID | Для должностных лиц: 30–50 тыс. руб. |
| Через Единую биометрическую систему (ЕБС) | Иностранные почтовые сервисы как механизм авторизации (Gmail, Outlook, Yahoo — если сайт предлагает кнопку «Войти через Gmail») | Для юридических лиц: 500–700 тыс. руб. |
| Через иные российские информационные системы, которыми владеет гражданин РФ или российское юридическое лицо (Яндекс ID, VK ID, Mail.ru, Сбер ID и т.п.) | Аккаунты в иностранных социальных сетях как способ входа | При повторном нарушении суммы увеличиваются: для граждан — 20–40 тыс. руб., для должностных лиц — 60–100 тыс. руб., для юридических лиц — 1–1,4 млн руб. |
Важное уточнение: если вы вводите иностранную почту как логин и пароль прямо на сайте — это разрешено. Запрет касается именно сценариев внешней авторизации через OAuth-кнопки. Также требование не действует, если весь контент ресурса доступен и без авторизации.
Как государство будет отслеживать нарушения
Уполномоченный орган — Роскомнадзор. Ведомство будет мониторить ресурсы: проверять, есть ли на страницах входа кнопки иностранной авторизации, и фиксировать длящиеся нарушения. Сам факт наличия такой кнопки для российского пользователя может стать основанием для претензии.
Как перейти на российские способы
Владельцу ресурса нужно:
- Провести аудит: найти все места, где есть кнопки «Войти через Google», Apple ID и другие иностранные OAuth-сервисы (не только на главной, но и в мобильном приложении, в формах регистрации, в личном кабинете, в ссылках из писем).
- Отключить эти способы.
- Подключить один или несколько разрешённых российских вариантов.
- Уведомить пользователей: объяснить, что вход через иностранные сервисы больше не доступен, и предложить привязать российский способ (номер телефона, аккаунт Яндекс ID, VK ID и т.п.). При этом закон не требует удалять уже существующие аккаунты, созданные через иностранные сервисы до вступления норм в силу — нужно лишь дать возможность добавить российский способ и после этого отключить для пользователя иностранный.
Мнение эксперта
Я подобрала комментарий от заместителя директора Института высокотехнологичного права, социальных и гуманитарных наук НИУ МИЭТ Генриха Девяткина. Он отметил, что изменения направлены в первую очередь не на пользователей, а на юридических лиц — владельцев ресурсов. Эксперт подчеркнул: цель — обеспечить цифровой суверенитет и повысить уровень защиты данных, чтобы они хранились в российской инфраструктуре. При этом Девяткин призвал внимательно следить за практикой применения закона: в отдельных случаях могут возникать спорные ситуации, и важно, чтобы правоприменение было предсказуемым.
Компания до 2026 года регистрировала пользователей только через Google ID. Сейчас она просто отключила эту кнопку, но старые аккаунты оставила. Это законно?
Да, это допустимо. Закон не требует удалять аккаунты, созданные через иностранные сервисы до вступления норм в силу. Но нужно обеспечить, чтобы пользователь мог привязать к аккаунту разрешённый способ авторизации (например, номер телефона или ЕСИА) и далее входить уже через него. Если иностранный способ остаётся единственным вариантом входа — это нарушение.
На сайте есть кнопка «Войти через Gmail», но она ведёт на форму, где пользователь всё равно вводит логин и пароль на нашем ресурсе. Это считается авторизацией через иностранный сервис?
Нет. Запрет касается именно внешней авторизации по протоколу OAuth (когда сайт доверяет идентификацию стороннему сервису). Если вход происходит на самом ресурсе, а почта используется только как логин — это не подпадает под запрет. Ключевой критерий: где происходит идентификация и кому передаются полномочия по подтверждению личности.
Если сайт доступен всем без регистрации, но в личном кабинете можно авторизоваться через Google ID — это нарушение?
Да. Правило применяется, если доступ к информации (в том числе к функционалу личного кабинета) предоставляется только авторизованным пользователям. Наличие кнопки иностранной авторизации в этом случае — основание для претензий Роскомнадзора.
Мы делаем мобильное приложение для российского рынка и хотим оставить Apple ID как единственный способ входа. Можно ли сослаться на то, что это требование платформы Apple?
Нельзя. Требования российского законодательства имеют приоритет. Практика показывает, что ссылки на условия вендора не освобождают владельца ресурса от ответственности. Решение — добавить альтернативные способы (ЕСИА, номер телефона, российский ID) и не делать иностранный способ единственным.
В каких случаях требование о российских способах авторизации вообще не действует?
Требование не действует, если: 1) весь контент и функционал ресурса доступны без авторизации; 2) ресурс не ориентирован на российских пользователей и не продвигается в РФ (нет рекламы, локализованных страниц, расчётов в рублях и т.п.). Но граница «ориентированности» — частая зона споров, и суды смотрят на совокупность признаков.
Как доказать, что компания добросовестно перешла на российские способы авторизации?
Доказательствами служат: 1) техническая документация (логи, релизы, changelog) с датой отключения иностранных кнопок; 2) пользовательское соглашение с актуальной редакцией; 3) уведомления пользователям о смене способа входа; 4) скриншоты интерфейса без запрещённых кнопок; 5) акты тестирования и отчёты разработчика. Для суда и проверяющих важна не только «картинка», но и история изменений.
Что считать «иностранным сервисом» в контексте авторизации? Это только Google и Apple, или ещё что-то?
Это любые сервисы, которыми не владеет гражданин РФ или российское юридическое лицо и которые не входят в перечень разрешённых. На практике под запрет попадают: Google ID, Apple ID, Microsoft (Outlook/Live), любые иностранные соцсети как способ входа, а также зарубежные провайдеры идентификации (Okta, Auth0 и т.п.), если они используются как внешний IdP.
Может ли компания избежать штрафа, если нарушение обнаружили до жалобы, и она быстро всё исправила?
Да, добровольное устранение нарушения до вынесения предписания и отсутствие вреда — смягчающие обстоятельства по ст. 4.2 КоАП РФ. На практике это часто снижает размер штрафа либо приводит к замене на предупреждение (особенно для субъектов МСП). Но сам факт наличия кнопки на момент проверки — это длящееся правонарушение, поэтому важна точная фиксация даты исправления.
Если у компании несколько сайтов и в одном из них осталась кнопка Google ID, это одно нарушение или несколько?
Каждое доменное имя и каждый интерфейс (включая мобильное приложение) — самостоятельный объект контроля. Роскомнадзор может квалифицировать это как отдельные эпизоды. Поэтому при аудите нужно проверять все площадки и все версии (web, mobile, staging, demo).
Можно ли использовать гибридную схему: сначала вход через иностранный ID, а потом обязательная привязка российского способа?
Нельзя. Сам факт предложения иностранной авторизации как способа входа — нарушение. Правильная схема: сразу предлагать только разрешённые способы, а для старых пользователей — дать возможность привязать российский способ и отключить иностранный.
Какие доказательства чаще всего используют в спорах с Роскомнадзором по этой теме?
Чаще всего: скриншоты страниц входа с датой, архивные копии страниц (веб-архивы), логи сервера, записи тестирования, письма-уведомления пользователям, акты работ подрядчика. Для адвоката важно фиксировать не только «что есть сейчас», но и «когда и как это убрали» — именно это помогает доказать добросовестность и отсутствие умысла.
Чем отличается ответственность для ИП и ООО в этой ситуации?
ИП отвечает как должностное лицо: штраф 30–50 тыс. руб. (при повторном — 60–100 тыс. руб.). ООО — как юридическое лицо: 500–700 тыс. руб. (при повторном — 1–1,4 млн руб.). При этом ИП не может рассчитывать на «предупреждение вместо штрафа» так же легко, как микропредприятия, потому что формально не является юрлицом.
Интеллектуальная собственность: Обзор и защита
Раздел цифровых активов при разводе в России
Цифровая переписка как доказательство в семейных спорах
Ответственность за использование VPN в России
115-ФЗ изменения 2026 года массовые блокировки счетов
Нарушение политики обработки персональных данных: Правовые последствия
Согласие родителей на обработку данных ребёнка
Электронный документооборот в 2026 году: Законодательство и актуальные требования

