аналитика 14 января 2029 По состоянию на 14 января 2029

Voice authentication и 572-ФЗ

Голосовая аутентификация — это обработка биометрических персональных данных по ст. 11 ФЗ-152. Банк или МФО, использующий голос клиента для идентификации, обязан соблюдать требования ФЗ-572 о Единой биометрической системе.

С 01.06.2023 первичная биометрия вне ЕБС запрещена. Штраф за утечку биометрических данных — 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП. Повторное нарушение — оборотный штраф до 500 млн ₽ по ч. 18.

Если вы финансовый директор и голосовая аутентификация в банке или МФО не проходила правового аудита — риски уже материализовались в балансе.

Голосовая аутентификация стремительно вошла в финтех-продукты: банки используют её в колл-центрах, МФО — при верификации заёмщиков, страховщики — при урегулировании убытков. До 2023 года рынок формировался без жёсткого регулирования. Сегодня каждый сценарий voice authentication попадает под три пересекающихся нормативных слоя: ФЗ-152 о персональных данных, ФЗ-572 о Единой биометрической системе и ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. Для финансового директора это означает прямую связь технологического решения с резервами под штрафные риски.

Что такое voice authentication с точки зрения 152-ФЗ и 572-ФЗ?

Биометрические персональные данные по ст. 11 ФЗ-152 — это физиологические и биологические особенности человека, по которым можно установить его личность. Голос прямо назван в числе биометрических данных. Любая запись, анализ или хранение голосовых образцов клиента в целях идентификации — это обработка биометрических ПДн, для которой по общему правилу требуется письменное согласие субъекта.

ФЗ-572 от 29.12.2022 ввёл дополнительный уровень регулирования. Закон обязал финансовые организации, собирающие биометрические данные (включая голос), размещать их в Государственной информационной системе — Единой биометрической системе. Оператором ЕБС выступает АО «Центр Биометрических Технологий». С 01.06.2023 хранение исходной биометрии вне ЕБС для организаций, подпадающих под действие закона, запрещено.

«Ст. 11 ФЗ-152 — обработка биометрических ПДн допускается только с письменного согласия субъекта, кроме случаев, прямо предусмотренных законом. ФЗ-572 от 29.12.2022 — первичная биометрия кредитных организаций размещается исключительно в ЕБС, локальное хранение после 01.06.2023 запрещено.»

Для финансового директора разграничение принципиально: голос как биометрия в ЕБС — это один режим с требованиями ФЗ-572, нарушение которых квалифицируется по ст. 13.11.3 КоАП. Голос как биометрия вне ЕБС (например, в собственной антифрод-системе) — другой режим с санкциями по ч. 16 и ч. 17 ст. 13.11. Размер штрафов различается кратно.

Как банку или МФО законно применять voice authentication?

Законный сценарий для кредитной организации строится вокруг ЕБС. Банк проводит идентификацию клиента через голосовой образец, размещённый в ЕБС при личном визите с согласия клиента. Банк запрашивает подтверждение личности у ЕБС через защищённый канал — локальная копия голоса не хранится. Это единственная схема, соответствующая ФЗ-572 для кредитных организаций после 01.06.2023.

МФО, не входящие в перечень организаций по ФЗ-572, могут использовать голосовую аутентификацию вне ЕБС, но при обязательном соблюдении ст. 11 ФЗ-152: письменное согласие (с 01.09.2025 — отдельный документ по ФЗ-156), указание цели, перечня действий и срока хранения. При этом МФО как оператор ПДн обязана уведомить Роскомнадзор о намерении обрабатывать биометрические ПДн по ст. 22 ФЗ-152 до начала обработки. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Отдельный вопрос — 115-ФЗ об идентификации клиентов. Голосовая аутентификация может использоваться как элемент удалённой идентификации, но не заменяет обязательную проверку документов по антиотмывочному законодательству. Смешивание оснований обработки — распространённая ошибка: согласие на биометрию по ФЗ-152 не равно согласию на идентификацию по 115-ФЗ.

Голосовая аутентификация используется, но аудит не проводился?

Если финансовый директор не видел правового заключения по voice authentication — вероятно, риски по ч. 16–17 ст. 13.11 КоАП уже существуют. Первичное уведомление РКН о намерении обрабатывать биометрию должно было быть подано до начала обработки. Каждый день промедления после обнаружения нарушения — дополнительный аргумент против смягчения.

Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов с фокусом на биометрию и ЕБС. На выходе — отчёт с приоритизированным планом устранения нарушений и оценкой штрафного риска.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что грозит финансовой организации за нарушения при voice authentication?

Санкционный ландшафт после ФЗ-420 от 30.11.2024 (действует с 30.05.2025) существенно изменился. Рассмотрим основные составы, которые актуальны для финтех-компаний, применяющих голосовую аутентификацию.

Нарушение требований к обработке биометрических ПДн по ст. 11 ФЗ-152 (отсутствие согласия, неверный состав согласия, хранение вне ЕБС) квалифицируется по ч. 16 ст. 13.11 КоАП. Точный диапазон для юридических лиц подлежит верификации по актуальному тексту КоАП непосредственно перед применением, но кратно превышает общие составы.

«Ч. 17 ст. 13.11 КоАП — утечка биометрических ПДн (за исключением случаев ст. 13.11.3) влечёт штраф для юридического лица в размере 15 000 000 – 20 000 000 ₽. Ч. 18 — повторное нарушение по ч. 16 или ч. 17 — оборотный штраф от 1 до 3% совокупной выручки за предшествующий год, не более 500 000 000 ₽.»

Для банков и МФО, работающих с ЕБС, нарушения при размещении биометрии (неверная процедура сбора, передача в ЕБС без согласия клиента, хранение локальной копии) квалифицируются по ст. 13.11.3 КоАП. Штраф для юридического лица по этой статье — 500 тыс. – 1 млн ₽. Это ниже ч. 17 ст. 13.11, но применяется накопительно при множестве нарушений.

Отдельно действует ч. 8 ст. 14.8 КоАП: отказ обслуживать клиента, не предоставившего биометрию для ЕБС, является нарушением. Банк не вправе обусловливать предоставление услуги наличием биометрического профиля клиента в ЕБС. Штраф — до 500 тыс. ₽.

Уголовный риск не стоит недооценивать. Ст. 272.1 УК РФ, действующая с 11.12.2024, устанавливает ответственность за незаконные сбор, хранение, передачу компьютерной информации с персональными данными. По ч. 5 — тяжкие последствия — лишение свободы до 10 лет. Это норма для физических лиц, но для финансового директора важна: в случае инцидента следователь будет устанавливать, кто принял решение о конкретной технологии обработки.

Что подготовить финансовой организации по voice authentication

Правовое заключение о соответствии схемы voice authentication ФЗ-152, ФЗ-572 и ст. 13.11 КоАП с разграничением: ЕБС или внешняя система.
Отдельное письменное согласие на обработку биометрических ПДн (голос) по ст. 11 ФЗ-152 — с 01.09.2025 не допускается включение в договор или политику.
Уведомление РКН о намерении обрабатывать биометрические ПДн (ст. 22 ФЗ-152) с актуальными сведениями о цели, составе, сроках и трансграничных передачах.
Договор поручения обработки с вендором голосовой аутентификации (п. 3 ст. 6 ФЗ-152) с перечнем допустимых действий и ответственностью за инциденты.
Регламент реагирования на утечку биометрии с обеспечением уведомления РКН за 24 часа (ч. 3.1 ст. 21 ФЗ-152) и отчёта за 72 часа (Приказ РКН №187).

Скоринг по ст. 16 ФЗ-152 и автоматизированные решения в финтехе

Voice authentication нередко встроена в автоматизированный конвейер принятия решений: система верифицирует личность, после чего скоринговая модель формирует кредитное предложение. Это порождает самостоятельный правовой риск по ст. 16 ФЗ-152.

Ст. 16 ФЗ-152 запрещает принятие решений, порождающих юридические последствия для субъекта или существенно затрагивающих его права и законные интересы, исключительно на основании автоматизированной обработки ПДн — без участия человека. Отказ в кредите, формирование персонализированного предложения или установление лимита по результатам только автоматизированного скоринга нарушает эту норму, если клиент не дал явного согласия на автоматизированное решение.

«Ст. 16 ФЗ-152 — решения, влекущие правовые последствия для субъекта или существенно затрагивающие его интересы, не могут основываться исключительно на автоматизированной обработке. Субъект вправе потребовать проверки такого решения с участием сотрудника оператора.»

Для финансового директора это означает: если голосовая аутентификация + скоринг образуют замкнутый автоматизированный контур от идентификации до решения по заявке — необходимо либо встроить человека в процесс, либо получить явное согласие клиента на автоматизированное решение с уведомлением о праве на пересмотр. Это требует изменения как технологических процессов, так и юридической документации.

Типовые ситуации: как риски проявляются на практике

Ситуация 1. Банк хранит голосовые слепки в собственной антифрод-системе после 01.06.2023. Банк внедрил голосовую биометрию до принятия ФЗ-572 и не перенёс слепки в ЕБС. Доказательства: технические документы системы, договоры с вендором, отсутствие интеграции с ЕБС. Вероятный исход при проверке РКН: квалификация по ч. 16 ст. 13.11 КоАП как нарушение требований ст. 11 ФЗ-152, и отдельно — по ст. 13.11.3 за нарушение порядка ФЗ-572. Стратегия: немедленный аудит с составлением плана миграции в ЕБС, добровольное раскрытие РКН снижает риск оборотного штрафа.

Ситуация 2. МФО собирает голосовые образцы для скоринга без уведомления РКН. МФО записывает голос при телефонном звонке, использует голосовой анализ для оценки заёмщика. Уведомление в реестре РКН не содержит сведений о биометрических ПДн. Доказательства: реестровая выписка, записи звонков, техническая документация скоринговой модели. Вероятный исход: штраф по ч. 10 ст. 13.11 за неуведомление (100–300 тыс. ₽) + по ч. 16 за нарушение ст. 11 ФЗ-152. Стратегия: обновить уведомление в РКН, получить отдельные согласия от всех субъектов или прекратить обработку.

Ситуация 3. Утечка голосовых данных через вендора голосовой аутентификации. Вендор — обработчик по поручению — допустил компрометацию базы голосовых слепков. Оператор (банк) узнал об инциденте от вендора через 3 дня. Доказательства: переписка с вендором, дата уведомления, содержание первичного отчёта в РКН. Вероятный исход: штраф по ч. 11 ст. 13.11 за просрочку уведомления РКН (1–3 млн ₽) + по ч. 17 за утечку биометрии (15–20 млн ₽). Принцип: банк отвечает за действия вендора как собственный оператор — договор поручения не снимает ответственности. Стратегия: регламент немедленного оповещения вендора → оператора должен обеспечивать уведомление РКН в рамках 24 часов с момента обнаружения.

Если финансовый директор видит в схеме голосовой аутентификации хотя бы один из трёх описанных сценариев — риск уже существует. Промедление с аудитом увеличивает штрафной потенциал при первой же проверке РКН. Юристы DATUM оценят соответствие схемы обработки в течение 5 рабочих дней.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. Региональный банк (Приволжский ФО, осень 2025) прошёл плановую проверку РКН. Аудиторы установили, что голосовые слепки клиентов хранятся в собственной системе банка и не переданы в ЕБС. Уведомление в реестре РКН не содержало сведений о биометрических ПДн. По итогам проверки возбуждены дела по ч. 10 и ч. 16 ст. 13.11 КоАП в редакции с 30.05.2025. Финансовый директор инициировал срочный аудит, банк представил план миграции в ЕБС. Суд применил смягчающие обстоятельства, ограничившись штрафами в нижней части диапазона. До проверки аудит стоил бы на порядок меньше совокупного штрафного бремени.

Кейс 2. МФО (Центральный ФО, начало 2026) использовала голосовой анализ для скоринга заёмщиков через стороннего SaaS-вендора. Договор поручения обработки ПДн с вендором отсутствовал. РКН квалифицировал это как передачу биометрических ПДн третьему лицу без оснований по ст. 6 ФЗ-152. Возбуждено дело по ч. 2 ст. 13.11 КоАП (обработка без надлежащего правового основания). Штраф составил сотни тысяч рублей. МФО дополнительно обязали прекратить передачу данных до оформления договора поручения. Отсутствие ОРД обошлось дороже, чем стоимость юридического сопровождения.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка схемы обработки биометрии по 38 пунктам, отчёт с планом устранения
Комплект ОРД под ключ — согласия на биометрию, договор поручения с вендором, регламент реагирования на инциденты
Защита при штрафе в арбитраже — обжалование протоколов по ч. 16–18 ст. 13.11 КоАП, применение ст. 4.1 КоАП

Частые вопросы

1. Можно ли отказать клиенту в обслуживании, если он не предоставил биометрию?

Нет. Ч. 8 ст. 14.8 КоАП, введённая ФЗ-420, прямо запрещает отказывать потребителю в обслуживании по причине отсутствия биометрических данных в ЕБС. Штраф для юридического лица — до 500 тыс. ₽. Сбор биометрии для ЕБС — добровольная процедура, клиент вправе от неё отказаться без потери доступа к банковским продуктам.

2. Что грозит МФО за утечку голосовых данных клиентов?

Если МФО обрабатывает голосовые данные как биометрические ПДн по ст. 11 ФЗ-152, утечка квалифицируется по ч. 17 ст. 13.11 КоАП — штраф 15–20 млн ₽. При повторном нарушении — оборотный штраф по ч. 18: 1–3% совокупной выручки, не более 500 млн ₽. Дополнительно — ответственность по ст. 272.1 УК РФ для физических лиц, принявших соответствующие решения.

3. Какое правовое основание для обработки голоса клиента банком?

Основание — письменное согласие субъекта по ст. 11 ФЗ-152. С 01.09.2025 согласие на обработку биометрии оформляется отдельным документом и не может быть включено в текст договора или иного документа (ФЗ-156 от 24.06.2025). При работе через ЕБС сбор согласия проводится в установленном порядке ФЗ-572 с подписанием у оператора ЕБС или уполномоченного банка.

4. Где хранится биометрия клиента — в банке или в ЕБС?

Для кредитных организаций, обязанных работать с ЕБС, исходная биометрия (в том числе голосовые слепки) хранится исключительно в ГИС ЕБС, оператором которой является АО «Центр Биометрических Технологий». С 01.06.2023 локальное хранение исходной биометрии этими организациями запрещено по ФЗ-572. Банк хранит только идентификатор для обращения к ЕБС.

5. Как клиент может оспорить автоматизированный отказ в кредите?

По ст. 16 ФЗ-152 субъект вправе требовать пересмотра решения, принятого исключительно на основе автоматизированной обработки его ПДн, с участием уполномоченного сотрудника оператора. Для этого клиент направляет письменное обращение оператору. Оператор обязан рассмотреть его и сообщить результат в срок, установленный ст. 20 ФЗ-152, — 10 рабочих дней (с возможностью продления ещё на 5 рабочих дней при уведомлении заявителя).

Итог

Voice authentication в финтехе — это биометрические ПДн по умолчанию, с полным набором требований ФЗ-152 и ФЗ-572. Для кредитных организаций ключевой вопрос — интеграция с ЕБС и отсутствие локальных копий; для МФО и иных участников — надлежащее согласие, уведомление РКН и договор поручения с вендором. Санкционный потенциал при инциденте с голосовыми данными — от 15 до 500 млн ₽, что делает вопрос статьёй бюджета, а не только юридической задачей.

DATUM сопровождает финансовые организации в вопросах биометрии и ЕБС с момента вступления в силу ФЗ-572: аудит схем обработки, формирование пакета ОРД для голосовой аутентификации, защита в арбитраже по ч. 16–18 ст. 13.11 КоАП.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг по ст. 16 ФЗ-152, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП.

14 января 2029 года