Перейти к содержанию
аналитика 11 февраля 2029 года По состоянию на 11 февраля 2029 года

Упрощённая идентификация: правовые риски

Упрощённая идентификация — способ подтверждения личности клиента без личного присутствия, через биометрию, СНИЛС или данные ЕБС. С 30.05.2025 штраф за нарушения при обработке ПДн достигает 500 млн ₽ по ст. 13.11 ч. 15 КоАП.
Финансовые организации — банки, МФО, страховщики — обрабатывают данные клиентов сразу в трёх режимах: как операторы ПДн по ФЗ-152, как участники антиотмывочного контроля по 115-ФЗ и как пользователи ЕБС по ФЗ-572. Каждый режим несёт самостоятельный риск штрафа.
→ Если вы финансовый директор и оцениваете бюджет на комплаенс — ниже разбор норм, составов и реальных санкций, с которыми финтех сталкивается уже сегодня.

С 30.05.2025 финансовый сектор работает в принципиально новой системе ответственности. Ст. 13.11 КоАП расширена до 18 частей (ФЗ-420 от 30.11.2024): оборотный штраф за повторную утечку — 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Параллельно с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421): незаконный сбор и хранение ПДн могут стоить руководителю до 10 лет лишения свободы. Для финдиректора это означает, что бюджет на ИБ-комплаенс перестал быть статьёй усмотрения — он стал страховым взносом от уголовного риска.

Что такое упрощённая идентификация и какие нормы её регулируют?

Упрощённая идентификация предусмотрена 115-ФЗ «О противодействии легализации доходов»: клиент подтверждает личность дистанционно — через СНИЛС, номер телефона, реквизиты документа или биометрию. Банки и МФО применяют её при выдаче кредитов онлайн, открытии счетов и регистрации в мобильных приложениях. Упрощённая идентификация не освобождает оператора от обязанностей по ФЗ-152.

«Ст. 6 ФЗ-152 — обработка ПДн при идентификации клиента правомерна при наличии хотя бы одного из 11 оснований: согласие (п. 1), исполнение договора (п. 5), исполнение обязанностей по закону (п. 2). При упрощённой идентификации банк чаще всего опирается на п. 2 (115-ФЗ как требование закона) и п. 5 (договор с клиентом).»

Одновременно действует ФЗ-572 о Единой биометрической системе: если банк применяет биометрию для идентификации, он обязан использовать ГИС ЕБС, а не хранить биометрические шаблоны на собственных серверах. Запрет хранения исходной биометрии вне ЕБС действует с 01.06.2023. Нарушение образует состав по ч. 16 ст. 13.11 КоАП и отдельный состав по ст. 13.11.3 КоАП при нарушении требований к размещению в ЕБС (штраф для юрлица — 500 тыс. – 1 млн ₽).

Скоринговые модели — отдельный риск. Если банк принимает автоматизированное решение об отказе в кредите на основании алгоритмической обработки ПДн, клиент вправе потребовать разъяснений по ст. 16 ФЗ-152. Непредоставление разъяснений — нарушение ч. 4 ст. 13.11 КоАП (40–80 тыс. ₽ для юрлица).

Оцениваете бюджет на комплаенс по ФЗ-152 в финтехе?

Финдиректор, который не получил ответа на вопрос «сколько стоит нарушение», принимает решение вслепую. Аудит по ФЗ-152 показывает реальный профиль риска: какие составы ст. 13.11 применимы к вашей бизнес-модели, каков вероятный диапазон санкций и что нужно устранить в первую очередь.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие риски несёт МФО при обработке ПДн заёмщиков?

МФО работают в условиях повышенного регуляторного давления: Банк России, Роскомнадзор и Росфинмониторинг контролируют их одновременно. По ФЗ-152 МФО обязаны соблюдать те же требования, что и банки, — с той разницей, что ресурсный потенциал МФО существенно ниже.

Типовые нарушения в МФО по данным проверок РКН: обработка ПДн без уведомления регулятора (ч. 10 ст. 13.11 — 100–300 тыс. ₽), согласие на обработку включено в текст договора займа без выделения в отдельный документ (ч. 2 ст. 13.11 — 300–700 тыс. ₽ с 30.05.2025), передача ПДн в коллекторские агентства без поручения по ст. 6 ч. 3 ФЗ-152. Последнее образует состав по ч. 1 ст. 13.11 (150–300 тыс. ₽).

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом. Включение согласия в текст договора займа, оферты или правил обслуживания с этой даты недопустимо. МФО, не переоформившие согласия, автоматически создают состав по ч. 2 ст. 13.11.»

Утечка базы заёмщиков МФО — отдельный риск по ч. 12–14 ст. 13.11 в зависимости от числа пострадавших субъектов. Если утечка затронула более 10 000 человек (порог ч. 13) — штраф 5–10 млн ₽. При повторной утечке применяется оборотный состав ч. 15: 1–3% выручки, но не менее 20 млн ₽. Для МФО с выручкой 500 млн ₽ это означает санкцию 5–15 млн ₽, а не символический штраф прошлых лет.

По итогам 2025 года РКН зафиксировал 118 случаев компрометации баз данных (данные InfoWatch, февраль 2026). Финансовый сектор стабильно входит в тройку наиболее пострадавших отраслей.

Что подготовить финансовой организации для соответствия ФЗ-152

  • Уведомление в реестре операторов РКН по ст. 22 ФЗ-152 с актуальным составом обрабатываемых ПДн, включая биометрические и кредитные данные.
  • Отдельные согласия клиентов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — не включённые в договор или оферту.
  • Соглашение о поручении обработки ПДн (ст. 6 ч. 3 ФЗ-152) с каждым подрядчиком: БКИ, скоринговыми агентствами, коллекторами, телемаркетингом.
  • Технический регламент взаимодействия с ЕБС и отсутствие локального хранения биометрических шаблонов (ФЗ-572, с 01.06.2023).
  • Регламент реагирования на инциденты с ПДн: фиксация факта, первичное уведомление РКН за 24 часа, отчёт за 72 часа (Приказ РКН №187).

Как работает биометрия в банке и чем грозит нарушение требований ЕБС?

С введением ФЗ-572 банки обязаны направлять биометрические образцы клиентов в ГИС ЕБС, а не хранить их локально. Оператором ЕБС выступает АО «Центр Биометрических Технологий». Банк использует биометрию для удалённой идентификации — через протокол сравнения с образцом в ЕБС.

Клиент вправе отказаться от сдачи биометрии. Отказ в обслуживании или отказ в кредите по основанию «не сдал биометрию» образует состав по ч. 8 ст. 14.8 КоАП (введена ФЗ-420 от 30.11.2024): штраф для юрлица до 500 тыс. ₽. Финансовый директор, который не отслеживает практику применения этой нормы, рискует получить серию однотипных протоколов по жалобам клиентов.

«Ст. 11 ФЗ-152 — биометрические ПДн: изображение лица и голос в целях идентификации, ДНК, отпечатки пальцев. Обработка — только с письменного согласия субъекта. ФЗ-572 уточняет: хранение биометрических шаблонов допустимо исключительно в ГИС ЕБС; банк получает лишь результат сравнения.»

Утечка биометрических ПДн — особо тяжкий состав. Ч. 17 ст. 13.11 КоАП устанавливает штраф 15–20 млн ₽ за каждый факт утечки биометрии вне составов ст. 13.11.3. При повторном нарушении — ч. 18, оборотный штраф: 1–3% выручки, не менее установленного минимума, не более 500 млн ₽. Биометрия — наиболее дорогостоящая категория нарушений в новой редакции КоАП.

Если финдиректор финтех-компании обнаружил, что биометрия клиентов хранится на локальных серверах — это нарушение ФЗ-572, действующее с 01.06.2023. Срок исковой давности по ст. 13.11 — 1 год с момента обнаружения РКН. Устранить нарушение выгоднее до проверки, чем после протокола.

Заказать аудит 152-ФЗ

Типовые ситуации из практики финансового сектора

Ниже — три сценария, которые встречаются при сопровождении финансовых организаций. Каждый описывает ситуацию, доказательную базу, вероятный исход и рекомендуемую стратегию.

Сценарий 1. МФО передаёт данные заёмщиков в коллекторское агентство без поручения

Ситуация. МФО заключила договор цессии с коллектором и в рамках продажи долга передала полный массив ПДн заёмщиков — ФИО, паспорт, СНИЛС, номера телефонов, историю займов. Договора поручения на обработку ПДн по ст. 6 ч. 3 ФЗ-152 не оформлено.

Доказательства. Достаточно факта передачи базы без соглашения о поручении. РКН фиксирует нарушение при плановой проверке или по жалобе заёмщика.

Исход. Состав по ч. 1 ст. 13.11 (150–300 тыс. ₽ для юрлица). При повторном нарушении — ч. 1.1 (300–500 тыс. ₽). Параллельно — предписание РКН об устранении нарушения в срок до 30 дней.

Стратегия. До передачи данных — заключить соглашение о поручении обработки с описанием перечня ПДн, целей, мер защиты, срока хранения. После — направить уточнённое уведомление в реестр РКН (ст. 22 ФЗ-152).

Сценарий 2. Банк получает запрос клиента о логике скоринга и не отвечает

Ситуация. Клиент получил отказ в ипотеке после автоматизированной проверки и направил в банк запрос с просьбой объяснить логику принятого решения, опираясь на ст. 16 ФЗ-152. Банк не ответил в установленный срок (10 рабочих дней по ст. 20 ФЗ-152).

Доказательства. Входящий запрос клиента, зарегистрированный в журнале обращений; отсутствие ответа в установленный срок.

Исход. Состав по ч. 4 ст. 13.11 (40–80 тыс. ₽ для юрлица). Клиент также вправе обжаловать отказ в суде, требуя компенсации морального вреда.

Стратегия. Внедрить регламент ответов на запросы субъектов ПДн с фиксацией даты поступления и срока исполнения. Для автоматизированного скоринга — подготовить типовые разъяснения по ст. 16, не раскрывающие коммерческую тайну алгоритма.

Сценарий 3. Финтех-компания интегрирует зарубежный SaaS для скоринга

Ситуация. Финтех-стартап подключил американский SaaS-сервис для обогащения данных (дата-брокер из США). ПДн российских пользователей передаются в систему для скоринга. Уведомление о трансграничной передаче в РКН не подавалось. База пользователей — 18 000 человек.

Доказательства. Факт передачи ПДн в зарубежный сервис устанавливается при технической экспертизе или по жалобе субъекта.

Исход. Нарушение ч. 5 ст. 18 ФЗ-152 (локализация) — ч. 8 ст. 13.11 (1–6 млн ₽). Нарушение ст. 12 ФЗ-152 (трансграничная передача без уведомления) — ч. 1 ст. 13.11 (150–300 тыс. ₽). При повторном нарушении локализации — ч. 9 ст. 13.11 (6–18 млн ₽).

Стратегия. До подключения зарубежного сервиса — проверить страну на наличие в перечне адекватной защиты РКН, подать уведомление о трансграничной передаче, заключить соглашение с обработчиком. Рассмотреть российскую альтернативу или вывод обработки ПДн в российский сегмент сервиса.

Кейс из практики. МФО (Уральский ФО, осень 2025) получила протокол по ч. 2 ст. 13.11 после проверки РКН: согласие заёмщика на обработку ПДн было встроено в текст договора займа без выделения в отдельный документ — в нарушение ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф составил несколько сотен тысяч рублей. Компания оспорила постановление в суде общей юрисдикции, ссылаясь на отсутствие умысла и первичность нарушения. Снизить штраф до минимума (300 тыс. ₽) удалось после приобщения доказательств оперативного переоформления согласий.

Кейс из публичной практики (case_S2_pkr_analitika). Арбитражный суд Санкт-Петербурга и Ленинградской области в 2026 году рассмотрел дело о хакерской атаке на цифровую платформу: утекли данные около 70 000 субъектов — ФИО, должность, служебные контакты. Квалификация — ч. 14 ст. 13.11 КоАП (более 100 000 субъектов по числу идентификаторов). Суд применил смягчающие обстоятельства. Кейс показателен: атака на инфраструктуру не освобождает оператора от ответственности по КоАП.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка финтех-бизнес-модели по 38 пунктам с приоритизированным планом устранения нарушений.
  • Комплект ОРД под ключ — пакет организационно-распорядительных документов для банка, МФО или страховщика: политика, согласия, регламент реагирования.
  • Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1 КоАП для снижения санкции.

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не сдал биометрию?

Нет. Отказ в обслуживании или в выдаче финансового продукта по основанию «не предоставил биометрию» является нарушением ч. 8 ст. 14.8 КоАП, введённой ФЗ-420 от 30.11.2024. Штраф для юрлица — до 500 тыс. ₽. Клиент вправе предъявить претензию и обратиться с жалобой в РКН или Банк России. Биометрия в ЕБС — добровольное действие субъекта по ФЗ-572.

2. Что грозит МФО за утечку базы заёмщиков?

Санкция зависит от числа пострадавших субъектов. Утечка 1 000–10 000 заёмщиков — ч. 12 ст. 13.11 КоАП: 3–5 млн ₽. Утечка 10 000–100 000 — ч. 13: 5–10 млн ₽. Более 100 000 субъектов — ч. 14: 10–15 млн ₽. При повторном нарушении — ч. 15 (оборотный штраф): 1–3% выручки за прошлый год, не менее 20 млн ₽. Параллельно возможна уголовная ответственность должностных лиц по ст. 272.1 УК РФ (действует с 11.12.2024).

3. Какое правовое основание для обработки ПДн клиентов в банке?

Банк опирается на два основных основания по ст. 6 ФЗ-152. Первое — исполнение договора с клиентом (п. 5 ч. 1 ст. 6): открытие счёта, выдача кредита, расчётные операции. Второе — исполнение обязанностей по закону (п. 2 ч. 1 ст. 6): идентификация по 115-ФЗ, отчётность перед Банком России, обмен с БКИ по 218-ФЗ. Согласие клиента требуется дополнительно для обработки специальных категорий ПДн (ст. 10 ФЗ-152) и для целей, не вытекающих из договора, — например, маркетинговых рассылок.

4. Где хранится биометрия клиентов банка — на серверах банка или в ЕБС?

С 01.06.2023 биометрические шаблоны хранятся исключительно в ГИС ЕБС (оператор — АО «Центр Биометрических Технологий»). Банк не вправе хранить исходную биометрию локально. При идентификации банк направляет запрос в ЕБС и получает результат сравнения. Локальное хранение биометрических шаблонов после 01.06.2023 образует состав по ч. 16 ст. 13.11 КоАП и нарушение ФЗ-572.

5. Как оспорить автоматизированный отказ в кредите по ст. 16 ФЗ-152?

Субъект ПДн вправе потребовать от оператора разъяснений об автоматизированном решении, затрагивающем его права, по ст. 16 ФЗ-152. Банк обязан ответить в течение 10 рабочих дней (ст. 20 ФЗ-152). Если ответ не получен — жалоба в РКН или иск в суд. В суде клиент может потребовать компенсации морального вреда и пересмотра решения. Банк при этом не обязан раскрывать коммерческую тайну алгоритма, но должен объяснить основания и принятые во внимание факторы.

Итог

Упрощённая идентификация в финансовом секторе — это пересечение трёх правовых режимов: ФЗ-152, 115-ФЗ и ФЗ-572. Каждый добавляет самостоятельный риск административной и уголовной ответственности. С 30.05.2025 санкции по ст. 13.11 КоАП сделали несоответствие дороже комплаенса для любой компании с выручкой выше 700 млн ₽.

Практика DATUM по сопровождению финансовых организаций — от МФО до банков — показывает: большинство нарушений устранимо на стадии аудита, без протокола и постановления. Юристы DATUM специализируются на финансовом секторе в рамках ФЗ-152, ФЗ-572 и 115-ФЗ.

Смотрите также

СЛ
Сергей Лобанов
Аналитик · Финансовый сектор
Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг по ст. 16 ФЗ-152, биометрия в ЕБС (572-ФЗ), ч. 8 ст. 14.8 КоАП, 115-ФЗ.