аналитика 17 февраля 2029 года По состоянию на 17 февраля 2029 года

Автоматический отказ в кредите: правовые риски

Автоматический отказ в кредите — это решение, принятое без участия человека на основании скоринговой модели. По ст. 16 ФЗ-152 субъект вправе требовать проверки такого решения живым сотрудником.

С 30.05.2025 штраф за нарушение норм обработки ПДн при скоринге — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП за единичный случай; при повторной утечке базы клиентов — оборотный штраф до 500 млн ₽ по ч. 15 той же статьи.

Если вы финансовый директор и хотите понять, какие правовые риски несёт автоматический скоринг, — этот материал для вас. → Разберём нормы и цену ошибки.

Финансовые директора банков, МФО и финтех-платформ в 2025–2026 годах столкнулись с одним из самых сложных регуляторных узлов: автоматический скоринг одновременно попадает под требования ФЗ-152, ФЗ-218, ФЗ-572, ст. 16 ФЗ-152 об автоматизированных решениях и ст. 13.11 КоАП с новыми санкциями. Каждый из этих блоков — самостоятельный источник риска. В материале — структура правовых оснований, анализ типовых нарушений и экономика штрафов.

Что такое автоматизированное решение по ст. 16 ФЗ-152 и почему банку важно это понимать?

Статья 16 ФЗ-152 запрещает принимать решения, порождающие правовые последствия для субъекта, исключительно на основании автоматизированной обработки его персональных данных — если только субъект не дал явного согласия или это прямо не предусмотрено федеральным законом. Кредитный отказ порождает правовые последствия: человек не получает деньги. Значит, это решение подпадает под ограничение.

«Ст. 16 ФЗ-152 — запрет автоматизированных решений, влекущих правовые последствия, без согласия субъекта или прямого указания федерального закона. Субъект вправе потребовать пересмотра решения сотрудником-человеком.»

На практике это означает три обязательных элемента в процессе скоринга. Первый — наличие правового основания для автоматизированной обработки: либо письменное согласие по ст. 9 ФЗ-152 с явным указанием на автоматизированное принятие решений, либо прямая норма в профильном федеральном законе (например, ФЗ-353 «О потребительском кредите»). Второй — уведомление субъекта о факте автоматизированного решения. Третий — процедура обжалования у человека: клиент вправе оспорить отказ, и банк обязан предоставить такую возможность.

Распространённая ошибка: банк включает пункт об автоматизированной обработке в типовой договор присоединения. После 01.09.2025 такой подход нарушает ФЗ-156: согласие на обработку ПДн, в том числе в целях автоматизированного скоринга, должно быть оформлено отдельным документом, не объединённым с договором. Штраф за отсутствие правильно оформленного согласия — 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Как соотносятся ФЗ-218 о БКИ и ФЗ-152 при запросе кредитной истории?

Запрос кредитной истории в Бюро кредитных историй — это передача персональных данных третьему лицу, то есть действие, требующее самостоятельного правового основания по ст. 6 ФЗ-152. ФЗ-218 «О кредитных историях» допускает запрос только при наличии согласия субъекта: согласие должно быть получено до запроса и охватывать передачу сведений именно в БКИ.

«Ст. 6 ФЗ-152 — 11 оснований для обработки ПДн. П. 1 — согласие субъекта. П. 5 — обработка для исполнения договора с субъектом. Запрос в БКИ до заключения договора требует отдельного согласия по п. 1.»

Срок хранения кредитной истории в БКИ составляет 7 лет. Это не означает, что банк вправе хранить копии данных, полученных из БКИ, столько же. Собственные базы оператора регулируются принципом минимальности по ст. 5 ФЗ-152: хранить столько, сколько необходимо для достижения цели обработки.

МФО в этом контексте несут дополнительный риск: микрофинансовые организации нередко используют нестандартные источники данных для скоринга — данные из социальных сетей, геолокацию, анализ поведения на сайте. Каждый дополнительный источник требует отдельного правового основания. Обработка ПДн без основания — нарушение ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽.

Скоринговая модель использует данные сторонних источников — как снизить правовой риск?

Если финансовый директор оценивает риски скоринговой системы, которая обрабатывает данные из БКИ, ЕБС или внешних источников, — важно понять, где именно находятся правовые пробелы. Любой пробел в правовом основании даёт РКН повод выписать штраф по ч. 1 или ч. 2 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Биометрия в банке: что изменил ФЗ-572 и где граница запрета по ч. 8 ст. 14.8 КоАП?

Федеральный закон ФЗ-572 от 29.12.2022 ввёл Единую биометрическую систему (ГИС ЕБС). Оператор системы — АО «Центр Биометрических Технологий». С 01.06.2023 банки обязаны передавать биометрические данные клиентов именно в ЕБС, а не хранить их в собственных базах.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только с письменного согласия субъекта (кроме исключений п. 2). ФЗ-572 — хранение исходной биометрии вне ЕБС с 01.06.2023 запрещено.»

Ключевой правовой риск для финансовых директоров — норма ч. 8 ст. 14.8 КоАП: банк не вправе отказывать в обслуживании клиенту, который не предоставил биометрические данные для ЕБС. Иными словами, если банк обусловливает выдачу кредита обязательной сдачей биометрии, это самостоятельный состав административного правонарушения. Штраф за такое нарушение — до 500 000 ₽ для юридического лица.

Для скоринговых систем это создаёт двойное ограничение. Первое: банк не может принуждать к биометрии. Второе: если клиент добровольно прошёл биометрическую идентификацию через ЕБС, банк вправе использовать результат как элемент скоринга — но только при наличии письменного согласия по ст. 11 ФЗ-152 на обработку биометрических ПДн в конкретных целях.

Утечка биометрических данных влечёт штраф 15 000 000–20 000 000 ₽ по ч. 17 ст. 13.11 КоАП. Это отдельный состав, не зависящий от количества затронутых субъектов.

Что грозит банку и МФО при утечке клиентской базы скоринга?

Скоринговая база — это обычно комбинация нескольких категорий ПДн: паспортные данные, сведения о доходах, кредитная история, поведенческие паттерны. При утечке такой базы ответственность определяется размером инцидента и повторностью нарушений.

Действующая с 30.05.2025 редакция ст. 13.11 КоАП предусматривает три ступени ответственности за утечку. Утечка от 1 000 до 10 000 субъектов — штраф 3 000 000–5 000 000 ₽ по ч. 12. От 10 000 до 100 000 субъектов — 5 000 000–10 000 000 ₽ по ч. 13. Более 100 000 субъектов — 10 000 000–15 000 000 ₽ по ч. 14.

«Ст. 13.11 ч. 15 КоАП — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽. Применяется при повторном нарушении по ч. 12–14.»

Для среднего банка с выручкой 10 млрд ₽ в год оборотный штраф при нижней границе 1% составит 100 млн ₽. Это сопоставимо с несколькими годами бюджета на информационную безопасность. При этом скидка за быструю уплату по ст. 32.2 КоАП к оборотным штрафам не применяется.

Важный процессуальный момент: при обнаружении утечки у банка есть 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 и 72 часа на отчёт о результатах внутреннего расследования по Приказу РКН №187. Неуведомление — дополнительный штраф 1 000 000–3 000 000 ₽ по ч. 11 ст. 13.11 КоАП.

Что подготовить финансовому директору для снижения правовых рисков скоринга

Отдельное согласие на автоматизированную обработку ПДн в целях скоринга с указанием используемых источников данных (ст. 16 ФЗ-152, ФЗ-156 с 01.09.2025)
Отдельное согласие на запрос в БКИ по ФЗ-218 — до направления запроса, с указанием конкретного бюро
Регламент процедуры обжалования автоматизированного решения: контактное лицо, срок рассмотрения, порядок фиксации
Внутренний приказ, запрещающий обусловливать обслуживание предоставлением биометрии в ЕБС (ч. 8 ст. 14.8 КоАП)
План реагирования на утечку с таймером 24/72 часа и ответственным за уведомление РКН по Приказу №187

Типовые правовые ситуации: матрица рисков для финансового директора

Ниже — три характерных сценария, с которыми финансовые директора сталкиваются при взаимодействии с регулятором.

Сценарий 1. МФО использует данные из социальных сетей для скоринга без согласия. МФО Центрального ФО (2025 год) включила в алгоритм скоринга анализ публичных профилей заёмщиков в социальных сетях. Согласие на обработку этих данных в форме заявки отсутствовало. РКН при плановой проверке квалифицировал действия как обработку без правового основания по ч. 1 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. Дополнительно РКН выдал предписание об уничтожении накопленных данных. Стратегия: перечень источников данных для скоринга должен быть исчерпывающим в тексте согласия.

Сценарий 2. Банк хранит биометрические образцы вне ЕБС. Региональный банк Приволжского ФО (осень 2025 года) продолжал хранить в собственной базе биометрические слепки лиц клиентов, собранные до перехода на ЕБС. После внеплановой проверки РКН возбудил дело по ч. 16 ст. 13.11 КоАП. Параллельно встал вопрос о соблюдении требований ФЗ-572. Стоимость устранения нарушения оказалась выше стоимости санкций — пришлось перестраивать инфраструктуру хранения. Стратегия: провести аудит хранилищ до получения запроса от РКН.

Сценарий 3. Утечка скоринговой базы через подрядчика-разработчика. Финтех-платформа Северо-Западного ФО (начало 2026 года) передала скоринговую базу внешнему разработчику для доработки алгоритма без надлежащего поручения на обработку ПДн. После инцидента у подрядчика утекли данные около 15 000 субъектов. РКН квалифицировал нарушение по ч. 13 ст. 13.11 КоАП (5–10 млн ₽). Арбитражный суд региона применил смягчающие обстоятельства с учётом принятых мер по устранению последствий. Стратегия: договор поручения обработки ПДн по п. 3 ст. 6 ФЗ-152 с подрядчиком — обязательное условие до передачи любых данных.

Если финансовый директор оценивает последствия утечки скоринговой базы — важно действовать до получения протокола РКН, а не после. Юристы DATUM помогут выстроить защиту от штрафа по ст. 13.11 КоАП и подготовят позицию для арбитражного суда.

Защитить от штрафа 13.11

Частые вопросы

1. Можно ли отказать клиенту в кредите без сдачи биометрии в ЕБС?

Да, банк обязан обслужить клиента, не предоставившего биометрию. Часть 8 ст. 14.8 КоАП прямо запрещает обусловливать оказание услуг регистрацией в ЕБС. Использование биометрии — добровольное. Если банк фактически отказывает клиентам без биометрии, это самостоятельный состав нарушения со штрафом до 500 000 ₽ для юрлица.

2. Что грозит МФО за утечку клиентской базы?

Ответственность зависит от масштаба утечки. Если затронуто от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). При повторной утечке — оборотный штраф по ч. 15: 1–3% выручки, не менее 20 млн ₽. Дополнительно — штраф за неуведомление РКН в 24 часа: 1–3 млн ₽ по ч. 11.

3. Какое правовое основание для обработки ПДн клиента в банке?

Основных оснований два. Первое — согласие субъекта по п. 1 ч. 1 ст. 6 ФЗ-152: применяется для скоринга, запросов в БКИ до заключения договора, маркетинга. Второе — исполнение договора по п. 5 ч. 1 ст. 6 ФЗ-152: применяется для обработки в ходе обслуживания по кредитному договору. Смешивать основания нельзя: каждое действие с ПДн должно опираться на конкретный пункт.

4. Где хранится биометрия клиентов банка после ФЗ-572?

С 01.06.2023 исходные биометрические данные (изображение лица, голос) должны храниться в Государственной информационной системе ЕБС. Оператор — АО «Центр Биометрических Технологий». Хранение биометрии в собственных базах банка нарушает ФЗ-572 и влечёт ответственность по ч. 16 ст. 13.11 КоАП.

5. Как клиент может оспорить автоматический отказ в кредите?

По ст. 16 ФЗ-152 субъект вправе потребовать проверки автоматизированного решения человеком — сотрудником банка. Банк обязан предоставить такую процедуру. Если процедуры обжалования нет, это нарушение ФЗ-152. Отдельно клиент может обратиться с жалобой в РКН или Банк России.

Итог

Автоматический скоринг в банках и МФО — это зона пересечения минимум четырёх правовых режимов: ФЗ-152 (ст. 16 об автоматизированных решениях, ст. 9 о согласии), ФЗ-218 (запрос в БКИ), ФЗ-572 (биометрия в ЕБС) и ст. 13.11 КоАП с санкциями до 500 млн ₽. Финансовый директор, который оценивает риски только через призму регуляторики ЦБ, не замечает значительной части правового поля.

Практика DATUM охватывает сопровождение банков, МФО и финтех-платформ по всем перечисленным режимам: от аудита правовых оснований скоринга до защиты в арбитраже при получении протокола по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — аудит обработки ПДн по 38-пунктному чек-листу с отчётом
Комплект ОРД под ключ — полный пакет документов включая согласия и регламенты
Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11 КоАП

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

17 февраля 2029 года