Перейти к содержанию
аналитика 13 января 2029 По состоянию на 13 января 2029

Антиотмывочный контроль и 152-ФЗ

Финансовые организации совмещают два режима: антиотмывочную идентификацию по 115-ФЗ и защиту персональных данных по 152-ФЗ. Нарушение любого из них — самостоятельный состав штрафа.
С 30.05.2025 утечка данных клиентов от 10 000 субъектов влечёт штраф 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП; повторная — оборотный штраф до 500 млн ₽ по ч. 15. Обработка биометрии в ЕБС с нарушениями добавляет 15–20 млн ₽ по ч. 17. Для банка или МФО с оборотом в несколько миллиардов это не теория.
Если вы финансовый директор и бюджет на комплаенс не включает 152-ФЗ отдельной строкой — вы не видите половину регуляторного риска. Читайте ниже, что изменилось с 2025 года и как это считать.

Антиотмывочный контроль и 152-ФЗ пересекаются в каждой точке клиентского пути: при идентификации, скоринге, хранении досье и передаче данных в бюро кредитных историй или ЕБС. Финансовым директорам, которые закладывают бюджет на ИБ, принципиально понять: риск штрафа по 152-ФЗ не перекрывается антиотмывочным комплаенсом, а существует параллельно. Ниже — нормативная база, типовые сценарии и расчёт стоимости нарушений в редакции, действующей с 30.05.2025.

Как 115-ФЗ и 152-ФЗ соотносятся при идентификации клиента?

Закон о противодействии легализации преступных доходов (115-ФЗ) обязывает банки, МФО и платёжных агентов собирать данные клиента — ФИО, дату рождения, реквизиты документа, ИНН, адрес. Одновременно каждое из этих действий — обработка персональных данных по ст. 3 152-ФЗ. Правовое основание — ст. 6 п. 2 152-ФЗ: обработка необходима для исполнения обязанности, возложенной законом. Дополнительное согласие клиента на сбор идентификационных данных не нужно.

Однако из этого не следует, что 152-ФЗ к идентификационной обработке не применяется. Принципы ст. 5 152-ФЗ действуют в полном объёме: данные должны собираться только в объёме, необходимом для цели, не передаваться третьим лицам за пределами поручения и уничтожаться по истечении срока хранения, установленного 115-ФЗ. Типовая ошибка: банк собирает копию паспорта для идентификации, а затем без дополнительного основания использует её для маркетинговых рассылок — это уже ч. 1 ст. 13.11 КоАП, штраф 150–300 тыс. ₽.

«Ст. 6 п. 2 152-ФЗ — обработка персональных данных без согласия субъекта допустима, если она необходима для исполнения обязанности, возложенной на оператора федеральным законом.»

Отдельный вопрос — срок хранения. 115-ФЗ устанавливает минимальный срок хранения досье клиента не менее пяти лет после прекращения отношений. 152-ФЗ требует уничтожить данные по достижении целей обработки. Для финансового директора это означает: необходим документально закреплённый срок хранения, согласующий оба закона, — иначе либо нарушение 115-ФЗ (досрочное уничтожение), либо ч. 1 ст. 13.11 КоАП (хранение без основания после законного срока).

Что такое скоринг по ст. 16 152-ФЗ и когда он требует согласия?

Кредитный скоринг — это автоматизированное решение, которое порождает правовые последствия для субъекта: одобрение или отказ в кредите, определение ставки. Ст. 16 152-ФЗ запрещает принимать такие решения исключительно на основании автоматизированной обработки без участия человека, если субъект не дал на это явного согласия. Исключений два: договорное основание или прямое указание в законе.

На практике банки чаще опираются на договорное основание — клиент при заключении договора выражает согласие на автоматизированный скоринг. Но формулировки в типовых договорах нередко расплывчаты и не раскрывают перечень данных, используемых моделью. РКН при проверке может квалифицировать это как обработку без надлежащего основания по ч. 1 ст. 13.11 КоАП.

«Ст. 16 152-ФЗ — решения, влекущие правовые последствия для субъекта, не могут приниматься исключительно на основании автоматизированной обработки без его согласия, если иное не установлено законом или договором.»

МФО находятся в более уязвимом положении: их договоры короче и стандартизированы для массового оформления онлайн. Включение корректной формулировки о скоринге в оферту или отдельное согласие — обязательный элемент ОРД для любой МФО, работающей с кредитными моделями.

Бюджет на комплаенс — есть ли в нём строка для 152-ФЗ?

Штраф по ч. 13 ст. 13.11 КоАП за утечку 10 000–100 000 клиентских записей — 5–10 млн ₽. Это разовый платёж без права на рассрочку. Аудит соответствия 152-ФЗ для финансовой организации стоит в разы меньше. Если вы финансовый директор и хотите понять фактический уровень риска до того, как к вам придёт РКН — запросите оценку сейчас.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Биометрия в банке: 572-ФЗ, ЕБС и запрет на отказ обслуживания

С принятием ФЗ-572 от 29.12.2022 биометрическая идентификация в финансовом секторе переведена на Единую биометрическую систему (ГИС ЕБС). Оператор ЕБС — АО «Центр биометрических технологий». Банки обязаны размещать биометрические данные клиентов только в ЕБС; хранение исходной биометрии на собственной инфраструктуре запрещено с 01.06.2023.

Принципиальное изменение — запрет на отказ в обслуживании. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, устанавливает ответственность за отказ предоставить услугу потребителю, отказавшемуся передавать биометрические данные в ЕБС. Для финансового директора это означает: нельзя сделать открытие счёта условно-обязательным при согласии на биометрию. Нарушение — штраф до 500 тыс. ₽.

«Ст. 11 152-ФЗ — биометрические персональные данные (изображение лица, голос) обрабатываются только с письменного согласия субъекта, за исключениями, прямо установленными законом.»

Обработка биометрии с нарушениями требований ст. 11 152-ФЗ, не охватываемая ст. 13.11.3 КоАП, влечёт ответственность по ч. 16 ст. 13.11 КоАП. Утечка биометрических данных — ч. 17 ст. 13.11 КоАП, штраф 15–20 млн ₽. При повторном нарушении — оборотный штраф по ч. 18: 1–3% годовой выручки, не более 500 млн ₽.

Что проверить финансовому директору по 152-ФЗ

  • Уведомление РКН подано и реестр операторов актуален: объём и категории данных соответствуют фактической обработке (ст. 22 152-ФЗ).
  • Договоры с клиентами содержат корректное основание для скоринга по ст. 16 152-ФЗ и явное указание на автоматизированное принятие решений.
  • Биометрические данные не хранятся на собственной инфраструктуре банка — только в ЕБС (572-ФЗ, с 01.06.2023).
  • Соглашения с БКИ оформлены как поручение на обработку по п. 3 ст. 6 152-ФЗ с перечнем разрешённых действий.
  • Регламент реагирования на утечку: первичное уведомление РКН в 24 часа, отчёт в 72 часа (ч. 3.1 ст. 21 152-ФЗ, Приказ РКН №187).

Обработка данных в БКИ: правовая конструкция по 218-ФЗ и 152-ФЗ

Бюро кредитных историй — самостоятельные операторы персональных данных. Банк или МФО, передавая сведения в БКИ, выступает самостоятельным оператором до момента передачи: у него должно быть согласие субъекта на направление информации в конкретное бюро. ФЗ-218 устанавливает обязанность кредитора передавать данные в БКИ; согласие здесь — не основание для передачи, а отдельное информирование в составе договора.

Кредитная история хранится в БКИ 7 лет с момента последнего изменения. По истечении этого срока БКИ обязано уничтожить данные. Банк, в свою очередь, должен вести учёт того, какие данные и в какое бюро переданы, — это часть документации оператора по ст. 18.1 152-ФЗ. Отсутствие такого учёта при проверке РКН — нарушение принципа подотчётности, ч. 3 ст. 13.11 КоАП (невыполнение обязанности по публикации политики), штраф 30–60 тыс. ₽ — небольшой, но фиксируется в истории нарушений и влияет на квалификацию следующего инцидента как «повторного».

Если финансовая организация не оформила поручение на обработку с БКИ как отдельный документ по п. 3 ст. 6 152-ФЗ — это нарушение, видимое при первой проверке РКН. Срок включения организации в план проверок после жалобы клиента — 30 дней. Оцените документацию до того, как придёт инспектор.

Заказать аудит 152-ФЗ

Как применяется 152-ФЗ в МФО и платёжных агентах?

МФО — полноценный оператор персональных данных с обязанностями ст. 22 152-ФЗ по уведомлению РКН. При онлайн-выдаче займа МФО обрабатывает: паспортные данные, СНИЛС, телефон, e-mail, данные устройства, скоринговые параметры, иногда геолокацию. Большинство небольших МФО уведомление не подавали или подавали в урезанном объёме — при проверке это ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. ₽.

Платёжные агенты и сервисы переводов дополнительно обязаны соблюдать требования НПС (Национальной платёжной системы) по защите информации — нормативы Банка России. Эти требования не заменяют 152-ФЗ, а действуют поверх него. Если инцидент в платёжной инфраструктуре затронул данные держателей карт, оператор получит протокол одновременно от Банка России и РКН.

Для финансового директора МФО особенно важен порог в 100 000 субъектов при определении уровня защищённости ИСПДн по ПП РФ №1119. Большинство МФО федерального уровня его давно превысили, что означает обязательный УЗ-3 и соответствующий набор технических мер по Приказу ФСТЭК №21 — с документальным подтверждением их реализации.

Типовые сценарии: что происходит при инциденте в финансовой организации?

Сценарий 1. Утечка базы клиентов МФО через подрядчика по маркетингу. МФО передала базу из 45 000 контактов маркетинговому агентству без оформления поручения на обработку. Агентство допустило утечку в публичный доступ. Ответственность оператора (МФО) не исключается: суды квалифицируют такую ситуацию как обработку без правового основания (ч. 1 ст. 13.11 КоАП) и передачу данных без поручения. Объём затронутых субъектов — до 100 000, что соответствует ч. 13 ст. 13.11 КоАП, штраф 5–10 млн ₽. Если МФО ранее уже привлекалась к ответственности по ч. 12–14 — применяется оборотный штраф по ч. 15.

Сценарий 2. Банк запрашивает биометрию при открытии счёта как обязательное условие. Операционный регламент предусматривает отказ в открытии счёта без согласия на сдачу биометрии в ЕБС. Клиент отказался — ему отказали в обслуживании. Жалоба в РКН и в Банк России. По ч. 8 ст. 14.8 КоАП — штраф до 500 тыс. ₽. Финансовый директор, не заложивший переработку клиентского пути в бюджет заблаговременно, получает штраф и репутационный ущерб.

Сценарий 3. МФО не уведомила РКН об инциденте в 24 часа. Ночью в пятницу специалист ИБ зафиксировал утечку через API — данные 12 000 клиентов оказались доступны через незащищённый эндпоинт. Решение об уведомлении РКН принималось до понедельника: «разберёмся, потом сообщим». Нарушение срока по ч. 3.1 ст. 21 152-ФЗ — самостоятельный штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП, плюс штраф по ч. 13 за саму утечку. Итого возможный коридор — 6–13 млн ₽ по двум составам.

Практика 2025–2026 года: как суды рассматривают дела финансовых организаций

По данным InfoWatch за 2025 год, из 118 зафиксированных случаев компрометации баз данных вынесено 6 административных штрафов на общую сумму около 570 тыс. ₽. Суммы невелики: большинство дел рассматривалось по нормам до вступления ФЗ-420 в силу (до 30.05.2025). Дела, возбуждённые после 30.05.2025, уже применяют новую нумерацию и диапазоны штрафов.

Арбитражный суд Северо-Западного округа (осень 2025) рассмотрел дело в отношении МФО: утечка данных около 15 000 заёмщиков через незащищённый API. Организация не уведомила РКН в установленный срок. Суд применил ч. 11 и ч. 13 ст. 13.11 КоАП, совокупный штраф составил несколько миллионов рублей. Смягчающие обстоятельства — первичность нарушения и оперативное устранение уязвимости — снизили размер до нижней границы по обоим составам. Статус микропредприятия не применялся: объём утечки исключал замену на предупреждение по ст. 4.1.1 КоАП.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. С момента введения ч. 8 ст. 14.8 КоАП финансовые организации не вправе отказывать клиенту в обслуживании или создавать дискриминирующие условия только на основании его отказа предоставить биометрические данные в ЕБС. Штраф для юридического лица — до 500 тыс. ₽. Банк обязан предложить альтернативный способ идентификации.

2. Что грозит МФО за утечку данных клиентов?

Размер штрафа зависит от числа затронутых субъектов. Утечка 1 000–10 000 субъектов — ч. 12 ст. 13.11 КоАП, 3–5 млн ₽. От 10 000 до 100 000 субъектов — ч. 13, 5–10 млн ₽. Свыше 100 000 — ч. 14, 10–15 млн ₽. При повторном инциденте применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — штраф 1–3 млн ₽ за нарушение срока уведомления РКН (ч. 11 ст. 13.11 КоАП).

3. Какое правовое основание обработки ПДн клиентов в банке?

Обработка в целях исполнения антиотмывочной идентификации — ст. 6 п. 2 152-ФЗ: исполнение обязанности, возложенной законом (115-ФЗ). Обработка в целях исполнения кредитного договора — ст. 6 п. 5 152-ФЗ: необходимость для исполнения договора. Скоринг на основе автоматизированных решений — ст. 16 152-ФЗ: согласие субъекта или договорное основание. Маркетинговые коммуникации — ст. 9 152-ФЗ: отдельное согласие субъекта. Смешивать основания нельзя: данные, собранные по одному основанию, нельзя использовать в иных целях без дополнительного основания (ст. 5 152-ФЗ).

4. Где хранится биометрия — в ЕБС или у банка?

С 01.06.2023 хранение исходных биометрических данных (изображение лица, голос) на собственной инфраструктуре банка запрещено. Все биометрические шаблоны размещаются исключительно в Государственной информационной системе ЕБС, оператором которой является АО «Центр биометрических технологий» (572-ФЗ). Банк получает только результат верификации — без хранения биометрического слепка. Нарушение этого требования квалифицируется по ч. 16 ст. 13.11 КоАП, а утечка биометрии — по ч. 17 (штраф 15–20 млн ₽).

5. Как оспорить отказ в кредите, принятый автоматически?

Субъект вправе потребовать от банка проверки автоматизированного решения с участием человека — это прямое право по ст. 16 152-ФЗ. Банк обязан рассмотреть такое обращение и предоставить мотивированный ответ. Дополнительно субъект может запросить информацию о категориях данных, используемых в скоринговой модели. Отказ в предоставлении информации — ч. 4 ст. 13.11 КоАП, штраф 40–80 тыс. ₽ на организацию. Жалоба в РКН инициирует внеплановую проверку.

Итог

Антиотмывочный контроль создаёт законное основание для обработки данных клиентов, но не отменяет обязанностей оператора по 152-ФЗ. Принципы соразмерности, целеограничения и уничтожения по истечении срока действуют независимо от того, по какому закону данные собраны. С 30.05.2025 финансовые организации существуют в режиме реальных многомиллионных штрафов — не гипотетических.

DATUM сопровождает финансовые организации и МФО в выстраивании комплаенса по 152-ФЗ: от аудита текущего состояния до подготовки к проверке РКН и защиты при штрафе. Практика «Ветров и партнёры» по финансовому сектору включает банки, МФО, платёжных агентов и страховщиков.

Смотрите также

Работаете в финансовом секторе и не уверены в документации по 152-ФЗ?

Если финансовый директор видит в бюджете только расходы на ИБ-инфраструктуру, но не на юридический комплаенс по 152-ФЗ — это пробел, который заполнит РКН или суд. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов, выявят нарушения и выдадут приоритизированный план устранения. Стоимость аудита — от 100 000 ₽; стоимость одного инцидента по ч. 13 ст. 13.11 КоАП — от 5 000 000 ₽.

Заказать аудит 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

13 января 2029 года