аналитика 19 марта 2029 года По состоянию на 19 марта 2029 года

Биометрия в кредитной истории

Биометрия в кредитной истории — это пересечение трёх правовых режимов: ФЗ-218 о кредитных историях, ФЗ-572 о единой биометрической системе и ст. 11 ФЗ-152 об обработке биометрических ПДн. Каждый из них предъявляет отдельные требования к согласию, хранению и защите.

С 30.05.2025 утечка биометрических данных клиента влечёт штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП. Повторное нарушение — оборотный штраф до 500 млн ₽ по ч. 18. Дополнительный риск для банков и МФО: принуждение клиента предоставить биометрию при угрозе отказа в обслуживании — штраф по ч. 8 ст. 14.8 КоАП.

Если вы финансовый директор и биометрия уже встроена в скоринговую модель или KYC-процесс — проверьте основание обработки, режим хранения и соответствие ЕБС. Цена ошибки измеряется не тысячами, а миллиардами рублей выручки.

Финтех-компании и банки всё активнее используют биометрию в кредитных процессах: верификация личности при дистанционной выдаче, идентификация в ЕБС при обращении в МФЦ, биометрический скоринг в моделях машинного обучения. Параллельно с 30.05.2025 вступили в силу поправки к ст. 13.11 КоАП, кратно увеличившие ответственность за нарушения при обработке биометрии. Для финансового директора это означает конкретный бюджетный риск: неправильно выстроенный процесс обработки биометрических данных в БКИ или в собственной ИС превращается в статью расходов на десятки миллионов рублей — притом что инвестиции в комплаенс составляют в разы меньше.

Что такое биометрия в кредитном процессе и чем она отличается от обычных ПДн?

Биометрические персональные данные по ст. 11 ФЗ-152 — это физиологические и биологические особенности человека, позволяющие установить его личность. Применительно к кредитному процессу это прежде всего изображение лица и голос, используемые для удалённой идентификации при открытии счёта, оформлении кредита или подтверждении личности в ЕБС по ФЗ-572.

Ключевое отличие биометрии от общих ПДн — режим обработки. Ст. 11 ФЗ-152 по общему правилу требует письменного согласия субъекта. Исключения носят закрытый характер: безопасность государства, правосудие, транспортная безопасность. Банковский кредитный скоринг в этот перечень не входит. Это означает: без отдельного письменного согласия на обработку биометрии каждое использование данных в скоринговой модели — потенциальное нарушение.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом. ФЗ-572 — хранение биометрии для целей идентификации и аутентификации осуществляется в государственной информационной системе — Единой биометрической системе (ЕБС). Хранение исходного биометрического шаблона вне ЕБС с 01.06.2023 запрещено.»

Кредитная история по ФЗ-218 не содержит биометрических данных в явном виде. Однако в процессе её формирования или запроса банк или МФО, как правило, проводит биометрическую идентификацию клиента. Именно этот момент — сбор, передача в ЕБС, хранение шаблона — является точкой правового риска. Финансовый директор должен понимать: риск возникает не в самой кредитной истории, а в инфраструктуре, которая её обслуживает.

Как работает ЕБС в финансовом секторе и какова ответственность банка?

Единая биометрическая система по ФЗ-572 создана как централизованное хранилище биометрических шаблонов граждан. Оператор ЕБС — АО «Центр Биометрических Технологий». Банки, МФЦ и ряд других организаций выступают источниками биометрии: они собирают данные клиентов и передают в ЕБС. С 01.06.2023 хранение исходного биометрического шаблона вне ЕБС запрещено — банк обязан либо передать данные в систему, либо уничтожить.

Для кредитного процесса схема работает следующим образом: клиент проходит биометрическую идентификацию через ЕБС, банк получает подтверждение личности и на этом основании выдаёт кредит. Согласие на обработку биометрии в ЕБС должно быть получено отдельно — не в составе кредитного договора. С 01.09.2025 требование об отдельном согласии закреплено ещё жёстче: ФЗ-156 от 24.06.2025 установил, что согласие на обработку ПДн оформляется самостоятельным документом, не объединяется с договором или политикой.

Биометрия уже встроена в процесс выдачи кредита — проверена ли правовая база?

Если финансовый директор видит в P&L строку «биометрическая идентификация» или «интеграция с ЕБС», но нет уверенности в том, что основание обработки оформлено корректно, — риск материализован. Нарушение при обработке биометрии без надлежащего согласия влечёт штраф по ч. 16 ст. 13.11 КоАП, утечка биометрических данных — 15–20 млн ₽ по ч. 17. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что грозит МФО и банку за нарушения при обработке биометрии?

После вступления в силу ФЗ-420 от 30.11.2024 санкции за нарушения при обработке биометрии разделились на несколько составов. Для финансового директора важно понимать финансовые последствия каждого.

Ст. 13.11 КоАП в редакции с 30.05.2025 содержит специальные нормы для биометрических данных. Нарушение порядка обработки биометрии без надлежащего согласия и за пределами требований ст. 11 ФЗ-152 квалифицируется по ч. 16. Утечка биометрических данных — отдельный состав по ч. 17: штраф для юридического лица составляет от 15 до 20 млн ₽. При повторном нарушении применяется оборотный штраф по ч. 18: 1–3% совокупной годовой выручки, не более 500 млн ₽.

«Ч. 17 ст. 13.11 КоАП (ред. с 30.05.2025) — утечка биометрических ПДн: штраф для юридического лица 15 000 000 — 20 000 000 ₽. Ч. 18 (повторное) — оборотный штраф 1–3% годовой выручки, не более 500 000 000 ₽. Ч. 8 ст. 14.8 КоАП — принуждение предоставить биометрию при угрозе отказа в услуге.»

Отдельно стоит ч. 8 ст. 14.8 КоАП, введённая ФЗ-420. Она запрещает отказывать потребителю в обслуживании по причине того, что он не предоставил биометрию в ЕБС. Для банков и МФО, использующих биометрическую идентификацию как обязательное условие выдачи кредита, это прямой регуляторный риск. Клиент вправе пройти идентификацию иным способом.

Нарушения при размещении биометрии в ЕБС (для банков как источников данных) регулируются ст. 13.11.3 КоАП: штраф для юридических лиц — от 500 тыс. до 1 млн ₽.

Как автоматизированный скоринг по биометрии соотносится со ст. 16 ФЗ-152?

Ст. 16 ФЗ-152 регулирует принятие решений на основании исключительно автоматизированной обработки ПДн, если это порождает правовые последствия или существенно затрагивает интересы субъекта. Отказ в кредите на основании автоматизированного скорингового решения — классический пример такого решения.

Закон устанавливает: субъект вправе потребовать пересмотра решения с участием человека. Оператор обязан уведомить субъекта о том, что решение принято автоматически, и обеспечить возможность направить возражение. Применительно к скорингу с биометрической составляющей это требование накладывается на уже существующую обязанность по ст. 11 о письменном согласии на обработку биометрии. Получить оба согласия в одном документе с 01.09.2025 нельзя — они оформляются отдельно.

Практическая проблема для МФО и небольших банков: скоринговые модели, обученные на данных с биометрической составляющей, зачастую не имеют задокументированного правового основания ни по ст. 11, ни по ст. 16. Это двойной риск: штраф за нарушение порядка обработки биометрии плюс жалоба субъекта на отсутствие разъяснения об автоматическом решении.

Что проверить финансовому директору перед проверкой РКН

Наличие отдельного письменного согласия клиента на обработку биометрических ПДн по ст. 11 ФЗ-152 — не в составе кредитного договора.
Режим хранения биометрических шаблонов: исходные данные должны быть переданы в ЕБС или уничтожены (запрет с 01.06.2023 по ФЗ-572).
Документация по скорингу с биометрической составляющей: уведомление субъекта об автоматизированном решении по ст. 16 ФЗ-152.
Проверка внутренних регламентов: нет ли условий, фактически принуждающих клиента предоставить биометрию (риск ч. 8 ст. 14.8 КоАП).
Уведомление в реестре РКН по ст. 22 ФЗ-152 актуализировано под фактические цели обработки биометрии.

Практические сценарии: где возникает нарушение и чем заканчивается

Сценарий 1. МФО использует биометрию для дистанционной идентификации, согласие включено в оферту. Ситуация: МФО встроила пункт о биометрической идентификации в стандартную оферту на займ. С 01.09.2025 (ФЗ-156) такой порядок нарушает требование об отдельном документе согласия. Доказательства для РКН: форма оферты, отсутствие самостоятельного документа согласия. Вероятный исход: протокол по ч. 16 ст. 13.11 КоАП, а при наличии утечки — ч. 17 с штрафом 15–20 млн ₽. Стратегия: переработать формы согласия под требования ФЗ-156, разделить согласие на биометрию и согласие на обработку иных ПДн.

Сценарий 2. Банк хранит биометрические шаблоны в собственной ИС после 01.06.2023. Ситуация: в ходе внеплановой проверки РКН выявлено, что банк не завершил миграцию биометрических шаблонов в ЕБС. Доказательства: журналы ИС, выгрузки базы данных. Вероятный исход: нарушение ФЗ-572 + протокол по ст. 13.11.3 КоАП (500 тыс. — 1 млн ₽). При утечке из этой ИС — дополнительно ч. 17 ст. 13.11 (15–20 млн ₽). Стратегия: провести технический аудит с инвентаризацией баз, немедленно инициировать передачу шаблонов в ЕБС.

Сценарий 3. Крупный банк получил оборотный штраф за повторную утечку биометрии. Ситуация: банк (Центральный ФО, начало 2026 года) ранее уже получал штраф по ч. 17 ст. 13.11 за утечку биометрических данных верификационной системы. При повторном инциденте РКН применил ч. 18: оборотный штраф составил сотни миллионов рублей. Доказательства на стороне РКН — факт повторности подтверждён данными реестра протоколов. Стратегия: для компаний с двукратным нарушением единственный путь снижения — доказательство инвестиций в ИБ более 0,1% выручки за три года (ст. 4.1 КоАП, Примечание 3.4-2) и привлечение юристов для арбитражной защиты до вынесения постановления.

Если финансовый директор видит риск оборотного штрафа за биометрию — у вас есть окно до следующей проверки. DATUM оценит основания обработки, режим хранения и состояние ОРД за биометрические данные, подготовит план устранения нарушений до того, как РКН составит протокол.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Финансовая компания (Приволжский ФО, осень 2025) — МФО с портфелем около 2 000 активных займов. В ходе аудита DATUM выявлено: биометрическая идентификация при выдаче займов оформлена согласием, встроенным в публичную оферту. После 01.09.2025 такой документ не соответствует требованиям ФЗ-156 об отдельном согласии. Дополнительно: биометрические шаблоны хранились на собственном сервере МФО — нарушение запрета ФЗ-572. Юристы DATUM подготовили новые формы согласий, сопроводили передачу шаблонов в ЕБС, актуализировали уведомление в реестре РКН. Протокол по ст. 13.11 не был составлен: добровольное устранение нарушений до проверки зафиксировано в материалах взаимодействия с регулятором.

Кейс 2. Региональный банк (Уральский ФО, лето 2025) получил запрос РКН в рамках мониторинга инцидентов биометрических данных. В системе скоринга обнаружена утечка технических идентификаторов, связанных с биометрическими профилями клиентов. Банк направил первичное уведомление в РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152), через 72 часа — отчёт по Приказу РКН №187. DATUM сопроводил подготовку обоих документов. По итогам рассмотрения РКН выдал предписание об устранении без штрафа — оперативность уведомления учтена как смягчающее обстоятельство.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка оснований обработки биометрии и режима хранения в ЕБС
Комплект ОРД под ключ — согласия на биометрию по требованиям ФЗ-156, регламенты и приказы
Защита при штрафе в арбитраже — обжалование протоколов по ч. 16–18 ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту в кредите, если он не предоставил биометрию?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает обусловливать оказание финансовой услуги предоставлением биометрии в ЕБС. Банк или МФО обязаны предложить альтернативный способ идентификации. Нарушение влечёт штраф; его размер подлежит уточнению по актуальному тексту КоАП перед вынесением постановления. Добровольный отказ клиента от биометрии — его законное право по ФЗ-572.

2. Что грозит МФО за утечку биометрических данных клиентов?

По ч. 17 ст. 13.11 КоАП (в редакции с 30.05.2025) штраф для юридического лица составляет от 15 до 20 млн ₽. Если МФО уже привлекалась к ответственности по ч. 16 или ч. 17 — применяется оборотный штраф по ч. 18: 1–3% совокупной годовой выручки, не более 500 млн ₽. Дополнительно возможна уголовная ответственность по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024) для физических лиц, причастных к утечке.

3. Какое правовое основание обработки биометрии в банке — достаточно ли кредитного договора?

Недостаточно. Ст. 11 ФЗ-152 требует отдельного письменного согласия на обработку биометрических ПДн. Кредитный договор относится к основанию по п. 5 ст. 6 ФЗ-152 (исполнение договора), однако это основание не распространяется на специальные категории данных по ст. 10 и биометрию по ст. 11. С 01.09.2025 согласие, включённое в текст договора, не соответствует требованиям ФЗ-156 об отдельном документе.

4. Где хранится биометрия — в банке или в ЕБС?

По ФЗ-572 с 01.06.2023 хранение исходного биометрического шаблона вне ЕБС запрещено. Банк, как источник биометрических данных, обязан передать шаблон в ЕБС (оператор — АО «Центр Биометрических Технологий») и уничтожить локальную копию. При использовании ЕБС для идентификации клиента в кредитном процессе банк получает лишь подтверждение личности, а не сам биометрический шаблон.

5. Как клиент может оспорить отказ в кредите, принятый на основе автоматизированного скоринга?

По ст. 16 ФЗ-152 субъект вправе потребовать пересмотра решения, принятого на основании исключительно автоматизированной обработки, если оно породило правовые последствия или существенно затронуло его интересы. Оператор обязан рассмотреть обращение и уведомить о результатах. Банк или МФО должны обеспечить возможность такого обращения — и задокументировать порядок в локальном акте. Отсутствие такого порядка фиксируется РКН при проверке.

Итог

Биометрия в кредитном процессе — не просто технологический инструмент, а зона повышенной правовой ответственности. Три режима регулирования (ФЗ-152, ФЗ-572, ФЗ-218) действуют одновременно, и нарушение в любом из них запускает административную или уголовную ответственность с цифрами, сопоставимыми с годовой прибылью среднего банка. С 30.05.2025 санкции кратно выросли — а правоприменительная практика только формируется.

DATUM сопровождает финансовые организации в части соответствия 152-ФЗ: от оформления согласий на биометрию и аудита ОРД до представления интересов в арбитраже при штрафе по ст. 13.11 КоАП. Практика по финансовому сектору — банки, МФО, страховщики, операторы НПС.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП, антиотмывочный контроль и 115-ФЗ.

19 марта 2029 года