аналитика 24 ноября 2029 По состоянию на 24 ноября 2029

Скоринг и ст. 16 152-ФЗ

Автоматизированный скоринг в банке или МФО — это обработка ПДн, результатом которой становится решение, порождающее правовые последствия для субъекта. Именно этот случай регулирует ст. 16 ФЗ-152.

С 30.05.2025 штраф за утечку от 10 000 до 100 000 субъектов составляет 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП. Повторная утечка активирует оборотный штраф — не менее 20 млн ₽ и до 500 млн ₽ по ч. 15 той же статьи.

Если вы финансовый директор и бюджет на комплаенс ещё не защищён — сравните стоимость аудита и стоимость одного инцидента. →

Скоринговые модели банков и МФО принимают решения об отказе в кредите, установлении лимита или блокировке счёта без участия человека. С точки зрения 152-ФЗ это означает, что в отношении субъекта принято решение исключительно на основе автоматизированной обработки его персональных данных. Ст. 16 ФЗ-152 запрещает такое решение без специального основания и устанавливает право субъекта его оспорить. Параллельно работают ФЗ-218 о кредитных историях, ФЗ-572 о единой биометрической системе и 115-ФЗ об идентификации клиентов — каждый со своей логикой оснований обработки. Финансовому директору важно понимать, какой совокупный штрафной риск создаёт скоринговая инфраструктура и во сколько обходится его устранение.

Что запрещает ст. 16 ФЗ-152 и при каких условиях скоринг законен?

Ст. 16 ФЗ-152 устанавливает запрет на принятие решений в отношении субъекта, основанных исключительно на автоматизированной обработке его персональных данных, если такое решение порождает правовые последствия или иным образом затрагивает его права и законные интересы. Применительно к финтеху это решение об отказе в кредите, снижении лимита, отказе в открытии счёта или блокировке операции.

Норма допускает автоматизированное решение в двух случаях: субъект дал письменное согласие на такую обработку либо это прямо предусмотрено федеральным законом. Для банков второй случай реализован через нормы НПС и 115-ФЗ применительно к противодействию отмыванию. Для МФО аналогичного федерального исключения меньше, поэтому письменное согласие в договоре становится критическим документом.

«Ст. 16 ФЗ-152 — запрет на принятие решений, основанных исключительно на автоматизированной обработке ПДн, если они влекут правовые последствия для субъекта, без письменного согласия субъекта или прямого указания в федеральном законе.»

На практике большинство скоринговых согласий включены в типовой договор или заявку единым блоком. После 01.09.2025 такой подход нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156: согласие оформляется отдельным документом, не объединяется с договором, офертой или политикой. Старые форматы продолжают работать для ранее подписанных соглашений, но каждое новое согласие с клиентом должно соответствовать обновлённым требованиям к реквизитам.

Как ФЗ-218, ФЗ-572 и 115-ФЗ пересекаются со скорингом?

Скоринг редко работает только с данными, которые клиент сообщил сам. Банк и МФО запрашивают кредитные истории в БКИ по ФЗ-218 и получают биометрические данные через ЕБС по ФЗ-572. Каждый из этих каналов добавляет самостоятельный блок правовых обязательств.

ФЗ-218 и БКИ. Запрос кредитной истории требует отдельного согласия субъекта, которое в соответствии с ФЗ-218 оформляется на каждый запрос или на срок не более шести месяцев. Кредитная история хранится в БКИ семь лет с момента последнего изменения записи. БКИ сами являются операторами ПДн и несут самостоятельную ответственность по ст. 13.11 КоАП, однако банк как источник информации несёт ответственность за корректность переданных данных.

ФЗ-572 и ЕБС. С 01.06.2023 хранить биометрические данные клиентов вне ЕБС запрещено. Размещение биометрии в ЕБС банками осуществляется через оператора — АО «Центр Биометрических Технологий». Использование биометрии из ЕБС в скоринге для верификации личности допустимо при наличии согласия субъекта на такое использование. За нарушение требований размещения биометрии в ЕБС — отдельная ст. 13.11.3 КоАП (штраф для юрлиц 500 тыс. – 1 млн ₽). Отказать клиенту в обслуживании только потому, что он не предоставил биометрию в ЕБС, нельзя: ч. 8 ст. 14.8 КоАП предусматривает штраф за такой отказ.

115-ФЗ и идентификация. Обязательная идентификация клиента по 115-ФЗ создаёт самостоятельное правовое основание для обработки ПДн по п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанности оператора, предусмотренной федеральным законом). Данные, собранные при идентификации, не могут использоваться для скоринга без дополнительного основания: цели обработки несовместимы по ст. 5 ФЗ-152.

Скоринговые согласия ещё включены в договор?

Если финансовый директор утверждал бюджет на юридическое сопровождение в прошлом году и этот вопрос не закрыт — каждое новое скоринговое согласие, объединённое с договором, создаёт риск по ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽ за нарушение требований к согласию). При повторном нарушении по ч. 2.1 — от 1 до 1,5 млн ₽. Аудит займёт две-три недели и даст приоритизированный план устранения.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие нарушения при скоринге чаще всего фиксирует Роскомнадзор?

По данным практики проверок РКН в финансовом секторе можно выделить несколько типовых нарушений, которые выявляются в первую очередь.

Отсутствие основания по ст. 16. Договор содержит скоринговую оговорку, но не отдельное согласие. После 01.09.2025 это нарушение ст. 9 в редакции ФЗ-156 плюс ст. 16 одновременно. Санкция — ч. 2 ст. 13.11 КоАП, до 700 тыс. ₽.

Несоответствие реестра оператора фактической обработке. В уведомлении по ст. 22 ФЗ-152 не указаны цели скоринга, категории обрабатываемых данных (напр., данные из БКИ, биометрия), третьи лица (БКИ, партнёры по скоринговой модели). За неуведомление или несоответствие — ч. 10 ст. 13.11 КоАП, 100–300 тыс. ₽.

Трансграничная передача данных без уведомления РКН. Облачные скоринговые платформы с серверами за рубежом и использование иностранных аналитических инструментов создают риск нарушения ст. 12 ФЗ-152. Передача данных о гражданах РФ в страну, не обеспечивающую адекватную защиту, требует предварительного уведомления РКН.

Утечка скоринговых данных. Скоринговые базы содержат агрегированные данные о финансовом поведении, нередко включая специальные категории (данные о доходах, долгах, платёжной дисциплине). Утечка от 1 000 субъектов — уже ч. 12 ст. 13.11 КоАП с штрафом 3–5 млн ₽. При повторности активируется оборотный штраф по ч. 15.

Что подготовить финансовому директору для снижения риска

Отдельные согласия на скоринг по ст. 16 ФЗ-152 и на запросы в БКИ по ФЗ-218 — отдельные документы с 01.09.2025 (ФЗ-156), не объединённые с договором.
Актуальное уведомление в реестре РКН (pd.rkn.gov.ru) с корректными целями, категориями ПДн и перечнем третьих лиц, включая БКИ и скоринговых партнёров.
Оценку трансграничной передачи: перечень облачных платформ и аналитических инструментов с указанием страны хранения данных и статуса адекватной защиты по ст. 12 ФЗ-152.
Политику обработки ПДн с разделами по ст. 18.1 ФЗ-152, включая описание скоринговых процессов и права субъекта по ст. 16.
Процедуру реагирования на обращения субъектов об оспаривании скорингового решения — с соблюдением срока 10 рабочих дней по ст. 20 ФЗ-152.

Три сценария: как финансовый директор оценивает риск скоринга

Ниже — типовые ситуации из практики финансового сектора. Каждая показывает, как административный риск трансформируется в бюджетную строку.

Сценарий 1. МФО без отдельного согласия по ст. 16. Ситуация: согласие на скоринг включено в типовую заявку на заём единым блоком с согласием на обработку ПДн. С 01.09.2025 это нарушает требования к составу согласия по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Доказательства: достаточно одной формы заявки. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП, штраф до 700 тыс. ₽; при повторном нарушении по ч. 2.1 — до 1,5 млн ₽. Стратегия: разделить форму согласия, переработать шаблон заявки, обновить уведомление в РКН.

Сценарий 2. Банк — утечка скоринговой базы через подрядчика. Ситуация: аналитический подрядчик, которому передана скоринговая выборка, допустил утечку 40 000 записей. Принцип судебной практики: оператор несёт ответственность за утечку через подрядчика, даже если поручение оформлено. Вероятный исход: ч. 13 ст. 13.11 КоАП — штраф 5–10 млн ₽. Если это повторная утечка — оборотный штраф по ч. 15, не менее 20 млн ₽. Стратегия: аудит договоров поручения, включение требований по ПДн в SLA с подрядчиком, разграничение доступа к скоринговым выборкам.

Сценарий 3. Клиент оспаривает отказ в кредите по ст. 16. Ситуация: клиент направляет требование разъяснить основания отказа и требует пересмотра с участием сотрудника. Компания не отвечает в установленный срок. Вероятный исход: жалоба в РКН, проверка, протокол по ч. 4 ст. 13.11 КоАП (невыдача информации субъекту) — штраф 40–80 тыс. ₽ плюс репутационные последствия. Стратегия: регламент обработки обращений по ст. 16 ФЗ-152 с чёткими сроками и шаблоном ответа.

Если финансовый директор получил запрос РКН или уже идёт проверка скоринговой инфраструктуры — срок реагирования не восстанавливается. Юристы DATUM оценят текущее состояние ОРД и помогут сформировать позицию.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. В конце 2025 года финансовый директор МФО (Приволжский ФО) инициировал внутренний аудит после изменений ст. 9 ФЗ-152. Аудит выявил: согласие на скоринг по ст. 16 встроено в текст заявки, уведомление в РКН не содержит упоминания БКИ как третьей стороны, договор с аналитическим подрядчиком не включает требований по ФЗ-152. По итогам аудита сформирован план из 11 мероприятий; документация приведена в порядок до плановой проверки РКН. Штрафных санкций по результатам проверки не последовало.

Кейс 2 (case_S2_pkr_analitika). В деле, рассмотренном Арбитражным судом Санкт-Петербурга и Ленинградской области в начале 2026 года (дело № А56-4733/2026), цифровая платформа допустила утечку порядка 70 000 записей с ФИО, должностями и контактными данными в результате хакерской атаки. Нарушение квалифицировано по ч. 14 ст. 13.11 КоАП. Применены смягчающие обстоятельства. Дело показывает: наличие договора с подрядчиком не снимает ответственности оператора, а хакерская атака сама по себе не является обстоятельством, исключающим вину.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка скоринговой инфраструктуры по 38 пунктам с отчётом
Комплект ОРД под ключ — согласия по ст. 16, политика, договор поручения с подрядчиком
Защита при штрафе в арбитраже — обжалование протоколов по ч. 2, 12, 13, 15 ст. 13.11 КоАП

Частые вопросы

1. Можно ли отказать клиенту без биометрии?

Нет. Ч. 8 ст. 14.8 КоАП прямо запрещает отказывать потребителю в обслуживании по причине непредоставления биометрии в ЕБС. Биометрическая верификация — право клиента, не обязанность. Нарушение влечёт штраф для юридического лица; в публикациях РКН фигурирует сумма до 500 тыс. ₽. Банк может предлагать упрощённый сценарий идентификации через ЕБС, но не обусловливать им сам факт обслуживания.

2. Что грозит МФО за утечку клиентских данных?

Размер штрафа зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. От 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн ₽. Свыше 100 000 — ч. 14, штраф 10–15 млн ₽. При повторной утечке активируется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — возможная уголовная ответственность по ст. 272.1 УК РФ для физических лиц, допустивших утечку.

3. Какое правовое основание обработки ПДн используется в банке?

Банк применяет несколько оснований одновременно. Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152) покрывает обработку в рамках кредитного договора. Исполнение обязанностей оператора по федеральному закону (п. 2 ч. 1 ст. 6) покрывает идентификацию по 115-ФЗ. Для скоринга по ст. 16 ФЗ-152 и для запроса в БКИ по ФЗ-218 требуется отдельное согласие субъекта. Смешивать основания нельзя: по ст. 5 ФЗ-152 обработка должна соответствовать заявленным целям.

4. Где физически хранится биометрия — в банке или в ЕБС?

С 01.06.2023 хранить биометрические данные клиентов вне ЕБС запрещено. Единственный оператор ЕБС — АО «Центр Биометрических Технологий». Банк не хранит исходные биометрические шаблоны у себя; он получает результат верификации через API ЕБС. Нарушение требований размещения биометрии образует состав по ст. 13.11.3 КоАП (500 тыс. – 1 млн ₽ для юрлиц).

5. Как клиент может оспорить отказ в кредите, вынесенный скорингом?

Ст. 16 ФЗ-152 даёт субъекту право потребовать пересмотра автоматизированного решения с участием уполномоченного сотрудника оператора. Оператор обязан ответить на такое обращение в течение 10 рабочих дней (ст. 20 ФЗ-152). Параллельно клиент вправе обратиться в РКН с жалобой. Нарушение срока ответа образует состав по ч. 4 ст. 13.11 КоАП (невыдача информации субъекту), штраф 40–80 тыс. ₽.

Итог

Скоринг в финансовом секторе создаёт три самостоятельных правовых риска: нарушение ст. 16 ФЗ-152 (решение без надлежащего основания), нарушение ст. 9 ФЗ-152 в редакции ФЗ-156 (согласие встроено в договор), и штрафы при утечке по ч. 12–15 ст. 13.11 КоАП — от 3 млн ₽ до оборотного штрафа. Параллельно действуют ФЗ-218, ФЗ-572 и 115-ФЗ, каждый с собственными требованиями к основаниям обработки и хранению данных.

Практика DATUM охватывает финансовый сектор: банки, МФО, БКИ, страховщиков. Специализация — аудит скоринговой инфраструктуры, приведение согласий в соответствие с требованиями ФЗ-156, сопровождение проверок РКН и защита при штрафах по ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг и автоматизированные решения по ст. 16 152-ФЗ, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.