Перейти к содержанию
аналитика 21 января 2029 По состоянию на 21 января 2029

Антифрод-системы и ПДн

Антифрод-система обрабатывает ПДн клиента в автоматическом режиме — без его ведома и зачастую без отдельного правового основания по ст. 6 ФЗ-152.
За повторную утечку базы транзакционных данных с 30.05.2025 действует оборотный штраф по ч. 15 ст. 13.11 КоАП — 1–3% годовой выручки, не менее 20 млн руб. Если финдиректор не заложил бюджет на комплаенс, стоимость аудита (от 100 000 руб.) против потенциального штрафа (от 3 до 500 млн руб.) — это не вопрос ИТ-безопасности, а вопрос финансового планирования.
→ Если вы финдиректор и видите строку «антифрод» в бюджете разработки — проверьте, есть ли под ней строка комплаенса по 152-ФЗ.

С 30.05.2025 вступили в силу поправки к ст. 13.11 КоАП (ФЗ-420 от 30.11.2024), и штрафы за утечки из финансовых систем стали измеряться не тысячами, а миллионами рублей. Антифрод-системы банков, МФО и платёжных сервисов — одни из наиболее уязвимых точек: они аккумулируют транзакционную историю, геоданные, сведения о поведенческих паттернах и данные из БКИ. Ниже — как устроена правовая рамка для этих систем, какие нормы регулируют автоматизированную обработку, и что конкретно стоит проверить финдиректору до того, как придёт Роскомнадзор.

Что считается ПДн в антифрод-системе и почему это важно финдиректору?

Антифрод-система принимает решения на основе совокупности признаков: IP-адрес, история транзакций, данные устройства, геолокация, сведения из кредитной истории, голосовые слепки при call-верификации. Каждый из этих элементов по отдельности может не идентифицировать человека, однако их совокупность — прямо или косвенно идентифицирует. Ст. 3 ФЗ-152 относит к персональным данным любые сведения, прямо или косвенно позволяющие определить физическое лицо.

Это означает: антифрод-система является информационной системой персональных данных (ИСПДн) по ПП РФ №1119. Для неё обязателен выбор уровня защищённости (УЗ-1...УЗ-4), а значит — технические и организационные меры по Приказу ФСТЭК №21. Отсутствие классификации ИСПДн — самостоятельное основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 руб.).

Голосовые слепки и изображения лица, используемые в системах биометрической верификации при оспаривании транзакций, квалифицируются как биометрические ПДн по ст. 11 ФЗ-152. Их обработка без письменного согласия клиента — нарушение ч. 16 ст. 13.11 КоАП. Хранение исходных биометрических шаблонов вне Единой биометрической системы (ЕБС) после 01.06.2023 запрещено по ФЗ-572 от 29.12.2022.

«Ст. 3 ФЗ-152 — персональными данными признаются любые сведения, прямо или косвенно идентифицирующие физическое лицо. Транзакционные профили, поведенческие паттерны и данные устройств в совокупности подпадают под это определение.»

Антифрод-система работает — а правовая база под неё проверена?

Если финдиректор впервые слышит о том, что антифрод-система — это ИСПДн, значит, классификация систем в компании не проведена. Это первый пункт, который проверяет Роскомнадзор при плановой проверке. Стоимость аудита по 152-ФЗ — от 100 000 руб. Минимальный штраф по новым нормам за утечку из неклассифицированной системы — 3 000 000 руб. по ч. 12 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какое правовое основание нужно для обработки ПДн в скоринге и антифроде?

Банки и МФО чаще всего обрабатывают ПДн клиента на основании договора (п. 5 ч. 1 ст. 6 ФЗ-152): кредитный договор или договор об обслуживании счёта охватывает обработку, необходимую для его исполнения. Однако антифрод не всегда укладывается в рамки договора — часть обработки ведётся в превентивных целях, до или вне конкретного договора с клиентом.

Автоматизированное принятие решений, существенно затрагивающих клиента (отказ в операции, блокировка карты, отказ в кредите), регулируется ст. 16 ФЗ-152. По ней субъект вправе потребовать человека в петле принятия решения — то есть не только алгоритма. Это значит, что скоринговая модель, отказывающая клиенту без участия сотрудника, создаёт правовой риск по ст. 16 ФЗ-152, даже если само согласие на обработку получено.

При запросе данных из БКИ обязательно отдельное согласие клиента по ФЗ-218 от 30.12.2004. Согласие должно содержать указание на конкретное БКИ или допускать запрос во все БКИ — суды неоднократно квалифицировали расплывчатые формулировки как недостаточные. Стоит учитывать, что с 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн должно оформляться отдельным документом — не включаться в договор или оферту.

«Ст. 16 ФЗ-152 — оператор, принимающий решения исключительно на основе автоматизированной обработки ПДн, обязан уведомить субъекта об этом и обеспечить ему возможность потребовать пересмотра с участием человека.»

Биометрия в банке: где хранится и кто отвечает за утечку?

С 01.06.2023 банки обязаны передавать биометрические данные клиентов в ГИС ЕБС (оператор — АО «Центр Биометрических Технологий») и не вправе хранить исходные биометрические шаблоны у себя. Это прямое требование ФЗ-572 от 29.12.2022. Хранение собственных биометрических баз, не переданных в ЕБС, — нарушение, квалифицируемое по ст. 13.11.3 КоАП (для юрлиц — 500 000–1 000 000 руб.).

При этом банк как агент размещения остаётся ответственным за корректность переданных данных и за соблюдение процедуры сбора согласия. Если клиент отказывается от биометрической идентификации через ЕБС, банк не вправе отказать ему в обслуживании. Такой отказ образует состав по ч. 8 ст. 14.8 КоАП — штраф для юрлица до 500 000 руб.

Утечка биометрических данных — отдельный и наиболее дорогой состав. По ч. 17 ст. 13.11 КоАП штраф для юрлица составляет 15 000 000–20 000 000 руб. При повторности — оборотный штраф по ч. 18 ст. 13.11 (1–3% выручки). Для финдиректора это означает: отдельная строка резервирования под потенциальную ответственность за биометрическую систему — не паранойя, а управление рисками.

«Ч. 17 ст. 13.11 КоАП — утечка биометрических ПДн влечёт штраф для юрлица 15–20 млн руб. Повторная утечка — оборотный штраф по ч. 18: 1–3% годовой выручки.»

Если финдиректор бюджетирует ИТ-инфраструктуру, включающую биометрическую верификацию — без правового заключения по ФЗ-572 и ст. 11 ФЗ-152 риск исчисляется не в тысячах. Юристы DATUM оценят правовую рамку за 5 рабочих дней.

Заказать аудит 152-ФЗ

Как 115-ФЗ и НПС соотносятся с требованиями 152-ФЗ в антифроде?

ФЗ-115 от 07.08.2001 («О противодействии легализации») обязывает банки и МФО идентифицировать клиентов и проверять операции. Это самостоятельное правовое основание для обработки ПДн по п. 2 ч. 1 ст. 6 ФЗ-152 — исполнение обязанностей, возложенных законом. Согласие клиента для такой обработки не требуется.

Однако 115-ФЗ не снимает все требования 152-ФЗ: оператор всё равно обязан уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152), назначить ответственного (ст. 22.1), обеспечить технические меры защиты (ст. 19), вести журналы доступа и реагировать на утечки за 24 часа (ч. 3.1 ст. 21). Ссылка на 115-ФЗ как на «освобождение от 152-ФЗ» — типичное заблуждение, которое становится очевидным только на проверке.

Национальная платёжная система (НПС, ФЗ-161) добавляет требования к защите информации в платёжной инфраструктуре — они наслаиваются на 152-ФЗ, а не заменяют его. При совмещении антифрод-системы с платёжным процессингом оператор фактически несёт двойную регуляторную нагрузку: Банк России по НПС и Роскомнадзор по 152-ФЗ.

Что финдиректору проверить в бюджете комплаенса

  • Классификация ИСПДн антифрод-системы (УЗ-1...УЗ-4 по ПП РФ №1119) — основание для технического бюджета защиты.
  • Отдельные согласия на обработку ПДн (в т. ч. запрос в БКИ по ФЗ-218) — оформлены после 01.09.2025 по ФЗ-156.
  • Уведомление РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 — актуально и отражает реальный состав обработки.
  • Процедура реагирования на утечку: регламент 24/72 часов по Приказу РКН №187 — принят, протестирован, персонал обучен.
  • Договоры с подрядчиками антифрода (аутсорс-разработка, облачные провайдеры) — содержат пункт о поручении обработки ПДн по п. 3 ст. 6 ФЗ-152.

Как это применяется на практике

Кейс 1. МФО Приволжского федерального округа (осень 2025) использовала облачный антифрод-сервис зарубежного вендора без уведомления РКН о трансграничной передаче ПДн по ст. 12 ФЗ-152. При плановой проверке РКН обнаружил передачу данных заёмщиков в серверную инфраструктуру вендора за рубежом. Компания получила предписание и штраф по ч. 8 ст. 13.11 КоАП (нарушение локализации) в диапазоне нескольких миллионов рублей. Финдиректор МФО позднее признал, что стоимость перевода сервиса на российский аналог оказалась вдвое ниже суммы штрафа и сопутствующих расходов на юридическое сопровождение.

Кейс 2. Банк Северо-Западного федерального округа (начало 2026) сохранял биометрические шаблоны клиентов во внутренней базе параллельно с передачей в ЕБС — разработчики антифрод-системы не удалили локальные копии после миграции. Роскомнадзор инициировал внеплановую проверку по жалобе клиента. По итогам вынесено постановление по ст. 13.11.3 КоАП. Финдиректор инициировал полный технический аудит ИСПДн после получения предписания — стоимость устранения нарушений составила существенно больше, чем профилактический аудит до инцидента.

Три сценария, с которыми сталкивается финдиректор

Сценарий 1. Подрядчик антифрода — офшорная компания.
Ситуация: антифрод-система разработана и поддерживается внешним подрядчиком, серверная инфраструктура — за рубежом.
Доказательства нарушения: данные клиентов покидают РФ без уведомления РКН по ст. 12 ФЗ-152; нет договора поручения обработки по п. 3 ст. 6 ФЗ-152.
Вероятный исход: штраф по ч. 8 ст. 13.11 (1 000 000–6 000 000 руб.) + предписание об устранении + внеплановая проверка через 6 месяцев.
Стратегия: до начала следующего бюджетного цикла провести аудит, переоформить договоры с подрядчиком, подать уведомление о трансграничной передаче или мигрировать на российский контур.

Сценарий 2. Утечка транзакционных данных через антифрод-подсистему.
Ситуация: хакерская атака на микросервис антифрода затронула 15 000 записей — ФИО, номера карт, история операций.
Доказательства нарушения: факт утечки задокументирован; ИСПДн не классифицирована; уведомление РКН направлено через 48 часов (пропущен 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152).
Вероятный исход: штраф по ч. 13 ст. 13.11 (5 000 000–10 000 000 руб.) + штраф по ч. 11 ст. 13.11 за несвоевременное уведомление (1 000 000–3 000 000 руб.).
Стратегия: параллельно обжаловать оба постановления; по ч. 11 — доказывать момент обнаружения инцидента; привлечь юристов на стадии протокола, не постановления.

Сценарий 3. Клиент оспаривает автоматический отказ в кредите.
Ситуация: скоринговая модель автоматически отклонила заявку; клиент подал жалобу в РКН, ссылаясь на ст. 16 ФЗ-152 — требует пересмотра с участием человека и раскрытия оснований.
Доказательства нарушения: банк не обеспечил процедуру пересмотра автоматического решения; в договоре нет уведомления о применении автоматизированной обработки.
Вероятный исход: предписание РКН + риск штрафа по ч. 4 ст. 13.11 (40 000–80 000 руб.) + репутационный риск и коллективная жалоба.
Стратегия: внедрить процедуру ручного пересмотра, доработать уведомление клиента об автоматизированной обработке, обновить ОРД.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не прошёл биометрию в ЕБС?

Нет. По ч. 8 ст. 14.8 КоАП отказ в обслуживании потребителя, не предоставившего биометрические данные в ЕБС, влечёт штраф для юрлица. ФЗ-572 устанавливает, что размещение биометрии в ЕБС — право, а не обязанность клиента. Банк обязан предложить альтернативный способ идентификации.

2. Что грозит МФО за утечку базы заёмщиков?

Зависит от объёма: от 1 000 до 10 000 субъектов — штраф 3 000 000–5 000 000 руб. по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025); от 10 000 до 100 000 субъектов — 5 000 000–10 000 000 руб. по ч. 13; свыше 100 000 — 10 000 000–15 000 000 руб. по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 руб. Дополнительно — штраф за несвоевременное уведомление РКН (1 000 000–3 000 000 руб. по ч. 11) при нарушении 24-часового срока.

3. Какое правовое основание банк использует для обработки ПДн в антифроде?

Как правило — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) и исполнение обязанностей, возложенных законом (п. 2 ч. 1 ст. 6 ФЗ-152 — 115-ФЗ, ФЗ-161). Эти основания покрывают проверку операций в рамках действующего договора. Обработка ПДн потенциальных клиентов до заключения договора — требует отдельного основания или согласия. Запрос в БКИ по ФЗ-218 — отдельное согласие в любом случае.

4. Где хранятся биометрические данные клиентов банка?

С 01.06.2023 — исключительно в ГИС ЕБС (оператор — АО «Центр Биометрических Технологий»). Банки как агенты размещения передают биометрические шаблоны в ЕБС и обязаны удалить локальные копии. Параллельное хранение биометрии во внутренних системах банка — нарушение ФЗ-572 и основание для штрафа по ст. 13.11.3 КоАП.

5. Как клиент может оспорить автоматический отказ в кредите?

По ст. 16 ФЗ-152 субъект вправе потребовать от оператора пересмотра решения, принятого исключительно на основе автоматизированной обработки ПДн, если оно существенно затрагивает его права. Клиент направляет заявление в банк; тот обязан рассмотреть его с участием уполномоченного сотрудника. Отказ в рассмотрении — основание для жалобы в РКН и иска в суд. Срок ответа банка — 10 рабочих дней по ст. 20 ФЗ-152.

Итог

Антифрод-система — не только технический инструмент, но и ИСПДн с полным набором требований 152-ФЗ: классификация, правовые основания обработки, согласия по ФЗ-218 и ФЗ-156, ограничения по биометрии в ЕБС, процедура 24/72 часов при утечке. Нормы 115-ФЗ и НПС не освобождают от требований Роскомнадзора — они добавляют регуляторную нагрузку, а не снимают её.

Юристы DATUM сопровождают финансовые организации в задачах классификации ИСПДн, подготовки ОРД, оценки трансграничных рисков и защиты от штрафов по ст. 13.11 КоАП — в том числе на стадии протокола, когда применение ст. 4.1 КоАП ещё возможно.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.