Перейти к содержанию
аналитика 11 февраля 2030 По состоянию на 11 февраля 2030

Кейс штрафа МФО по 13.11

Штраф МФО по ст. 13.11 КоАП — это от 150 000 ₽ за единичное нарушение до 500 млн ₽ при повторной утечке данных заёмщиков.
С 30.05.2025 МФО обрабатывают ПДн в условиях кардинально обновлённой ст. 13.11 КоАП (18 частей, ФЗ-420 от 30.11.2024): оборотный штраф за повторную утечку — 1–3% годовой выручки, не менее 20 млн ₽. Число нарушений в сегменте МФО, по данным РКН, устойчиво растёт: в 2024 году зафиксировано свыше 135 случаев компрометации баз в финансовом секторе.
→ Если вы финансовый директор МФО и ещё не оценили риск по новым нормам — этот разбор покажет, за что именно назначают штрафы и как их снизить.

МФО работают с ПДн в условиях пересечения сразу нескольких регуляторных пластов: ФЗ-152, ФЗ-218 о кредитных историях, ФЗ-572 о единой биометрической системе, а также 115-ФЗ об идентификации. Нарушение любого из этих требований — самостоятельное основание для протокола РКН или иного регулятора. В статье разобраны типовые составы, реальные суммы и стратегии защиты для финансового директора, который хочет понимать, на каком участке бюджет уходит в штрафы.

Какие нарушения ст. 13.11 КоАП наиболее часты для МФО?

МФО как оператор ПДн может получить протокол сразу по нескольким частям ст. 13.11 КоАП. Самые распространённые составы в микрофинансовом сегменте — четыре.

Первый — обработка без надлежащего согласия (ч. 2 ст. 13.11). МФО собирает согласие на обработку ПДн при выдаче займа. Если документ включён в текст договора займа, а не оформлен отдельно, это нарушение требований ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, вступившего в силу с 01.09.2025. Штраф для юрлица — 300 000–700 000 ₽.

Второй — отсутствие или ненадлежащая политика обработки ПДн (ч. 3 ст. 13.11). Обязанность публиковать политику на сайте прямо предусмотрена ч. 2 ст. 18.1 ФЗ-152. При проверке РКН достаточно открыть сайт МФО — отсутствие раздела «Политика конфиденциальности» с обязательными разделами фиксируется автоматически. Штраф — 30 000–60 000 ₽, но при совокупности нарушений сумма растёт кратно.

Третий — неуведомление РКН о намерении обрабатывать ПДн (ч. 10 ст. 13.11). Значительная часть МФО, выросших из кредитных кооперативов или онлайн-сервисов, до сих пор не внесена в реестр операторов. Штраф — 100 000–300 000 ₽.

Четвёртый — утечка клиентских данных (ч. 12–14 ст. 13.11). При утечке от 1 000 до 10 000 субъектов — 3–5 млн ₽; от 10 000 до 100 000 — 5–10 млн ₽; свыше 100 000 субъектов — 10–15 млн ₽.

«Ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024) насчитывает 18 частей. Оборотный штраф по ч. 15 применяется при повторном нарушении по ч. 12–14: 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽ и не более 500 млн ₽.»

Для МФО с годовой выручкой 500 млн ₽ оборотный штраф при повторной крупной утечке составит не менее 20 млн ₽. При выручке 2 млрд ₽ — уже 20–60 млн ₽ в зависимости от позиции суда.

Хотите понять, какой штраф реален для вашей МФО?

Финансовый директор, как правило, узнаёт о риске уже на стадии протокола. Между тем большинство нарушений выявляются при плановой проверке РКН — и тогда протокол идёт по совокупности составов. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений до того, как придёт инспектор.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как ФЗ-218, ФЗ-572 и ст. 16 ФЗ-152 создают дополнительные риски для МФО?

МФО работают в пересечении нескольких федеральных законов, каждый из которых накладывает самостоятельные требования к обработке ПДн.

ФЗ-218 о кредитных историях. При запросе кредитной истории в БКИ МФО обязана получить отдельное согласие субъекта именно на этот запрос. Согласие в общем договоре займа недостаточно. Нарушение порядка получения согласия — основание для протокола по ч. 2 ст. 13.11 КоАП. Срок хранения кредитной истории в БКИ — 7 лет с момента последней операции, и МФО не вправе требовать от БКИ более раннего уничтожения.

Ст. 16 ФЗ-152 — скоринг и автоматизированные решения. Если решение об отказе в займе или установлении лимита принимается автоматически на основе ПДн, субъект вправе потребовать, чтобы решение пересмотрел человек. МФО обязана предусмотреть такой механизм и раскрыть его субъекту. Отказ — нарушение ст. 16 ФЗ-152, которое квалифицируется как незаконная обработка по ч. 1 ст. 13.11.

ФЗ-572 и ЕБС. МФО, подключённые к Единой биометрической системе для удалённой идентификации, несут ответственность по двум векторам. Первый — нарушение требований к размещению биометрии в ЕБС (ст. 13.11.3 КоАП, для юрлиц 500 000–1 000 000 ₽). Второй — нарушение запрета хранить исходный биометрический слепок вне ЕБС (с 01.06.2023): данный состав квалифицируется по ч. 16 ст. 13.11 КоАП. При утечке биометрических ПДн — ч. 17 ст. 13.11, штраф 15–20 млн ₽.

115-ФЗ и идентификация. Сбор ПДн в рамках антиотмывочной идентификации — самостоятельное правовое основание по ч. 2 п. 2 ст. 6 ФЗ-152 (исполнение обязанности, возложенной законом). При этом МФО не вправе использовать эти данные для других целей, например маркетинговых рассылок, без отдельного согласия. Такое смешение — нарушение принципа целевого использования ПДн по ст. 5 ФЗ-152.

«Ч. 8 ст. 14.8 КоАП — отказ обслуживать клиента по причине отсутствия биометрических данных в ЕБС — влечёт штраф для юрлица. Для МФО, обязанных предлагать биометрическую идентификацию как альтернативу, принудительное требование биометрии вместо классических документов создаёт самостоятельный состав.»

Что показывает практика: три сценария штрафа МФО

Ниже — три типовых сценария из практики 2024–2025 годов. Каждый демонстрирует конкретный путь от нарушения до протокола.

Сценарий 1. Согласие внутри договора займа. МФО включила согласие на обработку ПДн в текст стандартного договора займа, подписываемого через приложение. После 01.09.2025 (вступление в силу ФЗ-156) такой документ не соответствует требованию об отдельном согласии по ст. 9 ФЗ-152. Плановая проверка РКН зафиксировала нарушение при первом же изучении формы. Протокол — по ч. 2 ст. 13.11. Стратегия: до проверки переработать форму согласия как отдельный документ с реквизитами по ст. 9 ФЗ-152; при уже возбуждённом деле — представить суду доказательства устранения нарушения и заявить о применении ст. 4.1.1 КоАП (замена штрафа на предупреждение) при первичности нарушения для субъектов МСП.

Сценарий 2. Утечка через подрядчика-скоринговую платформу. МФО передала данные заёмщиков (ФИО, телефон, сумма займа) в аутсорсинговый скоринговый сервис без надлежащего договора поручения по п. 3 ст. 6 ФЗ-152. Утечка произошла на стороне подрядчика; в реестре РКН оказалось 18 000 строк. Квалификация: ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов), штраф 5–10 млн ₽. Дополнительно — ч. 1 ст. 13.11 за передачу без договора поручения. Позиция ВС РФ: оператор отвечает за утечку через подрядчика вне зависимости от наличия вины последнего. Стратегия: заключить договор поручения с подрядчиком, провести аудит всех третьих лиц, принимающих ПДн.

Сценарий 3. Неуведомление РКН об утечке в 24 часа. МФО обнаружила инцидент в субботу вечером; IT-служба приняла решение начать расследование в понедельник. К этому моменту 24-часовой срок первичного уведомления по ч. 3.1 ст. 21 ФЗ-152 истёк. Протокол — по ч. 11 ст. 13.11 (неуведомление об утечке), штраф 1–3 млн ₽. Стратегия: утвердить регламент реагирования на инциденты с дежурным ответственным 24/7; первичное уведомление через форму pd.rkn.gov.ru можно подать без полного описания — допустимо уточнять данные в 72-часовом отчёте.

Если финансовый директор уже видит в бюджете строку «риск штрафа РКН» — это сигнал, что нарушение существует, но не зафиксировано. Подготовить ОРД и устранить пробелы до проверки дешевле в 10–50 раз, чем платить штраф. Юристы DATUM соберут комплект ОРД под ключ и закроют типовые составы ст. 13.11.

Собрать ОРД под ключ

Как суды снижают штрафы МФО и когда это работает?

Санкция по ст. 13.11 КоАП — не окончательный приговор бюджету. Суды применяют несколько механизмов снижения.

Ст. 4.1.1 КоАП — замена штрафа на предупреждение. Применима для субъектов МСП и микропредприятий при первичном нарушении, если отсутствуют вред охраняемым общественным отношениям и имущественный ущерб третьим лицам. Не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные составы). На практике мировые судьи охотно применяют этот механизм при нарушениях ч. 3 (политика) и ч. 10 (неуведомление о намерении обрабатывать), если МФО устранила нарушение до рассмотрения дела.

Ст. 4.1 ч. 3.4-2 КоАП — скидка за инвестиции в ИБ. Если оператор документально подтвердит, что инвестиции в информационную безопасность составили не менее 0,1% совокупной выручки за 3 предшествующих года, штраф по оборотным составам (ч. 15 и ч. 18) снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Для этого потребуются: договоры с подрядчиками ИБ, акты выполненных работ, финансовая отчётность.

Совокупность нарушений и поглощение наказания. Если при одной проверке выявлено несколько составов, суд вправе назначить одно наказание в пределах санкции наиболее тяжкого нарушения. Это ключевой аргумент в арбитражном процессе: при грамотно сформированной позиции штраф за нарушение ч. 3 (политика, 30–60 тыс. ₽) поглощается штрафом за нарушение ч. 2 (согласие, 300–700 тыс. ₽), и МФО платит одну сумму, а не две.

Что подготовить МФО для минимизации риска по ст. 13.11

  • Отдельное согласие на обработку ПДн по ст. 9 ФЗ-152 (в редакции ФЗ-156 от 24.06.2025) — не внутри договора займа
  • Уведомление в реестр операторов РКН через pd.rkn.gov.ru (до начала обработки, ст. 22 ФЗ-152)
  • Опубликованная политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152 — доступна с главной страницы сайта МФО
  • Договор поручения с каждым подрядчиком, получающим ПДн заёмщиков (скоринг, маркетинг, коллекторы)
  • Регламент реагирования на инциденты с дежурным ответственным и чёткими сроками: первичное уведомление РКН в течение 24 часов, отчёт — 72 часа (Приказ РКН №187)

Как это применяется на практике

Кейс 1. МФО из Сибирского федерального округа (осень 2024 года) прошла плановую проверку РКН. Инспектор выявил три нарушения: отсутствие уведомления в реестре, согласие внутри договора и устаревшую политику. Протоколы составлены по ч. 10, ч. 2 и ч. 3 ст. 13.11. МФО являлась субъектом МСП, нарушения — первичные. Финансовый директор привлёк юристов; суд применил ст. 4.1.1 КоАП по ч. 3 и ч. 10, заменив штрафы на предупреждения. По ч. 2 штраф назначен в минимальном размере. Суммарная нагрузка составила менее 400 000 ₽ вместо расчётных 1,1 млн ₽ при полном штрафном сценарии.

Кейс 2. МФО из Центрального федерального округа (начало 2025 года) столкнулась с утечкой данных 22 000 заёмщиков через уязвимость в скоринговом API подрядчика. Первичное уведомление РКН направлено в течение 19 часов; 72-часовой отчёт включал меры по устранению уязвимости и ограничению доступа. Квалификация — ч. 13 ст. 13.11 (10 000–100 000 субъектов). В арбитражном суде финансовый директор представил доказательства инвестиций в ИБ за 3 года на уровне 0,18% выручки и оперативности уведомления. Штраф снижен до нижней границы диапазона. Повторное нарушение исключило бы применение ст. 4.1.1, но первичность позволила существенно сократить санкцию.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

МФО не вправе отказывать в обслуживании исключительно по причине отсутствия биометрических данных в ЕБС. Ч. 8 ст. 14.8 КоАП устанавливает штраф для юрлица за такой отказ. Биометрическая идентификация через ЕБС — дополнительный способ; отказ от неё не может быть основанием для отказа в займе, если клиент готов идентифицироваться иным способом, предусмотренным 115-ФЗ.

2. Что грозит МФО за утечку данных заёмщиков?

Размер штрафа зависит от числа пострадавших субъектов: при утечке данных 1 000–10 000 заёмщиков — 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП); 10 000–100 000 — 5–10 млн ₽ (ч. 13); свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — штраф 1–3 млн ₽ за неуведомление РКН в 24 часа (ч. 11 ст. 13.11).

3. Какое правовое основание обработки ПДн в МФО при выдаче займа?

Основание зависит от конкретного действия. Обработка ПДн, необходимых для заключения и исполнения договора займа, — п. 5 ч. 1 ст. 6 ФЗ-152 (без отдельного согласия). Передача данных в БКИ — на основании согласия субъекта по ст. 6 ФЗ-218. Сбор дополнительных данных для маркетинга или скоринга, выходящих за рамки договора, требует отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Смешение оснований — типовая причина протоколов по ч. 1 ст. 13.11.

4. Где хранится биометрия клиентов МФО — в ЕБС или у оператора?

С 01.06.2023 исходные биометрические слепки (изображение лица, голосовой слепок) обязаны храниться исключительно в Единой биометрической системе (ГИС ЕБС, оператор — АО «Центр Биометрических Технологий»). МФО, подключённые к ЕБС, не вправе хранить исходный биометрический шаблон локально. Нарушение квалифицируется по ст. 11 ФЗ-152 и ч. 16 ст. 13.11 КоАП. Уничтожить ранее собранные слепки необходимо немедленно после передачи в ЕБС или отказа от подключения.

5. Как оспорить автоматический отказ в займе по скорингу?

Ст. 16 ФЗ-152 закрепляет право субъекта требовать пересмотра решения, принятого исключительно на основе автоматизированной обработки ПДн. МФО обязана предусмотреть процедуру такого пересмотра с участием ответственного сотрудника и раскрыть её в политике обработки ПДн. Отсутствие механизма — нарушение ст. 16 ФЗ-152, которое квалифицируется как незаконная обработка по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Субъект вправе обратиться с жалобой в РКН или в суд.

Итог

Штрафы МФО по ст. 13.11 КоАП с 30.05.2025 стали структурным риском бюджета: даже единичное нарушение при наличии утечки тянет на 3–15 млн ₽, а повторность включает оборотный механизм до 500 млн ₽. Пересечение ФЗ-152 с ФЗ-218, ФЗ-572 и 115-ФЗ умножает количество точек, в которых возникает состав правонарушения. При этом инструменты снижения санкции — ст. 4.1.1 и ст. 4.1 КоАП — реально работают при грамотно выстроенной позиции.

Юристы DATUM специализируются на сопровождении финансовых организаций по ФЗ-152: от аудита обработки ПДн до защиты в арбитражном суде при оспаривании постановлений РКН. Практика по 152-ФЗ в финансовом секторе ведётся с 2014 года.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), антиотмывочный контроль.

11 февраля 2030 года