С 1 января 2025 года в России действуют ограничения по способам авторизации пользователей на сайтах и в мобильных приложениях. Поправки внесены Федеральным законом № 588-ФЗ от 12.12.2023 в часть 10 статьи 8 ФЗ-149 «Об информации, информационных технологиях и о защите информации». Разбираем, что изменилось, какие способы авторизации остались разрешёнными и что предпринять владельцу сайта в 2026 году.
Что разрешено по 588-ФЗ
Российские владельцы сайтов и приложений, доступ к которым предоставляется только авторизованным пользователям, могут идентифицировать пользователей одним из четырёх способов:
- через Единую систему идентификации и аутентификации (ЕСИА / Госуслуги);
- через Единую биометрическую систему (ЕБС);
- по абонентскому номеру российского оператора связи (СМС-код);
- по электронной почте – без ограничений на провайдера, в том числе иностранную.
Авторизация через иностранные сервисы (Google, Apple ID, Facebook, X, LinkedIn) для российских ресурсов с 1 января 2025 года запрещена.
Кого касается требование
Норма распространяется на интернет-ресурсы, владельцами которых являются российские юридические лица, ИП и граждане РФ, и доступ к которым предоставляется только после регистрации. Если у сайта есть личный кабинет, корзина с привязкой к аккаунту, форум, сервис заявок с авторизацией – требование применимо. Простые лендинги без регистрации и сайты с гостевым доступом под действие 588-ФЗ не попадают.
Что делать на сайте
Минимальный план перехода:
- отключить кнопки «Войти через Google / Apple / Facebook» и аналогичные иностранные провайдеры;
- добавить вход по СМС-коду на российский номер или подтверждение email;
- при необходимости подключить вход через Госуслуги (ЕСИА) – это снимает споры о законности и удобно пользователю;
- обновить пользовательское соглашение и политику конфиденциальности – указать актуальные способы входа и обработку соответствующих ПДн.
Согласие пользователя и ПДн
При регистрации сайт собирает персональные данные – телефон, email, иногда ФИО. Это требует согласия по ст. 9 152-ФЗ: галочка под формой со ссылкой на политику и согласие, фиксация факта и времени. Если используется СМС-подтверждение – номер телефона тоже ПДн, и его нужно хранить в российской инфраструктуре по требованию локализации (ч. 5 ст. 18 152-ФЗ).
Штрафы за нарушения
Использование запрещённых иностранных сервисов авторизации может квалифицироваться как нарушение порядка обработки ПДн (ст. 13.11 КоАП): штраф для юрлица – от 60 до 100 тыс ₽ за процедурные нарушения и до 700 тыс ₽ при отсутствии согласия. Дополнительно – нарушение требований ФЗ-149: предписание Роскомнадзора и риск блокировки. За первичное нарушение локализации (ч. 8 ст. 13.11 КоАП) штраф для юрлица составляет 1–6 млн ₽, при повторном (ч. 9) – 6–18 млн ₽.
Готовый комплект документов за 2 минуты
Не хотите собирать документы вручную – сервис help152.ru/generator формирует полный комплект из 57 документов за 1–2 минуты. Достаточно ввести ИНН компании или ИП – реквизиты, ОГРН, юридический адрес, ФИО руководителя подтянутся автоматически. Стоимость пакета – 2 500 ₽, без подписок и доплат.
- Политика обработки ПДн, политика конфиденциальности, политика куки.
- Согласия на обработку ПДн под все типовые сценарии: форма заявки, рассылка, обратная связь, личный кабинет.
- Внутренние документы оператора: приказы, регламенты, журналы, перечень обрабатываемых данных.
- Шаблоны ответов субъекту ПДн и Роскомнадзору.
Все документы соответствуют поправкам 420-ФЗ, требованиям приказа Роскомнадзора № 178 и актуальной судебной практике. Сформировать комплект документов или запустить бесплатную экспресс-проверку – узнать, чего не хватает на сайте.