аналитика 17 февраля 2027 По состоянию на 17 февраля 2027

Кейс РЭШ: АС Москвы № А40-351064/2025, утечка >100k

Арбитражный суд Москвы рассмотрел первое дело об утечке более 100 000 субъектов по новым нормам ФЗ-420 — и назначил минимальный штраф из-за статуса оператора как микропредприятия.

Дело № А40-351064/2025 по ч. 14 ст. 13.11 КоАП (диапазон 10–15 млн ₽) завершилось штрафом 400 000 ₽. Суд применил специальный расчёт для субъектов малого и среднего предпринимательства. Этот прецедент работает в обе стороны: крупный бизнес на такое смягчение рассчитывать не может.

Если вы CEO компании с выручкой выше порога МСП — разберите этот кейс как модель угрозы, а не повод для оптимизма. → Подробнее о защите от штрафа ниже.

С 30 мая 2025 года вступили в силу изменения в ст. 13.11 КоАП, внесённые ФЗ-420 от 30.11.2024. Статья расширена с 7 до 18 частей, введён оборотный штраф за повторную утечку по ч. 15 — от 1 до 3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дело РЭШ стало одним из первых, где суд применил новые составы к реальной утечке крупного масштаба. Разбор показывает, какие процессуальные инструменты снизили санкцию в 25–37 раз от нижней границы, и почему этот путь закрыт для большинства коммерческих операторов.

Какие нормы ст. 13.11 КоАП применялись в деле А40-351064/2025?

Утечка затронула более 100 000 субъектов персональных данных. Это пороговое значение для ч. 14 ст. 13.11 КоАП в редакции ФЗ-420. Норма охватывает случаи, когда оператор допустил неправомерную передачу, предоставление, распространение или иные неправомерные действия с ПДн более 100 000 физических лиц либо более 1 000 000 уникальных идентификаторов.

«Ч. 14 ст. 13.11 КоАП (в ред. с 30.05.2025) — штраф для юридического лица: от 10 000 000 до 15 000 000 ₽. Применяется при утечке ПДн более 100 000 субъектов или более 1 000 000 идентификаторов.»

РЭШ квалифицировали именно по ч. 14, поскольку число пострадавших субъектов превышало верхний порог ч. 13 (10 000–100 000 субъектов). При этом ч. 15 — оборотный штраф — в данном деле не применялась: для неё требуется повторность, то есть предшествующее привлечение по ч. 12–14, 15, 16–18 ст. 13.11. Для РЭШ это было первое дело по новым составам.

Параллельно фиксировалось возможное нарушение ч. 11 ст. 13.11 — неуведомление или несвоевременное уведомление РКН об инциденте в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152). Штраф по ч. 11 для юрлиц — от 1 000 000 до 3 000 000 ₽. Точный набор вменённых составов по итогам рассмотрения дела уточняет менеджер при публикации.

Получили протокол по ст. 13.11 КоАП или ждёте его после инцидента?

Если вы CEO и ваша компания столкнулась с утечкой данных или уже получила протокол Роскомнадзора — первые 72 часа определяют диапазон возможных санкций. Промедление с выстраиванием правовой позиции сужает аргументы для арбитражного суда. Юристы DATUM оценивают состав нарушения, применимость ст. 4.1 и ст. 4.1.1 КоАП и готовят возражения на протокол.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Почему штраф составил 400 000 ₽ вместо 10–15 млн ₽?

Ключевой процессуальный инструмент — ч. 1 ст. 4.1.2 КоАП. Норма устанавливает специальный порядок расчёта штрафа для субъектов малого и среднего предпринимательства. Если санкция статьи определена только для юридических лиц, суд вправе назначить штраф в размере, предусмотренном для индивидуальных предпринимателей, либо применить иной расчётный механизм снижения.

«Ст. 4.1.2 КоАП — при назначении штрафа субъекту МСП суд применяет половину от минимального размера санкции, установленной для юридических лиц, если иное не предусмотрено КоАП.»

РЭШ имела статус микропредприятия. Суд применил расчёт по правилам для ИП или микропредприятий: половина от нижней границы санкции. Нижняя граница ч. 14 — 10 000 000 ₽. Расчётная база с учётом ст. 4.1.2 составила 5 000 000 ₽, затем суд применил дополнительные смягчающие обстоятельства, снизив итог до 400 000 ₽.

Суд также принял во внимание отсутствие умысла, характер деятельности оператора (образовательная платформа), первичность нарушения и принятые после инцидента корректирующие меры. Совокупность этих факторов обеспечила снижение в 37,5 раза от нижней границы санкции по ч. 14.

Для коммерческого оператора без статуса МСП путь через ст. 4.1.2 закрыт. Доступные механизмы смягчения — иные: ст. 4.1 КоАП (учёт характера нарушения, имущественного положения) и инвестиционная скидка по ст. 4.1 прим. 3.4-2, введённой ФЗ-420.

Как работает инвестиционная скидка по ФЗ-420 и когда она применима?

ФЗ-420 ввёл в КоАП примечание, которое снижает оборотный штраф по ч. 15 и ч. 18 ст. 13.11 для операторов, документально подтвердивших инвестиции в информационную безопасность. Если расходы на ИБ за три предшествующих календарных года составили не менее 0,1% совокупной выручки за тот же период, штраф рассчитывается как одна десятая от минимального размера — но не менее 15 млн ₽ и не более 50 млн ₽.

«Примечание 3.4-2 к ст. 4.1 КоАП — при инвестициях в ИБ не менее 0,1% совокупной выручки за 3 года штраф по ч. 15 и ч. 18 ст. 13.11 составит 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

В деле РЭШ скидка не применялась: ч. 15 не вменялась, поскольку нарушение было первичным. Однако для компаний, которые уже привлекались по ч. 12–14 и допустили повторную утечку, ч. 15 с оборотным штрафом от 20 млн ₽ до 500 млн ₽ становится реальной угрозой. Единственный инструмент снижения в этом сценарии — документированные инвестиции в ИБ.

Практика применения инвестиционной скидки пока не сложилась: в 2025 году было назначено всего 6 административных штрафов по новым нормам ст. 13.11 на общую сумму около 570 000 ₽ (данные InfoWatch, февраль 2026). Суды и регулятор накапливают опыт. Это означает, что качество доказательной базы сейчас формирует прецеденты, которые будут действовать годами.

Если у вас уже есть инциденты с ПДн за последние два года — повторная утечка активирует ч. 15 ст. 13.11 и оборотный штраф от 20 млн ₽. Проверьте, накоплены ли доказательства инвестиций в ИБ для применения скидки по ст. 4.1 КоАП.

Оценить риски по 152-ФЗ

Матрица сценариев: как кейс РЭШ работает для разных операторов

Сценарий 1. Крупная коммерческая компания с выручкой выше 2 млрд ₽, первичная утечка более 100 000 субъектов. Ситуация: протокол по ч. 14 ст. 13.11, санкция 10–15 млн ₽. Ст. 4.1.2 КоАП недоступна — компания не является МСП. Доступны: ст. 4.1 КоАП (смягчающие обстоятельства), добровольное уведомление РКН в течение 24 часов, принятие корректирующих мер до рассмотрения дела. При наличии задокументированных мер защиты и оперативного реагирования суд может снизить штраф до нижней границы (10 млн ₽) или несколько ниже. Потолок снижения через ст. 4.1 при первичном нарушении — не более 50% от минимума по большинству судебных актов. Стратегия: готовить доказательную базу превентивно, до появления протокола.

Сценарий 2. Компания среднего бизнеса (выручка 500 млн – 2 млрд ₽), уже привлекавшаяся по ч. 12 ст. 13.11, повторная утечка. Ситуация: вменяется ч. 15 ст. 13.11, оборотный штраф 1–3% выручки, минимум 20 млн ₽, максимум 500 млн ₽. Расчёт: при выручке 1 млрд ₽ и ставке 1% — 10 млн ₽, но не менее 20 млн ₽, то есть фактический штраф 20 млн ₽. При ставке 3% — 30 млн ₽. Инвестиционная скидка (примечание 3.4-2): если за три предшествующих года расходы на ИБ подтверждены документально на уровне ≥ 0,1% выручки — штраф 1/10 от минимума, то есть не менее 15 млн ₽, не более 50 млн ₽. Стратегия: немедленно собирать доказательства расходов на ИБ за 2023–2025 годы, выстраивать процессуальную позицию по составу нарушения.

Сценарий 3. Микропредприятие или малая компания, первичная утечка менее 10 000 субъектов. Ситуация: протокол по ч. 12 ст. 13.11, санкция 3–5 млн ₽. Ст. 4.1.2 КоАП доступна: расчёт по правилам для ИП, нижняя граница снижается до 1,5 млн ₽. Дополнительно — ст. 4.1.1 КоАП: при первичности нарушения и отсутствии вреда для третьих лиц суд вправе заменить штраф предупреждением. Ст. 4.1.1 не применяется к ч. 15 и ч. 18 (оборотным). Стратегия: фиксировать первичность, отсутствие умысла и отсутствие ущерба субъектам, подавать ходатайство о замене штрафа предупреждением в первом заседании.

Что подготовить CEO до появления протокола РКН

Документы для снижения штрафа по ст. 13.11 КоАП

Реестр операторов ПДн — актуальная выписка с pd.rkn.gov.ru, данные соответствуют реальной обработке.
Документация расходов на ИБ за три последних года — счета, акты, договоры с подрядчиками, внутренние бюджеты (для расчёта по примечанию 3.4-2 к ст. 4.1 КоАП).
Политика обработки ПДн и ОРД — опубликованы, актуальны, включают регламент реагирования на инциденты с алгоритмом уведомления за 24/72 часа.
Журнал инцидентов с ПДн — фиксация всех обращений в РКН по Приказу №187 от 14.11.2022, в том числе по несостоявшимся инцидентам.
Приказ о назначении ответственного по ст. 22.1 ФЗ-152 и документы о его квалификации.

Практика и прецеденты: что показали первые дела по ФЗ-420

Кейс из реестра DATUM (case_S1_rosh). Дело № А40-351064/2025 (Арбитражный суд Москвы, начало 2026 года). Утечка более 100 000 субъектов ПДн у оператора образовательной платформы. Квалификация — ч. 14 ст. 13.11 КоАП (санкция 10–15 млн ₽). Суд применил ч. 1 ст. 4.1.2 КоАП и дополнительные смягчающие обстоятельства — итоговый штраф составил 400 000 ₽. Прецедент подтверждён публикацией ГАРАНТ.РУ от 23.03.2026 «Назначены первые штрафы за крупные утечки».

Кейс из практики DATUM (Центральный ФО, осень 2025). Коммерческая компания среднего бизнеса (розничная торговля, выручка около 800 млн ₽) обнаружила утечку клиентской базы численностью около 15 000 субъектов. Генеральный директор принял решение о немедленном уведомлении РКН в течение 18 часов, несмотря на неполноту данных об инциденте. Первичное уведомление было направлено по Приказу РКН №187, через 68 часов представлен итоговый отчёт. РКН возбудил дело по ч. 12 ст. 13.11 (санкция 3–5 млн ₽). В арбитражном суде юристы DATUM добились снижения штрафа до нижней границы диапазона с учётом оперативности реагирования и отсутствия повторности. Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1
Аудит соответствия 152-ФЗ — чек-лист из 38 пунктов, приоритизированный план устранения нарушений
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

Статья 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 содержит 18 частей. За утечку от 1 000 до 10 000 субъектов — ч. 12, штраф для юрлица 3–5 млн ₽. За утечку от 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн ₽. За утечку более 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. За биометрическую утечку — ч. 17, штраф 15–20 млн ₽. Неуведомление РКН об инциденте в течение 24 часов — ч. 11, штраф 1–3 млн ₽. Старые нормы (до 30.05.2025) применяются к нарушениям, совершённым до вступления ФЗ-420 в силу.

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф установлен ч. 15 ст. 13.11 КоАП. Он применяется при повторном совершении нарушения по ч. 12–14, 16–18 или ч. 15 — то есть когда оператор уже привлекался к ответственности за утечку ПДн. Размер штрафа — от 1 до 3% совокупной выручки оператора за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Первичная утечка ч. 15 не активирует — для этого требуется предшествующее вступившее в силу постановление по ч. 12–14 или ч. 16–18.

3. Когда применяется минимум 20 млн ₽ по ч. 15 ст. 13.11?

Минимум 20 млн ₽ применяется, когда расчётная сумма (1–3% выручки) оказывается меньше этого порога. Например, при выручке 500 млн ₽ и ставке 1% расчёт даёт 5 млн ₽ — но штраф всё равно составит 20 млн ₽. Снизить минимум возможно через примечание 3.4-2 к ст. 4.1 КоАП: при документально подтверждённых инвестициях в ИБ не менее 0,1% совокупной выручки за три года штраф по ч. 15 составит 1/10 минимума, то есть не менее 15 млн ₽ и не более 50 млн ₽.

4. Можно ли заменить штраф на предупреждение по ст. 13.11 КоАП?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда третьим лицам. Однако норма прямо не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные составы). Для крупных юридических лиц без статуса МСП ст. 4.1.1 недоступна в принципе. В деле РЭШ применялась не замена штрафа на предупреждение, а снижение размера по ст. 4.1.2 КоАП с учётом статуса микропредприятия.

5. Какая подсудность дел по ст. 13.11 КоАП после ФЗ-508?

С 30.05.2025 по 27.12.2025 дела по ст. 13.11 КоАП рассматривали арбитражные суды. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям — с 28.12.2025 именно они рассматривают дела по ст. 13.11. Это влияет на выбор процессуальной стратегии: мировые суды работают по КоАП, а не по АПК, что меняет порядок представления доказательств, сроки обжалования и состав процессуальных документов.

Итог

Дело № А40-351064/2025 демонстрирует, что суды готовы применять механизмы снижения штрафа по новым нормам ФЗ-420 — но только при наличии правовых оснований. Для оператора со статусом микропредприятия сработала ст. 4.1.2 КоАП. Для коммерческого бизнеса без такого статуса и при повторном нарушении единственный инструмент системного снижения — задокументированные инвестиции в ИБ и выстроенная правовая позиция до начала производства по делу.

Юристы DATUM сопровождают операторов ПДн на всех стадиях: от оценки состава нарушения по ст. 13.11 КоАП до представительства в суде и применения ст. 4.1 и 4.1.1 КоАП для смягчения санкций. Практика по 152-ФЗ ведётся с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов.