С 1 января 2025 года в России действуют ограничения по способам авторизации пользователей на сайтах и в мобильных приложениях. Поправки внесены Федеральным законом № 588-ФЗ от 12.12.2023 в часть 10 статьи 8 ФЗ-149 «Об информации, информационных технологиях и о защите информации». Разбираем, что изменилось, какие способы авторизации остались разрешёнными и что предпринять владельцу сайта в 2026 году.
Что разрешено по 588-ФЗ
Российские владельцы сайтов и приложений, доступ к которым предоставляется только авторизованным пользователям, могут идентифицировать пользователей одним из четырёх способов:
- через Единую систему идентификации и аутентификации (ЕСИА / Госуслуги);
- через Единую биометрическую систему (ЕБС);
- по абонентскому номеру российского оператора связи (СМС-код);
- по электронной почте – без ограничений на провайдера, в том числе иностранную.
Авторизация через иностранные сервисы (Google, Apple ID, Facebook, X, LinkedIn) для российских ресурсов с 1 января 2025 года запрещена.
Кого касается требование
Норма распространяется на интернет-ресурсы, владельцами которых являются российские юридические лица, ИП и граждане РФ, и доступ к которым предоставляется только после регистрации. Если у сайта есть личный кабинет, корзина с привязкой к аккаунту, форум, сервис заявок с авторизацией – требование применимо. Простые лендинги без регистрации и сайты с гостевым доступом под действие 588-ФЗ не попадают.
Что делать на сайте
Минимальный план перехода:
- отключить кнопки «Войти через Google / Apple / Facebook» и аналогичные иностранные провайдеры;
- добавить вход по СМС-коду на российский номер или подтверждение email;
- при необходимости подключить вход через Госуслуги (ЕСИА) – это снимает споры о законности и удобно пользователю;
- обновить пользовательское соглашение и политику конфиденциальности – указать актуальные способы входа и обработку соответствующих ПДн.
Согласие пользователя и ПДн
При регистрации сайт собирает персональные данные – телефон, email, иногда ФИО. Это требует согласия по ст. 9 152-ФЗ: галочка под формой со ссылкой на политику и согласие, фиксация факта и времени. Если используется СМС-подтверждение – номер телефона тоже ПДн, и его нужно хранить в российской инфраструктуре по требованию локализации (ч. 5 ст. 18 152-ФЗ).
Штрафы за нарушения
Использование запрещённых иностранных сервисов авторизации может квалифицироваться как нарушение порядка обработки ПДн (ст. 13.11 КоАП): штраф для юрлица – от 60 до 100 тыс ₽ за процедурные нарушения и до 700 тыс ₽ при отсутствии согласия. Дополнительно – нарушение требований ФЗ-149: предписание Роскомнадзора и риск блокировки. За первичное нарушение локализации (ч. 8 ст. 13.11 КоАП) штраф для юрлица составляет 1–6 млн ₽, при повторном (ч. 9) – 6–18 млн ₽.
Что делать прямо сейчас
Проверить сайт на нарушения 152-ФЗ можно бесплатно за 30 секунд – без регистрации и оплаты. Сервис help152.ru выполняет 78+ автоматических проверок и показывает общую оценку, количество нарушений по категориям и риск штрафа. Если нужен подробный PDF-отчёт со ссылками на статьи закона и размерами штрафов – доступны три тарифа платного аудита:
- Визитка / Лендинг – 1 490 ₽ для сайтов-визиток, лендингов, портфолио.
- Коммерческий – 2 990 ₽ для корпоративных сайтов, сервисов и SaaS, с юридическими и техническими рекомендациями.
- Бизнес – 4 900 ₽ с расширенными проверками ЗоЗПП, оферты, оплаты и маркировки рекламы.
База правил обновляется при каждом изменении законодательства – аудит учитывает поправки 420-ФЗ, изменения локализации, требования к маркировке рекламы и куки. Сравнить тарифы или запустить бесплатную экспресс-проверку.