аналитика 9 января 2027 По состоянию на 9 января 2027

Штраф за отказ обслуживать без биометрии

Отказ клиенту в обслуживании по причине отсутствия биометрии в ЕБС — это самостоятельный состав правонарушения по ч. 8 ст. 14.8 КоАП, введённой ФЗ-420 от 30.11.2024.

Для финансовой организации штраф достигает нескольких сотен тысяч рублей за каждый выявленный факт. РКН и Банк России ведут совместный мониторинг жалоб с 2025 года.

Если вы финансовый директор и в компании нет чёткого регламента работы с биометрией — каждый отказ клиенту может превратиться в административное дело. → Оцените риски.

С 30.05.2025 обязательные правила работы с биометрическими данными затрагивают не только ответственность за сбор и хранение, но и обратную сторону — запрет принуждать клиента к биометрии. Банки, МФО, страховщики и платёжные сервисы обязаны предоставлять услуги клиентам, не сдавшим данные в Единую биометрическую систему. Нарушение этого запрета создаёт самостоятельный финансовый риск, отдельный от ответственности по ст. 13.11 КоАП за обработку персональных данных. В этой статье — разбор нормы, состав нарушения, размер штрафов и практические сценарии для финтех-сектора.

Что запрещает закон: откуда берётся штраф за отказ без биометрии?

Ключевая норма — ч. 8 ст. 14.8 КоАП в редакции ФЗ-420 от 30.11.2024, действующей с 30.05.2025. Она запрещает финансовым организациям и иным лицам, оказывающим услуги населению, отказывать клиенту в предоставлении услуги исключительно по основанию того, что клиент не сдал биометрические данные в ЕБС или не дал согласия на их использование.

«Ч. 8 ст. 14.8 КоАП — штраф за отказ в обслуживании потребителя по основанию непредставления биометрических данных в ЕБС. Для юридических лиц — до 500 тыс. ₽ (точный нижний порог верифицировать по актуальному тексту КоАП перед применением).»

Смысл нормы в том, что согласие на сдачу биометрии в ЕБС — добровольное. Это прямо следует из ФЗ-572 от 29.12.2022 «О государственной информационной системе «Единая биометрическая система». Оператор ЕБС — АО «Центр Биометрических Технологий». Клиент вправе отказаться от сдачи данных без каких-либо последствий для получения услуги. Финансовая организация не может делать биометрию условием доступа к банковскому счёту, кредиту, страховому продукту или платёжному сервису.

Логика законодателя проста: принуждение к биометрии в обход добровольного согласия фактически означало бы сбор биометрических данных без надлежащего правового основания. Это нарушало бы ст. 11 ФЗ-152, требующую письменного согласия для обработки биометрических персональных данных, и одновременно дискриминировало клиентов по признаку наличия биометрии в ЕБС.

Финансовый директор: как посчитать реальный риск от биометрии?

Штраф по ч. 8 ст. 14.8 КоАП — это не единственный риск. Параллельно действуют ч. 16 и ч. 17 ст. 13.11 КоАП за нарушение правил обработки биометрии (15–20 млн ₽ за утечку). Без аудита невозможно понять, где проходят реальные точки риска. Юристы DATUM проведут аудит обработки ПДн и биометрии по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как финтех-компании работают с биометрией: банки, МФО, страховщики?

Биометрия в финансовом секторе регулируется несколькими параллельными нормативными треками. Их важно различать, чтобы понимать, какой именно штраф грозит в каждом случае.

Банки и дистанционная идентификация. Кредитные организации вправе использовать ЕБС для удалённого открытия счетов и выдачи кредитов без личного визита клиента. Это право, а не обязанность клиента. Банк предлагает биометрическую идентификацию как альтернативный канал — но обязан сохранить традиционные способы обслуживания для тех, кто биометрию не сдал.

МФО и скоринг. Микрофинансовые организации часто используют биометрические данные для верификации заёмщиков в рамках автоматизированных скоринговых систем. Здесь возникает пересечение сразу нескольких норм: ст. 16 ФЗ-152 об автоматизированных решениях (право субъекта требовать пересмотра решения), ст. 11 ФЗ-152 о биометрических данных, 115-ФЗ об идентификации при ПОД/ФТ.

«Ст. 16 ФЗ-152 — оператор вправе принимать решения, влекущие правовые последствия для субъекта, на основе исключительно автоматизированной обработки только с его согласия или в случаях, предусмотренных законом. Субъект вправе требовать пересмотра такого решения.»

Идентификация по 115-ФЗ. Банки и МФО обязаны идентифицировать клиентов по антиотмывочному законодательству. Эта идентификация — самостоятельная норма, не связанная с ЕБС. Отказ обслуживать клиента по 115-ФЗ — законное основание. Путать его с отказом из-за отсутствия биометрии в ЕБС недопустимо: последнее незаконно.

НПС (национальная платёжная система). Операторы платёжных услуг при использовании биометрической аутентификации в платёжных операциях должны соблюдать требования ФЗ-572 и не делать биометрию единственным способом подтверждения транзакций без альтернативы.

Что проверить финансовому директору прямо сейчас

Есть ли в регламентах обслуживания клиентов прямой запрет на отказ из-за отсутствия биометрии в ЕБС.
Предусмотрены ли альтернативные способы идентификации для клиентов без биометрии во всех каналах (отделение, онлайн, колл-центр).
Не является ли биометрическая верификация единственным способом подтверждения в скоринговых или платёжных системах.
Получено ли отдельное согласие клиентов на использование биометрии в тех случаях, где она применяется добровольно.
Уведомлён ли РКН о трансграничной передаче биометрических данных, если используются зарубежные платформы верификации.

Где хранится биометрия и почему это важно для бюджета рисков?

С 01.06.2023 исходные биометрические данные запрещено хранить вне ЕБС (ФЗ-572). Финансовая организация не создаёт собственную базу биометрии — она получает результат верификации из ЕБС через API. Это принципиально меняет матрицу рисков: компания не является оператором биометрической базы в классическом смысле, но остаётся ответственной за правомерность обращения к ЕБС.

Если компания всё же хранит биометрические данные вне ЕБС — например, фотографии клиентов в собственной CRM для визуальной идентификации — это уже самостоятельный состав нарушения. Применяется ч. 16 ст. 13.11 КоАП (нарушение правил обработки биометрии) или ч. 17 ст. 13.11 КоАП при утечке таких данных. Штраф по ч. 17 для юридических лиц — от 15 млн до 20 млн ₽.

Для финансового директора это означает: бюджет рисков по биометрии складывается минимум из трёх составляющих — штраф за отказ в обслуживании (ч. 8 ст. 14.8 КоАП), штраф за нарушение правил обработки биометрии (ч. 16 ст. 13.11 КоАП), штраф за утечку биометрии (ч. 17 ст. 13.11 КоАП, 15–20 млн ₽). При повторном нарушении по ч. 16 или ч. 17 — оборотный штраф по ч. 18 ст. 13.11 КоАП (1–3% совокупной годовой выручки).

Какие сценарии нарушений встречаются в финтех-практике?

Сценарий 1. Банк ввёл обязательную биометрическую верификацию в мобильном приложении. После обновления приложения единственный способ подтверждения операции — скан лица. Клиент без зарегистрированной биометрии в ЕБС не может провести платёж. Ситуация: клиент жалуется в Банк России и РКН. Доказательства: скриншоты интерфейса, отсутствие альтернативных методов подтверждения в пользовательском соглашении. Вероятный исход: протокол по ч. 8 ст. 14.8 КоАП, штраф до 500 тыс. ₽. Стратегия: немедленно добавить альтернативный способ (SMS-код, ПИН), уведомить регулятора о принятых мерах, что снижает риск максимального штрафа.

Сценарий 2. МФО отказала в займе, сославшись на невозможность верификации без биометрии. Скоринговая система настроена так, что при отсутствии биометрического профиля клиент автоматически получает отказ — не потому что высокий кредитный риск, а потому что система не может завершить идентификацию. Ситуация: клиент подаёт жалобу, ссылаясь на ст. 16 ФЗ-152 (право на пересмотр автоматизированного решения). Доказательства: отказное письмо без обоснования кредитного риска. Вероятный исход: нарушение одновременно по ст. 14.8 ч. 8 КоАП и ст. 13.11 ч. 1 КоАП. Стратегия: разделить процессы идентификации и скоринга, добавить человеческую проверку для случаев без биометрии.

Сценарий 3. Страховщик использует биометрию при дистанционном урегулировании убытков как единственный способ удостоверить личность. Клиент без биометрии вынужден лично приезжать в офис — де-факто дискриминация. Ситуация: жалоба в РКН и в ЦБ одновременно. Вероятный исход: предписание устранить нарушение, протокол по ч. 8 ст. 14.8 КоАП. Стратегия: разработать регламент дистанционного урегулирования без биометрии (нотариально заверенные документы, видеозвонок с верификацией паспорта).

Если в вашей финансовой организации биометрия встроена в обязательные процессы — это риск штрафа по ч. 8 ст. 14.8 КоАП прямо сейчас. До проверки регулятора остаётся неизвестное количество дней.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Финансовая организация Приволжского ФО (лето 2025) внедрила биометрическую верификацию как обязательный шаг при открытии вклада через мобильное приложение. После жалоб клиентов без биометрического профиля РКН возбудил дело по ч. 8 ст. 14.8 КоАП. Финансовый директор обратился за юридическим сопровождением. В ходе подготовки к рассмотрению дела компания оперативно изменила интерфейс, добавила альтернативный канал открытия вклада и представила доказательства принятых мер. Штраф был назначен в нижнем диапазоне с учётом устранения нарушения.

Кейс 2. МФО Центрального ФО (осень 2025) использовала биометрические данные для скоринга на основе фотографий клиентов, хранившихся в собственной CRM вне ЕБС. Проверка РКН выявила двойное нарушение: хранение биометрии вне ЕБС (нарушение ФЗ-572) и автоматизированные решения об отказе в займе без возможности оспорить результат (ст. 16 ФЗ-152). Дела рассматривались по ч. 16 ст. 13.11 КоАП и ч. 1 ст. 13.11 КоАП. Совокупная финансовая нагрузка составила сотни тысяч рублей. Сопровождение позволило применить смягчающие обстоятельства.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверим все точки обработки биометрии и ПДн в финтех-процессах.
Комплект ОРД под ключ — разработаем регламенты работы с биометрией, согласия и внутренние политики.
Защита при штрафе в арбитраже — оспорим протокол и постановление, применим смягчающие по ст. 4.1 КоАП.

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если у него нет биометрии в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в предоставлении услуги по основанию отсутствия биометрических данных в ЕБС или нежелания их предоставлять. Согласие на сдачу биометрии добровольное по ФЗ-572. Единственное законное основание отказа в обслуживании — нормы 115-ФЗ об идентификации при ПОД/ФТ, которые к ЕБС отношения не имеют.

2. Что грозит МФО за утечку биометрических данных клиентов?

Штраф по ч. 17 ст. 13.11 КоАП — от 15 млн до 20 млн ₽ за утечку биометрических персональных данных. Если МФО ранее уже привлекалась по ч. 16 или ч. 17 — при повторном нарушении применяется ч. 18 ст. 13.11 КоАП: оборотный штраф 1–3% совокупной годовой выручки. Дополнительно — уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024) для должностных лиц.

3. Какое правовое основание для обработки ПДн клиентов в банке?

Банк обрабатывает ПДн клиентов на нескольких основаниях по ст. 6 ФЗ-152: исполнение договора банковского счёта или кредитного договора (п. 5 ст. 6), исполнение обязательных требований по 115-ФЗ (п. 2 ст. 6), а в части дополнительных услуг — согласие субъекта (п. 1 ст. 6). Биометрические данные для верификации через ЕБС — отдельное письменное согласие по ст. 11 ФЗ-152. С 01.09.2025 все согласия — отдельный документ (ФЗ-156 от 24.06.2025).

4. Где хранится биометрия клиентов финансовой организации — в банке или в ЕБС?

С 01.06.2023 исходные биометрические данные хранятся исключительно в ЕБС (ФЗ-572). Банк, МФО или иная финансовая организация не вправе создавать собственные базы биометрии. При верификации компания получает от ЕБС только результат сравнения — да/нет — без передачи самих биометрических данных. Хранение биометрии в собственных системах — нарушение ФЗ-572 и ст. 11 ФЗ-152, штраф по ч. 16 ст. 13.11 КоАП.

5. Как клиент может оспорить отказ в кредите, если он связан с биометрией?

Клиент вправе использовать несколько механизмов: подать жалобу в Банк России (при отказе кредитной организации), в РКН (при нарушении ФЗ-152 или ФЗ-572), обратиться с иском в суд общей юрисдикции. Если отказ принят автоматизированной системой — клиент вправе требовать пересмотра решения человеком по ст. 16 ФЗ-152. Оператор обязан рассмотреть такое требование. При наличии дискриминационного признака (отсутствие биометрии) — это основание для иска о защите прав потребителя.

Итог

Биометрия в финтехе — это пересечение минимум четырёх нормативных треков: ФЗ-572 (ЕБС), ФЗ-152 (ст. 11 — биометрия, ст. 16 — автоматизированные решения), ч. 8 ст. 14.8 КоАП (запрет отказа) и ч. 16–18 ст. 13.11 КоАП (нарушение правил обработки и утечки). Каждый трек имеет собственный штраф, и они суммируются.

DATUM сопровождает финансовые организации в части соответствия 152-ФЗ и ФЗ-572: от аудита процессов обработки биометрии до защиты в арбитраже при предъявлении протокола по ст. 14.8 или ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

9 января 2027 года