аналитика 9 апреля 2029 По состоянию на 9 апреля 2029

Альтернатива биометрии: обязанность банка

Банк не вправе отказать клиенту в обслуживании только по той причине, что тот не сдал биометрию в ЕБС — это прямо запрещено ч. 8 ст. 14.8 КоАП.

С 30.05.2025 штраф за нарушение этого запрета составляет до 500 тыс. ₽ на юридическое лицо. Финдиректор, закладывающий бюджет на комплаенс, должен учитывать: одна жалоба клиента в РКН или ЦБ запускает внеплановую проверку.

→ Если ваш банк или МФО не имеет задокументированного альтернативного порядка идентификации — риск предписания и штрафа реален уже сейчас.

С вступлением в силу ФЗ-572 о Единой биометрической системе и последующими поправками в КоАП финансовые организации оказались между двух требований: регулятор стимулирует подключение к ЕБС, но одновременно запрещает делать биометрию условием получения услуг. Для финдиректора банка или МФО это означает двойную нагрузку: затраты на интеграцию с ЕБС плюс затраты на сохранение классических каналов идентификации. В этой статье — анализ нормативной базы, типовые риски и практические ориентиры для бюджетирования комплаенса.

Что закон говорит об альтернативе биометрии в банке?

Единая биометрическая система регулируется ФЗ-572 от 29.12.2022. Закон определяет ГИС ЕБС как государственную информационную систему, оператором которой выступает АО «Центр Биометрических Технологий». Банки обязаны предоставлять клиентам возможность сдать биометрию, однако ключевое слово здесь — «возможность», а не «обязанность» клиента.

Ч. 8 ст. 14.8 КоАП устанавливает запрет для организаций отказывать потребителю в предоставлении товаров, работ или услуг исключительно по причине отказа от прохождения биометрической идентификации. Иными словами, биометрия — это дополнительный, не исключительный способ идентификации. Банк обязан иметь альтернативный маршрут: классическая явка в офис с паспортом, СНИЛС, усиленная квалифицированная электронная подпись или иные инструменты, предусмотренные 115-ФЗ о противодействии отмыванию доходов.

«Ч. 8 ст. 14.8 КоАП — штраф за отказ обслуживать клиента без биометрии: для юридических лиц до 500 тыс. ₽ (точный диапазон — верифицировать перед публикацией по актуальному тексту КоАП).»

Одновременно 115-ФЗ требует идентификации клиента до начала обслуживания. Это означает, что банк не может вовсе отказаться от проверки личности — он обязан предложить несколько равнозначных способов. Противоречие между «обязать идентифицировать» и «не принуждать к биометрии» разрешается именно через наличие задокументированной альтернативы.

Ваш банк или МФО оформил альтернативный порядок идентификации?

Если в регламентах не прописан конкретный маршрут для клиента, отказавшегося от биометрии, — это пробел, за который можно получить предписание РКН или штраф по ч. 8 ст. 14.8 КоАП. Первый шаг — аудит обработки ПДн с проверкой комплекта ОРД. Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как хранится биометрия и что значит «локализация» для финтеха?

ФЗ-572 запретил банкам хранить исходные биометрические данные самостоятельно с 01.06.2023. Вся биометрия должна передаваться в ГИС ЕБС. Банк-участник ЕБС получает право на верификацию — сравнение предъявленного образца с шаблоном в ЕБС — без хранения биометрии у себя. Это снимает с банка часть требований ст. 11 ФЗ-152 (письменное согласие на обработку биометрических ПДн), но порождает новые обязательства: договор с АО «ЦБТ», интеграционные требования, аудит передачи данных.

Параллельно с 01.07.2025 — после ужесточения локализации по ч. 5 ст. 18 ФЗ-152 — банки, использующие облачные CRM или скоринговые сервисы с зарубежным хостингом, обязаны убедиться, что первичный сбор, систематизация и хранение ПДн граждан РФ происходят исключительно в базах данных, расположенных в России. Нарушение локализации — ч. 8 ст. 13.11 КоАП: штраф от 1 до 6 млн ₽ для юридического лица, повторное нарушение — от 6 до 18 млн ₽.

«Ч. 8 ст. 13.11 КоАП — нарушение требований локализации (ч. 5 ст. 18 ФЗ-152): штраф для юрлица 1 000 000 — 6 000 000 ₽. Ч. 9 ст. 13.11 — повторное нарушение: 6 000 000 — 18 000 000 ₽.»

Для финдиректора принципиален вопрос: относится ли используемый скоринговый движок к обработке ПДн или к обработке обезличенных данных. Если в модели участвуют имя, паспортные данные, СНИЛС, история по БКИ — это ПДн в полном смысле ст. 3 ФЗ-152. Если применены методы обезличивания, закреплённые приказом РКН (введение идентификаторов, декомпозиция, перемешивание и др.), — данные могут обрабатываться вне ограничений ст. 18 ч. 5. Однако на практике большинство скоринговых систем работают с идентифицируемыми данными, что автоматически включает требования локализации.

Скоринг и автоматизированные решения по ст. 16 ФЗ-152: что должен знать финдиректор?

Ст. 16 ФЗ-152 регулирует принятие решений исключительно на основе автоматизированной обработки ПДн. Банк или МФО, отказывающие клиенту в кредите на основании алгоритмической оценки без участия человека, обязаны уведомить субъекта о таком подходе и обеспечить ему право на получение разъяснений от представителя оператора. Субъект вправе оспорить такое решение.

На практике это означает, что автоматический отказ в выдаче займа — это не просто бизнес-решение, а юридически значимое действие, за которым стоят обязанности оператора. Если банк не уведомил клиента о том, что решение принято автоматически, и не предусмотрел механизма обжалования, — это нарушение ст. 16 ФЗ-152, которое может квалифицироваться по ч. 1 ст. 13.11 КоАП (обработка ПДн с нарушением требований закона): штраф 150 000 — 300 000 ₽.

Связь со скорингом по данным БКИ принципиальна. ФЗ-218 «О кредитных историях» обязывает банки получать согласие субъекта на запрос в бюро кредитных историй. Это отдельное основание ст. 6 ФЗ-152 — согласие субъекта. В редакции ФЗ-156 от 24.06.2025, действующей с 01.09.2025, согласие оформляется отдельным документом и не может быть встроено в кредитный договор или анкету заёмщика. Для банков с массовым кредитованием это означает пересмотр всех форм согласий, действующих до 01.09.2025.

Что подготовить банку или МФО для комплаенса по биометрии и ПДн

Регламент альтернативной идентификации клиента без биометрии — конкретный маршрут, ответственное подразделение, сроки.
Пакет отдельных согласий на обработку ПДн и запрос в БКИ в редакции ФЗ-156 (с 01.09.2025 — отдельный документ).
Оценка локализации: аудит облачных и SaaS-решений, используемых в скоринге и CRM, на предмет соответствия ч. 5 ст. 18 ФЗ-152.
Уведомление субъекта об автоматизированных решениях по ст. 16 ФЗ-152 — форма и порядок обжалования.
Договор поручения обработки ПДн с контрагентами (БКИ, процессинг, скоринговые платформы) по ст. 6 п. 3 ФЗ-152.

Какие сценарии рисков характерны для банков и МФО в 2025–2026 годах?

Сценарий 1. Банк переводит офлайн-отделения на биометрическую идентификацию как единственный способ. Клиент отказывается от сдачи биометрии и получает отказ в открытии счёта. Клиент подаёт жалобу в Банк России или Роскомнадзор. Итог: внеплановая проверка, протокол по ч. 8 ст. 14.8 КоАП, штраф до 500 тыс. ₽, предписание об устранении. Стратегия: задокументировать альтернативный маршрут идентификации до получения жалоб, провести инструктаж сотрудников фронт-офиса.

Сценарий 2. МФО использует скоринговую платформу с сервером в Нидерландах — данные заёмщиков передаются туда для обработки. Роскомнадзор фиксирует трансграничную передачу в ходе плановой проверки. Уведомление о трансграничной передаче в РКН не подавалось, локализация нарушена. Итог: протоколы одновременно по ч. 8 и ч. 10 ст. 13.11 КоАП. Совокупный штраф — от 1,1 до 6,3 млн ₽. Стратегия: перед интеграцией любого зарубежного SaaS провести правовую оценку, подать уведомление в РКН, рассмотреть переход на российские аналоги или локальное развёртывание.

Сценарий 3. После утечки базы заёмщиков МФО выясняется, что компания ранее уже привлекалась к ответственности по ч. 12 ст. 13.11 КоАП. Новая утечка затрагивает более 10 000 субъектов. Применяется ч. 15 ст. 13.11 — оборотный штраф: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Для МФО с выручкой 800 млн ₽ в год минимальный оборотный штраф составит 20 млн ₽. Стратегия: инвестиции в ИБ в объёме не менее 0,1% выручки за 3 года дают право на снижение штрафа до 1/10 минимума по ст. 4.1 КоАП (но не менее 15 млн ₽ и не более 50 млн ₽).

Если финдиректор обнаружил, что скоринговая платформа хранит данные заёмщиков за рубежом или согласия не обновлены после 01.09.2025 — это два самостоятельных основания для штрафов суммарно от 1,15 млн ₽. Юристы DATUM проведут аудит и подготовят комплект документов.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. МФО в Приволжском федеральном округе (лето 2025) использовала единую форму заявки на заём, в которую было встроено согласие на обработку ПДн, запрос в БКИ и согласие на биометрическую верификацию через ЕБС. После 01.09.2025 форма не была приведена в соответствие с ФЗ-156. При внеплановой проверке РКН выявил объединение согласий в одном документе. Компании выставлен протокол по ч. 2 ст. 13.11 КоАП (нарушение требований к составу согласия) с возможным штрафом 300 000 — 700 000 ₽. Финдиректор, ранее не заложивший бюджет на обновление форм, столкнулся с незапланированными расходами на правовую защиту и переработку ИТ-форм.

Кейс 2. Региональный банк (Сибирский федеральный округ, осень 2025) подключился к ЕБС, однако не оформил договор поручения обработки ПДн с процессинговым партнёром, через которого проходила верификация биометрических данных. При проверке инспектор РКН квалифицировал это как передачу ПДн третьему лицу без надлежащего основания по ч. 3 ст. 6 ФЗ-152. Банк получил предписание об устранении нарушения. После подготовки пакета договоров поручения и актуализации уведомления в реестре РКН дело было прекращено без штрафа. Стоимость юридического сопровождения составила существенно меньше минимального штрафа по ч. 1 ст. 13.11 КоАП (150 000 ₽).

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн по 38 пунктам, отчёт с планом устранений
Комплект ОРД под ключ — согласия, регламенты, договоры поручения для финсектора
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11, применение ст. 4.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в предоставлении услуги исключительно по причине отказа от биометрической идентификации. Банк или МФО обязаны предложить альтернативный способ идентификации личности — явку в офис с документом, удостоверяющим личность, или иной инструмент, предусмотренный 115-ФЗ. Отсутствие задокументированной альтернативы — самостоятельное нарушение.

2. Что грозит МФО за утечку данных заёмщиков?

Размер штрафа зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3 000 000 — 5 000 000 ₽. От 10 000 до 100 000 субъектов — ч. 13, штраф 5 000 000 — 10 000 000 ₽. Более 100 000 субъектов — ч. 14, штраф 10 000 000 — 15 000 000 ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 000 000 ₽. Дополнительно — штраф 1 000 000 — 3 000 000 ₽ по ч. 11 за несвоевременное уведомление РКН в течение 24 часов.

3. Какое основание обработки ПДн применяется в банке?

Основным правовым основанием является исполнение договора с клиентом (п. 5 ст. 6 ФЗ-152) — при открытии счёта, выдаче кредита. Согласие субъекта (п. 1 ст. 6) применяется для запросов в БКИ по ФЗ-218 и для маркетинговых рассылок. С 01.09.2025 по ФЗ-156 согласие на каждый вид обработки — отдельный документ, не совмещённый с договором или иными формами.

4. Где хранится биометрия клиентов банка?

С 01.06.2023 исходные биометрические данные хранятся исключительно в ГИС ЕБС (ст. 11 ФЗ-152, ФЗ-572). Банк — участник ЕБС не хранит шаблоны у себя, а направляет запрос на верификацию в АО «Центр Биометрических Технологий». Самостоятельное хранение биометрии банком вне ЕБС после указанной даты является нарушением, которое может квалифицироваться по ч. 16 ст. 13.11 КоАП.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

Ст. 16 ФЗ-152 обязывает оператора уведомить субъекта о том, что решение принято исключительно на основе автоматизированной обработки. Субъект вправе направить оператору требование о пересмотре решения с участием уполномоченного сотрудника. Банк обязан рассмотреть такое требование и предоставить субъекту разъяснения. Порядок подачи требования и срок рассмотрения должны быть закреплены во внутренних регламентах банка.

Итог

Обязанность банка предоставить альтернативу биометрии — это не рекомендация, а норма с санкцией. Ч. 8 ст. 14.8 КоАП, требования ст. 11 ФЗ-152, ФЗ-572 и 115-ФЗ образуют единую систему, где биометрия остаётся добровольным инструментом для клиента при обязательном наличии альтернативного маршрута у банка. Параллельно обновлённые требования к согласиям (ФЗ-156), локализации (ч. 5 ст. 18 ФЗ-152) и скорингу (ст. 16 ФЗ-152) формируют комплаенс-повестку, которую финдиректору необходимо закладывать в бюджет превентивно — стоимость аудита кратно меньше минимального штрафа по большинству составов ст. 13.11 КоАП.

DATUM сопровождает банки, МФО и финтех-компании в вопросах соответствия 152-ФЗ: от аудита обработки ПДн и подготовки комплекта ОРД до защиты в арбитраже при оспаривании протоколов по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.