аналитика 14 января 2027 По состоянию на 14 января 2027

МФО и скоринг: ст. 16 152-ФЗ

Статья 16 ФЗ-152 запрещает принимать решения о правах и обязанностях гражданина исключительно на основе автоматизированной обработки его персональных данных — без участия человека.

Для МФО это означает: скоринговые модели, которые отказывают в займе без ручной проверки, нарушают ст. 16 ФЗ-152 и дают основание для штрафа по ч. 1 ст. 13.11 КоАП до 300 000 ₽ — а при повторности до 500 000 ₽. С 30.05.2025 оборотный штраф по ч. 15 — от 1 до 3% выручки, не менее 20 млн ₽.

→ Если вы финансовый директор МФО или банка и платите за скоринг-платформу — пора оценить её правовой статус.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних девяти, оборотный штраф за повторную утечку и новые составы по биометрии. МФО оказались в зоне тройного регуляторного давления — ФЗ-152 (скоринг и ПДн клиентов), ФЗ-218 (передача в БКИ), ФЗ-572 (ЕБС для идентификации). В этой статье — что именно проверяет Роскомнадзор, какие нормы образуют риск для финансового директора и как выстроить защитный контур.

Что запрещает ст. 16 ФЗ-152 при скоринге в МФО?

Статья 16 ФЗ-152 устанавливает два требования. Первое: оператор не вправе принимать решения, влекущие правовые последствия для субъекта, только на основе автоматической обработки его ПДн — если субъект не дал на это явного согласия или если договор прямо не предусматривает такой порядок. Второе: субъект вправе потребовать пересмотра решения с участием человека.

Для МФО это означает: если скоринговая система выдаёт отказ в займе или снижает лимит без какого-либо ручного контроля, субъект вправе оспорить решение. Оператор обязан рассмотреть возражение в срок, установленный регламентом, и письменно объяснить причины отказа. Отсутствие такого механизма — нарушение ст. 16 ФЗ-152.

«Ст. 16 ФЗ-152: решение, порождающее правовые последствия в отношении субъекта, не может быть принято исключительно на основании автоматизированной обработки его ПДн без права субъекта на возражение и пересмотр решения человеком.»

На практике большинство МФО используют конвейерный скоринг: запрос в БКИ по ФЗ-218, оценка поведенческих факторов, сигнал из АФС. Каждый из этих источников содержит ПДн — и каждый этап передачи должен быть обеспечен правовым основанием. Отдельного согласия на скоринговую обработку недостаточно, если оно не содержит обязательных реквизитов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Финдиректор: посчитайте стоимость несоответствия

Аудит соответствия ст. 16 ФЗ-152 и всего контура обработки ПДн в МФО стоит от 100 000 ₽. Штраф по ч. 1 ст. 13.11 — до 300 000 ₽; при утечке данных от 10 000 субъектов — до 10 млн ₽ по ч. 13. При повторности — оборотный штраф от 20 млн ₽ по ч. 15. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как ФЗ-218 и БКИ связаны с рисками по 152-ФЗ для МФО?

Федеральный закон № 218-ФЗ «О кредитных историях» обязывает МФО передавать информацию о заёмщиках в бюро кредитных историй в течение пяти рабочих дней с даты совершения действия. Передача данных в БКИ — это отдельная операция обработки ПДн, требующая самостоятельного правового основания.

Основание — п. 2 или п. 5 ч. 1 ст. 6 ФЗ-152: исполнение обязанности, возложенной законом, либо исполнение договора с субъектом. Согласие субъекта на передачу в БКИ не требуется — закон сам предписывает её. Однако согласие на запрос кредитной истории при первичном обращении обязательно — и это отдельный документ с реквизитами по ст. 9 ФЗ-152.

Срок хранения кредитной истории по ФЗ-218 — 7 лет с даты последней записи. МФО не вправе хранить исходные ПДн, использовавшиеся для скоринга, дольше, чем предусмотрено целью обработки: по ст. 5 ФЗ-152 данные уничтожаются или обезличиваются при достижении цели. Разрыв между сроком хранения в БКИ и сроком хранения внутри МФО — типичная находка при аудите.

«Ст. 5 ФЗ-152: хранение ПДн прекращается, когда цель обработки достигнута или утратила актуальность. Объём данных должен соответствовать заявленной цели — не шире.»

Параллельно МФО обязаны соблюдать требования 115-ФЗ об идентификации клиентов. Идентификация в дистанционном канале через ЕБС регулируется ФЗ-572: МФО подключаются к ГИС ЕБС через операторов связи или банки-агенты. Хранение биометрических данных на собственных серверах МФО с 01.06.2023 запрещено — только в ЕБС.

Что меняет ФЗ-572 и ч. 8 ст. 14.8 КоАП для финансового директора?

Закон о единой биометрической системе (ФЗ-572) ввёл запрет на отказ в обслуживании клиенту, не разместившему биометрию в ЕБС. Норма отражена в ч. 8 ст. 14.8 КоАП: требовать от потребителя предоставления биометрии для получения финансовой услуги нельзя. Нарушение влечёт штраф для юридического лица — до 500 000 ₽.

Для МФО это создаёт практическую коллизию: биометрическая идентификация через ЕБС удобна для дистанционного канала, но делать её обязательной условием выдачи займа — прямое нарушение. Финансовый директор, утверждающий продуктовую документацию, должен убедиться, что договор займа и форма заявки не содержат обязательного поля «биометрическое согласие».

«Ч. 8 ст. 14.8 КоАП: юридическое лицо не вправе отказывать потребителю в предоставлении услуги по мотиву непредоставления биометрических ПДн для включения в ЕБС. Штраф — до 500 000 ₽.»

Обработка биометрии без письменного согласия субъекта — отдельный состав по ч. 16 ст. 13.11 КоАП. Утечка биометрических данных квалифицируется по ч. 17 — от 15 до 20 млн ₽. При повторности — оборотный штраф по ч. 18. Для МФО, работающих с лицевой биометрией в мобильных приложениях (FaceID-авторизация, сканирование паспорта), это прямой риск бюджета.

Что проверить финансовому директору МФО

Форма согласия на скоринговую обработку: содержит ли обязательные реквизиты ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — отдельный документ, не встроенный в договор займа
Регламент по ст. 16 ФЗ-152: есть ли процедура рассмотрения возражений субъекта на скоринговое решение с участием человека
Договор с БКИ: указано ли в уведомлении РКН (ст. 22 ФЗ-152) на передачу данных третьим лицам — БКИ, АФС, скоринговым платформам
Биометрия в мобильном приложении: хранится ли на сервере МФО или только в ЕБС; нет ли обязательного требования предоставить биометрию
Уровень защищённости ИСПДн: определён ли УЗ-3 или УЗ-2 по ПП РФ № 1119 при обработке финансовых ПДн свыше 100 000 субъектов

Какова реальная практика применения ст. 13.11 КоАП к МФО в 2025–2026 году?

По данным InfoWatch за 2025 год, регулятор назначил всего шесть административных штрафов по новым нормам ст. 13.11 на общую сумму около 570 000 ₽. Санкции небольшие — потому что большинство утечек произошло до вступления в силу ФЗ-420 (30.05.2025) и квалифицировались по старой редакции. Дела по новым нормам — в накоплении практики.

При этом по данным F6 Threat Intelligence за 2025 год в даркнете зафиксировано около 250 публичных утечек российских компаний объёмом 767 млн строк — рост на 67,6% к 2024 году. Финансовый сектор стабильно в числе наиболее атакуемых. РКН зафиксировал более 39 млн записей в компрометированных базах за первое полугодие 2025 года.

Первые дела по крупным утечкам уже рассмотрены. В деле АС Москвы № А40-351064/2025 (РЭШ) утечка более 100 000 субъектов квалифицирована по ч. 14 ст. 13.11 КоАП с санкцией 10–15 млн ₽; с учётом статуса микропредприятия назначен штраф 400 000 ₽. В деле АС Санкт-Петербурга № А56-4733/2026 утечка около 70 000 субъектов квалифицирована по ч. 14 с применением смягчающих обстоятельств. Для МФО среднего размера с базой клиентов от 10 000 субъектов минимальный порог по ч. 12 начинается от 3 млн ₽.

Если ваша МФО обрабатывает данные более 10 000 заёмщиков и использует внешний скоринг — проверьте основания передачи ПДн третьим лицам. Неуведомление РКН о намерении передавать данные в скоринговые платформы — состав по ч. 10 ст. 13.11, штраф до 300 000 ₽. Срок уведомления — до начала обработки.

Заказать аудит 152-ФЗ

Как выглядит риск в конкретных ситуациях

Ситуация 1. МФО использует стороннюю скоринговую платформу без поручения на обработку ПДн. Финдиректор крупной МФО (Уральский ФО, осень 2025) при подготовке к проверке РКН обнаружил: в уведомлении в реестре операторов указан состав обработки, но передача ПДн скоринговой платформе не отражена как поручение по п. 3 ст. 6 ФЗ-152. Договор с платформой содержал только пункт о конфиденциальности — без условий поручения. Риск: нарушение ч. 1 ст. 13.11 (штраф 150–300 тыс. ₽) плюс ответственность за утечку через платформу как за собственную — позиция судов по принципу case_generic_subpodryad. Устранение: переоформление договора как поручения, обновление уведомления в РКН по ст. 22 ФЗ-152.

Ситуация 2. МФО собирает согласие на скоринг в тексте договора займа. После 01.09.2025 согласие на обработку ПДн в силу ФЗ-156 от 24.06.2025 оформляется отдельным документом — не может быть встроено в договор, оферту или политику. МФО Центрального ФО (весна 2026) получила предписание РКН: согласие на передачу данных в БКИ и на скоринговую обработку содержалось в приложении к договору. Это нарушение ч. 2 ст. 13.11 (отсутствие надлежащего согласия при обработке, требующей согласия) — штраф 300–700 тыс. ₽ за каждый случай. Смягчающим обстоятельством выступила добровольная переработка форм до вынесения постановления.

Ситуация 3. Утечка базы заёмщиков через уязвимость в API скоринговой платформы. Финдиректор МФО получает сигнал от ИБ-команды: данные 15 000 заёмщиков (ФИО, сумма займа, дата рождения, телефон) попали в открытый доступ. Квалификация по ч. 13 ст. 13.11 — от 5 до 10 млн ₽. Одновременно ч. 11: если первичное уведомление РКН не направлено в течение 24 часов с момента обнаружения — дополнительно 1–3 млн ₽. Стратегия: немедленное уведомление по Приказу РКН № 187, фиксация момента обнаружения, подготовка 72-часового отчёта с описанием мер локализации инцидента.

Частые вопросы

1. Можно ли отказать клиенту в займе без биометрии в ЕБС?

Да, если МФО предлагает альтернативный способ идентификации. Ч. 8 ст. 14.8 КоАП запрещает отказывать в услуге по единственному основанию — непредоставление биометрии для ЕБС. МФО обязана обеспечить клиенту возможность пройти идентификацию без биометрии: через паспорт и личный визит или через нотариально удостоверенные документы в дистанционном канале. Если в продуктовых условиях биометрия указана как обязательное требование — это нарушение.

2. Что грозит МФО за утечку базы заёмщиков?

Размер санкции зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11, штраф 3–5 млн ₽. От 10 000 до 100 000 — ч. 13, штраф 5–10 млн ₽. Свыше 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. При повторности — оборотный штраф по ч. 15: 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽ и не более 500 млн ₽. Неуведомление РКН в течение 24 часов добавляет состав по ч. 11 — ещё 1–3 млн ₽. Кроме того, с 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность за незаконное использование и хранение ПДн, до 10 лет лишения свободы по ч. 5.

3. Какое правовое основание обработки ПДн действует в банке и МФО при выдаче займа?

Основание — п. 5 ч. 1 ст. 6 ФЗ-152: обработка необходима для исполнения договора, стороной которого является субъект. Это основание покрывает базовую обработку в рамках кредитного договора. Для передачи в БКИ — дополнительное основание: исполнение обязанности, установленной ФЗ-218. Для скоринговой обработки с привлечением третьих лиц — поручение по п. 3 ст. 6 ФЗ-152 с оформлением договора поручения. Для получения согласия субъекта на запрос его кредитной истории — отдельное письменное согласие по ст. 9 ФЗ-152.

4. Где хранится биометрия клиентов МФО — в ЕБС или на сервере МФО?

С 01.06.2023 хранение исходных биометрических данных вне ЕБС запрещено: ФЗ-572 обязал перенести биометрию в государственную ГИС ЕБС. МФО не вправе хранить шаблоны лица или голоса на собственных серверах. При использовании биометрии в мобильном приложении (FaceID-авторизация) техническая обработка должна происходить через сертифицированный интерфейс ЕБС. Хранение биометрии на стороне МФО — нарушение ст. 11 ФЗ-152 и потенциальный состав по ч. 16 ст. 13.11 КоАП.

5. Как субъект может оспорить отказ в кредите или займе, вынесенный скорингом?

По ст. 16 ФЗ-152 субъект вправе потребовать от оператора пересмотра автоматического решения с участием человека и получить письменное объяснение. МФО обязана иметь задокументированную процедуру такого пересмотра. Срок рассмотрения возражения — устанавливается оператором в регламенте, но должен быть разумным. Отказ рассматривать возражение или отсутствие процедуры — нарушение ст. 16 ФЗ-152 и основание для жалобы в РКН. Дополнительно субъект вправе потребовать у МФО информацию об обработке своих ПДн по ст. 14 ФЗ-152 в течение 10 рабочих дней.

Итог

Скоринг в МФО — это пересечение как минимум трёх правовых режимов: ст. 16 ФЗ-152 (право на возражение против автоматического решения), ФЗ-218 (передача в БКИ) и ФЗ-572 (биометрия в ЕБС). Финансовый директор, утверждающий бюджет на ИТ-платформы и договоры с внешними скоринговыми сервисами, несёт прямую управленческую ответственность за соответствие этим нормам — через цену штрафов и репутационные потери при утечке.

Практика DATUM по финансовому сектору охватывает МФО, банки и страховщиков: аудит скоринговых процессов по ст. 16 ФЗ-152, формирование правовой базы для работы с БКИ и ЕБС, подготовку к проверкам РКН и арбитражную защиту при штрафах по ст. 13.11 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка скоринговых процессов, согласий, БКИ и ЕБС
Комплект ОРД под ключ — политика, регламент по ст. 16, договоры поручения
Защита при штрафе в арбитраже — обжалование постановлений по ст. 13.11 КоАП

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по ФЗ-218, скоринг и автоматизированные решения по ст. 16 ФЗ-152, биометрия в ЕБС (ФЗ-572), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 января 2027 года