аналитика 28 января 2030 По состоянию на 28 января 2030

Хранение биометрии только в ЕБС (с 01.06.2023)

С 1 июня 2023 года банки и МФО обязаны хранить биометрические данные клиентов исключительно в Единой биометрической системе — ГИС ЕБС. Исходные шаблоны (изображение лица, голосовая запись) вне ЕБС незаконны.

Нарушение требований влечёт штраф до 1 млн ₽ по ст. 13.11.3 КоАП, а утечка биометрии — отдельный состав с санкцией 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП в редакции с 30.05.2025. Для финдиректора это прямое влияние на P&L без права на «скидку» по ст. 32.2 КоАП.

→ Если вы финдиректор финтех-компании или банка — эта статья объясняет, какие операционные и правовые риски создаёт биометрический комплаенс и во что они обходятся.

Переход на хранение биометрии исключительно в ЕБС изменил модель работы с персональными данными для банков, МФО, страховщиков и операторов НПС. Регулятор выстроил систему: сбор — в организации, хранение — только в ГИС ЕБС, оператор которой — АО «Центр биометрических технологий». Для финдиректора вопрос не в технической архитектуре, а в том, какую статью бюджета занимают санкции за отступление от этой модели и что нужно проверить, чтобы не оказаться в зоне риска.

Что изменилось с 01.06.2023 и почему это важно финдиректору?

До 1 июня 2023 года финансовые организации могли хранить биометрические шаблоны клиентов в собственных базах данных или у доверенных подрядчиков. ФЗ-572 от 29.12.2022 о ГИС ЕБС закрыл эту возможность. С указанной даты хранение исходных биометрических шаблонов вне ЕБС запрещено для организаций, подпадающих под действие закона: банков с универсальной лицензией, МФО, страховщиков, участников НПС.

Финансово это означает следующее. Расходы на собственную биометрическую инфраструктуру либо списываются (если данные перенесены в ЕБС), либо становятся источником регуляторного риска. Одновременно возникает обязанность по подключению к платформе АО «ЦБТ» и соблюдению её технических требований. Для МФО, где биометрия применяется при удалённой идентификации по 115-ФЗ, вопрос особенно актуален: без корректного хранения идентификация считается не проведённой, а кредитный договор — заключённым с нарушением.

«Ст. 11 ФЗ-152 устанавливает, что биометрические ПДн — это сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность. Их обработка допускается только с письменного согласия субъекта, кроме случаев, прямо предусмотренных законом. ФЗ-572 конкретизирует: хранение биометрических шаблонов осуществляется в ГИС ЕБС, оператор которой — АО "Центр биометрических технологий".»

Практически значимый момент для бюджета: если организация ещё не завершила миграцию и собственные биометрические базы не удалены, это квалифицируется как продолжающееся нарушение. Срока давности для длящегося нарушения в КоАП нет — проверка в любой момент фиксирует факт.

Биометрические данные клиентов всё ещё хранятся не только в ЕБС?

Если финдиректор не уверен, завершена ли миграция биометрии в ГИС ЕБС, — это операционный риск, который становится регуляторным при первой же проверке. Штраф по ст. 13.11.3 КоАП составляет до 1 млн ₽ за нарушение требований размещения в ЕБС, а утечка биометрии — отдельный состав с санкцией 15–20 млн ₽. Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как работает ЕБС и кто несёт ответственность при инциденте?

Архитектура ЕБС разделяет роли. Финансовая организация собирает биометрические образцы и передаёт их в ГИС ЕБС через сертифицированный канал. АО «Центр биометрических технологий» хранит шаблоны и обеспечивает их защиту. При запросе на идентификацию организация направляет сырые данные клиента, ЕБС возвращает результат сопоставления — без передачи самого шаблона обратно.

Для финдиректора принципиально важно: ответственность за нарушение при сборе и передаче остаётся на организации. Если биометрия собрана без надлежащего письменного согласия по ст. 11 ФЗ-152, санкция применяется к вашей компании, а не к ЦБТ. Утечка из ГИС ЕБС — отдельная история с отдельными ответчиками; утечка в процессе передачи или из временного буфера организации — ответственность оператора по ч. 17 ст. 13.11 КоАП (15–20 млн ₽ в редакции с 30.05.2025).

«ФЗ-572 от 29.12.2022 закрепляет запрет хранения организациями исходных биометрических шаблонов вне ЕБС с 01.06.2023. Ст. 13.11.3 КоАП устанавливает ответственность за нарушение требований к размещению биометрии в ЕБС для банков, МФО и иных участников. Ч. 17 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — штраф 15–20 млн ₽ за утечку биометрических ПДн.»

Отдельный вопрос — право клиента отказаться от биометрии. Ч. 8 ст. 14.8 КоАП запрещает отказывать в обслуживании потребителю, который не предоставил биометрию для ЕБС. Финансовые организации обязаны сохранить альтернативные каналы идентификации. Для МФО это означает: удалённый скоринг по биометрии допустим как дополнительный инструмент, но не как единственное условие заключения договора.

Что такое скоринг по ст. 16 ФЗ-152 и где риск для финтеха?

Ст. 16 ФЗ-152 регулирует автоматизированные решения, которые влекут юридические последствия для субъекта или иным образом затрагивают его права. Классический пример — кредитный скоринг: алгоритм без участия человека принимает решение об одобрении или отказе на основе ПДн заявителя, в том числе кредитной истории из БКИ по ФЗ-218.

Норма устанавливает: такое решение принимается только с согласия субъекта либо в случаях, прямо предусмотренных федеральным законом. Субъект вправе потребовать пересмотра решения с участием человека. Для финтех-компании, которая строит скоринговые модели на ПДн, это означает два обязательных элемента: отдельное информирование клиента о том, что решение принимается автоматически, и процедура оспаривания с реальным человеческим пересмотром.

«Ст. 16 ФЗ-152 ограничивает принятие решений исключительно на основе автоматизированной обработки ПДн, если они влекут юридические последствия или существенно затрагивают права субъекта. Субъект вправе требовать участия человека в пересмотре такого решения. Согласие на автоматизированное решение должно быть получено отдельно и явно.»

Практически значимый риск для финдиректора: если алгоритм ML-скоринга обучен на персональных данных без надлежащего обезличивания, а клиент подаёт жалобу в РКН на автоматический отказ — проверка охватит не только процедуру ст. 16, но и всю цепочку обработки ПДн. Это путь к комплексному штрафу по нескольким частям ст. 13.11 КоАП одновременно.

Что проверить финдиректору финтех-компании

Подтверждение завершения миграции биометрии в ГИС ЕБС и удаления собственных биометрических баз (акты, протоколы)
Наличие письменных согласий на сбор и передачу биометрии в ЕБС по ст. 11 ФЗ-152 с обязательными реквизитами
Отдельное информирование клиентов об автоматизированном скоринге по ст. 16 ФЗ-152 и процедура пересмотра
Альтернативные каналы идентификации для клиентов, отказавшихся от биометрии (ч. 8 ст. 14.8 КоАП)
Соглашение об уровне сервиса (SLA) с АО «ЦБТ» и регламент реагирования на инциденты с биометрией за 24 часа по ч. 3.1 ст. 21 ФЗ-152

Типовые сценарии: где финтех попадает под удар

Сценарий 1 — МФО и незавершённая миграция. МФО применяла собственную биометрическую систему удалённой идентификации по 115-ФЗ. После 01.06.2023 технический переход на ЕБС задержался: подрядчик сорвал сроки, собственные шаблоны оставались в облачном хранилище ещё восемь месяцев. При плановой проверке РКН выявил факт. Квалификация — ст. 13.11.3 КоАП за нарушение требований размещения в ЕБС. Дополнительный протокол — по ч. 2 ст. 13.11 (обработка без надлежащего согласия: согласие было оформлено на хранение в собственной системе, а не в ЕБС). Совокупный штраф составил сотни тысяч рублей; идентификационные операции за период нарушения оспорены контрагентами как проведённые ненадлежащим образом.

Сценарий 2 — банк и утечка при передаче. В банке Сибирского ФО (начало 2026 года) при передаче биометрических образцов в ЕБС через промежуточный сервис подрядчика произошёл несанкционированный доступ к временному буферу. Затронуто около 12 000 субъектов. Банк направил первичное уведомление в РКН за 21 час — в рамках 24-часового срока по ч. 3.1 ст. 21 ФЗ-152. Штраф по ч. 17 ст. 13.11 КоАП (утечка биометрии) составил в итоге более 15 млн ₽. Оперативность уведомления учтена как смягчающее обстоятельство, однако к оборотному составу по ч. 18 это не привело — первичный инцидент. Дополнительно банк выплатил компенсации субъектам по решению суда.

Если финдиректор видит в бюджете строки на собственную биометрическую инфраструктуру после 01.06.2023 — это сигнал незакрытого риска. Срок на уведомление РКН об утечке биометрии не восстанавливается: 24 часа по ч. 3.1 ст. 21 ФЗ-152, затем 72 часа на отчёт по Приказу РКН №187.

Заказать аудит 152-ФЗ

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не сдал биометрию?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в услуге на основании того, что он не предоставил биометрию для ЕБС. Финансовая организация обязана сохранить альтернативные способы идентификации. Штраф за нарушение этого запрета для юридических лиц — до 500 тыс. ₽ согласно санкции статьи. Это означает: биометрия в ЕБС может применяться как дополнительный канал, но не как единственное условие заключения договора или оказания услуги.

2. Что грозит МФО за утечку биометрических данных?

С 30.05.2025 применяется ч. 17 ст. 13.11 КоАП в редакции ФЗ-420: штраф для юридического лица — 15–20 млн ₽. При повторной утечке (если МФО уже привлекалась по ч. 16 или ч. 17) — ч. 18 ст. 13.11, оборотный штраф от 1 до 3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Для большинства МФО оборотный штраф означает суммы, сопоставимые с годовой прибылью портфеля. Помимо административной, возможна уголовная ответственность по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024.

3. На каком основании банк обрабатывает биометрию клиента?

Основание — письменное согласие субъекта по ст. 11 ФЗ-152. Согласие на обработку биометрии не может быть частью общих условий договора или оферты: оно оформляется отдельным документом с указанием цели, перечня биометрических данных, конкретных действий с ними и срока действия согласия. После 01.09.2025 требование об отдельном документе стало универсальным для любого вида согласия на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Биометрия как спецкатегория требовала письменного согласия и до этой даты.

4. Где физически хранится биометрия после сдачи в ЕБС?

Биометрические шаблоны хранятся в ГИС ЕБС, оператором которой является АО «Центр биометрических технологий». Финансовая организация передаёт образцы в ЕБС и обязана удалить собственные копии. При запросе на идентификацию организация направляет сырой образец, ЕБС возвращает только результат сопоставления — «совпадает / не совпадает» — без передачи хранимого шаблона. Хранение исходных биометрических данных вне ЕБС после 01.06.2023 квалифицируется как нарушение ФЗ-572 и ст. 13.11.3 КоАП.

5. Как клиент может оспорить отказ в кредите, принятый автоматически?

Ст. 16 ФЗ-152 даёт субъекту право потребовать пересмотра автоматизированного решения с участием человека. Финансовая организация обязана предусмотреть такую процедуру и информировать клиента о праве на её использование. Срок рассмотрения заявления — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней с уведомлением субъекта (ст. 20 ФЗ-152). Если процедура пересмотра не предусмотрена или клиент не был информирован об автоматизированном характере решения — это самостоятельное нарушение, которое может стать основанием для жалобы в РКН.

Итог

Хранение биометрии исключительно в ЕБС с 01.06.2023 — завершённое требование, а не переходный период. Для финтех-компаний практическая повестка: подтверждение миграции с документальным закрытием собственных баз, корректное оформление согласий на сбор и передачу биометрии, регламент реагирования на инциденты за 24 часа и процедура оспаривания скоринговых решений по ст. 16 ФЗ-152. Финансовые последствия нарушений в совокупности (ст. 13.11.3 + ч. 17 ст. 13.11 + возможный оборотный состав) несопоставимы с затратами на превентивный комплаенс.

DATUM сопровождает финтех-компании, банки и МФО по вопросам биометрического комплаенса, аудита обработки ПДн и защиты при проверках РКН и арбитражных разбирательствах по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка биометрического комплаенса по 38 пунктам
Комплект ОРД под ключ — согласия на биометрию, регламент ЕБС, политика обработки
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11.3 и ч. 17 ст. 13.11

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

28 января 2030 года