Перейти к содержанию
аналитика 4 февраля 2027 По состоянию на 4 февраля 2027

Кейс АльфаСтрахование 2025

АльфаСтрахование столкнулась с утечками клиентских данных в 2023 и 2025 годах — оба инцидента стали публичными и повлекли административное производство.
Для страховщика с объёмом портфеля свыше нескольких миллионов договоров повторная утечка квалифицируется по ч. 15 ст. 13.11 КоАП: оборотный штраф от 1 до 3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ — в редакции ФЗ-420, действующей с 30.05.2025.
→ Если вы финансовый директор страховой компании или банка и ещё не рассчитали стоимость риска утечки по новым нормам — это статья для вас.

Страховой рынок работает с тремя категориями данных одновременно: общие сведения о страхователе, специальные категории (здоровье при страховании жизни и ДМС) и потенциально биометрические (при онлайн-верификации через ЕБС). После вступления в силу ФЗ-420 от 30.11.2024 цена ошибки в обработке этих данных выросла кратно. Ниже — разбор инцидентов с АльфаСтрахованием, применимые нормы и выводы для финансового директора, который считает бюджет на комплаенс и ИБ.

Что произошло с АльфаСтрахованием в 2023 и 2025 годах?

По данным открытых источников, в 2023 году в публичный доступ попала база с данными клиентов АльфаСтрахования — контактные данные, сведения о договорах. В 2025 году зафиксирован повторный инцидент с данными клиентов и партнёрских каналов. Оба случая отражены в отраслевых отчётах по утечкам (Хабр, Versia).

С точки зрения административного производства принципиально важен факт повторности. До 30.05.2025 максимальный штраф по ч. 1 ст. 13.11 КоАП составлял 60 000–100 000 ₽ (старая редакция). После вступления ФЗ-420 в силу та же ситуация при повторном нарушении квалифицируется по ч. 15: оборотный штраф. Разница — в сотни раз.

«Ст. 13.11 ч. 15 КоАП (ред. с 30.05.2025) — оборотный штраф за повторную утечку: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽. Применяется к лицу, ранее привлекавшемуся по ч. 12–14, 15–18 ст. 13.11.»

Для крупного страховщика с годовой выручкой, исчисляемой десятками миллиардов рублей, оборотный штраф в 1% — это сумма, сопоставимая с годовым ИТ-бюджетом среднего регионального игрока.

Уже считаете, во сколько обойдётся следующая утечка?

Финансовому директору страховой компании важно понимать: стоимость аудита соответствия 152-ФЗ начинается от 100 000 ₽. Стоимость оборотного штрафа по ч. 15 ст. 13.11 КоАП — от 20 млн ₽ при минимальной выручке. Это арифметика бюджета, а не юридическая абстракция. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие нормы регулируют обработку данных в страховании и смежном финтехе?

Страховщик в правовом смысле — оператор персональных данных с многоуровневыми обязательствами. Данные обрабатываются на нескольких основаниях: исполнение договора страхования (п. 5 ч. 1 ст. 6 ФЗ-152), согласие субъекта (п. 1 ч. 1 ст. 6), а для специальных категорий (состояние здоровья при ДМС) — специальное согласие по ст. 10 ФЗ-152.

Отдельный пласт — взаимодействие с бюро кредитных историй. Страховщики, использующие скоринг на основе данных БКИ, попадают под ФЗ-218 «О кредитных историях»: запрос в БКИ требует отдельного согласия субъекта, а автоматизированное решение по результатам скоринга регулируется ст. 16 ФЗ-152 — субъект вправе потребовать пересмотра с участием человека.

«Ст. 16 ФЗ-152 — запрет принятия решений, порождающих юридические последствия для субъекта, исключительно на основе автоматизированной обработки ПДн, без права субъекта на возражение и пересмотр. Исключения — прямо указаны в законе.»

Биометрическая верификация при онлайн-заключении договора страхования затрагивает ФЗ-572 о единой биометрической системе. Страховщик, подключивший ЕБС для идентификации клиентов, обязан соблюдать требования к размещению биометрии исключительно в ГИС ЕБС — хранение исходных биометрических данных вне системы запрещено с 01.06.2023. Нарушение — ст. 13.11.3 КоАП для операторов ЕБС и ст. 13.11 ч. 16–17 для иных случаев обработки биометрии.

Антиотмывочное законодательство добавляет ещё один слой: идентификация клиентов по 115-ФЗ формирует отдельную базу ПДн, на которую распространяются требования локализации по ч. 5 ст. 18 ФЗ-152. Передача этих данных иностранному перестраховщику без надлежащего уведомления РКН по ст. 12 ФЗ-152 — нарушение, влекущее штраф по ч. 8 ст. 13.11 КоАП: от 1 до 6 млн ₽.

Как рассчитать реальную стоимость риска утечки для финансового директора?

Бюджетная модель риска утечки для финансового сектора складывается из нескольких компонентов. Административный — это прямые штрафы по ст. 13.11 КоАП. При первой утечке от 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн ₽. При первой утечке более 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. При повторной — ч. 15, оборотный штраф.

К административному добавляется операционный: расходы на реагирование за 24/72 часа по ст. 21 ч. 3.1 ФЗ-152 и Приказу РКН №187. Неуведомление РКН в 24-часовой срок — отдельный штраф по ч. 11 ст. 13.11: 1–3 млн ₽. Итого при крупной утечке без выстроенного процесса реагирования — минимум 11–18 млн ₽ прямых штрафов при первом инциденте.

«Ст. 13.11 ч. 11 КоАП (ред. с 30.05.2025) — неуведомление или несвоевременное уведомление РКН об инциденте: штраф для юрлица 1–3 млн ₽. Срок первичного уведомления — 24 часа с момента обнаружения по ч. 3.1 ст. 21 ФЗ-152.»

Репутационный компонент в страховании особенно значим: утечка данных пациентов по ДМС-полисам — это специальные категории по ст. 10 ФЗ-152. Каждый затронутый субъект вправе требовать компенсацию морального вреда в судебном порядке. При 100 000 субъектов даже небольшая средняя выплата создаёт существенный резерв.

Что финансовому директору проверить прямо сейчас

  • Актуальность уведомления в реестре РКН: соответствуют ли заявленные категории ПДн и цели реальным операциям, включая скоринг и ЕБС
  • Наличие отдельных согласий по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025) — особенно для ДМС-договоров с передачей данных в медицинские организации
  • Процесс реагирования на инцидент: есть ли регламент с назначением ответственного за уведомление РКН в 24-часовой срок
  • Договоры с подрядчиками (агенты, партнёрские каналы, ИТ-вендоры): оформлено ли поручение обработки ПДн по п. 3 ст. 6 ФЗ-152 с обязательствами по безопасности
  • Расчёт оборотного штрафа по ч. 15 ст. 13.11: введите фактическую выручку и проверьте, покрывает ли страховка D&O или киберстраховка этот риск

Типовые сценарии для страховой компании и МФО

Сценарий 1. Утечка через партнёрский канал продаж. Страховщик передаёт базу потенциальных клиентов брокеру без надлежащего договора поручения обработки ПДн по п. 3 ст. 6 ФЗ-152. Брокер допускает утечку. По позиции надзора, ответственность несёт оператор — страховщик. При числе субъектов свыше 100 000 — штраф по ч. 14 ст. 13.11 (10–15 млн ₽) плюс штраф по ч. 11 (1–3 млн ₽) за нарушение 24-часового срока. Стратегия: предварительно оформить договор поручения, провести аудит подрядчика, включить в договор право на проверку и требование уведомления об инцидентах.

Сценарий 2. МФО использует скоринг на основе ПДн из открытых источников без согласия. Ряд МФО обрабатывает данные из социальных сетей, маркетплейсов и телеком-операторов при оценке кредитного риска. Если субъект не давал согласия на такую обработку, а она не подпадает под иные основания ст. 6 ФЗ-152 — нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) либо ч. 2 при отсутствии письменного согласия (300–700 тыс. ₽). При системности — повтор. Дополнительный риск: ст. 16 ФЗ-152 при автоматическом отказе без возможности обжалования.

Сценарий 3. Страховщик внедряет биометрическую верификацию вне ЕБС. Компания разворачивает собственную систему распознавания лиц для предотвращения мошенничества при выплатах, не интегрируя её с ГИС ЕБС. Хранение биометрии вне ЕБС с 01.06.2023 запрещено (ФЗ-572). Нарушение — ч. 16–17 ст. 13.11 КоАП: за утечку биометрических ПДн — штраф 15–20 млн ₽ по ч. 17. Стратегия: интегрироваться с ЕБС через АО «ЦБТ» либо отказаться от хранения исходной биометрии.

Если вы финансовый директор и вас беспокоит стоимость комплаенса по 152-ФЗ после ФЗ-420 — сравните: аудит от 100 000 ₽ против оборотного штрафа от 20 млн ₽. Юристы DATUM готовят расчёт риска за 2 рабочих дня. Срок действия старых согласий истёк 01.09.2025.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Страховая компания (Центральный ФО, осень 2025) передала агрегированную базу страхователей подрядчику по прямому маркетингу без договора поручения обработки ПДн. Подрядчик допустил утечку около 80 000 записей. Финансовый директор компании столкнулся с двумя протоколами одновременно: по ч. 13 ст. 13.11 КоАП (утечка 10 000–100 000 субъектов, штраф 5–10 млн ₽) и по ч. 11 (неуведомление об инциденте в 24 часа, штраф 1–3 млн ₽). В арбитражном суде региона удалось применить смягчающие обстоятельства и снизить итоговую сумму — однако расходы на юридическую защиту и репутационный ущерб многократно превысили стоимость превентивного аудита.

Кейс 2 (по данным открытых источников — case_15_alfa_strakhovanie). АльфаСтрахование фиксировало утечки в 2023 и 2025 годах. Оба инцидента публично освещены в отраслевых СМИ (Хабр, Versia). Применимая логика для страховщика с такой историей: повторность по ч. 12–14 создаёт риск квалификации следующего инцидента по ч. 15 ст. 13.11 КоАП с оборотным штрафом. Конкретные суммы назначенных штрафов по этим делам менеджер уточняет перед публикацией по актуальным данным РКН и судов.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту в страховом продукте, если он отказывается давать биометрию?

По общему правилу — да, если биометрия не является единственным способом идентификации. Однако ч. 8 ст. 14.8 КоАП запрещает обусловливать предоставление услуги обязательным размещением биометрии в ЕБС. Страховщик обязан предложить альтернативный способ идентификации. Нарушение влечёт штраф до 500 тыс. ₽ для юрлица.

2. Что грозит МФО за утечку клиентских данных?

МФО — оператор ПДн в полном смысле ст. 3 ФЗ-152. При утечке от 1 000 до 10 000 субъектов — штраф по ч. 12 ст. 13.11 КоАП: 3–5 млн ₽. При утечке более 100 000 субъектов — по ч. 14: 10–15 млн ₽. При повторном инциденте — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — штраф по ч. 11 за несвоевременное уведомление РКН об инциденте: 1–3 млн ₽.

3. На каком основании банк или страховщик обрабатывает ПДн без согласия?

Основное — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Это покрывает большинство операций по договору страхования или кредитному договору. Для специальных категорий (здоровье при ДМС) требуется отдельное согласие по ст. 10 ФЗ-152. Для скоринга на основе данных БКИ — согласие субъекта на запрос в БКИ по ФЗ-218.

4. Где хранится биометрия клиентов — в банке или в ЕБС?

С 01.06.2023 хранение исходных биометрических данных вне ГИС ЕБС запрещено по ФЗ-572. Оператором ЕБС является АО «Центр Биометрических Технологий». Банки и страховщики передают биометрию в ЕБС, а при верификации получают подтверждение идентичности без хранения исходного шаблона у себя. Исключения — случаи, прямо предусмотренные ФЗ-572.

5. Как субъект может оспорить автоматический отказ в кредите или страховании?

Ст. 16 ФЗ-152 предоставляет субъекту право потребовать пересмотра решения, принятого исключительно на основе автоматизированной обработки ПДн, если такое решение порождает юридические последствия. Оператор обязан рассмотреть возражение и предоставить возможность участия человека в принятии решения. Отказ в рассмотрении возражения — основание для жалобы в РКН и иска в суд.

Итог

Кейс АльфаСтрахования демонстрирует системную проблему финансового сектора: утечки носят повторный характер, а с 30.05.2025 именно повторность активирует оборотный штраф по ч. 15 ст. 13.11 КоАП. Для страховщика с многомиллионной клиентской базой минимальный порог оборотного штрафа — 20 млн ₽ — это уже не абстракция регулятора, а строка в бюджете рисков.

Юристы DATUM сопровождают финансовые организации по полному циклу комплаенса 152-ФЗ: от аудита обработки ПДн и комплекта ОРД до защиты в арбитраже при предъявлении протокола по ст. 13.11 КоАП.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), антиотмывочный контроль и 115-ФЗ.

4 февраля 2027 года