Снижение до 15 млн при инвестициях в ИБ: расчёт
С 30 мая 2025 года в России действует редакция ст. 13.11 КоАП, введённая ФЗ-420 от 30.11.2024. Повторная утечка персональных данных теперь влечёт оборотный штраф — его минимум для большинства средних компаний превышает 20 млн ₽. Однако ФЗ-420 одновременно закрепил в ст. 4.1 КоАП льготный механизм: если оператор подтвердит достаточный объём инвестиций в ИБ за три предшествующих года, расчётный штраф снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Разбираем условия, формулу расчёта и практику применения.
Как устроен оборотный штраф по ч. 15 ст. 13.11 КоАП с 30.05.2025?
Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторности: если оператор ранее уже привлекался к ответственности по ч. 12, 13, 14, 16, 17 или 15 той же статьи и совершил новое нарушение, связанное с утечкой персональных данных. Однократная утечка под оборотный состав не подпадает — там применяются ч. 12–14 с фиксированными диапазонами.
База расчёта — совокупная выручка за предшествующий полный календарный год. Для компании с выручкой 500 млн ₽ минимальный штраф составит 20 млн ₽ (так как 1% = 5 млн ₽ — ниже установленного минимума). Для компании с выручкой 2 млрд ₽ расчётный штраф — 20–60 млн ₽. При выручке свыше 16,7 млрд ₽ включается верхняя планка — 500 млн ₽. Суд не вправе назначить сумму ниже законодательного минимума в 20 млн ₽ без специальных оснований.
Важно понимать хронологию: ФЗ-420 вступил в силу 30.05.2025. Утечки, произошедшие до этой даты, квалифицируются по старым нормам — максимум по ч. 1 прежней редакции составлял 60 000–100 000 ₽. Суды в 2025–2026 годах уже применяли именно этот принцип (дело АС Москвы по 26 млн записей — штраф 150 000 ₽ именно потому, что утечка произошла до 01.06.2025). Для оборотного штрафа по ч. 15 принципиально, что оба нарушения — предшествующее и новое — относятся к периоду после 30.05.2025.
Получили протокол по ч. 15 ст. 13.11 или ожидаете повторной проверки?
Оборотный штраф — это не фиксированная сумма. Её размер зависит от выручки, наличия документов об инвестициях в ИБ и правильно выстроенной позиции в суде. Каждый месяц промедления сужает возможности защиты: доказательная база утрачивается, сроки обжалования сокращаются.
Защитить от штрафа 13.11+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что такое льгота по ст. 4.1 КоАП и как она снижает штраф до 15 млн ₽?
Примечание 3.4-2 к ст. 4.1 КоАП введено тем же ФЗ-420 от 30.11.2024 и работает как «ИБ-зачёт». Если оператор подтверждает, что за три полных календарных года, предшествующих году совершения правонарушения, совокупный объём инвестиций в информационную безопасность составил не менее 0,1% от совокупной выручки за тот же период, суд вправе назначить штраф в размере 1/10 минимального размера, установленного санкцией соответствующей части.
Для ч. 15 минимальный штраф — 20 млн ₽. Одна десятая от 20 млн = 2 млн ₽. Но законодатель установил абсолютный пол в 15 млн ₽. Поэтому реальный итог применения льготы — штраф 15 млн ₽ независимо от выручки. Верхняя граница льготного коридора — 50 млн ₽, что фактически означает: если расчётный штраф (1/10 минимального по конкретной санкции) превысил бы 50 млн — суд всё равно ограничивается 50 млн.
Экономика льготы ощутима. Компания с выручкой 3 млрд ₽ при повторной утечке получает расчётный оборотный штраф 30–90 млн ₽. С льготой — 15 млн ₽. Разница составляет 15–75 млн ₽ в зависимости от позиции прокурора по проценту. Стоимость подготовки доказательной базы и судебного сопровождения — на порядок меньше.
Как рассчитать порог инвестиций в ИБ для применения льготы?
Расчёт проводится в четыре шага.
Шаг 1. Определить трёхлетний период. Если правонарушение совершено в 2026 году, расчётный период — 2023, 2024, 2025 годы. Берётся выручка (доходы от реализации по данным бухгалтерской отчётности) за каждый из трёх лет.
Шаг 2. Суммировать выручку. Например: 2023 — 800 млн ₽, 2024 — 900 млн ₽, 2025 — 1 000 млн ₽. Совокупная выручка за три года — 2 700 млн ₽.
Шаг 3. Вычислить порог. 0,1% от 2 700 млн ₽ = 2,7 млн ₽. Именно такую сумму необходимо подтвердить документально как инвестиции в информационную безопасность за три года.
Шаг 4. Документально подтвердить инвестиции. К расходам на ИБ, как правило, относятся: приобретение и обслуживание средств защиты информации (СКЗИ, DLP, SIEM, антивирус), оплата услуг по проведению аудита и пентеста, расходы на сертификацию и аттестацию ИСПДн, заработная плата штатных специалистов по ИБ в части, приходящейся на защиту ПДн, стоимость обучения по ИБ. Перечень расходов закон не ограничивает жёстко — но каждый рубль должен быть подтверждён первичной документацией.
Что подготовить для применения льготы по ст. 4.1 КоАП
- Бухгалтерская отчётность (форма 2) за три предшествующих года с расшифровкой выручки
- Договоры, акты, счета-фактуры на приобретение и обслуживание средств защиты информации за три года
- Платёжные поручения, подтверждающие оплату расходов на ИБ
- Расчёт доли ИБ-расходов от совокупной выручки с итоговым значением ≥ 0,1%
- Ходатайство о применении льготы по примечанию 3.4-2 ст. 4.1 КоАП с приложением документов
Когда льгота по ст. 4.1 не применяется и что делать в таких случаях?
Льгота по примечанию 3.4-2 ст. 4.1 КоАП — право суда, а не обязанность. Суд вправе отказать в её применении, если оператор не представил достаточных доказательств, документы оформлены с дефектами или расчёт вызывает сомнения. Кроме того, льгота применима только к оборотным составам — ч. 15 и ч. 18 ст. 13.11 КоАП. На фиксированные штрафы по ч. 12–14 она не распространяется.
Отдельный инструмент — ст. 4.1.1 КоАП: замена штрафа предупреждением. Она доступна микропредприятиям и субъектам малого предпринимательства при первичном нарушении и отсутствии вреда. Применительно к ч. 15 и ч. 18 ст. 13.11 это правило не работает — оборотные составы прямо исключены из сферы действия ст. 4.1.1 КоАП. Однако для нарушений по ч. 1–14 — где речь идёт о первичных и фиксированных штрафах — инструмент сохраняет актуальность. Арбитражная практика 2025–2026 годов фиксирует случаи, когда микропредприятие при хакерской атаке на базу с менее чем 1 000 субъектов получало предупреждение вместо штрафа в 300 000 ₽.
Если компания не подпадает под льготу по инвестициям — у DATUM есть другие инструменты снижения штрафа: ст. 4.1 КоАП (смягчающие обстоятельства), обжалование протокола по процессуальным основаниям, оспаривание размера выручки. Ответим за 2 часа.
Защитить от штрафа 13.11Практика применения: как суды рассматривают дела по ч. 15 ст. 13.11 в 2025–2026 годах
Правоприменение по оборотным составам ст. 13.11 КоАП только формируется. По данным InfoWatch (отчёт февраль 2026), за весь 2025 год по новым нормам ст. 13.11 назначено 6 штрафов на общую сумму около 570 000 ₽ — суды и регулятор преимущественно работали с делами о нарушениях, совершённых до 30.05.2025, применяя старые санкции.
Кейс 1. Ритейловая компания (Центральный ФО, осень 2025). При плановой проверке РКН выявлена повторная утечка данных покупателей программы лояльности — около 15 000 субъектов. Квалифицировано по ч. 13 ст. 13.11 (первичное нарушение: 5–10 млн ₽) — повторности не установлено, поскольку предшествующее привлечение относилось к периоду до вступления ФЗ-420 в силу. Компания представила доказательства расходов на DLP-систему и пентест — суд учёл их как смягчающее обстоятельство по ч. 3.4 ст. 4.1 КоАП и назначил штраф в нижней части диапазона. Позиция: документировать ИБ-расходы необходимо даже при отсутствии оборотного риска — они влияют на размер фиксированного штрафа.
Кейс 2. IT-компания — разработчик SaaS-платформы (Северо-Западный ФО, начало 2026). Обратилась в DATUM после получения протокола по ч. 12 ст. 13.11 (утечка от 1 000 до 10 000 субъектов, штраф 3–5 млн ₽). В ходе подготовки правовой позиции установлено, что у компании имелась документация по расходам на SIEM и обучение персонала в совокупности свыше 0,1% выручки за три года. Хотя ч. 12 под оборотный состав не подпадает, доказательства ИБ-инвестиций были использованы как подтверждение добросовестности оператора — суд назначил штраф ниже медианного значения диапазона. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протокола, применение ст. 4.1 и ст. 4.1.1 КоАП, снижение оборотного штрафа
- Аудит соответствия 152-ФЗ — проверка документации об ИБ-инвестициях и их достаточности для льготы
- Сопровождение проверок РКН — подготовка к плановой и внеплановой проверке, представление интересов
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?
С 30 мая 2025 года ст. 13.11 КоАП включает 18 частей (редакция ФЗ-420 от 30.11.2024). Для юрлиц ключевые диапазоны: ч. 1 — 150 000–300 000 ₽ (незаконная обработка), ч. 2 — 300 000–700 000 ₽ (отсутствие или дефектное согласие), ч. 12 — 3–5 млн ₽ (утечка 1 000–10 000 субъектов), ч. 13 — 5–10 млн ₽ (10 000–100 000), ч. 14 — 10–15 млн ₽ (свыше 100 000), ч. 15 — оборотный 1–3% выручки, не менее 20 млн ₽ и не более 500 млн ₽ (повторная утечка). Нарушения до 30.05.2025 квалифицируются по старым нормам.
2. Что такое оборотный штраф 1–3% и когда он применяется?
Оборотный штраф по ч. 15 ст. 13.11 КоАП — это штраф, рассчитываемый как процент от совокупной выручки оператора за предшествующий календарный год. Он применяется при повторности: если оператор ранее уже был привлечён к ответственности по ч. 12–14, 15–18 той же статьи и допустил новую утечку. Именно повторность — ключевое условие: первичная утечка, даже крупная, под оборотный состав не подпадает. Минимальный размер — 20 млн ₽, максимальный — 500 млн ₽ независимо от выручки.
3. Когда применяется минимум 15 млн ₽ по ст. 4.1 КоАП?
Снижение до 15 млн ₽ (1/10 минимального штрафа по ч. 15) возможно при одновременном выполнении двух условий: оператор привлечён по оборотному составу (ч. 15 или ч. 18 ст. 13.11) и подтвердил инвестиции в ИБ в размере не менее 0,1% совокупной выручки за три предшествующих года. Документы — договоры, акты, платёжные поручения по ИБ-расходам — представляются суду вместе с ходатайством о применении примечания 3.4-2 ст. 4.1 КоАП. Суд вправе, но не обязан применить льготу.
4. Можно ли заменить штраф на предупреждение по ст. 4.1.1 КоАП?
Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии реального вреда. Однако применительно к ч. 15 и ч. 18 ст. 13.11 — оборотным составам — этот инструмент прямо исключён: закон не допускает замены предупреждением для этих составов. Для ч. 1–14 (фиксированные штрафы) инструмент сохраняется. Арбитражная практика подтверждает: микропредприятия при первичной утечке небольшого объёма данных получали предупреждение вместо штрафа.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508?
С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — подсудность возвращена ФЗ-508 от 28.12.2025. В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. Это практически значимо: мировые судьи рассматривают дела в упрощённом порядке, арбитражные суды — с более развитой процессуальной базой. Для оспаривания постановлений, вынесенных в переходный период, применяются нормы КАС РФ либо АПК РФ в зависимости от момента вынесения решения.
Итог
Оборотный штраф по ч. 15 ст. 13.11 КоАП — это реальный финансовый риск для любой компании, допустившей повторную утечку после 30.05.2025. Минимум 20 млн ₽ не обсуждается без специальных правовых оснований. Единственный законодательно закреплённый механизм снижения до 15 млн ₽ — документально подтверждённые инвестиции в ИБ в размере не менее 0,1% совокупной выручки за три предшествующих года по примечанию 3.4-2 ст. 4.1 КоАП.
Практика DATUM включает подготовку доказательной базы по ИБ-инвестициям, формирование правовой позиции по ст. 4.1 КоАП, обжалование протоколов и постановлений по ст. 13.11 в судах. Своевременное обращение — до вынесения постановления — принципиально расширяет возможности защиты.