Штрафы до 1,4 млн рублей с 7 июля: за авторизацию и рекомендательные алгоритмы на сайте

С 7 июля 2026 года в КоАП РФ заработали две новые статьи — 13.55 и 13.56. Первая наказывает за авторизацию пользователей способами, которых нет в законе, вторая — за нарушения при работе с рекомендательными технологиями. Для организаций вилка штрафов начинается с 500 тысяч рублей, а при повторном нарушении с алгоритмами рекомендаций доходит до 1,4 млн. Сами требования не новые — они действуют с конца 2023 года, но до сих пор их игнорирование ничем не грозило. Теперь грозит. Разбираем, кого касаются штрафы, какие способы входа легальны, что закон понимает под рекомендательными технологиями и как привести сайт в порядок.

Что изменилось: требования старые, ответственность новая

Федеральный закон № 199-ФЗ подписан 26 июня 2026 года и вступил в силу 7 июля. Он не вводит новых обязанностей для владельцев сайтов — он добавляет санкции за неисполнение тех, что уже есть в законе «Об информации» (149-ФЗ).

Обязанностей две группы, и появились они ещё в 2023 году:

  • Авторизация пользователей. С 1 декабря 2023 года (поправки 406-ФЗ) владельцы сайтов, приложений и информационных систем обязаны авторизовывать российских пользователей только способами из закрытого перечня. Вход через Google, Apple ID и другие иностранные сервисы под перечень не подпадает.
  • Рекомендательные технологии. С 1 октября 2023 года (поправки 408-ФЗ) ресурсы, применяющие алгоритмы персональных рекомендаций, обязаны информировать об этом пользователей, публиковать правила работы алгоритмов и не применять технологии, ущемляющие права граждан и организаций.

Почти три года эти нормы существовали без механизма принуждения, и на практике многие проекты продолжали жить со «Входом через Google» и безымянными блоками «вам может понравиться». О принятии закона о штрафах Госдумой сообщалось ещё в июне — теперь он опубликован, получил номер и начал действовать.

Размеры штрафов: сколько и за что

Санкции по двум статьям устроены по-разному, и это стоит понимать точно.

НарушениеГражданеДолжностные лицаОрганизации
Авторизация способом вне законного перечня (ст. 13.55 КоАП)10–20 тыс. ₽30–50 тыс. ₽500–700 тыс. ₽
Нарушения с рекомендательными технологиями, первичное (ст. 13.56 КоАП)10–20 тыс. ₽30–50 тыс. ₽500–700 тыс. ₽
Нарушения с рекомендательными технологиями, повторное (ст. 13.56 КоАП)60–100 тыс. ₽1–1,4 млн ₽

Обратите внимание на асимметрию: повышенные штрафы за повторное нарушение предусмотрены именно для рекомендательных технологий. По авторизации отдельной «повторной» вилки в законе нет — но ничто не мешает составить новый протокол, если нарушение не устранено. Заголовочные «1,4 млн» — это максимум для организации, которая уже была наказана за алгоритмы рекомендаций и попалась снова.

Для малого и среднего бизнеса чувствительна даже нижняя граница: 500 тысяч рублей за кнопку «Войти через Google», оставшуюся в шаблоне сайта с 2019 года, — ощутимая цена невнимательности.

Авторизация: четыре легальных способа

Закон разрешает проводить авторизацию российских пользователей только четырьмя способами:

  1. По номеру мобильного телефона. Классический вход по СМС-коду или звонку. Нюанс, о котором часто забывают: у владельца ресурса должен быть договор об идентификации с российским оператором связи — просто «отправлять СМС через шлюз» формально недостаточно.
  2. Через ЕСИА. Вход через аккаунт Госуслуг. Подходит сервисам, работающим с юридически значимыми действиями: записью, документами, платными услугами.
  3. Через Единую биометрическую систему. Идентификация по биометрии. Для типичного сайта это экзотика, но в перечне способ есть.
  4. Через иную российскую информационную систему. Сервис авторизации, владелец которого — российское юридическое лицо или гражданин РФ без второго гражданства, а сама система соответствует требованиям к защите информации. Под это условие подпадают VK ID, Яндекс с их кнопками входа и аналогичные отечественные решения.

Что под запретом

Вне перечня остаются все сценарии входа через иностранные платформы: «Войти через Google», «Войти через Apple», авторизация через Facebook и подобные. У этих сервисов нет российского владельца, поэтому заменить их нужно на легальный вариант — независимо от того, насколько они удобны аудитории.

Отдельная серая зона — классическая регистрация по электронной почте. Формально email-адреса в перечне способов нет; риск усиливается, когда подтверждение идёт на ящик иностранного сервиса вроде Gmail. Осторожная стратегия для новых проектов — строить вход на телефоне или российских ID-провайдерах, а почту использовать как канал уведомлений, а не как ключ к аккаунту.

Кого это касается

Критерий простой: пользователь из России проходит на вашем ресурсе авторизацию и после этого получает доступ к закрытой информации — заказам, материалам курса, истории оплат, документам, настройкам профиля. Под определение попадают интернет-магазины, онлайн-школы, сервисы записи, B2B-порталы, мобильные приложения, маркетплейсы.

Не является авторизацией сама по себе форма заявки, подписка на рассылку или форма обратной связи — там пользователь ничего «не открывает» после входа. Но если после отправки формы человеку создаётся личный кабинет с данными, механику нужно проверять по общим правилам.

На практике самые частые источники риска — не основная форма входа, а периферия: кнопки соцсетей в старых шаблонах, забытые плагины авторизации в WordPress, модули соцлогина в 1С-Битрикс, настройки личного кабинета на Tilda, вход в мобильном приложении, которое обновляли два года назад. Владелец воспринимает их как техническую мелочь, закон — как способ авторизации.

Рекомендательные технологии: три состава нарушений

Вторая статья — 13.56 КоАП — охватывает алгоритмы персональных рекомендаций. Закон определяет их как технологии предоставления информации на основе сбора, систематизации и анализа сведений о предпочтениях пользователей. Проще говоря: если ваш сайт показывает человеку контент или товары, подобранные под его поведение, — это рекомендательная технология.

Штраф грозит в трёх ситуациях:

  1. Алгоритмы ущемляют права и законные интересы граждан или юридических лиц — например, дискриминационно фильтруют предложения.
  2. Пользователей не проинформировали о том, что на ресурсе работают рекомендательные технологии.
  3. На ресурсе не размещены правила применения рекомендательных технологий и прочие обязательные сведения.

Требования к «обязательным сведениям» конкретны: на сайте должно быть уведомление о применении рекомендательных технологий, опубликованные правила их работы — с описанием того, какие сведения о пользователях собираются, из каких источников и как используются для формирования рекомендаций, — а также адрес электронной почты для юридически значимых сообщений владельцу ресурса.

Что считается рекомендательным алгоритмом, а что нет

Граница проходит по персонализации. Блоки «похожие товары», «вам может понравиться», «рекомендуем для вас», персональные ленты и подборки, построенные на истории просмотров, покупок или кликов конкретного пользователя, — это рекомендательные технологии. Ручные подборки редакции, статичные блоки «хиты продаж» или «популярное за месяц», одинаковые для всех посетителей, — нет: там не анализируются предпочтения конкретного человека.

Во многих проектах рекомендательные механики появляются незаметно для владельца: модуль «с этим товаром покупают» в интернет-магазине на Битриксе, виджет персональных рекомендаций от стороннего сервиса, автоматическая лента «читайте также», обученная на поведении посетителей. Каждая такая интеграция — повод проверить, закрыты ли формальные требования: уведомление, правила, контактный email.

Чек-лист: что проверить на сайте

Последовательность действий, которую мы рекомендуем пройти каждому владельцу сайта или веб-сервиса.

Блок 1. Авторизация

  1. Выпишите все точки входа: основная форма логина, кнопки соцсетей, мобильное приложение, закрытые разделы, API, сторонние интеграции, старые плагины и модули CMS.
  2. Сверьте каждую с перечнем из четырёх легальных способов.
  3. Уберите или замените рискованные варианты: соцлогины Google, Apple, Facebook — на VK ID, Яндекс или вход по телефону.
  4. Для входа по СМС проверьте наличие договора об идентификации с оператором связи.
  5. После доработки проверьте, что старые способы входа физически отключены, а не просто скрыты с формы: код плагина, оставшийся активным, — это всё ещё способ авторизации.

Блок 2. Рекомендательные технологии

  1. Проведите инвентаризацию персонализированных блоков: рекомендательные виджеты, персональные ленты, товарные рекомендации, сторонние сервисы персонализации.
  2. Если технологии применяются — разместите уведомление об этом на ресурсе.
  3. Опубликуйте правила применения рекомендательных технологий: какие данные собираете, откуда, как они влияют на выдачу рекомендаций.
  4. Укажите email для юридически значимых сообщений.
  5. Если персонализация вам не нужна — проще отключить её совсем, чем поддерживать комплект документов.

Блок 3. Фиксация

Сохраните артефакты проверки: что было, что изменили, когда и кто отвечал. Скриншоты форм входа до и после, версии документов, задачи в трекере. Если вопросы всё же возникнут, документированная история приведения ресурса в соответствие — сильный аргумент в пользу добросовестности владельца.

Частые вопросы

У нас иностранная аудитория, а не российская. Требования применяются?

Обязанность привязана к авторизации пользователей, находящихся в России. Если ресурс ориентирован на зарубежную аудиторию, но им фактически пользуются люди из РФ, риск сохраняется. Практичный подход для международных проектов — определять юрисдикцию пользователя и предлагать российской аудитории легальные способы входа.

Достаточно ли убрать кнопку «Войти через Google» с формы?

Нет, если механизм остался работоспособным. Проверяйте не интерфейс, а функциональность: отключённым способ считается тогда, когда через него нельзя войти ни по прямой ссылке, ни через API, ни из мобильного приложения.

Личный кабинет сделан на конструкторе. Кто отвечает — мы или платформа?

Ответственность несёт владелец ресурса. Конструктор или CMS — лишь инструмент; какие способы входа включены в вашем проекте, решаете вы. Поэтому сайты на Tilda, WordPress, Битриксе и других платформах нужно проверять так же, как самописные.

Как о нарушении вообще узнают?

Надзор в этой сфере ведёт Роскомнадзор. Способ авторизации виден на любом сайте без специальных инструментов — форма входа публична по определению, как и наличие рекомендательных блоков. Рассчитывать на незаметность не стоит: проверка таких нарушений тривиальна и хорошо автоматизируется.

Мы уже получали штраф за алгоритмы. Что дальше?

Повторное нарушение по статье 13.56 переводит организацию в верхнюю вилку — от 1 до 1,4 млн рублей, для должностных лиц — до 100 тысяч. После первого протокола устранение нарушений становится не вопросом гигиены, а вопросом экономики.

Что в итоге

Закон 199-ФЗ закрыл трёхлетний разрыв между требованиями и ответственностью. Правила игры не изменились — изменилась цена их игнорирования: до 700 тысяч рублей за неправильную авторизацию и до 1,4 млн за повторные нарушения с рекомендательными алгоритмами. Объём работ для приведения сайта в порядок в большинстве случаев скромный: аудит точек входа, замена соцлогинов на российские ID-провайдеры или телефон, комплект документов для рекомендательных блоков. Это дни работы, а не месяцы — несопоставимо с размером штрафа.

Если нужна помощь — аудит точек входа, замена соцлогинов Google и Apple на российские ID-провайдеры или вход по телефону, подготовка документов для рекомендательных блоков — свяжитесь с нами, разберёмся.

Материал носит информационный характер и не является юридической консультацией. По спорным ситуациям — например, пограничным механикам входа или сложным рекомендательным системам — стоит получить заключение профильного юриста.

Давайте
обсудим проект
  • Разберём задачу и предложим решения
  • Покажем кейсы из вашей отрасли
  • Оценим сроки и бюджет до старта
Алексей Грицук
Алексей Грицук, руководитель
Что вас интересует?
Приложить файлы
Как с вами связаться?
Заявка отправлена!
Спасибо! Ответим в течение рабочего дня — тем способом, который вы выбрали.
Обсудить проект