аналитика 14 февраля 2029 года По состоянию на 14 февраля 2029 года

Обжалование скорингового решения

Скоринговое решение в банке или МФО — это автоматизированная обработка персональных данных по ст. 16 ФЗ-152. Субъект вправе потребовать пересмотра такого решения и участия человека в его принятии.

С 30.05.2025 штраф за нарушения при обработке ПДн достигает 500 млн ₽ по ч. 15 ст. 13.11 КоАП. Финансовый директор, который не заложил бюджет на комплаенс по ст. 16 ФЗ-152, рискует суммой, сопоставимой с годовой прибылью среднего МФО.

→ Если ваша компания использует скоринг — проверьте, выполнены ли требования ст. 16 ФЗ-152, ФЗ-218 и ФЗ-572 прямо сейчас.

Автоматизированный скоринг присутствует в кредитовании, страховании, найме и любой системе, где решение принимает алгоритм, а не человек. С 2024–2025 годов регуляторная нагрузка на операторов, использующих скоринг, существенно выросла: ст. 16 ФЗ-152 получила правоприменительную практику, ФЗ-572 закрепил требования к биометрии в ЕБС, а ст. 272.1 УК РФ ввела уголовную ответственность за незаконную обработку компьютерной информации с персональными данными. Для финансового директора это означает три бюджетные строки: расходы на комплаенс, резерв на штрафы и стоимость потенциального судебного спора с субъектом.

Что такое автоматизированное решение по ст. 16 ФЗ-152 и почему это важно для финтеха?

Статья 16 ФЗ-152 запрещает принимать решения, порождающие юридические последствия или существенно затрагивающие права субъекта, исключительно на основе автоматизированной обработки без участия человека — если субъект не дал на это согласия. Под это определение подпадает отказ в кредите, установление кредитного лимита, присвоение страхового коэффициента или блокировка счёта по антифрод-модели.

«Ст. 16 ФЗ-152 — оператор обязан по запросу субъекта разъяснить порядок принятия автоматизированного решения и возможные его последствия, а также рассмотреть возражения субъекта. Исключение — прямое согласие субъекта на такой порядок или случаи, предусмотренные федеральным законом.»

На практике большинство банков и МФО включают согласие на автоматизированный скоринг в общий договор или анкету. После вступления в силу ФЗ-156 с 01.09.2025 такое согласие должно оформляться отдельным документом. Исторически объединённые согласия, включённые в кредитный договор, остаются действительными для ранее заключённых договоров — но новые договоры обязаны содержать отдельное согласие.

Запрос в бюро кредитных историй (БКИ) по ФЗ-218 — отдельное основание обработки. Оператор обязан иметь согласие субъекта на такой запрос. Срок хранения кредитной истории в БКИ составляет 7 лет. Это создаёт ситуацию, при которой устаревшие сведения продолжают влиять на скоринговые модели даже после истечения срока актуальности.

Ваша компания использует скоринг или запросы в БКИ — когда последний раз проверялась правовая основа?

Финансовый директор, получивший первый протокол от РКН по ст. 13.11 КоАП, как правило, обнаруживает, что нарушение существовало годами. Стоимость аудита соответствия — от 100 000 ₽. Стоимость штрафа по ч. 12 ст. 13.11 — от 3 000 000 ₽. Выявить несоответствие до проверки дешевле, чем оспаривать его после.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как субъект может оспорить скоринговое решение и что обязан сделать оператор?

Субъект, получивший отказ или неблагоприятное условие на основе автоматизированной обработки, вправе направить оператору письменное возражение. Оператор обязан в течение 10 рабочих дней (ст. 20 ФЗ-152, с возможным продлением ещё на 5 рабочих дней при уведомлении субъекта) рассмотреть возражение, вовлечь уполномоченное должностное лицо и направить мотивированный ответ.

Если субъект считает, что его ПДн неточны или устарели, он вправе потребовать уточнения. Оператор должен уточнить, заблокировать или уничтожить недостоверные данные в течение 7 рабочих дней. Невыполнение требования влечёт ответственность по ч. 5 ст. 13.11 КоАП — штраф для юридического лица 50 000–90 000 ₽. При повторном нарушении — по ч. 5.1 — 300 000–500 000 ₽.

Для МФО ситуация осложняется требованиями 115-ФЗ об идентификации клиента: отказ в обслуживании по итогам идентификации не может быть произвольным и должен опираться на конкретные основания, не смешиваясь с решениями по модели скоринга. Смешение оснований — типовая ошибка, выявляемая при аудите.

Что подготовить финансовому директору для проверки комплаенса по скорингу

Отдельные согласия субъектов на автоматизированную обработку по ст. 16 ФЗ-152 (в редакции с 01.09.2025 — отдельный документ, не часть договора).
Согласия на запросы в БКИ по ФЗ-218 — для каждого типа запроса отдельное основание.
Утверждённый регламент рассмотрения возражений субъектов с фиксированными сроками и ответственным лицом.
Журнал обращений субъектов с датами поступления, сроками ответа и результатами — за последние 12 месяцев.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с актуальной датой.

Биометрия в ЕБС и скоринг: где граница ответственности банка по ФЗ-572?

Федеральный закон ФЗ-572 установил единую биометрическую систему (ЕБС) как обязательный инструмент хранения биометрических ПДн. С 01.06.2023 банки не вправе хранить исходную биометрию вне ЕБС — оператором системы выступает АО «Центр Биометрических Технологий». Использование биометрии в скоринговых моделях (например, верификация личности при дистанционном получении кредита) возможно исключительно через ЕБС.

«Ст. 11 ФЗ-152 — обработка биометрических персональных данных допускается только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных федеральным законом.»

Ч. 8 ст. 14.8 КоАП запрещает банкам и иным организациям отказывать клиенту в обслуживании по причине того, что он не предоставил биометрию в ЕБС. Нарушение этого запрета влечёт штраф для юридического лица. Для финансового директора это означает: бизнес-процессы, в которых биометрия является обязательным условием получения продукта, требуют юридической экспертизы — не только технической.

Утечка биометрических ПДн — отдельный состав нарушения. По ч. 17 ст. 13.11 КоАП штраф для юридического лица составляет 15 000 000–20 000 000 ₽. При повторном нарушении по ч. 18 — оборотный штраф в размере 1–3% совокупной годовой выручки, не более 500 000 000 ₽.

Какие сценарии возникают при оспаривании скорингового решения в 2026 году?

Анализ регуляторной практики 2025–2026 годов позволяет выделить три типовых сценария, с которыми сталкиваются финансовые директора финтех-компаний.

Сценарий 1. Субъект оспаривает отказ в кредите и требует раскрытия алгоритма. Ситуация: клиент направляет заявление о пересмотре решения, ссылаясь на ст. 16 ФЗ-152. Оператор не имеет регламента ответа и пропускает срок 10 рабочих дней. Доказательства: входящее заявление клиента с датой, исходящий журнал ответов отсутствует. Вероятный исход: протокол по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽ за непредоставление информации субъекту) плюс жалоба в РКН. Стратегия: разработать регламент рассмотрения возражений с фиксированными сроками и назначить ответственное лицо до получения первого запроса.

Сценарий 2. Утечка данных скоринговой модели через подрядчика. Ситуация: компания передала обработку ПДн внешнему разработчику модели без надлежащего договора поручения обработки (п. 3 ст. 6 ФЗ-152). Подрядчик допустил утечку данных 15 000 субъектов. Доказательства: договор не содержит обязательных условий поручения, журнал инцидентов отсутствует. Вероятный исход: штраф по ч. 13 ст. 13.11 (5 000 000–10 000 000 ₽) на оператора, независимо от вины подрядчика — согласно принципу ответственности оператора за действия обработчика. Стратегия: ввести стандарт договора поручения обработки для всех внешних разработчиков и аналитиков.

Сценарий 3. РКН выявляет отсутствие отдельного согласия на автоматизированный скоринг после 01.09.2025. Ситуация: банк или МФО не переоформил согласия новых клиентов после вступления в силу ФЗ-156. Согласие по-прежнему включено в текст договора. Доказательства: протокол проверки РКН, форма договора с клиентом. Вероятный исход: протокол по ч. 2 ст. 13.11 (300 000–700 000 ₽ за нарушение требований к составу согласия). При повторном нарушении по ч. 2.1 — 1 000 000–1 500 000 ₽. Стратегия: провести аудит форм согласий и разделить согласие на обработку, согласие на скоринг и согласие на запрос в БКИ.

Если финансовый директор не уверен, соответствуют ли формы согласий требованиям ФЗ-156 с 01.09.2025 — это риск штрафа от 300 000 ₽ по каждому новому договору. Юристы DATUM проверят комплект документов и выдадут заключение с конкретным планом устранения нарушений.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. МФО в Сибирском федеральном округе (весна 2025 года) прошло плановую проверку РКН. Инспекторы выявили три нарушения: отсутствие отдельного согласия на автоматизированный скоринг, отсутствие договора поручения обработки с внешним разработчиком модели и отсутствие регламента рассмотрения возражений субъектов. По результатам выданы три предписания. Финансовый директор оценил стоимость устранения нарушений в сумму, сопоставимую с аудитом соответствия, который не был проведён до проверки. Оспаривание предписаний в арбитражном суде региона позволило снизить требования по срокам устранения, однако не отменило их по существу.

Кейс 2. Региональный банк (Приволжский федеральный округ, конец 2025 года) получил жалобу клиента на отказ в ипотечном кредите. Клиент ссылался на недостоверность данных в БКИ и требовал раскрытия параметров скоринговой модели по ст. 16 ФЗ-152. Банк не располагал утверждённым регламентом ответа на такие обращения. Срок в 10 рабочих дней был пропущен. РКН возбудил дело по ч. 4 ст. 13.11 КоАП. Параллельно клиент направил заявление в БКИ об оспаривании кредитной истории по ФЗ-218. Своевременное юридическое сопровождение позволило урегулировать оба направления: штраф по ч. 4 ст. 13.11 остался в минимальном диапазоне, а запись в БКИ была скорректирована.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка скоринговых процессов, форм согласий и договоров поручения обработки.
Комплект ОРД под ключ — согласия по ФЗ-156, регламент рассмотрения возражений субъектов, договоры поручения.
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП.

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

По ч. 8 ст. 14.8 КоАП отказывать клиенту в обслуживании только из-за того, что он не разместил биометрию в ЕБС, запрещено. Биометрия может использоваться для удалённой идентификации, но не должна быть единственным условием получения банковского продукта. Если бизнес-процесс выстроен иначе — это самостоятельный состав административного правонарушения с соответствующим штрафом для юридического лица.

2. Что грозит МФО за утечку персональных данных клиентов?

Размер штрафа зависит от числа субъектов, чьи данные были скомпрометированы. Утечка от 1 000 до 10 000 субъектов влечёт штраф 3 000 000–5 000 000 ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽ и не более 500 000 000 ₽. Уголовная ответственность руководителя возможна по ст. 272.1 УК РФ, действующей с 11.12.2024.

3. Какое правовое основание обработки ПДн применяется в банке при скоринге?

Как правило, несколько оснований одновременно: исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152), соблюдение обязанностей по законодательству (п. 2 ч. 1 ст. 6) и согласие субъекта (п. 1 ч. 1 ст. 6) — для случаев автоматизированного принятия решений по ст. 16 ФЗ-152. Каждое основание должно быть задокументировано отдельно. С 01.09.2025 согласие на автоматизированный скоринг оформляется отдельным документом в соответствии с ФЗ-156.

4. Где хранится биометрия — в ЕБС или на серверах банка?

С 01.06.2023 хранение исходной биометрии вне ЕБС банкам запрещено. Оператором ЕБС является АО «Центр Биометрических Технологий», регулирование — ФЗ-572 от 29.12.2022. Банк вправе использовать биометрию для идентификации через ЕБС, но не вправе формировать собственные биометрические базы. Нарушение этого требования — состав по ч. 16 ст. 13.11 КоАП.

5. Как оспорить отказ в кредите, основанный на скоринговой модели?

Субъект направляет оператору письменное заявление с требованием пересмотра решения и участия человека в его принятии — со ссылкой на ст. 16 ФЗ-152. Оператор обязан рассмотреть заявление в течение 10 рабочих дней и направить мотивированный ответ. Если оператор отказывает в пересмотре или не отвечает — субъект вправе обратиться с жалобой в Роскомнадзор. Параллельно можно оспорить содержание кредитной истории в БКИ по ФЗ-218 и в суде.

Итог

Обжалование скорингового решения — это пересечение трёх правовых блоков: ст. 16 ФЗ-152 об автоматизированных решениях, ФЗ-218 о кредитных историях и ФЗ-572 о биометрии. Каждый из них создаёт самостоятельные риски штрафов и жалоб, а совокупный размер потенциальных санкций по ст. 13.11 КоАП в редакции с 30.05.2025 может существенно превышать стоимость превентивного комплаенса.

Юристы DATUM сопровождают финансовые организации и финтех-компании в части обработки ПДн: от аудита скоринговых процессов и форм согласий до защиты в арбитражном суде при оспаривании протоколов РКН по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ).

14 февраля 2029 года