аналитика 21 января 2030 года По состоянию на 21 января 2030 года

Кейс АльфаСтрахование: утечки

АльфаСтрахование дважды оказывалась в публичном поле из-за компрометации клиентских данных — и оба раза при действовавших тогда нормах штраф не отражал реального масштаба утечки.

С 30 мая 2025 года страховщик с повторной утечкой от 100 000 субъектов рискует оборотным штрафом по ч. 15 ст. 13.11 КоАП — от 1 до 3% годовой выручки, но не менее 20 млн рублей.

Если вы финансовый директор страховой или финтех-компании — прочитайте, какие меры снижают налоговую нагрузку и уголовный риск после 30.05.2025. →

Страховые компании хранят данные, которые законодатель относит к двум категориям одновременно: общие персональные данные (ФИО, паспорт, адрес) и специальные категории, включая сведения о здоровье застрахованного. Любая утечка автоматически попадает под составы ч. 12–14 ст. 13.11 КоАП, а при повторности — под оборотный штраф ч. 15. Кейс АльфаСтрахование показывает: проблема существовала до ужесточения санкций. Теперь цена той же ошибки другая.

Что произошло с данными АльфаСтрахования в 2023 и 2025 годах?

В 2023 году в открытый доступ попала база с данными клиентов АльфаСтрахования: страховые полисы, контактные реквизиты, паспортные данные. Источники публикаций — Versia и тематические Telegram-каналы по кибербезопасности. Роскомнадзор зафиксировал инцидент. В 2025 году компания снова оказалась в публичном поле: Хабр сообщил об очередной компрометации клиентских записей. Оба инцидента произошли при режиме, когда максимальный штраф по первичной утечке составлял несколько десятков тысяч рублей — несопоставимо с масштабом риска.

Принципиальная юридическая проблема для страховщика в данных кейсах — не столько размер штрафа на дату нарушения, сколько создание «повторности» в реестре РКН. Именно повторность с 30 мая 2025 года переводит компанию в режим оборотного штрафа при любом следующем инциденте.

«Ст. 13.11 ч. 15 КоАП (ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025): оборотный штраф за повторную утечку — 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн рублей и не более 500 млн рублей. Применяется к лицу, ранее привлекавшемуся по ч. 12–14, 15–18 ст. 13.11 КоАП.»

Для страховой компании с выручкой от 10 млрд рублей в год нижняя планка оборотного штрафа — 100–300 млн рублей. Это не абстрактный риск: АльфаСтрахование входит в топ-5 страховщиков России по объёму премий.

Какое правовое основание обрабатывает данные клиентов страховщик?

Страховая компания как оператор персональных данных опирается на несколько оснований из ст. 6 ФЗ-152. Базовое — исполнение договора страхования (п. 5 ч. 1 ст. 6): обработка необходима для заключения и исполнения договора, стороной которого является субъект. Передача данных страховщику при урегулировании убытков подпадает под то же основание.

Данные о состоянии здоровья — специальная категория по ст. 10 ФЗ-152. Для страхования жизни и здоровья обработка таких данных допускается по п. 4 ч. 2 ст. 10: необходимость для защиты жизни, здоровья или иных жизненно важных интересов субъекта, либо при наличии письменного согласия. На практике страховщики требуют отдельного согласия на обработку медицинских данных — и именно это согласие с 01.09.2025 обязано быть оформлено отдельным документом по ФЗ-156 от 24.06.2025.

Считаете бюджет на ИБ и видите риск штрафа — как оценить реальную экспозицию?

Финансовый директор страховой или финтех-компании с повторным инцидентом в истории оказывается в зоне оборотного штрафа по ч. 15 ст. 13.11 КоАП. Расчёт экспозиции требует анализа реестра РКН, категорий обрабатываемых данных и истории протоколов. Аудит DATUM закрывает этот вопрос за 15–20 рабочих дней с выдачей приоритизированного плана устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как финтех и страховщики обрабатывают биометрию и что изменил ФЗ-572?

До принятия ФЗ-572 от 29.12.2022 банки и страховщики самостоятельно собирали и хранили биометрические данные клиентов — изображения лиц и голосовые слепки — в собственных системах. С 1 июня 2023 года хранение исходной биометрии вне Единой биометрической системы (ЕБС) запрещено: операторы обязаны либо разместить данные в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий», либо уничтожить собственные копии.

Для страховщика это означает: идентификация клиента через лицо или голос возможна только через ЕБС по запросу. Самостоятельная обработка биометрии без размещения в ЕБС — нарушение ст. 11 ФЗ-152 в совокупности с ФЗ-572. Штраф по ч. 16 ст. 13.11 КоАП за обработку биометрии с нарушением требований действует с 30.05.2025 в редакции ФЗ-420. При утечке биометрических данных — ч. 17 ст. 13.11 КоАП: штраф для юридического лица составляет 15–20 млн рублей.

Требование ч. 8 ст. 14.8 КоАП, введённое тем же ФЗ-420: организация не вправе отказывать в обслуживании клиенту по основанию непредоставления биометрии в ЕБС. Это требование направлено в первую очередь на банки, но страховщики, использующие биометрическую идентификацию, попадают в ту же зону риска.

Что финансовому директору проверить прямо сейчас

Статус компании в реестре операторов ПДн РКН: уведомление актуально, категории и цели обработки совпадают с реальными процессами.
История протоколов по ст. 13.11 КоАП: если есть хотя бы один — следующий инцидент с утечкой переходит в режим оборотного штрафа ч. 15.
Согласия клиентов на обработку медицинских данных: оформлены ли отдельным документом по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (обязательно с 01.09.2025).
Наличие договора поручения обработки с каждым подрядчиком, имеющим доступ к ПДн клиентов: агрегаторами, IT-подрядчиками, колл-центрами.
Объём инвестиций в ИБ за последние 3 года: при достижении порога 0,1% совокупной выручки применяется льгота по ст. 4.1 КоАП — штраф снижается до 1/10 минимума по оборотным составам.

Что грозит МФО и финтех-операторам за утечку клиентских данных?

Микрофинансовые организации обрабатывают данные, которые по чувствительности сопоставимы с банковскими: ФИО, паспорт, СНИЛС, ИНН, данные о доходах, кредитная история. При выдаче займа МФО обязана идентифицировать клиента по нормам 115-ФЗ о противодействии легализации доходов. Данные, полученные при идентификации, — персональные данные с основанием обработки по п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности, установленной законом).

Скоринговые модели МФО используют данные из бюро кредитных историй по ФЗ-218. Запрос в БКИ требует отдельного согласия субъекта. Автоматизированное скоринговое решение подпадает под ст. 16 ФЗ-152: субъект вправе оспорить решение, принятое исключительно на основании автоматизированной обработки, если оно влечёт правовые последствия.

Размер штрафа за утечку данных МФО зависит от числа затронутых субъектов. По ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) — штраф для юрлица 3–5 млн рублей. По ч. 13 (10 000–100 000 субъектов) — 5–10 млн рублей. По ч. 14 (более 100 000 субъектов) — 10–15 млн рублей. МФО с базой в несколько сотен тысяч активных заёмщиков автоматически попадает в диапазон ч. 14 при любой масштабной утечке.

Если финансовый директор видит в реестре РКН устаревшие сведения или у компании нет актуального пакета ОРД — это два самостоятельных основания для штрафа ещё до любой утечки. Исправить до проверки: 15–20 рабочих дней на полный пакет документов.

Собрать ОРД под ключ

Как это применяется на практике: три сценария для финансового директора

Сценарий 1. Утечка через подрядчика-агрегатора. Страховая компания передала данные 150 000 клиентов агрегатору для обзвона при пролонгации полисов. Договор поручения обработки не содержал требований к защите данных, совместимых с уровнем защищённости УЗ-3 по ПП РФ №1119. Подрядчик допустил утечку. Суды квалифицируют ответственность на оператора — страховщика, а не на обработчика: оператор обязан обеспечить соответствие мер защиты вне зависимости от того, кто фактически обрабатывает данные. Квалификация — ч. 14 ст. 13.11 КоАП, штраф 10–15 млн рублей. При наличии предыдущего протокола — переход к ч. 15.

Сценарий 2. Повторная утечка после первичного протокола. МФО в 2023 году получила штраф 50 000 рублей по ч. 1 ст. 13.11 КоАП в редакции до ФЗ-420. В 2025 году — новый инцидент с утечкой данных 80 000 заёмщиков. Формально первый протокол создал «повторность» для целей ч. 15 ст. 13.11 КоАП. Выручка МФО за предшествующий год — 2 млрд рублей. Нижняя планка оборотного штрафа — 20 млн рублей. Льгота по ст. 4.1 КоАП применима, если инвестиции в ИБ за 3 года составили не менее 6 млн рублей (0,1% от 2 млрд × 3 года). При выполнении условия — штраф снижается до 1/10 минимума.

Сценарий 3. Неуведомление РКН об утечке в 24 часа. Финтех-компания обнаружила факт компрометации базы клиентов в пятницу вечером. Ответственный за обработку решил не торопиться с уведомлением до понедельника. Срок 24 часов на первичное уведомление по ч. 3.1 ст. 21 ФЗ-152 не восстанавливается. Помимо штрафа за утечку (ч. 12–14), компания получает самостоятельный штраф по ч. 11 ст. 13.11 КоАП за несвоевременное уведомление — 1–3 млн рублей. Два протокола суммируются.

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП (введена ФЗ-420 от 30.11.2024) запрещает организациям отказывать в обслуживании клиенту по основанию непредоставления биометрических данных в ЕБС. Требование распространяется на банки и иные финансовые организации, использующие биометрическую идентификацию. Применение биометрии допустимо только с согласия клиента по ст. 11 ФЗ-152, её отсутствие не является основанием для отказа в услуге.

2. Что грозит МФО за утечку клиентских данных?

Зависит от числа затронутых субъектов. Утечка данных от 1 000 до 10 000 клиентов — штраф 3–5 млн рублей по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — 5–10 млн рублей (ч. 13). Более 100 000 субъектов — 10–15 млн рублей (ч. 14). При повторности — оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн рублей. Дополнительно — штраф за неуведомление РКН в течение 24 часов по ч. 11: 1–3 млн рублей.

3. Какое правовое основание обработки данных в банке или страховой?

Основное — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): обработка данных, необходимых для заключения и исполнения договора банковского обслуживания или страхования. Для данных о здоровье (специальная категория по ст. 10 ФЗ-152) — отдельное письменное согласие клиента. Для запроса в БКИ — согласие по ФЗ-218. Автоматизированные скоринговые решения с правовыми последствиями регулируются ст. 16 ФЗ-152.

4. Где хранится биометрия клиентов банка — в ЕБС или у самого банка?

С 1 июня 2023 года хранение исходной биометрии (изображение лица, голосовой слепок) вне Единой биометрической системы запрещено. Оператор ЕБС — АО «Центр Биометрических Технологий» (ФЗ-572 от 29.12.2022). Банки обязаны либо передать собственные биометрические базы в ЕБС, либо уничтожить их. Самостоятельное хранение биометрии — нарушение ст. 11 ФЗ-152 и ФЗ-572, влекущее штраф по ч. 16 ст. 13.11 КоАП.

5. Как оспорить отказ в кредите, принятый автоматически?

По ст. 16 ФЗ-152 субъект персональных данных вправе требовать пересмотра решения, принятого исключительно на основании автоматизированной обработки (скоринг), если это решение влечёт правовые последствия или существенно затрагивает его интересы. Оператор обязан рассмотреть обращение и предоставить субъекту возможность изложить свою позицию. Срок ответа на обращение субъекта — 10 рабочих дней по ст. 20 ФЗ-152.

Итог

Кейс АльфаСтрахования — пример того, как два инцидента при мягком регулировании создают фундамент для критического риска после 30.05.2025. Повторность, зафиксированная в реестре РКН, переводит любую следующую утечку в режим оборотного штрафа. Для страховщика с выручкой в десятки миллиардов рублей нижняя планка — сотни миллионов рублей. Арифметика прямая: стоимость аудита и пакета ОРД несопоставима с экспозицией оборотного штрафа по ч. 15 ст. 13.11 КоАП.

DATUM сопровождает финансовые и страховые компании по всему периметру 152-ФЗ: аудит категорий данных и оснований обработки, пакет ОРД с учётом требований ФЗ-572 и ФЗ-218, подготовка к проверкам РКН, защита в арбитраже при получении протокола по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка категорий данных, оснований обработки, истории протоколов РКН
Комплект ОРД под ключ — политика, согласия, договоры поручения, регламент реагирования на утечки
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.