аналитика 21 февраля 2027 По состоянию на 21 февраля 2027

АО Центр Биометрических Технологий как оператор

АО «Центр Биометрических Технологий» (АО ЦБТ) — уполномоченный оператор Единой биометрической системы (ЕБС) по ФЗ-572 от 29.12.2022. Банки, МФО и иные участники финансового рынка не хранят исходную биометрию — они передают её в ЕБС и несут ответственность за правомерность сбора.

С 30.05.2025 утечка биометрии влечёт штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП; повторная — оборотный штраф до 500 млн ₽ по ч. 18. Требование идентификации только через ЕБС при одновременном отказе обслуживать без неё образует самостоятельный состав по ч. 8 ст. 14.8 КоАП.

→ Если вы финдиректор и оцениваете бюджетные риски финтех-компании от новых норм биометрии — ниже разбор ролей, оснований обработки и стоимости ошибки.

Финансовый директор, считающий бюджет на комплаенс, сталкивается с парадоксом: прямые расходы на аудит ПДн — порядка 100–300 тыс. ₽, тогда как штраф за утечку биометрических данных стартует от 15 млн ₽, а оборотный риск по ч. 18 ст. 13.11 КоАП достигает 3% годовой выручки. Эта статья объясняет, кто такой АО ЦБТ в правовой цепочке, как устроена ответственность банков и МФО при работе с ЕБС, и какие составы КоАП и УК формируются при нарушениях.

Что такое ЕБС и какую роль в ней играет АО ЦБТ?

Единая биометрическая система — государственная информационная система, созданная для удалённой идентификации граждан по биометрическим параметрам: изображению лица и голосу. Оператором ГИС ЕБС назначено АО «Центр Биометрических Технологий» — это закреплено в ФЗ-572 от 29.12.2022. АО ЦБТ собирает, хранит, обрабатывает и предоставляет доступ к биометрическим шаблонам, действуя в статусе оператора персональных данных применительно к данным, размещённым в ЕБС.

Банки, МФО, страховщики и иные организации финансового рынка, подключённые к ЕБС, выступают в роли источников данных и пользователей системы. Они собирают биометрию у клиентов и направляют её в ЕБС через защищённые каналы. С момента передачи хранение исходных биометрических шаблонов вне ЕБС по общему правилу запрещено — запрет действует с 01.06.2023.

«Ст. 11 ФЗ-152 — биометрические персональные данные обрабатываются только с письменного согласия субъекта, за исключением прямо указанных в законе случаев. ФЗ-572 от 29.12.2022 устанавливает особый порядок обработки биометрии в ЕБС: хранение в системе, оператор — АО ЦБТ, доступ участников — через API по согласию субъекта.»

Важное разграничение: банк, собирающий биометрию для ЕБС, является оператором ПДн в части самого факта сбора и передачи. АО ЦБТ является оператором в части хранения и предоставления. Это двойная цепочка ответственности, а не делегирование: ошибка на любом из звеньев порождает самостоятельный состав правонарушения.

Как устроена обработка биометрии в банке и МФО?

Кредитные организации и МФО вправе собирать биометрию в двух режимах. Первый — для размещения в ЕБС с последующей возможностью удалённой идентификации клиента. Второй — для собственных внутренних систем (СКУД, контроль доступа, внутренняя верификация), не связанных с ЕБС. В обоих случаях основание обработки по ст. 6 ФЗ-152 — письменное согласие субъекта по ст. 11 ФЗ-152. Без него обработка биометрии в любой форме противоправна.

Для МФО дополнительным контекстом служит 115-ФЗ «О противодействии легализации»: идентификация клиента до выдачи займа обязательна, однако сам факт обязательной идентификации не создаёт правового основания для сбора биометрии — это разные процедуры. Идентификацию по 115-ФЗ можно провести без биометрии: через паспортные данные, СНИЛС, ЕСИА.

«Ст. 6 ФЗ-152 — обработка ПДн допустима при наличии одного из 11 оснований. Для биометрии специальная норма — ст. 11: обработка допускается только с письменного согласия субъекта либо в случаях, прямо указанных в федеральном законе (судопроизводство, оперативно-розыскная деятельность и ряд других).»

Финдиректор считает бюджет на комплаенс по биометрии?

Стоимость аудита соответствия ст. 11 ФЗ-152 и ФЗ-572 — от 100 000 ₽. Штраф за утечку биометрии по ч. 17 ст. 13.11 КоАП — 15–20 млн ₽. При повторном нарушении включается оборотный состав по ч. 18 — до 3% годовой выручки и не более 500 млн ₽. Аудит обходится минимум в 150 раз дешевле минимального штрафа.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие штрафы грозят финансовой компании за нарушения с биометрией?

ФЗ-420 от 30.11.2024 кардинально пересобрал ст. 13.11 КоАП. С 30.05.2025 действуют 18 частей вместо прежних семи. Для участников биометрического оборота ключевые составы следующие.

Первый — ч. 16 ст. 13.11: обработка биометрических ПДн с нарушением требований ст. 11 ФЗ-152 (отсутствие письменного согласия, ненадлежащий состав согласия, хранение исходной биометрии вне ЕБС). Точный диапазон штрафа для юридических лиц подлежит верификации по актуальному тексту КоАП непосредственно перед применением, однако речь идёт о существенных суммах.

Второй — ч. 17 ст. 13.11: утечка биометрических ПДн — 15–20 млн ₽ для юридического лица. Это минимальный размер; сумма не зависит от числа пострадавших субъектов.

Третий — ч. 18 ст. 13.11: повторное нарушение по ч. 16 или ч. 17 — оборотный штраф 1–3% совокупной годовой выручки, не более 500 млн ₽. Минимальный порог — верифицировать по актуальному тексту КоАП перед публикацией решения. При выручке финтех-компании в 2 млрд ₽ нижняя граница оборотного штрафа составит 20–60 млн ₽.

Отдельный состав — ч. 8 ст. 14.8 КоАП: отказ в обслуживании потребителя на основании того, что он не предоставил биометрию для ЕБС. Предоставление биометрии в ЕБС является добровольным. Банк или МФО, обусловившие открытие счёта или выдачу займа наличием биометрического шаблона в ЕБС, нарушают права потребителя и несут ответственность по этой норме.

«Ст. 13.11.3 КоАП — отдельная статья для нарушений при размещении биометрии в ЕБС банками, МФЦ и иными организациями. Штраф для юрлиц — 500 тыс. – 1 млн ₽ за нарушение требований к порядку и технологии размещения биометрических шаблонов в ЕБС.»

Что изменилось в скоринге и БКИ после реформы 2024–2025 годов?

Скоринг на основе персональных данных регулируется ст. 16 ФЗ-152: решения, влекущие юридические последствия для субъекта (отказ в кредите, изменение условий займа), не могут приниматься исключительно на основе автоматизированной обработки без права субъекта оспорить решение и потребовать вмешательства человека. Это требование актуально для банков и МФО, использующих ML-скоринг.

Бюро кредитных историй работают в правовом поле ФЗ-218 «О кредитных историях». БКИ — самостоятельные операторы ПДн. Согласие на запрос кредитной истории является отдельным основанием по ст. 6 ФЗ-152 и не объединяется с общим согласием на обработку ПДн. Срок хранения кредитной истории — 7 лет с момента последнего изменения. Запрос в БКИ без согласия субъекта или с согласием ненадлежащего состава (после 01.09.2025 — в силу ФЗ-156 — согласие обязательно в форме отдельного документа) влечёт ответственность по ч. 2 ст. 13.11 КоАП: 300 000 – 700 000 ₽ для юрлица.

С 01.09.2025 ФЗ-156 от 24.06.2025 ввёл обязательное оформление согласия на обработку ПДн в виде отдельного документа. Банки и МФО, включавшие согласие в текст договора или оферты, обязаны пересмотреть форму для новых клиентов. Ранее полученные согласия обратной силой закон не затрагивает — но форма для новых отношений должна соответствовать актуальным требованиям.

Если финдиректор видит, что банк или МФО ещё не разделил согласия на обработку ПДн и на скоринг/запрос в БКИ — это прямой риск штрафа по ч. 2 ст. 13.11 (до 700 тыс. ₽) и по ч. 2.1 при повторности (до 1,5 млн ₽). До 01.09.2025 оставалось время; сейчас — нет.

Заказать аудит 152-ФЗ

Как работает уголовная ответственность по ст. 272.1 УК в финтехе?

Статья 272.1 УК РФ введена ФЗ-421 от 30.11.2024 и действует с 11.12.2024. Она криминализирует незаконные использование, передачу, сбор или хранение компьютерной информации, содержащей персональные данные. Для финансовых компаний это означает следующее: сотрудник банка или МФО, передавший клиентскую базу третьим лицам, или технический специалист, сохранивший массив ПДн на личных носителях, несут уголовную ответственность.

Максимальное наказание по ч. 5 ст. 272.1 УК (тяжкие последствия) — лишение свободы до 10 лет. Ч. 4 — трансграничная передача незаконно полученных ПДн — до 8 лет. Эти санкции сопоставимы с тяжкими экономическими преступлениями. По данным аналитиков в сфере ИБ, более половины уголовных дел об утечках ПДн в России связаны с сотрудниками телекоммуникационного и финансового секторов.

Для финдиректора это прямой аргумент при формировании бюджета на ИБ: уголовное дело против сотрудника сопровождается параллельным административным производством против компании, публичным медиа-ущербом и оттоком клиентов. Совокупный экономический ущерб от одного инцидента со спецкатегорией данных или биометрией многократно превышает расходы на превентивные меры.

Типичные ситуации: как финтех-компания попадает под санкции

Ситуация 1. МФО использует биометрию для собственной верификации без ЕБС. Компания установила систему распознавания лиц при входе в приложение, хранит шаблоны на собственных серверах. Согласие включено в оферту единым блоком. После 01.09.2025 такое согласие не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. Параллельно хранение биометрии вне ЕБС противоречит режиму ФЗ-572. Вероятный состав — ч. 16 ст. 13.11 КоАП. При выявлении в ходе проверки РКН или через жалобу субъекта компания также рискует нарушить ч. 2 ст. 13.11 за ненадлежащее согласие.

Ситуация 2. Банк отказал в открытии счёта, сославшись на отсутствие биометрии в ЕБС. Клиент обратился в Роспотребнадзор. Банк нарушил ч. 8 ст. 14.8 КоАП: предоставление биометрии в ЕБС добровольно, обусловливать обслуживание её наличием запрещено. Риск — штраф по ч. 8 ст. 14.8 (до 500 тыс. ₽) плюс предписание. При массовом применении практики — множественные протоколы.

Ситуация 3. Утечка клиентских данных банка через подрядчика по ML-скорингу. Банк передал массив ПДн аутсорсеру без надлежащего поручения по п. 3 ст. 6 ФЗ-152 — без письменного договора с перечнем действий и мер защиты. После утечки у подрядчика ответственность несёт банк как оператор. Если затронуто более 100 000 субъектов — ч. 14 ст. 13.11 КоАП: 10–15 млн ₽. Параллельно — ч. 11 ст. 13.11 за неуведомление РКН в 24 часа: 1–3 млн ₽.

Что проверить финдиректору финтех-компании

Форма согласия на обработку ПДн — отдельный документ после 01.09.2025 по ФЗ-156; согласие на скоринг и запрос в БКИ не объединено с общим согласием.
Биометрия клиентов — хранится только в ЕБС; локальных копий шаблонов на серверах компании нет с 01.06.2023.
Поручение на обработку ПДн подрядчикам (ML-скоринг, маркетинг, колл-центры) — письменный договор с перечнем действий и мер защиты по п. 3 ст. 6 ФЗ-152.
Регламент реагирования на утечку — 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152), 72 часа на отчёт по Приказу РКН №187.
Бюджет ИБ — при инвестициях ≥ 0,1% выручки за 3 года возможно снижение оборотного штрафа по ч. 15 и ч. 18 до 1/10 минимума (ст. 4.1 КоАП, примечание 3.4-2).

Как это применяется на практике

Кейс 1. Региональный банк (Приволжский ФО, осень 2025) передал данные о клиентах — включая биометрические шаблоны, собранные до внедрения ЕБС, — подрядчику по IT-сопровождению без письменного поручения и без согласования мер защиты. После хакерской атаки на инфраструктуру подрядчика данные более 15 000 клиентов оказались в открытом доступе. РКН возбудил дела по ч. 11 (неуведомление об инциденте в срок) и ч. 17 (утечка биометрии). Совокупный штраф составил сумму в нескольких десятках миллионов рублей. Параллельно Роспотребнадзор направил предписание о прекращении нарушения требований к порядку хранения биометрии. Аудит, проведённый после инцидента, выявил 11 документальных нарушений в ОРД, которые не были устранены в рамках планового цикла.

Кейс 2. МФО (Центральный ФО, начало 2026) получила предписание РКН после жалобы клиента: компания отказала в займе, сославшись на отсутствие биометрии в ЕБС. Роспотребнадзор возбудил дело по ч. 8 ст. 14.8 КоАП. Параллельно РКН установил, что форма согласия на обработку ПДн не была переработана после 01.09.2025: согласие на скоринг и запрос в БКИ по-прежнему включалось в текст договора займа. Общая сумма административных санкций по двум составам составила сотни тысяч рублей; компания также понесла репутационные потери в медиа.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки биометрии, согласий и поручений по чек-листу из 38 пунктов.
Комплект ОРД под ключ — пакет документов с учётом ФЗ-572, ФЗ-156 и требований к скорингу по ст. 16 ФЗ-152.
Защита при штрафе в арбитраже — обжалование протоколов по ч. 16–18 ст. 13.11 и ч. 8 ст. 14.8 КоАП, применение ст. 4.1 и 4.1.1.

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не сдал биометрию в ЕБС?

Нет. Сдача биометрии в ЕБС является добровольной. Банк или МФО, обусловившие открытие счёта, выдачу займа или иное обслуживание наличием биометрического шаблона в ЕБС, нарушают ч. 8 ст. 14.8 КоАП. Штраф для юридического лица — до 500 тыс. ₽ за каждый выявленный факт. При систематическом применении практики возможны множественные протоколы.

2. Что грозит МФО за утечку клиентских данных?

Зависит от масштаба и состава данных. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП: 3–5 млн ₽. От 10 000 до 100 000 субъектов — ч. 13: 5–10 млн ₽. Более 100 000 — ч. 14: 10–15 млн ₽. Если в составе утечки — биометрические данные, применяется ч. 17: 15–20 млн ₽. При повторном инциденте — оборотный штраф по ч. 18 ст. 13.11. Параллельно — ч. 11 за неуведомление РКН в 24 часа: 1–3 млн ₽.

3. Какое правовое основание у банка для обработки ПДн клиента?

Основной массив данных обрабатывается на основании исполнения договора (п. 5 ч. 1 ст. 6 ФЗ-152) — открытие счёта, кредитный договор, расчётное обслуживание. Биометрия — только письменное согласие по ст. 11 ФЗ-152, отдельный документ после 01.09.2025 (ФЗ-156). Запрос в БКИ по ФЗ-218 — также отдельное согласие. Идентификация по 115-ФЗ не создаёт самостоятельного основания для сбора биометрии.

4. Где хранится биометрия клиента — у банка или в ЕБС?

С 01.06.2023 хранение исходных биометрических шаблонов вне ЕБС по общему правилу запрещено. Банк собирает биометрию, передаёт в ЕБС через защищённый API и обязан удалить локальную копию. Оператором ГИС ЕБС является АО «Центр Биометрических Технологий» (АО ЦБТ) по ФЗ-572 от 29.12.2022. Банк сохраняет ответственность за правомерность первоначального сбора и факт передачи.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

Ст. 16 ФЗ-152 обязывает оператора, принимающего решения исключительно на основе автоматизированной обработки ПДн и влекущие юридические последствия, предоставить субъекту право потребовать пересмотра с участием человека и оспорить такое решение. Клиент вправе направить письменное обращение в банк или МФО. Оператор обязан рассмотреть его в сроки, установленные ст. 20 ФЗ-152 (10 рабочих дней с возможностью продления). Неответ или отказ без обоснования — основание для жалобы в РКН.

Итог

АО ЦБТ как оператор ЕБС замыкает на себе хранение биометрических шаблонов, но участники финансового рынка несут самостоятельную ответственность за правомерность сбора, форму согласия и соблюдение запрета на локальное хранение. С 30.05.2025 санкции за нарушения с биометрией достигают 20 млн ₽ за единичную утечку и до 3% годовой выручки при повторности. Параллельно ст. 272.1 УК РФ криминализирует действия конкретных сотрудников.

Практика DATUM сопровождает банки, МФО и финтех-компании в вопросах соответствия ФЗ-572, ФЗ-152 и ст. 13.11 КоАП: от аудита форм согласий и поручений подрядчикам до представления интересов при проверках РКН и обжалования постановлений в арбитраже.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

21 февраля 2027 года