С 7 июля 2026 года в КоАП РФ заработали две новые статьи — 13.55 и 13.56. Первая наказывает за авторизацию пользователей способами, которых нет в законе, вторая — за нарушения при работе с рекомендательными технологиями. Для организаций вилка штрафов начинается с 500 тысяч рублей, а при повторном нарушении с алгоритмами рекомендаций доходит до 1,4 млн. Сами требования не новые — они действуют с конца 2023 года, но до сих пор их игнорирование ничем не грозило. Теперь грозит. Разбираем, кого касаются штрафы, какие способы входа легальны, что закон понимает под рекомендательными технологиями и как привести сайт в порядок.
Что изменилось: требования старые, ответственность новая
Федеральный закон №
Обязанностей две группы, и появились они ещё в 2023 году:
- Авторизация пользователей. С 1 декабря 2023 года (поправки
406-ФЗ ) владельцы сайтов, приложений и информационных систем обязаны авторизовывать российских пользователей только способами из закрытого перечня. Вход через Google, Apple ID и другие иностранные сервисы под перечень не подпадает. - Рекомендательные технологии. С 1 октября 2023 года (поправки
408-ФЗ ) ресурсы, применяющие алгоритмы персональных рекомендаций, обязаны информировать об этом пользователей, публиковать правила работы алгоритмов и не применять технологии, ущемляющие права граждан и организаций.
Почти три года эти нормы существовали без механизма принуждения, и на практике многие проекты продолжали жить со «Входом через Google» и безымянными блоками «вам может понравиться». О принятии закона о штрафах Госдумой сообщалось ещё в июне — теперь он опубликован, получил номер и начал действовать.
Размеры штрафов: сколько и за что
Санкции по двум статьям устроены
| Нарушение | Граждане | Должностные лица | Организации |
|---|---|---|---|
| Авторизация способом вне законного перечня (ст. 13.55 КоАП) | 10–20 тыс. ₽ | 30–50 тыс. ₽ | 500–700 тыс. ₽ |
| Нарушения с рекомендательными технологиями, первичное (ст. 13.56 КоАП) | 10–20 тыс. ₽ | 30–50 тыс. ₽ | 500–700 тыс. ₽ |
| Нарушения с рекомендательными технологиями, повторное (ст. 13.56 КоАП) | — | 60–100 тыс. ₽ | 1–1,4 млн ₽ |
Обратите внимание на асимметрию: повышенные штрафы за повторное нарушение предусмотрены именно для рекомендательных технологий. По авторизации отдельной «повторной» вилки в законе нет — но ничто не мешает составить новый протокол, если нарушение не устранено. Заголовочные «1,4 млн» — это максимум для организации, которая уже была наказана за алгоритмы рекомендаций и попалась снова.
Для малого и среднего бизнеса чувствительна даже нижняя граница: 500 тысяч рублей за кнопку «Войти через Google», оставшуюся в шаблоне сайта с 2019 года, — ощутимая цена невнимательности.
Авторизация: четыре легальных способа
Закон разрешает проводить авторизацию российских пользователей только четырьмя способами:
- По номеру мобильного телефона. Классический вход по
СМС-коду или звонку. Нюанс, о котором часто забывают: у владельца ресурса должен быть договор об идентификации с российским оператором связи — просто «отправлять СМС через шлюз» формально недостаточно. - Через ЕСИА. Вход через аккаунт Госуслуг. Подходит сервисам, работающим с юридически значимыми действиями: записью, документами, платными услугами.
- Через Единую биометрическую систему. Идентификация по биометрии. Для типичного сайта это экзотика, но в перечне способ есть.
- Через иную российскую информационную систему. Сервис авторизации, владелец которого — российское юридическое лицо или гражданин РФ без второго гражданства, а сама система соответствует требованиям к защите информации. Под это условие подпадают VK ID, Яндекс с их кнопками входа и аналогичные отечественные решения.
Что под запретом
Вне перечня остаются все сценарии входа через иностранные платформы: «Войти через Google», «Войти через Apple», авторизация через Facebook и подобные. У этих сервисов нет российского владельца, поэтому заменить их нужно на легальный вариант — независимо от того, насколько они удобны аудитории.
Отдельная серая зона — классическая регистрация по электронной почте. Формально
Кого это касается
Критерий простой: пользователь из России проходит на вашем ресурсе авторизацию и после этого получает доступ к закрытой информации — заказам, материалам курса, истории оплат, документам, настройкам профиля. Под определение попадают
Не является авторизацией сама по себе форма заявки, подписка на рассылку или форма обратной связи — там пользователь ничего «не открывает» после входа. Но если после отправки формы человеку создаётся личный кабинет с данными, механику нужно проверять по общим правилам.
На практике самые частые источники риска — не основная форма входа, а периферия: кнопки соцсетей в старых шаблонах, забытые плагины авторизации в WordPress, модули соцлогина в
Рекомендательные технологии: три состава нарушений
Вторая статья — 13.56 КоАП — охватывает алгоритмы персональных рекомендаций. Закон определяет их как технологии предоставления информации на основе сбора, систематизации и анализа сведений о предпочтениях пользователей. Проще говоря: если ваш сайт показывает человеку контент или товары, подобранные под его поведение, — это рекомендательная технология.
Штраф грозит в трёх ситуациях:
- Алгоритмы ущемляют права и законные интересы граждан или юридических лиц — например, дискриминационно фильтруют предложения.
- Пользователей не проинформировали о том, что на ресурсе работают рекомендательные технологии.
- На ресурсе не размещены правила применения рекомендательных технологий и прочие обязательные сведения.
Требования к «обязательным сведениям» конкретны: на сайте должно быть уведомление о применении рекомендательных технологий, опубликованные правила их работы — с описанием того, какие сведения о пользователях собираются, из каких источников и как используются для формирования рекомендаций, — а также адрес электронной почты для юридически значимых сообщений владельцу ресурса.
Что считается рекомендательным алгоритмом, а что нет
Граница проходит по персонализации. Блоки «похожие товары», «вам может понравиться», «рекомендуем для вас», персональные ленты и подборки, построенные на истории просмотров, покупок или кликов конкретного пользователя, — это рекомендательные технологии. Ручные подборки редакции, статичные блоки «хиты продаж» или «популярное за месяц», одинаковые для всех посетителей, — нет: там не анализируются предпочтения конкретного человека.
Во многих проектах рекомендательные механики появляются незаметно для владельца: модуль «с этим товаром покупают» в
Чек-лист : что проверить на сайте
Последовательность действий, которую мы рекомендуем пройти каждому владельцу сайта или
Блок 1. Авторизация
- Выпишите все точки входа: основная форма логина, кнопки соцсетей, мобильное приложение, закрытые разделы, API, сторонние интеграции, старые плагины и модули CMS.
- Сверьте каждую с перечнем из четырёх легальных способов.
- Уберите или замените рискованные варианты: соцлогины Google, Apple, Facebook — на VK ID, Яндекс или вход по телефону.
- Для входа по СМС проверьте наличие договора об идентификации с оператором связи.
- После доработки проверьте, что старые способы входа физически отключены, а не просто скрыты с формы: код плагина, оставшийся активным, — это всё ещё способ авторизации.
Блок 2. Рекомендательные технологии
- Проведите инвентаризацию персонализированных блоков: рекомендательные виджеты, персональные ленты, товарные рекомендации, сторонние сервисы персонализации.
- Если технологии применяются — разместите уведомление об этом на ресурсе.
- Опубликуйте правила применения рекомендательных технологий: какие данные собираете, откуда, как они влияют на выдачу рекомендаций.
- Укажите email для юридически значимых сообщений.
- Если персонализация вам не нужна — проще отключить её совсем, чем поддерживать комплект документов.
Блок 3. Фиксация
Сохраните артефакты проверки: что было, что изменили, когда и кто отвечал. Скриншоты форм входа до и после, версии документов, задачи в трекере. Если вопросы всё же возникнут, документированная история приведения ресурса в соответствие — сильный аргумент в пользу добросовестности владельца.
Частые вопросы
У нас иностранная аудитория, а не российская. Требования применяются?
Обязанность привязана к авторизации пользователей, находящихся в России. Если ресурс ориентирован на зарубежную аудиторию, но им фактически пользуются люди из РФ, риск сохраняется. Практичный подход для международных проектов — определять юрисдикцию пользователя и предлагать российской аудитории легальные способы входа.
Достаточно ли убрать кнопку «Войти через Google» с формы?
Нет, если механизм остался работоспособным. Проверяйте не интерфейс, а функциональность: отключённым способ считается тогда, когда через него нельзя войти ни по прямой ссылке, ни через API, ни из мобильного приложения.
Личный кабинет сделан на конструкторе. Кто отвечает — мы или платформа?
Ответственность несёт владелец ресурса. Конструктор или CMS — лишь инструмент; какие способы входа включены в вашем проекте, решаете вы. Поэтому сайты на Tilda, WordPress, Битриксе и других платформах нужно проверять так же, как самописные.
Как о нарушении вообще узнают?
Надзор в этой сфере ведёт Роскомнадзор. Способ авторизации виден на любом сайте без специальных инструментов — форма входа публична по определению, как и наличие рекомендательных блоков. Рассчитывать на незаметность не стоит: проверка таких нарушений тривиальна и хорошо автоматизируется.
Мы уже получали штраф за алгоритмы. Что дальше?
Повторное нарушение по статье 13.56 переводит организацию в верхнюю вилку — от 1 до 1,4 млн рублей, для должностных лиц — до 100 тысяч. После первого протокола устранение нарушений становится не вопросом гигиены, а вопросом экономики.
Что в итоге
Закон
Если нужна помощь — аудит точек входа, замена соцлогинов Google и Apple на российские
Материал носит информационный характер и не является юридической консультацией. По спорным ситуациям — например, пограничным механикам входа или сложным рекомендательным системам — стоит получить заключение профильного юриста.


