Сайты и приложения с личным кабинетом стоит проверить до 7 июля 2026 года. С этой даты за неправильный способ авторизации пользователей начнут действовать штрафы.
В зоне риска находятся интернет-магазины, онлайн-школы, сервисы записи, B2B-порталы, мобильные приложения и другие интернет-ресурсы. Штраф будем применим, если на вашем ресурсе пользователь из России входит в аккаунт и после этого получает доступ к информации.
Разберем, какие проекты попадают под требования, какие способы входа разрешены законом, почему авторизация через зарубежные аккаунты может создать проблему и что владельцу бизнеса сделать заранее.
В MIKHAILOV studio больше 6 лет разрабатываем сайты, фирменный стиль и коммуникационные материалы для бизнеса. За это время реализовали 250+ проектов, работаем как с no-code-платформами, так и с front/back-разработкой.
Мы регулярно следим за изменениями, которые касаются сайтов и цифровых сервисов, чтобы наши проекты отвечали требованиям законодательства. Например, в 2025 году усилились требования к сайтам со стороны Роскомнадзора. В 2026 году появились новые правила по русификации сайтов и изменился порядок регистрации доменов.
На эти темы мы уже выпускали отдельные статьи:
Для пользователя личный кабинет продолжит работать привычно. Он сможет входить в аккаунт, смотреть заказы, открывать материалы, документы, историю оплат и другие данные.
Меняется ответственность владельца ресурса. Еще в 2023 году закон № 406-ФЗ внес изменения в 149-ФЗ «Об информации, информационных технологиях и о защите информации» и ограничил способы авторизации пользователей на интернет-ресурсах.
Эти положения действуют с 1 декабря 2023 года. С этого момента вход пользователей необходимо организовывать через один из способов, которые перечислены в законе.
Разрешены четыре варианта авторизации:
Для входа по номеру телефона владелец ресурса должен заключить с оператором связи договор об идентификации.
ЕСИА используется для входа через аккаунт на «Госуслугах».
Единая биометрическая система отвечает за идентификацию и аутентификацию по биометрии.
Владельцем такой системы может быть только российское юридическое лицо или гражданин России без другого гражданства.
Сейчас к этим правилам добавили ответственность. Закон № 199-ФЗ вводит в КоАП статью 13.55, которая вступает в силу 7 июля 2026 года. По этой статье владельца интернет-ресурса могут оштрафовать, если авторизация пользователей проходит способом, которого нет среди разрешенных.
Проверка в первую очередь необходима проектам, где есть авторизация и доступ к информации после входа. Критерии можно сформулировать так: пользователь из России заходит на сайт, в сервис или приложение, проходит авторизацию и получает доступ к закрытой информации.
К такой информации могут относиться заказы, материалы курса, настройки профиля, история оплат, персональные условия, документы или другой контент внутри аккаунта.
Есть сценарии, которые сами по себе не равны авторизации. Например, форма заявки, подписка на рассылку или обычная форма обратной связи. Но если после регистрации человек получает доступ к личным данным, закрытым материалам или отдельному разделу сайта, такую механику тоже стоит проверить.
Отдельно необходимо посмотреть сайты на Tilda, WordPress, 1C-Битрикс и других CMS. Личный кабинет или закрытая страница иногда подключены через настройки платформы или плагин, а они могут не соответствовать закону.
Для владельца сайта это может выглядеть как обычная техническая функция. С точки зрения закона такой способ входа все равно может создать риск.
Проблема может возникнуть, если авторизация проходит через сервис, которого нет в перечне разрешенных вариантов. Под риск попадают в том числе привычный вход через зарубежные аккаунты. Речь идет о сценариях «Войти через Google», «Войти через Apple», «Войти через Facebook» и похожие варианты авторизации.
Закон разрешает использовать информационную систему, которая соответствует требованиям к защите информации. При этом у системы должен быть российский владелец: юридическое лицо из России или гражданин РФ без другого гражданства.
Зарубежные сервисы авторизации не подходят под это условие. Google, Apple, Facebook и похожие платформы не имеют российского владельца, поэтому такие способы входа лучше заменить на вариант, который прямо предусмотрен законом.
Лучше проверить все точки авторизации, а не только основную форму входа. В список могут попасть кнопки соцсетей, старые плагины, модули авторизации, мобильное приложение и сторонние интеграции.
До 2026 года требования к авторизации уже были в законе, но многие владельцы сайтов и других ресурсов воспринимали их как формальность. После вступления в силу статьи 13.55 КоАП неправильный способ входа станет административным нарушением.
Размер штрафа зависит от того, кого привлекают к ответственности:
Повышенный штраф за повторное нарушение именно по статье 13.55 в законе не указан. Но даже первый штраф для юридического лица может стать существенной нагрузкой для малого и среднего бизнеса.
1. Выписать все способы входа
Начать стоит с полной проверки авторизации. Посмотрите основную форму входа, кнопки соцсетей, Google, Apple ID, старые плагины, мобильное приложение, закрытые страницы и сторонние сервисы.
2. Сверить текущую авторизацию с разрешенными способами
Закон разрешает вход через номер мобильного телефона, ЕСИА, Единую биометрическую систему или другую информационную систему, которая соответствует требованиям защиты информации и имеет российского владельца.
3. Выбрать подходящие варианты
В зависимости от задачи может подойти авторизация по номеру телефона или другой разрешенный сценарий. Главное, чтобы выбранный способ соответствовал требованиям закона и оставался понятным для пользователя.
4. Привести ресурс в соответствие
Если на ресурсе есть вход через зарубежные сервисы или другие рискованные варианты, их необходимо убрать или заменить.
После доработки стоит проверить настройки платформы, плагины, мобильное приложение и сторонние модули. Старые способы входа могут остаться в системе даже после изменения основной формы.
5. Зафиксировать изменения
Сохраните информацию о том, какие способы авторизации использовались раньше, что изменили, какой вариант оставили и кто отвечал за проверку.
Такая фиксация поможет показать, что требования не игнорировали, а ресурс действительно приводили в соответствие.
Требования к авторизации пользователей появились не в 2026 году. Главное изменение в том, что с 7 июля 2026 года за их нарушение начнут действовать штрафы.
Если на сайте, в приложении или сервисе есть вход для пользователя, необходимо проверить, через какую систему он работает. Особое внимание стоит уделить зарубежным аккаунтам, старым плагинам, кнопкам входа через соцсети и решениям, которые подключили давно и не пересматривали.
Самый понятный порядок действий такой: собрать все способы входа, сравнить их с разрешенными вариантами и заменить рискованные решения. После этого стоит зафиксировать, какие изменения внесли и кто отвечал за проверку.
Если в компании нет своего юридического или технического отдела, лучше подключить профильных специалистов. Разработчик разберется с устройством сайта/сервиса, а юрист проверит выбранный способ входа. Так можно привести ресурс в порядок без хаотичных доработок и лишнего риска для бизнеса.
На этом проверка сайта может не закончиться. Если на ресурсе, в приложении или сервисе есть блоки «вам может понравиться», «похожие товары», «рекомендуем для вас», персональные подборки или алгоритмы подбора, стоит изучить требования к рекомендательным технологиям.С 7 июля 2026 года штрафы появятся не только за неправильную авторизацию. Ответственность начнет действовать и за нарушения, связанные с персональными рекомендациями, которые предполагают сбор, систематизацию и хранение данных пользователя.В отдельной статье разбираем, что считается рекомендательными технологиями, какие обязанности появились у владельцев сайтов и какие штрафы предусмотрены за нарушения.