аналитика 14 января 2029 По состоянию на 14 января 2029

ЕБС (Единая биометрическая система): ФЗ-572

ЕБС — государственная информационная система, в которой хранятся биометрические слепки граждан для удалённой идентификации. Правовая основа — ФЗ-572 от 29.12.2022.

С 2023 года банки, МФО и иные финансовые организации обязаны использовать ЕБС как единственное место хранения исходной биометрии. Нарушение порядка обработки биометрии — штраф по ч. 16 ст. 13.11 КоАП. Утечка — 15–20 млн ₽ по ч. 17. Отказ обслуживать клиента без биометрии — ч. 8 ст. 14.8 КоАП.

→ Если вы финансовый директор финтех-компании или банка и оцениваете бюджет рисков по ФЗ-572 — этот материал даст вам системную картину норм и сумм.

ФЗ-572 «О государственной информационной системе «Единая биометрическая система» вступил в силу в конце 2022 года и перекроил архитектуру биометрической идентификации в финансовом секторе. Банки получили обязанность размещать биометрию клиентов только в ГИС ЕБС. МФО — ограничения на самостоятельный сбор. Граждане — право отказаться от сдачи биометрии без ущерба для получения услуг. Для финансового директора это прежде всего вопрос трёх цифр: стоимость соответствия требованиям, размер штрафа при нарушении и стоимость утечки. Ниже — нормы, суммы и практика 2025–2026 годов.

Что такое ЕБС и кто является её оператором по ФЗ-572?

ГИС ЕБС — федеральная информационная система, аккумулирующая биометрические образцы граждан РФ: изображение лица и запись голоса. Оператором назначено АО «Центр Биометрических Технологий» (ЦБТ). Создание ЕБС началось в 2018 году при участии Банка России и Ростелекома; ФЗ-572 закрепил её итоговую правовую конструкцию.

По смыслу ФЗ-572 биометрические ПДн для целей удалённой идентификации хранятся исключительно в ЕБС. Организации, которые собрали собственные биометрические базы до вступления закона в силу, обязаны были передать их в ЕБС или уничтожить — хранение исходной биометрии вне системы с 01.06.2023 не допускается.

Параллельно действует ст. 11 ФЗ-152: биометрические ПДн — особая категория, обработка которой по общему правилу допустима только с письменного согласия субъекта. ФЗ-572 создаёт специальный режим для ЕБС, но не отменяет общие нормы 152-ФЗ для иных случаев биометрической обработки.

«Ст. 11 ФЗ-152 — биометрические ПДн: изображение лица, голос, ДНК, отпечатки пальцев, радужная оболочка. Обработка без письменного согласия запрещена, если иное прямо не предусмотрено законом.»

Ваша финтех-компания работает с биометрией или планирует подключение к ЕБС?

Цена аудита соответствия ФЗ-572 и ст. 11 ФЗ-152 — от 100 000 ₽. Цена нарушения при утечке биометрии — от 15 000 000 ₽ по ч. 17 ст. 13.11 КоАП. Разница в 150 раз делает аудит одним из самых окупаемых вложений в бюджете ИБ. Юристы DATUM проверят порядок сбора, передачи в ЕБС, удаления исходных образцов и оформление согласий по ФЗ-572 и ФЗ-152.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как финансовые организации обязаны взаимодействовать с ЕБС?

ФЗ-572 разграничивает участников системы: банки с универсальной лицензией обязаны регистрироваться в ЕБС и предоставлять клиентам возможность сдать биометрию. МФО, страховщики и иные финансовые организации вправе использовать ЕБС для идентификации, но не обязаны собирать биометрию самостоятельно.

Ключевое для финансового директора: самостоятельное хранение биометрических образцов вне ЕБС несёт двойной риск. Первый — административный по ч. 16 ст. 13.11 КоАП за нарушение требований ст. 11 ФЗ-152. Второй — при утечке такой базы применяется ч. 17 ст. 13.11 с диапазоном 15–20 млн ₽ за сам факт утечки биометрии.

Отдельно — ч. 8 ст. 14.8 КоАП, введённая ФЗ-420: организации запрещено отказывать клиенту в обслуживании на основании отсутствия его биометрии в ЕБС. Это прямая норма о праве гражданина отказаться от участия в системе. Нарушение — штраф для юрлица до 500 тыс. ₽.

«Ч. 8 ст. 14.8 КоАП (ФЗ-420 от 30.11.2024) — запрет обусловливать предоставление финансовой услуги наличием биометрии клиента в ЕБС. Штраф для юрлица — до 500 тыс. ₽.»

Как ЕБС соотносится с ФЗ-218 о кредитных историях и скорингом по ст. 16 ФЗ-152?

Финансовый директор финтех-компании, как правило, работает одновременно с тремя нормативными пластами: ФЗ-572 (биометрия и ЕБС), ФЗ-218 (кредитные истории и БКИ) и ФЗ-152 с его специальным режимом автоматизированных решений по ст. 16.

По ФЗ-218 бюро кредитных историй являются операторами ПДн. Банк или МФО, запрашивая кредитную историю, обязан получить отдельное согласие субъекта на передачу данных в БКИ — это самостоятельное основание по ст. 6 ФЗ-152, отдельное от согласия на обработку ПДн в кредитном договоре. Срок хранения кредитной истории — 7 лет с последней записи.

Скоринг на основе ПДн попадает под ст. 16 ФЗ-152, если решение принимается исключительно автоматически и влечёт правовые последствия для субъекта (отказ в кредите, установление лимита). В таком случае субъект вправе потребовать человеческого пересмотра. Отсутствие механизма оспаривания автоматизированного решения — основание для протокола по ч. 1 ст. 13.11 КоАП. Биометрическая идентификация через ЕБС в скоринговых моделях добавляет требования ФЗ-572 к уже имеющимся обязанностям по ст. 16 ФЗ-152.

«Ст. 16 ФЗ-152 — автоматизированные решения, значимо затрагивающие интересы субъекта: оператор обязан предоставить возможность оспаривания такого решения с участием человека.»

Что подготовить финтех-компании для соответствия ФЗ-572 и ФЗ-152

Инвентаризация биометрических данных: какие образцы хранятся, где и в каком формате — с целью выявления хранения вне ЕБС.
Письменные согласия на обработку биометрии по ст. 11 ФЗ-152 — отдельным документом, с обязательными реквизитами по ст. 9 ФЗ-152 (в ред. ФЗ-156, с 01.09.2025).
Договор с ЦБТ (оператором ЕБС) на передачу биометрии и регламент взаимодействия с фиксацией сроков удаления исходных образцов.
Политика обработки ПДн с разделами по биометрии, БКИ и автоматизированным решениям по ст. 16 ФЗ-152.
Внутренний регламент оспаривания скоринговых решений — с указанием ответственного сотрудника и срока рассмотрения.

Какие штрафы грозят финансовой организации за нарушения по ФЗ-572 и ст. 13.11 КоАП?

Для финансового директора финтех-компании расчёт рисков начинается с конкретных диапазонов. В редакции ФЗ-420, действующей с 30.05.2025, ст. 13.11 КоАП содержит 18 частей. Нарушения, связанные с биометрией и ЕБС, охватываются несколькими из них.

Нарушение требований ст. 11 ФЗ-152 к обработке биометрии (сбор без письменного согласия, хранение вне ЕБС там, где ЕБС обязательна, отсутствие реквизитов согласия) — ч. 16 ст. 13.11. Точный диапазон штрафа для юрлица следует верифицировать по актуальной редакции КоАП перед принятием финансовых решений. Утечка биометрических ПДн — ч. 17 ст. 13.11, 15–20 млн ₽ для юрлица. Повторное нарушение по ч. 16 или ч. 17 — ч. 18 ст. 13.11, оборотный штраф: 1–3% годовой выручки, потолок 500 млн ₽.

Отдельный состав — нарушение требований по размещению биометрии именно в ЕБС (банками, МФЦ и уполномоченными организациями). Это ст. 13.11.3 КоАП: для юрлиц 500 тыс. — 1 млн ₽. Важно: ст. 13.11.3 — самостоятельная статья, не входящая в нумерацию ч. 1–18 ст. 13.11.

«Ч. 17 ст. 13.11 КоАП (ред. с 30.05.2025) — утечка биометрических ПДн: штраф для юрлица 15 000 000 — 20 000 000 ₽. Ч. 18 — повторное нарушение: оборотный штраф 1–3% выручки, не менее установленного законом минимума, не более 500 000 000 ₽.»

Если финансовый директор видит в балансе рисков строку «биометрия и ЕБС» — время оценить её точнее. Юристы DATUM проведут аудит соответствия ФЗ-572 и помогут выстроить защиту от ч. 17–18 ст. 13.11 КоАП до того, как РКН придёт с проверкой.

Заказать аудит 152-ФЗ

Как это применяется на практике: типовые сценарии финансовых организаций

Три сценария иллюстрируют, как нормы ФЗ-572 и ст. 13.11 КоАП соединяются в реальных ситуациях финтех-сектора.

Сценарий 1. МФО с собственной биометрической базой. Небольшая МФО до 2023 года собирала фотографии заёмщиков для верификации личности и хранила их на корпоративном сервере. После вступления ФЗ-572 в силу база не была передана в ЕБС и не уничтожена. При внеплановой проверке РКН фиксирует хранение биометрии вне ЕБС — основание для ч. 16 ст. 13.11 КоАП. Параллельно выясняется, что согласия на обработку биометрии не оформлялись как отдельный документ — дополнительный состав по ч. 2 ст. 13.11 (300–700 тыс. ₽). Суммарный риск при первичном нарушении — сотни тысяч рублей; при утечке этой базы — 15–20 млн ₽ по ч. 17.

Сценарий 2. Банк отказывает клиенту без биометрии. Банк внедрил ЕБС-идентификацию для дистанционного открытия счёта и де-факто перестал принимать заявления в офисе без биометрического слепка. Клиент подаёт жалобу в ЦБ РФ. Регулятор передаёт материалы в РКН. Состав — ч. 8 ст. 14.8 КоАП (до 500 тыс. ₽). Репутационный риск и надзорное внимание ЦБ — самостоятельная угроза, не считая административного штрафа.

Сценарий 3. Скоринговая система без механизма оспаривания. Финтех-платформа (нео-банк) автоматически отказывает в кредите на основе скоринга, интегрирующего данные БКИ. Уведомление субъекту об отказе не содержит разъяснения о праве на пересмотр по ст. 16 ФЗ-152. По жалобе клиента РКН возбуждает дело по ч. 1 ст. 13.11 (150–300 тыс. ₽). Дополнительно — риск гражданского иска о защите прав потребителей и взыскании убытков.

Как оспорить отказ в кредите и что это значит для оператора?

Право субъекта оспорить автоматизированное решение закреплено в ст. 16 ФЗ-152. Для финансовой организации это прямая обязанность: предусмотреть механизм, который позволяет человеку (а не алгоритму) пересмотреть решение по запросу клиента.

На практике достаточно трёх элементов: информирование клиента об автоматизированном характере решения в момент отказа; обозначение контакта или процедуры для подачи запроса на пересмотр; фиксация результата пересмотра с участием сотрудника. Отсутствие хотя бы одного из них при проверке РКН — основание для протокола.

Срок ответа субъекту по ст. 20 ФЗ-152 на запрос об обработке его ПДн — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Просрочка — ч. 4 ст. 13.11 КоАП (40–80 тыс. ₽). Для крупного банка с десятками тысяч ежемесячных обращений — это системный операционный риск, если процесс не автоматизирован.

Кейс 1. Финтех-компания Приволжского ФО (осень 2025) хранила биометрические образцы заёмщиков в корпоративной облачной системе после 01.06.2023. При камеральной проверке РКН установил факт хранения вне ЕБС и отсутствие письменных согласий. Возбуждено дело по ч. 16 ст. 13.11 КоАП; компания урегулировала ситуацию на этапе административного расследования, передав данные в ЕБС и оформив ОРД, — штраф вынесен в нижней части диапазона. Без корректирующих мер до проверки цена вопроса была бы кратно выше при любом инциденте с базой.

Кейс 2. МФО Уральского ФО (начало 2026) получила от РКН предписание об устранении нарушений по ст. 13.11.3 КоАП — нарушение порядка передачи биометрии в ЕБС при регистрации клиентов. Штраф в диапазоне 500 тыс. — 1 млн ₽. МФО обжаловала постановление в арбитражном суде региона, представив доказательства технического сбоя на стороне интеграционного шлюза ЦБТ. Суд снизил штраф до нижней границы с учётом смягчающих обстоятельств по ст. 4.1 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка порядка обработки биометрии, БКИ и скоринга от 100 000 ₽.
Комплект ОРД под ключ — согласия, политика, регламент ЕБС и ст. 16 ФЗ-152.
Защита при штрафе в арбитраже — обжалование по ч. 16–18 ст. 13.11 и ст. 13.11.3 КоАП.

Частые вопросы

1. Можно ли отказать клиенту в кредите, если он не сдал биометрию в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает обусловливать предоставление финансовой услуги наличием биометрии клиента в ЕБС. Банк, МФО или иная финансовая организация обязана предоставить услугу без биометрии, если клиент отказывается от её сдачи. Штраф за нарушение — до 500 тыс. ₽ для юрлица. Отказ от биометрии — законное право субъекта, закреплённое в ФЗ-572.

2. Что грозит МФО за утечку клиентских данных, включая биометрию?

Если утекли биометрические ПДн — ч. 17 ст. 13.11 КоАП: штраф 15–20 млн ₽ для юрлица. Если это повторная утечка биометрии — ч. 18 ст. 13.11: оборотный штраф 1–3% годовой выручки, потолок 500 млн ₽. Дополнительно — ч. 11 ст. 13.11 за несвоевременное уведомление РКН об инциденте (1–3 млн ₽). Срок уведомления — 24 часа с момента обнаружения утечки (ч. 3.1 ст. 21 ФЗ-152).

3. Какое правовое основание обработки ПДн в банке при идентификации через ЕБС?

Для биометрии — письменное согласие по ст. 11 ФЗ-152 в форме отдельного документа. После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн в принципе должно быть отдельным документом и не объединяться с договором. Для общих ПДн в рамках кредитного договора — ст. 6 ч. 5 ФЗ-152 (исполнение договора с субъектом). Запрос кредитной истории в БКИ — отдельное согласие по ФЗ-218.

4. Где физически хранится биометрия после сдачи в банке?

Исходные биометрические образцы хранятся в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». Банк с 01.06.2023 не вправе хранить исходные образцы на собственных серверах — только передать в ЕБС и уничтожить локальную копию. Нарушение этого порядка — состав по ч. 16 ст. 13.11 КоАП и ст. 13.11.3 КоАП (если речь о нарушении порядка передачи в ЕБС).

5. Как оспорить автоматический отказ в кредите по ст. 16 ФЗ-152?

Субъект вправе обратиться к оператору с требованием пересмотра решения с участием человека — такое право закреплено в ст. 16 ФЗ-152. Оператор обязан рассмотреть обращение и дать ответ в срок, установленный ст. 20 ФЗ-152 (10 рабочих дней с возможностью продления до +5 рабочих дней). Отсутствие ответа или отказ предоставить процедуру пересмотра — основание для жалобы в РКН и возбуждения дела по ч. 1 ст. 13.11 КоАП.

Итог

ФЗ-572 создал обязательную инфраструктуру для биометрической идентификации в финансовом секторе: единственное место хранения исходных образцов — ЕБС, единственный оператор — ЦБТ, запрет на принуждение клиентов к сдаче биометрии. Нарушения этой архитектуры наказываются по самым дорогостоящим составам ст. 13.11 КоАП — ч. 17 (15–20 млн ₽) и ч. 18 (оборотный штраф до 500 млн ₽). Для финансового директора это означает одно: риск биометрического несоответствия должен быть посчитан и закрыт до первой проверки.

Юристы DATUM сопровождают финтех-компании, банки и МФО в вопросах соответствия ФЗ-572, ФЗ-152, ФЗ-218 и ст. 13.11 КоАП — от аудита обработки биометрии до защиты в арбитражном суде при оспаривании штрафов.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП, антиотмывочный контроль и 115-ФЗ.

14 января 2029 года