Перейти к содержанию
аналитика 14 апреля 2029 По состоянию на 14 апреля 2029

Удалённая идентификация через ЕБС

Удалённая идентификация через ЕБС — механизм верификации личности клиента без личного присутствия на основе биометрических данных, размещённых в Единой биометрической системе (ФЗ-572 от 29.12.2022).
С 01.06.2023 кредитные организации, МФО и иные финансовые операторы не вправе хранить биометрию вне ЕБС. Нарушение порядка использования ЕБС грозит штрафом до 1 млн ₽ по ст. 13.11.3 КоАП, а отказ клиенту из-за отсутствия биометрии — штрафом до 500 тыс. ₽ по ч. 8 ст. 14.8 КоАП.
→ Если вы финансовый директор и оцениваете бюджет комплаенса по ЕБС — разберём цену нарушений и стоимость приведения в порядок.

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей, а с 11.12.2024 действует ст. 272.1 УК за незаконное обращение с персональными данными. Финансовый сектор оказался под тройным давлением: ФЗ-572 по биометрии, ФЗ-152 по ПДн и 115-ФЗ по идентификации клиентов. Настоящий материал разбирает, как работает удалённая идентификация через ЕБС, какие нормы регулируют обработку биометрии в банках и МФО, как считать риски и что делать финансовому директору, получившему предписание регулятора.

Как работает удалённая идентификация через ЕБС — нормативная база

Единая биометрическая система создана на основании ФЗ-572 от 29.12.2022. Оператор ГИС ЕБС — АО «Центр Биометрических Технологий». Биометрические данные (изображение лица и голос) гражданин размещает в ЕБС через уполномоченный банк или МФЦ.

Механизм удалённой идентификации: клиент даёт согласие, финансовая организация направляет запрос в ЕБС, система сравнивает предъявленный биометрический шаблон с хранящимся и возвращает решение об идентификации. Сама биометрия при этом остаётся в ЕБС — финансовая организация не получает и не хранит её у себя.

Ст. 11 ФЗ-152 разграничивает биометрические ПДн: обработка допустима только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом. ФЗ-572 устанавливает исключение для банков и МФО при проведении идентификации через ЕБС — они вправе запрашивать результат верификации без отдельного письменного согласия по ст. 11 ФЗ-152, поскольку согласие дано при размещении данных в ЕБС.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допустима только на основании письменного согласия субъекта либо в случаях, прямо установленных федеральным законом. ФЗ-572 является таким специальным законом для целей идентификации через ЕБС.»

Параллельно действует 115-ФЗ об ПОД/ФТ: кредитные организации обязаны идентифицировать клиентов до совершения операций. ЕБС признана допустимым способом выполнения этой обязанности при дистанционном обслуживании, что сформировало правовой стимул для её внедрения.

Для МФО порядок подключения к ЕБС регулируется отдельными нормативными актами Банка России. МФО, не имеющие возможности самостоятельно принимать биометрию, используют ЕБС исключительно в режиме получателя результата идентификации.

Ваша финансовая организация подключена к ЕБС, но порядок обработки ПДн не задокументирован?

Подключение к ЕБС без актуальной ОРД создаёт риск штрафа по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) за обработку без законного основания. Кроме того, Роскомнадзор вправе инициировать проверку по жалобе клиента. Своевременный аудит обходится кратно дешевле постфактум-защиты в арбитраже.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что грозит банку или МФО за нарушение правил ЕБС?

Штрафные риски для финансового оператора распадаются на три независимых блока, и важно не смешивать их при бюджетировании.

Блок 1 — ст. 13.11.3 КоАП. Отдельная статья о нарушениях при размещении биометрических данных в ЕБС. Применяется к банкам и МФЦ как к субъектам, уполномоченным собирать биометрию. Штраф для юридического лица — 500 тыс. – 1 млн ₽ за нарушение требований к порядку размещения в ЕБС.

«Ст. 13.11 ч. 17 КоАП — утечка биометрических ПДн (за исключением случаев ст. 13.11.3) — 15 000 000 – 20 000 000 ₽ для юридического лица в редакции с 30.05.2025.»

Блок 2 — ст. 13.11 КоАП ч. 16–18 (редакция с 30.05.2025). Нарушение требований ст. 11 ФЗ-152 к обработке биометрии в части, не покрытой ст. 13.11.3 (ч. 16); утечка биометрических ПДн (ч. 17) — 15–20 млн ₽; повторное нарушение (ч. 18) — оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

Блок 3 — ч. 8 ст. 14.8 КоАП. Отказ обслуживать потребителя без предоставления биометрии в ЕБС — штраф до 500 тыс. ₽ для юридического лица. Этот риск актуален для банков, которые пытаются сделать ЕБС обязательным условием открытия счёта или выдачи кредита.

Итого: одна ситуация с некорректным использованием ЕБС потенциально активирует три разных состава. Финансовый директор, закладывающий в бюджет только минимальный сценарий, рискует недооценить совокупный риск в 10–20 раз.

Скоринг и автоматизированные решения: где возникают риски по ст. 16 ФЗ-152?

Банки и МФО нередко встраивают результат идентификации через ЕБС в модели скоринга. Это создаёт дополнительный правовой вопрос: как соотносятся автоматизированные решения на основе биометрических данных и ст. 16 ФЗ-152?

Ст. 16 ФЗ-152 запрещает принимать решения, порождающие юридические последствия для субъекта или существенно затрагивающие его интересы, исключительно на основании автоматизированной обработки ПДн — без участия человека — если субъект не дал на это явного согласия или если это прямо не предусмотрено законом.

«Ст. 16 ФЗ-152 — запрет на исключительно автоматизированные решения, затрагивающие права субъекта, без его согласия или без прямого законодательного основания. Применительно к кредитному скорингу: решение об отказе в кредите, принятое автоматически без возможности оспорить его у человека, нарушает ст. 16.»

На практике банки обходят это ограничение двумя способами: либо включают в договор согласие на автоматизированное принятие решений, либо формально сохраняют «участие человека» в виде сотрудника, утверждающего решение системы. Второй подход создаёт видимость соответствия, но при проверке РКН может быть квалифицирован как фиктивный — если сотрудник фактически не влияет на результат.

Для МФО ситуация острее: при выдаче микрозаймов онлайн реального участия человека зачастую нет вовсе. Протокол по ст. 13.11 ч. 1 КоАП (150–300 тыс. ₽) при проверке практически гарантирован, если согласие на автоматизированное решение не выделено отдельным документом в соответствии с требованиями ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025).

Что проверить финансовому директору до конца квартала

  • Выписка из реестра операторов ПДн (pd.rkn.gov.ru) — актуальные сведения об обработке биометрии и целях передачи в ЕБС.
  • Согласие клиента на идентификацию через ЕБС — выделено отдельным документом или встроено в договор (риск по ст. 9 ФЗ-152 ред. 01.09.2025).
  • Соглашение с АО «Центр Биометрических Технологий» — наличие поручения на обработку по ст. 6 п. 3 ФЗ-152.
  • Политика обработки ПДн — раздел о биометрии, порядке обращения в ЕБС и сроках хранения результатов запросов.
  • Документальное подтверждение «участия человека» при автоматизированном скоринге (ст. 16 ФЗ-152) или отдельное согласие субъекта.

Типовые сценарии нарушений в финансовом секторе

Сценарий 1. МФО хранит биометрические шаблоны на собственном сервере. Организация использовала систему видеоверификации, встроенную в мобильное приложение, и сохраняла изображения лиц клиентов в собственной базе данных. С 01.06.2023 хранение исходной биометрии вне ЕБС прямо запрещено ФЗ-572. Ситуация: РКН получил жалобу от клиента. Доказательства: журналы хранилища, резервные копии. Вероятный исход — протокол по ст. 13.11 ч. 16 КоАП и по ст. 13.11.3 КоАП одновременно, совокупный штраф до 1,5 млн ₽. Стратегия: немедленно перенести биометрию в ЕБС, задокументировать уничтожение локальных копий, уведомить РКН о прекращении хранения.

Сценарий 2. Банк отказал в открытии счёта клиенту без регистрации в ЕБС. Менеджер колл-центра сообщил клиенту, что дистанционное открытие счёта возможно только при наличии биометрии в ЕБС. Клиент подал жалобу. Ситуация: нарушение ч. 8 ст. 14.8 КоАП — принуждение к предоставлению биометрии. Исход — штраф до 500 тыс. ₽. Стратегия: предусмотреть альтернативный канал идентификации (личный визит, ЕСИА), обучить персонал порядку работы с клиентами без биометрии в ЕБС.

Сценарий 3. Банк получил запрос РКН о правовом основании передачи данных в ЕБС. В реестре операторов ПДн передача в ЕБС не была отражена как отдельная цель. Документы по поручению обработки с АО «Центр Биометрических Технологий» отсутствовали. Ситуация: несоответствие фактической обработки зарегистрированным сведениям. Исход — предписание, штраф по ч. 1 ст. 13.11 (150–300 тыс. ₽), возможное внеплановое расследование. Стратегия: обновить уведомление в реестре, заключить соглашение с оператором ЕБС, обновить политику обработки ПДн.

Если финансовый директор видит, что документы по ЕБС не обновлялись с момента подключения — риск штрафа при плановой проверке РКН составляет 150 тыс. – 1 млн ₽ по совокупности составов. Аудит DATUM займёт 2–3 недели и закроет все три блока рисков.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. МФО (Приволжский ФО, осень 2025) при аудите DATUM обнаружила, что согласие клиентов на автоматизированный скоринг было включено в текст договора займа в виде одного из 47 пунктов. После 01.09.2025 такой формат нарушает ст. 9 ФЗ-152 в редакции ФЗ-156: согласие должно быть отдельным документом. Параллельно система сохраняла скриншоты видеозвонка с изображением лица клиента в локальном хранилище — нарушение ФЗ-572. Юристы DATUM помогли переработать форму согласия, оформить поручение на обработку с оператором ЕБС и уничтожить локальные копии с составлением акта. Проверка РКН, начатая через месяц по жалобе стороннего клиента, не выявила текущих нарушений; штраф не был назначен.

Кейс 2. Региональный банк (Уральский ФО, начало 2026) получил протокол по ч. 16 ст. 13.11 КоАП в связи с отсутствием письменного согласия на обработку биометрических данных при верификации через ЕБС — банк полагал, что согласие при регистрации в ЕБС снимает этот вопрос. Юристы DATUM оспорили протокол, указав, что ФЗ-572 является специальным законом и освобождает от требования ст. 11 ФЗ-152 для данного кейса. Арбитражный суд региона прекратил производство по делу.

Услуги DATUM по теме

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не зарегистрирован в ЕБС?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420 от 30.11.2024, прямо запрещает обусловливать предоставление услуги наличием биометрии в ЕБС. Штраф для юридического лица — до 500 тыс. ₽. Финансовая организация обязана предоставить альтернативный способ идентификации: личное присутствие, использование ЕСИА или иной допустимый метод по 115-ФЗ.

2. Что грозит МФО за утечку данных, полученных при идентификации через ЕБС?

Если утекли биометрические данные — ч. 17 ст. 13.11 КоАП, штраф 15–20 млн ₽ для юридического лица (редакция с 30.05.2025). При повторной утечке (ч. 18) — оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Дополнительно — уголовные риски по ст. 272.1 УК РФ, действующей с 11.12.2024, если утечка связана с незаконным использованием компьютерной информации.

3. Какое правовое основание для обработки ПДн клиента при идентификации в банке через ЕБС?

Основания — несколько. Исполнение обязанности по идентификации клиентов по 115-ФЗ (п. 2 ч. 1 ст. 6 ФЗ-152). Согласие субъекта, данное при регистрации в ЕБС по ФЗ-572 (специальный закон по отношению к ст. 11 ФЗ-152). Достижение целей договора банковского обслуживания (п. 5 ч. 1 ст. 6 ФЗ-152). Каждое основание должно быть отражено в уведомлении РКН и политике обработки ПДн.

4. Где хранится биометрия — в банке или в ЕБС?

Исключительно в ЕБС. С 01.06.2023 ФЗ-572 запрещает кредитным организациям и МФО хранить исходные биометрические шаблоны (изображение лица, голос) у себя. Банк направляет запрос в ЕБС и получает результат верификации — булево значение совпадения. Хранение локальных копий биометрии после этой даты является самостоятельным нарушением с риском штрафа по ст. 13.11.3 КоАП до 1 млн ₽.

5. Как клиент может оспорить автоматический отказ в кредите на основании скоринга?

По ст. 16 ФЗ-152 субъект вправе требовать разъяснения принятого на основании автоматизированной обработки решения и его пересмотра с участием уполномоченного сотрудника. Если финансовая организация этот запрос проигнорировала или не предусмотрела такой процедуры — жалоба в РКН и в Банк России (как надзорный орган для банков и МФО). Параллельно — исковое заявление в суд общей юрисдикции об обязании пересмотреть решение.

Итог

Удалённая идентификация через ЕБС — не просто технический инструмент: она создаёт пересечение трёх регуляторных систем (ФЗ-152, ФЗ-572, 115-ФЗ) и трёх самостоятельных составов административных нарушений. Финансовому директору важно понимать, что стоимость приведения документации в порядок — единицы сотен тысяч рублей, тогда как совокупный риск при проверке или утечке начинается от 500 тыс. ₽ и достигает 20 млн ₽ только по биометрическим составам.

DATUM сопровождает финансовые организации по всему спектру вопросов ЕБС: от актуализации уведомления в реестре РКН до защиты в арбитраже при оспаривании протоколов по ст. 13.11 ч. 16–18 и ст. 13.11.3 КоАП.

Смотрите также

Есть вопрос по ЕБС, скорингу или проверке РКН?

Оценим документацию и риски за одну консультацию. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Более 300 операторов сопровождено.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг по ст. 16 ФЗ-152, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 апреля 2029 года