аналитика 17 января 2029 По состоянию на 17 января 2029

Кейс МТС Банк: утечка ПДн

Утечка клиентских данных в банке — это не только штраф по ст. 13.11 КоАП, но и риск оборотного взыскания до 500 млн ₽ при повторности, плюс уголовная ответственность по ст. 272.1 УК для ответственных сотрудников.

Финансовые организации обрабатывают данные в нескольких режимах одновременно: общие ПДн клиентов, биометрия в ЕБС по ФЗ-572, кредитные истории через БКИ по ФЗ-218, скоринговые модели по ст. 16 ФЗ-152. Каждый режим — отдельные основания, сроки и санкции.

→ Если вы финансовый директор и оцениваете бюджет на защиту от санкций — ниже разбор на примере МТС Банк и расчёт реальных рисков для среднего финтеха.

Инцидент с МТС Банком в 2023 году стал одним из публично зафиксированных случаев утечки клиентских данных в российском банковском секторе. Для финансового директора эта история — не хроника, а рабочий инструмент: она показывает, какие нормы активируются, в каком порядке реагирует регулятор и во что конкретно это обходится. Ниже — анализ применимых норм ФЗ-152, ФЗ-218, ФЗ-572, ст. 13.11 КоАП в редакции с 30.05.2025, а также практических действий, которые меняют исход.

Какие данные банк обрабатывает и на каком основании?

Банк как оператор ПДн работает с несколькими категориями данных одновременно. Базовые клиентские данные (ФИО, паспорт, СНИЛС, контакты) обрабатываются на основании договора — п. 5 ч. 1 ст. 6 ФЗ-152. Кредитная история передаётся в БКИ и запрашивается из них по отдельному согласию субъекта в рамках ФЗ-218. Биометрические данные для дистанционной идентификации размещаются в Единой биометрической системе согласно ФЗ-572: с 01.06.2023 банки обязаны использовать ГИС ЕБС через оператора АО «Центр Биометрических Технологий», хранение исходной биометрии вне ЕБС с этой даты запрещено.

«Ст. 11 ФЗ-152 — обработка биометрических данных допускается только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных федеральным законом. ФЗ-572 устанавливает специальный режим для биометрии в целях финансовой идентификации.»

Скоринговые модели и автоматизированное принятие кредитных решений подпадают под регулирование ст. 16 ФЗ-152: субъект вправе потребовать, чтобы решение, влекущее правовые последствия, было принято с участием человека, а не только алгоритмом. Банк обязан разъяснить логику автоматизированного отказа по запросу клиента. Это дополнительный слой операционного риска, который прямо влияет на число жалоб в РКН и Центральный банк.

Идентификация клиентов в рамках антиотмывочного контроля по 115-ФЗ создаёт ещё одно правовое основание обработки — исполнение требований законодательства (п. 2 ч. 1 ст. 6 ФЗ-152). Объём данных, собираемых по 115-ФЗ, шире стандартного кредитного досье, что увеличивает масштаб потенциальной утечки.

Что произошло в кейсе МТС Банк и как сработали нормы?

Инцидент МТС Банка 2023 года (case_10_mts_bank) связан с утечкой клиентских данных. По публичным сообщениям Forbes и РБК, факт был зафиксирован и стал предметом внимания регулятора. Конкретные параметры — число затронутых субъектов, состав скомпрометированных данных, точные суммы санкций — в открытых источниках не раскрывались в полном объёме; ниже — анализ нормативного механизма, который применяется в подобных случаях.

При обнаружении утечки оператор обязан уведомить РКН в течение 24 часов с момента обнаружения согласно ч. 3.1 ст. 21 ФЗ-152. Этот срок не восстанавливается. Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Неисполнение любого из этих требований влечёт штраф по ч. 11 ст. 13.11 КоАП — от 1 до 3 млн ₽ для юридического лица (редакция с 30.05.2025).

«Ч. 11 ст. 13.11 КоАП (ред. с 30.05.2025) — неуведомление или несвоевременное уведомление РКН об инциденте с ПДн: штраф для юрлица 1 000 000 — 3 000 000 ₽.»

Параллельно активируется административная ответственность за саму утечку. Состав зависит от числа затронутых субъектов: от 1 000 до 10 000 — ч. 12 ст. 13.11 (3–5 млн ₽), от 10 000 до 100 000 — ч. 13 (5–10 млн ₽), свыше 100 000 субъектов — ч. 14 (10–15 млн ₽). Если банк ранее уже привлекался по этим составам — применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Финдиректор считает бюджет — а утечка уже стоит 10–500 млн ₽?

Если в банке или МФО не проводился аудит по 152-ФЗ в течение последних 12 месяцев — вероятность скрытых нарушений по ст. 13.11 КоАП высокая. Стоимость аудита соответствия составляет от 100 000 ₽; стоимость штрафа по ч. 14 — от 10 млн ₽, по ч. 15 — от 20 млн ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как биометрия и ЕБС меняют финансовые риски при утечке?

Биометрические данные — отдельная категория повышенного риска. Утечка биометрии влечёт применение специального состава ч. 17 ст. 13.11 КоАП: штраф для юрлица от 15 до 20 млн ₽. Это существенно выше, чем санкции за утечку общих ПДн сопоставимого масштаба. При повторном нарушении применяется оборотный состав ч. 18 — до 3% годовой выручки, не более 500 млн ₽.

ФЗ-572 запрещает банкам отказывать клиентам в обслуживании на основании нежелания предоставлять биометрию в ЕБС. Нарушение этого требования квалифицируется по ч. 8 ст. 14.8 КоАП: штраф для юрлица — до 500 000 ₽. Это важно для финансового директора при оценке операционных рисков обслуживающих подразделений: давление на клиентов сдать биометрию создаёт отдельный санкционный риск.

Хранение исходных биометрических шаблонов вне ЕБС после 01.06.2023 образует самостоятельный состав нарушения по ст. 13.11.3 КоАП — для банков, МФЦ и иных организаций, размещающих биометрию в ЕБС: штраф 500 000 — 1 000 000 ₽. Таким образом, банк, не мигрировавший архив биометрии в ЕБС, несёт два параллельных риска: по ст. 13.11.3 за само хранение и по ч. 17 ст. 13.11 при утечке этих данных.

Что подготовить финансовому директору для оценки рисков

Реестр баз ПДн с указанием категорий данных, оснований обработки и числа субъектов по каждой системе (АБС, CRM, скоринг, ЕБС).
Подтверждение факта уведомления РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 и актуальности сведений в реестре операторов.
Документы о мигрировании биометрических шаблонов в ЕБС и отсутствии их хранения в локальных системах после 01.06.2023.
Журнал передач данных в БКИ с подтверждением наличия согласий субъектов по ФЗ-218.
Последний аудит соответствия 152-ФЗ с отчётом и планом устранения нарушений.

Что грозит МФО при утечке — и чем это отличается от банковского случая?

МФО обрабатывают данные в режиме, близком к банковскому, но с меньшим объёмом технических требований и более высокой частотой нарушений. По данным РКН и InfoWatch за 2024 год, зафиксировано свыше 135 инцидентов с утечками — значительная доля приходится на финансовый сектор. МФО реже располагают выделенной функцией DPO и реже проводят регулярные аудиты.

При утечке данных в МФО применяются те же составы ст. 13.11 КоАП, что и для банков, — без отраслевых исключений. Разница в том, что оборотный штраф по ч. 15 исчисляется от годовой выручки организации. Для небольшой МФО с выручкой 200 млн ₽ минимальный оборотный штраф при повторности всё равно составит 20 млн ₽ — то есть 10% годовой выручки. Для крупного банка с выручкой 50 млрд ₽ тот же механизм даёт потенциальный штраф до 500 млн ₽ (предельный максимум).

Если в банке или МФО протокол по ст. 13.11 уже получен — 72 часа с момента вручения определяют стратегию обжалования. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения санкции.

Защитить от штрафа 13.11

Три сценария для финансового директора — ситуация, исход, стратегия

Сценарий 1. Утечка обнаружена внутри, уведомление не подано в 24 часа. Ситуация: служба ИБ зафиксировала признаки компрометации базы клиентов CRM, но юридическая служба потратила сутки на верификацию факта. Первичное уведомление в РКН направлено через 38 часов. Доказательства: журналы систем мониторинга, переписка с CERT, штамп уведомления РКН. Вероятный исход: штраф по ч. 11 ст. 13.11 — 1–3 млн ₽, параллельно штраф по ч. 12–14 за саму утечку в зависимости от масштаба. Стратегия: в арбитраже — документировать принятые меры реагирования, минимальный разрыв по срокам, добровольное уведомление субъектов; ходатайствовать о применении нижней границы санкции по ст. 4.1 КоАП.

Сценарий 2. Банк не включён в реестр операторов РКН, либо реестр устарел. Ситуация: банк провёл редизайн продуктовой линейки, начал обрабатывать новые категории ПДн (геолокация, поведенческие паттерны для скоринга), но уведомление об изменении сведений в РКН не подавалось. При плановой проверке инспектор выявляет расхождение. Доказательства: реестровая запись vs. фактические журналы обработки. Вероятный исход: штраф по ч. 10 ст. 13.11 — 100 000–300 000 ₽ за неуведомление о намерении обрабатывать, плюс штраф по ч. 1 за обработку вне заявленных целей — 150 000–300 000 ₽. Стратегия: до проверки — сверить фактическую карту обработки с реестровой записью и подать уведомление об изменении по форме Приказа РКН №180; при обнаружении нарушения — немедленно обновить реестр и документировать добровольность.

Сценарий 3. Утечка через подрядчика — колл-центр или маркетинговое агентство. Ситуация: данные клиентов банка скомпрометированы через систему аутсорсного контакт-центра, с которым заключён договор поручения обработки по п. 3 ч. 1 ст. 6 ФЗ-152. Нарушение — на стороне подрядчика. Доказательства: договор поручения, акт об инциденте, переписка с подрядчиком. Вероятный исход: оператор (банк) несёт ответственность перед субъектами и РКН в полном объёме — принцип ответственности оператора за действия обработчика. Штраф определяется по тем же составам ч. 12–14 ст. 13.11. Стратегия: договор поручения должен содержать обязательства подрядчика по уровням защищённости и немедленному уведомлению оператора об инциденте; оператор после уведомления вправе предъявить регрессное требование.

Как это применяется на практике — реальные случаи из финансового сектора

Кейс 1. В деле финансовой организации из Приволжского ФО (начало 2026 года) CISO зафиксировал утечку через API скорингового сервиса: скомпрометированы данные порядка 15 000 субъектов (ФИО, телефоны, решения по заявкам). Первичное уведомление РКН направлено за 21 час, отчёт — в установленные 72 часа. Регулятор квалифицировал нарушение по ч. 13 ст. 13.11 (10 000–100 000 субъектов). В арбитражном суде региона штраф снижен до нижней границы диапазона — 5 млн ₽ — с учётом оперативности уведомления и принятых мер защиты. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2 (case_10_mts_bank). МТС Банк, 2023 год. Утечка клиентских данных зафиксирована в открытых источниках (Forbes, РБК). Протокол по ст. 13.11 КоАП составлен регулятором. По данным из открытых источников, дело рассматривалось в рамках старых норм ст. 13.11, действовавших до 30.05.2025. Точные суммы санкций в открытых источниках не раскрывались. Показательно для финансового директора: даже по старым нормам (ч. 1 ст. 13.11, максимум 75 000 ₽ для юрлица до ФЗ-420) регуляторное внимание сохранялось несколько месяцев, что создавало операционную нагрузку на юридическую службу и комплаенс.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн в финансовой организации по 38-пунктному чек-листу, отчёт с приоритетами.
Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.
Комплект ОРД под ключ — сборка пакета документов для банка или МФО с учётом требований ФЗ-572 и ФЗ-218.

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. ФЗ-572 прямо запрещает банкам обусловливать предоставление услуг согласием клиента на биометрическую идентификацию через ЕБС. Отказ в обслуживании на этом основании квалифицируется по ч. 8 ст. 14.8 КоАП — штраф для юрлица до 500 000 ₽. Биометрия — право клиента, не обязанность: он может отказаться и получить обслуживание в стандартном порядке по паспорту.

2. Что грозит МФО за утечку ПДн?

Те же составы ст. 13.11 КоАП, что и для банков. При утечке от 1 000 до 10 000 субъектов — ч. 12, штраф 3–5 млн ₽. Свыше 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. При повторности — оборотный состав ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽. Неуведомление РКН в 24 часа — отдельный штраф по ч. 11, 1–3 млн ₽. Уголовная ответственность ответственных сотрудников — по ст. 272.1 УК, введённой с 11.12.2024, до 10 лет лишения свободы при тяжких последствиях.

3. Какое правовое основание обработки ПДн клиента в банке?

Зависит от цели. Обслуживание по договору — п. 5 ч. 1 ст. 6 ФЗ-152 (исполнение договора). Передача в БКИ — отдельное согласие по ФЗ-218. Идентификация по 115-ФЗ — п. 2 ч. 1 ст. 6 (исполнение требований закона). Маркетинговые рассылки — согласие по ст. 9 ФЗ-152. Биометрия — письменное согласие по ст. 11 ФЗ-152 и специальный порядок по ФЗ-572. Смешивать основания в одном документе с 01.09.2025 нельзя: ФЗ-156 требует оформлять согласие отдельным документом.

4. Где хранится биометрия клиентов банка — в ЕБС или у банка?

С 01.06.2023 — только в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». Хранение исходных биометрических шаблонов в локальных системах банка после этой даты запрещено ФЗ-572. Нарушение — состав по ст. 13.11.3 КоАП, штраф 500 000 — 1 000 000 ₽. При утечке биометрии — дополнительный состав по ч. 17 ст. 13.11, штраф 15–20 млн ₽.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

Ст. 16 ФЗ-152 даёт субъекту право потребовать пересмотра решения, принятого исключительно на основании автоматизированной обработки, если оно влечёт правовые последствия. Банк обязан предоставить возможность участия человека в принятии решения и разъяснить применённые критерии. Отказ банка выполнить это требование — основание для жалобы в РКН и Центральный банк, а при причинении убытков — основание для иска.

Итог

Кейс МТС Банка и аналогичные инциденты в финансовом секторе показывают: ответственность за утечку ПДн в банковской среде многоуровневая. Она складывается из административных санкций по ст. 13.11 КоАП (от 3 до 500 млн ₽ в зависимости от масштаба и повторности), специальных составов за биометрию (ч. 17 — 15–20 млн ₽), обязанностей по ФЗ-218 и ФЗ-572 и уголовных рисков по ст. 272.1 УК. Превентивный аудит и полный комплект ОРД стоят на два порядка меньше минимального оборотного штрафа.

Практика DATUM включает сопровождение финансовых организаций — банков, МФО, страховщиков — по всем аспектам соответствия ФЗ-152 с учётом специального регулирования ФЗ-218, ФЗ-572 и 115-ФЗ. Команда проводит аудиты, формирует ОРД и представляет интересы в РКН и арбитраже по делам ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

17 января 2029 года