аналитика 25 января 2028 По состоянию на 25 января 2028

Кейсы 2026 по ч. 14: первые решения

Q: Какая подсудность дел после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул дела по ст. 13.11 КоАП мировым судьям. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. С 28 декабря 2025 года подсудность снова у мировых судей. Это влияет на тактику защиты: порядок обжалования, допустимые доказательства и сроки различаются в арбитражном и мировом производстве.

Часть 14 ст. 13.11 КоАП — это штраф 10–15 млн ₽ за утечку данных более 100 000 субъектов. С 30.05.2025 норма действует в редакции ФЗ-420, и 2026 год принёс первые состоявшиеся решения.

Суды накапливают практику: уже известны подходы к смягчению, замене штрафа и применению «инвестиционной скидки» по ст. 4.1 КоАП. Повторная утечка переводит дело в ч. 15 с оборотным штрафом от 20 млн ₽.

Если вы CEO и ваша компания получила протокол по ч. 14 — у вас есть конкретные инструменты защиты. Разбираем их на реальных кейсах.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7, три уровня ответственности за утечку в зависимости от масштаба и отдельный оборотный состав за повторность. Ч. 14 — верхний уровень «базовой» шкалы: утечка данных более 100 000 субъектов или более 1 000 000 идентификаторов влечёт штраф 10–15 млн ₽ для юридического лица. К середине 2026 года арбитражные суды и мировые судьи вынесли первые решения по этой норме — и они уже формируют практику, на которую стоит ориентироваться при выстраивании защиты.

Что изменилось в ст. 13.11 КоАП с 30.05.2025?

До вступления в силу ФЗ-420 максимальный штраф для юридического лица по ст. 13.11 составлял 500 000 ₽. Новая редакция разделила ответственность за утечку на три ступени по числу субъектов:

Ч. 12 — от 1 000 до 10 000 субъектов: 3–5 млн ₽.
Ч. 13 — от 10 000 до 100 000 субъектов: 5–10 млн ₽.
Ч. 14 — более 100 000 субъектов или более 1 000 000 идентификаторов: 10–15 млн ₽.

Помимо «базовых» санкций, ч. 15 ввела оборотный штраф при повторности: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Параллельно с 11.12.2024 действует ст. 272.1 УК РФ: незаконные действия с персональными данными в компьютерных системах влекут уголовную ответственность до 10 лет лишения свободы по ч. 5.

«Ст. 13.11 ч. 14 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025) — штраф для юридического лица за утечку персональных данных более 100 000 субъектов или более 1 000 000 идентификаторов: от 10 000 000 до 15 000 000 рублей.»

Важно: ФЗ-508 от 28.12.2025 вернул подсудность дел по ст. 13.11 мировым судьям. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды, поэтому часть первых кейсов 2025 года прошла через арбитраж. С 28.12.2025 снова действует подсудность мировым судьям — это меняет процессуальную тактику защиты.

Получили протокол по ч. 14 ст. 13.11 или ожидаете проверку РКН?

Если вы CEO и компания столкнулась с протоколом по ч. 14 — минимальный штраф составляет 10 млн ₽. Ошибка в позиции на стадии протокола сужает возможности при обжаловании. Юристы DATUM оценят состав, проверят процессуальные нарушения и подготовят стратегию защиты — от ходатайства о снижении до замены штрафа при наличии оснований.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие первые решения по ч. 14 вынесены в 2026 году?

По данным публичных источников и обзоров правоприменительной практики, к середине 2026 года по новой редакции ст. 13.11 назначено ограниченное число штрафов. Суды и регулятор накапливают практику: большинство дел, возбуждённых по утечкам 2025 года, всё ещё находятся на стадии рассмотрения или обжалования.

Показательны два верифицированных дела из реестра практики.

Кейс 1. АС Москвы, дело № А40-351064/2025 (РЭШ). Утечка данных более 100 000 субъектов — квалификация по ч. 14. Суд применил правила расчёта для индивидуальных предпринимателей по ч. 1 ст. 4.1.2 КоАП (статус микропредприятия) и назначил штраф 400 000 ₽ — существенно ниже базового диапазона 10–15 млн ₽. Это первый публичный прецедент применения «микропредприятийного» снижения к составу ч. 14.

Кейс 2. АС Санкт-Петербурга и Ленинградской области, дело № А56-4733/2026 от 10.03.2026 (ПКР Аналитика). Утечка данных около 70 000 субъектов — ФИО, должности, служебные контакты — в результате хакерской атаки. Квалификация — ч. 14. Суд применил смягчающие обстоятельства. Итоговый штраф существенно ниже максимума. Дело показало: хакерская природа инцидента сама по себе не освобождает от ответственности, но учитывается при назначении санкции.

Принципиальный вывод из обоих дел: суды готовы снижать штраф при наличии задокументированных смягчающих обстоятельств, однако автоматического снижения не происходит — позицию нужно формировать и доказывать.

Что подготовить при получении протокола по ч. 14

Заключение о технической природе инцидента (внутреннее расследование или независимый аудит ИБ) — подтверждение внешней атаки как смягчающего обстоятельства.
Доказательства инвестиций в информационную безопасность за последние 3 года — для применения «скидки» по ст. 4.1 КоАП (0,1% от выручки как порог).
Документы об уведомлении РКН за 24 и 72 часа по Приказу РКН №187 — подтверждение добросовестного поведения оператора.
Сведения о статусе юридического лица: микропредприятие, малое предприятие — для применения ст. 4.1.2 КоАП при расчёте санкции.
Данные о выручке за предшествующий год — расчёт оборотного порога на случай квалификации по ч. 15 при повторности.

Как работают механизмы снижения штрафа по ч. 14?

Ст. 13.11 КоАП не содержит автоматического освобождения от ответственности. Тем не менее действующее законодательство предусматривает несколько инструментов снижения санкции.

Инвестиционная скидка (ст. 4.1 КоАП, примечание 3.4-2). Если оператор вложил в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам — ч. 15 и ч. 18 ст. 13.11 — снижается до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Норма прямо применима к повторным нарушениям. По базовым составам (ч. 12–14) инвестиции учитываются как смягчающее обстоятельство.

Замена штрафа на предупреждение (ст. 4.1.1 КоАП). Возможна для субъектов малого и среднего предпринимательства при первичности нарушения и отсутствии вреда охраняемым интересам. Прямо не применяется к ч. 15 и ч. 18 (оборотные), но к ч. 14 при первичном нарушении — практика допускает. В деле из Сибирского федерального округа (начало 2026) хакеры похитили базу данных работников менее 1 000 человек; суд применил ст. 4.1.1 и назначил предупреждение вместо штрафа — компания имела статус микропредприятия.

Статус микропредприятия (ст. 4.1.2 КоАП). Для организаций, внесённых в реестр МСП как микропредприятия, штраф рассчитывается по правилам для индивидуальных предпринимателей. Именно этот механизм использован в деле РЭШ: итоговый штраф составил 400 000 ₽ при базовом диапазоне 10–15 млн ₽.

Смягчающие обстоятельства (ст. 4.2 КоАП). Добровольное уведомление РКН, оперативное устранение последствий, содействие расследованию — каждое из них снижает итоговую санкцию. Совокупность трёх и более смягчающих даёт суду основание назначить штраф ниже минимума по ч. 3.2 ст. 4.1 КоАП.

«Ст. 4.1 КоАП, примечание 3.4-2: при документально подтверждённых инвестициях в ИБ не менее 0,1% выручки за 3 предшествующих года штраф по ч. 15 и ч. 18 ст. 13.11 — одна десятая минимума, но не менее 15 млн ₽ и не более 50 млн ₽.»

Если вы CEO и размышляете над тем, как подтвердить инвестиции в ИБ или использовать статус МСП при назначении штрафа — это решается на стадии до вынесения постановления. После вступления в силу возможности сужаются. Юристы DATUM проведут аудит комплаенса и оценят применимость каждого механизма снижения к вашей ситуации.

Заказать аудит 152-ФЗ

Какие сценарии наиболее вероятны для CEO в 2026 году?

Практика 2026 года выявила три типовые ситуации, с которыми руководители компаний обращаются за защитой.

Сценарий 1. Утечка через подрядчика — протокол на оператора. Компания передала обработку ПДн внешнему сервису (CRM, облачное хранилище, колл-центр). Подрядчик допустил утечку данных более 100 000 клиентов. РКН возбудил дело против оператора — по устойчивой позиции судов, оператор отвечает за действия лица, осуществляющего обработку по его поручению. Доказательства: договор поручения обработки, техническое задание, журналы доступа. Стратегия: одновременно с защитой в производстве по КоАП — претензия к подрядчику о возмещении убытков, включая сумму штрафа.

Сценарий 2. Первичная утечка, компания не уведомила РКН за 24 часа. Инцидент обнаружен, но уведомление по ч. 3.1 ст. 21 ФЗ-152 направлено с задержкой. Итог: два протокола — по ч. 14 (утечка) и по ч. 11 ст. 13.11 (неуведомление, штраф 1–3 млн ₽). Доказательства: время обнаружения инцидента, журналы SOC, переписка с РКН. Стратегия: минимизировать разрыв между обнаружением и уведомлением, добровольное содействие расследованию как смягчающее.

Сценарий 3. Повторная утечка — угроза ч. 15. Компания уже привлекалась по ч. 12–14 ст. 13.11. Новый инцидент переводит дело в ч. 15: оборотный штраф 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Для компании с выручкой 1 млрд ₽ это 10–30 млн ₽. Стратегия: до вынесения постановления по первому делу — исчерпать все апелляционные возможности, параллельно инвестировать в ИБ для документирования порога 0,1% и применения примечания к ст. 4.1 КоАП.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30 мая 2025 года статья содержит 18 частей в редакции ФЗ-420 от 30.11.2024. За утечку персональных данных для юридического лица: ч. 12 — 3–5 млн ₽ (1 000–10 000 субъектов), ч. 13 — 5–10 млн ₽ (10 000–100 000 субъектов), ч. 14 — 10–15 млн ₽ (более 100 000 субъектов или более 1 000 000 идентификаторов). Повторная утечка — ч. 15, оборотный штраф 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Утечки, произошедшие до 30.05.2025, квалифицируются по старой редакции — как показало дело АС Москвы № А40-263126/2025 (26 млн записей, штраф 150 000 ₽).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении — если компания уже привлекалась по ч. 12, 13, 14, 16, 17 или 18. Размер: 1–3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП к этому составу не применяется. При инвестициях в ИБ от 0,1% выручки за три года штраф снижается до одной десятой минимума по примечанию 3.4-2 к ст. 4.1 КоАП — но не менее 15 млн ₽ и не более 50 млн ₽.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ — нижняя граница оборотного штрафа по ч. 15 ст. 13.11 КоАП при повторной утечке. Он применяется, когда 1–3% годовой выручки оказываются ниже этой суммы. Для компаний с выручкой менее 667 млн ₽ в год штраф составит ровно 20 млн ₽ (при ставке 3%). При инвестициях в ИБ ≥ 0,1% выручки за три года минимум снижается до 15 млн ₽ по ст. 4.1 КоАП.

4. Можно ли заменить штраф на предупреждение?

Для субъектов малого и среднего предпринимательства замена штрафа на предупреждение возможна по ст. 4.1.1 КоАП при первичности нарушения и отсутствии реального вреда. К оборотным составам (ч. 15, ч. 18) эта норма не применяется. По ч. 14 при первичном нарушении и статусе микропредприятия практика допускает как замену на предупреждение, так и применение ст. 4.1.2 КоАП с расчётом по правилам для ИП — именно так назначен штраф 400 000 ₽ в деле РЭШ (А40-351064/2025) вместо базовых 10–15 млн ₽.

5. Какая подсудность дел после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул дела по ст. 13.11 КоАП на рассмотрение мировых судей. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды — именно они вынесли первые решения по новым составам. С 28 декабря 2025 года подсудность снова у мировых судей. Это влияет на процессуальную тактику: порядок обжалования, допустимые доказательства, сроки.

Итог

Практика по ч. 14 ст. 13.11 КоАП в 2026 году только формируется: число дел невелико, суды нащупывают подходы к смягчению. Механизмы снижения — статус микропредприятия, инвестиции в ИБ, замена на предупреждение — работают, но требуют заблаговременной подготовки доказательной базы. Повторная утечка переводит дело в оборотный состав с порогом от 20 млн ₽, где возможности снижения существенно уже.

DATUM сопровождает операторов по ст. 13.11 КоАП с момента возбуждения дела до вступления постановления в силу. Практика охватывает дела по всем частям новой редакции — от протокола до арбитражного обжалования.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 и ст. 4.1.1 КоАП.
Аудит соответствия 152-ФЗ — проверка обработки ПДн по чек-листу из 38 пунктов до проверки РКН.
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в редакции ФЗ-420, защита от оборотных штрафов, ст. 4.1 и ст. 4.1.1 КоАП. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

25 января 2028 года