аналитика 3 декабря 2028 По состоянию на 3 декабря 2028

Кейс штрафа банка за отказ без биометрии

Отказ клиенту в обслуживании без сдачи биометрии в ЕБС — самостоятельный состав правонарушения по ч. 8 ст. 14.8 КоАП. Штраф для банка — до 500 тыс. ₽ за каждый задокументированный факт.

С 01.06.2023 банки обязаны принимать биометрию в ЕБС, но не вправе требовать её от клиента как условие обслуживания. Нарушение этой границы создаёт административный и репутационный риск. По данным РКН, число проверок финансовых организаций по 152-ФЗ и смежным нормам растёт ежегодно.

Если финансовый директор банка или МФО считает, что вопрос биометрии касается только IT и комплаенса, — кейсы ниже изменят эту оценку. Штрафная нагрузка ложится в P&L, а не в IT-бюджет.

С 30.05.2025 статья 13.11 КоАП насчитывает 18 частей: от обработки ПДн без согласия до оборотного штрафа за повторную утечку. Параллельно ч. 8 ст. 14.8 КоАП фиксирует отдельный состав — отказ в обслуживании потребителя без биометрии. Для финансового директора банка, МФО или платёжного сервиса это означает двойной вектор риска: нарушение порядка обработки биометрических ПДн по ст. 11 ФЗ-152 и нарушение прав потребителей. Данный материал разбирает конкретные кейсы, нормативную логику и финансовые последствия для организаций финансового сектора.

Чем отличается обязанность принимать биометрию от права требовать её?

ФЗ-572 от 29.12.2022 установил единую государственную информационную систему «Единая биометрическая система» (ГИС ЕБС). Оператор системы — АО «Центр Биометрических Технологий». Банки как участники ЕБС обязаны обеспечивать возможность сдачи биометрии клиентам и идентификацию по ней при наличии согласия. Однако обязанность принимать биометрию не равнозначна праву отказывать тем, кто её не сдал.

Статья 11 ФЗ-152 требует письменного согласия на обработку биометрических ПДн. Согласие должно быть добровольным — это прямо следует из ст. 9 ФЗ-152. Принуждение к сдаче биометрии под угрозой отказа в услуге нарушает принцип добровольности и образует состав по ч. 8 ст. 14.8 КоАП.

«Ч. 8 ст. 14.8 КоАП — штраф за отказ потребителю в заключении договора или оказании услуги без предоставления биометрических данных в ЕБС. Для юридических лиц — до 500 тыс. ₽ за каждый факт (точный диапазон — верифицировать по КонсультантПлюс перед публикацией).»

Таким образом, банк или МФО вправе предлагать дистанционную идентификацию через ЕБС как дополнительный канал обслуживания, но не вправе закрывать иные каналы для тех, кто не дал согласие на биометрию. Это разграничение важно при построении операционных регламентов.

Как квалифицируется обработка биометрии в банке по ФЗ-152 и каковы санкции?

Биометрические ПДн — изображение лица и голос — относятся к специальной категории по ст. 11 ФЗ-152. Для банков действует ещё и ст. 10 ФЗ-152 в части состояния здоровья: кредитный скоринг на основе биометрических маркеров здоровья потребует отдельного правового основания.

Нарушения при обработке биометрии квалифицируются по ч. 16 и ч. 17 ст. 13.11 КоАП (в редакции с 30.05.2025). Ч. 16 — нарушение требований к обработке без письменного согласия или с нарушением состава согласия. Ч. 17 — утечка биометрических ПДн, штраф для юрлица 15–20 млн ₽. При повторном нарушении по ч. 16 или ч. 17 применяется ч. 18 — оборотный штраф: 1–3% совокупной выручки, не менее установленного минимума, не более 500 млн ₽.

«Ч. 17 ст. 13.11 КоАП — утечка биометрических ПДн: 15–20 млн ₽ для юридического лица. Ч. 18 — повторное нарушение: 1–3% совокупной годовой выручки.»

Отдельная статья 13.11.3 КоАП регулирует нарушения при размещении биометрии непосредственно в ЕБС — для банков, МФЦ и иных участников системы штраф составляет 500 тыс. — 1 млн ₽ за нарушение требований размещения.

Для финансового директора это означает следующую иерархию риска: ч. 14.8 (отказ без биометрии) — до 500 тыс. ₽; ч. 16 ст. 13.11 (обработка без согласия) — верифицировать диапазон; ч. 17 ст. 13.11 (утечка биометрии) — 15–20 млн ₽; ч. 18 ст. 13.11 (повтор) — до 500 млн ₽. Совокупная экспозиция по всем составам может превысить стоимость полного комплаенс-проекта на порядок.

Финансовый директор банка: считаете штрафную нагрузку по биометрии?

Если в банке или МФО нет актуальной карты рисков по ст. 11 ФЗ-152, ч. 8 ст. 14.8 КоАП и ст. 13.11 КоАП в редакции с 30.05.2025 — расходы на комплаенс не спланированы. Аудит соответствия по 152-ФЗ покажет реальную экспозицию и приоритизирует меры по стоимости их устранения.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как работает 115-ФЗ, ФЗ-218 и НПС в связке с ПДн в финансовом секторе?

Банки обрабатывают несколько категорий данных одновременно. Идентификация по 115-ФЗ («О противодействии отмыванию доходов») требует получения сведений о клиенте, включая персональные данные. Это создаёт отдельное правовое основание обработки — исполнение требований законодательства (п. 2 ч. 1 ст. 6 ФЗ-152). Согласие субъекта здесь не требуется, но требования к безопасности хранения данных применяются в полном объёме.

ФЗ-218 «О кредитных историях» регулирует передачу данных в бюро кредитных историй (БКИ). Срок хранения кредитной истории — 7 лет. Передача данных в БКИ — отдельное основание обработки, требует отдельного согласия (для ряда операций). Поручение обработки БКИ как третьей стороне оформляется по п. 3 ст. 6 ФЗ-152 с соблюдением требований к договору поручения.

Скоринг на основе ПДн регулируется ст. 16 ФЗ-152: автоматизированное принятие решений, существенно затрагивающих права субъекта, допустимо только с его согласия или в случаях, прямо предусмотренных федеральным законом. Отказ в кредите на основании автоматизированного скоринга без раскрытия логики — потенциальное нарушение, дающее субъекту право на оспаривание.

НПС (национальная платёжная система, ФЗ-161) требует отдельного учёта ПДн держателей карт и транзакционных данных. Локализация по ч. 5 ст. 18 ФЗ-152 обязательна: первичный сбор, систематизация, накопление и хранение ПДн граждан РФ — только в базах на территории России.

Что проверить финансовому директору

Наличие отдельного письменного согласия на биометрию по ст. 11 ФЗ-152 — без совмещения с договором или офертой (требование ФЗ-156 с 01.09.2025).
Регламент обслуживания клиентов без биометрии — исключить формулировки, дающие основание квалифицировать ситуацию как отказ по ч. 8 ст. 14.8 КоАП.
Договор поручения с БКИ по п. 3 ст. 6 ФЗ-152: перечень передаваемых данных, цели, обязательства по безопасности.
Уведомление РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 с актуальными сведениями о категориях ПДн и целях обработки.
Регламент реагирования на утечку с фиксацией 24-часового срока первичного уведомления (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187).

Что показывают реальные кейсы с банками и финансовыми организациями?

Кейс 1. В деле МТС Банка (case_10_mts_bank, 2023) утечка клиентских данных привела к возбуждению протокола по ст. 13.11 КоАП. Публично известна сама утечка и факт протокола; точная сумма штрафа в открытых источниках не верифицирована — менеджер уточняет перед публикацией. Ключевой вывод для финансового директора: утечка клиентской базы банка — не IT-инцидент, а административное дело с участием РКН и судебной перспективой по ч. 12–14 ст. 13.11 КоАП.

Кейс 2. В деле регионального МФО (Приволжский ФО, начало 2026) проверка РКН выявила отсутствие письменных согласий на обработку биометрических данных при верификации клиентов через внешний провайдер. Организация получила предписание об устранении нарушений по ст. 11 ФЗ-152 и протокол по ч. 16 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. В ходе рассмотрения дела МФО не смогло представить договор поручения с провайдером биометрии, что исключило применение смягчающих обстоятельств. Устранение нарушения потребовало переработки всей договорной документации с клиентами и контрагентами.

Если финансовый директор обнаружил пробел в согласиях на биометрию или нет договора поручения с провайдером — 01.09.2025 уже прошло, требования ФЗ-156 действуют. Юристы DATUM проверят комплект документов и укажут на приоритетные риски.

Заказать аудит 152-ФЗ

Какие сценарии ведут к штрафу финансовую организацию?

Сценарий 1. Отказ без биометрии как условие договора. Клиент обращается за потребительским кредитом. Операционист сообщает, что без сдачи биометрии в ЕБС выдача невозможна. Клиент фиксирует отказ и обращается в Роспотребнадзор. Возбуждается дело по ч. 8 ст. 14.8 КоАП. Стратегия защиты: доказать, что операционист действовал вне регламента, а банк обеспечивал альтернативные каналы идентификации. Документальное подтверждение регламента — ключевое доказательство.

Сценарий 2. Биометрия обрабатывается через провайдера без договора поручения. Банк использует внешний сервис верификации лица при открытии счёта онлайн. Договор с провайдером не содержит обязательных условий по п. 3 ст. 6 ФЗ-152: цели обработки, перечень действий, требования к безопасности. РКН при проверке фиксирует нарушение. Составляется протокол по ч. 16 ст. 13.11 КоАП. Исход зависит от истории нарушений: первичное — возможна минимальная санкция; повторное — ч. 18, оборотный штраф.

Сценарий 3. Утечка биометрических данных через внутреннюю систему. Хакерская атака на систему онлайн-банкинга приводит к компрометации изображений лиц из процедуры видео-верификации. Банк уведомляет РКН через 36 часов — срок первичного уведомления (24 часа по ч. 3.1 ст. 21 ФЗ-152) нарушен. Возбуждаются дела по ч. 11 ст. 13.11 (неуведомление в срок, 1–3 млн ₽) и по ч. 17 ст. 13.11 (утечка биометрии, 15–20 млн ₽). Совокупная нагрузка — от 16 до 23 млн ₽ в первом эпизоде. При повторении в течение года — ч. 18, оборотный штраф до 500 млн ₽.

Общий принцип для всех трёх сценариев: оператор отвечает за действия подрядчика и провайдера как за собственные. Отсутствие договора поручения лишает возможности переложить ответственность.

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в заключении договора или оказании услуги по причине непредоставления биометрических данных в ЕБС. Банк обязан предложить альтернативные способы идентификации. Фиксация отказа потребителем — достаточное основание для возбуждения административного дела.

2. Что грозит МФО за утечку ПДн клиентов?

МФО является оператором ПДн на общих основаниях по ФЗ-152. Утечка от 1 000 до 10 000 субъектов квалифицируется по ч. 12 ст. 13.11 КоАП — штраф 3–5 млн ₽. Утечка от 10 000 до 100 000 субъектов — ч. 13, 5–10 млн ₽. Более 100 000 субъектов — ч. 14, 10–15 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Отдельно — штраф по ч. 11 за нарушение 24-часового срока уведомления РКН: 1–3 млн ₽.

3. Какое правовое основание обработки ПДн в банке не требует согласия?

Обработка ПДн при исполнении требований 115-ФЗ (идентификация клиента) осуществляется на основании п. 2 ч. 1 ст. 6 ФЗ-152 — для исполнения обязанности, возложенной на оператора законодательством РФ. Согласие субъекта не требуется. Аналогично — передача данных в БКИ в случаях, прямо предусмотренных ФЗ-218. Однако биометрические данные требуют отдельного письменного согласия по ст. 11 ФЗ-152 независимо от оснований иных категорий ПДн.

4. Где хранится биометрия клиентов банка — в ЕБС или у самого банка?

С 01.06.2023 хранение исходной биометрии вне ЕБС запрещено (ФЗ-572). Банк собирает биометрические данные и передаёт в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». Хранение копий изображений лица или голоса на собственных серверах банка образует нарушение ФЗ-572 и ст. 11 ФЗ-152. Исключения — данные, полученные до 01.06.2023 в рамках собственных биометрических систем: порядок их перевода в ЕБС или уничтожения — отдельная процедура.

5. Как оспорить автоматизированный отказ в кредите?

Ст. 16 ФЗ-152 даёт субъекту право требовать пересмотра решения, принятого исключительно на основе автоматизированной обработки ПДн, если оно существенно затрагивает его права. Заявление направляется оператору в письменной форме; ответ — в течение 10 рабочих дней по ст. 20 ФЗ-152. Банк обязан раскрыть факт автоматизированного принятия решения, если субъект об этом запросил. Отказ в предоставлении информации — нарушение ч. 4 ст. 13.11 КоАП.

Итог

Штрафная нагрузка финансовых организаций по биометрии складывается из трёх независимых составов: ч. 8 ст. 14.8 КоАП (отказ без биометрии), ч. 16–18 ст. 13.11 КоАП (обработка и утечка биометрических ПДн), ст. 13.11.3 КоАП (нарушения при работе с ЕБС). Каждый состав применяется самостоятельно; совокупная экспозиция может превысить 500 млн ₽ при повторном нарушении. Для финансового директора это бюджетный риск, который планируется отдельно.

Юристы DATUM специализируются на защите банков, МФО и платёжных организаций от административной ответственности по 152-ФЗ и смежным нормам. Практика «Ветров и партнёры» по финансовому сектору включает сопровождение проверок РКН, аудит обработки биометрии и защиту в арбитраже по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки биометрии, БКИ и скоринга по чек-листу
Комплект ОРД под ключ — согласия, регламенты, договоры поручения для финансовых организаций
Защита при штрафе в арбитраже — оспаривание протоколов по ч. 8 ст. 14.8 и ч. 16–18 ст. 13.11 КоАП

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по ФЗ-218, скоринг по ст. 16 ФЗ-152, биометрия в ЕБС (ФЗ-572), отказ от биометрии по ч. 8 ст. 14.8 КоАП, антиотмывочный контроль и 115-ФЗ.

3 декабря 2028 года