Штрафы за авторизацию через Google / Apple ID: что произошло и что делать бизнесу

Привет, герой бизнеса!

В Госдуму внесён законопроект, который вводит административную ответственность: штрафы для владельцев российских ресурсов за несоблюдение требований к авторизации пользователей; максимальная сумма для юридических лиц упоминается до 700 000 ₽. Текст документа размещен в электронной базе. (Источник РБК)

В действующей и предлагаемой практике авторизация на ресурсах, доступных пользователям на территории РФ, должна проводиться через: номер мобильного телефона, ЕСИА / ЕБС или российские сервисы авторизации; вход через зарубежные ID (Google, Apple и т.п.) попадает под запрет/ограничение.

Официально подчеркивается: инициатива направлена на владельцев сервисов (штрафы ложатся на них), а не на обычных пользователей, хотя последствия для пользователей возможны (удобство, переходы). (Источник: Интерфакс)

Закон и требования к аутентификации пользователей из РФ

Согласно федеральному закону об информации, если доступ к содержимому сайта предоставляется только пользователям, прошедшим авторизацию, владельцы интернет-ресурсов обязаны обеспечивать аутентификацию граждан РФ с использованием:

• номера мобильного телефона;
• единой системы идентификации и аутентификации (ЕСИА);
• единой биометрической системы (ЕБС);
• либо через сервис авторизации, владельцем которого является гражданин России без иного гражданства.

Важно понимать, что в законодательстве термин «авторизация» используется в широкой формулировке, однако закон регулирует именно аутентификацию и идентификацию пользователей, то есть способы подтверждения личности пользователя, а не распределение прав доступа внутри системы.

Аутентификация — процесс проверки того, что конкретный пользователь действительно является владельцем аккаунта (вход в систему). На практике это реализуется через:

• пароли и одноразовые SMS-коды;
• OAuth‑вход через сторонние сервисы (Google, Apple, ВКонтакте);
• SSO‑решения и ЕСИА.

Для регуляторов ключевым является способ аутентификации: каким методом сайт подтверждает личность пользователя.

Новые требования касаются именно методов входа: иностранные идентификаторы (Google, Apple) становятся под запретом, тогда как отечественные способы подтверждения личности разрешены и обязательны для соблюдения законодательства.

Кому необходима авторизация

Авторизация используется везде, где требуется разграничение доступа:

• Интернет-магазины: история заказов, статусы, бонусы.
• CRM-системы: менеджерам видна только их часть данных.
• Корпоративные порталы: документы, задачи, переписка.
• Онлайн-банки и финтех-сервисы: важно, чтобы пользователь мог работать только со своими данными.
• Госуслуги, школы, медучреждения: доступ к персональной информации.
• Промышленные и B2B-порталы: прайс-листы, спецификации, конфигурации продукции.

Фактически любая система, где есть личные данные, коммерческие сведения или внутренние процессы, обязана использовать авторизацию.

Кого коснутся изменения?

• Владельцы сайтов, интернет-сервисов и мобильных приложений, зарегистрированные как российские ресурсы и предоставляющие доступ пользователям, находящимся на территории РФ — основной объект регулирования.

• Интернет-магазины, маркетплейсы, платформы с личными кабинетами, сервисы с платным доступом, где авторизация важна для покупки/подписок/персонализации.

• Сервисы с алгоритмами рекомендаций и персонализации: законопроект также ужесточает требования к прозрачности рекомендательных систем; нарушения могут повлечь отдельные санкции.

• Пользователи: формально штрафы предусмотрены для владельцев ресурсов и должностных лиц; рядовые пользователи, по заявлениям парламентариев, штрафоваться не будут, но их изменения затронут косвенно (потеря привычного входа, необходимость привязки телефона и т.п.).

Резюме: что запрещено и что разрешено

Запрещено / под угрозой штрафов:

• Предоставлять пользователям в России возможность входа/регистрации через иностранные идентификаторы (Google ID, Apple ID и аналогичные), если иное не предусмотрено законом/переходными правилами.

Разрешено / рекомендуется:

• Авторизация через номер мобильного телефона (SMS/One-Time-Code / PUSH), при условии соблюдения безопасности и требований к персональным данным.
• Авторизация через ЕСИА / Единая биометрическая система (ЕБС) и иные российские системы идентификации, либо через информационные системы, владельцем которых является гражданин РФ или российское юрлицо.

Что нужно проверить владельцам сайтов и сервисов

Практические сценарии миграции пользователей

• Если у пользователя есть e-mail в профиле: при следующем входе по Google/Apple ID предложить привязать email и установить пароль или подтвердить через SMS.

• Если есть только Google/Apple ID: при следующем входе показывать модальное окно с пояснением → запрос номера телефона → отправка OTP (одноразовый пароль / код) → сохранение нового способа входа.

• Если пользователь откажется: предусмотреть временный доступ на ограниченные операции и напомнить позже.

• Для VIP клиентов: персональная коммуникация и поддержка через менеджера.

Итог

Законопроект даёт серьёзный сигнал рынку. Если у вашего проекта есть вход через Google/Apple ID — это становится потенциальным риском.

Рекомендуем действовать по плану: аудит → юридическая оценка → техническая миграция → коммуникация с пользователями.

Как мы можем помочь?

Веб-интегратор «Компот» может помочь с аудитом, разработкой UX-сценариев миграции и технической реализацией.

➡️ Связаться можно через форму обратной связи на сайте.

Успехов в делах!

Роман Федосов, основатель и генеральный директор веб-интегратора «Компот»