аналитика 21 апреля 2029 По состоянию на 21 апреля 2029

Биометрия в банковском приложении

Биометрические персональные данные — изображение лица и голос — относятся к особой категории, обработка которой допустима только с письменного согласия клиента по ст. 11 ФЗ-152 и в строгом соответствии с требованиями ФЗ-572 о единой биометрической системе.

С 01.06.2023 банки и МФО обязаны хранить исходную биометрию исключительно в ЕБС, а не во внутренних базах. Штраф за утечку биометрических данных — 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП; повторное нарушение влечёт оборотный штраф до 500 млн ₽ по ч. 18 той же статьи.

Если вы финансовый директор и оцениваете бюджет на биометрический комплаенс — ниже расчёт рисков и обязательств для банков, МФО и финтех-компаний. → Читать дальше.

Биометрия в банковском приложении перестала быть удобством — с 2023 года она стала источником регуляторных рисков. Финансовые директора, оценивая бюджеты на информационную безопасность, сталкиваются с тремя независимыми правовыми режимами: ФЗ-152 о персональных данных, ФЗ-572 об единой биометрической системе и КоАП с оборотными штрафами с 30.05.2025. В этой статье — анализ норм, типовых нарушений и стоимость их последствий для финансовых организаций.

Что такое биометрия в банке и как её регулирует закон?

По ст. 11 ФЗ-152, биометрические персональные данные — это физиологические и биологические особенности человека, на основании которых можно установить его личность. Для банковских приложений практически значимы два биометрических идентификатора: изображение лица и образец голоса. Именно они используются для удалённой идентификации клиентов при открытии счетов, подтверждении транзакций и входе в мобильное приложение.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта. Исключения установлены в ч. 2 ст. 11 — в частности, для целей осуществления правосудия и исполнения судебных актов. Для коммерческого использования в финансовых сервисах исключений нет.»

ФЗ-572 от 29.12.2022 разграничил роли участников биометрической идентификации. Оператор ЕБС — АО «Центр Биометрических Технологий». Банки, МФО и другие участники финансового рынка, которые собирают биометрию клиентов, обязаны передавать её в ЕБС и не вправе хранить исходные биометрические шаблоны во внутренних базах. Это требование действует с 01.06.2023.

Отдельно стоит норма ч. 8 ст. 14.8 КоАП, введённая ФЗ-420: банк или МФО не вправе отказывать клиенту в обслуживании только на основании того, что тот не предоставил биометрию для внесения в ЕБС. Клиент вправе использовать альтернативные способы идентификации. Нарушение этого запрета влечёт административную ответственность.

Какие правовые основания нужны для обработки биометрии в мобильном приложении?

Финансовые директора часто недооценивают разрыв между технической реализацией и правовым оформлением. Мобильное приложение банка может использовать Face ID или Touch ID в двух принципиально разных режимах, и правовые основания для них различаются.

Первый режим — аутентификация через встроенный биометрический сенсор устройства. Здесь приложение не получает и не хранит биометрический шаблон: данные обрабатываются локально операционной системой смартфона. С точки зрения ФЗ-152 банк не является оператором биометрических ПДн в этой транзакции. Согласие по ст. 11 ФЗ-152 в письменной форме формально не требуется.

Второй режим — биометрическая идентификация через ЕБС. Банк собирает биометрический шаблон, передаёт его в ЕБС и в дальнейшем сравнивает предъявленный образец с шаблоном в системе. Здесь банк выступает участником ЕБС, обрабатывает биометрические ПДн и обязан получить отдельное письменное согласие клиента по ст. 11 ФЗ-152 и ФЗ-572.

«Ст. 6 ФЗ-152 — помимо согласия, обработка ПДн возможна для исполнения договора (п. 5 ч. 1 ст. 6). Однако для биометрических ПДн этого основания недостаточно — ст. 11 ФЗ-152 устанавливает специальное требование письменного согласия, которое не замещается договорным основанием.»

Отдельного анализа требует использование биометрии в скоринговых моделях. Автоматизированное принятие решений на основании ПДн, включая биометрию, регулируется ст. 16 ФЗ-152: субъект вправе потребовать пересмотра решения, принятого исключительно на основании автоматизированной обработки. Для финансового директора это означает риск оспаривания кредитных отказов в судебном порядке.

Как финансовому директору оценить расходы на биометрический комплаенс?

Бюджет на комплаенс по биометрии зависит от роли компании: участник ЕБС, только локальная аутентификация или оба режима одновременно. Правовое основание обработки, объём согласий и технические меры по ФЗ-572 — разные статьи расходов. Аудит DATUM определяет фактический правовой статус компании и приоритизирует мероприятия по стоимости риска.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что грозит банку или МФО за нарушения при работе с биометрией?

С 30.05.2025 санкционный режим по ст. 13.11 КоАП кардинально изменился. Для финансового директора ключевые составы — три.

Первый — обработка биометрических ПДн с нарушением ст. 11 ФЗ-152: отсутствие письменного согласия, несоответствие его реквизитов требованиям, хранение исходных шаблонов вне ЕБС. Состав — ч. 16 ст. 13.11 КоАП, точный диапазон для юридических лиц требует сверки по КонсультантПлюс непосредственно перед публикацией.

Второй — утечка биометрических ПДн. Состав — ч. 17 ст. 13.11 КоАП, штраф для юридического лица 15–20 млн ₽. Это фиксированный диапазон, не зависящий от числа затронутых субъектов — в отличие от утечек общих ПДн по ч. 12–14.

Третий — повторное нарушение по ч. 16 или ч. 17. Состав — ч. 18 ст. 13.11 КоАП, оборотный штраф: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Для банка со 100 млрд ₽ выручки минимальный оборотный штраф за повторную утечку биометрии — от 1 млрд ₽, ограниченный потолком 500 млн ₽.

«Ст. 13.11 ч. 17 КоАП (в редакции с 30.05.2025) — утечка биометрических ПДн влечёт для юридического лица штраф 15 000 000 — 20 000 000 ₽. Ст. 13.11.3 КоАП — отдельная статья для нарушений при размещении биометрии в ЕБС банками и МФО, штраф 500 000 — 1 000 000 ₽.»

Дополнительно действует уголовная ответственность по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024. Незаконное использование, передача или хранение компьютерной информации с биометрическими ПДн — до 10 лет лишения свободы по ч. 5 при тяжких последствиях. Для финансового директора это означает, что ответственность выходит за рамки административных штрафов.

Идентификация по 115-ФЗ и ЕБС: как соотносятся требования?

Финансовые организации, подпадающие под действие 115-ФЗ о противодействии легализации доходов, обязаны идентифицировать клиентов. С расширением цифровых каналов обслуживания удалённая биометрическая идентификация через ЕБС стала допустимым способом выполнения этого требования.

Важное разграничение: обязанность идентификации по 115-ФЗ и обязанность обработки биометрии по ФЗ-572 — разные правовые режимы. Банк обязан идентифицировать клиента, но не обязан делать это через ЕБС — если клиент не дал согласие на биометрическую идентификацию, банк должен предложить альтернативный канал. Ч. 8 ст. 14.8 КоАП прямо запрещает отказ в обслуживании клиентам, не прошедшим биометрическую регистрацию в ЕБС.

Для МФО регулирование жёстче: с расширением требований к удалённой идентификации заёмщиков МФО используют ЕБС как основной канал. Нарушения порядка идентификации влекут риски одновременно по 115-ФЗ (предписания ЦБ) и по ФЗ-152 (протоколы РКН). Двойной регуляторный риск требует координации юридической и compliance-функций.

«ФЗ-218 — кредитная история хранится в БКИ 7 лет. Передача данных в БКИ — отдельное основание обработки ПДн по ст. 6 ФЗ-152. Согласие на запрос кредитной истории оформляется отдельно от согласия на биометрическую идентификацию.»

Если финансовая организация использует ЕБС и внутреннюю биометрическую аутентификацию одновременно — правовые основания и документы для каждого режима различаются. Аудит DATUM определит, какие пробелы создают риск штрафа по ч. 16–18 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Практические сценарии: где финансовые организации получают штрафы

Анализ практики РКН и арбитражных судов выявляет три типичных нарушения при работе с биометрией в финансовых приложениях.

Сценарий 1. Хранение биометрических шаблонов во внутренней базе. Ситуация: банк реализовал функцию входа по лицу до 01.06.2023, не перенёс шаблоны в ЕБС после введения обязанности. Доказательства: акт проверки РКН, данные технической экспертизы о структуре хранилища. Исход: протокол по ч. 16 ст. 13.11 КоАП, предписание об уничтожении локальных шаблонов. Стратегия: немедленная миграция в ЕБС + уведомление РКН об устранении нарушения снижает риск оборотного штрафа при повторном выявлении.

Сценарий 2. Отказ клиенту в кредите на основании биометрического скоринга без права оспорить решение. Ситуация: МФО использует автоматизированный скоринг с биометрическими данными, клиенту отказано в займе без возможности пересмотра. Доказательства: жалоба субъекта в РКН, внутренние регламенты скоринга. Исход: нарушение ст. 16 ФЗ-152 — субъект вправе требовать пересмотра автоматизированного решения. Для МФО — протокол РКН и судебный иск от клиента. Стратегия: включить в процесс возможность ручного пересмотра и уведомить клиента о праве на него.

Сценарий 3. Согласие на биометрию включено в договор банковского обслуживания. Ситуация: банк включил согласие на сбор биометрии в ЕБС в текст договора комплексного банковского обслуживания. С 01.09.2025 согласие на обработку ПДн должно быть отдельным документом (ФЗ-156 от 24.06.2025). Доказательства: форма договора, акт проверки РКН. Исход: протокол по ч. 2 ст. 13.11 КоАП (штраф 300 000 — 700 000 ₽). Стратегия: переработка форм согласий до 01.09.2025, хотя ФЗ-156 не распространяется на ранее заключённые договоры с обратной силой.

Что подготовить финансовой организации для биометрического комплаенса

Реестр всех точек сбора биометрии с указанием режима обработки (локальная аутентификация / ЕБС / иное) и правового основания для каждой
Отдельные письменные согласия на биометрическую идентификацию по ст. 11 ФЗ-152 — оформленные отдельным документом с 01.09.2025 по требованиям ФЗ-156
Подтверждение отсутствия локального хранения биометрических шаблонов — акт технической проверки хранилища или заключение CISO
Регламент реагирования на запросы клиентов о пересмотре автоматизированных решений по ст. 16 ФЗ-152 с фиксацией сроков
Уведомление о намерении обрабатывать биометрические ПДн в реестре РКН по ст. 22 ФЗ-152 — с корректным указанием целей и категорий данных

Кейс 1. Финтех-компания (Центральный ФО, осень 2024) — микрокредитная организация — использовала биометрический скоринг без письменных согласий на обработку биометрических ПДн. Внеплановая проверка РКН после жалобы клиента выявила отсутствие согласий и хранение шаблонов во внутренней базе данных. Штраф по ч. 16 ст. 13.11 назначен в размере нескольких сотен тысяч рублей; компании предписано устранить нарушения в течение 30 дней. При повторном выявлении аналогичного нарушения применимо ч. 18 ст. 13.11 — оборотный штраф. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. Региональный банк (Приволжский ФО, начало 2025) не обновил форму согласия клиента после обновления требований к ЕБС — согласие на биометрическую идентификацию было включено в договор комплексного обслуживания без выделения в отдельный документ. Арбитражный суд региона в 2026 году рассматривал аналогичные дела о несоответствии формы согласия требованиям ФЗ-156, назначая штраф по ч. 2 ст. 13.11 в диапазоне 300 000 — 700 000 ₽. Переработка форм до 01.09.2025 позволила бы избежать нарушения. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка биометрического комплаенса по чек-листу из 38 пунктов
Комплект ОРД под ключ — согласия на биометрию, регламенты, приказы по ФЗ-572 и ФЗ-152
Защита при штрафе в арбитраже — оспаривание протоколов по ч. 16–18 ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не сдал биометрию в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать в обслуживании клиенту только на основании отсутствия биометрии в ЕБС. Банк обязан предоставить альтернативный способ идентификации. За нарушение этого требования предусмотрена административная ответственность — точный диапазон штрафа для юридических лиц верифицируется по КонсультантПлюс перед публикацией, в публикациях указывается «до 500 тыс. ₽».

2. Что грозит МФО за утечку биометрических данных клиентов?

За утечку биометрических ПДн МФО как юридическому лицу грозит штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП (в редакции с 30.05.2025). Это фиксированный диапазон — он не зависит от числа субъектов, чьи данные утекли. При повторной утечке применяется оборотный штраф по ч. 18 ст. 13.11: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Руководитель дополнительно несёт риск уголовной ответственности по ст. 272.1 УК РФ.

3. Какое правовое основание использует банк при сборе биометрии для ЕБС?

Основание — письменное согласие субъекта по ст. 11 ФЗ-152. Ни договорное основание (п. 5 ч. 1 ст. 6 ФЗ-152), ни иные основания ст. 6 не замещают специальное требование письменного согласия для биометрических ПДн. С 01.09.2025 согласие должно быть оформлено отдельным документом, не включённым в договор банковского обслуживания или иные документы, — это требование ФЗ-156 от 24.06.2025.

4. Где должна храниться биометрия — в банке или в ЕБС?

С 01.06.2023 банки и иные участники финансового рынка обязаны хранить биометрические шаблоны только в ЕБС (оператор — АО «Центр Биометрических Технологий»). Локальное хранение исходных биометрических данных во внутренних базах организации запрещено ФЗ-572. Локальная аутентификация через биометрический сенсор устройства (Face ID, Touch ID) — другой случай: банк здесь не является оператором биометрических ПДн, данные обрабатываются операционной системой смартфона.

5. Как клиент может оспорить отказ в кредите, основанный на биометрическом скоринге?

Ст. 16 ФЗ-152 закрепляет право субъекта требовать пересмотра решения, принятого исключительно на основании автоматизированной обработки ПДн и порождающего для него правовые последствия. Клиент направляет заявление оператору с требованием ручного пересмотра. Если банк или МФО отказывает или игнорирует заявление — субъект вправе обратиться с жалобой в РКН и с иском в суд. Отсутствие у оператора процедуры ручного пересмотра — самостоятельное нарушение ст. 16 ФЗ-152.

Итог

Биометрия в банковском приложении регулируется одновременно тремя правовыми режимами: ФЗ-152 (специальные категории, письменное согласие), ФЗ-572 (обязательная передача в ЕБС с 01.06.2023) и КоАП с оборотными штрафами по ч. 17–18 ст. 13.11 с 30.05.2025. Для финансового директора ключевой показатель — соотношение стоимости аудита (100–300 тыс. ₽) и стоимости штрафа за утечку биометрии (15–20 млн ₽ при первом нарушении, до 500 млн ₽ при повторном). Правильное оформление согласий, миграция в ЕБС и процедура ручного пересмотра автоматизированных решений — три мероприятия, закрывающие основной объём рисков.

DATUM сопровождает финансовые организации в части биометрического комплаенса: аудит режима обработки, подготовка согласий по требованиям ФЗ-156 (в редакции с 01.09.2025), защита в арбитраже при оспаривании протоколов по ч. 16–18 ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.