Перейти к содержанию
аналитика 11 февраля 2026 По состоянию на 11 февраля 2026

Идентификация клиента по 115-ФЗ

Идентификация клиента по 115-ФЗ — обязанность финансовых организаций установить личность клиента до совершения операции. Она пересекается с обработкой персональных данных по 152-ФЗ, биометрией в ЕБС (572-ФЗ) и кредитными историями по 218-ФЗ.
С 30.05.2025 за утечку клиентских данных МФО или банка штраф по ч. 12–14 ст. 13.11 КоАП составляет от 3 до 15 млн руб., а при повторности — оборотный штраф до 500 млн руб. Регулятор связывает нарушения 115-ФЗ и 152-ФЗ в одном протоколе.
Если вы финансовый директор и видите, что расходы на идентификацию растут, а риски штрафов не снижаются — читайте дальше: здесь нормы, сроки и экономика вопроса.

Финтех-компании и банки ежегодно увеличивают бюджет на KYC-процедуры, но редко учитывают, что идентификация по 115-ФЗ автоматически включает обработку персональных данных по 152-ФЗ. В 2024 году РКН зафиксировал более 710 млн скомпрометированных записей — значительная часть из финансового сектора. С вступлением в силу ФЗ-420 с 30.05.2025 штрафная арифметика изменилась радикально. В этом материале — правовые основания, обязательные процедуры, связка 115-ФЗ с 152-ФЗ и 572-ФЗ, а также сценарии рисков для финансового директора.

Что такое идентификация клиента по 115-ФЗ и зачем она связана с 152-ФЗ?

Федеральный закон №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма» обязывает банки, МФО, ломбарды, платёжных агентов и иных субъектов финансового мониторинга устанавливать личность клиента — физического лица, представителя, бенефициарного владельца — до открытия счёта или проведения операции свыше установленного порога. Перечень сведений, которые нужно получить и проверить: фамилия, имя, отчество, дата рождения, реквизиты документа, удостоверяющего личность, ИНН (при наличии), адрес регистрации.

Все эти сведения — персональные данные по ст. 3 ФЗ-152. Их сбор, хранение, передача в уполномоченный орган (Росфинмониторинг) и в бюро кредитных историй (218-ФЗ) — это обработка ПДн. Значит, финансовая организация выступает оператором по 152-ФЗ и обязана соблюдать требования: правовое основание для обработки, политику, согласие в надлежащей форме (или иное основание по ст. 6 ФЗ-152), меры защиты по ст. 19 ФЗ-152 и уровни защищённости по ПП РФ №1119.

«Ст. 6 ФЗ-152 допускает обработку ПДн без согласия субъекта, если она необходима для исполнения обязанности, предусмотренной федеральным законом (п. 2 ч. 1). Обработка в целях 115-ФЗ подпадает под это основание. Вместе с тем согласие потребуется для иных целей — скоринг, маркетинг, передача в ЕБС.»

Таким образом, финансовый директор должен разграничивать два потока: обработку ПДн в рамках антиотмывочного комплаенса (основание — закон) и обработку в иных целях (основание — согласие или договор). Смешение потоков — типовое нарушение при проверке РКН.

Вы финансовый директор и не уверены, на каком основании банк или МФО обрабатывают ПДн клиентов?

Аудит по 152-ФЗ выявляет разрывы между целями в уведомлении РКН и реальной обработкой. По данным DATUM, в 80% проверяемых финансовых организаций основания обработки ПДн не соответствуют фактическим процессам. Стоимость устранения — в разы ниже штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. руб. за нарушение целей) или утечки — от 3 млн руб. по ч. 12 ст. 13.11.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как 572-ФЗ и ЕБС изменили порядок идентификации в банках?

С 01.06.2023 банки, МФО и иные организации финансового рынка не вправе хранить биометрические персональные данные клиентов в собственных системах, если те используются для удалённой идентификации. Такие данные размещаются исключительно в Единой биометрической системе (ГИС ЕБС), оператором которой является АО «Центр Биометрических Технологий» (ФЗ-572 от 29.12.2022).

Передача биометрии в ЕБС — это трансграничная передача внутри государственной инфраструктуры, но также и отдельная обработка биометрических ПДн, на которую требуется письменное согласие по ст. 11 ФЗ-152. Важный практический момент: клиент вправе отказаться от сдачи биометрии в ЕБС. Обслуживать его без биометрии обязаны — это прямо следует из ч. 8 ст. 14.8 КоАП. Организации, которые отказывают в услуге без биометрической идентификации через ЕБС, получают штраф до 500 тыс. руб. за каждый факт отказа.

«Ст. 11 ФЗ-152: биометрические ПДн — физиологические и биологические особенности, позволяющие установить личность. Обработка допускается только с письменного согласия субъекта, кроме случаев, прямо предусмотренных законом. ФЗ-572 не отменяет требование согласия — он определяет место хранения.»

Для финансового директора это означает следующее. Бюджет на биометрическую идентификацию — это не только расходы на интеграцию с ЕБС, но и расходы на соблюдение 152-ФЗ: отдельные согласия, политика, регламент хранения, назначение ответственного по ст. 22.1 ФЗ-152. Отсутствие хотя бы одного элемента — самостоятельный состав правонарушения по ч. 3 ст. 13.11 КоАП (отсутствие политики — 30–60 тыс. руб.) или по ч. 2 ст. 13.11 (обработка без надлежащего согласия — 300–700 тыс. руб.).

Что означает скоринг по ст. 16 152-ФЗ и как он влияет на решения по кредитам?

Статья 16 ФЗ-152 регулирует принятие решений, основанных исключительно на автоматизированной обработке персональных данных. Кредитный скоринг — классический пример. Если решение об отказе в кредите или о процентной ставке принимается алгоритмом без участия человека, субъект ПДн вправе потребовать пересмотра в порядке, установленном оператором, и оспорить результат.

Банк или МФО при скоринге обязаны: уведомить клиента о факте автоматизированного принятия решения; предусмотреть процедуру обжалования; включить описание в политику обработки ПДн. На практике ни один из трёх элементов не выполняется системно. Это не только правовой риск по 152-ФЗ, но и репутационный — клиент может обратиться в РКН с жалобой на нарушение ст. 16, что инициирует проверку всей цепочки обработки данных организации.

Дополнительно: кредитная история по ФЗ-218 хранится 7 лет. Запрос в бюро кредитных историй (БКИ) — отдельное основание для обработки ПДн. Согласие на запрос в БКИ должно содержать все реквизиты по ст. 9 ФЗ-152 и с 01.09.2025 — быть отдельным документом в силу ФЗ-156 от 24.06.2025. Согласие, включённое в текст договора или заявки, после этой даты не соответствует требованиям закона.

Что подготовить финансовой организации для соответствия 115-ФЗ и 152-ФЗ

  • Разграничить правовые основания обработки ПДн: обязанность по закону (115-ФЗ, 218-ФЗ) — отдельно, согласие (скоринг, маркетинг, ЕБС) — отдельно.
  • Оформить отдельные согласия на обработку ПДн для целей ЕБС и скоринга — в соответствии с требованиями ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
  • Проверить политику обработки ПДн на наличие раздела об автоматизированных решениях по ст. 16 ФЗ-152 и процедуры обжалования.
  • Убедиться, что уведомление в реестре РКН отражает все фактические цели обработки, включая передачу в Росфинмониторинг, БКИ, ЕБС.
  • Назначить ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и утвердить регламент реагирования на утечку (24/72 часа по ч. 3.1 ст. 21 ФЗ-152).

Какие штрафы грозят банку или МФО по ст. 13.11 КоАП с 30.05.2025?

С вступлением в силу ФЗ-420 от 30.11.2024 (с 30.05.2025) санкции за нарушения при обработке ПДн кардинально возросли. Применительно к финансовому сектору актуальны следующие составы.

За обработку ПДн без надлежащего согласия или с нарушением требований к его составу — ч. 2 ст. 13.11 КоАП: от 300 до 700 тыс. руб. для юридического лица. Повторное нарушение по ч. 2.1 — от 1 до 1,5 млн руб. За утечку данных от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11: от 3 до 5 млн руб. За утечку от 10 000 до 100 000 субъектов — ч. 13: от 5 до 10 млн руб. За утечку свыше 100 000 субъектов — ч. 14: от 10 до 15 млн руб.

«Ст. 13.11 ч. 15 КоАП (ред. с 30.05.2025): повторная утечка — оборотный штраф 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн руб. и не более 500 млн руб. Скидка 50% за добровольную уплату (ст. 32.2 КоАП) к оборотным составам не применяется.»

Неуведомление РКН об инциденте в установленные сроки (24 часа — первичное, 72 часа — отчёт по Приказу РКН №187) влечёт самостоятельный штраф по ч. 11 ст. 13.11 — от 1 до 3 млн руб. Нарушение требований по локализации (хранение ПДн россиян за рубежом) — ч. 8 ст. 13.11: от 1 до 6 млн руб. Для финансового директора это означает, что один инцидент способен сгенерировать одновременно несколько составов: штраф за саму утечку плюс штраф за просрочку уведомления плюс штраф за нарушение локализации.

Если в организации произошёл инцидент с данными клиентов, а 24 часа на первичное уведомление РКН истекают — срок не восстанавливается. Юристы DATUM помогут собрать пакет документов, подготовить уведомление и минимизировать санкции по ч. 11 ст. 13.11 КоАП (до 3 млн руб.).

Заказать аудит 152-ФЗ

Как выглядит практика — типовые ситуации для финансового директора

Ситуация 1. МФО без отдельных согласий на скоринг. Небольшая МФО (Приволжский ФО, осень 2025) при проверке РКН обнаружила, что согласие на обработку ПДн для целей кредитного скоринга включено в единый документ с договором займа. После ФЗ-156 (с 01.09.2025) это нарушение требований к форме согласия по ч. 2 ст. 13.11 КоАП. Регулятор составил протокол. Штраф для юридического лица — в диапазоне 300–700 тыс. руб. Стратегия защиты — доказать, что договоры заключены до 01.09.2025 (обратной силы нет) и немедленно ввести отдельные формы для новых клиентов. При отсутствии доказательств и первичности нарушения — ходатайство о замене по ст. 4.1.1 КоАП (если организация соответствует критериям МСП).

Ситуация 2. Банк и утечка клиентской базы через подрядчика. Региональный банк (Центральный ФО, начало 2026) передал базу клиентских данных на обработку маркетинговому агентству без надлежащего поручения по п. 3 ст. 6 ФЗ-152. Агентство допустило утечку — данные свыше 15 000 субъектов оказались в открытом доступе. РКН возбудил дело по ч. 13 ст. 13.11 КоАП (5–10 млн руб.). Банк как оператор несёт полную ответственность за действия подрядчика — это устойчивая позиция регулятора и судебная практика. Доказательство отсутствия вины возможно только при наличии подписанного договора поручения с обязательными реквизитами по ч. 3 ст. 6 ФЗ-152 и аудитом подрядчика на соответствие требованиям 152-ФЗ.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии в банке?

Нет. Обслуживание клиента без предоставления биометрии в ЕБС — право клиента, закреплённое в законодательстве. Отказ в обслуживании по причине отсутствия биометрии нарушает ч. 8 ст. 14.8 КоАП. Штраф для юридического лица — до 500 тыс. руб. Банк обязан идентифицировать клиента альтернативными способами (паспорт, документы удостоверяющие личность). Навязывать биометрическую идентификацию через ЕБС как единственный способ запрещено.

2. Что грозит МФО за утечку клиентских данных?

Санкции зависят от числа затронутых субъектов. За утечку от 1 000 до 10 000 человек — ч. 12 ст. 13.11 КоАП: 3–5 млн руб. От 10 000 до 100 000 — ч. 13: 5–10 млн руб. Свыше 100 000 — ч. 14: 10–15 млн руб. Дополнительно — штраф по ч. 11 ст. 13.11 за просрочку уведомления РКН (до 3 млн руб.). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн руб. Все нормы действуют с 30.05.2025 в редакции ФЗ-420.

3. Какое правовое основание для обработки ПДн в банке?

Оснований несколько, и их важно разграничивать. Обработка для целей 115-ФЗ (идентификация, передача в Росфинмониторинг) — п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности по федеральному закону). Обработка в рамках договора банковского счёта — п. 5 ч. 1 ст. 6 ФЗ-152. Скоринг, маркетинг, передача в ЕБС — согласие субъекта по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156). Смешение оснований в уведомлении РКН — самостоятельное нарушение при проверке.

4. Где хранится биометрия клиента — в банке или в ЕБС?

С 01.06.2023 биометрические ПДн, используемые для удалённой идентификации, хранятся исключительно в ГИС ЕБС (оператор — АО «Центр Биометрических Технологий», ФЗ-572 от 29.12.2022). Банки и МФО не вправе хранить исходную биометрию в собственных системах. За нарушение этого требования предусмотрена отдельная ответственность по ст. 13.11.3 КоАП — для юридических лиц штраф составляет 500 тыс. — 1 млн руб.

5. Как клиент может оспорить отказ в кредите, принятый алгоритмом?

Статья 16 ФЗ-152 даёт субъекту ПДн право требовать пересмотра решения, принятого исключительно на основе автоматизированной обработки. Для этого нужно обратиться к оператору (банку или МФО) с письменным требованием о пересмотре в рамках порядка, который оператор обязан установить и включить в политику обработки ПДн. При отсутствии такого порядка или отказе пересматривать — субъект вправе подать жалобу в РКН, что инициирует внеплановую проверку.

Итог

Идентификация клиента по 115-ФЗ — это не автономная процедура, а точка пересечения как минимум четырёх правовых режимов: антиотмывочного законодательства, 152-ФЗ, 572-ФЗ (ЕБС) и 218-ФЗ (БКИ). Для финансового директора ключевая задача — разграничить основания обработки ПДн, обеспечить соответствие согласий требованиям ФЗ-156 с 01.09.2025 и выстроить систему реагирования на инциденты за 24/72 часа.

Практика DATUM в финансовом секторе включает аудиты МФО, банков и платёжных агентов, подготовку к проверкам РКН, оспаривание протоколов по ст. 13.11 КоАП и разработку ОРД с учётом требований 115-ФЗ и 152-ФЗ в их взаимосвязи.

Смотрите также

Нужна проверка соответствия 115-ФЗ и 152-ФЗ для финансовой организации?

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Аудит соответствия включает проверку 38 позиций: основания обработки ПДн, согласия, уведомление РКН, регламент реагирования на инциденты, интеграция с ЕБС. На выходе — отчёт с приоритизированным планом устранения нарушений. Консультация по вашей ситуации — за 2 часа.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.