аналитика 14 марта 2029 По состоянию на 14 марта 2029

Кейсы штрафов БКИ по 13.11

Бюро кредитных историй — операторы персональных данных миллионов субъектов. С 30.05.2025 штрафы по ст. 13.11 КоАП выросли кратно: за утечку от 10 000 до 100 000 субъектов — 5–10 млн ₽, за повторную — оборотный штраф до 500 млн ₽.

В 2024 году РКН зафиксировал свыше 710 млн скомпрометированных записей. Финансовый сектор — среди лидеров по числу инцидентов. БКИ, МФО и банки несут ответственность как по ФЗ-152, так и по специальным нормам ФЗ-218 и ФЗ-572.

→ Если вы финансовый директор и оцениваете бюджетные риски от утечек — ниже разбор реальных кейсов и расчёт потенциального ущерба.

С 30.05.2025 статья 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. Для финансового сектора это означает новую арифметику риска. БКИ, обрабатывающее данные сотен тысяч заёмщиков, при утечке попадает сразу под несколько составов — от ч. 12 до ч. 15. Дополнительно работают специальные нормы: ФЗ-218 о кредитных историях, ФЗ-572 о Единой биометрической системе, ст. 16 ФЗ-152 об автоматизированных решениях при скоринге. В этой статье — анализ правоприменительной практики, типовые нарушения и расчёт стоимости ошибки для финансового директора.

Какие нормы регулируют обработку данных в БКИ и банках?

Бюро кредитных историй — классический оператор персональных данных по ст. 3 ФЗ-152. Одновременно БКИ является специальным субъектом по ФЗ-218 от 30.12.2004: закон устанавливает отдельный режим работы с кредитными историями, включая основания передачи данных, сроки хранения и порядок предоставления субъекту. Срок хранения кредитной истории — 7 лет с момента последнего изменения.

Банки и МФО при обработке данных заёмщиков сталкиваются с пересечением нескольких правовых режимов одновременно. Основания обработки по ст. 6 ФЗ-152 в банковской практике — преимущественно исполнение договора (п. 5) и исполнение правовых обязанностей (п. 2), включая нормы 115-ФЗ о противодействии отмыванию. Согласие как основание применяется для дополнительных целей: маркетинговые рассылки, передача в скоринговые модели третьих лиц, запросы в БКИ сверх обязательных.

«Ст. 16 ФЗ-152 — автоматизированные решения, влекущие правовые последствия для субъекта, допустимы только при его согласии или в прямо предусмотренных законом случаях. Субъект вправе потребовать пересмотра такого решения с участием человека.»

Скоринг в банке или МФО — типичный случай применения ст. 16 ФЗ-152. Если кредитный конвейер отказывает без участия специалиста, а клиент оспаривает решение — банк обязан обеспечить проверку человеком. Нарушение этого требования создаёт основание для жалобы в РКН и иска в суд.

Биометрические данные в финансовом секторе регулирует ФЗ-572 от 29.12.2022. Банки обязаны размещать биометрию клиентов в Единой биометрической системе (ЕБС), оператор которой — АО «Центр Биометрических Технологий». Хранение исходной биометрии вне ЕБС с 01.06.2023 запрещено. При этом ч. 8 ст. 14.8 КоАП запрещает отказывать клиенту в обслуживании по причине отсутствия биометрии в ЕБС.

Финансовый директор: как рассчитать реальный риск от утечки в БКИ или банке?

Размер штрафа по ст. 13.11 КоАП зависит от числа затронутых субъектов и факта повторности. При базе от 100 000 субъектов потенциальный штраф — 10–15 млн ₽ по ч. 14, при повторной утечке — оборотный по ч. 15 до 500 млн ₽. Стоимость аудита соответствия — от 100 000 ₽. Разница в один-два порядка. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что показывают кейсы штрафов БКИ и МФО по ст. 13.11 КоАП?

До 30.05.2025 максимальный штраф по ст. 13.11 КоАП для юридического лица составлял 500 000 ₽ по ч. 2 (старой редакции). Большинство дел в финансовом секторе завершалось суммами от 60 000 до 300 000 ₽. С вступлением в силу ФЗ-420 ситуация изменилась: новые составы прямо привязаны к числу пострадавших субъектов, а повторность влечёт оборотный штраф.

Показательный ориентир — дело № А40-263126/2025 в Арбитражном суде Москвы: утечка 26 миллионов записей получила штраф всего 150 000 ₽. Причина — инцидент произошёл до 01.06.2025, и суд применил нормы старой редакции ч. 1 ст. 13.11. Это означает: компании, у которых утечка случилась до переходной даты, рассчитывали риски по старому закону. С 30.05.2025 аналогичная ситуация стоила бы 10–15 млн ₽ по ч. 14.

В том же обзоре практики за начало 2026 года зафиксированы первые дела по новым нормам. По делу № А40-351064/2025 (РЭШ) утечка более 100 000 субъектов квалифицирована по ч. 14 ст. 13.11 — диапазон 10–15 млн ₽. Суд снизил штраф до 400 000 ₽ с учётом статуса микропредприятия и применения ч. 1 ст. 4.1.2 КоАП. Для среднего банка или крупного БКИ такое смягчение недоступно.

«Ч. 14 ст. 13.11 КоАП (ред. с 30.05.2025) — утечка ПДн более 100 000 субъектов или более 1 000 000 идентификаторов — штраф для юридического лица 10 000 000 – 15 000 000 ₽.»

Для МФО отдельный риск создаёт работа с несколькими категориями ПДн одновременно: паспортные данные, сведения о доходах, история платежей. Утечка такой базы даже в небольшом объёме (от 1 000 субъектов) квалифицируется по ч. 12 ст. 13.11 — 3–5 млн ₽. Плюс отдельный штраф 1–3 млн ₽ по ч. 11, если уведомление РКН не направлено в 24 часа.

Какие нарушения чаще всего фиксирует РКН в финансовом секторе?

По результатам проверок РКН в банках и МФО выявляются четыре типовые группы нарушений. Первая — несоответствие уведомления в реестре операторов реальному составу обработки: компания обновила продуктовую линейку, добавила скоринговые модели, но уведомление не скорректировала. Нарушение ст. 22 ФЗ-152 влечёт штраф по ч. 10 ст. 13.11 — 100 000–300 000 ₽.

Вторая группа — согласия. В банковской практике согласие на обработку ПДн исторически вписывалось в текст договора или анкеты. С 01.09.2025 согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — это отдельный документ. Старая форма «в договоре» создаёт состав по ч. 2 ст. 13.11 — штраф 300 000–700 000 ₽ за каждый факт.

Третья группа — передача данных третьим лицам без надлежащего оформления поручения. Банк передаёт данные в скоринговое бюро или коллекторское агентство без договора поручения по п. 3 ст. 6 ФЗ-152 или с ненадлежащим содержанием. Четвёртая — нарушение требований к биометрии: хранение шаблонов вне ЕБС или принуждение клиента к предоставлению биометрии под угрозой отказа в обслуживании.

Что финансовому директору проверить прямо сейчас

Уведомление в реестре РКН актуально и отражает все категории обрабатываемых ПДн, включая скоринговые модели и ЕБС
Согласия клиентов и заёмщиков переоформлены в отдельные документы по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (действует с 01.09.2025)
Договоры поручения обработки ПДн с БКИ, коллекторами, скоринговыми партнёрами содержат обязательные условия по п. 3 ст. 6 ФЗ-152
Биометрические шаблоны размещены в ЕБС, локальные копии уничтожены; клиентам не отказывают в обслуживании из-за отсутствия биометрии
Регламент реагирования на инциденты предусматривает уведомление РКН в 24 часа по ч. 3.1 ст. 21 ФЗ-152 и отчёт в 72 часа по Приказу РКН №187

Как работает оборотный штраф при повторной утечке в финансовой компании?

Ч. 15 ст. 13.11 КоАП — оборотный штраф — применяется при повторном нарушении по ч. 12–14 (утечки) лицом, уже привлекавшимся по этим составам. Формула: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽. Для банка с выручкой 10 млрд ₽ минимальный оборотный штраф при ставке 1% — 100 млн ₽.

«Ч. 15 ст. 13.11 КоАП (ред. с 30.05.2025) — повторная утечка ПДн при наличии предшествующего привлечения по ч. 12–14 или ч. 15 — штраф 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽.»

Важное исключение — ст. 4.1 КоАП, примечание 3.4-2: если оператор вложил в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, оборотный штраф снижается до 1/10 минимального размера — но не менее 15 млн ₽ и не более 50 млн ₽. Для крупного банка это реальный инструмент бюджетной защиты, если инвестиции в ИБ задокументированы.

Стандартная скидка за быструю уплату по ст. 32.2 КоАП к оборотным штрафам не применяется. Это принципиально отличает ч. 15 от «базовых» составов: стандартная экономия 50% при оплате в 20 дней здесь недоступна.

Типовые сценарии для финансового директора

Сценарий 1. БКИ без актуального уведомления. Бюро кредитных историй расширило перечень обрабатываемых данных (добавило телефоны и email для верификации), но уведомление в реестре РКН не обновило. При плановой проверке инспектор фиксирует расхождение между реальной обработкой и заявленной. Состав — ч. 10 ст. 13.11: 100 000–300 000 ₽. Параллельно выявляется отсутствие договора поручения с одним из партнёров — добавляется ч. 1 ст. 13.11: 150 000–300 000 ₽. Итого по двум составам — до 600 000 ₽. Оба нарушения устраняются обновлением уведомления и заключением договора, если обнаружены до проверки.

Сценарий 2. МФО: утечка базы заёмщиков через подрядчика. МФО работает со сторонней CRM-платформой. Хакерская атака на платформу приводит к утечке 15 000 записей (ФИО, телефон, сумма займа). МФО не уведомляет РКН в 24 часа — штраф по ч. 11: 1–3 млн ₽. Утечка квалифицируется по ч. 13 (от 10 000 до 100 000 субъектов): 5–10 млн ₽. Суммарный риск — 6–13 млн ₽. По принципу ответственности оператора за подрядчика, подтверждённому судебной практикой, ссылка на «вину CRM-вендора» не освобождает МФО от ответственности. Наличие договора поручения с корректными условиями снижает, но не исключает ответственность оператора.

Сценарий 3. Банк: биометрия и отказ клиенту. Банк настроил операционный регламент так, что открытие счёта удалённо возможно только при наличии биометрии в ЕБС. Клиент без биометрии получает отказ. Жалоба в РКН — возбуждение дела по ч. 8 ст. 14.8 КоАП. Параллельно проверяется, уничтожены ли локальные биометрические шаблоны: если нет — состав по ч. 16 ст. 13.11. Два независимых штрафа при одной проверке.

Если финансовый директор оценивает бюджетный риск от утечки — у компании 24 часа на уведомление РКН с момента инцидента. После этого срока штраф по ч. 11 ст. 13.11 неизбежен. Юристы DATUM помогут выстроить комплаенс до наступления этого момента.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Микрофинансовая организация (Приволжский ФО, конец 2025 года) обнаружила утечку данных 8 000 действующих заёмщиков через устаревший API-метод. Инцидент выявлен в ходе внутреннего аудита. МФО направила первичное уведомление в РКН в течение 20 часов, отчёт — через 68 часов. Оба срока соблюдены. РКН возбудил дело по ч. 12 ст. 13.11 (1 000–10 000 субъектов, штраф 3–5 млн ₽). Суд при рассмотрении принял во внимание оперативность уведомления и наличие внедрённых технических мер — штраф назначен в нижней части диапазона. По результатам МФО провела аудит и закрыла устаревшие API-методы.

Кейс 2. Региональный банк (Уральский ФО, весна 2026 года) при проверке РКН получил предписание по двум основаниям: согласия на обработку ПДн заёмщиков по-прежнему вписаны в кредитный договор (нарушение требований ФЗ-156, действующих с 01.09.2025), и уведомление в реестре не отражало передачу данных в два скоринговых бюро. По ч. 2 ст. 13.11 назначен штраф в диапазоне сотен тысяч рублей; по ч. 10 — отдельный штраф. После получения предписания банк за 45 дней переоформил все согласия клиентов и обновил уведомление. Общие затраты на устранение нарушений оказались в несколько раз ниже суммарного штрафа.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех оснований обработки, уведомления и ОРД финансовой компании
Комплект ОРД под ключ — полный пакет документов для банка, МФО или БКИ
Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если у него нет биометрии в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в обслуживании по причине отсутствия биометрических данных в ЕБС. Нарушение влечёт штраф для юридического лица. Банк вправе предлагать биометрическую идентификацию как опцию, но не вправе делать её обязательным условием получения услуги. Отдельно: предоставление биометрии в ЕБС — только добровольное, по письменному согласию клиента согласно ст. 11 ФЗ-152 и ФЗ-572.

2. Что грозит МФО за утечку базы заёмщиков?

Состав и размер штрафа зависят от числа пострадавших субъектов. За утечку от 1 000 до 10 000 человек — ч. 12 ст. 13.11, штраф 3–5 млн ₽; от 10 000 до 100 000 — ч. 13, 5–10 млн ₽; свыше 100 000 — ч. 14, 10–15 млн ₽. Дополнительно — штраф 1–3 млн ₽ по ч. 11, если РКН не уведомлён в 24 часа с момента обнаружения инцидента. При повторной утечке применяется оборотный штраф по ч. 15 — 1–3% годовой выручки, не менее 20 млн ₽.

3. Какое правовое основание для обработки ПДн заёмщиков в банке?

Основное — исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152): обработка необходима для заключения и исполнения кредитного договора. Также применяется п. 2 ч. 1 ст. 6 — исполнение правовых обязанностей, включая 115-ФЗ об идентификации клиента и НПС. Для дополнительных целей (маркетинг, передача в скоринговые бюро сверх обязательного минимума) — отдельное согласие по ст. 9 ФЗ-152, с 01.09.2025 оформляемое отдельным документом согласно ФЗ-156.

4. Где хранится биометрия клиентов банка — в ЕБС или у самого банка?

С 01.06.2023 хранение исходных биометрических шаблонов вне Единой биометрической системы (ЕБС) запрещено. Банки обязаны размещать биометрические данные клиентов в ЕБС, оператором которой является АО «Центр Биометрических Технологий», и уничтожать локальные копии. Регулирование — ФЗ-572 от 29.12.2022. За нарушение этого требования применяется ч. 16 ст. 13.11 КоАП.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

Ст. 16 ФЗ-152 даёт субъекту право потребовать от оператора пересмотра автоматизированного решения, влекущего правовые последствия, с участием специалиста-человека. Клиент подаёт письменное обращение к оператору. Если банк отказывает или не реагирует в установленный срок (10 рабочих дней по ст. 20 ФЗ-152) — жалоба в РКН или иск в суд. Данная норма распространяется на кредитный скоринг, страховой андеррайтинг и иные автоматизированные решения в финансовом секторе.

Итог

С 30.05.2025 финансовый директор банка, МФО или БКИ работает в принципиально другой системе рисков: штраф за утечку от 100 000 субъектов — 10–15 млн ₽, при повторности — до 500 млн ₽. Специальные нормы ФЗ-218 и ФЗ-572 добавляют отраслевые составы сверх общих. Предотвращение нарушений через аудит и ОРД обходится в 10–100 раз дешевле, чем устранение последствий.

Юристы DATUM специализируются на сопровождении финансовых компаний по ФЗ-152: от аудита обработки ПДн до защиты в арбитраже при штрафах по ст. 13.11 КоАП. Практика охватывает банки, МФО, БКИ и страховщиков.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 марта 2029 года