Подключение к ЕБС: технические требования
ФЗ-572 перестроил архитектуру биометрической идентификации в финансовом секторе. Банки, МФО, страховщики и иные поднадзорные организации теперь работают с единой государственной инфраструктурой, а не хранят биометрию самостоятельно. Для финансового директора это означает три бюджетных вопроса: стоимость технической интеграции, стоимость поддержания соответствия и стоимость возможных санкций при нарушении. Ниже — разбор технических требований к подключению, правовых оснований обработки и финансовых последствий отклонений.
Что такое ЕБС и кто обязан к ней подключиться?
Единая биометрическая система создана в целях удалённой идентификации граждан при получении финансовых и государственных услуг. Правовую основу составляет ФЗ-572 от 29.12.2022, который заменил разрозненные ведомственные подходы к биометрии единым регуляторным режимом. Оператор ЕБС — АО «Центр Биометрических Технологий» (ЦБТ), подконтрольный Минцифры.
Обязанность подключиться к ЕБС распространяется на несколько категорий участников. Банки с универсальной лицензией обязаны обеспечить сбор и передачу биометрических данных клиентов в ЕБС при личном визите. МФО и иные кредиторы используют ЕБС для удалённой идентификации при выдаче займов. Страховщики и брокеры подключаются для идентификации при дистанционном заключении договоров. МФЦ обеспечивают первичный сбор биометрии для граждан.
Важно разграничить роли: банк при сборе биометрии выступает агентом ЕБС, а не самостоятельным оператором биометрических ПДн в классическом понимании ст. 3 ФЗ-152. Исходная биометрия не хранится в банке — она передаётся в ЕБС немедленно после сбора. Это принципиально меняет модель угроз и распределение ответственности.
Какие технические требования предъявляются к подключению?
Технические требования к участникам ЕБС устанавливаются Минцифры совместно с Банком России и ЦБТ. Они охватывают четыре основных направления: требования к оборудованию сбора биометрии, требования к программному обеспечению и API-интеграции, требования к каналам связи и шифрованию, требования к организационным мерам защиты.
Оборудование для сбора биометрии должно соответствовать стандартам качества изображения и записи голоса, утверждённым ЦБТ. Камеры и микрофоны проходят сертификацию; несертифицированное оборудование к сбору биометрии не допускается. Это важная статья капитальных затрат для банков с разветвлённой сетью отделений.
Программная интеграция осуществляется через API ЦБТ. Участник обязан использовать сертифицированный SDK для захвата биометрических образцов и передачи их в зашифрованном виде. Протоколы шифрования — ГОСТ-совместимые, применение зарубежных алгоритмов без сертификации ФСТЭК недопустимо.
Требования к каналам связи предполагают использование защищённых VPN-соединений с инфраструктурой ЕБС, прохождение проверки безопасности каналов со стороны ЦБТ и резервирование канала передачи. Для МФО с ограниченными ИТ-ресурсами выполнение этих требований нередко требует привлечения внешних провайдеров.
Финансовый директор оценивает бюджет подключения к ЕБС?
Стоимость корректной интеграции включает оборудование, разработку, юридическое сопровождение и периодический аудит. Ошибка в технической документации или правовом основании обработки ведёт к штрафам от 3 млн ₽ по ч. 12 ст. 13.11 КоАП — за первую же утечку биометрических данных. Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Как биометрия в ЕБС соотносится с ФЗ-152 и согласием клиента?
Правовое основание сбора биометрии для ЕБС — письменное добровольное согласие гражданина по ст. 11 ФЗ-152. Ключевое слово — «добровольное». С введением ч. 8 ст. 14.8 КоАП отказ обслуживать клиента без биометрии стал самостоятельным составом административного правонарушения. Штраф для юридического лица составляет до 500 тыс. ₽.
С 01.09.2025 в силу вступили изменения ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку персональных данных, включая биометрические, оформляется отдельным документом и не может объединяться с договором банковского обслуживания, офертой или иными документами. Для банков и МФО это означает обязательную переработку форм согласия.
Скоринговые модели, использующие биометрические данные, затрагивают ещё одно важное ограничение — ст. 16 ФЗ-152, регулирующую автоматизированное принятие решений. Если кредитный отказ основан исключительно на автоматизированной обработке ПДн, клиент вправе потребовать пересмотра решения с участием человека. Банки и МФО обязаны предусмотреть такую процедуру в своих регламентах.
Пересечение ФЗ-572, ФЗ-152 и 115-ФЗ создаёт многоуровневую систему идентификации. В рамках 115-ФЗ банки обязаны идентифицировать клиентов; ЕБС предоставляет инструмент для удалённой идентификации. Однако согласие на биометрию остаётся добровольным — банк не вправе отказать в обслуживании тому, кто его не дал, при наличии альтернативного способа очной идентификации.
Что грозит за нарушения при работе с биометрией в ЕБС?
Санкционная матрица за нарушения в сфере биометрии существенно расширилась после ФЗ-420 от 30.11.2024, действующего с 30.05.2025. Появились специализированные составы, направленные именно на биометрические данные и ЕБС.
Нарушение требований ст. 11 ФЗ-152 при обработке биометрии (обработка без письменного согласия, с нарушением состава согласия и т. п.) — ч. 16 ст. 13.11 КоАП. Утечка биометрических персональных данных — ч. 17 ст. 13.11 КоАП, штраф от 15 до 20 млн ₽. Повторное нарушение по ч. 16 или ч. 17 — оборотный штраф по ч. 18: 1–3% совокупной годовой выручки.
Нарушения непосредственно при размещении биометрии в ЕБС (ненадлежащий порядок, ошибки сотрудников МФЦ или банков) образуют состав по отдельной ст. 13.11.3 КоАП — штраф для юридического лица от 500 тыс. до 1 млн ₽.
Помимо административной ответственности, с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024). Незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн, может квалифицироваться как уголовное преступление. При наличии тяжких последствий — лишение свободы до 10 лет по ч. 5.
Что подготовить финансовой организации при подключении к ЕБС
- Отдельное согласие на обработку биометрических данных по форме ст. 11 ФЗ-152 и ФЗ-572 — не включённое в договор банковского обслуживания
- Технический регламент взаимодействия с ЦБТ: сертифицированное оборудование, SDK, протоколы шифрования (ГОСТ)
- Политику обработки ПДн с разделом о биометрии и ЕБС по требованиям ч. 2 ст. 18.1 ФЗ-152
- Процедуру пересмотра автоматизированных решений по ст. 16 ФЗ-152 с указанием срока и ответственного
- Уровень защищённости ИСПДн (УЗ-2 или УЗ-3) и меры по Приказу ФСТЭК №21 — подтверждённые внутренним актом
Практические сценарии: где финансовые организации допускают нарушения
Сценарий 1. МФО использует биометрию для скоринга без надлежащего согласия. МФО интегрировала стороннее решение биометрической верификации личности при выдаче онлайн-займов. Согласие на обработку биометрии было включено в текст договора займа. После 01.09.2025 такая форма согласия нарушает требования ст. 9 ФЗ-152 в редакции ФЗ-156: согласие должно быть оформлено отдельным документом. При проверке РКН по индикатору риска — протокол по ч. 2 ст. 13.11 КоАП (штраф до 700 тыс. ₽) плюс возможный протокол по ч. 16 за нарушение ст. 11. Стратегия: немедленная переработка форм согласия, аудит текущей базы субъектов, переоформление согласий для активных клиентов.
Сценарий 2. Банк отказывает в обслуживании без биометрии. Менеджер регионального отделения не открывает счёт клиенту, сославшись на отсутствие согласия на передачу биометрии в ЕБС. Клиент подаёт жалобу в Банк России. Состав по ч. 8 ст. 14.8 КоАП — штраф до 500 тыс. ₽. Для финансового директора важно: этот риск устраняется только обучением персонала и изменением внутренних инструкций, а не техническими мерами. Стратегия: обновление скриптов работы с клиентами, внутренний приказ о запрете обусловливания обслуживания согласием на биометрию.
Сценарий 3. Утечка данных через подрядчика по интеграции ЕБС. IT-подрядчик, осуществлявший интеграцию SDK ЦБТ в банковскую систему, допустил утечку тестовых данных, содержавших биометрические образцы. Ответственность оператора перед РКН не снимается фактом наличия подрядчика — по сложившейся позиции регулятора оператор отвечает за утечку через обработчика. Штраф по ч. 17 ст. 13.11 — от 15 до 20 млн ₽. Первичное уведомление РКН — в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187). Стратегия: договор с подрядчиком по ст. 6 ФЗ-152 с детальным разграничением ответственности, запрет использования реальных ПДн в тестовых средах.
Если финансовый директор получил запрос РКН или обнаружен инцидент с биометрическими данными — 24 часа на первичное уведомление не восстанавливаются. Штраф за неуведомление по ч. 11 ст. 13.11 — от 1 до 3 млн ₽. Юристы DATUM собирают пакет ОРД под ключ и сопровождают взаимодействие с регулятором.
Заказать аудит 152-ФЗКак это применяется на практике: кейсы 2025–2026
Кейс 1. Региональный банк (Приволжский ФО, осень 2025) при обновлении мобильного приложения не переработал форму согласия на биометрическую идентификацию: согласие оставалось встроено в пользовательское соглашение. После плановой проверки РКН составлен протокол по ч. 2 ст. 13.11 КоАП. Банк устранил нарушение до рассмотрения дела, представил доказательства переработки форм и инструктажа персонала. Штраф назначен в нижней части санкции — в диапазоне сотен тысяч рублей. Ключевой урок для финансового директора: переход к отдельным согласиям по ФЗ-156 требует бюджета на юридическое сопровождение обновления документооборота.
Кейс 2. МФО (Центральный ФО, начало 2026) допустила утечку биометрических образцов через уязвимость в SDK стороннего поставщика. Уведомление РКН направлено через 31 час после обнаружения — с нарушением 24-часового срока. РКН возбудил дела по ч. 11 (неуведомление в срок, штраф 1–3 млн ₽) и ч. 17 (утечка биометрии, штраф 15–20 млн ₽) ст. 13.11 КоАП. Суммарная финансовая нагрузка существенно превысила годовой бюджет МФО на информационную безопасность. Для финансового директора: отсутствие утверждённого регламента реагирования на инциденты является самостоятельным фактором риска.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка правовых оснований обработки биометрии, форм согласий, технических мер защиты
- Комплект ОРД под ключ — политика, согласия на биометрию, регламент реагирования на инциденты, журналы учёта
- Защита при штрафе в арбитраже — обжалование протоколов по ч. 16–18 ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1
Частые вопросы
1. Можно ли отказать клиенту без биометрии?
Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в обслуживании, если он не предоставил согласие на передачу биометрических данных в ЕБС. Биометрическая идентификация — право, а не обязанность гражданина. Банк обязан предложить альтернативный способ очной идентификации. Штраф за нарушение для юридического лица — до 500 тыс. ₽.
2. Что грозит МФО за утечку биометрических данных?
Утечка биометрии образует состав по ч. 17 ст. 13.11 КоАП — штраф от 15 до 20 млн ₽. Дополнительно МФО обязана уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152); нарушение срока — ещё 1–3 млн ₽ по ч. 11. При повторном нарушении применяется оборотный штраф по ч. 18: 1–3% совокупной годовой выручки. Возможна и уголовная ответственность по ст. 272.1 УК РФ.
3. Какое правовое основание обработки биометрии в банке?
Основание — письменное добровольное согласие субъекта по ст. 11 ФЗ-152. С 01.09.2025 согласие оформляется отдельным документом, не включённым в договор банковского обслуживания или оферту (ФЗ-156 от 24.06.2025, изменения ч. 1 ст. 9 ФЗ-152). Согласие должно содержать перечень биометрических данных, цель, срок и порядок отзыва.
4. Где физически хранится биометрия — в банке или в ЕБС?
Исходные биометрические данные хранятся исключительно в ЕБС под управлением АО «Центр Биометрических Технологий». С 01.06.2023 хранение исходной биометрии вне ЕБС запрещено (ФЗ-572). Банк выступает агентом при сборе и немедленной передаче биометрии в систему. Это снижает риск утечки на стороне банка, но не исключает ответственность за соблюдение требований сбора и передачи.
5. Как оспорить отказ в кредите, если он основан на автоматизированном решении?
По ст. 16 ФЗ-152 субъект вправе потребовать пересмотра решения, принятого исключительно на основе автоматизированной обработки его персональных данных, если такое решение порождает юридические последствия. Банк или МФО обязаны обеспечить процедуру такого пересмотра с участием уполномоченного сотрудника. Отказ в предоставлении процедуры может быть обжалован в РКН или суде.
Итог
Подключение к ЕБС — это не только техническая интеграция, но и юридическая перестройка: переоформление согласий, обновление политики обработки ПДн, настройка процедуры по ст. 16 ФЗ-152 и выстраивание регламента реагирования на инциденты. Санкционная матрица после ФЗ-420 делает биометрические данные наиболее дорогостоящим риском в финансовом секторе — утечка биометрии стоит от 15 до 20 млн ₽ за первое нарушение и оборотный штраф при повторе.
DATUM сопровождает финансовые организации при подключении к ЕБС: от аудита текущего состояния до подготовки полного пакета ОРД и представления интересов при проверках РКН.
17 февраля 2027 года